Обзор политик защиты приложений

Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). Политика может быть либо правилом, которое применяется, когда пользователь пытается получить доступ или переместить корпоративные данные, либо набором действий, которые запрещено выполнять или которые отслеживаются, когда пользователь работает с приложением. Под управляемым понимается приложение, к которому применены политики защиты приложений и которое может управляться в Intune.

Политики защиты приложений MAM (управление мобильными приложениями) позволяют управлять данными организации и защищать их в приложении. Intune MAM можно использовать для управления многими офисными приложениями, например приложениями Microsoft Office. См. официальный список общедоступных защищенных приложений Microsoft Intune.

Способы защиты данных приложения

Ваши сотрудники используют мобильные устройства как в личных целях, так и для выполнения рабочих задач. Предоставляя сотрудникам возможности для продуктивной работы, вы желаете предотвратить потерю данных, как намеренную, так и случайную. Кроме того, нужно защитить данные компании при доступе с устройств, которыми вы не управляете.

Политики защиты приложений Intune можно использовать независимо от любых решений по управлению мобильными устройствами (MDM). Это позволит защитить данные компании как с регистрацией устройств, так и без нее в решении по управлению устройствами. Внедрив политики уровня приложения, вы можете ограничить доступ к ресурсам организации и оставить данные в поле зрения ИТ-отдела.

Политики защиты приложений на устройствах

Политики защиты приложений можно настроить для приложений, выполняющихся на следующих типах устройств:

  • Устройства, зарегистрированные в Microsoft Intune. Обычно это устройства, принадлежащие компании.

  • Устройства, зарегистрированные в стороннем решении по управлению мобильными устройствами. Обычно это устройства, принадлежащие компании.

    Примечание

    Политики управления мобильными приложениями не следует использовать со сторонними решениями для управления мобильными приложениями или создания безопасного контейнера.

  • Устройства, не зарегистрированные в каком-либо решении по управлению мобильными устройствами. К этой категории обычно относятся устройства, которые принадлежат сотрудникам и не управляются и не регистрируются в Intune или других решениях MDM.

Важно!

Можно создавать политики управления мобильными приложениями для мобильных приложений Office, которые подключаются к службам Microsoft 365. Вы также можете защитить доступ к локальным почтовым ящикам Exchange, создав политики защиты приложений Intune для Outlook в iOS/iPadOS и Android с гибридной современной проверкой подлинности. Перед использованием этой функции выполните требования к Outlook для iOS/iPadOS и Android. Политики защиты приложений не поддерживаются для других приложений, подключающихся к локальным службам Exchange и SharePoint.

Преимущества использования политик защиты приложений

Ниже перечислены важные преимущества от использования политик защиты приложений.

  • Защита данных вашей компании на уровне приложений. Так как для управления мобильными приложениями не требуется управление устройствами, вы можете защитить данные организации как на управляемых, так и на неуправляемых устройствах. Управление основано на удостоверении пользователя, что устраняет необходимость в управлении устройствами.

  • Это позволяет пользователям поддерживать требуемый уровень производительности, а также не применять политики при использовании приложения в личных целях. Политики применяются только в рабочем контексте, позволяя вам защитить данные организации, не затрагивая персональные данные.

  • Политики защиты приложений обеспечивают наличие защиты на уровне приложения. Например, вы можете:

    • требовать ввод ПИН-кода для открытия приложения в рабочем контексте;
    • контролировать обмен данными между приложениями;
    • предотвращать сохранение данных из корпоративных приложений в личное хранилище.
  • MDM дополняет MAM в обеспечении защиты устройства. Например, вы можете запросить ПИН-код для доступа к устройству или развернуть на устройстве управляемые приложения. Кроме того, можно развертывать приложения на устройствах с помощью решения MDM, чтобы получить больше возможностей для управления приложениями.

Одновременное использование MDM и политик защиты приложений дает компании дополнительные преимущества. Но компания сама определяет потребность в таких политиках в разных ситуациях. Давайте рассмотрим пример, в котором сотрудник одновременно использует выданный компанией телефон и личный планшет. В этой ситуации телефон компании регистрируется в решении MDM и защищается политиками защиты приложений, а личное устройство только защищается политиками защиты приложений.

Если применить политику MAM для пользователя, не настроив состояние устройства, политика MAM будет применяться на устройстве BYOD и на устройстве под управлением Intune. Кроме того, политику MAM можно применять на основе управляемого состояния. Поэтому при создании политики защиты приложений для параметра Target to all app types (Предназначено для всех типов приложений) необходимо выбрать значение Нет. Затем выполните одно из следующих действий:

  • Примените менее строгую политику MAM к устройствам под управлением Intune и более строгую политику MAM к устройствам, не зарегистрированным в MDM.
  • Примените политику MAM только к незарегистрированным устройствам.

Поддерживаемые платформы для политик защиты приложений

В Intune есть ряд возможностей, которые помогут получить нужные приложения на устройствах, на которых вы хотите их запустить. Дополнительные сведения см. в статье Возможности управления приложениями в зависимости от платформы.

Поддержка платформы политик защиты приложений Intune согласуется с поддержкой платформы мобильных приложений Office для устройств Android и iOS/iPadOS. Дополнительные сведения см. в разделе о мобильных приложениях на странице системных требований Office.

Важно!

Для получения политики защиты приложений в Android на устройстве необходим Корпоративный портал Intune.

