Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ahogy egyre több szervezet valósít meg mobileszköz-stratégiákat a munkahelyi vagy iskolai adatokhoz való hozzáféréshez, az adatszivárgás elleni védelem alapvető fontosságúvá válik. Intune mobilalkalmazás-kezelési megoldása az adatszivárgás elleni védelemre az alkalmazásvédelmi szabályzatok. Ezek a szabályzatok olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságban legyenek vagy egy felügyelt alkalmazásban legyenek tárolva, függetlenül attól, hogy az eszköz regisztrálva van-e. További információ: Alkalmazásvédelem szabályzatok áttekintése.
Az alkalmazásvédelmi szabályzatok konfigurálásakor a különböző beállítások és beállítások száma lehetővé teszi a szervezetek számára, hogy a védelmet a saját igényeiknek megfelelően alakítsák. Emiatt a rugalmasság miatt előfordulhat, hogy nem egyértelmű, hogy a szabályzatbeállítások mely variációja szükséges egy teljes forgatókönyv implementálásához. Annak érdekében, hogy a szervezetek előnyben részesítsék az ügyfélvégpontok korlátozására irányuló törekvéseket, a Microsoft új osztályozást vezetett be a Windows biztonsági konfigurációihoz, és Intune hasonló osztályozást alkalmaz az alkalmazásvédelmi szabályzatok adatvédelmi keretrendszeréhez a mobilalkalmazás-felügyelethez.
Az alkalmazásvédelmi szabályzatok adatvédelmi konfigurációs keretrendszere három különböző konfigurációs forgatókönyvbe van rendezve:
1. szintű vállalati alapszintű adatvédelem – A Microsoft ezt a konfigurációt javasolja a vállalati eszközök minimális adatvédelmi konfigurációjaként.
2. szintű, nagyvállalati szintű fokozott adatvédelem – A Microsoft ezt a konfigurációt olyan eszközökhöz javasolja, amelyeken a felhasználók bizalmas vagy bizalmas információkhoz férnek hozzá. Ez a konfiguráció a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére vonatkozik. Egyes vezérlők hatással lehetnek a felhasználói élményre.
3. szintű nagyvállalati szintű magas szintű adatvédelem – A Microsoft ezt a konfigurációt egy nagyobb vagy kifinomultabb biztonsági csapattal rendelkező szervezet által futtatott eszközökhöz, illetve az egyedileg magas kockázatú felhasználókhoz vagy csoportokhoz javasolja (olyan felhasználók számára, akik rendkívül bizalmas adatokat kezelnek, ha a jogosulatlan közzététel jelentős anyagi veszteséget okoz a szervezet számára). Egy jól finanszírozott és kifinomult támadók által megcélzott szervezetnek erre a konfigurációra kell törekednie.
Alkalmazásvédelem szabályzatok adatvédelmi keretrendszerének üzembehelyezési módszertana
Az új szoftverek, funkciók vagy beállítások üzembe helyezéséhez hasonlóan a Microsoft azt javasolja, hogy az alkalmazásvédelmi szabályzatok adatvédelmi keretrendszerének üzembe helyezése előtt a tesztelésre szolgáló általános módszertanba fektetjen be. Az üzembehelyezési körök meghatározása általában egyszeri esemény (vagy legalábbis ritkán), de az informatikai rendszernek újra meg kell látogatnia ezeket a csoportokat, hogy meggyőződjön arról, hogy a sorrend továbbra is megfelelő.
A Microsoft az alkalmazásvédelmi szabályzatok adatvédelmi keretrendszeréhez a következő üzembehelyezési kör megközelítést javasolja:
| Üzembe helyezési kör | Bérlő | Értékelési csapatok | Kimenet | Idővonal |
|---|---|---|---|---|
| Minőségbiztosítás | Üzem előtti bérlő | Mobilképesség-tulajdonosok, Biztonság, Kockázatértékelés, Adatvédelem, UX | Működési forgatókönyv ellenőrzése, dokumentáció piszkozata | 0–30 nap |
| Előzetes verzió | Éles üzem bérlője | Mobilképesség-tulajdonosok, UX | Végfelhasználói forgatókönyv ellenőrzése, felhasználói dokumentáció | 7–14 nap, minőségbiztosítást követően |
| Éles üzem | Éles üzem bérlője | Mobilképesség-tulajdonosok, IT-ügyfélszolgálat | – | 7 nap – több hét, előzetes verziót követően |
Ahogy a fenti táblázat is mutatja, az alkalmazásvédelmi szabályzatok minden módosítását először egy üzem előtti környezetben kell végrehajtani, hogy megértse a szabályzatbeállítás következményeit. A tesztelés befejezése után a módosítások éles környezetbe helyezhetők át, és az éles felhasználók egy részhalmazára alkalmazhatók, általában az informatikai részlegre és más alkalmazható csoportokra. Végül pedig a bevezetés a mobilfelhasználói közösség többi részén is elvégezhető. Az éles környezetben történő bevezetés hosszabb időt vehet igénybe a változásra gyakorolt hatás mértékétől függően. Ha nincs hatással a felhasználóra, a módosításnak gyorsan el kell indulnia, míg ha a módosítás felhasználói hatást eredményez, előfordulhat, hogy a bevezetésnek lassabban kell haladnia, mert a változásoknak kommunikálniuk kell a felhasználói populációval.
