Структура защиты данных с использованием политик защиты приложений
По мере того как все больше организаций внедряют стратегии мобильных устройств для доступа к рабочим или учебным данным, защита от утечки данных приобретает первостепенное значение. Intune решение для управления мобильными приложениями для защиты от утечки данных — политики защиты приложений (APP). APP — это правила, которые гарантируют, что данные организации остаются в безопасности или содержатся в управляемом приложении независимо от того, зарегистрировано ли устройство. Дополнительные сведения см. в статье Общие сведения о политиках защита приложений.
При настройке политик защиты приложений количество различных параметров и параметров позволяет организациям адаптировать защиту в соответствии с их конкретными потребностями. Из-за такой гибкости может быть не очевидно, какая перестановка параметров политики требуется для реализации полного сценария. Чтобы помочь организациям определить приоритеты усилий по защите конечных точек клиентов, корпорация Майкрософт представила новую таксономию для конфигураций безопасности в Windows 10, а Intune использует аналогичную таксономию для своей платформы защиты данных APP для управления мобильными приложениями.
Платформа конфигурации защиты данных APP организована в три отдельных сценария конфигурации:
Уровень 1 корпоративная базовая защита данных. Корпорация Майкрософт рекомендует эту конфигурацию в качестве минимальной конфигурации защиты данных для корпоративного устройства.
Расширенная защита корпоративных данных уровня 2. Корпорация Майкрософт рекомендует эту конфигурацию для устройств, на которых пользователи получают доступ к конфиденциальной или конфиденциальной информации. Эта конфигурация применима к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным. Некоторые параметры могут оказать влияние на работу пользователей.
Уровень 3 корпоративного уровня с высоким уровнем защиты данных. Корпорация Майкрософт рекомендует эту конфигурацию для устройств, управляемых организацией с более крупной или более сложной командой безопасности, или для конкретных пользователей или групп с уникальным высоким риском (пользователи, обрабатывающие конфиденциальные данные, когда несанкционированное раскрытие приводит к значительным материальным потерям для организации). Организация, скорее всего, будет мишенью хорошо финансируемых и изощренных злоумышленников, должна стремиться к этой конфигурации.
Методология развертывания APP Data Protection Framework
Как и при любом развертывании нового программного обеспечения, функций или параметров, корпорация Майкрософт рекомендует инвестировать в кольцевую методологию для тестирования проверки перед развертыванием платформы защиты данных APP. Определение кругов развертывания обычно является одноразовым событием (или, по крайней мере, редко), но ИТ-службе следует вернуться к этим группам, чтобы обеспечить правильность последовательности.
Корпорация Майкрософт рекомендует следующий подход к кольцевой среде развертывания для платформы защиты данных APP:
| Круг развертывания | Tenant | Команды оценки | Выходные данные | Временная шкала |
|---|---|---|---|---|
| Контроль качества | Клиент предварительной подготовки | Владельцы мобильных возможностей, безопасность, оценка рисков, конфиденциальность, взаимодействие с пользователем | Проверка функционального сценария, проекты документов | 0–30 дней |
| Предварительная версия | Рабочий клиент | Владельцы мобильных возможностей, пользовательский интерфейс | Проверка сценария конечного пользователя, документация для пользователей | 7–14 дней, контроль качества |
| Производство | Рабочий клиент | Владельцы мобильных возможностей, служба ИТ-поддержки | Недоступно | от 7 дней до нескольких недель, предварительная версия |
Как указано в приведенной выше таблице, все изменения политик защиты приложений должны быть сначала выполнены в предварительной среде, чтобы понять последствия параметров политики. После завершения тестирования изменения можно переместить в рабочую среду и применить к подмножествам пользователей в рабочей среде, как правило, ИТ-отделу и другим применимым группам. И, наконец, развертывание может быть завершено для остальной части сообщества мобильных пользователей. Развертывание в рабочей среде может занять больше времени в зависимости от масштаба влияния на изменение. Если это не влияет на пользователей, изменение должно быстро развернуться, в то время как, если изменение приводит к влиянию на пользователей, развертывание может идти медленнее из-за необходимости сообщать об изменениях в пользовательской совокупности.
