Framework voor gegevensbeveiliging met behulp van app-beveiligingsbeleid
Naarmate meer organisaties strategieën voor mobiele apparaten implementeren voor toegang tot werk- of schoolgegevens, wordt bescherming tegen gegevenslekken van cruciaal belang. Intune mobile application management-oplossing voor bescherming tegen gegevenslekken is App-beveiligingsbeleid (APP). APP zijn regels die ervoor zorgen dat de gegevens van een organisatie veilig blijven of zijn opgenomen in een beheerde app, ongeacht of het apparaat is ingeschreven. Zie overzicht van App-beveiliging beleid voor meer informatie.
Bij het configureren van app-beveiligingsbeleid kunnen organisaties met het aantal verschillende instellingen en opties de beveiliging aanpassen aan hun specifieke behoeften. Vanwege deze flexibiliteit is het mogelijk niet duidelijk welke permutatie van beleidsinstellingen vereist is om een volledig scenario te implementeren. Om organisaties te helpen prioriteit te geven aan de beveiliging van clienteindpunten, heeft Microsoft een nieuwe taxonomie voor beveiligingsconfiguraties in Windows 10 geïntroduceerd en maakt Intune gebruik van een vergelijkbare taxonomie voor het app-gegevensbeveiligingsframework voor het beheer van mobiele apps.
Het configuratieframework voor APP-gegevensbeveiliging is ingedeeld in drie verschillende configuratiescenario's:
Niveau 1 enterprise-basisgegevensbeveiliging: Microsoft raadt deze configuratie aan als de minimale configuratie voor gegevensbeveiliging voor een bedrijfsapparaat.
Verbeterde gegevensbeveiliging op niveau 2: Microsoft raadt deze configuratie aan voor apparaten waarop gebruikers toegang hebben tot gevoelige of vertrouwelijke informatie. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens. Sommige besturingselementen kunnen van invloed zijn op de gebruikerservaring.
Hoge gegevensbescherming op bedrijfsniveau 3: Microsoft raadt deze configuratie aan voor apparaten die worden uitgevoerd door een organisatie met een groter of geavanceerder beveiligingsteam, of voor specifieke gebruikers of groepen die een uniek hoog risico lopen (gebruikers die zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke materiële verliezen voor de organisatie veroorzaakt). Een organisatie die waarschijnlijk het doelwit is van goed gefinancierde en geavanceerde aanvallers, moet deze configuratie nastreven.
Implementatiemethodologie van APP Data Protection Framework
Net als bij elke implementatie van nieuwe software, functies of instellingen, raadt Microsoft aan te investeren in een ringmethodologie voor het testen van validatie voordat het APP-framework voor gegevensbeveiliging wordt geïmplementeerd. Het definiëren van implementatieringen is over het algemeen een eenmalige gebeurtenis (of ten minste onregelmatig), maar IT moet deze groepen opnieuw bezoeken om ervoor te zorgen dat de volgorde nog steeds correct is.
Microsoft raadt de volgende implementatieringsbenadering aan voor het APP-gegevensbeveiligingsframework:
| Implementatiering | Tenant | Evaluatieteams | Uitvoer | Tijdlijn |
|---|---|---|---|---|
| Kwaliteitsgarantie | Preproductietenant | Eigenaren van mobiele mogelijkheden, beveiliging, evaluatie van risico's, privacy, UX | Validatie van functionele scenario's, conceptdocumentatie | 0-30 dagen |
| Preview | Productietenant | Eigenaren van mobiele mogelijkheden, UX | Validatie van scenario's voor eindgebruikers, documentatie voor gebruikers | 7-14 dagen, kwaliteitscontrole achteraf |
| Productie | Productietenant | Eigenaren van mobiele mogelijkheden, IT-helpdesk | N.v.t. | 7 dagen tot meerdere weken, na preview |
Zoals in de bovenstaande tabel wordt aangegeven, moeten alle wijzigingen in het app-beveiligingsbeleid eerst worden uitgevoerd in een preproductieomgeving om inzicht te krijgen in de gevolgen van de beleidsinstelling. Zodra het testen is voltooid, kunnen de wijzigingen worden verplaatst naar productie en worden toegepast op een subset van productiegebruikers, in het algemeen de IT-afdeling en andere toepasselijke groepen. En ten slotte kan de implementatie worden voltooid voor de rest van de mobiele gebruikerscommunity. De implementatie naar productie kan langer duren, afhankelijk van de omvang van de impact met betrekking tot de wijziging. Als er geen gebruikersimpact is, moet de wijziging snel worden geïmplementeerd, terwijl, als de wijziging gevolgen heeft voor de gebruiker, de implementatie mogelijk langzamer moet gaan vanwege de noodzaak om wijzigingen door te geven aan de gebruikerspopulatie.
