Sdílet prostřednictvím


Krok 2 – Přidání, konfigurace a ochrana aplikací pomocí Intune

Dalším krokem při nasazování Intune je přidání a ochrana aplikací, které přistupují k datům organizace.

Diagram znázorňující začátek práce s Microsoft Intune krokem 2, kterým je přidávání a ochrana aplikací pomocí Microsoft Intune

Správa aplikací na zařízeních ve vaší organizaci je ústřední součástí zabezpečeného a produktivního podnikového ekosystému. Ke správě aplikací, které používají pracovníci vaší společnosti, můžete použít Microsoft Intune. Díky správě aplikací můžete řídit, které aplikace vaše společnost používá, a také jejich konfiguraci a ochranu. Tato funkce se nazývá správa mobilních aplikací (MAM). MAM v Intune je navržená tak, aby chránila data organizace na úrovni aplikace, včetně vlastních aplikací a aplikací ze Storu. Správu aplikací je možné používat na zařízeních vlastněných organizacích a osobních zařízeních. Při použití s osobními zařízeními se spravuje jenom přístup a data související s organizací. Tento typ správy aplikací se nazývá MAM bez registrace nebo z pohledu koncového uživatele přineste si vlastní zařízení (BYOD).

Konfigurace MAM

Když se aplikace používají bez omezení, můžou se firemní a osobní údaje prolínnout. Firemní data můžou skončit v umístěních, jako je osobní úložiště, nebo se přenesou do aplikací mimo vaši oblast a vést ke ztrátě dat. Jedním z hlavních důvodů, proč používat MAM bez registrace zařízení nebo Intune MDM + MAM, je pomoct chránit data vaší organizace.

Microsoft Intune podporuje dvě konfigurace MAM:

MAM bez správy zařízení

Tato konfigurace umožňuje spravovat aplikace vaší organizace pomocí Intune, ale neregistruje zařízení, která mají být spravována pomocí Intune. Tato konfigurace se běžně označuje jako MAM bez registrace zařízení. Správci IT můžou spravovat aplikace pomocí MAM pomocí zásad konfigurace a ochrany Intune na zařízeních, která nejsou zaregistrovaná ve správě Intune mobilních zařízení (MDM).

Poznámka

Tato konfigurace zahrnuje správu aplikací s Intune na zařízeních zaregistrovaných u poskytovatelů EMM (Enterprise Mobility Management) třetích stran. Můžete použít Intune zásady ochrany aplikací nezávisle na jakémkoli řešení MDM. Tato nezávislost pomáhá chránit firemní data s registrací zařízení do řešení pro správu zařízení nebo bez. Implementací zásad na úrovni aplikace můžete omezit přístup k prostředkům společnosti a zachovat data v rámci it oddělení.

Správa mobilních aplikací (MAM) je ideální k ochraně dat organizace na mobilních zařízeních používaných členy vaší organizace pro osobní i pracovní úkoly. I když se chcete ujistit, že členové vaší organizace budou produktivní, chcete zabránit záměrné i neúmyslné ztrátě dat. Chcete také chránit firemní data, ke kterým přistupujete ze zařízení, která nespravujete. MAM umožňuje spravovat a chránit data vaší organizace v rámci aplikace.

Tip

Mnoho kancelářských aplikací, jako jsou aplikace Microsoft Office, je možné spravovat pomocí Intune MAM. Podívejte se na oficiální seznam Microsoft Intune chráněných aplikací dostupných pro veřejné použití.

U zařízení BYOD nezaregistrovaných v žádném řešení MDM můžou zásady ochrany aplikací pomoct chránit firemní data na úrovni aplikace. Je ale potřeba mít na paměti některá omezení, například:

  • Do zařízení nemůžete nasazovat aplikace. Koncový uživatel musí získat aplikace ze Storu.
  • Na těchto zařízeních nemůžete zřídit profily certifikátů.
  • Na těchto zařízeních nemůžete zřídit nastavení podnikového Wi-Fi a sítě VPN.

Další informace o ochraně aplikací v Intune najdete v přehledu zásad Ochrana aplikací.

