Megosztás a következőn keresztül:


Adatvédelmi keretrendszer alkalmazásvédelmi szabályzatokkal

Ahogy egyre több szervezet valósít meg mobileszköz-stratégiákat a munkahelyi vagy iskolai adatokhoz való hozzáféréshez, az adatszivárgás elleni védelem alapvető fontosságúvá válik. Intune mobilalkalmazás-kezelési megoldása az adatszivárgás elleni védelemre az Alkalmazásvédelmi szabályzatok (APP). Az ALKALMAZÁS olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságban legyenek, vagy egy felügyelt alkalmazásban legyenek tárolva, függetlenül attól, hogy az eszköz regisztrálva van-e. További információ: Alkalmazásvédelem szabályzatok áttekintése.

Az alkalmazásvédelmi szabályzatok konfigurálásakor a különböző beállítások és beállítások száma lehetővé teszi a szervezetek számára, hogy a védelmet a saját igényeiknek megfelelően alakítsák. Emiatt a rugalmasság miatt előfordulhat, hogy nem egyértelmű, hogy a szabályzatbeállítások mely variációja szükséges egy teljes forgatókönyv implementálásához. Annak érdekében, hogy a szervezetek előnyben részesítsék az ügyfélvégpontok korlátozására irányuló törekvéseket, a Microsoft új osztályozást vezetett be a biztonsági konfigurációkhoz a Windows 10, és Intune hasonló osztályozást alkalmaz a mobilalkalmazás-felügyelethez készült APP adatvédelmi keretrendszeréhez.

Az APP adatvédelmi konfigurációs keretrendszere három különböző konfigurációs forgatókönyvbe van rendezve:

  • 1. szintű vállalati alapszintű adatvédelem – A Microsoft ezt a konfigurációt javasolja a vállalati eszközök minimális adatvédelmi konfigurációjaként.

  • 2. szintű, nagyvállalati szintű fokozott adatvédelem – A Microsoft ezt a konfigurációt olyan eszközökhöz javasolja, amelyeken a felhasználók bizalmas vagy bizalmas információkhoz férnek hozzá. Ez a konfiguráció a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére vonatkozik. Egyes vezérlők hatással lehetnek a felhasználói élményre.

  • 3. szintű nagyvállalati szintű magas szintű adatvédelem – A Microsoft ezt a konfigurációt egy nagyobb vagy kifinomultabb biztonsági csapattal rendelkező szervezet által futtatott eszközökhöz, illetve az egyedileg magas kockázatú felhasználókhoz vagy csoportokhoz javasolja (olyan felhasználók számára, akik rendkívül bizalmas adatokat kezelnek, ha a jogosulatlan közzététel jelentős anyagi veszteséget okoz a szervezet számára). Egy jól finanszírozott és kifinomult támadók által megcélzott szervezetnek erre a konfigurációra kell törekednie.

AZ APP Data Protection Framework üzembehelyezési módszertana

Az új szoftverek, funkciók és beállítások központi telepítéséhez hasonlóan a Microsoft azt javasolja, hogy az APP adatvédelmi keretrendszer üzembe helyezése előtt invesztessen egy gyűrűs módszertant az ellenőrzés teszteléséhez. Az üzembehelyezési körök meghatározása általában egyszeri esemény (vagy legalábbis ritkán), de az informatikai rendszernek újra meg kell látogatnia ezeket a csoportokat, hogy meggyőződjön arról, hogy a sorrend továbbra is megfelelő.

A Microsoft a következő üzembehelyezési kör megközelítést javasolja az APP adatvédelmi keretrendszerhez:

Üzembe helyezési kör Bérlő Értékelési csapatok Kimenet Idővonal
Minőségbiztosítás Üzem előtti bérlő Mobilképesség-tulajdonosok, Biztonság, Kockázatértékelés, Adatvédelem, UX Működési forgatókönyv ellenőrzése, dokumentáció piszkozata 0–30 nap
Előzetes verzió Éles üzem bérlője Mobilképesség-tulajdonosok, UX Végfelhasználói forgatókönyv ellenőrzése, felhasználói dokumentáció 7–14 nap, minőségbiztosítást követően
Éles üzem Éles üzem bérlője Mobilképesség-tulajdonosok, IT-ügyfélszolgálat 7 nap – több hét, előzetes verziót követően

