Упровадження елементів керування програмою

  • 4 хв.

Служба керування програмами умовного доступу дає змогу контролювати та контролювати доступ до програм і сеансів користувачів у реальному часі на основі політик доступу та сеансів. Політики доступу та сеансів використовуються на порталі Microsoft Defender для хмарних програм для подальшого уточнення фільтрів і встановлення дій, які потрібно виконати для користувача.

контроль програм через умовний доступ

Знімок екрана: елемент керування програмою умовного доступу, вибраний у майстрі умовного доступу.

Елемент керування програмами умовного доступу використовує зворотну архітектуру проксі-сервера та має унікальну інтеграцію з умовним доступом Microsoft Entra. Умовний доступ Microsoft Entra дає змогу застосовувати елементи керування доступом до програм організації на основі певних умов. Умови визначають, хто (користувач або група користувачів) і що (які хмарні програми) і де (які розташування та мережі) застосовується політика умовного доступу. Визначивши умови, ви можете спрямувати користувачів до Microsoft Defender для хмарних програм, де можна захистити дані за допомогою елемента керування програмою умовного доступу, застосувавши елементи керування доступом і сеансом.

За допомогою політик доступу та сеансів ви можете:

  • Запобігання ексфільтрації даних: Ви можете заблокувати завантаження, вирізання, копіювання та друк конфіденційних документів на, наприклад, некерованих пристроях.
  • Захист під час завантаження: Замість того, щоб блокувати завантаження конфіденційних документів, можна вимагати, щоб документи надписувалися та захищалися за допомогою захисту даних в Azure. Ця дія гарантує, що документ захищено, а доступ користувачів обмежено під час потенційно ризикованого сеансу.
  • Запобігання передаванню непідшитих файлів: Перед передаванням, розповсюдженням і використанням конфіденційного файлу для інших користувачів важливо переконатися, що файл має правильний підпис і захист. Ви можете переконатися, що файли з конфіденційним вмістом заборонено передавати, доки користувач не класифікує вміст.
  • Відстежуйте сеанси користувача на відповідність вимогам: Ризиковані користувачі відстежуються, коли вони ввійшли в програми, і їхні дії записуються з сеансу. Ви можете дослідити та проаналізувати поведінку користувача, щоб зрозуміти, де та за яких умов слід застосовувати політики сеансу в майбутньому.
  • Блокувати доступ: Ви можете деталізувати доступ для певних програм і користувачів залежно від кількох факторів ризику. Наприклад, їх можна заблокувати, якщо вони використовують клієнтські сертифікати як форму керування пристроями.
  • Блокувати настроювані дії: У деяких програмах є унікальні сценарії, які несуть ризик, наприклад надсилання повідомлень із конфіденційним вмістом у таких програмах, як Microsoft Teams або Slack. У таких сценаріях можна сканувати повідомлення на наявність конфіденційного вмісту та блокувати їх у реальному часі.

Як це зробити: Потрібна політика захисту програм і затверджена клієнтська програма для доступу до хмарних програм за допомогою умовного доступу

Люди регулярно використовують свої мобільні пристрої як для особистих, так і для робочих завдань. Щоб забезпечити продуктивність персоналу, організації також хочуть запобігти втраті даних від потенційно незахищених програм. За допомогою умовного доступу організації можуть обмежити доступ до затверджених клієнтських програм із підтримкою сучасної автентифікації.

У цьому розділі наведено два сценарії настроювання політик умовного доступу для таких ресурсів, як Microsoft 365, Exchange Online і SharePoint Online.

Примітка

Щоб вимагати затвердження клієнтських програм для пристроїв з iOS і Android, ці пристрої мають спочатку зареєструватися в microsoft Entra ID.

Сценарій 1. Для програм Microsoft 365 потрібна затверджена клієнтська програма

У цьому випадку компанія Contoso вирішила, що користувачі мобільних пристроїв можуть отримувати доступ до всіх служб Microsoft 365, якщо використовують затверджені клієнтські програми, наприклад Outlook Mobile, OneDrive і Microsoft Teams. Усі їхні користувачі вже ввійшли за допомогою облікових даних Microsoft Entra та мають призначені їм ліцензії, які включають Microsoft Entra ID Premium P1 або P2 та Microsoft Intune.