MAM se správou zařízení

Tato konfigurace umožňuje správu aplikací a zařízení vaší organizace. Tato konfigurace se běžně označuje jako MAM + MDM. Správci IT můžou spravovat aplikace pomocí MAM na zařízeních zaregistrovaných v Intune MDM.

MDM kromě MAM zajišťuje, že je zařízení chráněné. Můžete například vyžadovat PIN kód pro přístup k zařízení nebo do zařízení nasadit spravované aplikace. Aplikace můžete do zařízení nasazovat také prostřednictvím řešení MDM, abyste měli větší kontrolu nad správou aplikací.

Používání MDM se zásadami ochrany aplikací přináší další výhody a společnosti můžou současně používat zásady ochrany aplikací s MDM i bez nich. Člen vaší organizace může mít například telefon vystavený společností i vlastní osobní tablet. Firemní telefon může být zaregistrovaný v MDM a chráněný zásadami ochrany aplikací, zatímco osobní zařízení je chráněné jenom zásadami ochrany aplikací.

Na zaregistrovaných zařízeních, která používají službu MDM, můžou zásady ochrany aplikací přidat další vrstvu ochrany. Uživatel se například přihlásí k zařízení pomocí přihlašovacích údajů organizace. Při používání dat organizace řídí zásady ochrany aplikací způsob ukládání a sdílení dat. Když se uživatelé přihlásí pomocí své osobní identity, stejné ochrany (přístup a omezení) se nepoužijí. Tímto způsobem má IT kontrolu nad daty organizace, zatímco koncoví uživatelé si zachovávají kontrolu a ochranu osobních údajů nad svými osobními údaji.

Řešení MDM přidává hodnotu tím, že poskytuje následující:

  • Zaregistruje zařízení.
  • Nasadí aplikace do zařízení.
  • Zajišťuje průběžnou správu a dodržování předpisů zařízením.

Zásady Ochrana aplikací přidávají hodnotu tím, že zadají následující:

  • Ochrana firemních dat před únikem do uživatelských aplikací a služeb
  • Použití omezení, jako je uložit jako, schránka nebo PIN, u klientských aplikací
  • Vymazání firemních dat z aplikací v případě potřeby bez odebrání těchto aplikací ze zařízení

Výhody MAM s Intune

Když se aplikace spravují v Intune, můžou správci dělat toto:

  • Ochrana firemních dat na úrovni aplikace Ke skupinám uživatelů a zařízením můžete přidávat mobilní aplikace a přiřazovat je. To umožňuje ochranu firemních dat na úrovni aplikace. Firemní data můžete chránit na spravovaných i nespravovaných zařízeních, protože správa mobilních aplikací nevyžaduje správu zařízení. Správa se zaměřuje na identitu uživatele, což eliminuje požadavek na správu zařízení.
  • Nakonfigurujte aplikace, které se mají spouštět nebo spouštět, s povolenými konkrétními nastaveními. Kromě toho můžete aktualizovat stávající aplikace, které už na zařízení jsou.
  • Přiřaďte zásady pro omezení přístupu a zabránění použití dat mimo vaši organizaci. Nastavení těchto zásad zvolíte na základě požadavků vaší organizace. Můžete například:
    • Vyžadovat PIN kód k otevření aplikace v pracovním kontextu.
    • Blokovat spouštění spravovaných aplikací na zařízeních s jailbreakem nebo rootem
    • Řízení sdílení dat mezi aplikacemi
    • Zabraňte ukládání dat firemních aplikací do osobního úložiště pomocí zásad přemístění dat, jako jsou Ukládání kopií dat organizace a Omezení vyjmutí, kopírování a vložení.
  • Podpora aplikací na různých platformách a operačních systémech Každá platforma je jiná. Intune poskytuje dostupná nastavení speciálně pro každou podporovanou platformu.
  • Zobrazit sestavy o tom, které aplikace se používají, a sledovat jejich využití. Kromě toho Intune poskytuje analýzu koncových bodů, která vám pomůže vyhodnotit a vyřešit problémy.
  • Selektivní vymazání provedete odebráním jenom dat organizace z aplikací.
  • Zajistěte, aby osobní údaje byly uchovávány odděleně od spravovaných dat. Produktivita koncových uživatelů není ovlivněna a zásady se nevztahují při používání aplikace v osobním kontextu. Zásady se používají jenom v pracovním kontextu, což vám dává možnost chránit firemní data, aniž byste se museli dotýkat osobních dat.