Политики защиты приложений на платформе защиты данных

При настройке политик защиты приложений (APP) доступны различные параметры, которые позволяют организациям адаптировать систему безопасности в соответствии с конкретными потребностями. Однако они могут затруднить выбор параметров политик, необходимых для реализации полного сценария. Чтобы помочь организациям расставить приоритеты в отношении защиты клиентских конечных точек, корпорация Майкрософт представила новую таксономию для платформы защиты данных с APP для управления мобильными приложениями iOS и Android.

Платформа защиты данных c APP разделена на три разных уровня конфигурации, где каждый следующий уровень строится на предыдущем.

  • Базовая защита корпоративных данных (уровень 1) обеспечивает защиту приложений с помощью ПИН-кода и шифрования и выполняет операции выборочной очистки. На устройствах Android этот уровень используется для проверки аттестации устройств. Это минимальная конфигурация, которая обеспечивает аналогичное управление защитой данных в политиках почтовых ящиков Exchange Online и предлагает ИТ-специалистам и пользователям возможности APP.
  • Расширенная защита корпоративных данных (уровень 2) предоставляет механизмы APP для защиты от утечки данных и поддерживает минимальные требования к ОС. Эта конфигурация подходит большинству пользователей мобильных устройств, обращающихся к рабочим или учебным данным.
  • Высокий уровень защиты корпоративных данных (уровень 3) предоставляет механизмы для расширенной защиты данных, улучшенную конфигурацию ПИН-кодов и политики защиты от угроз на мобильных устройствах. Эта конфигурация является рекомендуемой для пользователей, работающих с данными с высоким уровнем риска.

Конкретные рекомендации для каждого уровня конфигурации и минимальный список приложений, защиту которых необходимо обеспечить, см. в статье Использование политик защиты приложений на платформе защиты данных.

Защита данных приложений с помощью политик защиты приложений

Приложения без политик защиты приложений

При использовании приложений без ограничений данные компании и личные данные могут смешиваться. Данные компании могут помещаться в такие расположения, как личное хранилище, или передаваться в приложения вне вашего контроля, что приводит к потере данных. Стрелки на приведенной выше схеме показывают неограниченное перемещение данных между приложениями (корпоративными и личными) и из приложений в хранилища.

Схематическое изображение перемещения данных между приложениями при отсутствии политик

Защита данных с помощью политик защиты приложений

Политики защиты приложений позволяют предотвратить сохранение корпоративных данных в локальные хранилища на устройствах (см. рисунок выше). Вы также можете ограничить перемещение данных в другие приложения, которые не защищены с помощью политик защиты приложений. К параметрам политик защиты приложений можно отнести следующие:

  • Политики перемещения данных, такие как Сохранение копий корпоративных данных и Блокировать вырезание, копирование и вставку.
  • Параметры политик доступа, такие как Требовать простой ПИН-код для доступа и Блокировать запуск управляемых приложений на устройствах со снятой защитой или с root-доступом.

Схематическое изображение защиты корпоративных данных политиками

Защита данных с помощью политик защиты приложений на устройствах под управлением решения MDM

На изображении ниже показаны уровни защиты, обеспечиваемые политиками защиты приложений в сочетании с MDM.

Изображение, демонстрирующее, как работают политики защиты приложений на устройствах BYOD

Решение MDM полезно следующим:

  • регистрирует устройство;
  • развертывает приложения на устройстве;
  • на постоянной основе обеспечивает управление устройством и его соответствие требованиям.

Политики защиты полезны следующим:

  • помогают защитить данные организации от утечки в потребительские приложения и службы;
  • применяют ограничения (сохранить как, буфер обмена, ПИН-код и т. д.) к клиентским приложениям;
  • удаляют данные компании из приложений без удаления самих приложений с устройства.

Защита данных с помощью политик защиты данных для устройств без регистрации

На схеме ниже показано, как работают политики защиты данных на уровне приложения без MDM.

Схема работы политик защиты приложений на устройствах без регистрации (неуправляемых устройствах)

Для устройств BYOD, которые не регистрируются ни в каких решениях MDM, политики защиты приложений помогают защитить корпоративные данные на уровне приложения. Но существуют некоторые ограничения, которые следует учитывать:

  • Вы не сможете развертывать приложения на устройстве. Конечный пользователь должен получать приложения из Магазина.
  • Вы не сможете подготавливать профили сертификатов на этих устройствах.
  • Вы не можете подготавливать параметры Wi-Fi и VPN компании на этих устройствах.

Приложения, которыми можно управлять с помощью политик защиты приложений

Любым приложением, которое интегрировано с пакетом SDK для Intune или упаковано с помощью инструмента упаковки для приложений Intune, можно управлять с помощью политик защиты приложений Intune. См. официальный список защищенных приложений Microsoft Intune, которые были созданы с использованием этих средств и являются общедоступными.

Команда разработчиков пакета SDK для Intune активно тестирует и обеспечивает поддержку приложений, созданных с помощью платформ Android, iOS и iPadOS (Obj-C, Swift), Xamarin и Xamarin.Forms. Хотя некоторым клиентам удалось интегрировать пакет SDK для Intune с другими платформами, такими как React Native и NativeScript, мы не предоставляем конкретных рекомендаций и не предлагаем подключаемых модулей для неподдерживаемых нами платформ разработки.

Требования к пользователю для применения политик защиты приложений

Следующий список содержит требования к пользователям для применения политик защиты к приложению, управляемому Intune.

Политики защиты приложений для приложений Microsoft Office

При использовании политик защиты приложений с приложениями Microsoft Office необходимо учитывать несколько дополнительных требований.

