Scénář s asistencí – Zabezpečení mobilních aplikací Microsoft Office
Podle tohoto scénáře s asistencí na portálu Správa zařízení můžete povolit základní ochranu aplikací Intune na zařízeních s iOS/iPadOS a Androidem.
Ochrana aplikací, kterou povolíte, vynutí následující akce:
- Šifrovat pracovní soubory.
- Vyžadovat pin kód pro přístup k pracovním souborům.
- Vyžadujte resetování PIN kódu po pěti neúspěšných pokusech.
- Zablokujte zálohování pracovních souborů ve službách zálohování iTunes, iCloud nebo Android.
- Vyžadovat, aby se pracovní soubory ukládaly jenom na OneDrive nebo SharePoint.
- Zabraňte chráněným aplikacím v načítání pracovních souborů na zařízeních s jailbreakem nebo rootem.
- Pokud je zařízení offline po dobu 720 minut, zablokujte přístup k pracovním souborům.
- Pokud je zařízení offline po dobu 90 dnů, odeberte pracovní soubory.
Pozadí
Mobilní aplikace Office a Microsoft Edge pro mobilní zařízení podporují duální identitu. Duální identita umožňuje aplikacím spravovat pracovní soubory odděleně od osobních souborů.
Intune zásady ochrany aplikací pomáhají chránit vaše pracovní soubory na zařízeních zaregistrovaných v Intune. Zásady ochrany aplikací můžete použít také na zařízeních vlastněných zaměstnanci, která nejsou zaregistrovaná pro správu v Intune. I když vaše společnost zařízení nespravuje, musíte se ujistit, že pracovní soubory a prostředky jsou chráněné, i když vaše společnost zařízení nespravuje.
Pomocí zásad Ochrana aplikací můžete uživatelům zabránit v ukládání pracovních souborů do nechráněných umístění. Přesun dat můžete také omezit na jiné aplikace, které nejsou chráněné zásadami Ochrana aplikací. mezi Ochrana aplikací nastavení zásad patří:
- Zásady přemístění dat, jako jsou Ukládání kopií dat organizace a Omezení vyjmutí, kopírování a vložení
- Nastavení zásad přístupu, které vyžaduje jednoduchý PIN kód pro přístup, a blokování spouštění spravovaných aplikací na zařízeních s jailbreakem nebo rootem.
Podmíněný přístup na základě aplikace a správa klientských aplikací přidávají vrstvu zabezpečení tím, že zajistí, aby přístup k Exchangi Online a dalším službám Microsoftu 365 mohly přistupovat jenom klientské aplikace, které podporují zásady ochrany aplikací Intune.
Pokud povolíte přístup k Exchange Online jenom aplikaci Microsoft Outlook, můžete blokovat integrované poštovní aplikace v systémech iOS/iPadOS a Android. Kromě toho můžete zablokovat přístup k SharePointu Online aplikacím, které nemají použité zásady ochrany aplikací Intune.
V tomto příkladu správce použil zásady ochrany aplikací pro aplikaci Outlook následované pravidlem podmíněného přístupu, které aplikaci Outlook přidá do seznamu schválených aplikací, které se dají použít při přístupu k podnikovému e-mailu.
Požadavky
Budete potřebovat následující Intune oprávnění správce:
- Spravované aplikace ke čtení, vytváření, odstraňování a přiřazování oprávnění
- Zásady nastaví oprávnění ke čtení, vytváření a přiřazování.
- Oprávnění organizace ke čtení
Krok 1 – úvod
Pokud použijete scénář s asistencí Intune App Protection, zabráníte sdílení nebo úniku dat mimo vaši organizaci.
Přiřazení uživatelé iOS/iPadOS a Android musí zadat PIN kód při každém otevření aplikace Office. Po pěti neúspěšných pokusech o PIN kód si uživatelé musí pin resetovat. Pokud už pin kód zařízení vyžadujete, nebude to mít vliv na uživatele.