Ahogy a fenti táblázat is mutatja, az alkalmazásvédelmi szabályzatok minden módosítását először egy üzem előtti környezetben kell végrehajtani a szabályzatbeállítások következményeinek megértéséhez. A tesztelés befejezése után a módosítások éles környezetbe helyezhetők át, és az éles felhasználók egy részhalmazára alkalmazhatók, általában az informatikai részlegre és más alkalmazható csoportokra. Végül pedig a bevezetés a mobilfelhasználói közösség többi részén is elvégezhető. Az éles környezetben történő bevezetés hosszabb időt vehet igénybe a változásra gyakorolt hatás mértékétől függően. Ha nincs hatással a felhasználóra, a módosításnak gyorsan el kell indulnia, míg ha a módosítás felhasználói hatást eredményez, előfordulhat, hogy a bevezetésnek lassabban kell haladnia, mert a változásoknak kommunikálniuk kell a felhasználói populációval.

Egy ALKALMAZÁS módosításainak tesztelésekor vegye figyelembe a kézbesítés időzítését. Egy adott felhasználó alkalmazáskézbesítésének állapota monitorozásra kerül. További információ: Alkalmazásvédelmi szabályzatok monitorozása.

Az egyes alkalmazások alkalmazásbeállításai érvényesíthetők a Microsoft Edge-et használó eszközökön, valamint a about:Intunehelp URL-címmel. További információ: Ügyfélalkalmazás-védelmi naplók áttekintése és A Microsoft Edge használata iOS-hez és Androidhoz a felügyelt alkalmazásnaplók eléréséhez.

AZ APP Data Protection Framework beállításai

A következő alkalmazásvédelmi házirend-beállításokat engedélyezni kell a megfelelő alkalmazásokhoz, és hozzá kell rendelni az összes mobilfelhasználóhoz. Az egyes házirend-beállításokkal kapcsolatos további információkért lásd: iOS-alkalmazásvédelmi házirend-beállítások és Android-alkalmazásvédelmi szabályzat beállításai.

A Microsoft azt javasolja, hogy tekintse át és kategorizálja a használati forgatókönyveket, majd konfigurálja a felhasználókat az ehhez a szinthez tartozó előíró útmutatóval. Mint minden keretrendszer esetében, a megfelelő szinten belüli beállításokat is módosítani kell a szervezet igényei alapján, mivel az adatvédelemnek ki kell értékelnie a fenyegetési környezetet, a kockázatvállalást és a használhatóságot.

A rendszergazdák az alábbi konfigurációs szinteket beépíthetik a köralapú üzembehelyezési módszertanukba tesztelési és éles használatra, ha importálják Intune App Protection Policy Configuration Framework JSON-sablonjaitIntune PowerShell-szkriptjeivel.

Megjegyzés:

A Mam for Windows használata esetén lásd: Alkalmazásvédelem windowsos szabályzatbeállítások.

Feltételes hozzáférési szabályzatok

Annak biztosításához, hogy csak az App Protection-házirendeket támogató alkalmazások férhessenek hozzá a munkahelyi vagy iskolai fiókadatokhoz, Microsoft Entra feltételes hozzáférési szabályzatokra van szükség. Ezeket a házirendeket a Feltételes hozzáférés: Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi házirend megkövetelése című cikkben ismertetjük.

Az adott szabályzatok implementálásának lépéseiért lásd: Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzat megkövetelése mobileszközökkel: Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzat megkövetelése. Végül implementálja az Örökölt hitelesítés letiltása című cikk lépéseit az örökölt hitelesítésre képes iOS- és Android-alkalmazások letiltásához.

Megjegyzés:

Ezek a szabályzatok a Jóváhagyott ügyfélalkalmazás megkövetelése és az Alkalmazásvédelmi szabályzat megkövetelése engedélyezési vezérlőket használják.

Az alkalmazásvédelmi szabályzatokban szerepeltetni kívánt alkalmazások

Az egyes alkalmazásvédelmi szabályzatok esetében a Core Microsoft Apps csoport van megcélzva, amely a következő alkalmazásokat tartalmazza:

  • Microsoft Edge
  • Excel
  • Office
  • OneDrive
  • OneNote
  • Outlook
  • PowerPoint
  • SharePoint
  • Teams
  • To Do
  • Word

A szabályzatoknak tartalmazniuk kell az üzleti igényen alapuló egyéb Microsoft-alkalmazásokat, a szervezeten belül használt Intune SDK-t integráló további külső nyilvános alkalmazásokat, valamint azokat az üzletági alkalmazásokat, amelyek integrálták a Intune SDK-t (vagy be vannak csomagolva).

