Data protection framework using app protection policies (Arquitetura de proteção de dados com políticas de proteção de aplicações)
À medida que mais organizações implementam estratégias de dispositivos móveis para aceder a dados profissionais ou escolares, a proteção contra a fuga de dados torna-se fundamental. A solução de gestão de aplicações móveis do Intune para a proteção contra a fuga de dados consiste nas Políticas de Proteção de Aplicações (APP). A APP são regras que garantem que os dados de uma organização permanecem seguros ou contidos numa aplicação gerida, independentemente de o dispositivo estar matriculado. Para obter mais informações, veja Descrição geral das políticas de proteção de aplicações.
Ao configurar as Políticas de Proteção de Aplicações, o número de várias definições e opções permite às organizações adaptar a proteção às suas necessidades específicas. Devido a esta flexibilidade, pode não ser óbvio qual a permutação das configurações de políticas necessária para implementar um cenário completo. Para ajudar as organizações a priorizar os esforços de endurecimento do ponto final dos clientes, a Microsoft introduziu uma nova taxonomia para configurações de segurança em Windows 10, e a Intune está a aproveitar uma taxonomia semelhante para o seu quadro de proteção de dados app para a gestão de aplicações móveis.
A estrutura de configuração da proteção de dados app está organizada em três cenários distintos de configuração:
Nível 1 proteção básica de dados da empresa – A Microsoft recomenda esta configuração como a configuração mínima de proteção de dados para um dispositivo empresarial.
Nível 2 empresa melhorou a proteção de dados – A Microsoft recomenda esta configuração para dispositivos onde os utilizadores acedam a informações confidenciais ou confidenciais. Esta configuração é aplicável à maioria dos utilizadores móveis que acedem ao trabalho ou aos dados escolares. Alguns dos controlos podem ter impacto na experiência do utilizador.
Nível 3 de alta proteção de dados empresariais – A Microsoft recomenda esta configuração para dispositivos executados por uma organização com uma equipa de segurança maior ou mais sofisticada, ou para utilizadores ou grupos específicos que estão em risco único (utilizadores que lidam com dados altamente sensíveis onde a divulgação não autorizada causa uma perda considerável de material para a organização). Uma organização suscetível de ser alvo de adversários bem financiados e sofisticados deve aspirar a esta configuração.
Metodologia de implementação do Quadro de Proteção de Dados da APP
Tal como acontece com qualquer implementação de novos softwares, funcionalidades ou configurações, a Microsoft recomenda investir numa metodologia de anel para testar validação antes de implementar o quadro de proteção de dados da APP. Definir os anéis de implantação é geralmente um evento único (ou pelo menos pouco frequente), mas a TI deve revisitar estes grupos para garantir que a sequência ainda está correta.
A Microsoft recomenda a seguinte abordagem do anel de implementação para o quadro de proteção de dados da APP:
| Anel de implantação | Inquilino | Equipas de avaliação | Saída | Linha cronológica |
|---|---|---|---|---|
| Garantia de Qualidade | Inquilino pré-produção | Proprietários de capacidade móvel, Segurança, Avaliação de Riscos, Privacidade, UX | Validação de cenário funcional, projeto de documentação | 0-30 dias |
| Pré-visualizar | Inquilino de produção | Proprietários de capacidade móvel, UX | Validação do cenário do utilizador final, documentação virada para o utilizador | 7-14 dias, pós Garantia de Qualidade |
| Produção | Inquilino de produção | Proprietários de capacidade móvel, balcão de ajuda de TI | N/D | 7 dias a várias semanas, post Preview |
Como indica o quadro acima, todas as alterações às Políticas de Proteção de Aplicações devem ser realizadas primeiro num ambiente de pré-produção para compreender as implicações de definição de políticas. Uma vez concluídos os testes, as alterações podem ser transferidas para a produção e aplicadas a um subconjunto de utilizadores de produção, em geral, ao departamento de TI e a outros grupos aplicáveis. E, finalmente, o lançamento pode ser concluído para o resto da comunidade de utilizadores móveis. O lançamento para a produção pode demorar mais tempo, dependendo da escala de impacto relativamente à alteração. Se não houver impacto do utilizador, a alteração deverá ser lançada rapidamente, enquanto que, se a alteração resultar no impacto do utilizador, o lançamento poderá ter de ser mais lento devido à necessidade de comunicar alterações à população utilizadora.
