Adatvédelmi keretrendszer alkalmazásvédelmi szabályzatokkal
Ahogy egyre több szervezet valósít meg mobileszköz-stratégiákat a munkahelyi vagy iskolai adatokhoz való hozzáféréshez, az adatszivárgás elleni védelem alapvető fontosságúvá válik. Intune mobilalkalmazás-kezelési megoldása az adatszivárgás elleni védelemre az Alkalmazásvédelmi szabályzatok (APP). Az ALKALMAZÁS olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságban legyenek, vagy egy felügyelt alkalmazásban legyenek tárolva, függetlenül attól, hogy az eszköz regisztrálva van-e. További információ: Alkalmazásvédelem szabályzatok áttekintése.
Az alkalmazásvédelmi szabályzatok konfigurálásakor a különböző beállítások és beállítások száma lehetővé teszi a szervezetek számára, hogy a védelmet a saját igényeiknek megfelelően alakítsák. Emiatt a rugalmasság miatt előfordulhat, hogy nem egyértelmű, hogy a szabályzatbeállítások mely variációja szükséges egy teljes forgatókönyv implementálásához. Annak érdekében, hogy a szervezetek előnyben részesítsék az ügyfélvégpontok korlátozására irányuló törekvéseket, a Microsoft új osztályozást vezetett be a biztonsági konfigurációkhoz a Windows 10, és Intune hasonló osztályozást alkalmaz a mobilalkalmazás-felügyelethez készült APP adatvédelmi keretrendszeréhez.
Az APP adatvédelmi konfigurációs keretrendszere három különböző konfigurációs forgatókönyvbe van rendezve:
1. szintű vállalati alapszintű adatvédelem – A Microsoft ezt a konfigurációt javasolja a vállalati eszközök minimális adatvédelmi konfigurációjaként.
2. szintű, nagyvállalati szintű fokozott adatvédelem – A Microsoft ezt a konfigurációt olyan eszközökhöz javasolja, amelyeken a felhasználók bizalmas vagy bizalmas információkhoz férnek hozzá. Ez a konfiguráció a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére vonatkozik. Egyes vezérlők hatással lehetnek a felhasználói élményre.
3. szintű nagyvállalati szintű magas szintű adatvédelem – A Microsoft ezt a konfigurációt egy nagyobb vagy kifinomultabb biztonsági csapattal rendelkező szervezet által futtatott eszközökhöz, illetve az egyedileg magas kockázatú felhasználókhoz vagy csoportokhoz javasolja (olyan felhasználók számára, akik rendkívül bizalmas adatokat kezelnek, ha a jogosulatlan közzététel jelentős anyagi veszteséget okoz a szervezet számára). Egy jól finanszírozott és kifinomult támadók által megcélzott szervezetnek erre a konfigurációra kell törekednie.
AZ APP Data Protection Framework üzembehelyezési módszertana
Az új szoftverek, funkciók és beállítások központi telepítéséhez hasonlóan a Microsoft azt javasolja, hogy az APP adatvédelmi keretrendszer üzembe helyezése előtt invesztessen egy gyűrűs módszertant az ellenőrzés teszteléséhez. Az üzembehelyezési körök meghatározása általában egyszeri esemény (vagy legalábbis ritkán), de az informatikai rendszernek újra meg kell látogatnia ezeket a csoportokat, hogy meggyőződjön arról, hogy a sorrend továbbra is megfelelő.
A Microsoft a következő üzembehelyezési kör megközelítést javasolja az APP adatvédelmi keretrendszerhez:
| Üzembe helyezési kör | Bérlő | Értékelési csapatok | Kimenet | Idővonal |
|---|---|---|---|---|
| Minőségbiztosítás | Üzem előtti bérlő | Mobilképesség-tulajdonosok, Biztonság, Kockázatértékelés, Adatvédelem, UX | Működési forgatókönyv ellenőrzése, dokumentáció piszkozata | 0–30 nap |
| Előzetes verzió | Éles üzem bérlője | Mobilképesség-tulajdonosok, UX | Végfelhasználói forgatókönyv ellenőrzése, felhasználói dokumentáció | 7–14 nap, minőségbiztosítást követően |
| Éles üzem | Éles üzem bérlője | Mobilképesség-tulajdonosok, IT-ügyfélszolgálat | – | 7 nap – több hét, előzetes verziót követően |
Ahogy a fenti táblázat is mutatja, az alkalmazásvédelmi szabályzatok minden módosítását először egy üzem előtti környezetben kell végrehajtani a szabályzatbeállítások következményeinek megértéséhez. A tesztelés befejezése után a módosítások éles környezetbe helyezhetők át, és az éles felhasználók egy részhalmazára alkalmazhatók, általában az informatikai részlegre és más alkalmazható csoportokra. Végül pedig a bevezetés a mobilfelhasználói közösség többi részén is elvégezhető. Az éles környezetben történő bevezetés hosszabb időt vehet igénybe a változásra gyakorolt hatás mértékétől függően. Ha nincs hatással a felhasználóra, a módosításnak gyorsan el kell indulnia, míg ha a módosítás felhasználói hatást eredményez, előfordulhat, hogy a bevezetésnek lassabban kell haladnia, mert a változásoknak kommunikálniuk kell a felhasználói populációval.
