Ochrona danych na potrzeby zarządzania aplikacjami mobilnymi systemu Windows
Możesz włączyć chroniony dostęp zarządzania aplikacjami mobilnymi (MAM) do danych organizacji na osobistych urządzeniach z systemem Windows. Ta funkcja korzysta z następujących funkcji:
- Intune zasad konfiguracji aplikacji (ACP) w celu dostosowania środowiska użytkownika organizacji
- Intune zasad ochrony aplikacji (APP), aby zabezpieczyć dane organizacji i upewnić się, że urządzenie klienckie jest w dobrej kondycji
- Zabezpieczenia Windows Center client threat defense integrated with Intune APP to detect local health threats on personal Windows devices (Ochrona przed zagrożeniami klientów Zabezpieczenia Windows Center zintegrowana z aplikacją Intune APP w celu wykrywania lokalnych zagrożeń dla zdrowia na osobistych urządzeniach z systemem Windows
- Dostęp warunkowy usługi Application Protection, aby upewnić się, że urządzenie jest chronione i w dobrej kondycji przed udzieleniem dostępu do chronionej usługi za pośrednictwem Tożsamość Microsoft Entra
Uwaga
Intune zarządzanie aplikacjami mobilnymi (MAM) dla systemu Windows jest dostępne dla Windows 10, kompilacji 19045.3636, KB5031445 lub nowszej i Windows 11 kompilacji 10.0.22621.2506, KB5031455 (22H2) lub nowszej. Obejmuje to zmiany pomocnicze dla Microsoft Intune (wersja 2309), przeglądarki Microsoft Edge (stabilna gałąź w wersji 117 i nowszej dla Windows 11 i wersji 118.0.2088.71 lub nowszej dla Windows 11) i Zabezpieczenia Windows Center (wersja 1.0.2310.2002 i nowsze). Dostęp warunkowy usługi App Protection jest ogólnie dostępny.
Zarządzanie aplikacjami mobilnymi systemu Windows jest obsługiwane w środowiskach chmury dla instytucji rządowych. Aby uzyskać powiązane informacje, zobacz Wdrażanie aplikacji przy użyciu Intune w środowiskach GCC High i DoD.
Aby uzyskać więcej informacji na temat zarządzania aplikacjami mobilnymi, zobacz Podstawy zarządzania aplikacjami mobilnymi (MAM).
Uwaga
Łącznik usługi Mobile Threat Defense (MTD) dla składnika Zabezpieczenia Windows Center (WSC) jest obsługiwany tylko w Windows 11 wersji 22631 (23H2) lub nowszej.
Zarówno użytkownicy końcowi, jak i organizacje muszą mieć chroniony dostęp organizacyjny z urządzeń osobistych. Organizacje muszą zapewnić ochronę danych firmowych na urządzeniach osobistych, niezarządzanych. Jako administrator Intune masz obowiązek określić, w jaki sposób członkowie (użytkownicy końcowi) organizacji uzyskują dostęp do zasobów firmowych w sposób chroniony z urządzenia niezarządzanego. Podczas uzyskiwania dostępu do danych organizacji należy upewnić się, że urządzenia niezarządzane są w dobrej kondycji, aplikacje są zgodne z zasadami ochrony danych organizacji oraz że zasady organizacji nie mają wpływu na niezarządzane zasoby użytkownika końcowego na urządzeniu.
Jako administrator Intune musisz mieć następujące funkcje zarządzania aplikacjami:
- Możliwość wdrażania zasad ochrony aplikacji dla aplikacji/użytkowników chronionych za pomocą zestawu Intune APP SDK, w tym następujących:
- Ustawienia ochrony danych
- Sprawdzanie kondycji (czyli ustawienia uruchamiania warunkowego)
- Możliwość wymagania zasad ochrony aplikacji za pośrednictwem dostępu warunkowego
- Możliwość przeprowadzenia dodatkowej weryfikacji kondycji klienta za pośrednictwem centrum Zabezpieczenia Windows, wykonując następujące czynności:
- Wyznaczanie poziomu ryzyka centrum Zabezpieczenia Windows w celu umożliwienia użytkownikom końcowym dostępu do zasobów firmy
- Konfigurowanie łącznika opartego na dzierżawie w celu Microsoft Intune dla centrum Zabezpieczenia Windows
- Możliwość wdrożenia polecenia selektywnego czyszczenia w chronionych aplikacjach
Członkowie organizacji (użytkownicy końcowi) oczekują następujących funkcji dla swoich kont:
- Możliwość logowania się do Tożsamość Microsoft Entra dostępu do witryn chronionych przez dostęp warunkowy
- Możliwość zweryfikowania stanu kondycji urządzenia klienckiego w przypadku, gdy urządzenie jest uznawane za w złej kondycji
- Możliwość odwołania dostępu do zasobów, gdy urządzenie pozostaje w złej kondycji
- Możliwość informowania, z jasnymi krokami korygowania, gdy dostęp jest kontrolowany przez zasady administratora
Uwaga
Aby uzyskać informacje dotyczące Tożsamość Microsoft Entra, zobacz Wymagaj zasad ochrony aplikacji na urządzeniach z systemem Windows.
Zgodność dostępu warunkowego
Zapobieganie utracie danych jest częścią ochrony danych organizacji. Ochrona przed utratą danych (DLP) jest skuteczna tylko wtedy, gdy nie można uzyskać dostępu do danych organizacji z żadnego niechronionego systemu lub urządzenia. Dostęp warunkowy usługi App Protection używa dostępu warunkowego (CA) w celu zapewnienia, że zasady ochrony aplikacji (APP) są obsługiwane i wymuszane w aplikacji klienckiej przed zezwoleniem na dostęp do chronionych zasobów (takich jak dane organizacji). Urząd certyfikacji aplikacji umożliwi użytkownikom końcowym z osobistymi urządzeniami z systemem Windows korzystanie z aplikacji zarządzanych przez aplikację, w tym przeglądarki Microsoft Edge, w celu uzyskania dostępu do zasobów Microsoft Entra bez pełnego zarządzania ich urządzeniami osobistymi.