1. szintű vállalati alapszintű adatvédelem

Az 1. szint a vállalati mobileszköz minimális adatvédelmi konfigurációja. Ez a konfiguráció felváltja az alapvető Exchange Online eszközhozzáférési szabályzatok szükségességét azáltal, hogy PIN-kódot kér a munkahelyi vagy iskolai adatok eléréséhez, titkosítja a munkahelyi vagy iskolai fiók adatait, és lehetővé teszi az iskolai vagy munkahelyi adatok szelektív törlését. A Exchange Online eszközhozzáférési szabályzatoktól eltérően azonban az alábbi alkalmazásvédelmi házirend-beállítások a szabályzatban kiválasztott összes alkalmazásra érvényesek, így biztosítva az adathozzáférés védelmét a mobilüzenet-küldési forgatókönyveken túl.

Az 1. szintű szabályzatok ésszerű adathozzáférési szintet követelnek meg, ugyanakkor minimalizálják a felhasználókra gyakorolt hatást, és tükrözik az alapértelmezett adatvédelmi és hozzáférési követelmények beállításait, amikor alkalmazásvédelmi szabályzatot hoznak létre Microsoft Intune.

Adatvédelem

Beállítás Beállítás leírása Érték Platform
Adatátvitel Szervezeti adatok biztonsági mentése... Engedélyezés iOS/iPadOS, Android
Adatátvitel Szervezeti adatok küldése más alkalmazásoknak Minden alkalmazás iOS/iPadOS, Android
Adatátvitel Szervezeti adatok küldése ide: Minden célhely A Windows
Adatátvitel Adatok fogadása más alkalmazásokból Minden alkalmazás iOS/iPadOS, Android
Adatátvitel Adatok fogadása innen: Minden forrás A Windows
Adatátvitel Kivágás, másolás és beillesztés korlátozása alkalmazások között Bármely alkalmazás iOS/iPadOS, Android
Adatátvitel Kivágás, másolás és beillesztés engedélyezése a következőhöz: Bármely célhely és bármely forrás A Windows
Adatátvitel Külső billentyűzetek Engedélyezés iOS/iPadOS
Adatátvitel Jóváhagyott billentyűzetek Nem kötelező Android
Adatátvitel Képernyőfelvétel és Google Assistant Engedélyezés Android
Titkosítás Szervezeti adatok titkosítása Kíván iOS/iPadOS, Android
Titkosítás Szervezeti adatok titkosítása regisztrált eszközökön Kíván Android
Funkcionalitás Alkalmazás szinkronizálása natív névjegyekkel alkalmazással Engedélyezés iOS/iPadOS, Android
Funkcionalitás Szervezeti adatok nyomtatása Engedélyezés iOS/iPadOS, Android, Windows
Funkcionalitás Webes tartalom átvitelének korlátozása más alkalmazásokkal Bármely alkalmazás iOS/iPadOS, Android
Funkcionalitás Szervezeti adatértesítések Engedélyezés iOS/iPadOS, Android

