Struktura ochrony danych przy użyciu zasad ochrony aplikacji
W miarę jak coraz więcej organizacji wdraża strategie urządzeń przenośnych w celu uzyskiwania dostępu do danych służbowych, ochrona przed wyciekami danych staje się najważniejsza. Rozwiązanie do zarządzania aplikacjami mobilnymi Intune do ochrony przed wyciekami danych to Zasady ochrony aplikacji (APP). APLIKACJA to reguły, które zapewniają, że dane organizacji pozostają bezpieczne lub zawarte w zarządzanej aplikacji, niezależnie od tego, czy urządzenie jest zarejestrowane. Aby uzyskać więcej informacji, zobacz omówienie zasad Ochrona aplikacji.
Podczas konfigurowania zasad ochrony aplikacji liczba różnych ustawień i opcji umożliwia organizacjom dostosowanie ochrony do ich konkretnych potrzeb. Ze względu na tę elastyczność może nie być oczywiste, która permutacja ustawień zasad jest wymagana do zaimplementowania kompletnego scenariusza. Aby ułatwić organizacjom ustalanie priorytetów wysiłków w zakresie wzmacniania poziomu punktów końcowych klientów, firma Microsoft wprowadziła nową taksonomię dla konfiguracji zabezpieczeń w Windows 10, a Intune wykorzystuje podobną taksonomię dla struktury ochrony danych aplikacji na potrzeby zarządzania aplikacjami mobilnymi.
Struktura konfiguracji ochrony danych aplikacji jest zorganizowana w trzy różne scenariusze konfiguracji:
Podstawowa ochrona danych na poziomie 1 — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację ochrony danych dla urządzenia przedsiębiorstwa.
Rozszerzona ochrona danych na poziomie 2 — firma Microsoft zaleca tę konfigurację dla urządzeń, na których użytkownicy uzyskują dostęp do informacji poufnych lub poufnych. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych uzyskujących dostęp do danych służbowych. Niektóre kontrolki mogą mieć wpływ na środowisko użytkownika.
Wysoki poziom ochrony danych na poziomie 3 — firma Microsoft zaleca tę konfigurację dla urządzeń uruchamianych przez organizację z większym lub bardziej zaawansowanym zespołem ds. zabezpieczeń lub dla określonych użytkowników lub grup, którzy są wyjątkowo narażeni na ryzyko (użytkownicy obsługują wysoce poufne dane, gdy nieautoryzowane ujawnienie powoduje znaczne straty materialne w organizacji). Organizacja, która może być celem dobrze finansowanych i zaawansowanych przeciwników, powinna dążyć do tej konfiguracji.
Metodologia wdrażania programu APP Data Protection Framework
Podobnie jak w przypadku każdego wdrożenia nowego oprogramowania, funkcji lub ustawień, firma Microsoft zaleca zainwestowanie w metodologię pierścienia do testowania walidacji przed wdrożeniem struktury ochrony danych aplikacji. Definiowanie pierścieni wdrażania jest zazwyczaj zdarzeniem jednorazowym (lub co najmniej rzadkim), ale it should revisit these groups to ensure that the sequencing is still correct.
Firma Microsoft zaleca następujące podejście do pierścienia wdrażania dla struktury ochrony danych aplikacji:
| Pierścień wdrożenia | Dzierżawca | Zespoły oceniające | Dane wyjściowe | Oś czasu |
|---|---|---|---|---|
| Kontrola jakości | Dzierżawa przedprodukcyjna | Właściciele możliwości mobilnych, bezpieczeństwo, ocena ryzyka, prywatność, środowisko użytkownika | Sprawdzanie poprawności scenariusza funkcjonalnego, dokumentacja w wersji roboczej | 0–30 dni |
| Wersja zapoznawcza | Dzierżawa produkcyjna | Właściciele możliwości mobilnych, środowisko użytkownika | Walidacja scenariusza użytkownika końcowego, dokumentacja dotycząca użytkowników | 7–14 dni, kontrola jakości po wdrożeniu |
| Produkcja | Dzierżawa produkcyjna | Właściciele możliwości mobilnych, pomoc techniczna IT | Nie dotyczy | 7 dni do kilku tygodni, wersja zapoznawcza po wdrożeniu |
Jak wskazuje powyższa tabela, wszystkie zmiany zasad ochrony aplikacji należy najpierw wykonać w środowisku przedprodukcyjnym, aby zrozumieć implikacje dotyczące ustawień zasad. Po zakończeniu testowania zmiany można przenieść do środowiska produkcyjnego i zastosować do podzestawu użytkowników produkcyjnych, ogólnie działu IT i innych odpowiednich grup. Na koniec wdrożenie można ukończyć dla pozostałej części społeczności użytkowników mobilnych. Wdrożenie w środowisku produkcyjnym może potrwać dłużej w zależności od skali wpływu zmiany. Jeśli nie ma wpływu na użytkownika, zmiana powinna zostać szybko wdrożona, natomiast jeśli zmiana spowoduje wpływ na użytkownika, wdrożenie może wymagać wolniejszego działania ze względu na konieczność przekazywania zmian do populacji użytkowników.
