Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Appskydd principer (APP) är regler som säkerställer att en organisations data förblir säkra eller finns i en hanterad app. En princip kan vara en regel som tillämpas när användaren försöker komma åt eller flytta företagsdata, eller en uppsättning åtgärder som är förbjudna eller övervakade när enhetsanvändaren använder appen. En hanterad app är en app som har appskyddsprinciper som tillämpas på den och som hanteras av en företagshanteringslösning, till exempel Intune.
Appskydd policyramverk
När du konfigurerar appskyddsprinciper finns det olika inställningar och alternativ som gör det möjligt för organisationer att anpassa sitt dataskydd efter sina specifika behov. På grund av den här flexibiliteten kanske det inte är uppenbart vilken kombination av principinställningar som krävs för att implementera ett fullständigt scenario. För att hjälpa organisationer att prioritera klientslutpunktshärdning har Microsoft infört en taxonomi för säkerhetskonfigurationer i Windows, och Intune använder en liknande taxonomi för sitt APP-dataskyddsramverk för hantering av mobilappar.
Konfigurationsramverket för APP-dataskydd är indelat i tre olika konfigurationsscenarier:
Grundläggande dataskydd på nivå 1 för företag: Microsoft rekommenderar den här konfigurationen som den lägsta dataskyddskonfigurationen för en företagsenhet.
Förbättrat dataskydd på nivå 2 för företag: Microsoft rekommenderar den här konfigurationen för enheter där användare får åtkomst till känslig eller konfidentiell information. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata. Vissa kontroller kan påverka användarupplevelsen.
Nivå 3– företagsdataskydd: Microsoft rekommenderar den här konfigurationen för enheter som körs av en organisation med ett större eller mer avancerat säkerhetsteam, eller för specifika användare eller grupper som löper unikt förhöjd risk (användare som övervakar känsliga data där obehörigt avslöjande orsakar betydande väsentlig förlust för organisationen). En organisation som sannolikt kommer att bli måltavla för välfinansierade och sofistikerade angripare bör sträva efter den här konfigurationen.
Distributionsmetodik för Dataskyddsramverket
Med all distribution av ny programvara, funktioner eller inställningar rekommenderar Microsoft att du investerar i en ringmetod för att testa valideringen innan du distribuerar APP-dataskyddsramverket. Att definiera distributionsringar är en engångshändelse (eller åtminstone sällan), men IT bör gå tillbaka till dessa grupper för att säkerställa att sekvenseringen fortfarande är korrekt.
Mer information om ramverksinställningar finns i Appskydd framework.
Appskydd princip för Microsoft Edge for Business (Windows)
Appskyddsprinciperna för Windows ger säker och kompatibel åtkomst till arbetsresurser på personliga datorer med hjälp av DLP-kontroller (Data Loss Prevention).
Efter att ha fått en omfattande förståelse för ramverket för appskyddsprinciper är du nu beredd att upprätta din första appskyddsprincip för Windows. I det här fallet utformar du en appskyddsprincip. Som beskrivs i det här dokumentet gör ramverket det möjligt att skapa olika nivåer för att tillgodose dina specifika krav. Följande exempel kan bara gälla för den princip på nivå 3 som Microsoft rekommenderar. Det är viktigt att replikera de här stegen för varje nivå och se till att värdena justeras i enlighet med de rekommendationer som ges. Den här metoden garanterar att varje principnivå är korrekt konfigurerad för att uppfylla organisationens specifika behov.
Tillämpa dataskyddsramverket
Använd följande steg för att tillämpa dataskyddsramverket.
Välj Appskydd>>Skapa princip>Windows.
I steget Skapa princip anger du följande information:
- Namn: Nivå 3– säker princip för företagswebbläsare
- Beskrivning: Den här principen är en appskyddsramverksprincip på nivå 3 för säker företagswebbläsare.
- Plattform: Windows
Välj Nästa för att visa nästa steg.
För steget Appar klickar du på Välj appar för att visa fönstret Välj appar till mål .
Leta upp och välj Microsoft Edge.
Klicka på Välj för att välja appen.
Välj Nästa för att visa nästa steg.
Följ rekommendationen från nivå 3 och konfigurera det här steget med följande värden:
- Ta emot data från: Inga källor
- Skicka organisationsdata till: Inga mål
- Tillåt klipp ut, kopiera och klistra in för: Inget mål eller källa
- Skriv ut organisationsdata: Blockera
Välj Nästa för att fortsätta till nästa steg.