Egy ALKALMAZÁS módosításainak tesztelésekor vegye figyelembe a kézbesítés időzítését. Egy adott felhasználó alkalmazáskézbesítésének állapota monitorozásra kerül. További információ: Alkalmazásvédelmi szabályzatok monitorozása.
Az egyes alkalmazások alkalmazásbeállításai érvényesíthetők a Microsoft Edge-et használó eszközökön, valamint a about:Intunehelp URL-címmel. További információ: Ügyfélalkalmazás-védelmi naplók áttekintése és A Microsoft Edge használata iOS-hez és Androidhoz a felügyelt alkalmazásnaplók eléréséhez.
AZ APP Data Protection Framework beállításai
A következő alkalmazásvédelmi házirend-beállításokat engedélyezni kell a megfelelő alkalmazásokhoz, és hozzá kell rendelni az összes mobilfelhasználóhoz. Az egyes házirend-beállításokkal kapcsolatos további információkért lásd: iOS-alkalmazásvédelmi házirend-beállítások és Android-alkalmazásvédelmi szabályzat beállításai.
A Microsoft azt javasolja, hogy tekintse át és kategorizálja a használati forgatókönyveket, majd konfigurálja a felhasználókat az ehhez a szinthez tartozó előíró útmutatóval. Mint minden keretrendszer esetében, a megfelelő szinten belüli beállításokat is módosítani kell a szervezet igényei alapján, mivel az adatvédelemnek ki kell értékelnie a fenyegetési környezetet, a kockázatvállalást és a használhatóságot.
A rendszergazdák az alábbi konfigurációs szinteket beépíthetik a köralapú üzembehelyezési módszertanukba tesztelési és éles használatra, ha importálják Intune App Protection Policy Configuration Framework JSON-sablonjaitIntune PowerShell-szkriptjeivel.
Megjegyzés:
A Mam for Windows használata esetén lásd: Alkalmazásvédelem windowsos szabályzatbeállítások.
Feltételes hozzáférési szabályzatok
Annak biztosításához, hogy csak az App Protection-házirendeket támogató alkalmazások férhessenek hozzá a munkahelyi vagy iskolai fiókadatokhoz, Microsoft Entra feltételes hozzáférési szabályzatokra van szükség. Ezeket a házirendeket a Feltételes hozzáférés: Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi házirend megkövetelése című cikkben ismertetjük.
Az adott szabályzatok implementálásának lépéseiért lásd: Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzat megkövetelése mobileszközökkel: Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzat megkövetelése. Végül implementálja az Örökölt hitelesítés letiltása című cikk lépéseit az örökölt hitelesítésre képes iOS- és Android-alkalmazások letiltásához.
Megjegyzés:
Ezek a szabályzatok a Jóváhagyott ügyfélalkalmazás megkövetelése és az Alkalmazásvédelmi szabályzat megkövetelése engedélyezési vezérlőket használják.
Az alkalmazásvédelmi szabályzatokban szerepeltetni kívánt alkalmazások
Az egyes alkalmazásvédelmi szabályzatok esetében a Core Microsoft Apps csoport van megcélzva, amely a következő alkalmazásokat tartalmazza:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- To Do
- Word
A szabályzatoknak tartalmazniuk kell az üzleti igényen alapuló egyéb Microsoft-alkalmazásokat, a szervezeten belül használt Intune SDK-t integráló további külső nyilvános alkalmazásokat, valamint azokat az üzletági alkalmazásokat, amelyek integrálták a Intune SDK-t (vagy be vannak csomagolva).
