2. lépés: Továbbfejlesztett adatvédelem alkalmazása
Az 1. szint a vállalati mobileszköz minimális adatvédelmi konfigurációja. Ez a konfiguráció felváltja az alapvető Exchange Online eszközhozzáférési szabályzatok szükségességét azáltal, hogy PIN-kódot kér a munkahelyi vagy iskolai adatok eléréséhez, titkosítja a munkahelyi vagy iskolai fiók adatait, és lehetővé teszi az iskolai vagy munkahelyi adatok szelektív törlését. A Exchange Online eszközhozzáférési szabályzatoktól eltérően azonban az alábbi alkalmazásvédelmi házirend-beállítások a szabályzatban kiválasztott összes alkalmazásra érvényesek, így biztosítva az adathozzáférés védelmét a mobilüzenet-küldési forgatókönyveken túl.
Az 1. szintű szabályzatok ésszerű adathozzáférési szintet követelnek meg, ugyanakkor minimalizálják a felhasználókra gyakorolt hatást, és tükrözik az alapértelmezett adatvédelmi és hozzáférési követelmények beállításait, amikor alkalmazásvédelmi szabályzatot hoznak létre Microsoft Intune.
Ajánlott alkalmazásvédelmi beállítások
A következő ajánlott alkalmazásvédelmi beállításokat használhatja Intune alkalmazásvédelem létrehozásakor és alkalmazásakor a 2. szintű nagyvállalati szintű fokozott adatvédelemhez.
2. szintű nagyvállalati továbbfejlesztett adatvédelem
A 2. szint az adatvédelmi konfiguráció ajánlott szabványként azokhoz az eszközökhöz, amelyeken a felhasználók bizalmasabb információkhoz férnek hozzá. Ezek az eszközök ma a nagyvállalatok természetes célpontja. Ezek a javaslatok nem feltételezik a magasan képzett biztonsági szakemberek nagy létszámú személyzetét, ezért a legtöbb vállalati szervezet számára elérhetőnek kell lenniük. Ez a konfiguráció az 1. szintű konfigurációra terjed ki az adatátviteli forgatókönyvek korlátozásával és az operációs rendszer minimális verziójának megkövetelésével.
Fontos
A 2. szinten kikényszerített szabályzatbeállítások tartalmazzák az 1. szinthez ajánlott összes házirend-beállítást. A 2. szint azonban csak azokat a beállításokat sorolja fel, amelyeket hozzáadtak vagy módosítottak, hogy több vezérlőt és kifinomultabb konfigurációt implementáljanak, mint az 1. szint. Bár ezek a beállítások valamivel nagyobb hatással lehetnek a felhasználókra vagy az alkalmazásokra, az adatvédelem szintjének kényszerítése jobban megfelel a mobileszközök bizalmas adataihoz hozzáféréssel rendelkező felhasználóknak.