Houd bij het testen van wijzigingen in een APP rekening met de timing van de levering. De status van app-levering voor een bepaalde gebruiker kan worden bewaakt. Zie App-beveiligingsbeleid bewaken voor meer informatie.
Afzonderlijke APP-instellingen voor elke app kunnen worden gevalideerd op apparaten met behulp van Microsoft Edge en de URL about:Intunehelp. Zie Logboeken voor client-app-beveiliging bekijken en Microsoft Edge voor iOS en Android gebruiken voor toegang tot logboeken van beheerde apps voor meer informatie.
Instellingen voor APP Data Protection Framework
De volgende instellingen voor app-beveiligingsbeleid moeten worden ingeschakeld voor de toepasselijke apps en moeten worden toegewezen aan alle mobiele gebruikers. Zie Beveiligingsbeleidsinstellingen voor iOS-apps en Beveiligingsbeleidsinstellingen voor Android-apps voor meer informatie over elke beleidsinstelling.
Microsoft raadt aan gebruiksscenario's te bekijken en te categoriseren en vervolgens gebruikers te configureren met behulp van de prescriptieve richtlijnen voor dat niveau. Net als bij elk framework moeten instellingen binnen een overeenkomstig niveau mogelijk worden aangepast op basis van de behoeften van de organisatie, omdat gegevensbescherming de bedreigingsomgeving, risicobereidheid en impact op bruikbaarheid moet evalueren.
Beheerders kunnen de onderstaande configuratieniveaus opnemen in hun ringimplementatiemethodologie voor het testen en productiegebruik door het voorbeeld te importeren Intune JSON-sjablonen voor App Protection Policy Configuration Framework met de PowerShell-scripts van Intune.
Opmerking
Als u MAM voor Windows gebruikt, raadpleegt u beleidsinstellingen voor Windows App-beveiliging.
Beleid voor voorwaardelijke toegang
Om ervoor te zorgen dat alleen apps die app-beveiligingsbeleid ondersteunen toegang hebben tot werk- of schoolaccountgegevens, zijn Microsoft Entra beleid voor voorwaardelijke toegang vereist. Deze beleidsregels worden beschreven in Voorwaardelijke toegang: Goedgekeurde client-apps of app-beveiligingsbeleid vereisen.
Zie Goedgekeurde client-apps of app-beveiligingsbeleid vereisen met mobiele apparaten in Voorwaardelijke toegang: Goedgekeurde client-apps of app-beveiligingsbeleid vereisen voor stappen voor het implementeren van het specifieke beleid. Implementeer ten slotte de stappen in Verouderde verificatie blokkeren om verouderde verificatie-compatibele iOS- en Android-apps te blokkeren.
Opmerking
Deze beleidsregels maken gebruik van de toekenningsopties Goedgekeurde client-app vereisen en App-beveiligingsbeleid vereisen.
Apps die moeten worden opgenomen in het app-beveiligingsbeleid
Voor elk app-beveiligingsbeleid is de groep Core Microsoft Apps gericht, waaronder de volgende apps:
- Microsoft Edge
- Excel
- Kantoor
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- Te doen
- Word
Het beleid moet andere Microsoft-apps omvatten op basis van zakelijke behoeften, aanvullende openbare apps van derden die de Intune SDK hebben geïntegreerd die binnen de organisatie wordt gebruikt, evenals Line-Of-Business-apps die de Intune SDK hebben geïntegreerd (of zijn verpakt).