Hozzáférési követelmények

Beállítás Érték Platform Megjegyzések:
PIN-kód a hozzáféréshez Kíván iOS/iPadOS, Android
PIN-kód típusa Numerikus iOS/iPadOS, Android
Egyszerű PIN-kód Engedélyezés iOS/iPadOS, Android
A PIN-kód minimális hosszának kiválasztása 4 iOS/iPadOS, Android
Érintéses azonosító PIN-kód helyett hozzáféréshez (iOS 8+/iPadOS) Engedélyezés iOS/iPadOS
Biometrikus adatok felülbírálása PIN-kóddal időtúllépés után Kíván iOS/iPadOS, Android
Időtúllépés (percnyi tevékenység) 1440 iOS/iPadOS, Android
Arcazonosító PIN-kód helyett hozzáféréshez (iOS 11+/iPadOS) Engedélyezés iOS/iPadOS
Biometrikus pin-kód helyett hozzáféréshez Engedélyezés iOS/iPadOS, Android
PIN-kód alaphelyzetbe állítása ennyi nap után Nem iOS/iPadOS, Android
A megtartandó korábbi PIN-kódértékek számának kiválasztása 0 Android
Alkalmazás PIN-kódja az eszköz PIN-kód beállításakor Kíván iOS/iPadOS, Android Ha az eszköz regisztrálva van Intune, a rendszergazdák "Nem kötelező" értékre állíthatják, ha erős eszköz PIN-kódot kényszerítenek ki egy eszközmegfelelőségi szabályzaton keresztül.
Munkahelyi vagy iskolai fiók hitelesítő adatai a hozzáféréshez Nem kötelező iOS/iPadOS, Android
A hozzáférési követelmények ismételt ellenőrzése (perc inaktivitás után) 30 iOS/iPadOS, Android

Feltételes indítás

Beállítás Beállítás leírása Érték/művelet Platform Megjegyzések:
Alkalmazásfeltételek PIN-kódra tett kísérletek maximális kihasználása 5 / PIN-kód alaphelyzetbe állítása iOS/iPadOS, Android
Alkalmazásfeltételek Offline türelmi időszak 10080 / Hozzáférés letiltása (perc) iOS/iPadOS, Android, Windows
Alkalmazásfeltételek Offline türelmi időszak 90 / Adatok törlése (nap) iOS/iPadOS, Android, Windows
Eszközfeltételek Feltört/feltört eszközök N/A/ Hozzáférés letiltása iOS/iPadOS, Android
Eszközfeltételek SafetyNet-eszközigazolás Alapszintű integritás és minősített eszközök /Hozzáférés letiltása Android

Ez a beállítás konfigurálja a Google Play eszközintegritási ellenőrzését a végfelhasználói eszközökön. Az alapszintű integritás ellenőrzi az eszköz integritását. A feltört eszközök, emulátorok, virtuális eszközök és illetéktelen módosításra utaló jeleket tartalmazó eszközök alapvető integritása meghiúsul.

Az alapszintű integritás és a minősített eszközök ellenőrzik az eszköz és a Google szolgáltatásainak kompatibilitását. Ezt az ellenőrzést csak a Google által hitelesített, nem módosított eszközök tudják átadni.

Eszközfeltételek Veszélyforrás-vizsgálat megkövetelése alkalmazásokon N/A/ Hozzáférés letiltása Android Ez a beállítás biztosítja, hogy a Google Alkalmazások ellenőrzése vizsgálata be legyen kapcsolva a végfelhasználói eszközökön. Ha konfigurálva van, a rendszer letiltja a végfelhasználó hozzáférését, amíg be nem kapcsolja a Google alkalmazáskeresését az Android-eszközén.
Eszközfeltételek Engedélyezett eszközfenyegetések maximális szintje Alacsony / Hozzáférés letiltása A Windows
Eszközfeltételek Eszközzárolás megkövetelése Alacsony/figyelmeztetés Android Ez a beállítás biztosítja, hogy az Android-eszközök rendelkezzenek olyan eszközjelszóval, amely megfelel a minimális jelszókövetelményeknek.

Megjegyzés:

A Windows feltételes indítási beállításai állapot-ellenőrzések címkével vannak ellátva.

2. szintű nagyvállalati továbbfejlesztett adatvédelem

A 2. szint az adatvédelmi konfiguráció ajánlott szabványként azokhoz az eszközökhöz, amelyeken a felhasználók bizalmasabb információkhoz férnek hozzá. Ezek az eszközök ma a nagyvállalatok természetes célpontja. Ezek a javaslatok nem feltételezik a magasan képzett biztonsági szakemberek nagy létszámú személyzetét, ezért a legtöbb vállalati szervezet számára elérhetőnek kell lenniük. Ez a konfiguráció az 1. szintű konfigurációra terjed ki az adatátviteli forgatókönyvek korlátozásával és az operációs rendszer minimális verziójának megkövetelésével.

