2. lépés – Alkalmazások hozzáadása, konfigurálása és védelme az Intune-nal

  • Cikk

Az Intune üzembe helyezésekor a következő lépés a szervezeti adatokhoz hozzáférő alkalmazások hozzáadása és védelme.

A Microsoft Intune használatának első lépéseit bemutató ábra a 2. lépéssel, amely az alkalmazások Microsoft Intune használatával történő hozzáadását és védelmét mutatja be.

A szervezet eszközein futó alkalmazások kezelése központi szerepet jelent a biztonságos és hatékony vállalati ökoszisztémában. A Microsoft Intune segítségével kezelheti a vállalata munkatársai által használt alkalmazásokat. Az alkalmazások kezelésével szabályozhatja, hogy a vállalat mely alkalmazásokat használja, valamint az alkalmazások konfigurálását és védelmét. Ezt a funkciót mobilalkalmazás-kezelésnek (MAM) nevezzük. A MAM az Intune-ban úgy lett kialakítva, hogy az alkalmazás szintjén védje a szervezeti adatokat, beleértve az egyéni alkalmazásokat és az áruházbeli alkalmazásokat is. Az alkalmazáskezelés a szervezet tulajdonában lévő eszközökön és személyes eszközökön használható. Ha személyes eszközökkel használják, a rendszer csak a szervezettel kapcsolatos hozzáférést és adatokat kezeli. Az ilyen típusú alkalmazásfelügyelet neve MAM regisztráció nélkül (MAM-WE), vagy végfelhasználói szempontból saját eszköz használata (BYOD).

MAM-konfigurációk

Ha korlátozás nélkül használják az alkalmazásokat, a vállalati és a személyes adatok nem lesznek korlátozva. A vállalati adatok olyan helyekre kerülhetnek, mint a személyes tárhely, vagy a purview-t meghaladó alkalmazásokba továbbíthatók, és adatvesztést okozhatnak. Az eszközregisztráció nélküli MAM vagy az Intune MDM + MAM használatának egyik fő oka a szervezet adatainak védelme.

Microsoft Intune két MAM-konfigurációt támogat:

MAM eszközkezelés nélkül

Ezzel a konfigurációval a szervezet alkalmazásait az Intune felügyelheti, de nem regisztrálja az Intune által felügyelni kívánt eszközöket. Ezt a konfigurációt gyakran MAM-nak nevezik eszközregisztráció nélkül, vagy MAM-WE-nek. A rendszergazdák a MAM használatával kezelhetik az alkalmazásokat az Intune konfigurációs és védelmi szabályzataival az Intune mobileszköz-felügyelettel (MDM) nem regisztrált eszközökön.

Megjegyzés:

Ez a konfiguráció magában foglalja az alkalmazások Intune-nal való kezelését külső nagyvállalati mobilitási felügyeleti (EMM-) szolgáltatókkal regisztrált eszközökön. Az Intune alkalmazásvédelmi szabályzatait az MDM-megoldásoktól függetlenül használhatja. Ez a függetlenség segít megvédeni cége adatait az eszközök eszközfelügyeleti megoldásban való regisztrálásával vagy anélkül. Az alkalmazásszintű szabályzatok implementálásával korlátozhatja a vállalati erőforrásokhoz való hozzáférést, és az adatokat az informatikai részlegen belül tarthatja.

A mobilalkalmazás-kezelés (MAM) ideális a szervezet tagjai által a személyes és a munkahelyi feladatokhoz használt mobileszközökön tárolt szervezeti adatok védelméhez. Miközben gondoskodik arról, hogy a szervezet tagjai produktívak legyenek, meg szeretné akadályozni az adatvesztést, a szándékos és véletlen adatvesztést. Emellett a nem Ön által felügyelt eszközökről elért vállalati adatokat is védeni szeretné. A MAM lehetővé teszi a szervezet adatainak kezelését és védelmét egy alkalmazásban.

Tipp

Számos hatékonyságnövelő alkalmazást, például a Microsoft Office-alkalmazásokat az Intune MAM felügyelhet. Tekintse meg a nyilvánosan elérhető Microsoft Intune védett alkalmazások hivatalos listáját.

