建议的应用保护设置
为级别 3 企业高数据保护创建和应用Intune应用保护时,请使用以下建议的应用保护设置。
级别 3 企业高数据保护
级别 3 是建议作为具有大型复杂安全组织的组织的标准数据保护配置,或者针对将成为攻击者唯一目标的特定用户和组。 此类组织通常以资金雄厚的老练对手为目标,因此需要所述的其他约束和控制。 此配置通过限制其他数据传输方案、增加 PIN 配置的复杂性以及添加移动威胁检测,扩展了级别 2 中的配置。
重要
在级别 3 中强制实施的策略设置包括针对级别 2 建议的所有策略设置,但仅列出以下已添加或更改的设置,以实现比级别 2 更多的控件和更复杂的配置。 这些策略设置可能会对用户或应用程序产生潜在重大影响,从而强制执行与目标组织面临的风险相称的安全级别。
数据保护
| Setting | 设置说明 | 值 | 平台 | 注意 |
|---|---|---|---|---|
| 数据传输 | 将电信数据传输到 | 任何策略托管的拨号程序应用 | Android | 管理员还可以通过将此设置配置为使用不支持应用保护策略的 拨号程序应用,方法是选择“特定拨号程序”应用 ,并提供 “拨号程序应用包 ID ”和“ 拨号程序应用名称” 值。 |
| 数据传输 | 将电信数据传输到 | 特定拨号程序应用 | iOS/iPadOS | |
| 数据传输 | 拨号器应用 URL 方案 | replace_with_dialer_app_url_scheme | iOS/iPadOS | 在 iOS/iPadOS 上,此值必须替换为使用的自定义拨号应用的 URL 方案。 如果 URL 方案未知,请联系应用开发人员了解详细信息。 有关 URL 方案的详细信息,请参阅 为应用定义自定义 URL 方案。 |
| 数据传输 | 从其他应用接收数据 | 策略托管应用 | iOS/iPadOS、Android | |
| 数据传输 | 在组织文档中打开数据 | 阻止 | iOS/iPadOS、Android | |
| 数据传输 | 允许用户从选定服务打开数据 | OneDrive for Business、SharePoint、相机、照片库 | iOS/iPadOS、Android | 有关相关信息,请参阅 Android 应用保护策略设置 和 iOS 应用保护策略设置。 |
| 数据传输 | 第三方键盘 | 阻止 | iOS/iPadOS | 在 iOS/iPadOS 上,这会阻止所有第三方键盘在应用中运行。 |
| 数据传输 | 批准的键盘 | 需要 | Android | |
| 数据传输 | 选择要批准的键盘 | 添加/删除键盘 | Android | 对于 Android,必须选择键盘才能根据部署的 Android 设备使用。 |
| 功能 | 打印组织数据 | 阻止 | iOS/iPadOS、Android、Windows |
访问要求
| 设置 | 值 | 平台 |
|---|---|---|
| 简单 PIN | 阻止 | iOS/iPadOS、Android |
| 选择“最小 PIN 长度” | 6 | iOS/iPadOS、Android |
| 数天后重置 PIN | 是 | iOS/iPadOS、Android |
| 天数 | 365 | iOS/iPadOS、Android |
| 3 类生物识别 (Android 9.0+) | 需要 | Android |
| 生物识别更新后,使用 PIN 替代生物识别 | 需要 | Android |
条件启动
| Setting | 设置说明 | 值/作 | 平台 | 注意 |
|---|---|---|---|---|
| 设备条件 | 需要设备锁定 | 高/块访问 | Android | 此设置可确保 Android 设备具有满足最低密码要求的设备密码。 |
| 设备条件 | 允许的最大设备威胁级别 | 安全/阻止访问 | Windows | |
| 设备条件 | 已越狱/获得 root 权限的设备 | 不适用/擦除数据 | iOS/iPadOS、Android | |
| 设备条件 | 允许的最大威胁级别 | 安全/阻止访问 | iOS/iPadOS、Android | 可以使用移动威胁防御检查未注册的设备是否有威胁。 有关详细信息,请参阅 未注册设备的移动威胁防御。 如果设备已注册,则可以跳过此设置,以便为已注册的设备部署移动威胁防御。 有关详细信息,请参阅适用于已注册设备的移动威胁防御。 |
| 设备条件 | 最高 OS 版本 |
格式:Major.Minor 示例:11.0 /阻止访问 |
Android | Microsoft建议配置最大 Android 主版本,以确保不使用作系统的 beta 版本或不受支持版本。 有关 Android 的最新建议,请参阅 Android Enterprise 建议的要求 |
| 设备条件 | 最高 OS 版本 |
格式:Major.Minor.Build 示例:15.0 /阻止访问 |
iOS/iPadOS | Microsoft建议配置最大 iOS/iPadOS 主版本,以确保不使用作系统的 beta 版本或不受支持版本。 有关 Apple 的最新建议,请参阅 Apple 安全更新 |
| 设备条件 | 最高 OS 版本 |
格式:Major.Minor 示例:22631。 / 阻止访问 |
Windows | Microsoft建议配置最大 Windows 主版本,以确保不使用作系统的 beta 版本或不受支持的版本。 |
| 设备条件 | Samsung Knox 设备证明 | 擦除数据 | Android | Microsoft建议将 Samsung Knox 设备证明 设置配置为 “擦除数据 ”,以确保如果设备不符合 Samsung 基于 Knox 硬件的设备运行状况验证,则删除组织数据。 此设置验证对Intune服务的所有Intune MAM 客户端响应是否从正常设备发送。 此设置将应用于面向的所有设备。 若要仅将此设置应用于 Samsung 设备,可以使用“托管应用”分配筛选器。 有关分配筛选器的详细信息,请参阅在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。 |
| 应用条件 | 离线宽限期 | 30 / 阻止访问 (天) | iOS/iPadOS、Android、Windows |
后续步骤
继续执行步骤 4,了解 Microsoft Intune 中的应用保护交付。