1. szintű vállalati alapszintű adatvédelem
Az 1. szint a vállalati mobileszköz minimális adatvédelmi konfigurációja. Ez a konfiguráció felváltja az alapvető Exchange Online eszközhozzáférési szabályzatok szükségességét azáltal, hogy PIN-kódot kér a munkahelyi vagy iskolai adatok eléréséhez, titkosítja a munkahelyi vagy iskolai fiók adatait, és lehetővé teszi az iskolai vagy munkahelyi adatok szelektív törlését. A Exchange Online eszközhozzáférési szabályzatoktól eltérően azonban az alábbi alkalmazásvédelmi házirend-beállítások a szabályzatban kiválasztott összes alkalmazásra érvényesek, így biztosítva az adathozzáférés védelmét a mobilüzenet-küldési forgatókönyveken túl.
Az 1. szintű szabályzatok ésszerű adathozzáférési szintet követelnek meg, ugyanakkor minimalizálják a felhasználókra gyakorolt hatást, és tükrözik az alapértelmezett adatvédelmi és hozzáférési követelmények beállításait, amikor alkalmazásvédelmi szabályzatot hoznak létre Microsoft Intune.
Adatvédelem
| Beállítás | Beállítás leírása | Érték | Platform |
|---|---|---|---|
| Adatátvitel | Szervezeti adatok biztonsági mentése... | Engedélyezés | iOS/iPadOS, Android |
| Adatátvitel | Szervezeti adatok küldése más alkalmazásoknak | Minden alkalmazás | iOS/iPadOS, Android |
| Adatátvitel | Szervezeti adatok küldése ide: | Minden célhely | A Windows |
| Adatátvitel | Adatok fogadása más alkalmazásokból | Minden alkalmazás | iOS/iPadOS, Android |
| Adatátvitel | Adatok fogadása innen: | Minden forrás | A Windows |
| Adatátvitel | Kivágás, másolás és beillesztés korlátozása alkalmazások között | Bármely alkalmazás | iOS/iPadOS, Android |
| Adatátvitel | Kivágás, másolás és beillesztés engedélyezése a következőhöz: | Bármely célhely és bármely forrás | A Windows |
| Adatátvitel | Külső billentyűzetek | Engedélyezés | iOS/iPadOS |
| Adatátvitel | Jóváhagyott billentyűzetek | Nem kötelező | Android |
| Adatátvitel | Képernyőfelvétel és Google Assistant | Engedélyezés | Android |
| Titkosítás | Szervezeti adatok titkosítása | Kíván | iOS/iPadOS, Android |
| Titkosítás | Szervezeti adatok titkosítása regisztrált eszközökön | Kíván | Android |
| Funkcionalitás | Alkalmazás szinkronizálása natív névjegyekkel alkalmazással | Engedélyezés | iOS/iPadOS, Android |
| Funkcionalitás | Szervezeti adatok nyomtatása | Engedélyezés | iOS/iPadOS, Android, Windows |
| Funkcionalitás | Webes tartalom átvitelének korlátozása más alkalmazásokkal | Bármely alkalmazás | iOS/iPadOS, Android |
| Funkcionalitás | Szervezeti adatértesítések | Engedélyezés | iOS/iPadOS, Android |
Hozzáférési követelmények
| Beállítás | Érték | Platform | Megjegyzések: |
|---|---|---|---|
| PIN-kód a hozzáféréshez | Kíván | iOS/iPadOS, Android | |
| PIN-kód típusa | Numerikus | iOS/iPadOS, Android | |
| Egyszerű PIN-kód | Engedélyezés | iOS/iPadOS, Android | |
| A PIN-kód minimális hosszának kiválasztása | 4 | iOS/iPadOS, Android | |
| Érintéses azonosító PIN-kód helyett hozzáféréshez (iOS 8+/iPadOS) | Engedélyezés | iOS/iPadOS | |
| Biometrikus adatok felülbírálása PIN-kóddal időtúllépés után | Kíván | iOS/iPadOS, Android | |
| Időtúllépés (percnyi tevékenység) | 1440 | iOS/iPadOS, Android | |
| Arcazonosító PIN-kód helyett hozzáféréshez (iOS 11+/iPadOS) | Engedélyezés | iOS/iPadOS | |
| Biometrikus pin-kód helyett hozzáféréshez | Engedélyezés | iOS/iPadOS, Android | |
| PIN-kód alaphelyzetbe állítása ennyi nap után | Nem | iOS/iPadOS, Android | |
| A megtartandó korábbi PIN-kódértékek számának kiválasztása | 0 | Android | |