Adatvédelem
| Beállítás | Beállítás leírása | Érték | Platform | Megjegyzések: |
|---|---|---|---|---|
| Adatátvitel | Szervezeti adatok biztonsági mentése... | Letiltás | iOS/iPadOS, Android | |
| Adatátvitel | Szervezeti adatok küldése más alkalmazásoknak | Szabályzattal felügyelt alkalmazások | iOS/iPadOS, Android | Az iOS/iPadOS rendszerben a rendszergazdák konfigurálhatják ezt az értéket "Szabályzattal felügyelt alkalmazások", "Szabályzattal felügyelt alkalmazások operációs rendszer megosztásával" vagy "Szabályzattal felügyelt alkalmazások megnyitási/megosztási szűréssel" értékre. Az operációs rendszer megosztásával rendelkező szabályzattal felügyelt alkalmazások akkor érhetők el, ha az eszköz Intune is regisztrálva van. Ez a beállítás lehetővé teszi az adatátvitelt más szabályzattal felügyelt alkalmazásokba, valamint fájlátvitelt a Intune által felügyelt más alkalmazásokba. A Szabályzattal felügyelt alkalmazások megnyitási/megosztási szűréssel szűrik az operációs rendszer Megnyitás/Megosztás párbeszédpaneljét, hogy csak a szabályzattal felügyelt alkalmazásokat jelenítsen meg. További információ: iOS-alkalmazásvédelmi szabályzat beállításai. |
| Adatátvitel | Küldés vagy adatok küldése ide: | Nincsenek célhelyek | A Windows | |
| Adatátvitel | Adatok fogadása innen: | Nincsenek források | A Windows | |
| Adatátvitel | Kivételt képező alkalmazások kiválasztása | Alapértelmezett /skype; alkalmazásbeállítások; calshow; itms; itmss; itms-apps; itms-apps; itms-services; | iOS/iPadOS | |
| Adatátvitel | Szervezeti adatok másolatainak mentése | Letiltás | iOS/iPadOS, Android | |
| Adatátvitel | Másolatok mentésének engedélyezése a felhasználók számára a kijelölt szolgáltatásokba | OneDrive Vállalati verzió, SharePoint Online, fényképtár | iOS/iPadOS, Android | |
| Adatátvitel | Távközlési adatok átvitele a | Bármely tárcsázóalkalmazás | iOS/iPadOS, Android | |
| Adatátvitel | Kivágás, másolás és beillesztés korlátozása alkalmazások között | Szabályzattal felügyelt alkalmazások beillesztéssel | iOS/iPadOS, Android | |
| Adatátvitel | Kivágás, másolás és beillesztés engedélyezése a következőhöz: | Nincs cél vagy forrás | A Windows | |
| Adatátvitel | Képernyőfelvétel és Google Assistant | Letiltás | Android | |
| Funkcionalitás | Webes tartalom átvitelének korlátozása más alkalmazásokkal | Microsoft Edge | iOS/iPadOS, Android | |
| Funkcionalitás | Szervezeti adatértesítések | Szervezeti adatok blokkolása | iOS/iPadOS, Android | Az ezt a beállítást támogató alkalmazások listáját az iOS-alkalmazásvédelmi szabályzat beállításai és az Android-alkalmazásvédelmi szabályzat beállításai című témakörben találja. |
Feltételes indítás
| Beállítás | Beállítás leírása | Érték/művelet | Platform | Megjegyzések: |
|---|---|---|---|---|
| Alkalmazásfeltételek | Letiltott fiók | N/A/ Hozzáférés letiltása | iOS/iPadOS, Android, Windows | |
| Eszközfeltételek | Operációs rendszer minimális verziója |
Formátum: Major.Minor.Build Példa: 14.8 / Hozzáférés letiltása |
iOS/iPadOS | A Microsoft azt javasolja, hogy az iOS minimális főverzióját úgy konfigurálja, hogy megfeleljen a Microsoft-alkalmazások támogatott iOS-verzióinak. A Microsoft-alkalmazások támogatják az N-1 megközelítést, ahol az N az iOS jelenlegi főverziója. Az alverziók és a buildverziók értékei esetében a Microsoft azt javasolja, hogy az eszközök naprakészek legyenek a megfelelő biztonsági frissítésekkel. Az Apple legújabb javaslatait az Apple biztonsági frissítéseivel foglalkozó cikkben találja |
| Eszközfeltételek | Operációs rendszer minimális verziója |
Formátum: Főverzió.Alverzió Példa: 9.0 / Hozzáférés letiltása |
