Настройка Microsoft Intune для "Никому не доверяй: защита данных на устройствах" (предварительная версия)

Защита конфиденциальные данные в мобильных приложениях и сетях является ключевой частью стратегии "Никому не доверяй". Приведенные ниже Intune рекомендации отражают инициативу Майкрософт по обеспечению безопасного доступа, защите информации и снижению риска на разных платформах. Эти проверки помогают обеспечить безопасность бизнес-данных путем применения защиты приложений, обеспечения соответствия устройств и защиты подключений к корпоративным сетям.

Рекомендации по безопасности "Никому не доверяй"

Данные в Android защищены политиками защиты приложений

Без политик защиты приложений корпоративные данные, доступные на устройствах Android, уязвимы для утечки через неуправляемые или вредоносные приложения. Пользователи могут непреднамеренно копировать конфиденциальную информацию в личные приложения, небезопасно хранить данные или обходить элементы управления проверкой подлинности. Этот риск усиливается на устройствах, которые не полностью управляются, где корпоративный и личный контексты сосуществуют, что повышает вероятность кражи данных или несанкционированного доступа.

Применение политик защиты приложений гарантирует, что корпоративные данные доступны только через доверенные приложения и остаются защищенными даже на личных устройствах или устройствах Android BYOD.

Эти политики обеспечивают шифрование, ограничивают общий доступ к данным и требуют проверки подлинности, уменьшая риск утечки данных и согласуясь с принципами "Никому не доверяй" защиты данных и условного доступа.

Действие по исправлению

Разверните Intune политики защиты приложений, которые шифруют данные, ограничивают общий доступ и требуют проверки подлинности в утвержденных приложениях Android.

• Развертывание политик защиты приложений Intune
• Ознакомьтесь со справочником по параметрам защиты приложений Android

Дополнительные сведения см. в разделе:

• Сведения об использовании политик защиты приложений

Данные в iOS/iPadOS защищены политиками защиты приложений

Без политик защиты приложений корпоративные данные, доступные на устройствах iOS/iPadOS, уязвимы для утечки через неуправляемые или личные приложения. Пользователи могут непреднамеренно копировать конфиденциальную информацию в незащищенные приложения, хранить данные за пределами организации или обходить элементы управления проверкой подлинности. Этот риск особенно высок на устройствах BYOD, где сосуществуют личные и рабочие контексты, что повышает вероятность кражи данных или несанкционированного доступа.

политики защита приложений обеспечивают безопасность корпоративных данных в утвержденных приложениях даже на личных устройствах. Эти политики обеспечивают шифрование, ограничивают общий доступ к данным и требуют проверки подлинности, уменьшая риск утечки данных и согласуясь с принципами "Никому не доверяй" защиты данных и условного доступа.

Действие по исправлению

Разверните Intune политики защиты приложений, которые шифруют корпоративные данные, ограничивают общий доступ и требуют проверки подлинности в утвержденных приложениях iOS/iPadOS:

• Развертывание политик защиты приложений Intune
• Ознакомьтесь со справочником по параметрам защиты приложений iOS

Дополнительные сведения см. в разделе:

• Сведения об использовании политик защиты приложений

Политики условного доступа блокируют доступ из неуправляемых приложений

Если Microsoft Entra политики условного доступа не сочетаются с элементами управления защитой приложений, пользователи могут подключаться к корпоративным ресурсам через неуправляемые или незащищенные приложения. Это подвергает конфиденциальные данные таким рискам, как утечка данных, несанкционированный доступ и несоответствие нормативным требованиям. Без таких мер безопасности, как защита данных на уровне приложения, ограничения доступа и защита от потери данных, субъекты угроз могут использовать незащищенные приложения для обхода средств управления безопасностью и компрометации данных организации.

Применение Intune политик защиты приложений в условном доступе гарантирует, что только доверенные приложения могут получать доступ к корпоративным данным. Это поддерживает функцию "Никому не доверяй", применяя решения о доступе на основе доверия к приложению, ограничений на хранение данных и использования.

Действие по исправлению

Настройте политики условного доступа на основе приложений в Microsoft Entra и Intune, чтобы требовать защиты приложений для доступа к корпоративным ресурсам:

• Настройка политик условного доступа на основе приложений в Intune

Дополнительные сведения см. в разделе:

• Что такое условный доступ?
• Сведения о политиках условного доступа на основе приложений с помощью Intune

Политики условного доступа блокируют доступ с несоответствующих устройств

Если Microsoft Entra политики условного доступа не обеспечивают соответствие устройств требованиям, пользователи могут подключаться к корпоративным ресурсам с устройств, которые не соответствуют стандартам безопасности. Это подвергает конфиденциальные данные рискам, таким как вредоносные программы, несанкционированный доступ и несоответствие нормативным требованиям. Без таких элементов управления, как принудительное шифрование, проверки работоспособности устройств и ограничения доступа, субъекты угроз могут использовать несоответствующие устройства для обхода мер безопасности и поддержания сохраняемости.

