Ochrana dat pro Windows MAM
Chráněný přístup ke správě mobilních aplikací (MAM) můžete povolit k datům organizace na osobních zařízeních s Windows. Tato funkce používá následující funkce:
- Intune zásady konfigurace aplikací (ACP) pro přizpůsobení uživatelského prostředí organizace
- Intune zásady ochrany aplikací (APP) k zabezpečení dat organizace a zajištění dobrého stavu klientského zařízení
- Ochrana klienta Zabezpečení Windows Center před hrozbami integrovaná s aplikací Intune APP pro detekci místních zdravotních hrozeb na osobních zařízeních s Windows
- Podmíněný přístup ochrany aplikací k zajištění ochrany zařízení a jeho stavu před udělením přístupu k chráněné službě prostřednictvím Microsoft Entra ID
Poznámka
Intune Správa mobilních aplikací (MAM) pro Windows je k dispozici pro Windows 10, build 19045.3636, KB5031445 nebo novější a Windows 11, build 10.0.22621.2506, KB5031455 (22H2) nebo novější. To zahrnuje podpůrné změny pro Microsoft Intune (verze 2309), Microsoft Edge (stabilní větev v117 a novější pro Windows 11 a v118.0.2088.71 a novější pro Windows 11) a Zabezpečení Windows Center (verze 1.0.2310.2002 a novější). Podmíněný přístup ochrany aplikací je obecně dostupný.
Windows MAM se podporuje v cloudových prostředích státní správy. Související informace najdete v tématu Nasazení aplikací pomocí Intune v prostředích GCC High a DoD.
Další informace o MAM najdete v tématu Základy správy mobilních aplikací (MAM).
Poznámka
Konektor MTD (Mobile Threat Defense) pro komponentu Zabezpečení Windows Center (WSC) je podporován pouze v Windows 11 verzi 22631 (23H2) nebo novější.
Koncoví uživatelé i organizace musí mít chráněný přístup organizace z osobních zařízení. Organizace musí zajistit ochranu podnikových dat na osobních nespravovaných zařízeních. Jako správce Intune zodpovídáte za to, jak členové (koncoví uživatelé) vaší organizace přistupovali k podnikovým prostředkům chráněným způsobem z nespravovaného zařízení. Při přístupu k datům organizace musíte zajistit, aby nespravovaná zařízení byla v pořádku, aby aplikace dodržovaly zásady ochrany dat vaší organizace a aby nespravované prostředky koncového uživatele na jejich zařízení nebyly ovlivněny zásadami vaší organizace.
Jako správce Intune musíte mít následující funkce správy aplikací:
- Možnost nasadit zásady ochrany aplikací pro aplikace nebo uživatele chráněné sadou Intune APP SDK, včetně následujících:
- Nastavení ochrany dat
- Nastavení kontrol stavu (neboli podmíněného spuštění)
- Možnost vyžadovat zásady ochrany aplikací prostřednictvím podmíněného přístupu
- Možnost provést další ověření stavu klienta prostřednictvím centra Zabezpečení Windows provedením následujícího postupu:
- Určení úrovně rizika Zabezpečení Windows Center pro umožnění přístupu koncových uživatelů k podnikovým prostředkům
- Nastavení konektoru založeného na tenantovi na Microsoft Intune pro Zabezpečení Windows Center
- Možnost nasazení příkazu selektivního vymazání do chráněných aplikací
Členové vaší organizace (koncoví uživatelé) očekávají, že budou mít pro své účty následující funkce:
- Možnost přihlášení k Microsoft Entra ID přístup k webům chráněným podmíněným přístupem
- Možnost ověřit stav klientského zařízení v případě, že je zařízení považováno za špatné
- Možnost odvolat přístup k prostředkům, když zařízení není v pořádku
- Schopnost být informovaní s jasnými nápravnými kroky, když je přístup řízen zásadami správce
Poznámka
Informace týkající se Microsoft Entra ID najdete v tématu Vyžadování zásad ochrany aplikací na zařízeních s Windows.
Dodržování předpisů podmíněného přístupu
Prevence ztráty dat je součástí ochrany dat vaší organizace. Ochrana před únikem informací (DLP) je účinná jenom v případě, že k datům organizace není možné získat přístup z nechráněného systému nebo zařízení. Podmíněný přístup ochrany aplikací používá podmíněný přístup (CA) k zajištění podpory a vynucování zásad ochrany aplikací v klientské aplikaci před povolením přístupu k chráněným prostředkům (jako jsou data organizace). Ca app umožní koncovým uživatelům s osobními zařízeními s Windows používat aplikace spravované aplikací, včetně Microsoft Edge, přístup k Microsoft Entra prostředkům, aniž by museli plně spravovat své osobní zařízení.
