2. lépés – Alkalmazások hozzáadása, konfigurálása és védelme Intune
A Intune üzembe helyezésekor a következő lépés a szervezeti adatokhoz hozzáférő alkalmazások hozzáadása és védelme.
A szervezet eszközein futó alkalmazások kezelése központi szerepet jelent a biztonságos és hatékony vállalati ökoszisztémában. A Microsoft Intune segítségével kezelheti a vállalata munkatársai által használt alkalmazásokat. Az alkalmazások kezelésével szabályozhatja, hogy a vállalat mely alkalmazásokat használja, valamint az alkalmazások konfigurálását és védelmét. Ezt a funkciót mobilalkalmazás-kezelésnek (MAM) nevezzük. A mam a Intune-ben úgy lett kialakítva, hogy az alkalmazás szintjén védje a szervezeti adatokat, beleértve az egyéni alkalmazásokat és az áruházbeli alkalmazásokat. Az alkalmazáskezelés a szervezet tulajdonában lévő eszközökön és személyes eszközökön használható. Ha személyes eszközökkel használják, a rendszer csak a szervezettel kapcsolatos hozzáférést és adatokat kezeli. Az ilyen típusú alkalmazásfelügyeletet mamnak nevezzük regisztráció nélkül, vagy végfelhasználói szempontból saját eszköz használata (BYOD).
MAM-konfigurációk
Ha korlátozás nélkül használják az alkalmazásokat, a vállalati és a személyes adatok nem lesznek korlátozva. A vállalati adatok olyan helyekre kerülhetnek, mint a személyes tárhely, vagy a purview-t meghaladó alkalmazásokba továbbíthatók, és adatvesztést okozhatnak. A MAM eszközregisztráció nélküli vagy Intune MDM + MAM használatának egyik elsődleges oka a szervezet adatainak védelme.
Microsoft Intune két MAM-konfigurációt támogat:
MAM eszközkezelés nélkül
Ez a konfiguráció lehetővé teszi, hogy a szervezet alkalmazásait Intune felügyelje, de nem regisztrálja a Intune által felügyelni kívánt eszközöket. Ezt a konfigurációt gyakran MAM-nak nevezik eszközregisztráció nélkül. A rendszergazdák Intune Intune mobileszköz-felügyelettel (MDM) nem regisztrált eszközökre vonatkozó konfigurációs és védelmi szabályzatokkal kezelhetik az alkalmazásokat a MAM használatával.
Megjegyzés:
Ez a konfiguráció magában foglalja az alkalmazások Intune kezelését a külső nagyvállalati mobilitási felügyeleti (EMM-) szolgáltatókkal regisztrált eszközökön. Az Intune alkalmazásvédelmi szabályzatokat az MDM-megoldásoktól függetlenül is használhatja. Ez a függetlenség segít megvédeni cége adatait az eszközök eszközfelügyeleti megoldásban való regisztrálásával vagy anélkül. Az alkalmazásszintű szabályzatok implementálásával korlátozhatja a vállalati erőforrásokhoz való hozzáférést, és az adatokat az informatikai részlegen belül tarthatja.
A mobilalkalmazás-kezelés (MAM) ideális a szervezet tagjai által a személyes és a munkahelyi feladatokhoz használt mobileszközökön tárolt szervezeti adatok védelméhez. Miközben gondoskodik arról, hogy a szervezet tagjai produktívak legyenek, meg szeretné akadályozni az adatvesztést, a szándékos és véletlen adatvesztést. Emellett a nem Ön által felügyelt eszközökről elért vállalati adatokat is védeni szeretné. A MAM lehetővé teszi a szervezet adatainak kezelését és védelmét egy alkalmazásban.
Tipp
Számos hatékonyságnövelő alkalmazást, például a Microsoft Office-alkalmazásokat Intune MAM felügyelhet. Tekintse meg a nyilvánosan elérhető Microsoft Intune védett alkalmazások hivatalos listáját.
Az MDM-megoldásban nem regisztrált BYOD-eszközök esetén az alkalmazásvédelmi szabályzatok segíthetnek a vállalati adatok alkalmazásszintű védelmében. Vannak azonban olyan korlátozások, amelyeket érdemes figyelembe venni, például:
- Az eszközön nem telepíthet alkalmazásokat. A végfelhasználónak le kell szereznie az alkalmazásokat az áruházból.
- Ezeken az eszközökön nem lehet tanúsítványprofilokat kiépíteni.