Podczas testowania zmian w aplikacji należy pamiętać o czasie dostarczania. Stan dostarczania aplikacji dla danego użytkownika może być monitorowany. Aby uzyskać więcej informacji, zobacz Jak monitorować zasady ochrony aplikacji.
Poszczególne ustawienia aplikacji dla każdej aplikacji można zweryfikować na urządzeniach przy użyciu przeglądarki Microsoft Edge i adresu URL about:Intunehelp. Aby uzyskać więcej informacji, zobacz Przeglądanie dzienników ochrony aplikacji klienckich i Używanie przeglądarki Microsoft Edge dla systemów iOS i Android do uzyskiwania dostępu do dzienników aplikacji zarządzanych.
Ustawienia programu APP Data Protection Framework
Następujące ustawienia zasad ochrony aplikacji powinny być włączone dla odpowiednich aplikacji i przypisane do wszystkich użytkowników mobilnych. Aby uzyskać więcej informacji na temat każdego ustawienia zasad, zobacz Ustawienia zasad ochrony aplikacji systemu iOS i Ustawienia zasad ochrony aplikacji systemu Android.
Firma Microsoft zaleca przeglądanie i kategoryzowanie scenariuszy użycia, a następnie konfigurowanie użytkowników przy użyciu nakazowych wskazówek dotyczących tego poziomu. Podobnie jak w przypadku każdej struktury, ustawienia na odpowiednim poziomie mogą wymagać dostosowania na podstawie potrzeb organizacji, ponieważ ochrona danych musi ocenić środowisko zagrożeń, apetyt na ryzyko i wpływ na użyteczność.
Administratorzy mogą uwzględnić poniższe poziomy konfiguracji w swojej metodologii wdrażania pierścienia na potrzeby testowania i użycia w środowisku produkcyjnym, importując przykładowe szablony JSON programu Intune App Protection Policy Configuration Framework za pomocą skryptów programu PowerShell Intune.
Uwaga
W przypadku korzystania z funkcji MAM dla systemu Windows zobacz Ochrona aplikacji ustawienia zasad dla systemu Windows.
Zasady dostępu warunkowego
Aby upewnić się, że tylko aplikacje obsługujące usługi App Protection Poliies uzyskują dostęp do danych konta służbowego, Microsoft Entra wymagane są zasady dostępu warunkowego. Te zasady zostały opisane w artykule Dostęp warunkowy: Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji.
Zobacz Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji przy użyciu urządzeń przenośnych w obszarze Dostęp warunkowy: Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji , aby uzyskać instrukcje implementowania określonych zasad. Na koniec zaimplementuj kroki opisane w temacie Blokuj starsze uwierzytelnianie , aby zablokować starsze aplikacje z obsługą uwierzytelniania dla systemów iOS i Android.
Uwaga
Te zasady korzystają z mechanizmów kontroli przyznawania Wymagaj zatwierdzonej aplikacji klienckiej i Wymagaj zasad ochrony aplikacji.
Aplikacje do uwzględnienia w zasadach ochrony aplikacji
Dla każdej zasady ochrony aplikacji grupa Podstawowa Microsoft Apps jest przeznaczona, która obejmuje następujące aplikacje:
- Microsoft Edge
- Excel
- Pakiet Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- To Do
- Word
Zasady powinny obejmować inne aplikacje firmy Microsoft oparte na potrzebach biznesowych, dodatkowe aplikacje publiczne innych firm, które zintegrowały zestaw SDK Intune używany w organizacji, a także aplikacje biznesowe, które zintegrowały zestaw SDK Intune (lub zostały opakowane).