Fontos

A 2. szinten kikényszerített szabályzatbeállítások tartalmazzák az 1. szinthez ajánlott összes házirend-beállítást. A 2. szint azonban csak azokat a beállításokat sorolja fel, amelyeket hozzáadtak vagy módosítottak, hogy több vezérlőt és kifinomultabb konfigurációt implementáljanak, mint az 1. szint. Bár ezek a beállítások valamivel nagyobb hatással lehetnek a felhasználókra vagy az alkalmazásokra, az adatvédelem szintjének kényszerítése jobban megfelel a mobileszközök bizalmas adataihoz hozzáféréssel rendelkező felhasználóknak.

Adatvédelem

Beállítás Beállítás leírása Érték Platform Megjegyzések:
Adatátvitel Szervezeti adatok biztonsági mentése... Letiltás iOS/iPadOS, Android
Adatátvitel Szervezeti adatok küldése más alkalmazásoknak Szabályzattal felügyelt alkalmazások iOS/iPadOS, Android

Az iOS/iPadOS rendszerben a rendszergazdák konfigurálhatják ezt az értéket "Szabályzattal felügyelt alkalmazások", "Szabályzattal felügyelt alkalmazások operációs rendszer megosztásával" vagy "Szabályzattal felügyelt alkalmazások megnyitási/megosztási szűréssel" értékre.

Az operációs rendszer megosztásával rendelkező szabályzattal felügyelt alkalmazások akkor érhetők el, ha az eszköz Intune is regisztrálva van. Ez a beállítás lehetővé teszi az adatátvitelt más szabályzattal felügyelt alkalmazásokba, valamint fájlátvitelt a Intune által felügyelt más alkalmazásokba.

A Szabályzattal felügyelt alkalmazások megnyitási/megosztási szűréssel szűrik az operációs rendszer Megnyitás/Megosztás párbeszédpaneljét, hogy csak a szabályzattal felügyelt alkalmazásokat jelenítsen meg.

További információ: iOS-alkalmazásvédelmi szabályzat beállításai.

Adatátvitel Küldés vagy adatok küldése ide: Nincsenek célhelyek A Windows
Adatátvitel Adatok fogadása innen: Nincsenek források A Windows
Adatátvitel Kivételt képező alkalmazások kiválasztása Alapértelmezett /skype; alkalmazásbeállítások; calshow; itms; itmss; itms-apps; itms-apps; itms-services; iOS/iPadOS
Adatátvitel Szervezeti adatok másolatainak mentése Letiltás iOS/iPadOS, Android
Adatátvitel Másolatok mentésének engedélyezése a felhasználók számára a kijelölt szolgáltatásokba OneDrive Vállalati verzió, SharePoint Online, fényképtár iOS/iPadOS, Android
Adatátvitel Távközlési adatok átvitele a Bármely tárcsázóalkalmazás iOS/iPadOS, Android
Adatátvitel Kivágás, másolás és beillesztés korlátozása alkalmazások között Szabályzattal felügyelt alkalmazások beillesztéssel iOS/iPadOS, Android
Adatátvitel Kivágás, másolás és beillesztés engedélyezése a következőhöz: Nincs cél vagy forrás A Windows
Adatátvitel Képernyőfelvétel és Google Assistant Letiltás Android
Funkcionalitás Webes tartalom átvitelének korlátozása más alkalmazásokkal Microsoft Edge iOS/iPadOS, Android
Funkcionalitás Szervezeti adatértesítések Szervezeti adatok blokkolása iOS/iPadOS, Android Az ezt a beállítást támogató alkalmazások listáját az iOS-alkalmazásvédelmi szabályzat beállításai és az Android-alkalmazásvédelmi szabályzat beállításai című témakörben találja.