Az alkalmazásvédelmi szabályzat módosításainak tesztelésekor vegye figyelembe a kézbesítés időzítését. Egy adott felhasználó alkalmazásvédelmi szabályzatainak kézbesítési állapota monitorozásra kerül. További információ: Alkalmazásvédelmi szabályzatok monitorozása.
Az egyes alkalmazások egyedi alkalmazásvédelmi szabályzatbeállításai a Microsoft Edge-et használó eszközökön és az intunehelp URL-címen ellenőrizhetők. További információ: Ügyfélalkalmazás-védelmi naplók áttekintése és A Microsoft Edge használata iOS-hez és Androidhoz a felügyelt alkalmazásnaplók eléréséhez.
szabályzatok Alkalmazásvédelem adatvédelmi keretrendszer beállításai
A következő alkalmazásvédelmi házirend-beállításokat engedélyezni kell a megfelelő alkalmazásokhoz, és hozzá kell rendelni az összes mobilfelhasználóhoz. Az egyes házirend-beállításokkal kapcsolatos további információkért lásd: iOS-alkalmazásvédelmi házirend-beállítások és Android-alkalmazásvédelmi szabályzat beállításai.
A Microsoft azt javasolja, hogy tekintse át és kategorizálja a használati forgatókönyveket, majd konfigurálja a felhasználókat az ehhez a szinthez tartozó előíró útmutatóval. Mint minden keretrendszer esetében, a megfelelő szinten belüli beállításokat is módosítani kell a szervezet igényei alapján, mivel az adatvédelemnek ki kell értékelnie a fenyegetési környezetet, a kockázatvállalást és a használhatóságot.
A rendszergazdák az alábbi konfigurációs szinteket beépíthetik a köralapú üzembehelyezési módszertanukba tesztelési és éles használatra, ha importálják Intune Alkalmazásvédelmi szabályzatkonfigurációs keretrendszer JSON-sablonjait Intune PowerShell-szkriptjeivel.
Megjegyzés:
A Mam for Windows használata esetén lásd: Alkalmazásvédelem windowsos szabályzatbeállítások.
Feltételes hozzáférési szabályzatok
Annak biztosításához, hogy csak az alkalmazásvédelmi szabályzatokat támogató alkalmazások férhessenek hozzá a munkahelyi vagy iskolai fiókadatokhoz, Microsoft Entra feltételes hozzáférési szabályzatokra van szükség. Ezeket a házirendeket a Feltételes hozzáférés: Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi házirend megkövetelése című cikkben ismertetjük.
Az adott szabályzatok implementálásának lépéseiért lásd: Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzat megkövetelése mobileszközökkel: Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzat megkövetelése. Végül implementálja az Örökölt hitelesítés letiltása című cikk lépéseit az örökölt hitelesítésre képes iOS- és Android-alkalmazások letiltásához.
Megjegyzés:
Ezek a szabályzatok a Jóváhagyott ügyfélalkalmazás megkövetelése és az Alkalmazásvédelmi szabályzat megkövetelése engedélyezési vezérlőket használják.
Az alkalmazásvédelmi szabályzatokba belefoglalandó alkalmazások
Az egyes alkalmazásvédelmi szabályzatok esetében a Core Microsoft Apps csoport van megcélzva, amely a következő alkalmazásokat tartalmazza:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- To Do
- Word
A szabályzatoknak tartalmazniuk kell az üzleti igényen alapuló egyéb Microsoft-alkalmazásokat, a szervezeten belül használt Intune SDK-t integráló további külső nyilvános alkalmazásokat, valamint azokat az üzletági alkalmazásokat, amelyek integrálták a Intune SDK-t (vagy be vannak csomagolva).