Podstawowa ochrona danych na poziomie 1 przedsiębiorstwa
Poziom 1 to minimalna konfiguracja ochrony danych dla urządzenia przenośnego przedsiębiorstwa. Ta konfiguracja zastępuje potrzebę podstawowych zasad dostępu Exchange Online urządzenia, wymagając numeru PIN w celu uzyskania dostępu do danych służbowych, szyfrowania danych konta służbowego i zapewniania możliwości selektywnego czyszczenia danych służbowych. Jednak w przeciwieństwie do Exchange Online zasad dostępu do urządzeń poniższe ustawienia zasad ochrony aplikacji mają zastosowanie do wszystkich aplikacji wybranych w zasadach, zapewniając tym samym ochronę dostępu do danych poza scenariuszami obsługi komunikatów mobilnych.
Zasady na poziomie 1 wymuszają rozsądny poziom dostępu do danych przy jednoczesnym zminimalizowaniu wpływu na użytkowników i odzwierciedlają domyślne ustawienia wymagań dotyczących ochrony danych i dostępu podczas tworzenia zasad ochrony aplikacji w ramach Microsoft Intune.
Ochrona danych
| Ustawienie | Opis ustawienia | Value | Platforma |
|---|---|---|---|
| Transfer danych | Utwórz kopię zapasową danych organizacji w... | Zezwalaj | iOS/iPadOS, Android |
| Transfer danych | Wysyłanie danych organizacji do innych aplikacji | Wszystkie aplikacje | iOS/iPadOS, Android |
| Transfer danych | Wysyłanie danych organizacji do | Wszystkie miejsca docelowe | System Windows |
| Transfer danych | Odbieranie danych z innych aplikacji | Wszystkie aplikacje | iOS/iPadOS, Android |
| Transfer danych | Odbieranie danych z | Wszystkie źródła | System Windows |
| Transfer danych | Ograniczanie wycinania, kopiowania i wklejania między aplikacjami | Dowolna aplikacja | iOS/iPadOS, Android |
| Transfer danych | Zezwalaj na wycinanie, kopiowanie i wklejanie | Dowolne miejsce docelowe i dowolne źródło | System Windows |
| Transfer danych | Klawiatury innych firm | Zezwalaj | iOS/iPadOS |
| Transfer danych | Zatwierdzone klawiatury | Nie jest wymagane | Android |
| Transfer danych | Przechwytywanie ekranu i Asystent Google | Zezwalaj | Android |
| Szyfrowanie | Szyfrowanie danych organizacji | Wymagać | iOS/iPadOS, Android |
| Szyfrowanie | Szyfrowanie danych organizacji na zarejestrowanych urządzeniach | Wymagać | Android |
| Funkcjonalność | Synchronizowanie aplikacji z natywną aplikacją kontaktów | Zezwalaj | iOS/iPadOS, Android |
| Funkcjonalność | Drukowanie danych organizacji | Zezwalaj | iOS/iPadOS, Android, Windows |
| Funkcjonalność | Ograniczanie transferu zawartości internetowej za pomocą innych aplikacji | Dowolna aplikacja | iOS/iPadOS, Android |
| Funkcjonalność | Powiadomienia o danych organizacji | Zezwalaj | iOS/iPadOS, Android |
Wymagania dotyczące dostępu
| Ustawienie | Value | Platforma | Uwagi |
|---|---|---|---|
| Numer PIN dostępu | Wymagać | iOS/iPadOS, Android | |
| Typ numeru PIN | Numeryczny | iOS/iPadOS, Android | |
| Prosty numer PIN | Zezwalaj | iOS/iPadOS, Android | |
| Wybierz minimalną długość numeru PIN | 4 | iOS/iPadOS, Android | |
| Touch ID zamiast numeru PIN w celu uzyskania dostępu (system iOS 8+/iPadOS) | Zezwalaj | iOS/iPadOS | |
| Zastąp dane biometryczne numerem PIN po przekroczeniu limitu czasu | Wymagać | iOS/iPadOS, Android | |
| Limit czasu (minuty działania) | 1440 | iOS/iPadOS, Android | |
| Identyfikator twarzy zamiast numeru PIN na potrzeby dostępu (system iOS 11+/iPadOS) | Zezwalaj | iOS/iPadOS | |
| Biometryczne zamiast numeru PIN w celu uzyskania dostępu | Zezwalaj | iOS/iPadOS, Android | |
| Resetowanie numeru PIN po liczbie dni | Nie | iOS/iPadOS, Android | |
| Wybierz liczbę poprzednich wartości numeru PIN do utrzymania | 0 | Android | |