| Alkalmazás PIN-kódja az eszköz PIN-kód beállításakor | Kíván | iOS/iPadOS, Android | Ha az eszköz regisztrálva van Intune, a rendszergazdák "Nem kötelező" értékre állíthatják, ha erős eszköz PIN-kódot kényszerítenek ki egy eszközmegfelelőségi szabályzaton keresztül. |
| Munkahelyi vagy iskolai fiók hitelesítő adatai a hozzáféréshez | Nem kötelező | iOS/iPadOS, Android | |
| A hozzáférési követelmények ismételt ellenőrzése (perc inaktivitás után) | 30 | iOS/iPadOS, Android |
Feltételes indítás
| Beállítás | Beállítás leírása | Érték/művelet | Platform | Megjegyzések: |
|---|---|---|---|---|
| Alkalmazásfeltételek | PIN-kódra tett kísérletek maximális kihasználása | 5 / PIN-kód alaphelyzetbe állítása | iOS/iPadOS, Android | |
| Alkalmazásfeltételek | Offline türelmi időszak | 10080 / Hozzáférés letiltása (perc) | iOS/iPadOS, Android, Windows | |
| Alkalmazásfeltételek | Offline türelmi időszak | 90 / Adatok törlése (nap) | iOS/iPadOS, Android, Windows | |
| Eszközfeltételek | Feltört/feltört eszközök | N/A/ Hozzáférés letiltása | iOS/iPadOS, Android | |
| Eszközfeltételek | SafetyNet-eszközigazolás | Alapszintű integritás és minősített eszközök /Hozzáférés letiltása | Android | Ez a beállítás konfigurálja a Google Play eszközintegritási ellenőrzését a végfelhasználói eszközökön. Az alapszintű integritás ellenőrzi az eszköz integritását. A feltört eszközök, emulátorok, virtuális eszközök és illetéktelen módosításra utaló jeleket tartalmazó eszközök alapvető integritása meghiúsul. Az alapszintű integritás és a minősített eszközök ellenőrzik az eszköz és a Google szolgáltatásainak kompatibilitását. Ezt az ellenőrzést csak a Google által hitelesített, nem módosított eszközök tudják átadni. |
| Eszközfeltételek | Veszélyforrás-vizsgálat megkövetelése alkalmazásokon | N/A/ Hozzáférés letiltása | Android | Ez a beállítás biztosítja, hogy a Google Alkalmazások ellenőrzése vizsgálata be legyen kapcsolva a végfelhasználói eszközökön. Ha konfigurálva van, a rendszer letiltja a végfelhasználó hozzáférését, amíg be nem kapcsolja a Google alkalmazáskeresését az Android-eszközén. |
| Eszközfeltételek | Engedélyezett eszközfenyegetések maximális szintje | Alacsony / Hozzáférés letiltása | A Windows | |
| Eszközfeltételek | Eszközzárolás megkövetelése | Alacsony/figyelmeztetés | Android | Ez a beállítás biztosítja, hogy az Android-eszközök rendelkezzenek olyan eszközjelszóval, amely megfelel a minimális jelszókövetelményeknek. |
Megjegyzés:
A Windows feltételes indítási beállításai állapot-ellenőrzések címkével vannak ellátva.
2. szintű nagyvállalati továbbfejlesztett adatvédelem
A 2. szint az adatvédelmi konfiguráció ajánlott szabványként azokhoz az eszközökhöz, amelyeken a felhasználók bizalmasabb információkhoz férnek hozzá. Ezek az eszközök ma a nagyvállalatok természetes célpontja. Ezek a javaslatok nem feltételezik a magasan képzett biztonsági szakemberek nagy létszámú személyzetét, ezért a legtöbb vállalati szervezet számára elérhetőnek kell lenniük. Ez a konfiguráció az 1. szintű konfigurációra terjed ki az adatátviteli forgatókönyvek korlátozásával és az operációs rendszer minimális verziójának megkövetelésével.
Fontos
A 2. szinten kikényszerített szabályzatbeállítások tartalmazzák az 1. szinthez ajánlott összes házirend-beállítást. A 2. szint azonban csak azokat a beállításokat sorolja fel, amelyeket hozzáadtak vagy módosítottak, hogy több vezérlőt és kifinomultabb konfigurációt implementáljanak, mint az 1. szint. Bár ezek a beállítások valamivel nagyobb hatással lehetnek a felhasználókra vagy az alkalmazásokra, az adatvédelem szintjének kényszerítése jobban megfelel a mobileszközök bizalmas adataihoz hozzáféréssel rendelkező felhasználóknak.