Мобильное приложение Outlook

Использование мобильного приложения Outlook предусматривает такие дополнительные требования:

  • На устройстве пользователя должно быть установлено мобильное приложение Outlook.

  • У пользователя должны быть почтовый ящик Microsoft 365 Exchange Online и лицензия, связанная с учетной записью Azure Active Directory.

    Примечание

    Сейчас мобильное приложение Outlook поддерживает службу Intune App Protection только для Microsoft Exchange Online и Exchange Server с гибридной современной проверкой подлинности, но не Exchange в Office 365 Dedicated.

Word, Excel и PowerPoint

Дополнительные требования к использованию приложений Word, Excel и PowerPoint:

  • У пользователя должна быть лицензия на Microsoft 365 для бизнеса или предприятий, связанная с его учетной записью Azure Active Directory. Подписка должна включать приложения Office на мобильных устройствах и может включать облачную учетную запись хранения с поддержкой OneDrive для бизнеса. Лицензии Microsoft 365 можно назначить в центре администрирования Microsoft 365, следуя этим инструкциям.

  • Пользователь должен настроить управляемое расположение с помощью функции настраиваемого сохранения в параметре политики защиты приложения "Сохранение копий корпоративных данных". Например, если управляемое расположение — OneDrive, приложение OneDrive должно быть настроено в приложении Word, Excel или PowerPoint пользователя.

  • Если управляемое расположение — OneDrive, на приложение должна распространяться политика защиты, развернутая для пользователя.

    Примечание

    Мобильные приложения Office сейчас поддерживают только SharePoint Online, но не локальное приложение SharePoint.

Управляемое расположение, необходимое для Office

Для Office требуется управляемое расположение (например, OneDrive). Intune помечает все данные в приложении как корпоративные или личные. Данные считаются корпоративными, если они созданы в корпоративном расположении. При работе с приложениями Office в Intune корпоративными считаются такие расположения: электронная почта (Exchange) или облачное хранилище (приложение OneDrive с учетной записью OneDrive для бизнеса).

Skype для бизнеса

Существуют дополнительные требования к использованию Skype для бизнеса. См. требования к лицензии Skype для бизнеса. См. сведения о конфигурациях гибридной современной проверки подлинности в Skype для бизнеса и Exchange и современной проверке подлинности с использованием Azure AD в Skype для бизнеса в локальной среде.

Глобальная политика защиты приложений

Администратор OneDrive может настроить средства управления мобильными приложениями для клиентских приложений OneDrive и SharePoint. Для этого администратору нужно перейти на сайт admin.onedrive.com и выбрать тип доступа Устройство.

С помощью параметров, доступных в консоли администрирования OneDrive, можно настроить специальную политику защиты приложений Intune, которая называется глобальной. Эта политика применяется ко всем пользователям в клиенте. Настроить объекты, для которых она действует, невозможно.

После включения глобальной политики приложения OneDrive и SharePoint для iOS/iPadOS и Android по умолчанию защищаются с использованием выбранных параметров. ИТ-специалист может изменить эту политику в консоли Intune, добавляя дополнительные целевые приложения или редактируя параметры.

По умолчанию в каждом клиенте может быть только одна глобальная политика. Вы можете применить интерфейсы API Intune Graph, чтобы создать дополнительные глобальные политики для каждого клиента, но мы не рекомендуем этого делать. Причина заключается в том, что устранение неполадок, возникших в результате реализации дополнительных политик, может представлять сложность.

Несмотря на то что глобальная политика применяется ко всем пользователям в клиенте, она переопределяется стандартной политикой защиты приложений Intune.

Примечание

Параметры политики в Центре администрирования OneDrive больше не обновляются. Вместо него можете использовать Microsoft Endpoint Manager. Дополнительные сведения см. в статье Управление доступом к функциям в мобильных приложениях OneDrive и SharePoint.

Функции защиты приложений

Множественная идентификация

Поддержка нескольких удостоверений позволяет приложению работать у разных аудиторий пользователей. Эти аудитории формируют как "корпоративные", так и "частные" пользователи. Рабочие и учебные учетные записи используются аудиторией "корпоративных" пользователей, а личные учетные записи используются частными лицами, например пользователями Microsoft Office. Приложение, поддерживающее несколько удостоверений, может быть выпущено в общедоступной версии, где политики защиты приложений применяются только в контексте рабочего и учебного ("корпоративного") использования приложения. Поддержка нескольких удостоверений позволяет пакету SDK для Intune применять политики защиты приложений только к рабочей или учебной учетной записи, используемой для входа в приложение. Если вход в приложение выполнен с помощью личной учетной записи, данные останутся без изменений. Политики защиты приложений можно использовать для предотвращения перемещения данных рабочей или учебной учетной записи в личные учетные записи в приложении с несколькими удостоверениями, личные учетные записи в других приложениях или в личные приложения.

Важно!

Независимо от того, поддерживает ли приложение несколько удостоверений, только одно "корпоративное" удостоверение может иметь политику защиты приложений Intune.

В качестве примера давайте рассмотрим пользователя, который создает новый документ в Word. Это считается частным контекстом, поэтому политики Защиты приложений Intune не применяются. Когда документ сохраняется в корпоративной учетной записи OneDrive, контекст становится корпоративным, и в нем применяются политики Защиты приложений Intune.