- Ezeken az eszközökön nem építhet ki vállalati Wi-Fi és VPN-beállításokat.
Az Intune alkalmazásvédelemmel kapcsolatos további információkért lásd: Alkalmazásvédelem szabályzatok áttekintése.
MAM eszközfelügyelettel
Ez a konfiguráció lehetővé teszi a szervezet alkalmazásainak és eszközeinek kezelését. Ezt a konfigurációt gyakran MAM + MDM-nek nevezik. A rendszergazdák mam használatával kezelhetik az alkalmazásokat az Intune MDM-ben regisztrált eszközökön.
Az MDM a MAM mellett gondoskodik arról, hogy az eszköz védett legyen. Megkövetelhet például PIN-kódot az eszköz eléréséhez, vagy üzembe helyezhet felügyelt alkalmazásokat az eszközön. Az MDM-megoldáson keresztül alkalmazásokat is telepíthet az eszközökre, így jobban szabályozhatja az alkalmazáskezelést.
Az MDM alkalmazásvédelmi szabályzatokkal való használatának további előnyei vannak, és a vállalatok alkalmazásvédelmi szabályzatokat használhatnak MDM-ekkel és anélkül is. A szervezet egy tagja például rendelkezhet a vállalat által kiadott telefonnal és a saját személyes táblagépével is. A vállalati telefon regisztrálható az MDM-ben, és alkalmazásvédelmi szabályzatokkal védhető, míg a személyes eszközt csak alkalmazásvédelmi szabályzatok védik.
Az MDM-szolgáltatást használó regisztrált eszközökön az alkalmazásvédelmi szabályzatok további védelmi réteget adhatnak hozzá. Egy felhasználó például szervezeti hitelesítő adataival jelentkezik be egy eszközre. A szervezeti adatok használata során az alkalmazásvédelmi szabályzatok vezérlik az adatok mentésének és megosztásának módját. Amikor a felhasználók a személyes identitásukkal jelentkeznek be, a rendszer nem alkalmazza ezeket a védelmet (a hozzáférést és a korlátozásokat). Ily módon az informatikai részleg felügyeli a szervezeti adatokat, míg a végfelhasználók a személyes adataik feletti ellenőrzést és adatvédelmet tartják fenn.
Az MDM-megoldás az alábbiak megadásával ad értéket:
- Regisztrálja az eszközt
- Az alkalmazások központi telepítése az eszközön
- Folyamatos eszközmegfelelést és -felügyeletet biztosít
A Alkalmazásvédelem szabályzatok az alábbiak megadásával adnak értéket:
- A vállalati adatok fogyasztói alkalmazásokba és szolgáltatásokba való kiszivárgásának védelme
- Korlátozások, például mentés másként, vágólap vagy PIN-kód alkalmazása az ügyfélalkalmazásokra
- Ha szükséges, törölje a vállalati adatokat az alkalmazásokból anélkül, hogy eltávolítaná ezeket az alkalmazásokat az eszközről
A MAM és a Intune előnyei
Ha az alkalmazásokat Intune kezelik, a rendszergazdák a következőket tehetik:
- A vállalati adatok védelme az alkalmazás szintjén. Mobilalkalmazásokat adhat hozzá és rendelhet hozzá felhasználói csoportokhoz és eszközökhöz. Ez lehetővé teszi a vállalati adatok alkalmazásszintű védelmét. A vállalati adatokat a felügyelt és a nem felügyelt eszközökön is megvédheti, mert a mobilalkalmazás-felügyelethez nincs szükség eszközfelügyeletre. A felügyelet a felhasználói identitásra van kapcsolva, ami megszünteti az eszközfelügyelet követelményét.
- Konfigurálja az alkalmazásokat úgy, hogy bizonyos beállítások engedélyezve legyenek. Emellett az eszközön már meglévő alkalmazásokat is frissítheti.
- Szabályzatok hozzárendelésével korlátozhatja a hozzáférést, és megakadályozhatja az adatok szervezeten kívüli használatát. A szabályzatok beállítását a szervezet igényeinek megfelelően választhatja ki. Lehetőség van például a következőkre:
- Pin-kód megkövetelése egy alkalmazás munkahelyi környezetben való megnyitásához.
- A felügyelt alkalmazások futásának letiltása a függetlenített vagy feltört eszközökön
- Szabályozhatja az adatok alkalmazások közötti megosztását.
