步骤 2. 为Microsoft Edge 商业版创建应用保护策略

应用保护策略 (APP) 是可确保组织数据在托管应用中保持安全或受到控制的规则。 策略可以是在用户尝试访问或移动公司数据时强制实施的规则,也可以是设备用户使用应用时禁止或监视的一组作。 托管应用是应用了应用保护策略并由企业管理解决方案(例如Intune)管理的应用。

应用保护策略框架

配置应用保护策略时,可以使用各种设置和选项,使组织能够根据自己的特定需求定制数据保护。 由于这种灵活性,实现完整方案可能需要哪种策略设置组合可能并不明显。 为了帮助组织确定客户端终结点强化工作的优先级,Microsoft为 Windows 中的安全配置引入了分类,Intune对其应用数据保护框架使用类似的分类来管理移动应用。

APP 数据保护配置框架分为三种不同的配置方案:

  1. 级别 1 企业基本数据保护: Microsoft建议将此配置作为企业设备的最低数据保护配置。

  2. 级别 2 企业增强型数据保护: Microsoft为用户访问敏感或机密信息的设备推荐此配置。 此配置适用于访问工作或学校数据的大多数移动用户。 某些控制可能会影响用户体验。

  3. 级别 3 企业高数据保护: Microsoft建议此配置适用于具有更大或更复杂安全团队的组织运行的设备,或者对于具有唯一较高风险的特定用户或组, (监督敏感数据的用户(如果未经授权的披露会导致组织) 遭受重大重大损失)。 一个组织可能成为资金雄厚的复杂攻击者的目标,应该渴望这种配置。

数据保护框架部署方法

对于任何新软件、功能或设置的部署,Microsoft建议在部署 APP 数据保护框架之前投资一个环形方法来测试验证。 定义部署圈是 (或至少不经常) 的一次性事件,但 IT 部门应重新访问这些组,以确保排序仍然正确。

有关框架设置的详细信息,请参阅应用保护框架

Microsoft Edge 商业版 (Windows) 的应用保护策略

Windows 的应用保护策略通过使用数据丢失防护 (DLP) 控件提供对个人计算机上工作资源的安全和合规访问。

全面了解应用保护策略框架后,现在已准备好为 Windows 建立初始应用保护策略。 在此实例中,你正在制定应用保护策略。 如本文档中所述,框架允许创建各种级别以满足你的特定要求。 以下示例可能仅适用于Microsoft建议的 级别 3 策略。 请务必为每个级别复制这些步骤,确保根据提供的建议调整值。 此方法可确保正确配置每个策略级别,以满足组织的不同需求。

应用数据保护框架

使用以下步骤应用数据保护框架。

  1. 导航到Microsoft Intune管理中心

  2. 选择 “应用>保护>”“创建>Windows”。

  3. “创建策略” 步骤中,设置以下详细信息:

    • 名称:级别 3 安全企业浏览器策略
    • 说明:此策略是适用于安全企业浏览器的级别 3 应用保护框架策略。
    • 平台:Windows
  4. 选择“ 下一步 ”以显示下一步。

  5. 对于 “应用” 步骤,请单击“ 选择应用 ”以显示 “选择目标应用 ”窗格。

  6. 查找并选择 “Microsoft Edge”。

  7. 单击 “选择” 以选择应用。

  8. 选择“ 下一步 ”以显示下一步。

  9. 按照级别 3 中的建议,使用以下值配置此步骤:

    • 从接收数据:无源
    • 将组织数据发送到:无目标
    • 允许剪切、复制和粘贴:无目标或源
    • 打印组织数据:阻止

    应用 - 应用保护策略 - 创建策略 - 数据保护 - Microsoft Intune管理中心

  10. 选择“ 下一步 ”继续下一步。

  11. 按照级别 3 中的建议,使用以下值配置此步骤:

    • 脱机宽限期:720、阻止访问 (分钟)
    • 脱机宽限期:90,擦除数据 (天)
    • 最大 OS 版本:10.0.22631.2715,阻止访问
    • 允许的最大设备威胁级别:安全、阻止访问

    应用 - 应用保护策略 - 创建策略 - 运行状况检查 - Microsoft Intune 管理中心

  12. 单击“ 下一步 ”以显示下一步。

  13. 对于 “作用域标记” 步骤,必须为环境和有权访问此策略的角色选择适当的范围标记。

  14. 对于 “分配” 步骤,请选择“ 添加组 ”,然后选择所需的组。 对于此示例,选择“所有 VPN 用户”。 但是,在生产环境中分配此策略时,应创建一组最适合必须遵循 级别 3 应用保护的用户的新用户组。

  15. 单击“ 下一步 ”继续下一步。

  16. “查看 + 创建 ”步骤中,查看每个项目并确保 级别 3 配置正确。 活动后

  17. 单击“ 下一步 ”创建策略。

现在,你已为 Windows Policy 创建了第一个 MAM,该 MAM 应在Intune租户中可用。

Microsoft Edge 商业版 (移动) 应用保护策略

将Microsoft Edge 商业版合并到现有数据安全和管理策略中。 通过保护移动设备的企业浏览器配置,可以确保更安全、更高效的 Web 浏览体验。

Microsoft Edge 商业版为管理和安全性提供优势:

  • 管理:Microsoft Edge 商业版是Microsoft Intune原生支持的唯一无缝集成的移动浏览器。 为了保证组织的工作效率,应用级管理允许 IT 在数据保护和访问之间配置适当的平衡。
  • 安全性:数据保护和泄漏防护基于条件访问和用户标识。 Microsoft 365 安全功能扩展到Microsoft Edge 商业版移动设备,包括Microsoft Entra条件访问和数据丢失防护。 对于使用 VPN 解决方案的组织,Microsoft Edge 移动版提供对标识启用的每个应用 VPN 的支持。 这包括将 Microsoft Tunnel 与 Intune 集成,实现无缝且安全的连接。 此外,不需要 VPN 的解决方案也可用。

移动应用保护策略

应用保护策略 (应用) 定义允许哪些应用以及这些应用可以对组织数据执行的作。 APP 中可用的选项使组织能够根据特定需求调整保护。 对于某些组织而言,实现完整方案所需的策略设置可能并不明显。 为了帮助组织确定移动客户端终结点强化的优先级,Microsoft 为其面向 iOS 和 Android 移动应用管理的 APP 数据保护框架引入了分类法。

如前面 步骤 2 中所述,APP 数据保护框架分为三个不同的配置级别。 每个级别都基于上一个级别生成:

  • 企业基本数据保护 (级别 1) 可确保应用使用 PIN 进行保护、加密并允许选择性擦除作。 对于 Android 设备,此级别验证 Android 设备证明。
  • 企业增强型数据保护(级别 2)引入了 APP 数据泄露预防机制和最低 OS 要求。 此配置适用于访问工作或学校数据的大多数移动用户。
  • 企业高级数据保护(级别 3)引入了高级数据保护机制、增强的PIN 配置和 APP 移动威胁防御。 此配置适用于访问高风险数据的用户。

若要查看每个配置级别的具体建议以及必须受保护的核心应用,请查看使用应用保护策略的数据保护框架

接下来,从 Microsoft Intune 管理中心为 Microsoft Edge 创建级别 3 应用保护策略。

若要创建应用保护策略,请执行以下步骤:

  1. 导航到Microsoft Intune管理中心,然后选择“应用>保护>创建”。

  2. 选择 “创建策略>AndroidiOS/iPadOS”。 接下来,输入以下信息:

    • 名称:级别 3 安全企业浏览器。
    • 说明:下面是级别 3 应用保护策略框架。
  3. 单击 “所选应用>”“公共应用”。 查找 Microsoft Edge