Přidání aplikací do Intune

Prvním krokem při poskytování aplikací vaší organizaci je přidání aplikací do Intune před jejich přiřazením k zařízením nebo uživatelům z Intune. I když můžete pracovat s mnoha různými typy aplikací, základní postupy jsou stejné. S Intune můžete přidávat různé typy aplikací, včetně aplikací psaných interně (obchodní), aplikací ze Storu, integrovaných aplikací a aplikací na webu.

Uživatelé aplikací a zařízení ve vaší společnosti (pracovníci vaší společnosti) můžou mít několik požadavků na aplikace. Než přidáte aplikace do Intune a zpřístupníte je vašim pracovníkům, může být užitečné vyhodnotit a porozumět několika základům aplikací. Existují různé typy aplikací, které jsou k dispozici pro Intune. Musíte určit požadavky na aplikace, které uživatelé ve vaší společnosti potřebují, například platformy a možnosti, které vaši pracovníci potřebují. Musíte určit, jestli chcete používat Intune ke správě zařízení (včetně aplikací), nebo jestli Intune spravovat aplikace bez správy zařízení. Musíte také určit aplikace a možnosti, které vaši pracovníci potřebují, a kdo je potřebuje. Informace v tomto článku vám pomůžou začít.

Před přidáním aplikací do Intune zvažte kontrolu typů aplikací podpory a posouzení požadavků na aplikace. Další informace najdete v tématu Přidání aplikací do Microsoft Intune.

Tip

Pokud chcete lépe porozumět typům aplikací, nákupům aplikací a licencím aplikací pro Intune, podívejte se na řešení Nákup a přidání aplikací pro Microsoft Intune. Tento obsah řešení obsahuje také doporučené kroky pro posouzení požadavků na aplikace, vytváření kategorií aplikací, nákupy aplikací a přidávání aplikací. Tento obsah řešení navíc vysvětluje, jak spravovat aplikace a licence aplikací.

Přidání aplikací Microsoftu

Intune zahrnuje řadu aplikací microsoftu založených na licenci microsoftu, kterou používáte pro Intune. Další informace o různých dostupných podnikových licencích Microsoftu, které zahrnují Intune, najdete v tématu Microsoft Intune licencování. Pokud chcete porovnat různé aplikace Microsoftu, které jsou dostupné s Microsoftem 365, podívejte se na možnosti licencování dostupné v Microsoftu 365. Pokud chcete zobrazit všechny možnosti jednotlivých plánů (včetně dostupných aplikací Microsoftu), stáhněte si úplnou tabulku porovnání předplatného Microsoftu a vyhledejte plány, které zahrnují Microsoft Intune.

Jedním z dostupných typů aplikací jsou aplikace Microsoft 365 pro Windows 10 zařízení. Výběrem tohoto typu aplikace v Intune můžete přiřadit a nainstalovat aplikace Microsoft 365 do zařízení, která spravujete a která spouští Windows 10. Můžete také přiřadit a nainstalovat aplikace pro Microsoft Project Online desktopového klienta a Microsoft Visio Online Plan 2, pokud pro ně vlastníte licence. Dostupné aplikace Microsoft 365 se zobrazují jako jedna položka v seznamu aplikací v konzole Intune v rámci Azure.

Do Intune přidejte následující základní aplikace Microsoftu:

  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Word

Další informace o přidávání aplikací Microsoftu do Intune najdete v následujících tématech:

Přidání aplikací pro Store (volitelné)

Mnoho standardních aplikací pro Store zobrazených v konzole Intune můžete volně přidávat a nasazovat členy vaší organizace. Kromě toho si můžete koupit aplikace pro Store pro každou platformu zařízení.