При тестировании изменений в приложении следует учитывать время доставки. Состояние доставки приложения для данного пользователя можно отслеживать. Дополнительные сведения см. в разделе Мониторинг политик защиты приложений.
Отдельные параметры приложения для каждого приложения можно проверить на устройствах с помощью Microsoft Edge и URL-адреса about:Intunehelp. Дополнительные сведения см. в разделах Просмотр журналов защиты клиентских приложений и Использование Microsoft Edge для iOS и Android для доступа к журналам управляемых приложений.
Параметры платформы защиты данных APP
Следующие параметры политики защиты приложений должны быть включены для соответствующих приложений и назначены всем мобильным пользователям. Дополнительные сведения о каждом параметре политики см. в разделах Параметры политики защиты приложений iOS и Параметры политики защиты приложений Android.
Корпорация Майкрософт рекомендует просматривать и классифицировать сценарии использования, а затем настраивать пользователей с помощью инструкций для этого уровня. Как и в случае с любой платформой, параметры на соответствующем уровне может потребоваться скорректировать в зависимости от потребностей организации, так как защита данных должна оценивать среду угроз, аппетит к риску и влияние на удобство использования.
Администраторы могут включить приведенные ниже уровни конфигурации в методологию развертывания круга для тестирования и использования в рабочей среде путем импорта примера Intune шаблонов JSON платформы конфигурации политики защиты приложений с помощью сценариев PowerShell Intune.
Примечание.
При использовании MAM для Windows см. раздел параметры политики защита приложений для Windows.
Политики условного доступа
Чтобы гарантировать, что только приложения, поддерживающие политики защиты приложений, получают доступ к данным рабочей или учебной учетной записи, требуются политики условного доступа Microsoft Entra. Эти политики описаны в разделе Условный доступ: требовать утвержденные клиентские приложения или политику защиты приложений.
Инструкции по реализации конкретных политик см. в статье Требовать утвержденные клиентские приложения или политику защиты приложений с помощью мобильных устройств в разделе Условный доступ: требовать утвержденные клиентские приложения или политику защиты приложений . Наконец, выполните действия, описанные в разделе Блокировать устаревшую проверку подлинности , чтобы заблокировать устаревшие приложения iOS и Android.
Примечание.
Эти политики используют элементы управления предоставлением Требовать утвержденное клиентское приложение и Требовать политику защиты приложений.
Приложения для включения в политики защиты приложений
Для каждой политики защиты приложений используется группа Core Microsoft Apps, которая включает следующие приложения:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- To Do
- Word
Политики должны включать в себя другие приложения Майкрософт на основе бизнес-потребности, дополнительные сторонние общедоступные приложения, интегрированные Intune sdk, используемые в организации, а также бизнес-приложения, интегрированные с пакетом SDK для Intune (или были упакованы).
Уровень 1 корпоративная базовая защита данных
Уровень 1 — это минимальная конфигурация защиты данных для корпоративного мобильного устройства. Эта конфигурация заменяет потребность в базовых политиках доступа Exchange Online устройств, требуя ПИН-код для доступа к рабочим или учебным данным, шифруя данные рабочей или учебной учетной записи и предоставляя возможность выборочной очистки учебных или рабочих данных. Однако, в отличие от Exchange Online политик доступа к устройствам, приведенные ниже параметры политики защиты приложений применяются ко всем приложениям, выбранным в политике, тем самым обеспечивая защиту доступа к данным за пределами сценариев обмена мобильными сообщениями.
Политики уровня 1 обеспечивают разумный уровень доступа к данным, сводя к минимуму влияние на пользователей и зеркало параметры требований к защите данных и доступу по умолчанию при создании политики защиты приложений в Microsoft Intune.