1. szintű vállalati alapszintű adatvédelem
Az 1. szint a vállalati mobileszköz minimális adatvédelmi konfigurációja. Ez a konfiguráció felváltja az alapvető Exchange Online eszközhozzáférési szabályzatok szükségességét azáltal, hogy PIN-kódot kér a munkahelyi vagy iskolai adatok eléréséhez, titkosítja a munkahelyi vagy iskolai fiók adatait, és lehetővé teszi az iskolai vagy munkahelyi adatok szelektív törlését. A Exchange Online eszközhozzáférési szabályzatoktól eltérően azonban az alábbi alkalmazásvédelmi házirend-beállítások a szabályzatban kiválasztott összes alkalmazásra érvényesek, így biztosítva az adathozzáférés védelmét a mobilüzenet-küldési forgatókönyveken túl.
Az 1. szintű szabályzatok ésszerű adathozzáférési szintet követelnek meg, ugyanakkor minimalizálják a felhasználókra gyakorolt hatást, és tükrözik az alapértelmezett adatvédelmi és hozzáférési követelmények beállításait, amikor alkalmazásvédelmi szabályzatot hoznak létre Microsoft Intune.
Adatvédelem
| Beállítás | Beállítás leírása | Érték | Platform |
|---|---|---|---|
| Adatátvitel | Szervezeti adatok biztonsági mentése... | Engedélyezés | iOS/iPadOS, Android |
| Adatátvitel | Szervezeti adatok küldése más alkalmazásoknak | Minden alkalmazás | iOS/iPadOS, Android |
| Adatátvitel | Szervezeti adatok küldése ide: | Minden célhely | A Windows |
| Adatátvitel | Adatok fogadása más alkalmazásokból | Minden alkalmazás | iOS/iPadOS, Android |
| Adatátvitel | Adatok fogadása innen: | Minden forrás | A Windows |
| Adatátvitel | Kivágás, másolás és beillesztés korlátozása alkalmazások között | Bármely alkalmazás | iOS/iPadOS, Android |
| Adatátvitel | Kivágás, másolás és beillesztés engedélyezése a következőhöz: | Bármely célhely és bármely forrás | A Windows |
| Adatátvitel | Külső billentyűzetek | Engedélyezés | iOS/iPadOS |
| Adatátvitel | Jóváhagyott billentyűzetek | Nem kötelező | Android |
| Adatátvitel | Képernyőfelvétel és Google Assistant | Engedélyezés | Android |
| Titkosítás | Szervezeti adatok titkosítása | Igényel | iOS/iPadOS, Android |
| Titkosítás | Szervezeti adatok titkosítása regisztrált eszközökön | Igényel | Android |
| Funkcionalitás | Alkalmazás szinkronizálása natív névjegyekkel alkalmazással | Engedélyezés | iOS/iPadOS, Android |
| Funkcionalitás | Szervezeti adatok nyomtatása | Engedélyezés | iOS/iPadOS, Android, Windows |
| Funkcionalitás | Webes tartalom átvitelének korlátozása más alkalmazásokkal | Bármely alkalmazás | iOS/iPadOS, Android |
| Funkcionalitás | Szervezeti adatértesítések | Engedélyezés | iOS/iPadOS, Android |
Hozzáférési követelmények
| Beállítás | Érték | Platform | Megjegyzések: |
|---|---|---|---|
| PIN-kód a hozzáféréshez | Igényel | iOS/iPadOS, Android | |
| PIN-kód típusa | Numerikus | iOS/iPadOS, Android | |
| Egyszerű PIN-kód | Engedélyezés | iOS/iPadOS, Android | |
| A PIN-kód minimális hosszának kiválasztása | 4 | iOS/iPadOS, Android | |
| Érintéses azonosító PIN-kód helyett hozzáféréshez (iOS 8+/iPadOS) | Engedélyezés | iOS/iPadOS | |
| Biometrikus adatok felülbírálása PIN-kóddal időtúllépés után | Igényel | iOS/iPadOS, Android | |
| Időtúllépés (percnyi tevékenység) | 1440 | iOS/iPadOS, Android | |
| Arcazonosító PIN-kód helyett hozzáféréshez (iOS 11+/iPadOS) | Engedélyezés | iOS/iPadOS | |
| Biometrikus pin-kód helyett hozzáféréshez | Engedélyezés | iOS/iPadOS, Android | |