Ao testar alterações numa APP, esteja ciente do tempo de entrega. O estado da entrega de APP para um determinado utilizador pode ser monitorizado. Para obter mais informações, consulte Como monitorizar as políticas de proteção de aplicações.
As definições individuais de APP para cada aplicação podem ser validadas em dispositivos que utilizam o Edge e o URL sobre:Intunehelp. Para obter mais informações, consulte os registos de proteção de aplicações do cliente e use Edge para iOS e Android para aceder a registos de aplicações geridos.
Definições do Quadro de Proteção de Dados de APPS
As seguintes definições da Política de Proteção de Aplicações devem ser ativadas para as aplicações aplicáveis e atribuídas a todos os utilizadores móveis. Para obter mais informações sobre cada definição de política, consulte as definições da política de proteção de aplicações do iOS e as definições da política de proteção de aplicações do Android.
A Microsoft recomenda rever e categorizar cenários de utilização e, em seguida, configurar os utilizadores usando a orientação prescritiva para esse nível. Como em qualquer quadro, as configurações dentro de um nível correspondente podem ter de ser ajustadas com base nas necessidades da organização, uma vez que a proteção de dados deve avaliar o ambiente de ameaça, o apetite pelo risco e o impacto na usabilidade.
Os administradores podem incorporar os níveis de configuração abaixo dentro da sua metodologia de implementação do anel para testes e utilização de produção importando a amostra Intune App Protection Policy Configuration Framework JSON com os scripts PowerShell da Intune.
Políticas de acesso condicional
Para garantir que apenas aplicações que suportem a aplicações que suportam a proteção de apps as polícias acedem ao trabalho ou aos dados da conta escolar, são necessárias Azure Ative Directory políticas de Acesso Condicional. Estas políticas são descritas na política de proteção de aplicações Require para acesso a aplicações na nuvem com acesso condicional.
Ver Cenário 1: Office 365 aplicações requerem aplicações aprovadas com políticas de proteção de aplicações e cenário 2: As aplicações do navegador exigem aplicações aprovadas com políticas de proteção de aplicações no Require policy for app protection access with Conditional App Access for steps to implement the specific policies. Por fim, implemente as etapas na autenticação legacy do Block para bloquear a autenticação de legados capazes de aplicações iOS e Android.
Nota
Estas políticas alavancam os controlos de concessão Requerem uma aplicação de cliente aprovada e requerem uma política de proteção de aplicações.
Aplicativos para incluir nas Políticas de Proteção de Aplicações
Para cada Política de Proteção de Aplicações, devem ser incluídas as seguintes aplicações principais da Microsoft:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- Microsoft Stream
- Microsoft To Do
- Word
- Microsoft SharePoint
As políticas devem incluir outras aplicações da Microsoft baseadas na necessidade de negócios, aplicações públicas adicionais de terceiros que integraram o Intune SDK utilizado dentro da organização, bem como aplicações de linha de negócios que integraram o Intune SDK (ou foram embrulhadas).
Nível 1 proteção de dados básicos da empresa
O nível 1 é a configuração mínima de proteção de dados para um dispositivo móvel empresarial. Esta configuração substitui a necessidade de políticas básicas de acesso Exchange Online dispositivo, exigindo um PIN para aceder ao trabalho ou dados escolares, encriptando os dados do trabalho ou da conta escolar, e fornecendo a capacidade de limpar seletivamente os dados da escola ou do trabalho. No entanto, ao contrário Exchange Online políticas de acesso a dispositivos, as definições abaixo da Política de Proteção de Aplicações aplicam-se a todas as aplicações selecionadas na política, garantindo assim que o acesso aos dados está protegido para além dos cenários de mensagens móveis.