- A vállalati alkalmazásadatok személyes tárhelyre való mentésének megakadályozása adatáthelyezési szabályzatok használatával, például szervezeti adatok másolatainak mentése és Kivágás, másolás és beillesztés korlátozása.
- Alkalmazások támogatása különböző platformokon és operációs rendszereken. Minden platform más. Intune kifejezetten az egyes támogatott platformokhoz biztosít elérhető beállításokat.
- Megtekintheti a használt alkalmazásokkal kapcsolatos jelentéseket, és nyomon követheti azok használatát. Emellett a Intune végpontelemzést is biztosít a problémák felméréséhez és megoldásához.
- Szelektív törléssel csak a szervezeti adatokat távolíthatja el az alkalmazásokból.
- Győződjön meg arról, hogy a személyes adatok elkülönülnek a felügyelt adatoktól. A végfelhasználói hatékonyságra nincs hatással, és a szabályzatok nem vonatkoznak az alkalmazás személyes környezetben való használatakor. A szabályzatok csak munkahelyi környezetben vannak alkalmazva, így a személyes adatok érintése nélkül védheti a vállalati adatokat.
Alkalmazások hozzáadása Intune
Amikor alkalmazásokat ad a szervezetnek, első lépésként fel kell vennie az alkalmazásokat Intune, mielőtt Intune eszközeihez vagy felhasználóihoz rendeli őket. Bár számos különböző alkalmazástípussal dolgozhat, az alapvető eljárások ugyanazok. A Intune különböző alkalmazástípusokat adhat hozzá, beleértve a házon belüli (üzletági) alkalmazásokat, az áruházból származó alkalmazásokat, a beépített alkalmazásokat és a webes alkalmazásokat.
A vállalat alkalmazásainak és eszközeinek felhasználóinak (a vállalat munkaerőjének) számos alkalmazáskövetelménye lehet. Mielőtt alkalmazásokat ad hozzá Intune és elérhetővé teszi őket a munkaerő számára, hasznosnak találhatja néhány alkalmazás alapjainak felmérését és megértését. A Intune különböző típusú alkalmazások érhetők el. Meg kell határoznia a vállalat felhasználói számára szükséges alkalmazáskövetelményeket, például a munkaerő által igényelt platformokat és képességeket. Meg kell határoznia, hogy Intune-e az eszközök (beleértve az alkalmazásokat) kezelésére, vagy Intune az alkalmazások felügyeletét az eszközök kezelése nélkül. Emellett meg kell határoznia azokat az alkalmazásokat és képességeket, amelyekre a munkaerőnek szüksége van, és hogy kinek van rájuk szüksége. A cikkben található információk segítenek az első lépésekben.
Mielőtt alkalmazásokat ad hozzá Intune, tekintse át a támogatási alkalmazástípusokat, és mérje fel az alkalmazáskövetelményeket. További információ: Alkalmazások hozzáadása Microsoft Intune.
Tipp
A Intune alkalmazástípusainak, alkalmazásvásárlásainak és alkalmazáslicenceinek jobb megismeréséhez tekintse meg az Alkalmazások vásárlása és hozzáadása Microsoft Intune című megoldást. Ez a megoldástartalom az alkalmazáskövetelmények felméréséhez, alkalmazáskategóriák létrehozásához, alkalmazások vásárlásához és alkalmazások hozzáadásához is ajánlott lépéseket tartalmaz. Ez a megoldástartalom emellett az alkalmazások és az alkalmazáslicencek kezelését is ismerteti.
Microsoft-alkalmazások hozzáadása
Intune a Intune használt Microsoft-licenc alapján számos Microsoft-alkalmazást tartalmaz. A különböző, Intune microsoftos nagyvállalati licencekkel kapcsolatos további információkért lásd: Microsoft Intune licencelés. A Microsoft 365-höz elérhető különböző Microsoft-alkalmazások összehasonlításához tekintse meg a Microsoft 365-ben elérhető licencelési lehetőségeket. Az egyes csomagok összes beállításának megtekintéséhez (beleértve az elérhető Microsoft-alkalmazásokat is) töltse le a Microsoft-előfizetések teljes összehasonlító táblázatát, és keresse meg azokat a csomagokat, amelyek Microsoft Intune tartalmaznak.