| PIN-kód alaphelyzetbe állítása ennyi nap után | Nem | iOS/iPadOS, Android | |
| A megtartandó korábbi PIN-kódértékek számának kiválasztása | 0 | Android | |
| Alkalmazás PIN-kódja az eszköz PIN-kód beállításakor | Igényel | iOS/iPadOS, Android | Ha az eszköz regisztrálva van Intune, a rendszergazdák "Nem kötelező" értékre állíthatják, ha erős eszköz PIN-kódot kényszerítenek ki egy eszközmegfelelőségi szabályzaton keresztül. |
| Munkahelyi vagy iskolai fiók hitelesítő adatai a hozzáféréshez | Nem kötelező | iOS/iPadOS, Android | |
| A hozzáférési követelmények ismételt ellenőrzése (perc inaktivitás után) | 30 | iOS/iPadOS, Android |
Feltételes indítás
| Beállítás | Beállítás leírása | Érték/művelet | Platform | Megjegyzések: |
|---|---|---|---|---|
| Alkalmazásfeltételek | PIN-kódra tett kísérletek maximális kihasználása | 5 / PIN-kód alaphelyzetbe állítása | iOS/iPadOS, Android | |
| Alkalmazásfeltételek | Offline türelmi időszak | 10080 / Hozzáférés letiltása (perc) | iOS/iPadOS, Android, Windows | |
| Alkalmazásfeltételek | Offline türelmi időszak | 90 / Adatok törlése (nap) | iOS/iPadOS, Android, Windows | |
| Eszközfeltételek | Feltört/feltört eszközök | N/A/ Hozzáférés letiltása | iOS/iPadOS, Android | |
| Eszközfeltételek | SafetyNet-eszközigazolás | Alapszintű integritás és minősített eszközök /Hozzáférés letiltása | Android | Ez a beállítás konfigurálja a Google Play eszközintegritási ellenőrzését a végfelhasználói eszközökön. Az alapszintű integritás ellenőrzi az eszköz integritását. A feltört eszközök, emulátorok, virtuális eszközök és illetéktelen módosításra utaló jeleket tartalmazó eszközök alapvető integritása meghiúsul. Az alapszintű integritás és a minősített eszközök ellenőrzik az eszköz és a Google szolgáltatásainak kompatibilitását. Ezt az ellenőrzést csak a Google által hitelesített, nem módosított eszközök tudják átadni. |
| Eszközfeltételek | Veszélyforrás-vizsgálat megkövetelése alkalmazásokon | N/A/ Hozzáférés letiltása | Android | Ez a beállítás biztosítja, hogy a Google Alkalmazások ellenőrzése vizsgálata be legyen kapcsolva a végfelhasználói eszközökön. Ha konfigurálva van, a rendszer letiltja a végfelhasználó hozzáférését, amíg be nem kapcsolja a Google alkalmazáskeresését az Android-eszközén. |
| Eszközfeltételek | Engedélyezett eszközfenyegetések maximális szintje | Alacsony / Hozzáférés letiltása | A Windows | |
| Eszközfeltételek | Eszközzárolás megkövetelése | Alacsony/figyelmeztetés | Android | Ez a beállítás biztosítja, hogy az Android-eszközök rendelkezzenek olyan eszközjelszóval, amely megfelel a minimális jelszókövetelményeknek. |
Megjegyzés:
A Windows feltételes indítási beállításai állapot-ellenőrzések címkével vannak ellátva.
2. szintű nagyvállalati továbbfejlesztett adatvédelem
A 2. szint az adatvédelmi konfiguráció ajánlott szabványként azokhoz az eszközökhöz, amelyeken a felhasználók bizalmasabb információkhoz férnek hozzá. Ezek az eszközök ma a nagyvállalatok természetes célpontja. Ezek a javaslatok nem feltételezik a magasan képzett biztonsági szakemberek nagy létszámú személyzetét, ezért a legtöbb vállalati szervezet számára elérhetőnek kell lenniük. Ez a konfiguráció az 1. szinten lévő konfigurációra bővül. Korlátozza az adatátviteli forgatókönyveket, és minimális operációsrendszer-verziót igényel.