Защита данных
| Setting | Описание параметра | Значение | Платформа |
|---|---|---|---|
| Передача данных | Резервное копирование данных организации в... | Разрешить | iOS/iPadOS, Android |
| Передача данных | Отправка данных организации в другие приложения | Все приложения | iOS/iPadOS, Android |
| Передача данных | Отправка данных организации по | Все назначения | Windows |
| Передача данных | Получать данные из других приложений | Все приложения | iOS/iPadOS, Android |
| Передача данных | Получение данных из | Все источники | Windows |
| Передача данных | Ограничение вырезанной, копируемой и вставки между приложениями | Любое приложение | iOS/iPadOS, Android |
| Передача данных | Разрешить вырезать, копировать и вставлять для | Любое назначение и любой источник | Windows |
| Передача данных | Клавиатуры сторонних производителей | Разрешить | iOS/iPadOS |
| Передача данных | Утвержденные клавиатуры | Не требуется | Android |
| Передача данных | Снимок экрана и Google Assistant | Разрешить | Android |
| Шифрование | Шифрование данных организации | Обязательность | iOS/iPadOS, Android |
| Шифрование | Шифрование данных организации на зарегистрированных устройствах | Обязательность | Android |
| функциональность. | Синхронизация приложения с собственным приложением контактов | Разрешить | iOS/iPadOS, Android |
| функциональность. | Печать данных организации | Разрешить | iOS/iPadOS, Android, Windows |
| функциональность. | Ограничить обмен веб-содержимым с другими приложениями | Любое приложение | iOS/iPadOS, Android |
| функциональность. | Уведомления о данных организации | Разрешить | iOS/iPadOS, Android |
Требования к доступу
| Setting | Значение | Платформа | Заметки |
|---|---|---|---|
| ПИН-код для доступа | Обязательность | iOS/iPadOS, Android | |
| Тип ПИН-кода | Числовой | iOS/iPadOS, Android | |
| Простой ПИН-код | Разрешить | iOS/iPadOS, Android | |
| Выберите Минимальная длина ПИН-кода | 4 | iOS/iPadOS, Android | |
| Сенсорный идентификатор вместо ПИН-кода для доступа (iOS 8+/iPadOS) | Разрешить | iOS/iPadOS | |
| Переопределение биометрии с помощью ПИН-кода после истечения времени ожидания | Обязательность | iOS/iPadOS, Android | |
| Время ожидания (в минутах активности) | 1440 | iOS/iPadOS, Android | |
| Идентификатор лица вместо ПИН-кода для доступа (iOS 11+/iPadOS) | Разрешить | iOS/iPadOS | |
| Биометрические данные вместо ПИН-кода для доступа | Разрешить | iOS/iPadOS, Android | |
| Смена ПИН-кода после количества дней | Нет | iOS/iPadOS, Android | |
| Выбор количества предыдущих значений ПИН-кода для сохранения | 0 | Android | |
| ПИН-код приложения при задании ПИН-кода устройства | Обязательность | iOS/iPadOS, Android | Если устройство зарегистрировано в Intune, администраторы могут задать для этого параметра значение "Не требуется", если они принудительно вводят надежный ПИН-код устройства с помощью политики соответствия устройств. |
| Данные рабочей или учебной учетной записи для доступа | Не требуется | iOS/iPadOS, Android | |
| Перепроверять требования доступа через (минут бездействия) | 30 | iOS/iPadOS, Android |
Условный запуск
| Setting | Описание параметра | Значение и действие | Платформа | Заметки |
|---|---|---|---|---|
| Условия приложения | Макс. попыток ввода ПИН-кода | 5 / Сброс ПИН-кода | iOS/iPadOS, Android | |
| Условия приложения | Период отсрочки в автономном режиме | 1440 / Блокировать доступ (в минутах) | iOS/iPadOS, Android, Windows | |
| Условия приложения | Период отсрочки в автономном режиме | 90 / Очистка данных (в днях) | iOS/iPadOS, Android, Windows | |
| Условия устройства | Устройства со снятой защитой или административным доступом | N/A / Блокировать доступ | iOS/iPadOS, Android | |
| Условия устройства | Аттестация устройств SafetyNet | Базовая целостность и сертифицированные устройства / Блокировка доступа | Android | Этот параметр настраивает целостность устройств Google Play проверка на устройствах конечных пользователей. Базовая целостность подтверждает целостность устройства. Проверку базовой целостности не проходят устройства с административным доступом, эмуляторы, виртуальные устройства и устройства с признаками несанкционированного доступа. "Базовая целостность и сертифицированные устройства" проверяют совместимость устройства со службами Google. Эту проверку могут пройти только неизмененные устройства, сертифицированные корпорацией Google. |
| Условия устройства | Требовать проверку на угрозы в приложениях | N/A / Блокировать доступ | Android | Этот параметр гарантирует, что проверка приложений Google включена для устройств конечных пользователей. Если это настроено, доступ к конечному пользователю будет запрещен до тех пор, пока он не включит сканирование приложений Google на своем устройстве Android. |
| Условия устройства | Максимальный допустимый уровень угроз для устройства | Низкий или заблокированный доступ | Windows | |
| Условия устройства | Требовать блокировку устройства | Низкий уровень или предупреждение | Android | Этот параметр гарантирует, что на устройствах Android есть пароль устройства, соответствующий минимальным требованиям к паролю. |
Примечание.