As políticas no nível 1 impõem um nível razoável de acesso aos dados, minimizando o impacto para os utilizadores e espelham as definições de requisitos de proteção e acesso de dados predefinidos ao criar uma Política de Proteção de Aplicações dentro de Microsoft Endpoint Manager.
Proteção de dados
| Definições | Descrição da definição | Valor | Plataforma |
|---|---|---|---|
| Transferência de Dados | Dados org de backup para... | Permitir | iOS/iPadOS, Android |
| Transferência de Dados | Enviar dados org para outras aplicações | Todas as aplicações | iOS/iPadOS, Android |
| Transferência de Dados | Receber dados de outras apps | Todas as aplicações | iOS/iPadOS, Android |
| Transferência de Dados | Restringir corte, cópia e pasta entre apps | Qualquer aplicação | iOS/iPadOS, Android |
| Transferência de Dados | Teclados de terceiros | Permitir | iOS/iPadOS |
| Transferência de Dados | Teclados aprovados | não é necessário | Android |
| Transferência de Dados | Captura de ecrã e Assistente do Google | Permitir | Android |
| Encriptação | Encriptar dados org | Requerer | iOS/iPadOS, Android |
| Encriptação | Criptografe dados org em dispositivos inscritos | Requerer | Android |
| Funcionalidade | Sincronizar aplicação com a aplicação de contactos nativa | Permitir | iOS/iPadOS, Android |
| Funcionalidade | Impressão de dados org | Permitir | iOS/iPadOS, Android |
| Funcionalidade | Restringir a transferência de conteúdos web com outras aplicações | Qualquer aplicação | iOS/iPadOS, Android |
| Funcionalidade | Notificações de dados org | Permitir | iOS/iPadOS, Android |
Requisitos de acesso
| Definição | Valor | Plataforma | Notas |
|---|---|---|---|
| PIN para acesso | Requerer | iOS/iPadOS, Android | |
| Tipo de PIN | Operador numérico | iOS/iPadOS, Android | |
| PIN simples | Permitir | iOS/iPadOS, Android | |
| Selecione comprimento mínimo de PIN | 4 | iOS/iPadOS, Android | |
| Touch ID em vez de PIN para acesso (iOS 8+/iPadOS) | Permitir | iOS/iPadOS | |
| Impressão digital em vez de PIN para acesso (Android 6.0+) | Permitir | Android | |
| Sobrepor biometria com PIN após intervalo | Requerer | iOS/iPadOS | |
| Anular a impressão digital com PIN após o intervalo | Requerer | Android | |
| Tempo limite (minutos de atividade) | 720 | iOS/iPadOS, Android | |
| Face ID em vez de PIN para acesso (iOS 11+/iPadOS) | Permitir | iOS/iPadOS | |
| Biométrico em vez de PIN para acesso | Permitir | iOS/iPadOS, Android | |
| Reposição do PIN após número de dias | No | iOS/iPadOS, Android | |
| Selecione o número de valores PIN anteriores para manter | 0 | Android | |
| PIN da aplicação quando o PIN do dispositivo estiver definido | Requerer | iOS/iPadOS, Android | Se o dispositivo estiver matriculado no Intune, os administradores podem considerar a definição para "Não necessário" se estiverem a impor um PIN de dispositivo forte através de uma política de conformidade do dispositivo. |
| Credenciais da conta escolar ou profissional para acesso | não é necessário | iOS/iPadOS, Android | |
| Verificar novamente os requisitos de acesso após (minutos de inatividade) | 30 | iOS/iPadOS, Android |
Iniciação condicional
| Definições | Descrição da definição | Valor / Ação | Plataforma | Notas |
|---|---|---|---|---|
| Condições da aplicação | Tentativas max PIN | 5 / PIN de reset | iOS/iPadOS, Android | |
| Condições da aplicação | Período de graça offline | 720 / Acesso ao bloco (minutos) | iOS/iPadOS, Android | |
| Condições da aplicação | Período de graça offline | 90 / Limpar dados (dias) | iOS/iPadOS, Android | |
| Condições do dispositivo | Jailbroken/rooted devices | Acesso N/A / Bloco | iOS/iPadOS, Android | |