Fontos
A 2. szinten kikényszerített szabályzatbeállítások tartalmazzák az 1. szinthez ajánlott összes házirend-beállítást. A 2. szint azonban csak azokat a beállításokat sorolja fel, amelyeket hozzáadtak vagy módosítottak, hogy több vezérlőt és kifinomultabb konfigurációt implementáljanak, mint az 1. szint. Ezek a beállítások kissé nagyobb hatással lehetnek a felhasználókra vagy az alkalmazásokra. Olyan szintű adatvédelmet kényszerítenek ki, amely közelebb áll ahhoz a kockázathoz, amelyet a felhasználók a mobileszközök bizalmas adataihoz való hozzáféréssel szembesülnek.
Adatvédelem
| Beállítás | Beállítás leírása | Érték | Platform | Megjegyzések: |
|---|---|---|---|---|
| Adatátvitel | Szervezeti adatok biztonsági mentése... | Letiltás | iOS/iPadOS, Android | |
| Adatátvitel | Szervezeti adatok küldése más alkalmazásoknak | Szabályzattal felügyelt alkalmazások | iOS/iPadOS, Android | Az iOS/iPadOS rendszerben a rendszergazdák konfigurálhatják ezt az értéket "Szabályzattal felügyelt alkalmazások", "Szabályzattal felügyelt alkalmazások operációs rendszer megosztásával" vagy "Szabályzattal felügyelt alkalmazások megnyitási/megosztási szűréssel" értékre. Az operációs rendszer megosztásával rendelkező szabályzattal felügyelt alkalmazások akkor érhetők el, ha az eszköz Intune is regisztrálva van. Ez a beállítás lehetővé teszi az adatátvitelt más szabályzattal felügyelt alkalmazásokba, valamint fájlátvitelt a Intune által felügyelt más alkalmazásokba. A Szabályzattal felügyelt alkalmazások megnyitási/megosztási szűréssel szűrik az operációs rendszer Megnyitás/Megosztás párbeszédpaneljét, hogy csak a szabályzattal felügyelt alkalmazásokat jelenítsen meg. További információ: iOS-alkalmazásvédelmi szabályzat beállításai. |
| Adatátvitel | Küldés vagy adatok küldése ide: | Nincsenek célhelyek | A Windows | |
| Adatátvitel | Adatok fogadása innen: | Nincsenek források | A Windows | |
| Adatátvitel | Kivételt képező alkalmazások kiválasztása | Alapértelmezett /skype; alkalmazásbeállítások; calshow; itms; itmss; itms-apps; itms-apps; itms-services; | iOS/iPadOS | |
| Adatátvitel | Szervezeti adatok másolatainak mentése | Letiltás | iOS/iPadOS, Android | |
| Adatátvitel | Másolatok mentésének engedélyezése a felhasználók számára a kijelölt szolgáltatásokba | OneDrive Vállalati verzió, SharePoint, fényképtár | iOS/iPadOS, Android | |
| Adatátvitel | Távközlési adatok átvitele a | Bármely tárcsázóalkalmazás | iOS/iPadOS, Android | |
| Adatátvitel | Kivágás, másolás és beillesztés korlátozása alkalmazások között | Szabályzattal felügyelt alkalmazások beillesztéssel | iOS/iPadOS, Android | |
| Adatátvitel | Kivágás, másolás és beillesztés engedélyezése a következőhöz: | Nincs cél vagy forrás | A Windows | |
| Adatátvitel | Képernyőfelvétel és Google Assistant | Letiltás | Android | |
| Funkcionalitás | Webes tartalom átvitelének korlátozása más alkalmazásokkal | Microsoft Edge | iOS/iPadOS, Android | |
| Funkcionalitás | Szervezeti adatértesítések | Szervezeti adatok blokkolása | iOS/iPadOS, Android | Az ezt a beállítást támogató alkalmazások listáját az iOS-alkalmazásvédelmi szabályzat beállításai és az Android-alkalmazásvédelmi szabályzat beállításai című témakörben találja. |
Feltételes indítás
| Beállítás | Beállítás leírása | Érték/művelet | Platform | Megjegyzések: |
|---|---|---|---|---|
| Alkalmazásfeltételek | Letiltott fiók | N/A/ Hozzáférés letiltása | iOS/iPadOS, Android, Windows | |
| Alkalmazásfeltételek | Offline türelmi időszak | 30 / Adatok törlése (nap) | iOS/iPadOS, Android, Windows | |
| Eszközfeltételek | Operációs rendszer minimális verziója |
Formátum: Major.Minor.Build Példa: 14.8 / Hozzáférés letiltása |