| Numer PIN aplikacji po ustawieniu numeru PIN urządzenia | Wymagać | iOS/iPadOS, Android | Jeśli urządzenie jest zarejestrowane w Intune, administratorzy mogą rozważyć ustawienie tego ustawienia na wartość "Nie jest wymagane", jeśli wymuszają silny numer PIN urządzenia za pośrednictwem zasad zgodności urządzeń. |
| Poświadczenia konta służbowego na potrzeby dostępu | Nie jest wymagane | iOS/iPadOS, Android | |
| Sprawdź ponownie wymagania dostępu po (w minutach braku aktywności) | 30 | iOS/iPadOS, Android |
Uruchamianie warunkowe
| Ustawienie | Opis ustawienia | Wartość/akcja | Platforma | Uwagi |
|---|---|---|---|---|
| Warunki aplikacji | Maksymalna liczba prób numeru PIN | 5 / Resetowanie numeru PIN | iOS/iPadOS, Android | |
| Warunki aplikacji | Okres prolongaty w trybie offline | 10080 / Blokuj dostęp (w minutach) | iOS/iPadOS, Android, Windows | |
| Warunki aplikacji | Okres prolongaty w trybie offline | 90 / Czyszczenie danych (dni) | iOS/iPadOS, Android, Windows | |
| Warunki urządzenia | Urządzenia ze zdjętymi zabezpieczeniami systemu /urządzeniami z dostępem do konta root | N/A/ Blokuj dostęp | iOS/iPadOS, Android | |
| Warunki urządzenia | Zaświadczanie urządzenia SafetyNet | Podstawowa integralność i certyfikowane urządzenia / Blokuj dostęp | Android | To ustawienie konfiguruje sprawdzanie integralności urządzeń w sklepie Google Play na urządzeniach użytkowników końcowych. Podstawowa integralność weryfikuje integralność urządzenia. Urządzenia z odblokowanym dostępem, emulatory, urządzenia wirtualne i urządzenia z oznakami naruszenia nie mają podstawowej integralności. Podstawowa integralność i certyfikowane urządzenia sprawdzają zgodność urządzenia z usługami Firmy Google. Tylko niezmodyfikowane urządzenia, które zostały certyfikowane przez firmę Google, mogą przejść tę kontrolę. |
| Warunki urządzenia | Wymagaj skanowania pod kątem zagrożeń w aplikacjach | N/A/ Blokuj dostęp | Android | To ustawienie gwarantuje, że skanowanie weryfikujące aplikacje firmy Google jest włączone dla urządzeń użytkowników końcowych. Jeśli ta konfiguracja zostanie skonfigurowana, użytkownik końcowy będzie miał zablokowany dostęp do momentu włączenia skanowania aplikacji Google na urządzeniu z systemem Android. |
| Warunki urządzenia | Maksymalny dozwolony poziom zagrożenia urządzenia | Niski/zablokowany dostęp | System Windows | |
| Warunki urządzenia | Wymagaj blokady urządzenia | Niski/Ostrzegaj | Android | To ustawienie gwarantuje, że urządzenia z systemem Android mają hasło urządzenia spełniające minimalne wymagania dotyczące hasła. |
Uwaga
Ustawienia uruchamiania warunkowego systemu Windows są oznaczone jako Testy kondycji.
Rozszerzona ochrona danych na poziomie 2 przedsiębiorstwa
Poziom 2 to konfiguracja ochrony danych zalecana jako standard dla urządzeń, na których użytkownicy uzyskują dostęp do bardziej poufnych informacji. Urządzenia te są obecnie naturalnym celem w przedsiębiorstwach. Te zalecenia nie zakładają dużego personelu wysoko wykwalifikowanych specjalistów ds. zabezpieczeń i dlatego powinny być dostępne dla większości organizacji korporacyjnych. Ta konfiguracja rozszerza się po konfiguracji na poziomie 1, ograniczając scenariusze transferu danych i wymagając minimalnej wersji systemu operacyjnego.
Ważna
Ustawienia zasad wymuszane na poziomie 2 obejmują wszystkie ustawienia zasad zalecane dla poziomu 1. Jednak poziom 2 zawiera tylko te ustawienia, które zostały dodane lub zmienione w celu zaimplementowania większej liczby kontrolek i bardziej zaawansowanej konfiguracji niż poziom 1. Chociaż te ustawienia mogą mieć nieco większy wpływ na użytkowników lub aplikacje, wymuszają one poziom ochrony danych bardziej proporcjonalnie do zagrożeń, przed którymi stoją użytkownicy z dostępem do poufnych informacji na urządzeniach przenośnych.