Tato služba MAM synchronizuje stav dodržování předpisů podle uživatele, aplikace a zařízení se službou Microsoft Entra certifikační autority. Patří sem informace o hrozbách získané od dodavatelů ochrany před mobilními hrozbami (MTD), počínaje Zabezpečení Windows Center.
Poznámka
Tato služba MAM používá stejný pracovní postup dodržování předpisů podmíněného přístupu, který se používá ke správě Microsoft Edge na zařízeních s iOSem a Androidem.
Když zjistíte změnu, služba MAM okamžitě aktualizuje stav dodržování předpisů zařízením. Služba také zahrnuje stav MTD jako součást stavu dodržování předpisů.
Poznámka
Služba MAM vyhodnocuje stav MTD ve službě. To se provádí nezávisle na klientovi a klientské platformě MAM.
Klient MAM při ohlášení sdělí stav klienta (nebo metadata stavu) službě MAM. Stav zahrnuje případná selhání kontrol stavu aplikace pro podmínky blokování nebo vymazání . Kromě toho Microsoft Entra ID provede koncové uživatele nápravnými kroky při pokusu o přístup k zablokovaným prostředkům certifikační autority.
Dodržování předpisů podmíněného přístupu
Organizace můžou pomocí zásad podmíněného přístupu Microsoft Entra zajistit, aby uživatelé měli přístup k pracovnímu nebo školnímu obsahu jenom pomocí aplikací spravovaných zásadami ve Windows. K tomu budete potřebovat zásadu podmíněného přístupu, která cílí na všechny potenciální uživatele. Postupujte podle kroků v tématu Vyžadování zásady ochrany aplikací na zařízeních s Windows, které umožňují Aplikaci Microsoft Edge pro Windows, ale brání ostatním webovým prohlížečům v připojení ke koncovým bodům Microsoft 365.
Pomocí podmíněného přístupu můžete také cílit na místní weby, které jste prostřednictvím proxy aplikací Microsoft Entra zpřístupnili externím uživatelům.
Threat Defense Health
Stav zařízení v osobním vlastnictví se před povolením přístupu k datům vaší organizace ověří. Detekci hrozeb MAM je možné propojit s Zabezpečení Windows Center. Zabezpečení Windows Center poskytuje hodnocení stavu klientských zařízení, které Intune APP prostřednictvím konektoru service-to-service. Toto hodnocení podporuje nastavení toku a přístupu k datům organizace na osobních nespravovaných zařízeních.
Stav obsahuje následující podrobnosti:
- Identifikátory uživatelů, aplikací a zařízení
- Předdefinovaný stav
- Čas poslední aktualizace stavu
Stav se odesílá jenom uživatelům zaregistrovaným v mam. Koncoví uživatelé můžou ukončit odesílání dat tím, že se odhlásí ze svého účtu organizace v chráněných aplikacích. Správci můžou ukončit odesílání dat odebráním konektoru Zabezpečení Windows z Microsoft Intune.
Související informace najdete v tématu Vytvoření zásad ochrany aplikací MTD pro Windows.
Vytvoření zásad ochrany aplikací Intune
Zásady ochrany aplikací (APP) definují, které aplikace jsou povolené a jaké akce můžou s daty vaší organizace provádět. Možnosti dostupné v aplikaci APP umožňují organizacím přizpůsobit ochranu jejich konkrétním potřebám. U některých nemusí být zřejmé, která nastavení zásad jsou nutná k implementaci kompletního scénáře.
Jako správce můžete nakonfigurovat ochranu dat prostřednictvím aplikace. Tato konfigurace se vztahuje na nativní interakci aplikace systému Windows s daty. Nastavení aplikace jsou rozdělená do tří kategorií:
- Ochrana dat – Tato nastavení určují, jak se data můžou přesouvat do a z kontextu organizace (účet, dokument, umístění, služby) pro uživatele.
- Kontroly stavu (podmíněné spuštění) – Tato nastavení řídí podmínky zařízení vyžadované pro přístup k datům organizace a akce nápravy, pokud nejsou splněné podmínky.
Microsoft zavedl taxonomii pro svoji architekturu ochrany dat app pro správu mobilních aplikací, aby organizacím pomohl určit prioritu posílení zabezpečení koncových bodů klienta.
Pokud chcete zobrazit konkrétní doporučení pro jednotlivé úrovně konfigurace a minimální počet aplikací, které je potřeba chránit, přečtěte si téma Architektura ochrany dat pomocí zásad ochrany aplikací.
Další informace o dostupných nastaveních najdete v tématu Nastavení zásad ochrany aplikací pro Windows.