Рассмотрим следующие примеры рабочего (корпоративного) контекста:

  • Пользователь запускает приложение OneDrive с рабочей учетной записью. В рабочем контексте он не может перемещать файлы в личное хранилище. Позднее, когда этот пользователь откроет OneDrive с личной учетной записью, он может копировать и перемещать данные из своего личного хранилища OneDrive без ограничений.
  • Пользователь создает черновик сообщения электронной почты в приложении Outlook. После ввода темы или текста сообщения пользователь не может сменить рабочий контекст на личный для адреса отправителя, так как тема и текст сообщения защищены политикой защиты приложений.

Примечание

Outlook предоставляет объединенное представление электронной почты для личных и корпоративных сообщений. В этом случае приложение Outlook запрашивает ПИН-код для Intune при запуске.

Важно!

Хотя Edge используется в корпоративном контексте, пользователи могут намеренно перемещать файлы OneDrive в рамках этого контекста в неизвестное личное облачное хранилище. Чтобы избежать этой ситуации, см. сведения в разделе об управлении заблокированными веб-сайтами и настройте список разрешенных и заблокированных сайтов для Edge.

ПИН-код для приложения Intune

Персональный идентификационный номер (ПИН-код) — это секретный код, который используется для проверки прав пользователя на доступ к корпоративным данным в приложении.

Приглашение на ввод ПИН-кода
Intune запрашивает ПИН-код для приложения, когда пользователь пытается получить доступ к корпоративным данным. В приложениях с поддержкой нескольких удостоверений, таких как Word, Excel или PowerPoint, пользователю будет предложено ввести ПИН-код при попытке открыть корпоративный документ или файл. В приложениях с одним удостоверением, таких как бизнес-приложения, управляемые с помощью инструмента упаковки для приложений Intune, ПИН-код запрашивается при запуске, так как пакет SDK для Intune знает, что все действия пользователя в приложении считаются "корпоративным" контекстом.

Частота запроса ПИН-кода или корпоративных учетных данных
ИТ-администратор может определить параметр политики защиты приложений Intune Повторная проверка соблюдения требований к доступу через (в минутах) с помощью консоли администрирования Intune. Этот параметр определяет период времени, через который выполняется проверка требования к доступу на устройстве, после чего снова появляется экран приложения с ПИН-кодом или полями для ввода корпоративных учетных данных. Ниже приведены важные сведения о ПИН-коде, которые влияют на то, как часто пользователь будет получать запрос на ввод ПИН-кода:

  • Для удобства ПИН-код является общим для приложений одного издателя.
    В iOS/iPadOS один ПИН-код используется во всех приложениях одного издателя. Например, все приложения Майкрософт используют один и тот же ПИН-код. В Android один ПИН-код используется во всех приложениях.
  • Поведение параметра Повторная проверка соблюдения требований к доступу через (в минутах) после перезагрузки устройства.
    Таймер отслеживает количество минут бездействия, определяющее время для следующего запроса ПИН-кода или корпоративных учетных данных приложения Intune. В iOS/iPadOS перезагрузка устройства не затрагивает таймер. Поэтому перезагрузка устройства не влияет на количество минут, которое пользователь был неактивным в приложении iOS/iPadOS с действующей политикой в отношении ПИН-кодов (или корпоративных учетных записей) Intune. В Android таймер сбрасывается при перезагрузке устройства. Поэтому после перезагрузки устройства приложения Android с действующей политикой в отношении ПИН-кодов (или корпоративных учетных данных) Intune, вероятнее всего, запросят ПИН-код (или корпоративные учетные данные) приложения независимо от значения параметра "Проверять требования доступа повторно через (мин)".
  • Последовательный характер таймера, связанного с ПИН-кодом.
    Когда введен ПИН-код для доступа к приложению (приложение A) и приложение перешло в активный режим (основной фокус ввода) на устройстве, таймер ПИН сбрасывается. Любое другое приложение (приложение B), использующее этот ПИН-код, не будет отправлять пользователю запрос на ввод ПИН-кода, так как таймер сброшен. Запрос появится снова, когда будет достигнуто значение параметра "Проверять требования доступа повторно через (мин)".

Для устройств iOS/iPadOS, даже если ПИН-код является общим для приложений различных издателей, запрос появится снова при достижении значения Перепроверять требования доступа через (мин) для приложения, у которого нет основного фокуса ввода. Например, у пользователя есть приложение A издателя X и приложение B издателя Y, и эти два приложения совместно используют один и тот же ПИН-код. Пользователь работает с приложением A (на переднем плане); приложение B находится в свернутом состоянии. После достижения значения Перепроверять требования доступа через (мин), когда пользователь перейдет к приложению B, потребуется ввести ПИН-код.

Примечание

Чтобы проверять требования к пользовательскому доступу чаще (отображать запрос на ввод ПИН-кода), особенно для часто используемых приложений, рекомендуется уменьшить значение параметра "Проверять требования доступа повторно через (мин)".

Встроенные ПИН-коды приложений для Outlook и OneDrive
Работа ПИН-кода Intune основана на таймере бездействия (здесь используется значение параметра Проверять требования доступа повторно через (мин)). Таким образом, функция ПИН-кода Intune является независимой от запросов ПИН-кода встроенных приложений для Outlook и OneDrive, которые часто по умолчанию привязаны к запуску приложения. Если пользователь одновременно получает оба запроса на ввод ПИН-кода, ПИН-код Intune должен иметь приоритет.

Безопасность ПИН-кода Intune
ПИН-код предоставляет доступ к корпоративным данным только пользователям с соответствующими полномочиями. Следовательно, чтобы настроить или сбросить ПИН-код для приложения Intune, пользователь должен войти с использованием своей рабочей или учебной учетной записи. Эта проверка подлинности обрабатывается в Azure Active Directory с использованием безопасного обмена маркерами и не является прозрачной для пакета SDK для Intune. Из соображений безопасности рекомендуется шифровать корпоративные или учебные данные. Шифрование не связано с ПИН-кодом для приложения; это отдельная политика защиты приложений.