Ochrona danych
| Ustawienie | Opis ustawienia | Value | Platforma | Uwagi |
|---|---|---|---|---|
| Transfer danych | Utwórz kopię zapasową danych organizacji w... | Blokuj | iOS/iPadOS, Android | |
| Transfer danych | Wysyłanie danych organizacji do innych aplikacji | Aplikacje zarządzane przez zasady | iOS/iPadOS, Android | W systemie iOS/iPadOS administratorzy mogą skonfigurować tę wartość tak, aby była to wartość "Aplikacje zarządzane przez zasady", "Aplikacje zarządzane przez zasady z udostępnianiem systemu operacyjnego" lub "Aplikacje zarządzane przez zasady z filtrowaniem otwórz w/udostępnij". Aplikacje zarządzane przez zasady z udostępnianiem systemu operacyjnego są dostępne, gdy urządzenie jest również zarejestrowane w Intune. To ustawienie umożliwia transfer danych do innych aplikacji zarządzanych przez zasady oraz transfer plików do innych aplikacji zarządzanych przez Intune. Aplikacje zarządzane przez zasady z filtrowaniem Otwórz w/Udostępnij filtrują okna dialogowe Otwieranie w/Udostępnianie systemu operacyjnego, aby wyświetlać tylko aplikacje zarządzane przez zasady. Aby uzyskać więcej informacji, zobacz Ustawienia zasad ochrony aplikacji systemu iOS. |
| Transfer danych | Wyślij lub dane do | Brak miejsc docelowych | System Windows | |
| Transfer danych | Odbieranie danych z | Brak źródeł | System Windows | |
| Transfer danych | Wybieranie aplikacji do wykluczenia | Domyślne /skype; ustawienia aplikacji; calshow; itms; itmss; itms-apps; itms-appss; itms-services; | iOS/iPadOS | |
| Transfer danych | Zapisywanie kopii danych organizacji | Blokuj | iOS/iPadOS, Android | |
| Transfer danych | Zezwalaj użytkownikom na zapisywanie kopii w wybranych usługach | OneDrive dla Firm, SharePoint Online, Biblioteka zdjęć | iOS/iPadOS, Android | |
| Transfer danych | Transfer danych telekomunikacyjnych do | Dowolna aplikacja wybierania numerów | iOS/iPadOS, Android | |
| Transfer danych | Ograniczanie wycinania, kopiowania i wklejania między aplikacjami | Aplikacje zarządzane przez zasady z wklejaczem | iOS/iPadOS, Android | |
| Transfer danych | Zezwalaj na wycinanie, kopiowanie i wklejanie | Brak miejsca docelowego ani źródła | System Windows | |
| Transfer danych | Przechwytywanie ekranu i Asystent Google | Blokuj | Android | |
| Funkcjonalność | Ograniczanie transferu zawartości internetowej za pomocą innych aplikacji | Microsoft Edge | iOS/iPadOS, Android | |
| Funkcjonalność | Powiadomienia o danych organizacji | Blokuj dane organizacji | iOS/iPadOS, Android | Aby uzyskać listę aplikacji, które obsługują to ustawienie, zobacz ustawienia zasad ochrony aplikacji systemu iOS i Ustawienia zasad ochrony aplikacji systemu Android. |
Uruchamianie warunkowe
| Ustawienie | Opis ustawienia | Wartość/akcja | Platforma | Uwagi |
|---|---|---|---|---|
| Warunki aplikacji | Wyłączone konto | N/A/ Blokuj dostęp | iOS/iPadOS, Android, Windows | |
| Warunki urządzenia | Minimalna wersja systemu operacyjnego |
Format: Major.Minor.Build Przykład: 14.8 / Blokowanie dostępu |
iOS/iPadOS | Firma Microsoft zaleca skonfigurowanie minimalnej wersji głównej systemu iOS tak, aby była zgodna z obsługiwanymi wersjami systemu iOS dla aplikacji firmy Microsoft. Aplikacje firmy Microsoft obsługują podejście N-1, w którym N jest bieżącą wersją główną systemu iOS. W przypadku wartości wersji pomocniczych i wersji kompilacji firma Microsoft zaleca upewnienie się, że urządzenia są aktualne z odpowiednimi aktualizacjami zabezpieczeń. Zobacz Aktualizacje zabezpieczeń firmy Apple , aby zapoznać się z najnowszymi zaleceniami firmy Apple |
| Warunki urządzenia | Minimalna wersja systemu operacyjnego |
Format: Major.Minor Przykład: 9.0 / Blokowanie dostępu |
