应用保护策略 (APP) 是可确保组织数据在托管应用中保持安全或受到控制的规则。 策略可以是在用户尝试访问或移动公司数据时强制实施的规则,也可以是设备用户使用应用时禁止或监视的一组作。 托管应用是应用了应用保护策略并由企业管理解决方案(例如Intune)管理的应用。
应用保护策略框架
配置应用保护策略时,可以使用各种设置和选项,使组织能够根据自己的特定需求定制数据保护。 由于这种灵活性,实现完整方案可能需要哪种策略设置组合可能并不明显。 为了帮助组织确定客户端终结点强化工作的优先级,Microsoft为 Windows 中的安全配置引入了分类,Intune对其应用数据保护框架使用类似的分类来管理移动应用。
APP 数据保护配置框架分为三种不同的配置方案:
级别 1 企业基本数据保护: Microsoft建议将此配置作为企业设备的最低数据保护配置。
级别 2 企业增强型数据保护: Microsoft为用户访问敏感或机密信息的设备推荐此配置。 此配置适用于访问工作或学校数据的大多数移动用户。 某些控制可能会影响用户体验。
级别 3 企业高数据保护: Microsoft建议此配置适用于具有更大或更复杂安全团队的组织运行的设备,或者对于具有唯一较高风险的特定用户或组, (监督敏感数据的用户(如果未经授权的披露会导致组织) 遭受重大重大损失)。 一个组织可能成为资金雄厚的复杂攻击者的目标,应该渴望这种配置。
数据保护框架部署方法
对于任何新软件、功能或设置的部署,Microsoft建议在部署 APP 数据保护框架之前投资一个环形方法来测试验证。 定义部署圈是 (或至少不经常) 的一次性事件,但 IT 部门应重新访问这些组,以确保排序仍然正确。
有关框架设置的详细信息,请参阅应用保护框架。
Microsoft Edge 商业版 (Windows) 的应用保护策略
Windows 的应用保护策略通过使用数据丢失防护 (DLP) 控件提供对个人计算机上工作资源的安全和合规访问。
全面了解应用保护策略框架后,现在已准备好为 Windows 建立初始应用保护策略。 在此实例中,你正在制定应用保护策略。 如本文档中所述,框架允许创建各种级别以满足你的特定要求。 以下示例可能仅适用于Microsoft建议的 级别 3 策略。 请务必为每个级别复制这些步骤,确保根据提供的建议调整值。 此方法可确保正确配置每个策略级别,以满足组织的不同需求。
应用数据保护框架
使用以下步骤应用数据保护框架。
选择 “应用>保护>”“创建>Windows”。
在 “创建策略” 步骤中,设置以下详细信息:
- 名称:级别 3 安全企业浏览器策略
- 说明:此策略是适用于安全企业浏览器的级别 3 应用保护框架策略。
- 平台:Windows
选择“ 下一步 ”以显示下一步。
对于 “应用” 步骤,请单击“ 选择应用 ”以显示 “选择目标应用 ”窗格。
查找并选择 “Microsoft Edge”。
单击 “选择” 以选择应用。
选择“ 下一步 ”以显示下一步。
按照级别 3 中的建议,使用以下值配置此步骤:
- 从接收数据:无源
- 将组织数据发送到:无目标
- 允许剪切、复制和粘贴:无目标或源
- 打印组织数据:阻止
选择“ 下一步 ”继续下一步。
按照级别 3 中的建议,使用以下值配置此步骤:
- 脱机宽限期:720、阻止访问 (分钟)
- 脱机宽限期:90,擦除数据 (天)
- 最大 OS 版本:10.0.22631.2715,阻止访问
- 允许的最大设备威胁级别:安全、阻止访问
单击“ 下一步 ”以显示下一步。
对于 “作用域标记” 步骤,必须为环境和有权访问此策略的角色选择适当的范围标记。
对于 “分配” 步骤,请选择“ 添加组 ”,然后选择所需的组。 对于此示例,选择“所有 VPN 用户”。 但是,在生产环境中分配此策略时,应创建一组最适合必须遵循 级别 3 应用保护的用户的新用户组。
单击“ 下一步 ”继续下一步。
在 “查看 + 创建 ”步骤中,查看每个项目并确保 级别 3 配置正确。 活动后
单击“ 下一步 ”创建策略。
现在,你已为 Windows Policy 创建了第一个 MAM,该 MAM 应在Intune租户中可用。
Microsoft Edge 商业版 (移动) 应用保护策略
将Microsoft Edge 商业版合并到现有数据安全和管理策略中。 通过保护移动设备的企业浏览器配置,可以确保更安全、更高效的 Web 浏览体验。
Microsoft Edge 商业版为管理和安全性提供优势:
- 管理:Microsoft Edge 商业版是Microsoft Intune原生支持的唯一无缝集成的移动浏览器。 为了保证组织的工作效率,应用级管理允许 IT 在数据保护和访问之间配置适当的平衡。
- 安全性:数据保护和泄漏防护基于条件访问和用户标识。 Microsoft 365 安全功能扩展到Microsoft Edge 商业版移动设备,包括Microsoft Entra条件访问和数据丢失防护。 对于使用 VPN 解决方案的组织,Microsoft Edge 移动版提供对标识启用的每个应用 VPN 的支持。 这包括将 Microsoft Tunnel 与 Intune 集成,实现无缝且安全的连接。 此外,不需要 VPN 的解决方案也可用。