Защита от атак методом подбора и ПИН-код Intune
В рамках политики использования ПИН-кода для приложения ИТ-администратор может настроить максимальное число попыток пользователя выполнить проверку подлинности с использованием ПИН-кода, прежде чем приложение будет заблокировано. При достижении этого числа попыток пакет SDK для Intune может удалить корпоративные данные из приложения.

ПИН-код Intune и выборочная очистка
В iOS/iPadOS сведения о ПИН-коде уровня приложения хранятся в цепочке ключей, которая является общей для приложений с одним издателем, например всех собственных приложений Майкрософт. Эти сведения о ПИН-коде также связаны с учетной записью пользователя. Выборочная очистка одного приложения не должна влиять на другое приложение.

Например, ПИН-код, заданный в Outlook для вошедшего в систему пользователя, хранится в общей цепочке ключей. Когда пользователь входит в службу OneDrive (также опубликованную корпорацией Майкрософт), он видит тот же ПИН-код, что и в Outlook, так как он использует ту же общую цепочку ключей. При выходе из Outlook или очистке пользовательских данных в Outlook пакет SDK для Intune не очищает эту цепочку ключей, так как этот ПИН-код все еще может использоваться в OneDrive. Поэтому выборочная очистка не очищает эту общую цепочку ключей, включая ПИН-код. Это поведение остается прежним, даже если на устройстве существует только одно приложение от издателя.

Так как ПИН-код используется во всех приложениях одного и того же издателя, если очистка выполняется для одного приложения, пакет SDK для Intune не знает, есть ли на устройстве другие приложения от того же издателя. Таким образом, пакет SDK для Intune не очищает ПИН-код, так как он все еще может использоваться для других приложений. Предполагается, что ПИН-код приложения должен очищаться, когда последнее приложение от этого издателя будет в итоге удалено в рамках очистки ОС.

Если на некоторых устройствах обнаружена очистка ПИН-кода, вероятно, происходит следующее: так как ПИН-код привязан к идентификатору, если после очистки пользователь вошел в систему с помощью другой учетной записи, ему будет предложено ввести новый ПИН-код. Однако, если он войдет в систему с помощью ранее существующей учетной записи, для входа уже можно будет использовать ПИН-код, сохраненный в цепочке ключей.

Повторная настройка PIN-кода для приложений одного издателя
Сейчас MAM (в iOS/iPadOS) позволяет применять ПИН-код уровня приложения, который содержит буквы, цифры и специальные символы (так называемый секретный код). Если используется этот секретный код, для интеграции пакета SDK для Intune под управлением iOS требуются действия на стороне приложения (например, WXP, Outlook, Managed Browser, Yammer). Без этих приложений параметры секретного кода неправильно применяются к целевым приложениям. Этот компонент был выпущен в пакете SDK Intune для iOS версии 7.1.12.

Для поддержки этого компонента и обеспечения обратной совместимости с предыдущими версиями пакета SDK Intune для iOS/iPadOS все PIN-коды (и числовые, и секретные коды) в версиях позднее 7.1.12 обрабатываются отдельно от числового PIN-кода в предыдущих версиях пакета SDK. Еще одно изменение было введено в пакет SDK Intune для iOS версии 14.6.0, из-за этого все ПИН-коды в 14.6.0+ обрабатываются отдельно от ПИН-кодов в предыдущих версиях пакета SDK.

Поэтому если на устройстве есть приложения с пакетом SDK Intune для версий iOS, выпущенных до и после версии 7.1.12 одного издателя (или до и после версии 14.6.0), потребуется настроить два PIN-кода. Эти два PIN-кода (по одному для каждого приложения) никак между собой не связаны. Они должны соответствовать политике защиты приложения, которая применяется к приложению. Например, пользователь может задать один и тот же PIN-код дважды, только если для приложений A и B настроены одинаковые политики (касающиеся PIN-кода).

Это поведение относится только к PIN-кодам в приложениях iOS/iPadOS с поддержкой управления мобильными приложениями Intune. Со временем, по мере внедрения в приложения более поздних версий пакета SDK Intune для iOS/iPadOS, двукратная установка PIN-кодов станет менее проблематичной. Ниже приведен пример.

Примечание

Например, один и тот же издатель создал приложение A до выпуска версии 7.1.12 (или 14.6.0), а приложение B создано с помощью версии 7.1.12 (или 14.6.0) или более поздней. Пользователю потребуется задать отдельно PIN-коды для приложений A и B, если оба приложения установлены на устройстве iOS/iPadOS. Если приложение C создано с помощью SDK версии 7.1.9 (или 14.5.0) и установлено на том же устройстве, для него будет использоваться тот же PIN-код, что и для приложения A. Приложение D, созданное с помощью версии 7.1.14 (или 14.6.2), будет использовать тот же PIN-код, что и приложение B.
Если приложения A и C установлены на одном устройстве, необходимо задать только один PIN-код. То же касается приложений B и D, установленных на одном устройстве.

Шифрование данных приложения

ИТ-администраторы могут развернуть политику защиты приложений, в соответствии с которой данные приложения должны шифроваться. В рамках политики ИТ-администратор также может определить, когда содержимое должно быть зашифровано.