Adatvédelem
| Beállítás | Beállítás leírása | Érték | Platform | Megjegyzések: |
|---|---|---|---|---|
| Adatátvitel | Szervezeti adatok biztonsági mentése... | Letiltás | iOS/iPadOS, Android | |
| Adatátvitel | Szervezeti adatok küldése más alkalmazásoknak | Szabályzattal felügyelt alkalmazások | iOS/iPadOS, Android | Az iOS/iPadOS rendszerben a rendszergazdák konfigurálhatják ezt az értéket "Szabályzattal felügyelt alkalmazások", "Szabályzattal felügyelt alkalmazások operációs rendszer megosztásával" vagy "Szabályzattal felügyelt alkalmazások megnyitási/megosztási szűréssel" értékre. Az operációs rendszer megosztásával rendelkező szabályzattal felügyelt alkalmazások akkor érhetők el, ha az eszköz Intune is regisztrálva van. Ez a beállítás lehetővé teszi az adatátvitelt más szabályzattal felügyelt alkalmazásokba, valamint fájlátvitelt a Intune által felügyelt más alkalmazásokba. A Szabályzattal felügyelt alkalmazások megnyitási/megosztási szűréssel szűrik az operációs rendszer Megnyitás/Megosztás párbeszédpaneljét, hogy csak a szabályzattal felügyelt alkalmazásokat jelenítsen meg. További információ: iOS-alkalmazásvédelmi szabályzat beállításai. |
| Adatátvitel | Küldés vagy adatok küldése ide: | Nincsenek célhelyek | A Windows | |
| Adatátvitel | Adatok fogadása innen: | Nincsenek források | A Windows | |
| Adatátvitel | Kivételt képező alkalmazások kiválasztása | Alapértelmezett /skype; alkalmazásbeállítások; calshow; itms; itmss; itms-apps; itms-apps; itms-services; | iOS/iPadOS | |
| Adatátvitel | Szervezeti adatok másolatainak mentése | Letiltás | iOS/iPadOS, Android | |
| Adatátvitel | Másolatok mentésének engedélyezése a felhasználók számára a kijelölt szolgáltatásokba | OneDrive Vállalati verzió, SharePoint Online, fényképtár | iOS/iPadOS, Android | |
| Adatátvitel | Távközlési adatok átvitele a | Bármely tárcsázóalkalmazás | iOS/iPadOS, Android | |
| Adatátvitel | Kivágás, másolás és beillesztés korlátozása alkalmazások között | Szabályzattal felügyelt alkalmazások beillesztéssel | iOS/iPadOS, Android | |
| Adatátvitel | Kivágás, másolás és beillesztés engedélyezése a következőhöz: | Nincs cél vagy forrás | A Windows | |
| Adatátvitel | Képernyőfelvétel és Google Assistant | Letiltás | Android | |
| Funkcionalitás | Webes tartalom átvitelének korlátozása más alkalmazásokkal | Microsoft Edge | iOS/iPadOS, Android | |
| Funkcionalitás | Szervezeti adatértesítések | Szervezeti adatok blokkolása | iOS/iPadOS, Android | Az ezt a beállítást támogató alkalmazások listáját az iOS-alkalmazásvédelmi szabályzat beállításai és az Android-alkalmazásvédelmi szabályzat beállításai című témakörben találja. |
Feltételes indítás
| Beállítás | Beállítás leírása | Érték/művelet | Platform | Megjegyzések: |
|---|---|---|---|---|
| Alkalmazásfeltételek | Letiltott fiók | N/A/ Hozzáférés letiltása | iOS/iPadOS, Android, Windows | |
| Eszközfeltételek | Operációs rendszer minimális verziója |
Formátum: Major.Minor.Build Példa: 14.8 / Hozzáférés letiltása |
iOS/iPadOS | A Microsoft azt javasolja, hogy az iOS minimális főverzióját úgy konfigurálja, hogy megfeleljen a Microsoft-alkalmazások támogatott iOS-verzióinak. A Microsoft-alkalmazások támogatják az N-1 megközelítést, ahol az N az iOS jelenlegi főverziója. Az alverziók és a buildverziók értékei esetében a Microsoft azt javasolja, hogy az eszközök naprakészek legyenek a megfelelő biztonsági frissítésekkel. Az Apple legújabb javaslatait az Apple biztonsági frissítéseivel foglalkozó cikkben találja |
| Eszközfeltételek | Operációs rendszer minimális verziója |
Formátum: Főverzió.Alverzió Példa: 9.0 / Hozzáférés letiltása |