Feltételes indítás

Beállítás Beállítás leírása Érték/művelet Platform Megjegyzések:
Alkalmazásfeltételek Letiltott fiók N/A/ Hozzáférés letiltása iOS/iPadOS, Android, Windows
Eszközfeltételek Operációs rendszer minimális verziója Formátum: Major.Minor.Build
Példa: 14.8
/ Hozzáférés letiltása
iOS/iPadOS A Microsoft azt javasolja, hogy az iOS minimális főverzióját úgy konfigurálja, hogy megfeleljen a Microsoft-alkalmazások támogatott iOS-verzióinak. A Microsoft-alkalmazások támogatják az N-1 megközelítést, ahol az N az iOS jelenlegi főverziója. Az alverziók és a buildverziók értékei esetében a Microsoft azt javasolja, hogy az eszközök naprakészek legyenek a megfelelő biztonsági frissítésekkel. Az Apple legújabb javaslatait az Apple biztonsági frissítéseivel foglalkozó cikkben találja
Eszközfeltételek Operációs rendszer minimális verziója Formátum: Főverzió.Alverzió
Példa: 9.0
/ Hozzáférés letiltása
Android A Microsoft azt javasolja, hogy konfigurálja az Android minimális főverzióját a Microsoft-alkalmazások által támogatott Android-verzióknak megfelelően. Az Android Enterprise által ajánlott követelményeknek megfelelő OEM-eknek és eszközöknek támogatniuk kell a jelenlegi szállítási kiadást és egybetűs frissítést. Az Android jelenleg az Android 9.0-s és újabb verzióit javasolja tudástári dolgozóknak. Lásd: Android Enterprise – Ajánlott követelmények az Android legújabb javaslataihoz
Eszközfeltételek Operációs rendszer minimális verziója Formátum: Build
Például: 10.0.22621.2506
/ Hozzáférés letiltása
A Windows A Microsoft azt javasolja, hogy konfigurálja a Minimális Windows-buildet, hogy megfeleljen a Microsoft-alkalmazások támogatott Windows-verzióinak. A Microsoft jelenleg a következőket javasolja:
Eszközfeltételek Minimális javításverzió Formátum: ÉÉÉÉ-HH-NN
Példa: 2020-01-01
/ Hozzáférés letiltása
Android Az Android-eszközök havi biztonsági javításokat kaphatnak, de a kiadás az OEM-ektől és/vagy a szolgáltatóktól függ. A beállítás implementálása előtt a szervezeteknek gondoskodniuk kell arról, hogy az üzembe helyezett Android-eszközök megkapják a biztonsági frissítéseket. A legújabb javításkiadásokról az Android biztonsági közleményei című témakörben olvashat.
Eszközfeltételek Kötelező SafetyNet-kiértékelési típus Hardveralapú kulcs Android A hardveresen támogatott igazolás egy hardveres háttérrendszerrel rendelkező új kiértékelési típus alkalmazásával javítja a Google Play Integrity szolgáltatásának ellenőrzését, és robusztusabb gyökérészlelést tesz lehetővé az újabb gyökerező eszközök és metódusok típusaira válaszul, amelyeket nem mindig képes megbízhatóan észlelni egy csak szoftveres megoldás.

Ahogy a neve is mutatja, a hardveralapú igazolás egy hardveralapú összetevőt használ, amelyet az Android 8.1-et vagy újabb verziót futtató eszközökkel szállítottak. Az Android régebbi verziójáról Android 8.1-re frissített eszközök nem valószínű, hogy rendelkeznek a hardveralapú igazoláshoz szükséges hardveralapú összetevőkkel. Bár ezt a beállítást széles körben támogatni kell az Android 8.1-et tartalmazó eszközöktől kezdve, a Microsoft határozottan javasolja az eszközök egyenkénti tesztelését, mielőtt széles körben engedélyeznénk ezt a házirend-beállítást.

Eszközfeltételek Eszközzárolás megkövetelése Közepes/letiltott hozzáférés Android Ez a beállítás biztosítja, hogy az Android-eszközök rendelkezzenek olyan eszközjelszóval, amely megfelel a minimális jelszókövetelményeknek.
Eszközfeltételek Samsung Knox-eszközigazolás Hozzáférés letiltása Android A Microsoft azt javasolja, hogy a Samsung Knox-eszközigazolási beállítást a Hozzáférés letiltása értékre konfigurálja, hogy a felhasználói fiók ne legyen hozzáférése, ha az eszköz nem felel meg a Samsung Knox eszközállapotának hardveralapú ellenőrzésének. Ez a beállítás ellenőrzi, hogy az Intune szolgáltatásnak küldött összes INTUNE MAM-ügyfél válasza kifogástalan állapotú eszközről lett-e elküldve.

Ez a beállítás az összes megcélzott eszközre vonatkozik. Ha ezt a beállítást csak Samsung-eszközökre szeretné alkalmazni, használhat "Felügyelt alkalmazások" hozzárendelési szűrőket. A hozzárendelési szűrőkkel kapcsolatos további információkért lásd: Szűrők használata az alkalmazások, szabályzatok és profilok hozzárendelésekor Microsoft Intune.