Az MDM-megoldásban nem regisztrált BYOD-eszközök esetén az alkalmazásvédelmi szabályzatok segíthetnek a vállalati adatok alkalmazásszintű védelmében. Vannak azonban olyan korlátozások, amelyeket érdemes figyelembe venni, például:

  • Az eszközön nem telepíthet alkalmazásokat. A végfelhasználónak le kell szereznie az alkalmazásokat az áruházból.
  • Ezeken az eszközökön nem lehet tanúsítványprofilokat kiépíteni.
  • Ezeken az eszközökön nem építhet ki vállalati Wi-Fi és VPN-beállításokat.

További információ az Intune-beli alkalmazásvédelemről: Alkalmazásvédelem szabályzatok áttekintése.

MAM eszközfelügyelettel

Ez a konfiguráció lehetővé teszi a szervezet alkalmazásainak és eszközeinek kezelését. Ezt a konfigurációt gyakran MAM + MDM-nek nevezik. A rendszergazdák mam használatával kezelhetik az alkalmazásokat az Intune MDM-ben regisztrált eszközökön.

Az MDM a MAM mellett gondoskodik arról, hogy az eszköz védett legyen. Megkövetelhet például PIN-kódot az eszköz eléréséhez, vagy üzembe helyezhet felügyelt alkalmazásokat az eszközön. Az MDM-megoldáson keresztül alkalmazásokat is telepíthet az eszközökre, így jobban szabályozhatja az alkalmazáskezelést.

Az MDM alkalmazásvédelmi szabályzatokkal való használatának további előnyei vannak, és a vállalatok alkalmazásvédelmi szabályzatokat használhatnak MDM-ekkel és anélkül is. A szervezet egy tagja például rendelkezhet a vállalat által kiadott telefonnal és a saját személyes táblagépével is. A vállalati telefon regisztrálható az MDM-ben, és alkalmazásvédelmi szabályzatokkal védhető, míg a személyes eszközt csak alkalmazásvédelmi szabályzatok védik.

Az MDM-szolgáltatást használó regisztrált eszközökön az alkalmazásvédelmi szabályzatok további védelmi réteget adhatnak hozzá. Egy felhasználó például szervezeti hitelesítő adataival jelentkezik be egy eszközre. A szervezeti adatok használata során az alkalmazásvédelmi szabályzatok vezérlik az adatok mentésének és megosztásának módját. Amikor a felhasználók a személyes identitásukkal jelentkeznek be, a rendszer nem alkalmazza ezeket a védelmet (a hozzáférést és a korlátozásokat). Ily módon az informatikai részleg felügyeli a szervezeti adatokat, míg a végfelhasználók a személyes adataik feletti ellenőrzést és adatvédelmet tartják fenn.

Az MDM-megoldás az alábbiak megadásával ad értéket:

  • Regisztrálja az eszközt
  • Az alkalmazások központi telepítése az eszközön
  • Folyamatos eszközmegfelelést és -felügyeletet biztosít

A Alkalmazásvédelem szabályzatok az alábbiak megadásával adnak értéket:

  • A vállalati adatok fogyasztói alkalmazásokba és szolgáltatásokba való kiszivárgásának védelme
  • Korlátozások, például mentés másként, vágólap vagy PIN-kód alkalmazása az ügyfélalkalmazásokra
  • Ha szükséges, törölje a vállalati adatokat az alkalmazásokból anélkül, hogy eltávolítaná ezeket az alkalmazásokat az eszközről

A MAM előnyei az Intune-nal

Ha az alkalmazásokat az Intune-ban felügyelik, a rendszergazdák a következőket tehetik:

  • A vállalati adatok védelme az alkalmazás szintjén. Mobilalkalmazásokat adhat hozzá és rendelhet hozzá felhasználói csoportokhoz és eszközökhöz. Ez lehetővé teszi a vállalati adatok alkalmazásszintű védelmét. A vállalati adatokat a felügyelt és a nem felügyelt eszközökön is megvédheti, mert a mobilalkalmazás-felügyelethez nincs szükség eszközfelügyeletre. A felügyelet a felhasználói identitásra van kapcsolva, ami megszünteti az eszközfelügyelet követelményét.
  • Konfigurálja az alkalmazásokat úgy, hogy bizonyos beállítások engedélyezve legyenek. Emellett az eszközön már meglévő alkalmazásokat is frissítheti.
  • Szabályzatok hozzárendelésével korlátozhatja a hozzáférést, és megakadályozhatja az adatok szervezeten kívüli használatát. A szabályzatok beállítását a szervezet igényeinek megfelelően választhatja ki. Lehetőség van például a következőkre:
    • Pin-kód megkövetelése egy alkalmazás munkahelyi környezetben való megnyitásához.
    • A felügyelt alkalmazások futásának letiltása a függetlenített vagy feltört eszközökön
    • Szabályozhatja az adatok alkalmazások közötti megosztását.
    • A vállalati alkalmazásadatok személyes tárhelyre való mentésének megakadályozása adatáthelyezési szabályzatok használatával, például szervezeti adatok másolatainak mentése és Kivágás, másolás és beillesztés korlátozása.
  • Alkalmazások támogatása különböző platformokon és operációs rendszereken. Minden platform más. Az Intune kifejezetten az egyes támogatott platformokhoz biztosít elérhető beállításokat.
  • Megtekintheti a használt alkalmazásokkal kapcsolatos jelentéseket, és nyomon követheti azok használatát. Az Intune emellett végpontelemzést is biztosít a problémák felméréséhez és megoldásához.
  • Szelektív törléssel csak a szervezeti adatokat távolíthatja el az alkalmazásokból.
  • Győződjön meg arról, hogy a személyes adatok elkülönülnek a felügyelt adatoktól. A végfelhasználói hatékonyságra nincs hatással, és a szabályzatok nem vonatkoznak az alkalmazás személyes környezetben való használatakor. A szabályzatok csak munkahelyi környezetben vannak alkalmazva, így a személyes adatok érintése nélkül védheti a vállalati adatokat.

Alkalmazások hozzáadása az Intune-hoz

Amikor alkalmazásokat ad a szervezetének, első lépésként fel kell vennie az alkalmazásokat az Intune-ba, mielőtt eszközöket vagy felhasználókat rendel hozzájuk az Intune-ból. Bár számos különböző alkalmazástípussal dolgozhat, az alapvető eljárások ugyanazok. Az Intune-nal különböző alkalmazástípusokat adhat hozzá, beleértve a házon belüli (üzletági) alkalmazásokat, az áruházból származó alkalmazásokat, a beépített alkalmazásokat és a webes alkalmazásokat.

A vállalat alkalmazásainak és eszközeinek felhasználóinak (a vállalat munkaerőjének) számos alkalmazáskövetelménye lehet. Mielőtt alkalmazásokat ad hozzá az Intune-hoz, és elérhetővé teszi őket a munkatársak számára, hasznosnak találhatja néhány alkalmazás alapjainak felmérését és megértését. Az Intune-hoz különböző típusú alkalmazások érhetők el. Meg kell határoznia a vállalat felhasználói számára szükséges alkalmazáskövetelményeket, például a munkaerő által igényelt platformokat és képességeket. Meg kell határoznia, hogy az Intune-t használja-e az eszközök felügyeletére (beleértve az alkalmazásokat is), vagy az Intune-nak kell kezelnie az alkalmazásokat az eszközök kezelése nélkül. Emellett meg kell határoznia azokat az alkalmazásokat és képességeket, amelyekre a munkaerőnek szüksége van, és hogy kinek van rájuk szüksége. A cikkben található információk segítenek az első lépésekben.

Mielőtt alkalmazásokat ad az Intune-hoz, fontolja meg a támogatási alkalmazástípusok áttekintését és az alkalmazáskövetelmények felmérését. További információ: Alkalmazások hozzáadása Microsoft Intune.

Tipp

Az Intune alkalmazástípusainak, alkalmazásvásárlásainak és alkalmazáslicenceinek jobb megismeréséhez tekintse meg az Alkalmazások vásárlása és hozzáadása Microsoft Intune című megoldást. Ez a megoldástartalom az alkalmazáskövetelmények felméréséhez, alkalmazáskategóriák létrehozásához, alkalmazások vásárlásához és alkalmazások hozzáadásához is ajánlott lépéseket tartalmaz. Ez a megoldástartalom emellett az alkalmazások és az alkalmazáslicencek kezelését is ismerteti.