Как выглядит процесс шифрования данных в Intune
Дополнительные сведения о параметрах шифрования в политике защиты приложений см. в статьях Параметры политики защиты мобильных приложений для Android и Параметры политики защиты мобильных приложений для iOS/iPadOS.

Шифруемые данные
В соответствии с политикой защиты приложений, определенной ИТ-администратором, шифруются только те данные, которые отмечены как корпоративные. Данные считаются корпоративными, если они созданы в корпоративном расположении. Для приложений Office Intune учитывает следующие варианты бизнес-расположений:

  • электронная почта (Exchange);
  • облачное хранилище (приложение OneDrive с учетной записью OneDrive для бизнеса).

Для бизнес-приложений, управляемых с помощью Intune App Wrapping Tool, все данные считаются корпоративными.

Выборочная очистка

Удаленная очистка данных
В Intune данные приложения можно очистить двумя способами:

  • полная очистка устройства;
  • выборочная очистка для управления мобильными устройствами;
  • выборочная очистка MAM.

Дополнительные сведения об удаленной очистке для MDM см. в статье Удаление устройств путем очистки или прекращения использования. Дополнительные сведения о выборочной очистке с использованием MAM см. в разделе Действие "Прекратить использование" и статье Очистка только корпоративных данных в приложениях, управляемых с помощью Intune.

При полной очистке устройства с него удаляются все данные и параметры пользователя и восстанавливаются заводские настройки. Устройство удаляется из Intune.

Примечание

Полная очистка устройства и выборочная очистка для MDM может выполняться только на устройствах, зарегистрированных с помощью управления мобильными устройствами Intune (MDM).

Выборочная очистка для управления мобильными устройствами
Сведения об удалении данных организации см. в статье Удаление устройств — прекращение поддержки.

Выборочная очистка для управления мобильными приложениями
При выборочной очистке для управления мобильными приложениями данные приложений компании просто удаляются из приложений. Запрос инициируется с помощью Intune. Сведения об инициации запроса на очистку см. в статье Очистка только корпоративных данных в приложениях, управляемых с помощью Intune.

Если пользователь использует приложение при запуске выборочной очистки, пакет SDK для Intune будет каждые 30 минут проверять наличие запроса на выборочную очистку от службы Intune MAM. Проверка запросов на выборочную очистку также выполняется, когда пользователь впервые запускает приложение и входит с помощью своей рабочей или учебной учетной записи.

Почему локальные службы не поддерживают приложения, защищенные с помощью Intune?
Защита приложений в Intune зависит от соответствия удостоверений пользователя в приложении и в пакете SDK для Intune. Единственный способ обеспечить это — использовать современные средства проверки подлинности. Есть сценарии, в которых приложения могут работать с локальной конфигурацией, но в таких случаях согласованность не гарантируется.

Существует ли безопасный способ открывать веб-ссылки из управляемых приложений?
ИТ-администратор может развернуть и настроить политику защиты приложений для Microsoft Edge (веб-браузера, которым можно легко управлять с помощью Intune). ИТ-администратор может настроить открытие всех веб-ссылок в управляемых приложениях Intune с помощью приложения Managed Browser.

Возможности защиты приложений для устройств iOS

Идентификаторы c отпечатками пальцев или лица для устройства

Политики защиты приложений Intune позволяют контролировать доступ к приложениям только лицензированным пользователям Intune. Одним из способов управления доступом к приложениям является запрос Apple Touch ID или Face ID на поддерживаемых устройствах. В Intune реализована процедура запроса ПИН-кода, если вносилось изменение в базу биометрических данных устройства, по истечении заданного времени ожидания для периода бездействия. К изменениям биометрических данных относится добавление или удаление отпечатка пальца или изображения лица. Если пользователь Intune не устанавливал ПИН-код, ему будет предложено установить ПИН-код Intune.

Этот процесс нужен для того, чтобы обеспечить безопасность и защиту данных вашей организации на уровне приложения. Эта функция доступна только для устройств iOS/iPadOS, и для ее работы требуются приложения, интегрированные с пакетом Intune SDK для iOS/iPadOS 9.0.1 или более поздней версии. Интеграция пакета SDK нужна для того, чтобы принудительно применить это поведение для целевых приложений. Такая интеграция происходит регулярно и зависит от сотрудничества команд конкретных приложений. Например, интеграция настроена для таких приложений, как WXP, Outlook, Managed Browser и Yammer.

Расширение общего доступа для iOS

Вы можете использовать расширение общего доступа для iOS/iPadOS, чтобы открывать рабочие или учебные данные в неуправляемых приложениях, даже если политика передачи данных установлена в значение Только управляемые приложения или Ни одно из приложений. С помощью политики защиты приложений Intune нельзя управлять расширением для общего доступа iOS/iPadOS, не управляя самим устройством. Следовательно, Intune зашифровывает корпоративные данные, прежде чем они будут использоваться за пределами приложения. Это поведение шифрования можно проверить, попытавшись открыть корпоративный файл за пределами управляемого приложения. Такой файл должен быть зашифрован, и его не удастся открыть за пределами управляемого приложения.

По умолчанию политики защиты приложений Intune запрещают доступ к содержимому неавторизованного приложения. В iOS/iPadOS есть функции для открытия конкретного содержимого или приложений с помощью универсальных ссылок.

Пользователи могут отключить универсальные ссылки приложения, перейдя по ним в Safari и выбрав Открыть в новой вкладке или Открыть. Для использования универсальных ссылок с политиками защиты приложений Intune важно повторно включить универсальные ссылки. Пользователь должен выбрать в Safari элементы Open in (Открыть в) <имя приложения> после долгого нажатия соответствующей ссылки. В результате любое дополнительное защищенное приложение будет выполнять маршрутизацию всех универсальных ссылок в защищенное приложение на устройстве.