Параметры условного запуска Windows помечены как проверки работоспособности.
Расширенная защита данных предприятия уровня 2
Уровень 2 — это конфигурация защиты данных, рекомендуемая в качестве стандарта для устройств, где пользователи получают доступ к более конфиденциальной информации. Сегодня эти устройства являются в организациях естественной мишенью. Эти рекомендации не предполагают большого числа высококвалифицированных специалистов по безопасности, поэтому они должны быть доступны большинству корпоративных организаций. Эта конфигурация расширяет конфигурацию уровня 1, ограничивая сценарии передачи данных и требуя минимальной версии операционной системы.
Параметры политики, применяемые на уровне 2, включают все параметры политики, рекомендуемые для уровня 1. Однако на уровне 2 перечислены только те параметры, которые были добавлены или изменены для реализации дополнительных элементов управления и более сложной конфигурации, чем уровень 1. Хотя эти параметры могут оказать несколько большее влияние на пользователей или приложения, они обеспечивают уровень защиты данных, более соизмеримый с рисками, с которыми сталкиваются пользователи с доступом к конфиденциальной информации на мобильных устройствах.
Защита данных
| Setting | Описание параметра | Значение | Платформа | Заметки |
|---|---|---|---|---|
| Передача данных | Резервное копирование данных организации в... | Блокировка | iOS/iPadOS, Android | |
| Передача данных | Отправка данных организации в другие приложения | Приложения, управляемые политикой | iOS/iPadOS, Android | В iOS/iPadOS администраторы могут настроить это значение как "Приложения, управляемые политикой", "Приложения, управляемые политикой, с общим доступом к ОС" или "Приложения, управляемые политикой, с фильтрацией "Открыть в/поделиться". Приложения, управляемые политикой, с общим доступом к ОС доступны, если устройство также зарегистрировано в Intune. Этот параметр позволяет передавать данные другим приложениям, управляемым политикой, и передавать файлы другим приложениям, управляемым Intune. Приложения, управляемые политикой, с фильтрацией Open-In/Share фильтруют диалоговые окна открытия и совместного использования ОС, чтобы отображать только приложения, управляемые политикой. Дополнительные сведения см. в разделе Параметры политики защиты приложений iOS. |
| Передача данных | Отправка данных или в | Нет назначений | Windows | |
| Передача данных | Получение данных из | Нет источников | Windows | |
| Передача данных | Выбрать исключаемые приложения | Значение по умолчанию / skype; параметры приложения; calshow; Itms; itmss; itms-apps; itms-appss; itms-services; | iOS/iPadOS | |
| Передача данных | Сохранять копии данных организации | Блокировка | iOS/iPadOS, Android | |
| Передача данных | Разрешить пользователям сохранять копии в выбранных службах | OneDrive для бизнеса, SharePoint Online, библиотека фотографий | iOS/iPadOS, Android | |
| Передача данных | Transfer telecommunication data to (Перенос телекоммуникационных данных в) | Любое приложение для набора номера | iOS/iPadOS, Android | |
| Передача данных | Ограничение вырезанной, копируемой и вставки между приложениями | Приложения, управляемые политикой, с вставкой в | iOS/iPadOS, Android | |
| Передача данных | Разрешить вырезать, копировать и вставлять для | Нет назначения или источника | Windows | |
| Передача данных | Снимок экрана и Google Assistant | Блокировка | Android | |
| функциональность. | Ограничить обмен веб-содержимым с другими приложениями | Microsoft Edge | iOS/iPadOS, Android | |
| функциональность. | Уведомления о данных организации | Блокировать данные организации | iOS/iPadOS, Android | Список приложений, поддерживающих этот параметр, см. в разделах Параметры политики защиты приложений iOS и Параметры политики защиты приложений Android. |
Условный запуск
| Setting | Описание параметра | Значение и действие | Платформа | Заметки |
|---|---|---|---|---|
| Условия приложения | Учетная запись отключена | N/A / Блокировать доступ | iOS/iPadOS, Android, Windows | |
| Условия устройства | Минимальная версия ОС | Формат: Major.Minor.Build Пример: 14.8 / Блокировать доступ |