Niveau 1 enterprise basic data protection
Niveau 1 is de minimale configuratie voor gegevensbeveiliging voor een mobiel bedrijfsapparaat. Deze configuratie vervangt de behoefte aan basisbeleid voor Exchange Online apparaattoegang door een pincode te vereisen voor toegang tot werk- of schoolgegevens, het versleutelen van de werk- of schoolaccountgegevens en het bieden van de mogelijkheid om de school- of werkgegevens selectief te wissen. In tegenstelling tot Exchange Online apparaattoegangsbeleid zijn de onderstaande instellingen voor app-beveiligingsbeleid echter van toepassing op alle apps die in het beleid zijn geselecteerd, waardoor de toegang tot gegevens wordt beveiligd buiten scenario's voor mobiele berichten.
Het beleid in niveau 1 dwingt een redelijk toegangsniveau af, terwijl de impact op gebruikers wordt geminimaliseerd en de standaardinstellingen voor gegevensbescherming en toegang worden gespiegeld bij het maken van een app-beveiligingsbeleid binnen Microsoft Intune.
Gegevensbescherming
| Instelling | Beschrijving van instelling | Waarde | Platform |
|---|---|---|---|
| Gegevensoverdracht | Een back-up maken van organisatiegegevens naar... | Toestaan | iOS/iPadOS, Android |
| Gegevensoverdracht | Organisatiegegevens verzenden naar andere apps | Alle apps | iOS/iPadOS, Android |
| Gegevensoverdracht | Organisatiegegevens verzenden naar | Alle bestemmingen | Windows |
| Gegevensoverdracht | Gegevens ontvangen van andere apps | Alle apps | iOS/iPadOS, Android |
| Gegevensoverdracht | Gegevens ontvangen van | Alle bronnen | Windows |
| Gegevensoverdracht | Knippen, kopiëren en plakken tussen apps beperken | Elke app | iOS/iPadOS, Android |
| Gegevensoverdracht | Knippen, kopiëren en plakken toestaan voor | Elke bestemming en elke bron | Windows |
| Gegevensoverdracht | Toetsenborden van derden | Toestaan | iOS/iPadOS |
| Gegevensoverdracht | Goedgekeurde toetsenborden | Niet vereist | Android |
| Gegevensoverdracht | Schermopname en Google-assistent | Toestaan | Android |
| Versleuteling | Organisatiegegevens versleutelen | Vereisen | iOS/iPadOS, Android |
| Versleuteling | Organisatiegegevens versleutelen op ingeschreven apparaten | Vereisen | Android |
| Functionaliteit | App synchroniseren met systeemeigen app voor contactpersonen | Toestaan | iOS/iPadOS, Android |
| Functionaliteit | Organisatiegegevens afdrukken | Toestaan | iOS/iPadOS, Android, Windows |
| Functionaliteit | Overdracht van webinhoud met andere apps beperken | Elke app | iOS/iPadOS, Android |
| Functionaliteit | Meldingen van organisatiegegevens | Toestaan | iOS/iPadOS, Android |
Toegangsvereisten
| Instelling | Waarde | Platform | Opmerkingen |
|---|---|---|---|
| Pincode voor toegang | Vereisen | iOS/iPadOS, Android | |
| Type pincode | Numeriek | iOS/iPadOS, Android | |
| Eenvoudige pincode | Toestaan | iOS/iPadOS, Android | |
| Minimale lengte van pincode selecteren | 4 | iOS/iPadOS, Android | |
| Touch ID in plaats van pincode voor toegang (iOS 8+/iPadOS) | Toestaan | iOS/iPadOS | |
| Biometrie overschrijven met pincode na time-out | Vereisen | iOS/iPadOS, Android | |
| Time-out (minuten van activiteit) | 1440 | iOS/iPadOS, Android | |
| Face ID in plaats van pincode voor toegang (iOS 11+/iPadOS) | Toestaan | iOS/iPadOS | |
| Biometrisch in plaats van pincode voor toegang | Toestaan | iOS/iPadOS, Android | |
| Pincode opnieuw instellen na een aantal dagen | Nee | iOS/iPadOS, Android | |
| Selecteer het aantal vorige pincodewaarden dat u wilt onderhouden | 0 | Android | |