Несколько параметров доступа для защиты приложений в Intune для одного набора приложений или пользователей

Политики защиты приложений Intune, регламентирующие доступ, применяются к устройствам конечных пользователей в определенном порядке при попытке получить доступ к целевому приложению из корпоративной учетной записи. Как правило, очистка имеет приоритет, далее следует блокировка, а затем нестрогое предупреждение. Например, в случае конкретного пользователя или приложения параметр минимальной версии операционной системы iOS/iPadOS, который предупреждает пользователя о необходимости обновить версию iOS/iPadOS, будет применен после параметра минимальной версии операционной системы iOS/iPadOS, который блокирует доступ. В этом сценарии, когда ИТ-администратор настраивает минимальную версию операционной системы iOS 11.0.0.0, а минимальную версию операционной системы iOS с предупреждением — 11.1.0.0, и устройство пытается получить доступ к приложению, имея версию iOS 10, конечный пользователь будет заблокирован в соответствии с более строгим параметром минимальной версии операционной системы iOS.

При обработке параметров различных типов требование к версии пакета SDK для Intune имеет приоритет, далее следует требование к версии приложения, а затем к версии операционной системы iOS/iPadOS. Далее проверяются предупреждения для всех типов параметров в том же порядке. Рекомендуется настраивать требование к версии пакета SDK для Intune только по указанию от команды разработчиков Intune для важных сценариев блокировки.

Возможности защиты приложений для устройств Android

Примечание

Политики защиты приложений не поддерживаются на выделенных устройствах Android Enterprise под управлением Intune. Если на выделенных устройствах Android Enterprise существуют политики приложений, применяемые для других устройств, выполните следующие действия:

  1. Убедитесь, что политики применяются только к выделенным устройствам под управлением Intune. Политика блокировки не будет действовать, если устройство управляется сторонним поставщиком MDM.

  2. Убедитесь, что на выделенном устройстве установлен Корпоративный портал. Это необходимо для того, чтобы политика блокировки приложений вступила в силу. Для блокировки функций приложения пользователям не нужно выполнять действия в приложении "Корпоративный портал" на выделенных устройствах, поэтому не требуется, чтобы пользователи могли запустить приложение "Корпоративный портал". Достаточно просто установить Корпоративный портал на устройстве. Например, не нужно добавлять это приложение в список разрешенных в Managed Home Screen.

Обратите внимание, это не влияет на пользователей, на которых распространяются политики приложений на невыделенных устройствах.

Устройства Android с Microsoft Teams

Приложение Teams на устройствах Android с Microsoft Teams не поддерживает политику защиты приложений (не получает политику через приложение "Корпоративный портал"). Это означает, что параметры политики защиты приложений не будут применяться к Teams на устройствах Android с Microsoft Teams. Если для этих устройств настроены политики защиты приложений, рассмотрите возможность создания группы пользователей Teams устройств и исключите эту группу из родственных политик защиты приложений. Кроме того, рассмотрите возможность изменения политики регистрации Intune, политик условного доступа и политик соответствия требованиям Intune, чтобы их параметры поддерживались. Если вы не можете изменить существующие политики, необходимо настроить (исключение) фильтры устройств. Проверьте каждый параметр в существующей конфигурации условного доступа политики соответствия требованиям Intune, чтобы узнать, есть ли у вас неподдерживаемые параметры. Родственные сведения см. в статье Поддерживаемые политики условного доступа и соответствия требованиям устройств Intune для Комнат Microsoft Teams и устройств Teams Android. Сведения о Комнатах Microsoft Teams, см. в разделе Условный доступ и соответствие требованиям Intune для Комнат Microsoft Teams.

Биометрическая проверка подлинности устройства

Для устройств Android, поддерживающих биометрическую проверку подлинности, можно разрешить конечным пользователям использовать для разблокировки отпечаток пальца или распознавание лиц в зависимости от того, что поддерживает устройство Android. Вы можете настроить, могут ли все типы биометрических данных, помимо отпечатков пальцев, использоваться для проверки подлинности. Обратите внимание, что разблокировка с помощью отпечатка пальца или распознавания лиц доступна только для устройств, в которых поддержка этих биометрических способов проверки подлинности заложена изготовителем и которые работают под управлением соответствующей версии Android. Для разблокировки отпечатком пальца требуется Android 6 или более поздней версии, а для распознавания лиц требуется Android 10 или более поздней версии.

Приложение "Корпоративный портал" и защита приложений Intune

Большинство функций защиты приложений встроены в приложение корпоративного портала. И хотя приложение корпоративного портала требуется всегда, регистрация устройств не обязательна. Для управления мобильными приложений (MAM) на устройстве конечного пользователя должно быть установлено приложение "Корпоративный портал".

Несколько параметров доступа для защиты приложений в Intune для одного набора приложений или пользователей

Политики защиты приложений Intune, регламентирующие доступ, применяются к устройствам конечных пользователей в определенном порядке при попытке получить доступ к целевому приложению из корпоративной учетной записи. Как правило, блокировка имеет приоритет над нестрогим предупреждением. Например, в случае конкретного пользователя или приложения параметр минимальной версии исправления Android, который предупреждает пользователя о необходимости выполнить обновление, будет применен после параметра минимальной версии исправления Android, который блокирует доступ. В этом сценарии, когда ИТ-администратор настраивает минимальную версию исправления Android 2018-03-01, а минимальную версию исправления с предупреждением — 2018-02-01, и устройство пытается получить доступ к приложению, имея версию исправления 2018-01-01, конечный пользователь будет заблокирован в соответствии с более строгим параметром минимальной версии исправления Android.