Následující tabulka obsahuje různé kategorie dostupné pro aplikace pro Store:

Kategorie aplikací pro Store Popis
Bezplatné aplikace pro Store Tyto aplikace můžete volně přidávat do Intune a nasazovat je členům vaší organizace. Použití těchto aplikací nevyžaduje žádné další náklady.
Zakoupené aplikace Před přidáním do Intune musíte koupit licence pro tyto aplikace. Každá platforma zařízení (Windows, iOS, Android) nabízí standardní způsob nákupu licencí pro tyto aplikace. Intune poskytuje metody pro správu licence aplikace pro každého koncového uživatele.
Aplikace vyžadující účet, předplatné nebo licenci od vývojáře aplikace Tyto aplikace můžete volně přidávat a nasazovat z Intune, ale aplikace může vyžadovat účet, předplatné nebo licenci od dodavatele aplikace. Seznam aplikací, které podporují funkce správy Intune, najdete v tématech Aplikace pro produktivitu partnerů a Partnerské aplikace UEM. POZNÁMKA: U aplikací, které můžou vyžadovat účet, předplatné nebo licenci, musíte kontaktovat dodavatele aplikace a požádat o konkrétní podrobnosti o aplikaci.
Aplikace, které jsou součástí vaší licence Intune Licence, kterou používáte s Microsoft Intune, můžou obsahovat požadované licence aplikací.

Poznámka

Kromě nákupu licencí na aplikace můžete vytvářet zásady Intune, které koncovým uživatelům umožňují přidávat do svých zařízení osobní účty a kupovat nespravované aplikace.

Další informace o přidávání aplikací Microsoftu do Intune najdete v následujících tématech:

Konfigurace aplikací pomocí Intune

Zásady konfigurace aplikací vám můžou pomoct eliminovat problémy s nastavením aplikace tím, že pro zásady můžou vybrat nastavení konfigurace. Tato zásada se pak přiřadí koncovým uživatelům před spuštěním konkrétní aplikace. Nastavení se pak zadají automaticky při konfiguraci aplikace na zařízení koncového uživatele. Koncoví uživatelé nemusí nic dělat. Nastavení konfigurace jsou pro každou aplikaci jedinečná.

Zásady konfigurace aplikací můžete vytvářet a používat k poskytování nastavení konfigurace pro aplikace pro iOS/iPadOS i Android. Tato nastavení konfigurace umožňují přizpůsobit aplikaci pomocí konfigurace a správy aplikací. Nastavení zásad konfigurace se používá při kontrole těchto nastavení aplikací, obvykle při prvním spuštění aplikace.

Nastavení konfigurace aplikace může například vyžadovat zadání některé z následujících podrobností:

  • Vlastní číslo portu
  • Nastavení jazyka
  • Nastavení zabezpečení
  • Nastavení brandingu, jako je logo společnosti

Pokud by koncoví uživatelé místo toho tato nastavení zadali, mohli by to udělat nesprávně. Zásady konfigurace aplikací můžou pomoct zajistit konzistenci v rámci podniku a omezit volání helpdesku od koncových uživatelů, kteří se sami pokoušejí nakonfigurovat nastavení. Používáním zásad konfigurace aplikací může být přijetí nových aplikací jednodušší a rychlejší.

O dostupných parametrech konfigurace nakonec rozhodují vývojáři aplikace. Měli byste si projít dokumentaci od dodavatele aplikace, abyste zjistili, jestli aplikace podporuje konfiguraci a jaké konfigurace jsou dostupné. U některých aplikací Intune naplní dostupná nastavení konfigurace.

Další informace o konfiguraci aplikací najdete v následujících tématech:

Konfigurace aplikace Microsoft Outlook

Aplikace Outlook pro iOS a Android je navržená tak, aby uživatelům ve vaší organizaci umožňovala dělat na mobilních zařízeních více díky propojení e-mailů, kalendáře, kontaktů a dalších souborů.