  4. 选择“ 数据保护 ”,并根据下表配置 设置

    Setting 设置说明 平台 级别
    数据传输 将电信数据传输到 任何策略托管的拨号程序应用 Android 3
    数据传输 将电信数据传输到 特定拨号程序应用 iOS/iPadOS 3
    数据传输 拨号器应用 URL 方案 replace_with_dialer_app_url_scheme iOS/iPadOS 3
    数据传输 从其他应用接收数据 策略托管应用 iOS/iPadOS、Android 3
    数据传输 在组织文档中打开数据 阻止 iOS/iPadOS、Android 3
    数据传输 允许用户从选定服务打开数据 OneDrive for Business、SharePoint、相机、照片库 iOS/iPadOS、Android 3
    数据传输 第三方键盘 阻止 iOS/iPadOS 3
    数据传输 批准的键盘 需要 Android 3
    数据传输 选择要批准的键盘 添加/删除键盘 Android 3
    数据传输 将组织数据备份到... 阻止 iOS/iPadOS、Android 3
    数据传输 将组织数据发送到其他应用 策略托管应用 iOS/iPadOS、Android 3
    数据传输 选择要豁免的应用 Default / skype;app-settings;calshow;itms;itmss;itms-apps;itms-appss;itms-services; iOS/iPadOS 3
    数据传输 保存组织数据的副本 阻止 iOS/iPadOS、Android 3
    数据传输 允许用户将副本保存到所选服务 OneDrive for Business、SharePoint Online、照片库 iOS/iPadOS、Android 3
    数据传输 将电信数据传输到 任意拨号器应用 iOS/iPadOS、Android 3
    数据传输 限制应用之间的剪切、复制和粘贴 具有粘贴功能的策略托管应用 iOS/iPadOS、Android 3
  5. 根据下表查看 加密 部分 设置

    Setting 设置说明 平台 级别
    加密 加密组织数据 需要 iOS/iPadOS、Android 3
  6. 根据下表查看 “功能 ”部分 设置

    Setting 设置说明 平台 级别
    功能 打印组织数据 阻止 iOS/iPadOS、Android、Windows 3
    功能 将应用与本机联系人应用同步 允许 iOS/iPadOS、Android 3
    功能 组织数据通知 阻止组织数据 iOS/iPadOS、Android 3
    功能 限制使用其他应用传输 Web 内容 Microsoft Edge iOS/iPadOS、Android 3
    功能 将策略托管的应用数据与本机应用同步或添加 允许 iOS/iPadOS、Android 3
  7. 完成所有三个部分后,选择“ 下一步”。