Az egyik elérhető alkalmazástípus a Microsoft 365-alkalmazások Windows 10 eszközökhöz. Ha ezt az alkalmazástípust választja a Intune, microsoft 365-alkalmazásokat rendelhet hozzá és telepíthet a Windows 10 futtató felügyelt eszközökhöz. Az Microsoft Project Online asztali ügyfélhez és a Microsoft Visio Online 2. csomaghoz is hozzárendelhet és telepíthet alkalmazásokat, ha rendelkezik hozzájuk licenccel. Az elérhető Microsoft 365-alkalmazások egyetlen bejegyzésként jelennek meg az azure-beli Intune-konzol alkalmazáslistájában.
Adja hozzá a következő alapvető Microsoft-alkalmazásokat a Intune:
- Microsoft Edge
- Microsoft Excel
- Microsoft Office
- Microsoft OneDrive
- Microsoft OneNote
- Microsoft Outlook
- Microsoft PowerPoint
- Microsoft SharePoint
- Microsoft Teams
- Microsoft To Do
- Microsoft Word
A Microsoft-alkalmazások Intune való hozzáadásáról az alábbi témakörökben talál további információt:
- Alkalmazások hozzáadása Microsoft Intune
- Microsoft 365-alkalmazások hozzáadása Windows 10/11-eszközökhöz a Microsoft Intune-nal
Áruházbeli alkalmazások hozzáadása (nem kötelező)
A Intune konzolon megjelenő szabványos áruházbeli alkalmazások közül számos szabadon hozzáadható és telepíthető a szervezet tagjai számára. Emellett áruházbeli alkalmazásokat is vásárolhat az egyes eszközplatformokhoz.
Az alábbi táblázat az áruházbeli alkalmazásokhoz elérhető különböző kategóriákat tartalmazza:
Áruházbeli alkalmazáskategória | Leírás |
---|---|
Ingyenes áruházbeli alkalmazások | Ezeket az alkalmazásokat szabadon hozzáadhatja a Intune és üzembe helyezheti őket a szervezet tagjai számára. Ezekhez az alkalmazásokhoz nincs szükség további költségekre. |
Megvásárolt alkalmazások | A Intune való hozzáadás előtt licenceket kell vásárolnia ezekhez az alkalmazásokhoz. Minden eszközplatform (Windows, iOS, Android) szabványos módszert kínál az alkalmazások licenceinek megvásárlására. Intune az egyes végfelhasználók alkalmazáslicenceinek kezelésére szolgáló módszereket biztosít. |
Az alkalmazás fejlesztőjének fiókját, előfizetését vagy licencét igénylő alkalmazások | Ezeket az alkalmazásokat szabadon hozzáadhatja és üzembe helyezheti Intune, de az alkalmazáshoz szükség lehet egy fiókra, előfizetésre vagy licencre az alkalmazás gyártójától. A Intune felügyeleti funkciókat támogató alkalmazások listáját a Partner hatékonyságnövelő alkalmazásai és a Partner UEM-alkalmazások című témakörben találja. JEGYZET: Az olyan alkalmazások esetében, amelyekhez fiókra, előfizetésre vagy licencre lehet szükség, adott alkalmazásadatokért forduljon az alkalmazás gyártójához. |
A Intune licencbe foglalt alkalmazások | A Microsoft Intune használt licenc magában foglalhatja a szükséges alkalmazáslicenceket. |
Megjegyzés:
Az alkalmazáslicencek vásárlása mellett Intune szabályzatokat is létrehozhat, amelyek lehetővé teszik, hogy a végfelhasználók személyes fiókokat vegyenek fel az eszközeikre nem felügyelt alkalmazások vásárlásához.
A Microsoft-alkalmazások Intune való hozzáadásáról az alábbi témakörökben talál további információt:
- Microsoft Store-alkalmazások hozzáadása Microsoft Intune
- iOS Áruházbeli alkalmazások hozzáadása Microsoft Intune
- Android áruházbeli alkalmazások hozzáadása a Microsoft Intune
Alkalmazások konfigurálása a Intune használatával
Az alkalmazáskonfigurációs szabályzatok segítségével kiküszöbölheti az alkalmazásbeállítási problémákat, ha lehetővé teszi egy szabályzat konfigurációs beállításainak kiválasztását. Ezt a szabályzatot a rendszer hozzárendeli a végfelhasználókhoz, mielőtt futtatnának egy adott alkalmazást. Ezt követően a rendszer automatikusan megadja a beállításokat, amikor az alkalmazás konfigurálva van a végfelhasználó eszközén. A végfelhasználóknak nem kell lépéseket tenniük. A konfigurációs beállítások minden alkalmazáshoz egyediek.