| App-pincode wanneer de apparaatpincode is ingesteld | Vereisen | iOS/iPadOS, Android | Als het apparaat is ingeschreven bij Intune, kunnen beheerders overwegen dit in te stellen op 'Niet vereist' als ze een sterke apparaatpincode afdwingen via een nalevingsbeleid voor apparaten. |
| Werk- of schoolaccountreferenties voor toegang | Niet vereist | iOS/iPadOS, Android | |
| Controleer de toegangsvereisten opnieuw na (minuten van inactiviteit) | 30 | iOS/iPadOS, Android |
Voorwaardelijk starten
| Instelling | Beschrijving van instelling | Waarde/actie | Platform | Opmerkingen |
|---|---|---|---|---|
| App-voorwaarden | Maximum aantal pincodepogingen | 5 / Pincode opnieuw instellen | iOS/iPadOS, Android | |
| App-voorwaarden | Offline respijtperiode | 10080 / Toegang blokkeren (minuten) | iOS/iPadOS, Android, Windows | |
| App-voorwaarden | Offline respijtperiode | 90 / Gegevens wissen (dagen) | iOS/iPadOS, Android, Windows | |
| Apparaatvoorwaarden | Gekraakte/geroote apparaten | N.b./toegang blokkeren | iOS/iPadOS, Android | |
| Apparaatvoorwaarden | SafetyNet-apparaatattest | Basisintegriteit en gecertificeerde apparaten/ Toegang blokkeren | Android | Met deze instelling configureert u de apparaatintegriteitscontrole van Google Play op apparaten van eindgebruikers. Basisintegriteit valideert de integriteit van het apparaat. Geroote apparaten, emulators, virtuele apparaten en apparaten met tekenen van manipulatie mislukken de basisintegriteit. Basisintegriteit en gecertificeerde apparaten valideren de compatibiliteit van het apparaat met de services van Google. Alleen niet-gewijzigde apparaten die door Google zijn gecertificeerd, kunnen deze controle doorstaan. |
| Apparaatvoorwaarden | Bedreigingsscan voor apps vereisen | N.b./toegang blokkeren | Android | Met deze instelling zorgt u ervoor dat de scan van Google Apps verifiëren is ingeschakeld voor apparaten van eindgebruikers. Als deze is geconfigureerd, wordt de toegang tot de eindgebruiker geblokkeerd totdat hij of zij het scannen van apps van Google op zijn Android-apparaat inschakelt. |
| Apparaatvoorwaarden | Maximaal toegestaan bedreigingsniveau voor apparaten | Laag/toegang blokkeren | Windows | |
| Apparaatvoorwaarden | Apparaatvergrendeling vereisen | Laag/waarschuwen | Android | Deze instelling zorgt ervoor dat Android-apparaten een apparaatwachtwoord hebben dat voldoet aan de minimale wachtwoordvereisten. |
Opmerking
Instellingen voor voorwaardelijk starten van Windows worden gelabeld als Statuscontroles.
Niveau 2 enterprise verbeterde gegevensbescherming
Niveau 2 is de configuratie voor gegevensbeveiliging die wordt aanbevolen als standaard voor apparaten waarop gebruikers toegang hebben tot meer gevoelige informatie. Deze apparaten zijn tegenwoordig een natuurlijk doel in ondernemingen. Deze aanbevelingen gaan niet uit van een groot aantal hoogopgeleide beveiligingsprofessionals en moeten daarom toegankelijk zijn voor de meeste bedrijfsorganisaties. Deze configuratie breidt de configuratie in niveau 1 uit door scenario's voor gegevensoverdracht te beperken en een minimale versie van het besturingssysteem te vereisen.
Belangrijk
De beleidsinstellingen die worden afgedwongen in niveau 2 bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 1. Op niveau 2 worden echter alleen de instellingen vermeld die zijn toegevoegd of gewijzigd om meer besturingselementen en een geavanceerdere configuratie dan niveau 1 te implementeren. Hoewel deze instellingen een iets grotere impact kunnen hebben op gebruikers of toepassingen, wordt hiermee een niveau van gegevensbescherming afgedwongen dat beter in overeenstemming is met de risico's waarmee gebruikers toegang hebben tot gevoelige informatie op mobiele apparaten.