iOS/iPadOS | A Microsoft azt javasolja, hogy az iOS minimális főverzióját úgy konfigurálja, hogy megfeleljen a Microsoft-alkalmazások támogatott iOS-verzióinak. A Microsoft-alkalmazások támogatják az N-1 megközelítést, ahol az N az iOS jelenlegi főverziója. Az alverziók és a buildverziók értékei esetében a Microsoft azt javasolja, hogy az eszközök naprakészek legyenek a megfelelő biztonsági frissítésekkel. Az Apple legújabb javaslatait az Apple biztonsági frissítéseivel foglalkozó cikkben találja |
| Eszközfeltételek | Operációs rendszer minimális verziója |
Formátum: Főverzió.Alverzió Példa: 9.0 / Hozzáférés letiltása |
Android | A Microsoft azt javasolja, hogy konfigurálja az Android minimális főverzióját a Microsoft-alkalmazások által támogatott Android-verzióknak megfelelően. Az Android Enterprise által ajánlott követelményeknek megfelelő OEM-eknek és eszközöknek támogatniuk kell a jelenlegi szállítási kiadást és egybetűs frissítést. Az Android jelenleg az Android 9.0-s és újabb verzióit javasolja tudástári dolgozóknak. Lásd: Android Enterprise – Ajánlott követelmények az Android legújabb javaslataihoz |
| Eszközfeltételek | Operációs rendszer minimális verziója |
Formátum: Build Például: 10.0.26200.6899 / Hozzáférés letiltása |
A Windows | A Microsoft azt javasolja, hogy konfigurálja a Minimális Windows-buildet, hogy megfeleljen a Microsoft-alkalmazások támogatott Windows-verzióinak. A Microsoft jelenleg a következő buildet javasolja:
|
| Eszközfeltételek | Minimális javításverzió |
Formátum: ÉÉÉÉ-HH-NN Példa: 2020-01-01 / Hozzáférés letiltása |
Android | Az Android-eszközök havi biztonsági javításokat kaphatnak, de a kiadás az OEM-ektől és/vagy a szolgáltatóktól függ. A beállítás implementálása előtt a szervezeteknek gondoskodniuk kell arról, hogy az üzembe helyezett Android-eszközök megkapják a biztonsági frissítéseket. A legújabb javításkiadásokról az Android biztonsági közleményei című témakörben olvashat. |
| Eszközfeltételek | Kötelező SafetyNet-kiértékelési típus | Hardveralapú kulcs | Android | A hardveralapú igazolás egy új hardveralapú kiértékelési típus alkalmazásával javítja a Google Play Integrity szolgáltatásának ellenőrzését. Erősebb gyökérfelismerést biztosít az újabb gyökerező eszközök és technikák kezeléséhez, amelyeket a csak szoftveres megoldások nem feltétlenül azonosíthatnak megbízhatóan. Ahogy a neve is mutatja, a hardveralapú igazolás egy hardveralapú összetevőt használ, amelyet az Android 8.1-et vagy újabb verziót futtató eszközökkel szállítottak. Az Android régebbi verziójáról Android 8.1-re frissített eszközök nem valószínű, hogy rendelkeznek a hardveralapú igazoláshoz szükséges hardveralapú összetevőkkel. Bár ezt a beállítást széles körben támogatni kell az Android 8.1-et tartalmazó eszközöktől kezdve, a Microsoft határozottan javasolja az eszközök egyenkénti tesztelését, mielőtt széles körben engedélyeznénk ezt a házirend-beállítást. |
| Eszközfeltételek | Eszközzárolás megkövetelése | Közepes/letiltott hozzáférés | Android | Ez a beállítás biztosítja, hogy az Android-eszközök rendelkezzenek olyan eszközjelszóval, amely megfelel a minimális jelszókövetelményeknek. |
| Eszközfeltételek | Samsung Knox-eszközigazolás | Hozzáférés letiltása | Android | A Microsoft azt javasolja, hogy a Samsung Knox-eszközigazolási beállítást a Hozzáférés letiltása értékre konfigurálja, hogy a felhasználói fiók ne legyen hozzáférése, ha az eszköz nem felel meg a Samsung Knox eszközállapotának hardveralapú ellenőrzésének. Ez a beállítás ellenőrzi, hogy az Intune szolgáltatásnak küldött összes INTUNE MAM-ügyfél válasza kifogástalan állapotú eszközről lett-e elküldve. Ez a beállítás az összes megcélzott eszközre vonatkozik. Ha ezt a beállítást csak Samsung-eszközökre szeretné alkalmazni, használhat "Felügyelt alkalmazások" hozzárendelési szűrőket. A hozzárendelési szűrőkkel kapcsolatos további információkért lásd: Szűrők használata az alkalmazások, szabályzatok és profilok hozzárendelésekor Microsoft Intune. |
Megjegyzés:
A Windows feltételes indítási beállításai állapot-ellenőrzések címkével vannak ellátva.