Ta usługa MAM synchronizuje stan zgodności na użytkownika, aplikację i urządzenie z usługą urzędu certyfikacji Microsoft Entra. Obejmuje to informacje o zagrożeniach otrzymane od dostawców usługi Mobile Threat Defense (MTD), począwszy od centrum Zabezpieczenia Windows.
Uwaga
Ta usługa mam używa tego samego przepływu pracy zgodności dostępu warunkowego, który jest używany do zarządzania przeglądarką Microsoft Edge na urządzeniach z systemami iOS i Android.
Po wykryciu zmiany usługa MAM natychmiast aktualizuje stan zgodności urządzenia. Usługa obejmuje również stan kondycji usługi MTD jako część stanu zgodności.
Uwaga
Usługa MAM ocenia stan MTD w usłudze. Odbywa się to niezależnie od klienta mam i platformy klienta.
Klient MAM komunikuje stan kondycji klienta (lub metadane kondycji) z usługą MAM po zaewidencjonowaniu. Stan kondycji obejmuje wszelkie niepowodzenia sprawdzania kondycji aplikacji dla warunków blokowania lub czyszczenia . Ponadto Tożsamość Microsoft Entra przeprowadzi użytkowników końcowych przez kroki korygowania podczas próby uzyskania dostępu do zablokowaneego zasobu urzędu certyfikacji.
Zgodność dostępu warunkowego
Organizacje mogą używać Microsoft Entra zasad dostępu warunkowego, aby zapewnić użytkownikom dostęp tylko do zawartości służbowych przy użyciu aplikacji zarządzanych przez zasady w systemie Windows. W tym celu potrzebne są zasady dostępu warunkowego, które dotyczą wszystkich potencjalnych użytkowników. Wykonaj kroki opisane w temacie Wymagaj zasad ochrony aplikacji na urządzeniach z systemem Windows, co umożliwia przeglądarce Microsoft Edge dla systemu Windows, ale blokuje nawiązywanie połączenia z punktami końcowymi platformy Microsoft 365 przez inne przeglądarki internetowe.
Dostępem warunkowym można również objąć witryny lokalne, które zostały uwidocznione dla użytkowników zewnętrznych za pośrednictwem serwera proxy aplikacji usługi Microsoft Entra.
Kondycja usługi Threat Defense
Stan kondycji urządzenia należącego do użytkownika jest weryfikowany przed zezwoleniem na dostęp do danych organizacji. Wykrywanie zagrożeń zarządzania aplikacjami mobilnymi można połączyć z centrum Zabezpieczenia Windows. centrum Zabezpieczenia Windows udostępnia ocenę kondycji urządzenia klienckiego w celu Intune aplikacji za pośrednictwem łącznika service-to-service. Ta ocena obsługuje łączenie przepływu i dostęp do danych organizacji na osobistych urządzeniach niezarządzanych.
Stan kondycji zawiera następujące szczegóły:
- Identyfikatory użytkowników, aplikacji i urządzeń
- Wstępnie zdefiniowany stan kondycji
- Czas ostatniej aktualizacji stanu kondycji
Stan kondycji jest wysyłany tylko dla zarejestrowanych użytkowników mam. Użytkownicy końcowi mogą przestać wysyłać dane, wylogując się ze swojego konta organizacji w chronionych aplikacjach. Administratorzy mogą przestać wysyłać dane, usuwając łącznik Zabezpieczenia Windows z Microsoft Intune.
Aby uzyskać powiązane informacje, zobacz tworzenie zasad ochrony aplikacji MTD dla systemu Windows.
Utwórz zasady ochrony aplikacji usługi Intune
Zasady ochrony aplikacji (zasady APP) definiują, które aplikacje są dozwolone, oraz akcje, jakie mogą wykonywać na danych Twojej organizacji. Opcje dostępne w zasadach APP umożliwiają organizacjom dostosowanie ochrony do ich konkretnych potrzeb. Dla niektórych może nie być oczywiste, które ustawienia zasad są wymagane do wdrożenia pełnego scenariusza.
Jako administrator możesz skonfigurować sposób ochrony danych za pośrednictwem aplikacji. Ta konfiguracja ma zastosowanie do natywnej interakcji aplikacji systemu Windows z danymi. Ustawienia aplikacji są podzielone na trzy kategorie:
- Ochrona danych — te ustawienia kontrolują sposób przenoszenia danych do i z kontekstu organizacji (konta, dokumentu, lokalizacji, usług) dla użytkownika.
- Kontrole kondycji (uruchamianie warunkowe) — te ustawienia kontrolują warunki urządzenia wymagane do uzyskania dostępu do danych organizacji i akcji korygowania, jeśli warunki nie zostaną spełnione.
Aby ułatwić organizacjom ustalanie priorytetów zabezpieczeń punktów końcowych klienta, firma Microsoft wprowadziła taksonomię dla struktury ochrony danych aplikacji na potrzeby zarządzania aplikacjami mobilnymi.
Aby zobaczyć specyficzne zalecenia dotyczące każdego poziomu konfiguracji i minimalną liczbę aplikacji, które muszą być chronione, zapoznaj się z artykułem Struktura ochrony danych przy użyciu zasad ochrony aplikacji.
Aby uzyskać więcej informacji na temat dostępnych ustawień, zobacz Ustawienia zasad ochrony aplikacji systemu Windows.