Організації мають виконати три кроки, щоб вимагати використання затвердженої клієнтської програми на мобільних пристроях.

Крок 1. Політика для клієнтів сучасної автентифікації на базі Android і iOS, які потребують використання затвердженої клієнтської програми під час доступу до Exchange Online.

  1. Увійдіть у Центр адміністрування Microsoft Entra як адміністратор системи безпеки або адміністратор умовного доступу.

  2. Перейдіть до категорії Посвідчення, а потім – Захист, а потім – Умовний доступ.

  3. Виберіть +Створити нову політику.

  4. Назвіть свою політику. Ми рекомендуємо організаціям створити зрозумілий стандарт для назв своїх політик.

  5. У розділі Призначення виберіть Користувачі та групи.

    1. У розділі Включити виберіть пункт Усі користувачі або певні користувачі та групи , до якого потрібно застосувати цю політику.
    2. Виберіть Готово.

  6. У розділі Хмарні програми або дії натисніть кнопку Включити виберіть Office 365.

  7. У розділі Умови виберіть Device platforms (Платформи пристроїв).

    1. Установіть значення Так.
    2. Додайте Android і iOS.

  8. У розділі Умови виберіть клієнтські програми (підготовча версія).

  9. Установіть значення Так.

  10. Виберіть програми для мобільних пристроїв і класичні клієнти та клієнти сучасної автентифікації.

  11. У розділі Елементи керування Доступом виберіть Надати доступ, Вимагати затвердження клієнтської програми та натисніть кнопку Вибрати.

  12. Підтвердьте параметри та встановіть Увімкнути політики для Увімкнуто.

  13. Натисніть кнопку Створити , щоб створити та ввімкнути політику.

Крок 2. Настроювання політики умовного доступу Microsoft Entra для Exchange Online за допомогою протоколу ActiveSync (EAS).

  1. Перейдіть до категорії Посвідчення, а потім – Захист, а потім – Умовний доступ.

  2. Виберіть +Створити нову політику.

  3. Назвіть свою політику. Ми рекомендуємо організаціям створити зрозумілий стандарт для назв своїх політик.

  4. У розділі Призначення виберіть Користувачі та групи.

    1. У розділі Включити виберіть пункт Усі користувачі або певні користувачі та групи , до якого потрібно застосувати цю політику.
    2. Виберіть Готово.

  5. У розділі Хмарні програми або дії виберіть пункт Включити, а потім – Office 365 Exchange Online.

  6. За умов:

    1. Клієнтські програми (підготовча версія):

      1. Установіть значення Так.
      2. Виберіть програми для мобільних пристроїв і класичні клієнти та клієнти Exchange ActiveSync.

  7. У розділі Елементи керування Доступом виберіть Надати доступ, Вимагати затвердження клієнтської програми та натисніть кнопку Вибрати.

  8. Підтвердьте параметри та встановіть Увімкнути політики для Увімкнуто.

  9. Натисніть кнопку Створити , щоб створити та ввімкнути політику.

Крок 3. Настроювання політики захисту програм Intune для клієнтських програм iOS і Android.

Перегляньте статтю Створення та призначення політик захисту програм для кроків зі створення політик захисту програм для Android і iOS.

Сценарій 2. Для Exchange Online і SharePoint Online потрібна затверджена клієнтська програма

У цьому випадку Contoso вирішив, що користувачі можуть отримувати доступ лише до електронної пошти та даних SharePoint на мобільних пристроях, поки вони використовують затверджену клієнтську програму, як-от Outlook mobile. Усі їхні користувачі вже ввійшли за допомогою облікових даних Microsoft Entra та мають призначені їм ліцензії, які включають Microsoft Entra ID Premium P1 або P2 та Microsoft Intune.

Організації мають виконати наведені нижче три кроки, щоб вимагати використання затвердженої клієнтської програми на мобільних пристроях і клієнтах Exchange ActiveSync.