iOS/iPadOS | Корпорация Майкрософт рекомендует настроить минимальную основную версию iOS в соответствии с поддерживаемыми версиями iOS для приложений Майкрософт. Приложения Майкрософт поддерживают подход N-1, при котором N — это текущая основная версия выпуска iOS. Для настройки значений дополнительной версии и сборки корпорация Майкрософт рекомендует обеспечить актуальность устройств в соответствии с обновлениями для системы безопасности. Последние рекомендации Apple см. в разделе Обновления системы безопасности Apple . |
| Условия устройства | Минимальная версия ОС | Формат: Major.Minor Пример: 9.0 / Блокировать доступ |
Android | Корпорация Майкрософт рекомендует настроить минимальный основной номер версии Android в соответствии с поддерживаемыми версиями Android для приложений Майкрософт. Изготовители оборудования и устройства, соответствующие рекомендуемым требованиям Android Enterprise, должны поддерживать текущий поставляемый выпуск и обновление. В настоящее время специалистам в сфере анализа и обработки информации рекомендуется использовать Android 9.0 и более поздние версии. Ознакомьтесь с рекомендациями android enterprise для последних рекомендаций Android. |
| Условия устройства | Минимальная версия ОС | Формат: сборка Пример: 10.0.22621.2506 / Блокировать доступ |
Windows | Корпорация Майкрософт рекомендует настроить минимальную сборку Windows в соответствии с поддерживаемыми версиями Windows для приложений Майкрософт. В настоящее время корпорация Майкрософт рекомендует следующее:
|
| Условия устройства | Минимальная версия исправления | Формат: ГГГГ-ММ-ДД Пример: 2020-01-01 / Блокировать доступ |
Android | Устройства Android могут получить ежемесячные исправления безопасности, но их выпуск зависит от OEM-изготовителей и операторов связи. Организации должны убедиться, что развернутые устройства Android действительно получают обновления безопасности, и только после этого применять этот параметр. Последние выпуски исправлений см. в бюллетенях по безопасности Android . |
| Условия устройства | Требуемый тип оценки SafetyNet | Аппаратный ключ | Android | Аппаратная аттестация улучшает существующую службу Google Play Integrity проверка путем применения нового типа оценки под названием Hardware Backed, обеспечивая более надежное обнаружение корней в ответ на более новые типы инструментов и методов rooting, которые не всегда могут быть надежно обнаружены программным решением. Как следует из названия, аппаратная аттестация использует аппаратный компонент, который поставляется с устройствами, установленными с Android 8.1 и более поздних версий. Устройства, которые были обновлены с предыдущей версии Android до Android 8.1, вряд ли будут иметь аппаратные компоненты, необходимые для аттестации с аппаратной поддержкой. Хотя этот параметр должен широко поддерживаться, начиная с устройств, поставляемых с Android 8.1, корпорация Майкрософт настоятельно рекомендует проверять каждое устройство отдельно, прежде чем широко применять этот параметр политики. |
| Условия устройства | Требовать блокировку устройства | Средний или блочный доступ | Android | Этот параметр гарантирует, что на устройствах Android есть пароль устройства, соответствующий минимальным требованиям к паролю. |
| Условия устройства | Аттестация устройств Samsung Knox | Блокировка доступа | Android | Корпорация Майкрософт рекомендует настроить для параметра аттестации устройств Samsung Knoxзначение Блокировать доступ , чтобы убедиться, что учетная запись пользователя заблокирована для доступа, если устройство не соответствует аппаратной проверке работоспособности устройства Samsung Knox. Этот параметр проверяет все Intune ответы клиента MAM на службу Intune были отправлены с работоспособного устройства. Этот параметр применяется ко всем целевым устройствам. Чтобы применить этот параметр только к устройствам Samsung, можно использовать фильтры назначений "Управляемые приложения". Дополнительные сведения о фильтрах назначений см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune. |
| Условия приложения | Период отсрочки в автономном режиме | 21 / Очистка данных (в днях) | Windows |
Примечание.