3. szintű nagyvállalati szintű magas szintű adatvédelem
A 3. szint a nagy és kifinomult biztonsági szervezetekkel rendelkező szervezetek, illetve a támadók által egyedileg megcélzott konkrét felhasználók és csoportok számára ajánlott adatvédelmi konfiguráció. Az ilyen szervezeteket általában jól finanszírozott és kifinomult támadók irányítják, és mint ilyenek, a leírt további korlátozásokra és ellenőrzésekre is érdemesek. Ez a konfiguráció további adatátviteli forgatókönyvek korlátozásával, a PIN-kód konfigurációjának összetettségének növelésével és a mobil fenyegetésészlelés hozzáadásával bővül a 2. szinten lévő konfigurációval.
Fontos
A 3. szinten kikényszerített szabályzatbeállítások tartalmazzák a 2. szinthez ajánlott összes házirend-beállítást, de csak azokat a beállításokat sorolja fel, amelyeket a 2. szintnél kifinomultabb vezérlők és kifinomultabb konfiguráció megvalósítása érdekében adtak hozzá vagy módosítottak. Ezek a szabályzatbeállítások potenciálisan jelentős hatással lehetnek a felhasználókra vagy az alkalmazásokra, és olyan biztonsági szintet kényszerítenek ki, amely megfelel a megcélzott szervezeteket érintő kockázatoknak.
Adatvédelem
| Beállítás | Beállítás leírása | Érték | Platform | Megjegyzések: |
|---|---|---|---|---|
| Adatátvitel | Távközlési adatok átvitele a | Bármely szabályzattal felügyelt tárcsázó alkalmazás | Android | A rendszergazdák úgy is konfigurálhatják ezt a beállítást, hogy olyan tárcsázóalkalmazást használjanak, amely nem támogatja az alkalmazásvédelmi szabályzatokat. Ehhez válassza az Egy adott tárcsázóalkalmazás lehetőséget, és adja meg a tárcsázó alkalmazáscsomag-azonosítóját és a tárcsázó alkalmazásnév értékeit. |
| Adatátvitel | Távközlési adatok átvitele a | Egy adott tárcsázóalkalmazás | iOS/iPadOS | |
| Adatátvitel | Tárcsázó alkalmazás URL-sémája | replace_with_dialer_app_url_scheme | iOS/iPadOS | iOS/iPadOS rendszeren ezt az értéket a használt egyéni tárcsázóalkalmazás URL-sémájára kell cserélni. Ha az URL-séma nem ismert, további információért forduljon az alkalmazás fejlesztőjének. További információ az URL-sémákról: Egyéni URL-séma meghatározása az alkalmazáshoz. |
| Adatátvitel | Adatok fogadása más alkalmazásokból | Szabályzattal felügyelt alkalmazások | iOS/iPadOS, Android | |
| Adatátvitel | Adatok megnyitása szervezeti dokumentumokba | Letiltás | iOS/iPadOS, Android | |
| Adatátvitel | A felhasználók megnyithatják a kijelölt szolgáltatásokból származó adatokat | OneDrive Vállalati verzió, SharePoint, Kamera, Fényképtár | iOS/iPadOS, Android | További információ: Androidos alkalmazásvédelmi szabályzat beállításai és iOS-alkalmazásvédelmi szabályzat beállításai. |
| Adatátvitel | Külső billentyűzetek | Letiltás | iOS/iPadOS | iOS/iPadOS rendszeren ez letiltja az összes külső billentyűzet működését az alkalmazásban. |
| Adatátvitel | Jóváhagyott billentyűzetek | Igényel | Android | |
| Adatátvitel | A jóváhagyandó billentyűzetek kiválasztása | billentyűzetek hozzáadása/eltávolítása | Android | Android esetén a billentyűzeteket ki kell választani ahhoz, hogy az üzembe helyezett Android-eszközök alapján lehessen használni. |
| Funkcionalitás | Szervezeti adatok nyomtatása | Letiltás | iOS/iPadOS, Android, Windows |
Hozzáférési követelmények
| Beállítás | Érték | Platform |
|---|---|---|
| Egyszerű PIN-kód | Letiltás | iOS/iPadOS, Android |
| A PIN-kód minimális hosszának kiválasztása | 6 | iOS/iPadOS, Android |
| PIN-kód alaphelyzetbe állítása ennyi nap után | Igen | iOS/iPadOS, Android |