Microsoft-alkalmazások hozzáadása

Az Intune számos Microsoft-alkalmazást tartalmaz az Intune-hoz használt Microsoft-licenc alapján. Az Intune-t tartalmazó különböző Nagyvállalati Microsoft-licencekről további információt a Microsoft Intune licencelés című témakörben talál. A Microsoft 365-höz elérhető különböző Microsoft-alkalmazások összehasonlításához tekintse meg a Microsoft 365-ben elérhető licencelési lehetőségeket. Az egyes csomagok összes beállításának megtekintéséhez (beleértve az elérhető Microsoft-alkalmazásokat is) töltse le a Microsoft-előfizetések teljes összehasonlító táblázatát, és keresse meg azokat a csomagokat, amelyek Microsoft Intune tartalmaznak.

Az egyik elérhető alkalmazástípus a Microsoft 365-alkalmazások Windows 10 eszközökhöz. Ha ezt az alkalmazástípust választja az Intune-ban, microsoft 365-alkalmazásokat rendelhet hozzá és telepíthet az ön által felügyelt Windows 10 futtató eszközökhöz. Az Microsoft Project Online asztali ügyfélhez és a Microsoft Visio Online 2. csomaghoz is hozzárendelhet és telepíthet alkalmazásokat, ha rendelkezik hozzájuk licenccel. Az elérhető Microsoft 365-alkalmazások egyetlen bejegyzésként jelennek meg az Azure-beli Intune-konzol alkalmazáslistájában.

Adja hozzá a következő alapvető Microsoft-alkalmazásokat az Intune-hoz:

  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Word

A Microsoft-alkalmazások Intune-hoz való hozzáadásáról az alábbi témakörökben talál további információt:

Áruházbeli alkalmazások hozzáadása (nem kötelező)

Az Intune-konzolon megjelenő standard áruházbeli alkalmazások közül számos szabadon hozzáadható és telepíthető a szervezet tagjai számára. Emellett áruházbeli alkalmazásokat is vásárolhat az egyes eszközplatformokhoz.

Az alábbi táblázat az áruházbeli alkalmazásokhoz elérhető különböző kategóriákat tartalmazza:

Áruházbeli alkalmazáskategória Leírás
Ingyenes áruházbeli alkalmazások Ezeket az alkalmazásokat szabadon hozzáadhatja az Intune-hoz, és üzembe helyezheti őket a szervezet tagjai számára. Ezekhez az alkalmazásokhoz nincs szükség további költségekre.
Megvásárolt alkalmazások Az Intune-hoz való hozzáadás előtt licenceket kell vásárolnia ezekhez az alkalmazásokhoz. Minden eszközplatform (Windows, iOS, Android) szabványos módszert kínál az alkalmazások licenceinek megvásárlására. Az Intune metódusokat biztosít az egyes végfelhasználók alkalmazáslicenceinek kezeléséhez.
Az alkalmazás fejlesztőjének fiókját, előfizetését vagy licencét igénylő alkalmazások Ezeket az alkalmazásokat szabadon felveheti és telepítheti az Intune-ból, de az alkalmazáshoz szükség lehet egy fiókra, előfizetésre vagy licencre az alkalmazás gyártójától. Az Intune felügyeleti funkcióit támogató alkalmazások listáját a Partner hatékonyságnövelő alkalmazásai és a Partner UEM-alkalmazások című témakörben találja. MEGJEGYZÉS: Az olyan alkalmazások esetében, amelyekhez fiókra, előfizetésre vagy licencre lehet szükség, adott alkalmazásadatokért forduljon az alkalmazás gyártójához.
Az Intune-licencbe foglalt alkalmazások A Microsoft Intune használt licenc magában foglalhatja a szükséges alkalmazáslicenceket.

Megjegyzés:

Az alkalmazáslicencek vásárlása mellett olyan Intune-szabályzatokat is létrehozhat, amelyek lehetővé teszik, hogy a végfelhasználók személyes fiókokat vegyenek fel az eszközeikre nem felügyelt alkalmazások vásárlásához.