Alkalmazáskonfigurációs szabályzatokat hozhat létre és használhat az iOS-/iPadOS- vagy Android-alkalmazások konfigurációs beállításainak megadásához. Ezek a konfigurációs beállítások lehetővé teszik az alkalmazások testreszabását az alkalmazáskonfiguráció és -kezelés használatával. A konfigurációs szabályzat beállításai akkor használatosak, amikor az alkalmazás ellenőrzi ezeket a beállításokat, általában az alkalmazás első futtatásakor.
Egy alkalmazáskonfigurációs beállításhoz például meg kell adnia az alábbi adatok bármelyikét:
- Egyéni portszám
- Nyelvi beállítások
- Biztonsági beállítások
- Arculati beállítások, például céges embléma
Ha a végfelhasználók ehelyett ezeket a beállításokat írják be, ezt helytelenül tehetik meg. Az alkalmazáskonfigurációs szabályzatok segítségével konzisztenciát biztosíthat a vállalaton belül, és csökkentheti a végfelhasználóktól érkező segélyhívásokat, amelyek saját maguk próbálják konfigurálni a beállításokat. Az alkalmazáskonfigurációs szabályzatok használatával az új alkalmazások bevezetése egyszerűbb és gyorsabb lehet.
Az elérhető konfigurációs paraméterekről végső soron az alkalmazás fejlesztői döntenek. Az alkalmazás gyártójának dokumentációját át kell tekinteni, hogy lássa, egy alkalmazás támogatja-e a konfigurációt, és hogy milyen konfigurációk érhetők el. Egyes alkalmazások esetében a Intune kitölti az elérhető konfigurációs beállításokat.
Az alkalmazáskonfigurációval kapcsolatos további információkért tekintse meg a következő témaköröket:
- A Microsoft Intune alkalmazáskonfigurációs házirendjei
- Alkalmazáskonfigurációs házirendek beállítása felügyelt iOS-/iPadOS-eszközök számára
- Alkalmazáskonfigurációs házirendek hozzáadása felügyelt Android Enterprise-eszközökhöz
A Microsoft Outlook konfigurálása
Az iOS és Android Outlook alkalmazás lehetővé teszi a szervezet felhasználóinak, hogy többet tegyenek a mobileszközeikről az e-mailek, a naptár, a névjegyek és más fájlok összeadásával.
A Microsoft 365 adatainak leggazdagabb és legszélesebb körű védelmi képességei akkor lesznek elérhetők, ha előfizet a Nagyvállalati mobilitási és biztonsági csomagra, amely a Microsoft Intune-t és prémium szintű Microsoft Entra ID P1 vagy P2 funkciókat, például feltételes hozzáférést tartalmaz. Legalább olyan feltételes hozzáférési szabályzatot kell telepítenie, amely lehetővé teszi az iOS és Android Outlook mobileszközökről való csatlakozását, valamint egy Intune alkalmazásvédelmi szabályzatot, amely biztosítja az együttműködési élmény védelmét.
A Microsoft Outlook konfigurálásával kapcsolatos további információkért tekintse meg a következő témakört:
A Microsoft Edge konfigurálása
Az iOS és Android Edge úgy lett kialakítva, hogy lehetővé tegye a felhasználók számára a weben való böngészést, és támogassa a többszörös identitást. A felhasználók felvehetnek egy munkahelyi és egy személyes fiókot a böngészéshez. A két identitás között teljes elkülönítés van, ami hasonló a többi Microsoft-mobilalkalmazásban kínálthoz.
A Microsoft Edge konfigurálásával kapcsolatos további információkért tekintse meg a következő témakört:
VPN konfigurálása
A virtuális magánhálózatok (VPN) lehetővé teszik a felhasználók számára a szervezeti erőforrások távoli elérését, például otthonról, szállodákból, kávézókból és egyebekből. Az Microsoft Intune a VPN-ügyfélalkalmazásokat alkalmazáskonfigurációs szabályzattal konfigurálhatja Android Enterprise-eszközökön. Ezután telepítse ezt a szabályzatot a VPN-konfigurációjával a szervezet eszközeire.
Olyan VPN-szabályzatokat is létrehozhat, amelyeket adott alkalmazások használnak. Ezt a funkciót alkalmazásonkénti VPN-nek nevezzük. Ha az alkalmazás aktív, csatlakozhat a VPN-hez, és a VPN-en keresztül férhet hozzá az erőforrásokhoz. Ha az alkalmazás nem aktív, a RENDSZER nem használja a VPN-t.