Android | Firma Microsoft zaleca skonfigurowanie minimalnej wersji głównej systemu Android zgodnej z obsługiwanymi wersjami systemu Android dla aplikacji firmy Microsoft. Oprogramowanie OEM i urządzenia zgodne z wymaganiami zalecanymi dla systemu Android Enterprise muszą obsługiwać bieżącą wersję wysyłkową i uaktualnienie jednoliterowe. Obecnie firma Android zaleca korzystanie z systemu Android 9.0 i nowszych wersji w przypadku pracowników intelektualnych. Zobacz Wymagania zalecane dla systemu Android Enterprise dotyczące najnowszych zaleceń systemu Android |
| Warunki urządzenia | Minimalna wersja systemu operacyjnego |
Format: Kompilacja Przykład: 10.0.22621.2506 / Blokuj dostęp |
System Windows | Firma Microsoft zaleca skonfigurowanie minimalnej kompilacji systemu Windows tak, aby była zgodna z obsługiwanymi wersjami systemu Windows dla aplikacji firmy Microsoft. Obecnie firma Microsoft zaleca następujące czynności:
|
| Warunki urządzenia | Minimalna wersja poprawki |
Format: RRRR-MM-DD Przykład: 2020-01-01 / Blokowanie dostępu |
Android | Urządzenia z systemem Android mogą otrzymywać miesięczne poprawki zabezpieczeń, ale wersja jest zależna od OEM i/lub operatorów. Organizacje powinny upewnić się, że wdrożone urządzenia z systemem Android otrzymują aktualizacje zabezpieczeń przed zaimplementowaniem tego ustawienia. Zobacz Biuletyny zabezpieczeń systemu Android , aby uzyskać najnowsze wersje poprawek. |
| Warunki urządzenia | Wymagany typ oceny safetynetu | Klucz oparty na sprzęcie | Android | Zaświadczanie oparte na sprzęcie usprawnia sprawdzanie istniejącej usługi google Play Integrity, stosując nowy typ oceny o nazwie Hardware Backed, zapewniając bardziej niezawodne wykrywanie root w odpowiedzi na nowsze typy narzędzi i metod rootingu, które nie zawsze mogą być niezawodnie wykrywane przez rozwiązanie tylko oprogramowanie. Jak sama nazwa wskazuje, zaświadczanie oparte na sprzęcie używa składnika sprzętowego, który jest dostarczany z urządzeniami zainstalowanymi z systemem Android 8.1 lub nowszym. Urządzenia, które zostały uaktualnione ze starszej wersji systemu Android do systemu Android 8.1, prawdopodobnie nie będą miały składników sprzętowych niezbędnych do zaświadczania opartego na sprzęcie. Chociaż to ustawienie powinno być szeroko obsługiwane, począwszy od urządzeń dostarczanych z systemem Android 8.1, firma Microsoft zdecydowanie zaleca testowanie urządzeń indywidualnie przed szerokim włączeniem tego ustawienia zasad. |
| Warunki urządzenia | Wymagaj blokady urządzenia | Dostęp średni/blokowy | Android | To ustawienie gwarantuje, że urządzenia z systemem Android mają hasło urządzenia spełniające minimalne wymagania dotyczące hasła. |
| Warunki urządzenia | Zaświadczanie urządzenia Samsung Knox | Blokuj dostęp | Android | Firma Microsoft zaleca skonfigurowanie ustawienia zaświadczania urządzenia z systemem Samsung Knox na wartość Blokuj dostęp , aby mieć pewność, że dostęp do konta użytkownika zostanie zablokowany, jeśli urządzenie nie spełnia wymagań sprzętowej weryfikacji kondycji urządzenia w systemie Knox firmy Samsung. To ustawienie weryfikuje wszystkie Intune odpowiedzi klientów zarządzania aplikacjami mobilnymi na usługę Intune zostały wysłane z urządzenia w dobrej kondycji. To ustawienie dotyczy wszystkich urządzeń docelowych. Aby zastosować to ustawienie tylko do urządzeń firmy Samsung, możesz użyć filtrów przypisań "Aplikacje zarządzane". Aby uzyskać więcej informacji na temat filtrów przypisania, zobacz Używanie filtrów podczas przypisywania aplikacji, zasad i profilów w Microsoft Intune. |
| Warunki aplikacji | Okres prolongaty w trybie offline | 30 / Czyszczenie danych (dni) | iOS/iPadOS, Android, Windows |
Uwaga
Ustawienia uruchamiania warunkowego systemu Windows są oznaczone jako Testy kondycji.