Alkalmazásfeltételek Offline türelmi időszak 30 / Adatok törlése (nap) iOS/iPadOS, Android, Windows

Megjegyzés:

A Windows feltételes indítási beállításai állapot-ellenőrzések címkével vannak ellátva.

3. szintű nagyvállalati szintű magas szintű adatvédelem

A 3. szint a nagy és kifinomult biztonsági szervezetekkel rendelkező szervezetek, illetve a támadók által egyedileg megcélzott konkrét felhasználók és csoportok számára ajánlott adatvédelmi konfiguráció. Az ilyen szervezeteket általában jól finanszírozott és kifinomult támadók irányítják, és mint ilyenek, a leírt további korlátozásokra és ellenőrzésekre is érdemesek. Ez a konfiguráció további adatátviteli forgatókönyvek korlátozásával, a PIN-kód konfigurációjának összetettségének növelésével és a mobil fenyegetésészlelés hozzáadásával bővül a 2. szinten lévő konfigurációval.

Fontos

A 3. szinten kikényszerített szabályzatbeállítások tartalmazzák a 2. szinthez ajánlott összes házirend-beállítást, de csak azokat a beállításokat sorolja fel, amelyeket a 2. szintnél kifinomultabb vezérlők és kifinomultabb konfiguráció megvalósítása érdekében adtak hozzá vagy módosítottak. Ezek a szabályzatbeállítások potenciálisan jelentős hatással lehetnek a felhasználókra vagy az alkalmazásokra, és olyan biztonsági szintet kényszerítenek ki, amely megfelel a megcélzott szervezeteket érintő kockázatoknak.

Adatvédelem

Beállítás Beállítás leírása Érték Platform Megjegyzések:
Adatátvitel Távközlési adatok átvitele a Bármely szabályzattal felügyelt tárcsázó alkalmazás Android A rendszergazdák úgy is konfigurálhatják ezt a beállítást, hogy olyan tárcsázóalkalmazást használjanak, amely nem támogatja az alkalmazásvédelmi szabályzatokat. Ehhez válassza az Egy adott tárcsázóalkalmazás lehetőséget, és adja meg a tárcsázó alkalmazáscsomag-azonosítóját és a tárcsázó alkalmazásnév értékeit.
Adatátvitel Távközlési adatok átvitele a Egy adott tárcsázóalkalmazás iOS/iPadOS
Adatátvitel Tárcsázó alkalmazás URL-sémája replace_with_dialer_app_url_scheme iOS/iPadOS iOS/iPadOS rendszeren ezt az értéket a használt egyéni tárcsázóalkalmazás URL-sémájára kell cserélni. Ha az URL-séma nem ismert, további információért forduljon az alkalmazás fejlesztőjének. További információ az URL-sémákról: Egyéni URL-séma meghatározása az alkalmazáshoz.
Adatátvitel Adatok fogadása más alkalmazásokból Szabályzattal felügyelt alkalmazások iOS/iPadOS, Android
Adatátvitel Adatok megnyitása szervezeti dokumentumokba Letiltás iOS/iPadOS, Android
Adatátvitel A felhasználók megnyithatják a kijelölt szolgáltatásokból származó adatokat OneDrive Vállalati verzió, SharePoint, Kamera, Fényképtár iOS/iPadOS, Android További információ: Androidos alkalmazásvédelmi szabályzat beállításai és iOS-alkalmazásvédelmi szabályzat beállításai.
Adatátvitel Külső billentyűzetek Letiltás iOS/iPadOS iOS/iPadOS rendszeren ez letiltja az összes külső billentyűzet működését az alkalmazásban.
Adatátvitel Jóváhagyott billentyűzetek Kíván Android
Adatátvitel A jóváhagyandó billentyűzetek kiválasztása billentyűzetek hozzáadása/eltávolítása Android Android esetén a billentyűzeteket ki kell választani ahhoz, hogy az üzembe helyezett Android-eszközök alapján lehessen használni.
Funkcionalitás Szervezeti adatok nyomtatása Letiltás iOS/iPadOS, Android, Windows