移动应用保护策略
应用保护策略 (应用) 定义允许哪些应用以及这些应用可以对组织数据执行的作。 APP 中可用的选项使组织能够根据特定需求调整保护。 对于某些组织而言,实现完整方案所需的策略设置可能并不明显。 为了帮助组织确定移动客户端终结点强化的优先级,Microsoft 为其面向 iOS 和 Android 移动应用管理的 APP 数据保护框架引入了分类法。
如前面 步骤 2 中所述,APP 数据保护框架分为三个不同的配置级别。 每个级别都基于上一个级别生成:
- 企业基本数据保护 (级别 1) 可确保应用使用 PIN 进行保护、加密并允许选择性擦除作。 对于 Android 设备,此级别验证 Android 设备证明。
- 企业增强型数据保护(级别 2)引入了 APP 数据泄露预防机制和最低 OS 要求。 此配置适用于访问工作或学校数据的大多数移动用户。
- 企业高级数据保护(级别 3)引入了高级数据保护机制、增强的PIN 配置和 APP 移动威胁防御。 此配置适用于访问高风险数据的用户。
若要查看每个配置级别的具体建议以及必须受保护的核心应用,请查看使用应用保护策略的数据保护框架。
接下来,从 Microsoft Intune 管理中心为 Microsoft Edge 创建级别 3 应用保护策略。
若要创建应用保护策略,请执行以下步骤:
导航到Microsoft Intune管理中心,然后选择“应用>保护>创建”。
选择 “创建策略>Android 或 iOS/iPadOS”。 接下来,输入以下信息:
- 名称:级别 3 安全企业浏览器。
- 说明:下面是级别 3 应用保护策略框架。
单击 “所选应用>”“公共应用”。 查找 Microsoft Edge。
选择“ 数据保护 ”,并根据下表配置 设置 :
Setting 设置说明 值 平台 级别 数据传输 将电信数据传输到 任何策略托管的拨号程序应用 Android 3 数据传输 将电信数据传输到 特定拨号程序应用 iOS/iPadOS 3 数据传输 拨号器应用 URL 方案 replace_with_dialer_app_url_scheme iOS/iPadOS 3 数据传输 从其他应用接收数据 策略托管应用 iOS/iPadOS、Android 3 数据传输 在组织文档中打开数据 阻止 iOS/iPadOS、Android 3 数据传输 允许用户从选定服务打开数据 OneDrive for Business、SharePoint、相机、照片库 iOS/iPadOS、Android 3 数据传输 第三方键盘 阻止 iOS/iPadOS 3 数据传输 批准的键盘 需要 Android 3 数据传输 选择要批准的键盘 添加/删除键盘 Android 3 数据传输 将组织数据备份到... 阻止 iOS/iPadOS、Android 3 数据传输 将组织数据发送到其他应用 策略托管应用 iOS/iPadOS、Android 3 数据传输 选择要豁免的应用 Default / skype;app-settings;calshow;itms;itmss;itms-apps;itms-appss;itms-services; iOS/iPadOS 3 数据传输 保存组织数据的副本 阻止 iOS/iPadOS、Android 3 数据传输 允许用户将副本保存到所选服务 OneDrive for Business、SharePoint Online、照片库 iOS/iPadOS、Android 3 数据传输 将电信数据传输到 任意拨号器应用 iOS/iPadOS、Android 3 数据传输 限制应用之间的剪切、复制和粘贴 具有粘贴功能的策略托管应用 iOS/iPadOS、Android 3 根据下表查看 加密 部分 设置 :
Setting 设置说明 值 平台 级别 加密 加密组织数据 需要 iOS/iPadOS、Android 3 根据下表查看 “功能 ”部分 设置 :
Setting 设置说明 值 平台 级别 功能 打印组织数据 阻止 iOS/iPadOS、Android、Windows 3 功能 将应用与本机联系人应用同步 允许 iOS/iPadOS、Android 3 功能 组织数据通知 阻止组织数据 iOS/iPadOS、Android 3 功能 限制使用其他应用传输 Web 内容 Microsoft Edge iOS/iPadOS、Android 3 功能 将策略托管的应用数据与本机应用同步或添加 允许 iOS/iPadOS、Android 3 完成所有三个部分后,选择“ 下一步”。
根据下表查看 “访问要求” 部分 设置 :