Bohatší a nejširší možnosti ochrany dat Microsoftu 365 jsou k dispozici, když si předplatíte sadu Enterprise Mobility + Security, která zahrnuje funkce Microsoft Intune a Microsoft Entra ID P1 nebo P2, jako je podmíněný přístup. Minimálně budete chtít nasadit zásadu podmíněného přístupu, která umožňuje připojení k Outlooku pro iOS a Android z mobilních zařízení, a zásady ochrany Intune aplikací, které zajišťují ochranu prostředí pro spolupráci.

Další informace o konfiguraci aplikace Microsoft Outlook najdete v následujícím tématu:

Konfigurace Microsoft Edge

Edge pro iOS a Android je navržený tak, aby uživatelům umožňoval procházení webu a podporuje více identit. Uživatelé můžou přidat pracovní i osobní účet pro procházení webu. Mezi těmito dvěma identitami je úplné oddělení, které je podobné tomu, co se nabízí v jiných mobilních aplikacích Microsoftu.

Další informace o konfiguraci aplikace Microsoft Edge najdete v následujícím tématu:

Konfigurace sítě VPN

Virtuální privátní sítě (VPN) umožňují uživatelům vzdálený přístup k prostředkům organizace, včetně z domova, hotelů, kaváren a dalších. V Microsoft Intune můžete nakonfigurovat klientské aplikace VPN na zařízeních s Androidem Enterprise pomocí zásad konfigurace aplikací. Pak nasaďte tuto zásadu s konfigurací sítě VPN do zařízení ve vaší organizaci.

Můžete také vytvořit zásady VPN, které používají konkrétní aplikace. Tato funkce se nazývá VPN pro jednotlivé aplikace. Když je aplikace aktivní, může se připojit k síti VPN a přistupovat k prostředkům prostřednictvím sítě VPN. Pokud aplikace není aktivní, síť VPN se nepoužívá.

Další informace o konfiguraci e-mailu najdete v následujícím tématu:

Ochrana aplikací pomocí Intune

zásady Ochrana aplikací (APP) jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci. Zásadou může být pravidlo, které se vynucuje, když se uživatel pokusí získat přístup k podnikovým datům nebo je přesunout, nebo sada akcí, které jsou zakázané nebo monitorované, když se uživatel nachází v aplikaci. Spravovaná aplikace je aplikace, která má použité zásady ochrany aplikací a je možné ji spravovat pomocí Intune.

Zásady ochrany aplikací správy mobilních aplikací (MAM) umožňují spravovat a chránit data vaší organizace v rámci aplikace. Mnoho kancelářských aplikací, jako jsou aplikace Microsoft Office, je možné spravovat pomocí Intune MAM. Podívejte se na oficiální seznam Microsoft Intune chráněných aplikací dostupných pro veřejné použití.

Jedním z hlavních způsobů, jak Intune zajistit zabezpečení mobilních aplikací, jsou zásady. Ochrana aplikací zásady umožňují provádět následující akce:

  • Pomocí Microsoft Entra identity izolujte data organizace od osobních dat. Osobní údaje jsou tedy izolované od organizačního povědomí o IT. Data, ke které se přistupuje pomocí přihlašovacích údajů organizace, mají dodatečnou ochranu zabezpečení.
  • Pomozte zabezpečit přístup na osobních zařízeních omezením akcí, které můžou uživatelé provádět s daty organizace, jako je kopírování a vkládání, ukládání a zobrazení.
  • Vytvořte a nasaďte na zařízení, která jsou zaregistrovaná v Intune, zaregistrovaná v jiné službě správy mobilních zařízení (MDM) nebo nejsou zaregistrovaná v žádné službě MDM.

Poznámka

Ochrana aplikací zásady jsou navržené tak, aby se použily jednotně ve skupině aplikací, jako je použití zásad ve všech mobilních aplikacích Office.

Organizace můžou současně používat zásady ochrany aplikací s MDM i bez mdm. Představte si například zaměstnance, který používá tablet vydaný společností a vlastní osobní telefon. Firemní tablet je zaregistrovaný v MDM a chráněný zásadami ochrany aplikací, zatímco jeho osobní telefon je chráněný jenom zásadami ochrany aplikací.