| Napok száma | 365 | iOS/iPadOS, Android |
| Class 3 Biometrics (Android 9.0+) | Igényel | Android |
| Biometrikus adatok felülbírálása PIN-kóddal a biometrikus frissítések után | Igényel | Android |
Feltételes indítás
| Beállítás | Beállítás leírása | Érték/művelet | Platform | Megjegyzések: |
|---|---|---|---|---|
| Eszközfeltételek | Eszközzárolás megkövetelése | Magas/letiltott hozzáférés | Android | Ez a beállítás biztosítja, hogy az Android-eszközök rendelkezzenek olyan eszközjelszóval, amely megfelel a minimális jelszókövetelményeknek. |
| Eszközfeltételek | Engedélyezett eszközfenyegetések maximális szintje | Biztonságos/ Hozzáférés letiltása | A Windows | |
| Eszközfeltételek | Feltört/feltört eszközök | N/A / Adatok törlése | iOS/iPadOS, Android | |
| Eszközfeltételek | Maximálisan engedélyezett fenyegetésszint | Biztonságos/ Hozzáférés letiltása | iOS/iPadOS, Android | A nem regisztrált eszközök a Mobile Threat Defense használatával ellenőrizhetők. További információ: Mobile Threat Defense nem regisztrált eszközökhöz. Ha az eszköz regisztrálva van, ez a beállítás kihagyható a Mobile Threat Defense regisztrált eszközökhöz való telepítése mellett. További információ: Mobile Threat Defense regisztrált eszközökhöz. |
| Eszközfeltételek | Operációs rendszer maximális verziója |
Formátum: Főverzió.Alverzió Példa: 11.0 / Hozzáférés letiltása |
Android | A Microsoft azt javasolja, hogy konfigurálja az Android maximális főverzióját, hogy az operációs rendszer bétaverziós vagy nem támogatott verziói ne legyenek használatban. Lásd: Android Enterprise – Ajánlott követelmények az Android legújabb javaslataihoz |
| Eszközfeltételek | Operációs rendszer maximális verziója |
Formátum: Major.Minor.Build Példa: 15.0 /Hozzáférés letiltása |
iOS/iPadOS | A Microsoft javasolja a maximális iOS/iPadOS főverzió konfigurálását, hogy az operációs rendszer bétaverziós vagy nem támogatott verziói ne legyenek használatban. Az Apple legújabb javaslatait az Apple biztonsági frissítéseivel foglalkozó cikkben találja |
| Eszközfeltételek | Operációs rendszer maximális verziója |
Formátum: Főverzió.Alverzió Példa: 22631. / Hozzáférés letiltása |
A Windows | A Microsoft a Windows főverziójának maximális beállítását javasolja annak érdekében, hogy az operációs rendszer bétaverziós vagy nem támogatott verziói ne legyenek használatban. |
| Eszközfeltételek | Samsung Knox-eszközigazolás | Adatok törlése | Android | A Microsoft azt javasolja, hogy konfigurálja a Samsung Knox-eszközigazolási beállítást Az adatok törlése értékre, hogy a szervezeti adatok törlődjenek, ha az eszköz nem felel meg a Samsung Knox hardveralapú eszközállapot-ellenőrzésének. Ez a beállítás ellenőrzi, hogy az Intune szolgáltatásnak küldött összes INTUNE MAM-ügyfél válasza kifogástalan állapotú eszközről lett-e elküldve. Ez a beállítás az összes megcélzott eszközre érvényes lesz. Ha ezt a beállítást csak Samsung-eszközökre szeretné alkalmazni, használhat "Felügyelt alkalmazások" hozzárendelési szűrőket. A hozzárendelési szűrőkkel kapcsolatos további információkért lásd: Szűrők használata az alkalmazások, szabályzatok és profilok hozzárendelésekor Microsoft Intune. |
Következő lépések
A rendszergazdák a fenti konfigurációs szinteket beépíthetik a köralapú üzembehelyezési módszertanukba tesztelési és éles használatra, ha importálják Intune App Protection Policy Configuration Framework JSON-sablonjait Intune PowerShell-szkriptjeivel.