共用方式為


Surface Duo 安全性概觀

Surface Duo 在每個層級都有內建的保護,具有深度整合的硬體、韌體和軟體來保護您的裝置、身分識別和數據。 Surface Duo 是 Android 10 裝置,可利用 OS 層級和 Google 服務層級的 Android 安全性功能。 Android OS 會利用傳統的 OS 安全性控制措施來保護使用者數據和系統資源、保護裝置完整性以防止惡意代碼,以及提供應用程式隔離。 此外,Google 在作業系統上提供各種分層服務,當與 Android OS 安全性結合時,可協助持續保護 Android 使用者。

  • 自定義工程 UEFI。 Surface Duo 在 Android 裝置中是唯一的,是 Microsoft 的自定義工程整合可擴展固件介面 (UEFI) ,可完全控制韌體元件。 Microsoft 藉由撰寫或檢閱內部每一行韌體程序代碼,為 Surface Duo 提供企業級安全性,讓 Microsoft 能夠直接且靈活地回應潛在的韌體威脅,並降低供應鏈安全性風險。
  • 已驗證開機。 從登入時的硬體層級開始,已驗證的開機會努力確保執行的程式代碼只來自信任的來源。 它會建立完整的信任鏈結,從硬體保護的信任根目錄到開機載入器、開機分割區和其他已驗證的數據分割。 當 Surface Duo 啟動時,每個階段都會先驗證下一個階段的完整性和真實性,再交由執行。
  • 應用程式區隔。 應用程式沙箱會隔離和保護 Android 應用程式,防止惡意應用程式存取私人資訊。 強制、一律開啟的加密和密鑰處理有助於保護傳輸中和待用的數據,即使裝置不正確也一般。 加密會受到金鑰存放區金鑰的保護,金鑰存放區金鑰會將密碼編譯金鑰儲存在容器中,讓您更難以從裝置擷取。
  • Google Play 保護。 在軟體層,Surface Duo 會使用 Google Play 保護威脅偵測來掃描所有應用程式,包括來自 Google Play 的公用應用程式、由 Microsoft 和貨運公司更新的系統應用程式,以及側載應用程式。
  • Microsoft Defender ATP。 Windows 10 的企業級防病毒軟體和惡意代碼防護軟體現在適用於從 Intune 管理的 Android 裝置。 若要深入瞭解,請參閱 適用於Android的 Microsoft Defender ATP

行動裝置管理安全性

Surface Duo 是在公司環境中使用 Enterprise Mobility Management (EMM) 解決方案來保護,該解決方案提供一組一致的保護工具、技術和最佳做法,您可以量身打造以符合組織與合規性需求。 廣泛的管理 API 可為 IT 部門提供工具,以協助防止數據外洩,並在各種案例中強制執行合規性。 多重配置檔支援與裝置管理選項可讓您分隔工作和個人資料,協助保護公司數據的安全。

MDM 安全性是以一組擴充的設定技術為基礎,可讓使用者在進行時提高生產力,同時保護重要的公司智慧財產權。 這包括應用程式保護原則、裝置限制原則,以及設計來讓您根據您的環境達成特定目標的相關技術 ,不論您的企業是由提供餐廳外銷訂單、管理商務辦公室的IT服務,或處理機密的網路安全性資訊所組成。

例如,您可能想要藉由要求使用者輸入 6 位數英數位元以及 2 因素驗證來加強裝置驗證。 您可能想要限制使用者可以註冊的裝置,以協助您遵守授權限制,或避免授與「已越獄」手機或其他不受支援裝置類型的存取權。 Intune 和其他 EMM 可讓組織根據其需求管理裝置。

應用程式防護 原則

應用程式防護 原則 (APP) 是確保組織數據保持安全或包含在受控應用程式中的規則。 原則可以是使用者嘗試存取或移動「公司」數據時所強制執行的規則,或是在用戶位於應用程式內時禁止或監視的一組動作。 受控應用程式是套用應用程式保護原則的應用程式,可由 Intune 管理。

應用程式防護 原則可讓您管理和保護應用程式內的組織數據。 許多生產力應用程式,例如 Microsoft Office 應用程式,都可以由 Intune MAM 來管理。 請參閱可供公開使用的受保護 Microsoft Intune 應用程式官方清單。

管理 Surface Duo 的安全性考慮

行動裝置管理解決方案中可用的原則設定數目不斷增加,可讓組織調整保護層級以符合其特定需求。 為了協助組織排定 Surface Duo (或任何其他 Android 裝置) 安全性設定的優先順序,Intune 已將其 Android Enterprise 安全性設定架構組織成數個不同的組態案例,提供工作配置檔和完全受控案例的指引。

安全性層級 目標為 摘要 設定資訊
工作配置檔基本安全性 - 層級 1 可存取公司或學校數據的個人裝置。 介紹密碼需求、分隔工作和個人資料,以及驗證 Android 裝置證明。 工作配置檔層級 1 設定
工作配置檔高安全性 - 層級 3
(由於架構慣例,這是層級 1.)
唯一高風險的使用者或群組所使用的裝置。 例如,處理未經授權洩漏造成大量數據遺失之高度敏感數據的使用者。 引進行動威脅防護或 Microsoft Defender ATP、將最低 Android 版本設定為 8.0、制定更強的密碼原則,以及進一步限制工作和個人隔離。 工作配置檔層級 3 設定
完全受控的基本安全性 -層級 1 企業裝置的最低安全性設定,適用於大部分存取公司或學校數據的行動使用者。 引進密碼需求、將最低 Android 版本設定為 8.0,並制定特定裝置限制。 完全受控層級 1 設定
完全受控增強的安全性層級 2 使用者存取敏感性或機密信息的裝置。 制定更強的密碼原則,並停用使用者/帳戶功能。 完全受控層級 2 設定
完全受控的高安全性層級 3 唯一高風險的使用者或群組所使用的裝置。 例如,處理未經授權洩漏造成大量數據遺失之高度敏感數據的使用者。 將最低 Android 版本增加到 10.0、引進行動威脅防護或 Microsoft Defender ATP,並強制執行其他裝置限制。 完全受控層級 3 設定

如同任何架構,對應層級內的設定可能需要根據組織的需求進行調整,因為安全性必須評估威脅環境、風險偏好,以及對可用性的影響。

深入了解