Gegevensbescherming
| Instelling | Beschrijving van instelling | Waarde | Platform | Opmerkingen |
|---|---|---|---|---|
| Gegevensoverdracht | Een back-up maken van organisatiegegevens naar... | Blokkeren | iOS/iPadOS, Android | |
| Gegevensoverdracht | Organisatiegegevens verzenden naar andere apps | Door beleid beheerde apps | iOS/iPadOS, Android | Met iOS/iPadOS kunnen beheerders deze waarde configureren als 'Door beleid beheerde apps', 'Door beleid beheerde apps met delen van het besturingssysteem' of 'Door beleid beheerde apps met open-in-/sharefiltering'. Door beleid beheerde apps met delen van het besturingssysteem zijn beschikbaar wanneer het apparaat ook is ingeschreven bij Intune. Met deze instelling kunt u gegevens overdragen naar andere door beleid beheerde apps en bestandsoverdrachten naar andere apps die worden beheerd door Intune. Door beleid beheerde apps met Open-In/Share-filtering filtert de dialoogvensters Openen in/delen van het besturingssysteem om alleen door beleid beheerde apps weer te geven. Zie Beveiligingsbeleidsinstellingen voor iOS-apps voor meer informatie. |
| Gegevensoverdracht | Gegevens verzenden of naar | Geen bestemmingen | Windows | |
| Gegevensoverdracht | Gegevens ontvangen van | Geen bronnen | Windows | |
| Gegevensoverdracht | Apps selecteren die u wilt uitsluiten | Standaard/skype; app-instellingen; calshow; itms; itmss; itms-apps; itms-apps; itms-services; | iOS/iPadOS | |
| Gegevensoverdracht | Kopieën van organisatiegegevens opslaan | Blokkeren | iOS/iPadOS, Android | |
| Gegevensoverdracht | Gebruikers toestaan kopieën op te slaan naar geselecteerde services | OneDrive voor Bedrijven, SharePoint Online, Fotobibliotheek | iOS/iPadOS, Android | |
| Gegevensoverdracht | Telecommunicatiegegevens overdragen naar | Elke kiezer-app | iOS/iPadOS, Android | |
| Gegevensoverdracht | Knippen, kopiëren en plakken tussen apps beperken | Door beleid beheerde apps met plakken in | iOS/iPadOS, Android | |
| Gegevensoverdracht | Knippen, kopiëren en plakken toestaan voor | Geen doel of bron | Windows | |
| Gegevensoverdracht | Schermopname en Google-assistent | Blokkeren | Android | |
| Functionaliteit | Overdracht van webinhoud met andere apps beperken | Microsoft Edge | iOS/iPadOS, Android | |
| Functionaliteit | Meldingen van organisatiegegevens | Organisatiegegevens blokkeren | iOS/iPadOS, Android | Zie Beveiligingsbeleidsinstellingen voor iOS-apps en Beveiligingsbeleidsinstellingen voor Android-apps voor een lijst met apps die deze instelling ondersteunen. |
Voorwaardelijk starten
| Instelling | Beschrijving van instelling | Waarde/actie | Platform | Opmerkingen |
|---|---|---|---|---|
| App-voorwaarden | Uitgeschakeld account | N.b./toegang blokkeren | iOS/iPadOS, Android, Windows | |
| Apparaatvoorwaarden | Minimale versie van het besturingssysteem |
Indeling: Major.Minor.Build Voorbeeld: 14.8 / Toegang blokkeren |
iOS/iPadOS | Microsoft raadt aan om de minimale primaire iOS-versie te configureren zodat deze overeenkomt met de ondersteunde iOS-versies voor Microsoft-apps. Microsoft-apps ondersteunen een N-1-benadering waarbij N de huidige primaire versie van iOS is. Voor secundaire en buildversiewaarden raadt Microsoft aan ervoor te zorgen dat apparaten up-to-date zijn met de respectieve beveiligingsupdates. Zie Apple-beveiligingsupdates voor de nieuwste aanbevelingen van Apple |
| Apparaatvoorwaarden | Minimale versie van het besturingssysteem |
Indeling: Major.Minor Voorbeeld: 9.0 /Toegang blokkeren |