A Microsoft-alkalmazások Intune-hoz való hozzáadásáról az alábbi témakörökben talál további információt:

Alkalmazások konfigurálása az Intune használatával

Az alkalmazáskonfigurációs szabályzatok segítségével kiküszöbölheti az alkalmazásbeállítási problémákat, ha lehetővé teszi egy szabályzat konfigurációs beállításainak kiválasztását. Ezt a szabályzatot a rendszer hozzárendeli a végfelhasználókhoz, mielőtt futtatnának egy adott alkalmazást. Ezt követően a rendszer automatikusan megadja a beállításokat, amikor az alkalmazás konfigurálva van a végfelhasználó eszközén. A végfelhasználóknak nem kell lépéseket tenniük. A konfigurációs beállítások minden alkalmazáshoz egyediek.

Alkalmazáskonfigurációs szabályzatokat hozhat létre és használhat az iOS-/iPadOS- vagy Android-alkalmazások konfigurációs beállításainak megadásához. Ezek a konfigurációs beállítások lehetővé teszik az alkalmazások testreszabását az alkalmazáskonfiguráció és -kezelés használatával. A konfigurációs szabályzat beállításai akkor használatosak, amikor az alkalmazás ellenőrzi ezeket a beállításokat, általában az alkalmazás első futtatásakor.

Egy alkalmazáskonfigurációs beállításhoz például meg kell adnia az alábbi adatok bármelyikét:

  • Egyéni portszám
  • Nyelvi beállítások
  • Biztonsági beállítások
  • Arculati beállítások, például céges embléma

Ha a végfelhasználók ehelyett ezeket a beállításokat írják be, ezt helytelenül tehetik meg. Az alkalmazáskonfigurációs szabályzatok segítségével konzisztenciát biztosíthat a vállalaton belül, és csökkentheti a végfelhasználóktól érkező segélyhívásokat, amelyek saját maguk próbálják konfigurálni a beállításokat. Az alkalmazáskonfigurációs szabályzatok használatával az új alkalmazások bevezetése egyszerűbb és gyorsabb lehet.

Az elérhető konfigurációs paraméterekről végső soron az alkalmazás fejlesztői döntenek. Az alkalmazás gyártójának dokumentációját át kell tekinteni, hogy lássa, egy alkalmazás támogatja-e a konfigurációt, és hogy milyen konfigurációk érhetők el. Egyes alkalmazások esetében az Intune kitölti az elérhető konfigurációs beállításokat.

Az alkalmazáskonfigurációval kapcsolatos további információkért tekintse meg a következő témaköröket:

A Microsoft Outlook konfigurálása

Az iOS és Android Outlook alkalmazás lehetővé teszi a szervezet felhasználóinak, hogy többet tegyenek a mobileszközeikről az e-mailek, a naptár, a névjegyek és más fájlok összeadásával.

A Microsoft 365 adatainak leggazdagabb és legszélesebb körű védelmi képességei akkor lesznek elérhetők, ha előfizet a Nagyvállalati mobilitási és biztonsági csomagra, amely a Microsoft Intune-t és prémium szintű Microsoft Entra ID P1 vagy P2 funkciókat, például feltételes hozzáférést tartalmaz. Legalább olyan feltételes hozzáférési szabályzatot kell telepítenie, amely lehetővé teszi az iOS És Android Outlookhoz való csatlakozást mobileszközökről, valamint egy Intune alkalmazásvédelmi szabályzatot, amely biztosítja az együttműködési élmény védelmét.

A Microsoft Outlook konfigurálásával kapcsolatos további információkért tekintse meg a következő témakört:

A Microsoft Edge konfigurálása

Az iOS és Android Edge úgy lett kialakítva, hogy lehetővé tegye a felhasználók számára a weben való böngészést, és támogassa a többszörös identitást. A felhasználók felvehetnek egy munkahelyi és egy személyes fiókot a böngészéshez. A két identitás között teljes elkülönítés van, ami hasonló a többi Microsoft-mobilalkalmazásban kínálthoz.

