Surface Duo 安全性概述

Surface Duo 在每一层都具有内置保护功能,其中包含深度集成的硬件、固件和软件,可保护设备、标识和数据。 作为 Android 10 设备,Surface Duo 在 OS 级别和 Google 服务层利用 Android 安全功能。 Android OS 利用传统的 OS 安全控制来保护用户数据和系统资源,保护设备完整性免受恶意软件的攻击,并提供应用程序隔离。 此外,Google 还提供在 OS 之上分层的各种服务,这些服务与 Android OS 安全性结合在一起,有助于持续保护 Android 用户。

  • 自定义工程 UEFI。 在 Android 设备中,Surface Duo 唯一的自定义工程统一可扩展固件接口 (UEFI) ,可完全控制固件组件。 Microsoft 通过编写或查看内部的每一行固件代码,为 Surface Duo 提供企业级安全性,使 Microsoft 能够直接灵活地应对潜在的固件威胁并缓解供应链安全风险。
  • 已验证的启动。 从登录后的硬件级别开始,已验证的启动将努力确保执行的代码仅来自受信任的源。 它建立了完整的信任链 - 从硬件保护的信任根到启动加载程序、启动分区和其他已验证的分区。 Surface Duo 启动时,每个阶段在移交执行之前验证下一阶段的完整性和真实性。
  • 应用分离。 应用程序沙盒隔离和保护 Android 应用,防止恶意应用访问专用信息。 强制的、始终打开的加密和密钥处理有助于保护传输中的数据和静态数据,即使设备落入了错误的手中。 加密受密钥存储密钥的保护,密钥存储在容器中存储加密密钥,使得从设备中提取加密密钥更加困难。
  • Google Play Protect。 在软件层,Surface Duo 使用 Google Play 保护威胁检测,它扫描所有应用程序,包括 Google Play 中的公共应用、Microsoft 和运营商更新的系统应用,以及旁加载的应用。
  • Microsoft Defender ATP。 适用于 Windows 10 的企业级防病毒和恶意软件保护软件现在可用于从Intune管理的 Android 设备。 若要了解详细信息,请参阅 适用于 Android 的 Microsoft Defender ATP

移动设备管理安全性

Surface Duo 在企业环境中使用企业移动管理 (EMM) 解决方案进行保护,该解决方案提供一组一致的保护工具、技术和最佳做法,你可以根据组织和合规性要求定制这些工具、技术和最佳做法。 广泛的管理 API 为 IT 部门提供了帮助防止数据泄露的工具,并在各种情况下强制实施合规性。 多配置文件支持和设备管理选项支持工作和个人数据的分离,有助于确保公司数据的安全。

MDM 安全性建立在一组不断扩大的配置技术之上,使用户能够随时高效工作,同时保护关键的企业知识产权。 这包括应用保护策略、设备限制策略和相关技术,旨在使你能够满足特定目标,具体取决于你的环境 - 无论你的业务是提供餐厅外卖订单、管理牙科办公室的 IT 服务,还是处理敏感的国家安全信息。

例如,可能需要通过要求用户输入 6 位数的字母数字固定以及 2 因子身份验证来加强设备身份验证。 你可能希望限制用户可以注册的设备,以帮助你遵守许可限制或避免授予对“越狱”手机或其他不受支持的设备类型的访问权限。 Intune和其他 EMM 允许组织根据其需求管理设备。

应用保护策略

应用) (应用保护策略是确保组织的数据保持安全或包含在托管应用中的规则。 当用户尝试访问或移动“公司”数据或在用户在应用内时禁止或监视的一组操作时,策略可以是强制执行的规则。 托管应用是应用了应用保护策略并可由Intune管理的应用。

应用保护策略允许你管理和保护应用程序中组织的数据。 许多生产力应用(如 Microsoft Office 应用)可以通过 Intune MAM 进行管理。 请参阅可供公开使用的Microsoft Intune受保护应用的官方列表。

管理 Surface Duo 的安全注意事项

移动设备管理解决方案中可用的策略设置越来越多,使组织能够调整保护级别以满足其特定需求。 为了帮助组织确定 Surface Duo (或任何其他 Android 设备) 的安全设置的优先级,Intune将其 Android Enterprise 安全配置框架引入了多种不同的配置方案,为工作配置文件和完全托管方案提供了指导。

安全级别 面向 摘要 设置信息
工作配置文件基本安全性 - 级别 1 有权访问工作或学校数据的个人设备。 引入密码要求,分隔工作和个人数据,并验证 Android 设备证明。 工作配置文件级别 1 设置
工作配置文件高安全性 - 级别 3
(由于框架约定,这是高于级别 1.) 的下一个级别
唯一高风险的用户或组使用的设备。 例如,用户处理高度敏感的数据,其中未经授权的披露会导致相当大的重大损失。 引入移动威胁防御或Microsoft Defender ATP,将最低 Android 版本设置为 8.0,制定更强的密码策略,并进一步限制工作和个人分离。 工作配置文件级别 3 设置
完全托管的基本安全性 -级别 1 企业设备的最小安全性配置,适用于访问工作或学校数据的大多数移动用户。 引入密码要求,将最低 Android 版本设置为 8.0,并颁布某些设备限制。 完全托管级别 1 设置
完全托管的增强安全级别 2 用户访问敏感或机密信息的设备。 制定更强的密码策略并禁用用户/帐户功能。 完全托管级别 2 settngs
完全托管的高安全级别 3 唯一高风险的用户或组使用的设备。 例如,用户处理高度敏感的数据,其中未经授权的披露会导致相当大的重大损失。 将最低 Android 版本增加到 10.0,引入移动威胁防御或 Microsoft Defender ATP,并强制实施其他设备限制。 完全托管级别 3 设置

与任何框架一样,可能需要根据组织的需求调整相应级别内的设置,因为安全性必须评估威胁环境、风险偏好和对可用性的影响。

了解详细信息