Följ rekommendationen från nivå 3 och konfigurera det här steget med följande värden:
- Offline-respitperiod: 720, Blockera åtkomst (minuter)
- Offline-respitperiod: 90, Rensa data (dagar)
- Högsta operativsystemversion: 10.0.22631.2715, Blockera åtkomst
- Högsta tillåtna hotnivå för enhet: Skyddad, Blockera åtkomst
Klicka på Nästa för att visa nästa steg.
För steget Omfångstaggar måste du välja rätt omfångstagg för din miljö och de roller som har åtkomst till den här principen.
I steget Tilldelningar väljer du Lägg till grupp och väljer önskad grupp. I det här exemplet väljer du alla VPN-användare. Men när du tilldelar den här principen i en produktionsmiljö bör du skapa en ny grupp användare som passar bäst för användare som måste följa appskyddet på nivå 3 .
Klicka på Nästa för att fortsätta till nästa steg.
Granska varje objekt i steget Granska + skapa och kontrollera att konfigurationen på nivå 3 är korrekt. Efter
Klicka på Nästa för att skapa principen.
Nu har du skapat din första MAM för Windows-principen och den bör vara tillgänglig i din Intune klientorganisation.
Appskydd princip för Microsoft Edge for Business (mobil)
Införliva Microsoft Edge for Business i din befintliga strategi för datasäkerhet och hantering. Genom att skydda företagswebbläsarens konfiguration för mobila enheter kan du säkerställa säkrare och effektivare webbbläddringsupplevelser.
Microsoft Edge for Business ger fördelar för både hantering och säkerhet:
- Hantering: Microsoft Edge for Business är den enda mobila webbläsaren som stöds internt av Microsoft Intune med sömlös integrering. För att skydda produktiviteten för din organisation gör hantering på appnivå att IT kan konfigurera rätt balans mellan dataskydd och åtkomst.
- Säkerhet: Dataskydd och läckageskydd baseras på villkorlig åtkomst och användaridentiteter. Säkerhetsfunktionerna i Microsoft 365 omfattar Microsoft Edge for Business mobil, inklusive Microsoft Entra villkorlig åtkomst och dataförlustskydd. För organisationer som använder VPN-lösningar erbjuder Microsoft Edge Mobile stöd för identitetsupplyst per app-VPN. Detta inkluderar integrering av Microsoft Tunnel med Intune för en sömlös och säker anslutning. Dessutom är lösningar som inte kräver vpn också tillgängliga.
Appskydd principer för mobila enheter
Appskydd principer (APP) definierar vilka appar som tillåts och vilka åtgärder de kan vidta med organisationens data. De val som är tillgängliga i APP gör det möjligt för organisationer att skräddarsy skyddet efter deras specifika behov. För vissa kanske det inte är uppenbart vilka principinställningar som krävs för att implementera ett fullständigt scenario. För att hjälpa organisationer att prioritera härdning av slutpunkt för mobilklient har Microsoft infört taxonomi för sitt APP-dataskyddsramverk för hantering av iOS- och Android-mobilappar.
APP-dataskyddsramverket är indelat i tre olika konfigurationsnivåer, som vi nämnde tidigare i steg 2. Varje nivå bygger på föregående nivå:
- Grundläggande dataskydd för företag (nivå 1) säkerställer att appar skyddas med en PIN-kod, krypteras och tillåter selektiva rensningsåtgärder. För Android-enheter validerar den här nivån Android-enhetsattestering.
- Utökat dataskydd för företag (nivå 2) introducerar mekanismer för skydd mot dataläckage i APP och minimikrav på operativsystem. Det här är den konfiguration som gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata.
- Högt dataskydd för företag (Nivå 3) introducerar avancerade dataskyddsmekanismer, förbättrad PIN-konfiguration och APP Mobile Threat Defense. Den här konfigurationen är önskvärd för användare som har åtkomst till data med hög risk.
Om du vill se de specifika rekommendationerna för varje konfigurationsnivå och de lägsta appar som måste skyddas kan du granska dataskyddsramverket med hjälp av appskyddsprinciper.
Sedan skapar du en appskyddsprincip på nivå 3 för Microsoft Edge från Microsoft Intune administrationscenter.
Följ dessa steg för att skapa appskyddsprincipen:
Gå till Microsoft Intune administrationscenter och välj Appskydd>>Skapa princip.
Välj Skapa princip>Android eller iOS/iPadOS. Ange sedan följande information:
- Namn: Säker företagswebbläsare på nivå 3.
- Beskrivning: Följande är ett ramverk för appskyddsprinciper på nivå 3.
Klicka på Valda appar>offentliga appar. Hitta Microsoft Edge.