При обработке параметров различных типов требование к версии приложения имеет приоритет, далее следует требование к версии операционной системы Android и требование к версии исправления Android. Далее проверяются предупреждения для всех типов параметров в том же порядке.

Политики защиты приложений Intune и аттестация SafetyNet Google для устройств Android

Политики защиты приложений Intune позволяют администраторам требовать, чтобы устройства конечных пользователей проходили аттестацию SafetyNet Google для устройств Android. ИТ-администратор будет получать новое определение Google Play через интервал, заданный службой Intune. Частота вызовов службы регулируется в зависимости от нагрузки, поэтому это значение используется для внутренних целей и не настраивается. Любое действие, настроенное ИТ-администратором для параметра аттестации SafetyNet Google, будет выполняться на основе последнего результата, отправленного в службу Intune во время условного запуска. Если данных нет, доступ будет разрешен при условии, что отсутствуют другие неудачные проверки условного запуска, и в серверной части начнется циклическое прохождение Сервиса Google Play для определения результатов аттестации, в ходе которого пользователи будут асинхронно получать уведомления, если устройство не прошло проверку. Если имеются устаревшие данные, доступ будет заблокирован или разрешен в зависимости от последнего известного результата, и точно так же начнется циклическое прохождение Сервиса Google Play для определения результатов аттестации, в ходе которого пользователи будут асинхронно получать уведомления, если устройство не прошло проверку.

Политики защиты приложений Intune и API проверки приложений Google для устройств Android

Политики защиты приложений Intune позволяют администраторам требовать, чтобы устройства конечных пользователей отправляли сигналы через API проверки приложений Google для устройств Android. Инструкции по выполнению этой задачи могут слегка различаться в зависимости от используемого устройства. Общий процесс состоит из следующих шагов: переход в Магазин Google Play, выбор элемента Мои приложения и игры, выбор результата последнего сканирования приложения и последующее переключение в меню Google Play Защита. Переключатель Проверять устройство на наличие угроз безопасности должен быть переведен в положение "Вкл".

API аттестации SafetyNet для Google

Intune использует API-интерфейсы SafetyNet Google Play Защита для более тщательной проверки предоставления административных прав на незарегистрированных устройствах. Корпорация Google разработала и поддерживает этот набор API для приложений Android на случай, если запускать приложения на устройствах с административным доступом не требуется. Эта возможность реализована, к примеру, в приложениях Android Pay. Хотя Google не распространяет информацию о всех выполняемых проверках предоставления административных прав, ожидается, что эти API-интерфейсы будут обнаруживать пользователей, которые настроили на своих устройствах административный доступ. Таким пользователям можно будет запрещать доступ либо можно будет удалять их корпоративные учетные записи из приложений с действующими политиками. Проверка базовой целостности дает представление об общей целостности устройства. Проверку базовой целостности не проходят устройства с root-доступом, эмуляторы, виртуальные устройства и устройства с признаками несанкционированного доступа. Проверка базовой целостности и сертифицированных устройств дает представление о совместимости устройства со службами Google. Эту проверку могут пройти только неизмененные устройства, сертифицированные корпорацией Google. К устройствам, которые не смогут пройти проверку, относятся следующие:

  • устройства, которые не прошли проверку базовой целостности;
  • устройства с разблокированным загрузчиком;
  • устройства с пользовательским образом системы или диском;
  • устройства, для которых производитель не подал заявку на сертификацию или которые не прошли сертификацию Google;
  • устройства с образом системы, созданным непосредственно из исходных файлов программы Android с открытым исходным кодом;
  • устройства с образом системы для предварительной бета-версии или версии для разработчиков.

Технические сведения см. в документации Google по аттестации SafetyNet.

Варианты "Аттестация устройства SafetyNet" и "Устройства со снятой защитой или с административным доступом"

API-интерфейсы SafetyNet Google Защита требуют, чтобы пользователь был подключен к сети по крайней мере в течение времени выполнения циклического прохождения для определения результатов аттестации. Даже если пользователь находится вне сети, ИТ-администратор может принудительно применить параметр Устройства со снятой защитой или с административным доступом. При этом, если конечный пользователь находился вне сети слишком долго, начинает действовать значение льготного периода автономности: по достижении этого значения таймера доступ к рабочим или учебным данным блокируется до установки сетевого подключения. При включении обоих параметров реализуется многоуровневый подход к обеспечению безопасности и работоспособности устройств конечных пользователей, что очень важно при доступе к рабочим или учебным данным с мобильных устройств.

API защиты Google Play и Сервисы Google Play

Для правильной работы параметров политики защиты приложений, использующих API-интерфейсы Google Play Защита, требуются Сервисы Google Play. Для правильной работы параметров Аттестация устройств SafetyNet и Проверка наличия угроз в приложениях требуется определяемая корпорацией Google версия Сервисов Google Play. Так как эти параметры имеют отношение к обеспечению безопасности, конечный пользователь будет заблокирован, если он использует эти параметры и у него отсутствует соответствующая версия Сервисов Google Play или доступ к Сервисам Google Play.

Дальнейшие действия

Как создавать и назначать политики защиты приложений с помощью Microsoft Intune

Параметры политики защиты приложений Android в Microsoft Intune

Параметры политик для защиты приложений в iOS/iPadOS