Android | Microsoft raadt aan de minimale primaire Android-versie te configureren zodat deze overeenkomt met de ondersteunde Android-versies voor Microsoft-apps. OEM's en apparaten die voldoen aan de aanbevolen vereisten voor Android Enterprise, moeten ondersteuning bieden voor de huidige verzendrelease + upgrade van één letter. Momenteel raadt Android 9.0 en hoger aan voor kenniswerkers. Zie Aanbevolen vereisten voor Android Enterprise voor de meest recente aanbevelingen van Android |
| Apparaatvoorwaarden | Minimale versie van het besturingssysteem |
Indeling: Build Voorbeeld: 10.0.22621.2506 / Toegang blokkeren |
Windows | Microsoft raadt aan om de minimale Windows-build zo te configureren dat deze overeenkomt met de ondersteunde Windows-versies voor Microsoft-apps. Momenteel raadt Microsoft het volgende aan:
|
| Apparaatvoorwaarden | Minimale patchversie |
Indeling: JJJJ-MM-DD Voorbeeld: 2020-01-01 / Toegang blokkeren |
Android | Android-apparaten kunnen maandelijkse beveiligingspatches ontvangen, maar de release is afhankelijk van OEM's en/of providers. Organisaties moeten ervoor zorgen dat geïmplementeerde Android-apparaten beveiligingsupdates ontvangen voordat ze deze instelling implementeren. Zie Android-beveiligingsbulletins voor de nieuwste patchversies. |
| Apparaatvoorwaarden | Vereist SafetyNet-evaluatietype | Door hardware ondersteunde sleutel | Android | Hardware-ondersteunde attestation verbetert de bestaande Google Play Integrity-servicecontrole door een nieuw evaluatietype toe te passen met de naam Hardware Backed, waardoor een krachtigere basisdetectie wordt geboden als reactie op nieuwere typen rooting-hulpprogramma's en methoden die niet altijd betrouwbaar kunnen worden gedetecteerd door een oplossing die alleen software gebruikt. Zoals de naam al aangeeft, maakt hardware-ondersteunde attestation gebruik van een hardware-onderdeel, dat wordt geleverd met apparaten die zijn geïnstalleerd met Android 8.1 en hoger. Apparaten die zijn geüpgraded van een oudere versie van Android naar Android 8.1 hebben waarschijnlijk niet de hardwareonderdelen die nodig zijn voor attestation met hardware-ondersteuning. Hoewel deze instelling breed moet worden ondersteund vanaf apparaten die zijn geleverd met Android 8.1, raadt Microsoft ten zeerste aan om apparaten afzonderlijk te testen voordat deze beleidsinstelling algemeen wordt ingeschakeld. |
| Apparaatvoorwaarden | Apparaatvergrendeling vereisen | Gemiddelde/geblokkeerde toegang | Android | Deze instelling zorgt ervoor dat Android-apparaten een apparaatwachtwoord hebben dat voldoet aan de minimale wachtwoordvereisten. |
| Apparaatvoorwaarden | Samsung Knox-apparaatverklaring | Toegang blokkeren | Android | Microsoft raadt aan de instelling Samsung Knox-apparaatattest te configureren op Toegang blokkeren om ervoor te zorgen dat de toegang van het gebruikersaccount wordt geblokkeerd als het apparaat niet voldoet aan de Knox-hardwareverificatie van de apparaatstatus van Samsung. Met deze instelling controleert u of alle Intune MAM-clientreacties op de Intune service zijn verzonden vanaf een goed functionerend apparaat. Deze instelling is van toepassing op alle doelapparaten. Als u deze instelling alleen wilt toepassen op Samsung-apparaten, kunt u toewijzingsfilters voor beheerde apps gebruiken. Zie Filters gebruiken bij het toewijzen van uw apps, beleid en profielen in Microsoft Intune voor meer informatie over toewijzingsfilters. |
| App-voorwaarden | Offline respijtperiode | 30 / Gegevens wissen (dagen) | iOS/iPadOS, Android, Windows |
Opmerking
Instellingen voor voorwaardelijk starten van Windows worden gelabeld als Statuscontroles.