Крок 1. Політика для клієнтів сучасної автентифікації на базі Android і iOS, які потребують використання затвердженої клієнтської програми під час доступу до Exchange Online і SharePoint Online.

  1. Увійдіть у Центр адміністрування Microsoft Entra як адміністратор системи безпеки або адміністратор умовного доступу.

  2. Перейдіть до категорії Посвідчення, а потім – Захист, а потім – Умовний доступ.

  3. Виберіть Нова політика.

  4. Назвіть свою політику. Ми рекомендуємо організаціям створити зрозумілий стандарт для назв своїх політик.

  5. У розділі Призначення виберіть Користувачі та групи.

    1. У розділі Включити виберіть пункт Усі користувачі або певні користувачі та групи , до якого потрібно застосувати цю політику.
    2. Виберіть Готово.

  6. У розділі Хмарні програми або дії виберіть пункт Включити, виберіть Office 365 Exchange Online і Office 365 SharePoint Online.

  7. У розділі Умови виберіть Device platforms (Платформи пристроїв).

    1. Установіть значення Так.
    2. Додайте Android і iOS.

  8. У розділі Умови виберіть клієнтські програми (підготовча версія).

    1. Установіть значення Так.
    2. Виберіть програми для мобільних пристроїв і класичні клієнти та клієнти сучасної автентифікації.

  9. У розділі Елементи керування Доступом виберіть Надати доступ, Вимагати затвердження клієнтської програми та натисніть кнопку Вибрати.

  10. Підтвердьте параметри та встановіть Увімкнути політики для Увімкнуто.

  11. Натисніть кнопку Створити , щоб створити та ввімкнути політику.

Крок 2. Політика для клієнтів Exchange ActiveSync, які потребують використання затвердженої клієнтської програми.

  1. Перейдіть до категорії Посвідчення, а потім – Захист, а потім – Умовний доступ.

  2. Виберіть Нова політика.

  3. Назвіть свою політику. Ми рекомендуємо організаціям створити зрозумілий стандарт для назв своїх політик.

  4. У розділі Призначення виберіть Користувачі та групи.

    1. У розділі Включити виберіть пункт Усі користувачі або певні користувачі та групи , до якого потрібно застосувати цю політику.
    2. Виберіть Готово.

  5. У розділі Хмарні програми або дії виберіть пункт Включити, а потім – Office 365 Exchange Online.

  6. За умов:

  7. Клієнтські програми (підготовча версія):

    1. Установіть значення Так.
    2. Виберіть програми для мобільних пристроїв і класичні клієнти та клієнти Exchange ActiveSync.

  8. У розділі Елементи керування Доступом виберіть Надати доступ, Вимагати затвердження клієнтської програми та натисніть кнопку Вибрати.

  9. Підтвердьте параметри та встановіть Увімкнути політики для Увімкнуто.

  10. Натисніть кнопку Створити , щоб створити та ввімкнути політику.

Крок 3. Настроювання політики захисту програм Intune для клієнтських програм iOS і Android.

Перегляньте статтю Створення та призначення політик захисту програм для кроків зі створення політик захисту програм для Android і iOS.

Огляд політик захисту програм

Політики захисту програм (APP) — це правила, що забезпечують безпеку даних організації або їх зберігання в керованій програмі. Політикою може бути правило, що застосовується, коли користувач намагається отримати доступ або перемістити «корпоративні» дані, або набір дій, які заборонені або відстежуються, коли користувач перебуває в програмі. До керованої програми застосовано політики захисту програм, і нею може керувати Intune.

Політики захисту програм керування мобільними програмами (MAM) дають змогу керувати даними організації та захищати їх у програмі. За допомогою MAM без реєстрації (MAM-WE) робочу або навчальну програму, яка містить конфіденційні дані, можна керувати практично на будь-якому пристрої, включно з особистими пристроями в сценаріях bring-your-own-device (BYOD). Багато програм для підвищення продуктивності, як-от програми Microsoft Office, можуть керуватися MAM Intune.