Další informace o ochraně aplikací v Intune najdete v následujících tématech:

Úrovně ochrany aplikací

Vzhledem k tomu, že více organizací implementuje strategie pro přístup k pracovním nebo školním datům pro mobilní zařízení, je ochrana před únikem dat na prvním místě. Intune řešení pro správu mobilních aplikací pro ochranu před únikem dat jsou zásady ochrany aplikací (APP). APP jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci bez ohledu na to, jestli je zařízení zaregistrované.

Při konfiguraci zásad ochrany aplikací umožňují různá dostupná nastavení a možnosti organizacím přizpůsobit ochranu svým konkrétním potřebám. Díky této flexibilitě nemusí být zřejmé, jaká permutace nastavení zásad se vyžaduje k implementaci kompletního scénáře. Společnost Microsoft zavedla novou taxonomii pro konfigurace zabezpečení v Windows 10 a Intune využívá podobnou taxonomii pro svou architekturu ochrany dat aplikací pro správu mobilních aplikací, aby organizacím pomohla určit prioritu posílení zabezpečení koncových bodů klientů.

Architektura konfigurace ochrany dat aplikace je uspořádaná do tří různých scénářů konfigurace:

  • Základní ochrana podnikových dat úrovně 1 – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci ochrany dat pro podnikové zařízení.

  • Rozšířená ochrana podnikových dat úrovně 2 – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace je použitelná pro většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům. Některé ovládací prvky můžou mít vliv na uživatelské prostředí.

  • Vysoká ochrana dat na úrovni 3 – Microsoft doporučuje tuto konfiguraci pro zařízení, která provozuje organizace s větším nebo sofistikovanějším týmem zabezpečení, nebo pro konkrétní uživatele nebo skupiny, kteří jsou vystaveni jedinečně vysokému riziku (uživatelům, kteří zpracovávají vysoce citlivá data, když neoprávněné zpřístupnění způsobí organizaci značné podstatné ztráty). Organizace, která bude pravděpodobně cílem dobře financovaných a sofistikovaných protivníků, by měla usilovat o tuto konfiguraci.

Základní ochrana aplikací (úroveň 1)

Základní ochrana aplikací v Intune (úroveň 1) je minimální konfigurace ochrany dat pro podnikové mobilní zařízení. Tato konfigurace nahrazuje potřebu základních zásad Exchange Online přístupu k zařízením tím, že vyžaduje pin kód pro přístup k pracovním nebo školním datům, zašifruje data pracovního nebo školního účtu a poskytuje možnost selektivně vymazat školní nebo pracovní data. Na rozdíl od Exchange Online zásad přístupu zařízení se ale níže uvedená nastavení zásad ochrany aplikací vztahují na všechny aplikace vybrané v zásadách, čímž se zajistí ochrana přístupu k datům i mimo scénáře zasílání mobilních zpráv.

Zásady na úrovni 1 vynucují přiměřenou úroveň přístupu k datům a současně minimalizují dopad na uživatele a odrážejí výchozí nastavení ochrany dat a požadavků na přístup při vytváření zásad ochrany aplikací v rámci Microsoft Intune.

Konkrétní informace o ochraně dat, požadavcích na přístup a nastavení podmíněného spouštění pro základní ochranu aplikací najdete v následujícím tématu:

Vylepšená ochrana aplikací (úroveň 2)

Rozšířená ochrana aplikací v Intune (úroveň 2) je konfigurace ochrany dat doporučená jako standard pro zařízení, kde uživatelé přistupujte k citlivějším informacím. Tato zařízení jsou v dnešních podnicích přirozeným cílem. Tato doporučení nepředpokládá velký počet vysoce kvalifikovaných odborníků na zabezpečení, a proto by měla být přístupná většině podnikových organizací. Tato konfigurace rozšiřuje konfiguraci na úrovni 1 tím, že omezuje scénáře přenosu dat a vyžaduje minimální verzi operačního systému.