| Condições do dispositivo | Atestado de dispositivo SafetyNet | Integridade básica e dispositivos certificados / Acesso ao bloco | Android | Esta definição configura a atestado safetynet da Google em dispositivos de utilizador final. A integridade básica valida a integridade do dispositivo. Dispositivos enraizados, emuladores, dispositivos virtuais e dispositivos com sinais de adulteração falham na integridade básica. A integridade básica e os dispositivos certificados validam a compatibilidade do dispositivo com os serviços da Google. Apenas dispositivos não modificados que tenham sido certificados pela Google podem passar esta verificação. |
| Condições do dispositivo | Exigir verificação de ameaças em apps | Acesso N/A / Bloco | Android | Esta definição garante que a verificação de aplicações da Google é ligada para dispositivos de utilizador final. Se configurado, o utilizador final ficará bloqueado do acesso até que ligue a aplicação da Google no seu dispositivo Android. |
| Condições do dispositivo | Requerem bloqueio de dispositivo | Acesso N/A / Bloco | Android | Esta definição garante que os dispositivos Android tenham um dispositivo PIN, palavra-passe ou padrão estão definidos para ativar um bloqueio do dispositivo. Esta condição não distingue entre opções de bloqueio ou a complexidade. |
Empresa de nível 2 reforçou proteção de dados
O nível 2 é a configuração de proteção de dados recomendada como padrão para dispositivos onde os utilizadores acedem a informações mais sensíveis. Estes dispositivos são um alvo natural nas empresas de hoje. Estas recomendações não pressupõem um grande pessoal de profissionais de segurança altamente qualificados, pelo que devem ser acessíveis à maioria das organizações empresariais. Esta configuração expande-se sobre a configuração no Nível 1, restringindo os cenários de transferência de dados e exigindo uma versão mínima do sistema operativo.
As definições de política aplicadas no nível 2 incluem todas as definições de política recomendadas para o nível 1, mas apenas lista as definições abaixo que foram adicionadas ou alteradas para implementar mais controlos e uma configuração mais sofisticada do que o nível 1. Embora estas configurações possam ter um impacto ligeiramente maior para os utilizadores ou para as aplicações, estas impõem um nível de proteção de dados mais proporcional aos riscos que os utilizadores enfrentam com acesso a informações sensíveis em dispositivos móveis.
Proteção de dados
| Definições | Descrição da definição | Valor | Plataforma | Notas |
|---|---|---|---|---|
| Transferência de Dados | Dados org de backup para... | Bloquear | iOS/iPadOS, Android | |
| Transferência de Dados | Enviar dados org para outras aplicações | Aplicativos geridos por políticas | iOS/iPadOS, Android | Com o iOS/iPadOS, os administradores podem configurar este valor como "aplicações geridas por políticas", "aplicações geridas por políticas com partilha de OS", ou "Aplicações geridas por políticas com filtragem Open-In/Share". As aplicações geridas pela política com a partilha do OS estão disponíveis quando o dispositivo também está matriculado com o Intune. Esta definição permite a transferência de dados para outras aplicações geridas pela política, bem como transferências de ficheiros para outras aplicações que tenham sido geridas pelo Intune. Aplicações geridas por políticas com filtros de filtragem Open-In/Share os diálogos OS Open-in/Share apenas para exibir aplicações geridas por políticas. Para obter mais informações, consulte as definições da política de proteção de aplicações iOS. |
| Transferência de Dados | Selecionar aplicações a excluir | Padrão / skype;definições de apps;calshow;itms;itmss;itms-apps;itms-apps;itms-apps;itms-services; | iOS/iPadOS | |
| Transferência de Dados | Guardar cópias de dados org | Bloquear | iOS/iPadOS, Android | |
| Transferência de Dados | Permitir que os utilizadores guardem cópias para serviços selecionados | OneDrive para Negócios, SharePoint Online | iOS/iPadOS, Android | |