Android | A Microsoft azt javasolja, hogy konfigurálja az Android minimális főverzióját a Microsoft-alkalmazások által támogatott Android-verzióknak megfelelően. Az Android Enterprise által ajánlott követelményeknek megfelelő OEM-eknek és eszközöknek támogatniuk kell a jelenlegi szállítási kiadást és egybetűs frissítést. Az Android jelenleg az Android 9.0-s és újabb verzióit javasolja tudástári dolgozóknak. Lásd: Android Enterprise – Ajánlott követelmények az Android legújabb javaslataihoz |
| Eszközfeltételek | Operációs rendszer minimális verziója |
Formátum: Build Például: 10.0.22621.2506 / Hozzáférés letiltása |
A Windows | A Microsoft azt javasolja, hogy konfigurálja a Minimális Windows-buildet, hogy megfeleljen a Microsoft-alkalmazások támogatott Windows-verzióinak. A Microsoft jelenleg a következőket javasolja:
|
| Eszközfeltételek | Minimális javításverzió |
Formátum: ÉÉÉÉ-HH-NN Példa: 2020-01-01 / Hozzáférés letiltása |
Android | Az Android-eszközök havi biztonsági javításokat kaphatnak, de a kiadás az OEM-ektől és/vagy a szolgáltatóktól függ. A beállítás implementálása előtt a szervezeteknek gondoskodniuk kell arról, hogy az üzembe helyezett Android-eszközök megkapják a biztonsági frissítéseket. A legújabb javításkiadásokról az Android biztonsági közleményei című témakörben olvashat. |
| Eszközfeltételek | Kötelező SafetyNet-kiértékelési típus | Hardveralapú kulcs | Android | A hardveresen támogatott igazolás egy hardveres háttérrendszerrel rendelkező új kiértékelési típus alkalmazásával javítja a Google Play Integrity szolgáltatásának ellenőrzését, és robusztusabb gyökérészlelést tesz lehetővé az újabb gyökerező eszközök és metódusok típusaira válaszul, amelyeket nem mindig képes megbízhatóan észlelni egy csak szoftveres megoldás. Ahogy a neve is mutatja, a hardveralapú igazolás egy hardveralapú összetevőt használ, amelyet az Android 8.1-et vagy újabb verziót futtató eszközökkel szállítottak. Az Android régebbi verziójáról Android 8.1-re frissített eszközök nem valószínű, hogy rendelkeznek a hardveralapú igazoláshoz szükséges hardveralapú összetevőkkel. Bár ezt a beállítást széles körben támogatni kell az Android 8.1-et tartalmazó eszközöktől kezdve, a Microsoft határozottan javasolja az eszközök egyenkénti tesztelését, mielőtt széles körben engedélyeznénk ezt a házirend-beállítást. |
| Eszközfeltételek | Eszközzárolás megkövetelése | Közepes/letiltott hozzáférés | Android | Ez a beállítás biztosítja, hogy az Android-eszközök rendelkezzenek olyan eszközjelszóval, amely megfelel a minimális jelszókövetelményeknek. |
| Eszközfeltételek | Samsung Knox-eszközigazolás | Hozzáférés letiltása | Android | A Microsoft azt javasolja, hogy a Samsung Knox-eszközigazolási beállítást a Hozzáférés letiltása értékre konfigurálja, hogy a felhasználói fiók ne legyen hozzáférése, ha az eszköz nem felel meg a Samsung Knox eszközállapotának hardveralapú ellenőrzésének. Ez a beállítás ellenőrzi, hogy az Intune szolgáltatásnak küldött összes INTUNE MAM-ügyfél válasza kifogástalan állapotú eszközről lett-e elküldve. Ez a beállítás az összes megcélzott eszközre vonatkozik. Ha ezt a beállítást csak Samsung-eszközökre szeretné alkalmazni, használhat "Felügyelt alkalmazások" hozzárendelési szűrőket. A hozzárendelési szűrőkkel kapcsolatos további információkért lásd: Szűrők használata az alkalmazások, szabályzatok és profilok hozzárendelésekor Microsoft Intune. |
| Alkalmazásfeltételek | Offline türelmi időszak | 30 / Adatok törlése (nap) | iOS/iPadOS, Android, Windows |
Megjegyzés:
A Windows feltételes indítási beállításai állapot-ellenőrzések címkével vannak ellátva.