Android | A Microsoft azt javasolja, hogy konfigurálja az Android minimális főverzióját a Microsoft-alkalmazások által támogatott Android-verzióknak megfelelően. Az Android Enterprise által ajánlott követelményeknek megfelelő OEM-eknek és eszközöknek támogatniuk kell a jelenlegi szállítási kiadást és egybetűs frissítést. Az Android jelenleg az Android 9.0-s és újabb verzióit javasolja tudástári dolgozóknak. Lásd: Android Enterprise – Ajánlott követelmények az Android legújabb javaslataihoz |
| Eszközfeltételek | Operációs rendszer minimális verziója |
Formátum: Build Például: 10.0.22621.2506 / Hozzáférés letiltása |
A Windows | A Microsoft azt javasolja, hogy konfigurálja a Minimális Windows-buildet, hogy megfeleljen a Microsoft-alkalmazások támogatott Windows-verzióinak. A Microsoft jelenleg a következőket javasolja:
|
| Eszközfeltételek | Minimális javításverzió |
Formátum: ÉÉÉÉ-HH-NN Példa: 2020-01-01 / Hozzáférés letiltása |
Android | Az Android-eszközök havi biztonsági javításokat kaphatnak, de a kiadás az OEM-ektől és/vagy a szolgáltatóktól függ. A beállítás implementálása előtt a szervezeteknek gondoskodniuk kell arról, hogy az üzembe helyezett Android-eszközök megkapják a biztonsági frissítéseket. A legújabb javításkiadásokról az Android biztonsági közleményei című témakörben olvashat. |
| Eszközfeltételek | Kötelező SafetyNet-kiértékelési típus | Hardveralapú kulcs | Android | A hardveresen támogatott igazolás egy hardveres háttérrendszerrel rendelkező új kiértékelési típus alkalmazásával javítja a Google Play Integrity szolgáltatásának ellenőrzését, és robusztusabb gyökérészlelést tesz lehetővé az újabb gyökerező eszközök és metódusok típusaira válaszul, amelyeket nem mindig képes megbízhatóan észlelni egy csak szoftveres megoldás. Ahogy a neve is mutatja, a hardveralapú igazolás egy hardveralapú összetevőt használ, amelyet az Android 8.1-et vagy újabb verziót futtató eszközökkel szállítottak. Az Android régebbi verziójáról Android 8.1-re frissített eszközök nem valószínű, hogy rendelkeznek a hardveralapú igazoláshoz szükséges hardveralapú összetevőkkel. Bár ezt a beállítást széles körben támogatni kell az Android 8.1-et tartalmazó eszközöktől kezdve, a Microsoft határozottan javasolja az eszközök egyenkénti tesztelését, mielőtt széles körben engedélyeznénk ezt a házirend-beállítást. |
| Eszközfeltételek | Eszközzárolás megkövetelése | Közepes/letiltott hozzáférés | Android | Ez a beállítás biztosítja, hogy az Android-eszközök rendelkezzenek olyan eszközjelszóval, amely megfelel a minimális jelszókövetelményeknek. |
| Eszközfeltételek | Samsung Knox-eszközigazolás | Hozzáférés letiltása | Android | A Microsoft azt javasolja, hogy a Samsung Knox-eszközigazolási beállítást a Hozzáférés letiltása értékre konfigurálja, hogy a felhasználói fiók ne legyen hozzáférése, ha az eszköz nem felel meg a Samsung Knox eszközállapotának hardveralapú ellenőrzésének. Ez a beállítás ellenőrzi, hogy az Intune szolgáltatásnak küldött összes INTUNE MAM-ügyfél válasza kifogástalan állapotú eszközről lett-e elküldve. Ez a beállítás az összes megcélzott eszközre vonatkozik. Ha ezt a beállítást csak Samsung-eszközökre szeretné alkalmazni, használhat "Felügyelt alkalmazások" hozzárendelési szűrőket. A hozzárendelési szűrőkkel kapcsolatos további információkért lásd: Szűrők használata az alkalmazások, szabályzatok és profilok hozzárendelésekor Microsoft Intune. |
| Alkalmazásfeltételek | Offline türelmi időszak | 30 / Adatok törlése (nap) | iOS/iPadOS, Android, Windows |
Megjegyzés:
A Windows feltételes indítási beállításai állapot-ellenőrzések címkével vannak ellátva.
További lépés
Folytassa a 3. lépéssel a magas szintű adatvédelem alkalmazásához Microsoft Intune.