Як захистити дані програм

Працівники використовують мобільні пристрої як для особистих, так і для робочих завдань. Переконавшись, що працівники можуть працювати продуктивно, ви хочете запобігти втраті даних – навмисному та ненавмисному. Крім того, потрібно захистити дані компанії, доступ до яких надано на пристроях, якими ви не керуєте.

Політики захисту програм Intune можна використовувати незалежно від будь-якого рішення керування мобільними пристроями (MDM). Ця незалежність допомагає захистити дані вашої компанії за допомогою або без реєстрації пристроїв у рішення для керування пристроями. Впроваджуючи політики на рівні програм, ви можете обмежити доступ до ресурсів компанії та зберігати дані в ІТ-відділі.

Політики захисту програм на пристроях

Політики захисту програм можна настроїти для програм, які працюють на пристроях із:

  • Зареєстровано в Microsoft Intune: Ці пристрої зазвичай належать корпорації.

  • Зареєстровано в стороннє рішення MDM: Ці пристрої зазвичай належать корпорації.

    Примітка

    Політики керування мобільними програмами не слід використовувати для сторонніх постачальників рішень для мобільних програм або безпечних контейнерів.

  • Не зареєстровано в жодному рішенні з керування мобільними пристроями: Ці пристрої зазвичай належать працівникам, які не керуються та не зареєстровані в Intune або інших рішеннях MDM.

    Важливий

    Ви можете створити політики керування мобільними програмами для мобільних пристроїв Office, які підключаються до служб Microsoft 365. Крім того, ви можете захистити доступ до локальних поштових скриньок Exchange, створивши політики захисту програм Intune для Outlook для iOS або iPadOS і Android за допомогою гібридної сучасної автентифікації. Перш ніж використовувати цю функцію, переконайтеся, що ви відповідаєте вимогам Outlook для iOS або iPadOS і Android. Політики захисту програм не підтримуються для інших програм, які підключаються до локальних служб Exchange або SharePoint.

Переваги використання політик захисту програм

Важливими перевагами використання політик захисту програм є такі переваги:

  • Захист даних компанії на рівні програми. Оскільки керування мобільними програмами не потребує керування пристроями, ви можете захистити дані компанії як на керованих, так і на некерованих пристроях. Керування зосереджено на ідентичності користувача, що видаляє вимоги для керування пристроями.

  • На продуктивність кінцевих користувачів це не впливає, і політики не застосовуються під час використання програми в особистому контексті. Політики застосовуються лише в робочому контексті, що дає змогу захистити дані компанії, не торкаючись особистих даних.

  • Політики захисту програм забезпечують захист шарів програм. Наприклад, ви можете:

    • Щоб відкрити програму в робочому контексті, потрібен PIN-код.
    • Керування спільним доступом даних між програмами.
    • Запобігання зберіганню даних програм компанії в особистому сховищі.

  • MDM, окрім MAM, забезпечує захист пристрою. Наприклад, для доступу до пристрою може знадобитися PIN-код або розгорнути керовані програми на пристрої. Ви також можете розгортати програми на пристроях за допомогою рішення MDM, щоб надати вам більше контролю над керуванням програмами.

Існують додаткові переваги використання MDM з політиками захисту програм, і компанії можуть використовувати політики захисту програм одночасно з MDM і без нього. Наприклад, розгляньте працівника, який використовує телефон, виданий компанією, а також особистий планшет. Телефон компанії зареєстровано в MDM і захищено політиками захисту програм, а особистий пристрій захищено лише політиками захисту програм.

Якщо застосувати політику MAM до користувача, не встановлюючи стан пристрою, користувач отримає політику MAM як на пристрої BYOD, так і на пристрої з керуванням Intune. Ви також можете застосувати політику MAM на основі керованого стану. Тому, коли ви створюєте політику захисту програм, поруч із пунктом Цільовий для всіх типів програм, виберіть Ні. Потім виконайте одну з наведених нижче дій.

  • Застосуйте менш сувору політику MAM до керованих пристроїв Intune і застосуйте більш обмежену політику MAM до пристроїв, не зареєстрованих на MDM.
  • Застосування політики MAM лише до незакріплених пристроїв.