A Microsoft Edge konfigurálásával kapcsolatos további információkért tekintse meg a következő témakört:

VPN konfigurálása

A virtuális magánhálózatok (VPN) lehetővé teszik a felhasználók számára a szervezeti erőforrások távoli elérését, például otthonról, szállodákból, kávézókból és egyebekből. Az Microsoft Intune a VPN-ügyfélalkalmazásokat alkalmazáskonfigurációs szabályzattal konfigurálhatja Android Enterprise-eszközökön. Ezután telepítse ezt a szabályzatot a VPN-konfigurációjával a szervezet eszközeire.

Olyan VPN-szabályzatokat is létrehozhat, amelyeket adott alkalmazások használnak. Ezt a funkciót alkalmazásonkénti VPN-nek nevezzük. Ha az alkalmazás aktív, csatlakozhat a VPN-hez, és a VPN-en keresztül férhet hozzá az erőforrásokhoz. Ha az alkalmazás nem aktív, a RENDSZER nem használja a VPN-t.

A levelezés konfigurálásával kapcsolatos további információkért tekintse meg a következő témakört:

Alkalmazások védelme az Intune-lal

Alkalmazásvédelem szabályzatok (APP) olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságban legyenek vagy egy felügyelt alkalmazásban legyenek tárolva. A szabályzatok lehetnek olyan szabályok, amelyek akkor lépnek érvénybe, amikor a felhasználó "vállalati" adatokhoz próbál hozzáférni vagy áthelyezni, vagy olyan műveletek halmaza, amelyeket a felhasználó az alkalmazáson belül tilt vagy figyel. A felügyelt alkalmazások olyan alkalmazások, amelyekhez alkalmazásvédelmi szabályzatok vannak alkalmazva, és az Intune felügyelheti.

A mobilalkalmazás-kezelési (MAM) alkalmazásvédelmi szabályzatok lehetővé teszik a szervezet adatainak kezelését és védelmét egy alkalmazásban. Számos hatékonyságnövelő alkalmazást, például a Microsoft Office-alkalmazásokat az Intune MAM felügyelhet. Tekintse meg a nyilvánosan elérhető Microsoft Intune védett alkalmazások hivatalos listáját.

Az Intune a mobilalkalmazások biztonságának egyik elsődleges módja a szabályzatok révén. Alkalmazásvédelem szabályzatokkal a következő műveleteket hajthatja végre:

  • A Microsoft Entra identitással elkülönítheti a szervezeti adatokat a személyes adatoktól. Így a személyes adatok el vannak különítve a szervezeti informatikai tudatosságtól. A szervezeti hitelesítő adatokkal elért adatok további biztonsági védelmet kapnak.
  • A személyes eszközökhöz való hozzáférés biztonságossá tételéhez korlátozza a felhasználók által a szervezeti adatokkal elvégezhető műveleteket, például a másolást és beillesztést, a mentést és a megtekintést.
  • Az Intune-ban regisztrált, egy másik mobileszköz-kezelési (MDM) szolgáltatásban regisztrált vagy nem MDM-szolgáltatásban regisztrált eszközökön történő létrehozás és üzembe helyezés.

Megjegyzés:

Alkalmazásvédelem szabályzatok úgy vannak kialakítva, hogy egységesen alkalmazzanak egy alkalmazáscsoportra, például egy szabályzatot az összes Office-mobilalkalmazásra.

A szervezetek egyidejűleg MDM-ekkel és anélkül is használhatnak alkalmazásvédelmi szabályzatokat. Vegyünk például egy olyan alkalmazottat, aki a vállalat által kiadott táblagépet és a saját személyes telefonját is használja. A vállalati táblagép regisztrálva van az MDM-ben, és alkalmazásvédelmi szabályzatok védik, míg a személyes telefonjukat csak alkalmazásvédelmi szabályzatok védik.

Az Intune-beli alkalmazásvédelemmel kapcsolatos további információkért tekintse meg a következő témaköröket:

Az alkalmazásvédelem szintjei

Ahogy egyre több szervezet valósít meg mobileszköz-stratégiákat a munkahelyi vagy iskolai adatokhoz való hozzáféréshez, az adatszivárgás elleni védelem alapvető fontosságúvá válik. Az Intune mobilalkalmazás-kezelési megoldása az adatszivárgás elleni védelemre az alkalmazásvédelmi szabályzatok (APP) használatával érhető el. Az ALKALMAZÁS olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságban legyenek, vagy egy felügyelt alkalmazásban legyenek tárolva, függetlenül attól, hogy az eszköz regisztrálva van-e.