A levelezés konfigurálásával kapcsolatos további információkért tekintse meg a következő témakört:
- VPN- és alkalmazásonkénti VPN-szabályzat használata Android Enterprise-eszközökön a Microsoft Intune
Alkalmazások védelme Intune használatával
Alkalmazásvédelem szabályzatok (APP) olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságban legyenek vagy egy felügyelt alkalmazásban legyenek tárolva. A szabályzatok lehetnek olyan szabályok, amelyek akkor lépnek érvénybe, amikor a felhasználó "vállalati" adatokhoz próbál hozzáférni vagy áthelyezni, vagy olyan műveletek halmaza, amelyeket a felhasználó az alkalmazáson belül tilt vagy figyel. A felügyelt alkalmazások olyan alkalmazások, amelyekre alkalmazásvédelmi szabályzatok vonatkoznak, és Intune felügyelhetők.
A mobilalkalmazás-kezelési (MAM) alkalmazásvédelmi szabályzatok lehetővé teszik a szervezet adatainak kezelését és védelmét egy alkalmazásban. Számos hatékonyságnövelő alkalmazást, például a Microsoft Office-alkalmazásokat Intune MAM felügyelhet. Tekintse meg a nyilvánosan elérhető Microsoft Intune védett alkalmazások hivatalos listáját.
A mobilalkalmazás-biztonságot Intune egyik elsődleges módja a szabályzatok használata. Alkalmazásvédelem szabályzatokkal a következő műveleteket hajthatja végre:
- A Microsoft Entra identitással elkülönítheti a szervezeti adatokat a személyes adatoktól. Így a személyes adatok el vannak különítve a szervezeti informatikai tudatosságtól. A szervezeti hitelesítő adatokkal elért adatok további biztonsági védelmet kapnak.
- A személyes eszközökhöz való hozzáférés biztonságossá tételéhez korlátozza a felhasználók által a szervezeti adatokkal elvégezhető műveleteket, például a másolást és beillesztést, a mentést és a megtekintést.
- Olyan eszközökön hozzon létre és telepítsen, amelyek regisztrálva vannak a Intune, egy másik mobileszköz-kezelési (MDM-) szolgáltatásban regisztrálva, vagy nincsenek regisztrálva egyetlen MDM-szolgáltatásban sem.
Megjegyzés:
Alkalmazásvédelem szabályzatok úgy vannak kialakítva, hogy egységesen alkalmazzanak egy alkalmazáscsoportra, például egy szabályzatot az összes Office-mobilalkalmazásra.
A szervezetek egyidejűleg MDM-ekkel és anélkül is használhatnak alkalmazásvédelmi szabályzatokat. Vegyünk például egy olyan alkalmazottat, aki a vállalat által kiadott táblagépet és a saját személyes telefonját is használja. A vállalati táblagép regisztrálva van az MDM-ben, és alkalmazásvédelmi szabályzatok védik, míg a személyes telefonjukat csak alkalmazásvédelmi szabályzatok védik.
A Intune alkalmazásvédelemmel kapcsolatos további információkért tekintse meg a következő témaköröket:
- Alkalmazásvédelmi szabályzatok áttekintése
- Alkalmazásvédelmi szabályzatok létrehozása és hozzárendelése.
Az alkalmazásvédelem szintjei
Ahogy egyre több szervezet valósít meg mobileszköz-stratégiákat a munkahelyi vagy iskolai adatokhoz való hozzáféréshez, az adatszivárgás elleni védelem alapvető fontosságúvá válik. Intune mobilalkalmazás-kezelési megoldása az adatszivárgás elleni védelemre az Alkalmazásvédelmi szabályzatok (APP). Az ALKALMAZÁS olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságban legyenek, vagy egy felügyelt alkalmazásban legyenek tárolva, függetlenül attól, hogy az eszköz regisztrálva van-e.