Välj Dataskydd och konfigurera inställningarna baserat på följande tabell:
Inställning Inställningsbeskrivning Värde Plattform Nivå Dataöverföring Överföra telekommunikationsdata till Valfri principhanterad uppringningsapp Android 3 Dataöverföring Överföra telekommunikationsdata till En specifik uppringningsapp iOS/iPadOS 3 Dataöverföring Url-schema för uppringningsapp replace_with_dialer_app_url_scheme iOS/iPadOS 3 Dataöverföring Ta emot data från andra appar Principhanterade appar iOS/iPadOS, Android 3 Dataöverföring Öppna data i organisationsdokument Blockera iOS/iPadOS, Android 3 Dataöverföring Tillåt användare att öppna data från valda tjänster OneDrive för företag, SharePoint, Kamera, Fotobibliotek iOS/iPadOS, Android 3 Dataöverföring Tangentbord från tredje part Blockera iOS/iPadOS 3 Dataöverföring Godkända tangentbord Behöva Android 3 Dataöverföring Välj tangentbord att godkänna lägga till/ta bort tangentbord Android 3 Dataöverföring Säkerhetskopiera organisationsdata till... Blockera iOS/iPadOS, Android 3 Dataöverföring Skicka organisationsdata till andra appar Principhanterade appar iOS/iPadOS, Android 3 Dataöverföring Välj appar som ska undantas Standard/skype; appinställningar; calshow; itms; itmss; itms-apps; itms-apps; itms-services; iOS/iPadOS 3 Dataöverföring Spara kopior av organisationsdata Blockera iOS/iPadOS, Android 3 Dataöverföring Tillåt användare att spara kopior till valda tjänster OneDrive för företag, SharePoint Online, Fotobibliotek iOS/iPadOS, Android 3 Dataöverföring Överföra telekommunikationsdata till Valfri uppringningsapp iOS/iPadOS, Android 3 Dataöverföring Begränsa klipp ut, kopiera och klistra in mellan appar Principhanterade appar med inklistring iOS/iPadOS, Android 3 Granska inställningarna för avsnittet Kryptering baserat på följande tabell:
Inställning Inställningsbeskrivning Värde Plattform Nivå Kryptering Kryptera organisationsdata Behöva iOS/iPadOS, Android 3 Granska inställningarna för avsnittet Funktioner baserat på följande tabell:
Inställning Inställningsbeskrivning Värde Plattform Nivå Funktionalitet Skriva ut organisationsdata Blockera iOS/iPadOS, Android, Windows 3 Funktionalitet Synkronisera app med intern kontaktapp Tillåt iOS/iPadOS, Android 3 Funktionalitet Meddelanden om organisationsdata Blockera organisationsdata iOS/iPadOS, Android 3 Funktionalitet Begränsa överföring av webbinnehåll med andra appar Microsoft Edge iOS/iPadOS, Android 3 Funktionalitet Synkronisera principhanterade appdata med interna appar eller tillägg Tillåt iOS/iPadOS, Android 3 När du har slutfört alla tre avsnitten väljer du Nästa.
Granska avsnittsinställningarna för åtkomstkrav baserat på följande tabell:
Inställning Inställningsbeskrivning Värde Plattform Nivå Åtkomstkrav Enkel PIN-kod Blockera iOS/iPadOS, Android 3 Åtkomstkrav Välj Minsta PIN-kodslängd 6 iOS/iPadOS, Android 3 Åtkomstkrav PIN-återställning efter antal dagar Ja iOS/iPadOS, Android 3 Åtkomstkrav Kräv enhetslås Hög/blockera åtkomst Android 3 Åtkomstkrav Jailbrokade/rotade enheter Ej tillämpligt/Rensa data iOS/iPadOS, Android 3 Åtkomstkrav Högsta operativsystemversion Format: Major.Minor Android 3 Åtkomstkrav Samsung Knox-enhetsattestering Rensa data Android 3 Åtkomstkrav Säkerhetskopiera organisationsdata till... Blockera iOS/iPadOS, Android 3 Åtkomstkrav Tillåt användare att spara kopior till valda tjänster OneDrive för företag, SharePoint Online, Fotobibliotek iOS/iPadOS, Android 3 Åtkomstkrav Begränsa klipp ut, kopiera och klistra in mellan appar Principhanterade appar med inklistring iOS/iPadOS, Android 3 Åtkomstkrav Spara kopior av organisationsdata Blockera iOS/iPadOS, Android 