Hozzáférési követelmények

Beállítás Érték Platform
Egyszerű PIN-kód Letiltás iOS/iPadOS, Android
A PIN-kód minimális hosszának kiválasztása 6 iOS/iPadOS, Android
PIN-kód alaphelyzetbe állítása ennyi nap után Igen iOS/iPadOS, Android
Napok száma 365 iOS/iPadOS, Android
Class 3 Biometrics (Android 9.0+) Kíván Android
Biometrikus adatok felülbírálása PIN-kóddal a biometrikus frissítések után Kíván Android

Feltételes indítás

Beállítás Beállítás leírása Érték/művelet Platform Megjegyzések:
Eszközfeltételek Eszközzárolás megkövetelése Magas/letiltott hozzáférés Android Ez a beállítás biztosítja, hogy az Android-eszközök rendelkezzenek olyan eszközjelszóval, amely megfelel a minimális jelszókövetelményeknek.
Eszközfeltételek Engedélyezett eszközfenyegetések maximális szintje Biztonságos/ Hozzáférés letiltása A Windows
Eszközfeltételek Feltört/feltört eszközök N/A / Adatok törlése iOS/iPadOS, Android
Eszközfeltételek Maximálisan engedélyezett fenyegetésszint Biztonságos/ Hozzáférés letiltása iOS/iPadOS, Android

A nem regisztrált eszközök a Mobile Threat Defense használatával ellenőrizhetők. További információ: Mobile Threat Defense nem regisztrált eszközökhöz.

Ha az eszköz regisztrálva van, ez a beállítás kihagyható a Mobile Threat Defense regisztrált eszközökhöz való telepítése mellett. További információ: Mobile Threat Defense regisztrált eszközökhöz.

Eszközfeltételek Operációs rendszer maximális verziója Formátum: Főverzió.Alverzió
Példa: 11.0
/ Hozzáférés letiltása
Android A Microsoft azt javasolja, hogy konfigurálja az Android maximális főverzióját, hogy az operációs rendszer bétaverziós vagy nem támogatott verziói ne legyenek használatban. Lásd: Android Enterprise – Ajánlott követelmények az Android legújabb javaslataihoz
Eszközfeltételek Operációs rendszer maximális verziója Formátum: Major.Minor.Build
Példa: 15.0
/Hozzáférés letiltása
iOS/iPadOS A Microsoft javasolja a maximális iOS/iPadOS főverzió konfigurálását, hogy az operációs rendszer bétaverziós vagy nem támogatott verziói ne legyenek használatban. Az Apple legújabb javaslatait az Apple biztonsági frissítéseivel foglalkozó cikkben találja
Eszközfeltételek Operációs rendszer maximális verziója Formátum: Főverzió.Alverzió
Példa: 22631.
/ Hozzáférés letiltása
A Windows A Microsoft a Windows főverziójának maximális beállítását javasolja annak érdekében, hogy az operációs rendszer bétaverziós vagy nem támogatott verziói ne legyenek használatban.
Eszközfeltételek Samsung Knox-eszközigazolás Adatok törlése Android A Microsoft azt javasolja, hogy konfigurálja a Samsung Knox-eszközigazolási beállítást Az adatok törlése értékre, hogy a szervezeti adatok törlődjenek, ha az eszköz nem felel meg a Samsung Knox hardveralapú eszközállapot-ellenőrzésének. Ez a beállítás ellenőrzi, hogy az Intune szolgáltatásnak küldött összes INTUNE MAM-ügyfél válasza kifogástalan állapotú eszközről lett-e elküldve.

Ez a beállítás az összes megcélzott eszközre érvényes lesz. Ha ezt a beállítást csak Samsung-eszközökre szeretné alkalmazni, használhat "Felügyelt alkalmazások" hozzárendelési szűrőket. A hozzárendelési szűrőkkel kapcsolatos további információkért lásd: Szűrők használata az alkalmazások, szabályzatok és profilok hozzárendelésekor Microsoft Intune.

Alkalmazásfeltételek Offline türelmi időszak 30 / Hozzáférés letiltása (nap) iOS/iPadOS, Android, Windows

Következő lépések

A rendszergazdák a fenti konfigurációs szinteket beépíthetik a köralapú üzembehelyezési módszertanukba tesztelési és éles használat céljából, ha importálják Intune App Protection Policy Configuration Framework JSON-sablonjaitIntune PowerShell-szkriptjeivel.

Lásd még