Az alkalmazásvédelmi szabályzatok konfigurálásakor a különböző elérhető beállítások és beállítások lehetővé teszik a szervezetek számára, hogy a védelmet az igényeiknek megfelelően testre szabják. Emiatt a rugalmasság miatt előfordulhat, hogy nem egyértelmű, hogy a szabályzatbeállítások mely variációja szükséges egy teljes forgatókönyv implementálásához. Annak érdekében, hogy a szervezetek előnyben részesítsék az ügyfélvégpontok korlátozására irányuló törekvéseket, a Microsoft új osztályozást vezetett be a biztonsági konfigurációkhoz a Windows 10, és Intune hasonló osztályozást alkalmaz a mobilalkalmazás-felügyelethez készült APP adatvédelmi keretrendszeréhez.
Az APP adatvédelmi konfigurációs keretrendszere három különböző konfigurációs forgatókönyvbe van rendezve:
1. szintű vállalati alapszintű adatvédelem – A Microsoft ezt a konfigurációt javasolja a vállalati eszközök minimális adatvédelmi konfigurációjaként.
2. szintű, nagyvállalati szintű fokozott adatvédelem – A Microsoft ezt a konfigurációt olyan eszközökhöz javasolja, amelyeken a felhasználók bizalmas vagy bizalmas információkhoz férnek hozzá. Ez a konfiguráció a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére vonatkozik. Egyes vezérlők hatással lehetnek a felhasználói élményre.
3. szintű nagyvállalati szintű magas szintű adatvédelem – A Microsoft ezt a konfigurációt egy nagyobb vagy kifinomultabb biztonsági csapattal rendelkező szervezet által futtatott eszközökhöz, illetve az egyedileg magas kockázatú felhasználókhoz vagy csoportokhoz javasolja (olyan felhasználók számára, akik rendkívül bizalmas adatokat kezelnek, ha a jogosulatlan közzététel jelentős anyagi veszteséget okoz a szervezet számára). Egy jól finanszírozott és kifinomult támadók által megcélzott szervezetnek erre a konfigurációra kell törekednie.
Alapszintű alkalmazásvédelem (1. szint)
Az Intune (1. szintű) alapszintű alkalmazásvédelem a vállalati mobileszköz minimális adatvédelmi konfigurációja. Ez a konfiguráció felváltja az alapvető Exchange Online eszközhozzáférési szabályzatok szükségességét azáltal, hogy PIN-kódot kér a munkahelyi vagy iskolai adatok eléréséhez, titkosítja a munkahelyi vagy iskolai fiók adatait, és lehetővé teszi az iskolai vagy munkahelyi adatok szelektív törlését. A Exchange Online eszközhozzáférési szabályzatoktól eltérően azonban az alábbi alkalmazásvédelmi házirend-beállítások a szabályzatban kiválasztott összes alkalmazásra érvényesek, így biztosítva az adathozzáférés védelmét a mobilüzenet-küldési forgatókönyveken túl.
Az 1. szintű szabályzatok ésszerű adathozzáférési szintet követelnek meg, ugyanakkor minimalizálják a felhasználókra gyakorolt hatást, és tükrözik az alapértelmezett adatvédelmi és hozzáférési követelmények beállításait, amikor alkalmazásvédelmi szabályzatot hoznak létre Microsoft Intune.
Az alapszintű alkalmazásvédelem konkrét adatvédelmi, hozzáférési követelményei és feltételes indítási beállításaiért tekintse meg a következő témakört:
Továbbfejlesztett alkalmazásvédelem (2. szint)
A Intune (2. szint) fokozott alkalmazásvédelme az adatvédelmi konfiguráció ajánlott szabványként azokhoz az eszközökhöz, amelyeken a felhasználók bizalmasabb információkhoz férnek hozzá. Ezek az eszközök ma a nagyvállalatok természetes célpontja. Ezek a javaslatok nem feltételezik a magasan képzett biztonsági szakemberek nagy létszámú személyzetét, ezért a legtöbb vállalati szervezet számára elérhetőnek kell lenniük. Ez a konfiguráció az 1. szintű konfigurációra terjed ki az adatátviteli forgatókönyvek korlátozásával és az operációs rendszer minimális verziójának megkövetelésével.
A 2. szinten kikényszerített szabályzatbeállítások tartalmazzák az 1. szinthez ajánlott összes házirend-beállítást, de csak azokat a beállításokat sorolja fel, amelyeket az 1. szintnél kifinomultabb vezérlők és kifinomultabb konfiguráció megvalósítása érdekében adtak hozzá vagy módosítottak. Bár ezek a beállítások valamivel nagyobb hatással lehetnek a felhasználókra vagy az alkalmazásokra, az adatvédelem szintjének kényszerítése jobban megfelel a mobileszközök bizalmas adataihoz hozzáféréssel rendelkező felhasználóknak.