3. szintű nagyvállalati szintű magas szintű adatvédelem
A 3. szint a nagy és kifinomult biztonsági szervezetekkel rendelkező szervezetek, illetve a támadók által egyedileg megcélzott konkrét felhasználók és csoportok számára ajánlott adatvédelmi konfiguráció. Az ilyen szervezeteket általában jól finanszírozott és kifinomult támadók irányítják, és mint ilyenek, a leírt további korlátozásokra és ellenőrzésekre is érdemesek. Ez a konfiguráció további adatátviteli forgatókönyvek korlátozásával, a PIN-kód konfigurációjának összetettségének növelésével és a mobil fenyegetésészlelés hozzáadásával bővül a 2. szinten lévő konfigurációval.
Fontos
A 3. szinten kikényszerített szabályzatbeállítások tartalmazzák a 2. szinthez ajánlott összes házirend-beállítást, de csak azokat a beállításokat sorolja fel, amelyeket a 2. szintnél kifinomultabb vezérlők és kifinomultabb konfiguráció megvalósítása érdekében adtak hozzá vagy módosítottak. Ezek a szabályzatbeállítások potenciálisan jelentős hatással lehetnek a felhasználókra vagy az alkalmazásokra, és olyan biztonsági szintet kényszerítenek ki, amely megfelel a megcélzott szervezeteket érintő kockázatoknak.
Adatvédelem
| Beállítás | Beállítás leírása | Érték | Platform | Megjegyzések: |
|---|---|---|---|---|
| Adatátvitel | Távközlési adatok átvitele a | Bármely szabályzattal felügyelt tárcsázó alkalmazás | Android | A rendszergazdák úgy is konfigurálhatják ezt a beállítást, hogy olyan tárcsázóalkalmazást használjanak, amely nem támogatja az alkalmazásvédelmi szabályzatokat. Ehhez válassza az Egy adott tárcsázóalkalmazás lehetőséget, és adja meg a tárcsázó alkalmazáscsomag-azonosítóját és a tárcsázó alkalmazásnév értékeit. |
| Adatátvitel | Távközlési adatok átvitele a | Egy adott tárcsázóalkalmazás | iOS/iPadOS | |
| Adatátvitel | Tárcsázó alkalmazás URL-sémája | replace_with_dialer_app_url_scheme | iOS/iPadOS | iOS/iPadOS rendszeren ezt az értéket a használt egyéni tárcsázóalkalmazás URL-sémájára kell cserélni. Ha az URL-séma nem ismert, további információért forduljon az alkalmazás fejlesztőjének. További információ az URL-sémákról: Egyéni URL-séma meghatározása az alkalmazáshoz. |
| Adatátvitel | Adatok fogadása más alkalmazásokból | Szabályzattal felügyelt alkalmazások | iOS/iPadOS, Android | |
| Adatátvitel | Adatok megnyitása szervezeti dokumentumokba | Letiltás | iOS/iPadOS, Android | |
| Adatátvitel | A felhasználók megnyithatják a kijelölt szolgáltatásokból származó adatokat | OneDrive Vállalati verzió, SharePoint, Kamera, Fényképtár | iOS/iPadOS, Android | További információ: Androidos alkalmazásvédelmi szabályzat beállításai és iOS-alkalmazásvédelmi szabályzat beállításai. |
| Adatátvitel | Külső billentyűzetek | Letiltás | iOS/iPadOS | iOS/iPadOS rendszeren ez letiltja az összes külső billentyűzet működését az alkalmazásban. |
| Adatátvitel | Jóváhagyott billentyűzetek | Kíván | Android | |
| Adatátvitel | A jóváhagyandó billentyűzetek kiválasztása | billentyűzetek hozzáadása/eltávolítása | Android | Android esetén a billentyűzeteket ki kell választani ahhoz, hogy az üzembe helyezett Android-eszközök alapján lehessen használni. |
| Funkcionalitás | Szervezeti adatok nyomtatása | Letiltás | iOS/iPadOS, Android, Windows |
Hozzáférési követelmények
| Beállítás | Érték | Platform |
|---|---|---|
| Egyszerű PIN-kód | Letiltás | iOS/iPadOS, Android |
| A PIN-kód minimális hosszának kiválasztása | 6 | iOS/iPadOS, Android |
| PIN-kód alaphelyzetbe állítása ennyi nap után | Igen | iOS/iPadOS, Android |
| Napok száma | 365 | iOS/iPadOS, Android |