Az alkalmazásvédelmi szabályzatok konfigurálásakor a különböző elérhető beállítások és beállítások lehetővé teszik a szervezetek számára, hogy a védelmet az igényeiknek megfelelően testre szabják. Emiatt a rugalmasság miatt előfordulhat, hogy nem egyértelmű, hogy a szabályzatbeállítások mely variációja szükséges egy teljes forgatókönyv implementálásához. Annak érdekében, hogy a szervezetek előnyben részesítsék az ügyfélvégpontok korlátozására irányuló törekvéseket, a Microsoft új osztályozást vezetett be a biztonsági konfigurációkhoz a Windows 10, és az Intune hasonló osztályozást alkalmaz a mobilalkalmazás-felügyelethez készült APP adatvédelmi keretrendszeréhez.

Az APP adatvédelmi konfigurációs keretrendszere három különböző konfigurációs forgatókönyvbe van rendezve:

  • 1. szintű vállalati alapszintű adatvédelem – A Microsoft ezt a konfigurációt javasolja a vállalati eszközök minimális adatvédelmi konfigurációjaként.

  • 2. szintű, nagyvállalati szintű fokozott adatvédelem – A Microsoft ezt a konfigurációt olyan eszközökhöz javasolja, amelyeken a felhasználók bizalmas vagy bizalmas információkhoz férnek hozzá. Ez a konfiguráció a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére vonatkozik. Egyes vezérlők hatással lehetnek a felhasználói élményre.

  • 3. szintű nagyvállalati szintű magas szintű adatvédelem – A Microsoft ezt a konfigurációt egy nagyobb vagy kifinomultabb biztonsági csapattal rendelkező szervezet által futtatott eszközökhöz, illetve az egyedileg magas kockázatú felhasználókhoz vagy csoportokhoz javasolja (olyan felhasználók számára, akik rendkívül bizalmas adatokat kezelnek, ha a jogosulatlan közzététel jelentős anyagi veszteséget okoz a szervezet számára). Egy jól finanszírozott és kifinomult támadók által megcélzott szervezetnek erre a konfigurációra kell törekednie.

Alapszintű alkalmazásvédelem (1. szint)

Az Alapszintű alkalmazásvédelem az Intune-ban (1. szint) a vállalati mobileszköz minimális adatvédelmi konfigurációja. Ez a konfiguráció felváltja az alapvető Exchange Online eszközhozzáférési szabályzatok szükségességét azáltal, hogy PIN-kódot kér a munkahelyi vagy iskolai adatok eléréséhez, titkosítja a munkahelyi vagy iskolai fiók adatait, és lehetővé teszi az iskolai vagy munkahelyi adatok szelektív törlését. A Exchange Online eszközhozzáférési szabályzatoktól eltérően azonban az alábbi alkalmazásvédelmi házirend-beállítások a szabályzatban kiválasztott összes alkalmazásra érvényesek, így biztosítva az adathozzáférés védelmét a mobilüzenet-küldési forgatókönyveken túl.

Az 1. szintű szabályzatok ésszerű adathozzáférési szintet követelnek meg, ugyanakkor minimalizálják a felhasználókra gyakorolt hatást, és tükrözik az alapértelmezett adatvédelmi és hozzáférési követelmények beállításait, amikor alkalmazásvédelmi szabályzatot hoznak létre Microsoft Intune.

Az alapszintű alkalmazásvédelem konkrét adatvédelmi, hozzáférési követelményei és feltételes indítási beállításaiért tekintse meg a következő témakört:

Továbbfejlesztett alkalmazásvédelem (2. szint)

A továbbfejlesztett alkalmazásvédelem az Intune-ban (2. szint) az adatvédelmi konfiguráció ajánlott szabványként az olyan eszközökhöz, amelyeken a felhasználók bizalmasabb információkhoz férnek hozzá. Ezek az eszközök ma a nagyvállalatok természetes célpontja. Ezek a javaslatok nem feltételezik a magasan képzett biztonsági szakemberek nagy létszámú személyzetét, ezért a legtöbb vállalati szervezet számára elérhetőnek kell lenniük. Ez a konfiguráció az 1. szintű konfigurációra terjed ki az adatátviteli forgatókönyvek korlátozásával és az operációs rendszer minimális verziójának megkövetelésével.