| Transferência de Dados | Transferir dados de telecomunicações para | Qualquer aplicação de marcação | iOS/iPadOS, Android | |
| Transferência de Dados | Restringir corte, cópia e pasta entre apps | Aplicativos geridos por políticas com pasta em | iOS/iPadOS, Android | |
| Transferência de Dados | Captura de ecrã e Assistente do Google | Bloquear | Android | |
| Funcionalidade | Restringir a transferência de conteúdos web com outras aplicações | Microsoft Edge | iOS/iPadOS, Android | |
| Funcionalidade | Notificações de dados org | Dados do Bloco Org | iOS/iPadOS, Android | Para obter uma lista de aplicações que suportam esta definição, consulte as definições da política de proteção de aplicações do iOS e as definições da política de proteção de aplicações do Android. |
Iniciação condicional
| Definições | Descrição da definição | Valor / Ação | Plataforma | Notas |
|---|---|---|---|---|
| Condições da aplicação | Conta desativada | Acesso N/A / Bloco | iOS/iPadOS, Android | |
| Condições do dispositivo | Versão Min OS | Formato: Major.Minor.Build Exemplo: 13.7 / Acesso ao bloco |
iOS/iPadOS | A Microsoft recomenda configurar a versão principal do iOS mínima para combinar com as versões iOS suportadas para aplicações da Microsoft. As aplicações da Microsoft suportam uma abordagem N-1 onde N é a versão atual do iOS. Para valores de versão menores e de construção, a Microsoft recomenda garantir que os dispositivos estão atualizados com as respetivas atualizações de segurança. Veja as atualizações de segurança da Apple para as mais recentes recomendações da Apple |
| Condições do dispositivo | Versão Min OS | Formato: Major.Minor Exemplo: 6.0 / Acesso ao bloco |
Android | A Microsoft recomenda configurar a versão principal do Android mínima para combinar com as versões Android suportadas para aplicações da Microsoft. Os OEMs e dispositivos aderentes aos requisitos recomendados pela Android Enterprise devem suportar a versão atual do envio + atualização de uma letra. Atualmente, o Android recomenda o Android 9.0 e mais tarde para os trabalhadores do conhecimento. Consulte os requisitos recomendados para Android para as mais recentes recomendações do Android |
| Condições do dispositivo | Versão min patch | Formato: YYyy-MM-DD Exemplo: 2020-01-01 / Acesso ao bloco |
Android | Os dispositivos Android podem receber patches de segurança mensais, mas o lançamento está dependente de OEMs e/ou transportadoras. As organizações devem garantir que os dispositivos Android implantados recebam atualizações de segurança antes de implementar esta definição. Consulte os Boletins de Segurança do Android para ver os mais recentes lançamentos de patch. |
Nível 3 alta proteção de dados da empresa
O nível 3 é a configuração de proteção de dados recomendada como padrão para organizações com grandes e sofisticadas organizações de segurança, ou para utilizadores e grupos específicos que serão alvo exclusivamente de adversários. Tais organizações são tipicamente alvo de adversários bem financiados e sofisticados, e como tal merecem os constrangimentos e controlos adicionais descritos. Esta configuração expande-se sobre a configuração no Nível 2, restringindo cenários adicionais de transferência de dados, aumentando a complexidade da configuração PIN e adicionando a deteção de ameaças móveis.
As definições de política aplicadas no nível 3 incluem todas as definições de política recomendadas para o nível 2, mas apenas lista as definições abaixo que foram adicionadas ou alteradas para implementar mais controlos e uma configuração mais sofisticada do que o nível 2. Estas definições de política podem ter um impacto potencialmente significativo para os utilizadores ou para as aplicações, aplicando um nível de segurança proporcional aos riscos que as organizações direcionadas enfrentam.