| Class 3 Biometrics (Android 9.0+) | Kíván | Android |
| Biometrikus adatok felülbírálása PIN-kóddal a biometrikus frissítések után | Kíván | Android |
Feltételes indítás
| Beállítás | Beállítás leírása | Érték/művelet | Platform | Megjegyzések: |
|---|---|---|---|---|
| Eszközfeltételek | Eszközzárolás megkövetelése | Magas/letiltott hozzáférés | Android | Ez a beállítás biztosítja, hogy az Android-eszközök rendelkezzenek olyan eszközjelszóval, amely megfelel a minimális jelszókövetelményeknek. |
| Eszközfeltételek | Engedélyezett eszközfenyegetések maximális szintje | Biztonságos/ Hozzáférés letiltása | A Windows | |
| Eszközfeltételek | Feltört/feltört eszközök | N/A / Adatok törlése | iOS/iPadOS, Android | |
| Eszközfeltételek | Maximálisan engedélyezett fenyegetésszint | Biztonságos/ Hozzáférés letiltása | iOS/iPadOS, Android | A nem regisztrált eszközök a Mobile Threat Defense használatával ellenőrizhetők. További információ: Mobile Threat Defense nem regisztrált eszközökhöz. Ha az eszköz regisztrálva van, ez a beállítás kihagyható a Mobile Threat Defense regisztrált eszközökhöz való telepítése mellett. További információ: Mobile Threat Defense regisztrált eszközökhöz. |
| Eszközfeltételek | Operációs rendszer maximális verziója |
Formátum: Főverzió.Alverzió Példa: 11.0 / Hozzáférés letiltása |
Android | A Microsoft azt javasolja, hogy konfigurálja az Android maximális főverzióját, hogy az operációs rendszer bétaverziós vagy nem támogatott verziói ne legyenek használatban. Lásd: Android Enterprise – Ajánlott követelmények az Android legújabb javaslataihoz |
| Eszközfeltételek | Operációs rendszer maximális verziója |
Formátum: Major.Minor.Build Példa: 15.0 /Hozzáférés letiltása |
iOS/iPadOS | A Microsoft javasolja a maximális iOS/iPadOS főverzió konfigurálását, hogy az operációs rendszer bétaverziós vagy nem támogatott verziói ne legyenek használatban. Az Apple legújabb javaslatait az Apple biztonsági frissítéseivel foglalkozó cikkben találja |
| Eszközfeltételek | Operációs rendszer maximális verziója |
Formátum: Főverzió.Alverzió Példa: 22631. / Hozzáférés letiltása |
A Windows | A Microsoft a Windows főverziójának maximális beállítását javasolja annak érdekében, hogy az operációs rendszer bétaverziós vagy nem támogatott verziói ne legyenek használatban. |
| Eszközfeltételek | Samsung Knox-eszközigazolás | Adatok törlése | Android | A Microsoft azt javasolja, hogy konfigurálja a Samsung Knox-eszközigazolási beállítást Az adatok törlése értékre, hogy a szervezeti adatok törlődjenek, ha az eszköz nem felel meg a Samsung Knox hardveralapú eszközállapot-ellenőrzésének. Ez a beállítás ellenőrzi, hogy az Intune szolgáltatásnak küldött összes INTUNE MAM-ügyfél válasza kifogástalan állapotú eszközről lett-e elküldve. Ez a beállítás az összes megcélzott eszközre érvényes lesz. Ha ezt a beállítást csak Samsung-eszközökre szeretné alkalmazni, használhat "Felügyelt alkalmazások" hozzárendelési szűrőket. A hozzárendelési szűrőkkel kapcsolatos további információkért lásd: Szűrők használata az alkalmazások, szabályzatok és profilok hozzárendelésekor Microsoft Intune. |
| Alkalmazásfeltételek | Offline türelmi időszak | 30 / Hozzáférés letiltása (nap) | iOS/iPadOS, Android, Windows |
Következő lépések
A rendszergazdák a fenti konfigurációs szinteket beépíthetik a köralapú üzembehelyezési módszertanukba tesztelési és éles használat céljából, ha importálják Intune App Protection Policy Configuration Framework JSON-sablonjaitIntune PowerShell-szkriptjeivel.