  8. 根据下表查看 “访问要求” 部分 设置

    Setting 设置说明 平台 级别
    访问要求 简单 PIN 阻止 iOS/iPadOS、Android 3
    访问要求 选择“最小 PIN 长度” 6 iOS/iPadOS、Android 3
    访问要求 数天后重置 PIN iOS/iPadOS、Android 3
    访问要求 需要设备锁定 高/块访问 Android 3
    访问要求 已越狱/获得 root 权限的设备 不适用/擦除数据 iOS/iPadOS、Android 3
    访问要求 最高 OS 版本 格式:Major.Minor Android 3
    访问要求 Samsung Knox 设备证明 擦除数据 Android 3
    访问要求 将组织数据备份到... 阻止 iOS/iPadOS、Android 3
    访问要求 允许用户将副本保存到所选服务 OneDrive for Business、SharePoint Online、照片库 iOS/iPadOS、Android 3
    访问要求 限制应用之间的剪切、复制和粘贴 具有粘贴功能的策略托管应用 iOS/iPadOS、Android 3
    访问要求 保存组织数据的副本 阻止 iOS/iPadOS、Android 3
    访问要求 屏幕截图和 Google 助手 阻止 Android 3
    访问要求 选择要豁免的应用 Default / skype;app-settings;calshow;itms;itmss;itms-apps;itms-appss;itms-services; iOS/iPadOS 3
    访问要求 将组织数据发送到其他应用 策略托管应用 iOS/iPadOS、Android 3
    访问要求 设置设备 PIN 时的应用 PIN 需要 iOS/iPadOS、Android 3
    访问要求 生物识别而不是 PIN 进行访问 允许 iOS/iPadOS、Android 3
    访问要求 SafetyNet 设备证明 基本完整性和认证设备/阻止访问 Android 3
    访问要求 要求对应用进行威胁扫描 不适用/阻止访问 Android 3
    访问要求 需要设备锁定 低/警告 Android 3
    访问要求 最低 OS 版本 格式:Major.MinorExample:9.0/阻止访问 Android 3
    访问要求 最低修补程序版本 格式:YYYY-MM-DD Android 3
    访问要求 所需的 SafetyNet 评估类型 硬件支持的密钥 Android 3
    访问要求 加密组织数据 需要 iOS/iPadOS、Android 3
    访问要求 加密已注册设备上的组织数据 需要 Android 3
    访问要求 将应用与本机联系人应用同步 允许 iOS/iPadOS、Android 3
    访问要求 限制使用其他应用传输 Web 内容 Microsoft Edge iOS/iPadOS、Android 3
    访问要求 组织数据通知 阻止组织数据 iOS/iPadOS、Android 3
    访问要求 超时后使用 PIN 替代生物识别 需要 iOS/iPadOS、Android 3
    访问要求 需要 PIN 才能进行访问 需要 iOS/iPadOS、Android 3
    访问要求 PIN 类型 数值 iOS/iPadOS、Android 3
    访问要求 在(非活动状态的分钟数)后重新检查访问要求 30 iOS/iPadOS、Android 3
    访问要求 选择要维护的先前 PIN 值的数目 0 Android 3
    访问要求 活动) 超时 (分钟 720 iOS/iPadOS、Android 3
    访问要求 离线宽限期 允许 iOS/iPadOS 3
    访问要求 用于访问的工作或学校帐户凭据 不需要 iOS/iPadOS、Android 3
  9. 选择 下一步

  10. 根据下表查看 条件启动 部分 设置

Setting 设置说明 平台 级别
应用条件 允许的最大威胁级别 安全/阻止访问 iOS/iPadOS、Android 3
应用条件 最高 OS 版本 格式:Major.Minor.Build iOS/iPadOS 3
应用条件 最大 PIN 尝试次数 5 / 重置 PIN iOS/iPadOS、Android 3
应用条件 离线宽限期 720 / 阻止访问 (分钟) iOS/iPadOS、Android 3
应用条件 离线宽限期 90 / 擦除数据 (天) iOS/iPadOS、Android 3
应用条件 已禁用帐户 不适用/阻止访问 iOS/iPadOS、Android 3
应用条件 最低 OS 版本 格式:Major.Minor.Build iOS/iPadOS 3
应用条件 最大 PIN 尝试次数 5 / 重置 PIN iOS/iPadOS、Android 3
应用条件 离线宽限期 90 / 擦除数据 (天) iOS/iPadOS、Android 3
应用条件 已禁用帐户 不适用/阻止访问 iOS/iPadOS、Android 3
应用条件 离线宽限期 720 / 阻止访问 (分钟) iOS/iPadOS、Android 3
  1. 完成条件启动步骤后,选择“下一步”。

  2. 查看 “作用域标记” 步骤。 有关范围标记的详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记

  3. 选择 下一步

  4. 查看 作业

  5. 查看“ 查看和创建 ”步骤中的策略详细信息。

    应用 - 应用保护策略 - 查看 + 创建 - Microsoft Intune管理中心

  6. 选择“ 创建 ”,并等待策略创建。

    应用 - 应用保护策略 - 策略已成功创建 - Microsoft Intune管理中心。

后续步骤

将移动威胁防御与Microsoft Edge 商业版集成的步骤 3。

继续执行步骤 3,将移动威胁防御与Microsoft Edge 商业版集成。