Proteção de dados
| Definições | Descrição da definição | Valor | Plataforma | Notas |
|---|---|---|---|---|
| Transferência de Dados | Transferir dados de telecomunicações para | Qualquer aplicação de marcação gerida por políticas | Android | Os administradores também podem configurar esta definição para usar uma aplicação de marcação que não suporta políticas de proteção de aplicações selecionando uma aplicação de marcação específica e fornecendo os valores do Pacote de Aplicação Dialer e nome da aplicação Dialer. |
| Transferência de Dados | Transferir dados de telecomunicações para | Uma aplicação de marcação específica | iOS/iPadOS | |
| Transferência de Dados | Esquema de URL de aplicativo Dialer | replace_with_dialer_app_url_scheme | iOS/iPadOS | No iOS/iPadOS, este valor deve ser substituído pelo esquema URL para a aplicação de marcação personalizada que está a ser utilizada. Se o esquema de URL não for conhecido, contacte o desenvolvedor de aplicações para obter mais informações. Para obter mais informações sobre esquemas de URL, consulte definindo um esquema de URL personalizado para a sua aplicação. |
| Transferência de dados | Receber dados de outras apps | Aplicativos geridos por políticas | iOS/iPadOS, Android | |
| Transferência de dados | Abrir dados em documentos org | Bloquear | iOS/iPadOS, Android | |
| Transferência de dados | Permitir que os utilizadores abram dados a partir de serviços selecionados | OneDrive para Empresas, SharePoint | iOS/iPadOS, Android | |
| Transferência de dados | Teclados de terceiros | Bloquear | iOS/iPadOS | No iOS/iPadOS, isto bloqueia o funcionamento de todos os teclados de terceiros dentro da aplicação. |
| Transferência de dados | Teclados aprovados | Requerer | Android | |
| Transferência de dados | Selecione teclados para aprovar | adicionar/remover teclados | Android | Com o Android, os teclados devem ser selecionados para serem utilizados com base nos dispositivos Android implantados. |
| Funcionalidade | Impressão de dados org | Bloquear | iOS/iPadOS, Android |
Requisitos de acesso
| Definição | Valor | Plataforma |
|---|---|---|
| PIN simples | Bloquear | iOS/iPadOS, Android |
| Selecione comprimento mínimo de PIN | 6 | iOS/iPadOS, Android |
| PIN reiniciado após o número de dias | Sim | iOS/iPadOS, Android |
| Número de dias | 365 | iOS/iPadOS, Android |
Iniciação condicional
| Definições | Descrição da definição | Valor / Ação | Plataforma | Notas |
|---|---|---|---|---|
| Condições do dispositivo | Versão Min OS | Formato: Major.Minor Exemplo: 9.0 / Acesso ao bloco |
Android | A Microsoft recomenda configurar a versão principal do Android mínima para combinar com as versões Android suportadas para aplicações da Microsoft. Os OEMs e dispositivos aderentes aos requisitos recomendados pela Android Enterprise devem suportar a versão atual do envio + atualização de uma letra. Atualmente, o Android recomenda o Android 9.0 e mais tarde para os trabalhadores do conhecimento. Consulte os requisitos recomendados para Android para as mais recentes recomendações do Android |
| Condições do dispositivo | Dispositivos com jailbreak/rooting | N/A / Limpar dados | iOS/iPadOS, Android | |
| Condições do dispositivo | Max permitiu o nível de ameaça | Acesso seguro /bloco | iOS/iPadOS, Android | Os dispositivos não enrolados podem ser inspecionados para obter ameaças utilizando a Defesa de Ameaças Móveis. Para obter mais informações, consulte a Defesa de Ameaças Móveis para dispositivos não inscritos. Se o dispositivo estiver matriculado, esta definição pode ser ignorada a favor da implantação da Defesa de Ameaças Móveis para dispositivos matriculados. Para obter mais informações, consulte a Defesa de Ameaças Móveis para dispositivos matriculados. |
| Condições do dispositivo | Versão Max OS | Formato: Major.Minor Exemplo: 11.0 / Acesso ao bloco |
Android | A Microsoft recomenda configurar a versão máxima do Android para garantir que as versões beta ou não suportadas do sistema operativo não sejam utilizadas. Consulte os requisitos recomendados para Android para as mais recentes recomendações do Android |
Passos seguintes
Os administradores podem incorporar os níveis de configuração acima dentro da sua metodologia de implementação do anel para testes e utilização de produção importando a amostra Intune App Protection Policy Configuration Framework JSON com os scripts PowerShell da Intune.