Параметры условного запуска Windows помечены как проверки работоспособности.
Высокий уровень защиты корпоративных данных уровня 3
Уровень 3 — это конфигурация защиты данных, рекомендуемая в качестве стандарта для организаций с большими и сложными организациями по обеспечению безопасности, а также для конкретных пользователей и групп, которые будут однозначно атакованы злоумышленниками. Такие организации, как правило, являются мишенью хорошо финансируемых и изощренных злоумышленников, и, как таковые, заслуживают дополнительных ограничений и средств контроля, описанных. Эта конфигурация расширяет конфигурацию уровня 2, ограничивая дополнительные сценарии передачи данных, усложняя конфигурацию ПИН-кода и добавляя обнаружение угроз для мобильных устройств.
Параметры политики, применяемые на уровне 3, включают все параметры политики, рекомендуемые для уровня 2, но перечислены только те параметры ниже, которые были добавлены или изменены для реализации дополнительных элементов управления и более сложной конфигурации, чем уровень 2. Эти параметры политики могут оказать потенциально значительное влияние на пользователей или приложения, обеспечивая уровень безопасности, соизмеримый с рисками, с которыми сталкиваются целевые организации.
Защита данных
| Setting | Описание параметра | Значение | Платформа | Заметки |
|---|---|---|---|---|
| Передача данных | Transfer telecommunication data to (Перенос телекоммуникационных данных в) | Любое приложение набора номера, управляемое политикой | Android | Администраторы также могут настроить этот параметр для использования приложения набора номера, которое не поддерживает политики защиты приложений, выбрав определенное приложение для набора номера и указав значения Идентификатор пакета приложения для набора номера и Имя приложения набора номера. |
| Передача данных | Transfer telecommunication data to (Перенос телекоммуникационных данных в) | Определенное приложение для набора номера | iOS/iPadOS | |
| Передача данных | Схема URL-адресов приложения для набора номера | replace_with_dialer_app_url_scheme | iOS/iPadOS | В iOS/iPadOS это значение должно быть заменено схемой URL-адресов для используемого пользовательского приложения набора номера. Если схема URL-адресов не известна, обратитесь за дополнительными сведениями к разработчику приложения. Дополнительные сведения о схемах URL-адресов см. в разделе Определение пользовательской схемы URL-адресов для приложения. |
| Передача данных | Получать данные из других приложений | Приложения, управляемые политикой | iOS/iPadOS, Android | |
| Передача данных | Открывать данные в документах организации | Блокировка | iOS/iPadOS, Android | |
| Передача данных | Разрешить пользователям открывать данные из выбранных служб | OneDrive для бизнеса, SharePoint, камера, библиотека фотографий | iOS/iPadOS, Android | Дополнительные сведения см. в разделах Параметры политики защиты приложений Android и Параметры политики защиты приложений iOS. |
| Передача данных | Клавиатуры сторонних производителей | Блокировка | iOS/iPadOS | В iOS/iPadOS это блокирует работу всех сторонних клавиатур в приложении. |
| Передача данных | Утвержденные клавиатуры | Обязательность | Android | |
| Передача данных | Выбор клавиатуры для утверждения | добавление и удаление клавиатур | Android | В Android клавиатуры должны быть выбраны для использования на основе развернутых устройств Android. |
| функциональность. | Печать данных организации | Блокировка | iOS/iPadOS, Android, Windows |
Требования к доступу
| Setting | Значение | Платформа |
|---|---|---|
| Простой ПИН-код | Блокировка | iOS/iPadOS, Android |
| Выберите Минимальная длина ПИН-кода | 6 | iOS/iPadOS, Android |