A 2. szinten kikényszerített szabályzatbeállítások tartalmazzák az 1. szinthez ajánlott összes házirend-beállítást, de csak azokat a beállításokat sorolja fel, amelyeket az 1. szintnél kifinomultabb vezérlők és kifinomultabb konfiguráció megvalósítása érdekében adtak hozzá vagy módosítottak. Bár ezek a beállítások valamivel nagyobb hatással lehetnek a felhasználókra vagy az alkalmazásokra, az adatvédelem szintjének kényszerítése jobban megfelel a mobileszközök bizalmas adataihoz hozzáféréssel rendelkező felhasználóknak.

A továbbfejlesztett alkalmazásvédelem konkrét adatvédelmi és feltételes indítási beállításaiért tekintse meg a következő témakört:

Magas szintű alkalmazásvédelem (3. szint)

Az Intune magas szintű alkalmazásvédelme (3. szint) a nagy és kifinomult biztonsági szervezetekkel rendelkező szervezetek, illetve a támadók által egyedileg megcélzott konkrét felhasználók és csoportok számára ajánlott adatvédelmi konfiguráció. Az ilyen szervezeteket általában jól finanszírozott és kifinomult támadók irányítják, és mint ilyenek, a leírt további korlátozásokra és ellenőrzésekre is érdemesek. Ez a konfiguráció további adatátviteli forgatókönyvek korlátozásával, a PIN-kód konfigurációjának összetettségének növelésével és a mobil fenyegetésészlelés hozzáadásával bővül a 2. szinten lévő konfigurációval.

A 3. szinten kikényszerített szabályzatbeállítások tartalmazzák a 2. szinthez ajánlott összes házirend-beállítást, de csak azokat a beállításokat sorolja fel, amelyeket a 2. szintnél kifinomultabb vezérlők és kifinomultabb konfiguráció megvalósítása érdekében adtak hozzá vagy módosítottak. Ezek a szabályzatbeállítások potenciálisan jelentős hatással lehetnek a felhasználókra vagy az alkalmazásokra, és olyan biztonsági szintet kényszerítenek ki, amely megfelel a megcélzott szervezeteket érintő kockázatoknak.

Az alapszintű alkalmazásvédelem konkrét adatvédelmi, hozzáférési követelményei és feltételes indítási beállításaiért tekintse meg a következő témakört:

Exchange Online e-mailek védelme a felügyelt eszközökön

A feltételes hozzáféréssel eszközmegfelelési szabályzatokkal gondoskodhat arról, hogy a szervezet eszközei csak akkor férhessenek hozzá Exchange Online e-mailekhez, ha azOkat az Intune felügyeli, és jóváhagyott levelezőalkalmazást használ. Létrehozhat egy Intune-eszközmegfelelőségi szabályzatot, amely beállítja azokat a feltételeket, amelyeknek az eszköznek megfelelőnek kell lennie. Létrehozhat egy Microsoft Entra feltételes hozzáférési szabályzatot is, amely megköveteli, hogy az eszközök regisztráljanak az Intune-ban, megfeleljenek az Intune-házirendeknek, és a jóváhagyott Outlook mobilappal hozzáférjenek Exchange Online e-mailekhez.

A Exchange Online védelméről a következő témakörben talál további információt:

Végfelhasználói követelmények az alkalmazásvédelmi szabályzatok használatához

Az alábbi lista a végfelhasználóknak az Intune által felügyelt alkalmazásokra vonatkozó alkalmazásvédelmi szabályzatok használatára vonatkozó követelményeit tartalmazza:

  1. Microsoft Intune beállítása
  2. 🡺 Alkalmazások hozzáadása, konfigurálása és védelme (Ön itt áll)
  3. Megfelelőségi szabályzatok tervezése
  4. Eszközfunkciók konfigurálása
  5. Eszközök regisztrálása