Nastavení zásad vynucovaná na úrovni 2 zahrnují všechna nastavení zásad doporučená pro úroveň 1, ale uvádí pouze níže uvedená nastavení, která byla přidána nebo změněna tak, aby implementovala více ovládacích prvků a sofistikovanější konfiguraci než úroveň 1. I když tato nastavení můžou mít o něco větší dopad na uživatele nebo aplikace, vynucují úroveň ochrany dat, která je pravděpodobnější pro uživatele s přístupem k citlivým informacím na mobilních zařízeních.

Informace o konkrétní ochraně dat a nastavení podmíněného spouštění pro rozšířenou ochranu aplikací najdete v následujícím tématu:

Vysoká ochrana aplikací (úroveň 3)

Vysoká ochrana aplikací pro Intune (úroveň 3) je konfigurace ochrany dat doporučená jako standard pro organizace s velkými a sofistikovanými organizacemi zabezpečení nebo pro konkrétní uživatele a skupiny, na které budou jedinečně cílit nežádoucí osoby. Tyto organizace jsou obvykle cílem dobře financovaných a sofistikovaných nepřátel a jako takové si zaslouží další popsaná omezení a kontroly. Tato konfigurace rozšiřuje konfiguraci na úrovni 2 omezením dalších scénářů přenosu dat, zvýšením složitosti konfigurace PIN kódu a přidáním detekce mobilních hrozeb.

Nastavení zásad vynucovaná na úrovni 3 zahrnují všechna nastavení zásad doporučená pro úroveň 2, ale uvádí pouze níže uvedená nastavení, která byla přidána nebo změněna tak, aby implementovala více ovládacích prvků a sofistikovanější konfiguraci než úroveň 2. Tato nastavení zásad mohou mít potenciálně významný dopad na uživatele nebo aplikace a vynucovat úroveň zabezpečení odpovídající rizikům, kterým čelí cílové organizace.

Konkrétní informace o ochraně dat, požadavcích na přístup a nastavení podmíněného spouštění pro základní ochranu aplikací najdete v následujícím tématu:

Ochrana Exchange Online e-mailu na spravovaných zařízeních

Pomocí zásad dodržování předpisů pro zařízení s podmíněným přístupem můžete zajistit, aby zařízení vaší organizace měli přístup k Exchange Online e-mailu jenom v případě, že jsou spravovaná Intune a používají schválenou e-mailovou aplikaci. Můžete vytvořit Intune zásadu dodržování předpisů zařízením a nastavit podmínky, které zařízení musí splňovat, aby bylo považováno za vyhovující. Můžete také vytvořit zásady Microsoft Entra podmíněného přístupu, které vyžadují, aby se zařízení zaregistrovala do Intune, dodržovala zásady Intune a používala schválenou mobilní aplikaci Outlook pro přístup k Exchange Online e-mailu.

Další informace o ochraně Exchange Online najdete v následujícím tématu:

Požadavky koncových uživatelů na používání zásad ochrany aplikací

Následující seznam obsahuje požadavky koncových uživatelů na používání zásad ochrany aplikací v aplikacích spravovaných službou Intune zahrnují následující:

  • Koncový uživatel musí mít účet Microsoft Entra. Informace o vytváření Intune uživatelů v Microsoft Entra ID najdete v tématu Přidání uživatelů a udělení oprávnění správce Intune.
  • Koncový uživatel musí mít k účtu Microsoft Entra přiřazenou licenci na Microsoft Intune. Informace o přiřazení licencí Intune koncovým uživatelům najdete v tématu Správa licencí Intune.
  • Koncový uživatel musí patřit do skupiny zabezpečení, na kterou cílí zásady ochrany aplikací. Stejné zásady ochrany aplikací musí cílit na konkrétní aplikaci, která se používá. Ochrana aplikací zásady je možné vytvořit a nasadit v Centru pro správu Microsoft Intune. Skupiny zabezpečení je aktuálně možné vytvářet v Centrum pro správu Microsoftu 365.
  • Koncový uživatel se musí k aplikaci přihlásit pomocí svého účtu Microsoft Entra.
  1. Nastavení Microsoft Intune
  2. 🡺 Přidání, konfigurace a ochrana aplikací (tady jste)
  3. Plánování zásad dodržování předpisů
  4. Konfigurace funkcí zařízení
  5. Zápis zařízení