| Смена ПИН-кода после количества дней | Да | iOS/iPadOS, Android |
| Количество дней | 365 | iOS/iPadOS, Android |
| Биометрия класса 3 (Android 9.0 и более поздних версий) | Обязательность | Android |
| Переопределение биометрии с помощью ПИН-кода после биометрических обновлений | Обязательность | Android |
Условный запуск
| Setting | Описание параметра | Значение и действие | Платформа | Заметки |
|---|---|---|---|---|
| Условия устройства | Требовать блокировку устройства | Высокий или заблокированный доступ | Android | Этот параметр гарантирует, что на устройствах Android есть пароль устройства, соответствующий минимальным требованиям к паролю. |
| Условия устройства | Максимальный допустимый уровень угроз для устройства | Защищенный или заблокированный доступ | Windows | |
| Условия устройства | Устройства со снятой защитой или административным доступом | N/A / Очистка данных | iOS/iPadOS, Android | |
| Условия устройства | Максимальный допустимый уровень угрозы | Защищенный или заблокированный доступ | iOS/iPadOS, Android | Незарегистрированные устройства можно проверить на наличие угроз с помощью Mobile Threat Defense. Дополнительные сведения см. в статье Mobile Threat Defense для незарегистрированных устройств. Если устройство зарегистрировано, этот параметр можно пропустить в пользу развертывания Mobile Threat Defense для зарегистрированных устройств. Дополнительные сведения приведены в статье Защита от угроз на мобильных устройствах для зарегистрированных устройств. |
| Условия устройства | Максимальная версия ОС | Формат: Major.Minor Пример: 11.0 / Блокировать доступ |
Android | Корпорация Майкрософт рекомендует настроить максимальную основную версию Android, чтобы гарантировать, что бета-версии или неподдерживаемые версии операционной системы не используются. Ознакомьтесь с рекомендациями android enterprise для последних рекомендаций Android. |
| Условия устройства | Максимальная версия ОС | Формат: Major.Minor.Build Пример: 15.0 / Блокировать доступ |
iOS/iPadOS | Корпорация Майкрософт рекомендует настроить максимальную основную версию iOS/iPadOS, чтобы гарантировать, что бета-версии или неподдерживаемые версии операционной системы не используются. Последние рекомендации Apple см. в разделе Обновления системы безопасности Apple . |
| Условия устройства | Максимальная версия ОС | Формат: Major.Minor Пример: 22631. / Блокировать доступ |
Windows | Корпорация Майкрософт рекомендует настроить максимальную основную версию Windows, чтобы гарантировать, что бета-версии или неподдерживаемые версии операционной системы не используются. |
| Условия устройства | Аттестация устройств Samsung Knox | Очистка данных | Android | Корпорация Майкрософт рекомендует настроить для параметра аттестации устройств Samsung Knox значение Очистка данных , чтобы убедиться, что данные организации будут удалены, если устройство не соответствует аппаратной проверке работоспособности устройства Samsung Knox. Этот параметр проверяет все Intune ответы клиента MAM на службу Intune были отправлены с работоспособного устройства. Этот параметр будет применяться ко всем целевым устройствам. Чтобы применить этот параметр только к устройствам Samsung, можно использовать фильтры назначений "Управляемые приложения". Дополнительные сведения о фильтрах назначений см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune. |
Дальнейшие действия
Администраторы могут включить приведенные выше уровни конфигурации в методологию развертывания круга для тестирования и использования в рабочей среде, импортировав пример Intune шаблонов JSON платформы конфигурации политики защиты приложений с помощью сценариев PowerShell Intune.
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по