Wysoka ochrona danych na poziomie 3 przedsiębiorstwa
Poziom 3 to konfiguracja ochrony danych zalecana jako standard dla organizacji z dużymi i zaawansowanymi organizacjami zabezpieczeń lub dla określonych użytkowników i grup, którzy będą unikatowo celem ataków. Takie organizacje są zazwyczaj celem dobrze finansowanych i zaawansowanych przeciwników i jako takie zasługują na dodatkowe ograniczenia i mechanizmy kontroli opisane. Ta konfiguracja rozszerza konfigurację na poziomie 2, ograniczając dodatkowe scenariusze transferu danych, zwiększając złożoność konfiguracji numeru PIN i dodając wykrywanie zagrożeń mobilnych.
Ważna
Ustawienia zasad wymuszane na poziomie 3 obejmują wszystkie ustawienia zasad zalecane dla poziomu 2, ale zawierają tylko poniższe ustawienia, które zostały dodane lub zmienione w celu zaimplementowania większej liczby kontrolek i bardziej zaawansowanej konfiguracji niż poziom 2. Te ustawienia zasad mogą mieć potencjalnie znaczący wpływ na użytkowników lub aplikacje, wymuszając poziom zabezpieczeń proporcjonalny do zagrożeń, przed którymi stoją organizacje docelowe.
Ochrona danych
| Ustawienie | Opis ustawienia | Value | Platforma | Uwagi |
|---|---|---|---|---|
| Transfer danych | Transfer danych telekomunikacyjnych do | Dowolna aplikacja wybierania numerów zarządzana przez zasady | Android | Administratorzy mogą również skonfigurować to ustawienie tak, aby korzystała z aplikacji wybierania numerów, która nie obsługuje zasad ochrony aplikacji, wybierając pozycję Określona aplikacja wybierania numerów i podając wartości Identyfikator pakietu aplikacji wybierania numerów i Nazwa aplikacji wybierania numerów . |
| Transfer danych | Transfer danych telekomunikacyjnych do | Określona aplikacja wybierania numerów | iOS/iPadOS | |
| Transfer danych | Schemat adresu URL aplikacji wybierania numerów | replace_with_dialer_app_url_scheme | iOS/iPadOS | W systemie iOS/iPadOS ta wartość musi zostać zastąpiona schematem adresu URL używanej niestandardowej aplikacji wybierania numerów. Jeśli schemat adresów URL nie jest znany, skontaktuj się z deweloperem aplikacji, aby uzyskać więcej informacji. Aby uzyskać więcej informacji na temat schematów adresów URL, zobacz Definiowanie niestandardowego schematu adresów URL dla aplikacji. |
| Transfer danych | Odbieranie danych z innych aplikacji | Aplikacje zarządzane przez zasady | iOS/iPadOS, Android | |
| Transfer danych | Otwieranie danych w dokumentach organizacji | Blokuj | iOS/iPadOS, Android | |
| Transfer danych | Zezwalaj użytkownikom na otwieranie danych z wybranych usług | OneDrive dla Firm, SharePoint, Aparat fotograficzny, Biblioteka zdjęć | iOS/iPadOS, Android | Aby uzyskać powiązane informacje, zobacz Ustawienia zasad ochrony aplikacji systemu Android i ustawienia zasad ochrony aplikacji systemu iOS. |
| Transfer danych | Klawiatury innych firm | Blokuj | iOS/iPadOS | W systemie iOS/iPadOS blokuje to działanie wszystkich klawiatur innych firm w aplikacji. |
| Transfer danych | Zatwierdzone klawiatury | Wymagać | Android | |
| Transfer danych | Wybieranie klawiatur do zatwierdzenia | dodawanie/usuwanie klawiatur | Android | W systemie Android klawiatury muszą być wybrane, aby były używane na podstawie wdrożonych urządzeń z systemem Android. |
| Funkcjonalność | Drukowanie danych organizacji | Blokuj | iOS/iPadOS, Android, Windows |
Wymagania dotyczące dostępu
| Ustawienie | Value | Platforma |
|---|---|---|
| Prosty numer PIN | Blokuj | iOS/iPadOS, Android |
| Wybierz minimalną długość numeru PIN | 6 | iOS/iPadOS, Android |
| Resetowanie numeru PIN po liczbie dni | Tak | iOS/iPadOS, Android |
| Liczba dni | 365 | iOS/iPadOS, Android |
| Klasa 3 Biometria (Android 9.0+) | Wymagać | Android |
| Zastąp dane biometryczne numerem PIN po aktualizacjach biometrycznych | Wymagać | Android |