A továbbfejlesztett alkalmazásvédelem konkrét adatvédelmi és feltételes indítási beállításaiért tekintse meg a következő témakört:
Magas szintű alkalmazásvédelem (3. szint)
A Intune (3. szint) magas szintű alkalmazásvédelmet a nagy és kifinomult biztonsági szervezetekkel rendelkező szervezetek, illetve a támadók által egyedileg megcélzott konkrét felhasználók és csoportok számára ajánlott adatvédelmi konfiguráció. Az ilyen szervezeteket általában jól finanszírozott és kifinomult támadók irányítják, és mint ilyenek, a leírt további korlátozásokra és ellenőrzésekre is érdemesek. Ez a konfiguráció további adatátviteli forgatókönyvek korlátozásával, a PIN-kód konfigurációjának összetettségének növelésével és a mobil fenyegetésészlelés hozzáadásával bővül a 2. szinten lévő konfigurációval.
A 3. szinten kikényszerített szabályzatbeállítások tartalmazzák a 2. szinthez ajánlott összes házirend-beállítást, de csak azokat a beállításokat sorolja fel, amelyeket a 2. szintnél kifinomultabb vezérlők és kifinomultabb konfiguráció megvalósítása érdekében adtak hozzá vagy módosítottak. Ezek a szabályzatbeállítások potenciálisan jelentős hatással lehetnek a felhasználókra vagy az alkalmazásokra, és olyan biztonsági szintet kényszerítenek ki, amely megfelel a megcélzott szervezeteket érintő kockázatoknak.
Az alapszintű alkalmazásvédelem konkrét adatvédelmi, hozzáférési követelményei és feltételes indítási beállításaiért tekintse meg a következő témakört:
Exchange Online e-mailek védelme a felügyelt eszközökön
Az eszközmegfelelési szabályzatok feltételes hozzáféréssel való használatával gondoskodhat arról, hogy a szervezet eszközei csak akkor férhessenek hozzá Exchange Online e-mailekhez, ha Intune kezeli őket, és jóváhagyott levelezőalkalmazást használnak. Létrehozhat egy Intune eszközmegfelelőségi szabályzatot, amely beállítja azokat a feltételeket, amelyeknek az eszköznek megfelelőnek kell lennie. Létrehozhat egy Microsoft Entra feltételes hozzáférési szabályzatot is, amely megköveteli, hogy az eszközök regisztráljanak a Intune, megfeleljenek Intune házirendeknek, és a jóváhagyott Outlook mobilappal hozzáférjenek Exchange Online e-mailekhez.
A Exchange Online védelméről a következő témakörben talál további információt:
Végfelhasználói követelmények az alkalmazásvédelmi szabályzatok használatához
Az alábbi lista azokat a végfelhasználói követelményeket tartalmazza, amelyek az alkalmazásvédelmi szabályzatok Intune által felügyelt alkalmazásokon való használatára vonatkoznak:
- A végfelhasználónak rendelkeznie kell egy Microsoft Entra fiókkal. A Felhasználók hozzáadása és rendszergazdai engedély megadása Intune című cikkből megtudhatja, hogyan hozhat létre Intune felhasználókat Microsoft Entra ID.
- A végfelhasználónak rendelkeznie kell Microsoft Intune Microsoft Entra-fiókjához rendelt licenccel. A Intune licencek végfelhasználókhoz rendeléséről a Intune licencek kezelése című témakörben olvashat.
- A végfelhasználónak egy alkalmazásvédelmi szabályzat által megcélzott biztonsági csoporthoz kell tartoznia. Ugyanannak az alkalmazásvédelmi szabályzatnak a használt alkalmazást kell céloznia. Alkalmazásvédelem házirendek az Microsoft Intune Felügyeleti központban hozhatók létre és helyezhetők üzembe. A biztonsági csoportok jelenleg a Microsoft 365 Felügyeleti központ hozhatók létre.
- A végfelhasználónak a Microsoft Entra fiókjával kell bejelentkeznie az alkalmazásba.
Kövesse a minimálisan ajánlott alapkonfigurációs szabályzatokat
- Microsoft Intune beállítása
- 🡺 Alkalmazások hozzáadása, konfigurálása és védelme (Ön itt áll)
- Megfelelőségi szabályzatok tervezése
- Eszközfunkciók konfigurálása
- Eszközök regisztrálása