Setting 设置说明 值 平台 级别 访问要求 简单 PIN 阻止 iOS/iPadOS、Android 3 访问要求 选择“最小 PIN 长度” 6 iOS/iPadOS、Android 3 访问要求 数天后重置 PIN 是 iOS/iPadOS、Android 3 访问要求 需要设备锁定 高/块访问 Android 3 访问要求 已越狱/获得 root 权限的设备 不适用/擦除数据 iOS/iPadOS、Android 3 访问要求 最高 OS 版本 格式:Major.Minor Android 3 访问要求 Samsung Knox 设备证明 擦除数据 Android 3 访问要求 将组织数据备份到... 阻止 iOS/iPadOS、Android 3 访问要求 允许用户将副本保存到所选服务 OneDrive for Business、SharePoint Online、照片库 iOS/iPadOS、Android 3 访问要求 限制应用之间的剪切、复制和粘贴 具有粘贴功能的策略托管应用 iOS/iPadOS、Android 3 访问要求 保存组织数据的副本 阻止 iOS/iPadOS、Android 3 访问要求 屏幕截图和 Google 助手 阻止 Android 3 访问要求 选择要豁免的应用 Default / skype;app-settings;calshow;itms;itmss;itms-apps;itms-appss;itms-services; iOS/iPadOS 3 访问要求 将组织数据发送到其他应用 策略托管应用 iOS/iPadOS、Android 3 访问要求 设置设备 PIN 时的应用 PIN 需要 iOS/iPadOS、Android 3 访问要求 生物识别而不是 PIN 进行访问 允许 iOS/iPadOS、Android 3 访问要求 SafetyNet 设备证明 基本完整性和认证设备/阻止访问 Android 3 访问要求 要求对应用进行威胁扫描 不适用/阻止访问 Android 3 访问要求 需要设备锁定 低/警告 Android 3 访问要求 最低 OS 版本 格式:Major.MinorExample:9.0/阻止访问 Android 3 访问要求 最低修补程序版本 格式:YYYY-MM-DD Android 3 访问要求 所需的 SafetyNet 评估类型 硬件支持的密钥 Android 3 访问要求 加密组织数据 需要 iOS/iPadOS、Android 3 访问要求 加密已注册设备上的组织数据 需要 Android 3 访问要求 将应用与本机联系人应用同步 允许 iOS/iPadOS、Android 3 访问要求 限制使用其他应用传输 Web 内容 Microsoft Edge iOS/iPadOS、Android 3 访问要求 组织数据通知 阻止组织数据 iOS/iPadOS、Android 3 访问要求 超时后使用 PIN 替代生物识别 需要 iOS/iPadOS、Android 3 访问要求 需要 PIN 才能进行访问 需要 iOS/iPadOS、Android 3 访问要求 PIN 类型 数值 iOS/iPadOS、Android 3 访问要求 在(非活动状态的分钟数)后重新检查访问要求 30 iOS/iPadOS、Android 3 访问要求 选择要维护的先前 PIN 值的数目 0 Android 3 访问要求 活动) 超时 (分钟 720 iOS/iPadOS、Android 3 访问要求 离线宽限期 允许 iOS/iPadOS 3 访问要求 用于访问的工作或学校帐户凭据 不需要 iOS/iPadOS、Android 3 选择 下一步。
根据下表查看 条件启动 部分 设置 :
Setting | 设置说明 | 值 | 平台 | 级别 |
---|---|---|---|---|
应用条件 | 允许的最大威胁级别 | 安全/阻止访问 | iOS/iPadOS、Android | 3 |
应用条件 | 最高 OS 版本 | 格式:Major.Minor.Build | iOS/iPadOS | 3 |
应用条件 | 最大 PIN 尝试次数 | 5 / 重置 PIN | iOS/iPadOS、Android | 3 |
应用条件 | 离线宽限期 | 720 / 阻止访问 (分钟) | iOS/iPadOS、Android | 3 |
应用条件 | 离线宽限期 | 90 / 擦除数据 (天) | iOS/iPadOS、Android | 3 |
应用条件 | 已禁用帐户 | 不适用/阻止访问 | iOS/iPadOS、Android | 3 |
应用条件 | 最低 OS 版本 | 格式:Major.Minor.Build | iOS/iPadOS | 3 |
应用条件 | 最大 PIN 尝试次数 | 5 / 重置 PIN | iOS/iPadOS、Android | 3 |
应用条件 | 离线宽限期 | 90 / 擦除数据 (天) | iOS/iPadOS、Android | 3 |
应用条件 | 已禁用帐户 | 不适用/阻止访问 | iOS/iPadOS、Android | 3 |
应用条件 | 离线宽限期 | 720 / 阻止访问 (分钟) | iOS/iPadOS、Android | 3 |
完成条件启动步骤后,选择“下一步”。
查看 “作用域标记” 步骤。 有关范围标记的详细信息,请参阅对分布式 IT 使用基于角色的访问控制 (RBAC) 和范围标记。
选择 下一步。
查看 作业。
查看“ 查看和创建 ”步骤中的策略详细信息。
选择“ 创建 ”,并等待策略创建。
后续步骤
继续执行步骤 3,将移动威胁防御与Microsoft Edge 商业版集成。