Требование соответствия устройств в политиках условного доступа гарантирует, что только доверенные и защищенные устройства могут получать доступ к корпоративным ресурсам. Это поддерживает "Никому не доверяй", применяя решения о доступе на основе работоспособности устройства и состояния соответствия требованиям.

Действие по исправлению

Настройте политики условного доступа в Microsoft Entra, чтобы обеспечить соответствие устройств перед предоставлением доступа к корпоративным ресурсам:

• Создание политики условного доступа на основе соответствия устройств

Дополнительные сведения см. в разделе:

• Что такое условный доступ?
• Интеграция результатов соответствия устройств с условным доступом

Профили защиты Wi-Fi защищают устройства iOS от несанкционированного доступа к сети

Если Wi-Fi профили неправильно настроены и назначены, пользователи могут небезопасно подключаться к доверенным сетям или не подключаться к доверенным сетям, подвергая корпоративные данные перехвату или несанкционированного доступа. Без централизованного управления устройства используют ручную настройку, что повышает риск неправильной настройки, слабой проверки подлинности и подключения к несанкционированным сетям.

Централизованное управление профилями Wi-Fi для устройств iOS в Intune обеспечивает безопасное и согласованное подключение к корпоративным сетям. Это обеспечивает применение стандартов проверки подлинности и шифрования, упрощает подключение и поддерживает "Никому не доверяй", уменьшая уязвимость к ненадежным сетям.

Действие по исправлению

Используйте Intune для настройки и назначения профилей безопасного Wi-Fi для устройств iOS/iPadOS для применения стандартов проверки подлинности и шифрования.

• Развертывание профилей Wi-Fi на устройствах в Microsoft Intune

Дополнительные сведения см. в разделе:

• Просмотрите доступные параметры Wi-Fi для устройств iOS и iPadOS в Microsoft Intune

Профили защиты Wi-Fi защищают устройства macOS от несанкционированного доступа к сети

Если Wi-Fi профили неправильно настроены и назначены, устройства macOS могут не подключаться к защищенным сетям или небезопасно подключаться, подвергая корпоративным данным перехват или несанкционированный доступ. Без централизованного управления устройства используют ручную настройку, что повышает риск неправильной настройки, слабой проверки подлинности и подключения к несанкционированным сетям. Эти пробелы могут привести к перехвату данных, несанкционированного доступа к сети и нарушению соответствия требованиям.

Централизованное управление профилями Wi-Fi для устройств macOS в Intune обеспечивает безопасное и согласованное подключение к корпоративным сетям. Это обеспечивает применение стандартов проверки подлинности и шифрования, упрощает подключение и поддерживает "Никому не доверяй", уменьшая уязвимость к ненадежным сетям.

Действие по исправлению

Используйте Intune для настройки и назначения профилей безопасных Wi-Fi для устройств macOS для применения стандартов проверки подлинности и шифрования.

• Настройка параметров Wi-Fi для устройств macOS в Intune

Дополнительные сведения см. в разделе:

• Просмотрите доступные параметры Wi-Fi для устройств macOS в Microsoft Intune

Безопасные профили Wi-Fi защищают устройства Android от несанкционированного доступа к сети

Если Wi-Fi профили неправильно настроены и назначены, устройства Android могут не подключаться к защищенным сетям или небезопасно подключаться, подвергая корпоративным данным перехват или несанкционированный доступ. Без централизованного управления устройства используют ручную настройку, что повышает риск неправильной настройки, слабой проверки подлинности и подключения к несанкционированным сетям.

Централизованное управление профилями Wi-Fi для устройств Android в Intune обеспечивает безопасное и согласованное подключение к корпоративным сетям. Это обеспечивает применение стандартов проверки подлинности и шифрования, упрощает подключение и поддерживает "Никому не доверяй", уменьшая уязвимость к ненадежным сетям.

Используйте Intune для настройки профилей безопасных Wi-Fi, которые применяют стандарты проверки подлинности и шифрования.

Действие по исправлению

Используйте Intune для настройки и назначения профилей безопасного Wi-Fi для устройств Android для применения стандартов проверки подлинности и шифрования.

• Развертывание профилей Wi-Fi на устройствах в Microsoft Intune

Дополнительные сведения см. в разделе:

• Просмотрите доступные параметры Wi-Fi для устройств Android в Microsoft Intune

Связанные материалы

• Руководство по развертыванию для Microsoft Intune
• Защита данных и устройств с помощью Microsoft Intune
• Настройка Microsoft Entra для повышения безопасности (предварительная версия)