Hoge gegevensbescherming voor ondernemingen op niveau 3
Niveau 3 is de configuratie voor gegevensbeveiliging die wordt aanbevolen als standaard voor organisaties met grote en geavanceerde beveiligingsorganisaties, of voor specifieke gebruikers en groepen die uniek worden getroffen door kwaadwillenden. Dergelijke organisaties zijn doorgaans het doelwit van goed gefinancierde en geavanceerde aanvallers en verdienen als zodanig de aanvullende beperkingen en controles die worden beschreven. Deze configuratie breidt de configuratie in niveau 2 uit door aanvullende scenario's voor gegevensoverdracht te beperken, de complexiteit van de pincodeconfiguratie te vergroten en detectie van mobiele bedreigingen toe te voegen.
Belangrijk
De beleidsinstellingen die worden afgedwongen in niveau 3 bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 2, maar bevatten alleen de instellingen hieronder die zijn toegevoegd of gewijzigd om meer besturingselementen en een geavanceerdere configuratie dan niveau 2 te implementeren. Deze beleidsinstellingen kunnen een potentieel aanzienlijke impact hebben op gebruikers of toepassingen, waardoor een beveiligingsniveau wordt afgedwongen dat in verhouding staat tot de risico's van doelorganisaties.
Gegevensbescherming
| Instelling | Beschrijving van instelling | Waarde | Platform | Opmerkingen |
|---|---|---|---|---|
| Gegevensoverdracht | Telecommunicatiegegevens overdragen naar | Elke door beleid beheerde kiezer-app | Android | Beheerders kunnen deze instelling ook configureren voor het gebruik van een kiezer-app die geen ondersteuning biedt voor app-beveiligingsbeleid door Een specifieke kiezer-app te selecteren en de waarden Kiezer-app-pakket-id en Kiezer-appnaam op te geven. |
| Gegevensoverdracht | Telecommunicatiegegevens overdragen naar | Een specifieke kiezer-app | iOS/iPadOS | |
| Gegevensoverdracht | URL-schema voor kiezer-app | replace_with_dialer_app_url_scheme | iOS/iPadOS | Op iOS/iPadOS moet deze waarde worden vervangen door het URL-schema voor de aangepaste kiezer-app die wordt gebruikt. Als het URL-schema niet bekend is, neemt u contact op met de app-ontwikkelaar voor meer informatie. Zie Een aangepast URL-schema definiëren voor uw app voor meer informatie over URL-schema's. |
| Gegevensoverdracht | Gegevens ontvangen van andere apps | Door beleid beheerde apps | iOS/iPadOS, Android | |
| Gegevensoverdracht | Gegevens openen in organisatiedocumenten | Blokkeren | iOS/iPadOS, Android | |
| Gegevensoverdracht | Gebruikers toestaan gegevens te openen vanuit geselecteerde services | OneDrive voor Bedrijven, SharePoint, Camera, Fotobibliotheek | iOS/iPadOS, Android | Zie Beveiligingsbeleidsinstellingen voor Android-apps en beveiligingsbeleidsinstellingen voor iOS-apps voor gerelateerde informatie. |
| Gegevensoverdracht | Toetsenborden van derden | Blokkeren | iOS/iPadOS | Op iOS/iPadOS blokkeert dit de werking van alle toetsenborden van derden in de app. |
| Gegevensoverdracht | Goedgekeurde toetsenborden | Vereisen | Android | |
| Gegevensoverdracht | Toetsenborden selecteren om goed te keuren | toetsenborden toevoegen/verwijderen | Android | Met Android moeten toetsenborden worden geselecteerd om te kunnen worden gebruikt op basis van uw geïmplementeerde Android-apparaten. |
| Functionaliteit | Organisatiegegevens afdrukken | Blokkeren | iOS/iPadOS, Android, Windows |
Toegangsvereisten
| Instelling | Waarde | Platform |
|---|---|---|
| Eenvoudige pincode | Blokkeren | iOS/iPadOS, Android |
| Minimale lengte van pincode selecteren | 6 | iOS/iPadOS, Android |
| Pincode opnieuw instellen na een aantal dagen | Ja | iOS/iPadOS, Android |
| Aantal dagen | 365 | iOS/iPadOS, Android |