3 Åtkomstkrav Skärmdump och Google Assistant Blockera Android 3 Åtkomstkrav Välj appar som ska undantas Standard/skype; appinställningar; calshow; itms; itmss; itms-apps; itms-apps; itms-services; iOS/iPadOS 3 Åtkomstkrav Skicka organisationsdata till andra appar Principhanterade appar iOS/iPadOS, Android 3 Åtkomstkrav Appens PIN-kod när enhetens PIN-kod har angetts Behöva iOS/iPadOS, Android 3 Åtkomstkrav Biometrisk kod i stället för PIN-kod för åtkomst Tillåt iOS/iPadOS, Android 3 Åtkomstkrav SafetyNet-enhetsattestering Grundläggande integritet och certifierade enheter/Blockera åtkomst Android 3 Åtkomstkrav Kräv hotgenomsökning för appar Ej tillämpligt/Blockera åtkomst Android 3 Åtkomstkrav Kräv enhetslås Låg/varna Android 3 Åtkomstkrav Lägsta operativsystemversion Format: Major.MinorExample: 9.0/Blockera åtkomst Android 3 Åtkomstkrav Lägsta korrigeringsversion Format: ÅÅÅÅ-MM-DD Android 3 Åtkomstkrav Nödvändig safetynet-utvärderingstyp Maskinvarubaserad nyckel Android 3 Åtkomstkrav Kryptera organisationsdata Behöva iOS/iPadOS, Android 3 Åtkomstkrav Kryptera organisationsdata på registrerade enheter Behöva Android 3 Åtkomstkrav Synkronisera app med intern kontaktapp Tillåt iOS/iPadOS, Android 3 Åtkomstkrav Begränsa överföring av webbinnehåll med andra appar Microsoft Edge iOS/iPadOS, Android 3 Åtkomstkrav Meddelanden om organisationsdata Blockera organisationsdata iOS/iPadOS, Android 3 Åtkomstkrav Åsidosätt biometri med PIN-kod efter timeout Behöva iOS/iPadOS, Android 3 Åtkomstkrav PIN-kod för åtkomst Behöva iOS/iPadOS, Android 3 Åtkomstkrav TYP AV PIN-kod Numerisk iOS/iPadOS, Android 3 Åtkomstkrav Kontrollera åtkomstkraven igen efter (minuter av inaktivitet) 30 iOS/iPadOS, Android 3 Åtkomstkrav Välj antalet tidigare PIN-värden som ska underhållas 0 Android 3 Åtkomstkrav Tidsgräns (minuter av aktivitet) 720 iOS/iPadOS, Android 3 Åtkomstkrav Offline-respitperiod Tillåt iOS/iPadOS 3 Åtkomstkrav Autentiseringsuppgifter för arbets- eller skolkonto för åtkomst Krävs inte iOS/iPadOS, Android 3 Välj Nästa.
Granska avsnittsinställningarna för villkorsstyrd start baserat på följande tabell:
| Inställning | Inställningsbeskrivning | Värde | Plattform | Nivå |
|---|---|---|---|---|
| Appvillkor | Högsta tillåtna hotnivå | Skyddad/Blockera åtkomst | iOS/iPadOS, Android | 3 |
| Appvillkor | Högsta operativsystemversion | Format: Major.Minor.Build | iOS/iPadOS | 3 |
| Appvillkor | Maximalt antal PIN-försök | 5/Återställ PIN-kod | iOS/iPadOS, Android | 3 |
| Appvillkor | Offline-respitperiod | 720/Blockera åtkomst (minuter) | iOS/iPadOS, Android | 3 |
| Appvillkor | Offline-respitperiod | 90/Rensa data (dagar) | iOS/iPadOS, Android | 3 |
| Appvillkor | Inaktiverat konto | Ej tillämpligt/Blockera åtkomst | iOS/iPadOS, Android | 3 |
| Appvillkor | Lägsta operativsystemversion | Format: Major.Minor.Build | iOS/iPadOS | 3 |
| Appvillkor | Maximalt antal PIN-försök | 5/Återställ PIN-kod | iOS/iPadOS, Android | 3 |
| Appvillkor | Offline-respitperiod | 90/Rensa data (dagar) | iOS/iPadOS, Android | 3 |
| Appvillkor | Inaktiverat konto | Ej tillämpligt/Blockera åtkomst | iOS/iPadOS, Android | 3 |
| Appvillkor | Offline-respitperiod | 720/Blockera åtkomst (minuter) | iOS/iPadOS, Android | 3 |
Välj Nästa när du har slutfört steget Villkorsstyrd start .
Granska steget Omfångstaggar . Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerade IT-.
Välj Nästa.
Granska Tilldelningar.
Granska principinformationen i steget Granska och skapa .
Välj Skapa och vänta tills principen har skapats.
Nästa steg
Fortsätt med steg 3 för att integrera Mobile Threat Defense med Microsoft Edge for Business.