Uruchamianie warunkowe
| Ustawienie | Opis ustawienia | Wartość/akcja | Platforma | Uwagi |
|---|---|---|---|---|
| Warunki urządzenia | Wymagaj blokady urządzenia | Dostęp wysoki/blokowy | Android | To ustawienie gwarantuje, że urządzenia z systemem Android mają hasło urządzenia spełniające minimalne wymagania dotyczące hasła. |
| Warunki urządzenia | Maksymalny dozwolony poziom zagrożenia urządzenia | Zabezpieczony/zablokowany dostęp | System Windows | |
| Warunki urządzenia | Urządzenia ze zdjętymi zabezpieczeniami systemu /urządzeniami z dostępem do konta root | N/A/ Czyszczenie danych | iOS/iPadOS, Android | |
| Warunki urządzenia | Maksymalny dozwolony poziom zagrożenia | Zabezpieczony/zablokowany dostęp | iOS/iPadOS, Android | Niezarejestrowanych urządzeń można sprawdzić pod kątem zagrożeń przy użyciu usługi Mobile Threat Defense. Aby uzyskać więcej informacji, zobacz Mobile Threat Defense for unenrolled devices (Usługa Mobile Threat Defense dla niezarejestrowanych urządzeń). Jeśli urządzenie jest zarejestrowane, to ustawienie można pominąć na rzecz wdrożenia usługi Mobile Threat Defense dla zarejestrowanych urządzeń. Aby uzyskać więcej informacji, zobacz Mobile Threat Defense for enrolled devices (Usługa Mobile Threat Defense dla zarejestrowanych urządzeń). |
| Warunki urządzenia | Maksymalna wersja systemu operacyjnego |
Format: Major.Minor Przykład: 11.0 / Blokowanie dostępu |
Android | Firma Microsoft zaleca skonfigurowanie maksymalnej wersji głównej systemu Android w celu zapewnienia, że nie są używane wersje beta lub nieobsługiwany system operacyjny. Zobacz Wymagania zalecane dla systemu Android Enterprise dotyczące najnowszych zaleceń systemu Android |
| Warunki urządzenia | Maksymalna wersja systemu operacyjnego |
Format: Major.Minor.Build Przykład: 15.0 / Blokowanie dostępu |
iOS/iPadOS | Firma Microsoft zaleca skonfigurowanie maksymalnej wersji głównej systemu iOS/iPadOS, aby upewnić się, że wersje beta lub nieobsługiwany system operacyjny nie są używane. Zobacz Aktualizacje zabezpieczeń firmy Apple , aby zapoznać się z najnowszymi zaleceniami firmy Apple |
| Warunki urządzenia | Maksymalna wersja systemu operacyjnego |
Format: Major.Minor Przykład: 22631. / Blokuj dostęp |
System Windows | Firma Microsoft zaleca skonfigurowanie maksymalnej wersji głównej systemu Windows, aby upewnić się, że nie są używane wersje beta lub nieobsługiwany system operacyjny. |
| Warunki urządzenia | Zaświadczanie urządzenia Samsung Knox | Wyczyść dane | Android | Firma Microsoft zaleca skonfigurowanie ustawienia zaświadczania urządzenia z systemem Samsung Knox na wartość Wyczyść dane , aby upewnić się, że dane organizacji zostaną usunięte, jeśli urządzenie nie spełnia wymagań sprzętowej weryfikacji kondycji urządzenia w systemie Knox firmy Samsung. To ustawienie weryfikuje wszystkie Intune odpowiedzi klientów zarządzania aplikacjami mobilnymi na usługę Intune zostały wysłane z urządzenia w dobrej kondycji. To ustawienie będzie miało zastosowanie do wszystkich urządzeń docelowych. Aby zastosować to ustawienie tylko do urządzeń firmy Samsung, możesz użyć filtrów przypisań "Aplikacje zarządzane". Aby uzyskać więcej informacji na temat filtrów przypisania, zobacz Używanie filtrów podczas przypisywania aplikacji, zasad i profilów w Microsoft Intune. |
| Warunki aplikacji | Okres prolongaty w trybie offline | 30 / Blokowanie dostępu (dni) | iOS/iPadOS, Android, Windows |
Następne kroki
Administratorzy mogą uwzględnić powyższe poziomy konfiguracji w swojej metodologii wdrażania pierścienia na potrzeby testowania i użycia w środowisku produkcyjnym, importując przykładowe szablony JSON programu Intune App Protection Policy Configuration Framework za pomocą skryptów programu PowerShell Intune.