| Klasse 3 Biometrie (Android 9.0+) | Vereisen | Android |
| Biometrische gegevens overschrijven met pincode na biometrische updates | Vereisen | Android |
Voorwaardelijk starten
| Instelling | Beschrijving van instelling | Waarde/actie | Platform | Opmerkingen |
|---|---|---|---|---|
| Apparaatvoorwaarden | Apparaatvergrendeling vereisen | Hoge/blokkerende toegang | Android | Deze instelling zorgt ervoor dat Android-apparaten een apparaatwachtwoord hebben dat voldoet aan de minimale wachtwoordvereisten. |
| Apparaatvoorwaarden | Maximaal toegestaan bedreigingsniveau voor apparaten | Beveiligd/toegang blokkeren | Windows | |
| Apparaatvoorwaarden | Gekraakte/geroote apparaten | N.b./gegevens wissen | iOS/iPadOS, Android | |
| Apparaatvoorwaarden | Maximaal toegestaan bedreigingsniveau | Beveiligd/toegang blokkeren | iOS/iPadOS, Android | Niet-ingeschreven apparaten kunnen worden geïnspecteerd op bedreigingen met mobile threat defense. Zie Mobile Threat Defense voor niet-ingeschreven apparaten voor meer informatie. Als het apparaat is ingeschreven, kan deze instelling worden overgeslagen ten gunste van de implementatie van Mobile Threat Defense voor ingeschreven apparaten. Zie Mobile Threat Defense voor ingeschreven apparaten voor meer informatie. |
| Apparaatvoorwaarden | Maximale versie van het besturingssysteem |
Indeling: Major.Minor Voorbeeld: 11.0 / Toegang blokkeren |
Android | Microsoft raadt aan om de maximale primaire Android-versie te configureren om ervoor te zorgen dat bètaversies of niet-ondersteunde versies van het besturingssysteem niet worden gebruikt. Zie Aanbevolen vereisten voor Android Enterprise voor de meest recente aanbevelingen van Android |
| Apparaatvoorwaarden | Maximale versie van het besturingssysteem |
Indeling: Major.Minor.Build Voorbeeld: 15.0 / Toegang blokkeren |
iOS/iPadOS | Microsoft raadt aan de maximale primaire versie van iOS/iPadOS te configureren om ervoor te zorgen dat bètaversies of niet-ondersteunde versies van het besturingssysteem niet worden gebruikt. Zie Apple-beveiligingsupdates voor de nieuwste aanbevelingen van Apple |
| Apparaatvoorwaarden | Maximale versie van het besturingssysteem |
Indeling: Major.Minor Voorbeeld: 22631. / Toegang blokkeren |
Windows | Microsoft raadt aan om de maximale primaire versie van Windows te configureren om ervoor te zorgen dat bètaversies of niet-ondersteunde versies van het besturingssysteem niet worden gebruikt. |
| Apparaatvoorwaarden | Samsung Knox-apparaatverklaring | Gegevens wissen | Android | Microsoft raadt aan om de instelling Samsung Knox-apparaatverklaring te configureren op Gegevens wissen om ervoor te zorgen dat de organisatiegegevens worden verwijderd als het apparaat niet voldoet aan de Knox-hardwareverificatie van de apparaatstatus van Samsung. Met deze instelling controleert u of alle Intune MAM-clientreacties op de Intune service zijn verzonden vanaf een goed functionerend apparaat. Deze instelling is van toepassing op alle doelapparaten. Als u deze instelling alleen wilt toepassen op Samsung-apparaten, kunt u toewijzingsfilters voor beheerde apps gebruiken. Zie Filters gebruiken bij het toewijzen van uw apps, beleid en profielen in Microsoft Intune voor meer informatie over toewijzingsfilters. |
| App-voorwaarden | Offline respijtperiode | 30 / Toegang blokkeren (dagen) | iOS/iPadOS, Android, Windows |
Volgende stappen
Beheerders kunnen de bovenstaande configuratieniveaus opnemen in hun ringimplementatiemethodologie voor het testen en productiegebruik door het voorbeeld te importeren Intune JSON-sjablonen van App Protection Policy Configuration Framework met de PowerShell-scripts van Intune.