Co budete potřebovat, abyste mohli pokračovat
Zeptáme se vás na aplikace, které vaši uživatelé potřebují, a na to, co je potřeba pro přístup k nim. Ujistěte se, že máte po ruce následující informace:
- Seznam aplikací Office schválených pro podnikové použití
- Všechny požadavky na KÓD PIN pro spouštění schválených aplikací na nespravovaných zařízeních
Krok 2 – Základy
V tomto kroku musíte zadat předponu a popis nové zásady Ochrana aplikací. Po přidání předpony se aktualizují podrobnosti související s prostředky, které vytvoří scénář s asistencí. Tyto podrobnosti vám usnadní pozdější vyhledání zásad, pokud potřebujete změnit přiřazení a konfiguraci.
Tip
Zvažte, že si poznamenejte prostředky, které se vytvoří, abyste na ně mohli později odkazovat.
Krok 3 – Aplikace
Abychom vám pomohli začít, tento scénář s asistencí předem vybere následující mobilní aplikace pro ochranu na zařízeních s iOS/iPadOS a Androidem:
- Microsoft Excel
- Microsoft Word
- Microsoft Teams
- Microsoft Edge
- Microsoft PowerPoint
- Microsoft Outlook
- Microsoft OneDrive
Tento scénář s asistencí také nakonfiguruje tyto aplikace tak, aby otevíraly webové odkazy v Microsoft Edgi, aby se zajistilo, že se pracovní weby otevřou v chráněném prohlížeči.
Upravte seznam aplikací spravovaných zásadami, které chcete chránit. Přidejte nebo odeberte aplikace z tohoto seznamu.
Po výběru aplikací klikněte na Další.
Krok 4 – konfigurace
V tomto kroku musíte nakonfigurovat požadavky na přístup k podnikovým souborům a e-mailům v těchto aplikacích a jejich sdílení. Ve výchozím nastavení můžou uživatelé ukládat data do účtů OneDrive a SharePoint vaší organizace.
Při použití nastavení Rozšířené ochrany dat uvedené výše se použijí následující nastavení.
Nastavení | Popis | Hodnota |
---|---|---|
Časový limit (minuty nečinnosti) | Zadejte čas v minutách, po jehož uplynutí bude použití biometrického kódu přepsáno přístupovým kódem nebo číselným (podle konfigurace) PIN kódu. Tato hodnota časového limitu by měla být větší než hodnota zadaná v části Znovu zkontrolovat požadavky na přístup po (minuty nečinnosti). Výchozí hodnota: 30 | 720 |
Krok 5 – Přiřazení
V tomto kroku můžete zvolit skupiny uživatelů, které chcete zahrnout, abyste měli jistotu, že budou mít přístup k vašim podnikovým datům. Ochrana aplikací se přiřazuje uživatelům, a ne zařízením, takže vaše podniková data budou zabezpečená bez ohledu na použité zařízení a stav registrace.
Uživatelé bez přiřazených zásad ochrany aplikací a nastavení podmíněného přístupu budou moct ukládat data ze svého firemního profilu do osobních aplikací a nespravovaného místního úložiště na svých mobilních zařízeních. Mohou se také připojit k podnikovým datovým službám, jako je Microsoft Exchange, pomocí osobních aplikací.
Krok 6 – kontrola a vytvoření
Poslední krok umožňuje zkontrolovat souhrn nastavení, která jste nakonfigurovali. Po kontrole možností klikněte na Vytvořit a dokončete scénář s asistencí. Po dokončení scénáře s asistencí se zobrazí tabulka prostředků. Tyto prostředky můžete později upravit, ale jakmile souhrnné zobrazení opustíte, tabulka se neuloží.
Důležité
Po dokončení scénáře s asistencí se zobrazí souhrn. Prostředky uvedené v souhrnu můžete později upravit, ale tabulka zobrazující tyto prostředky se neuloží.
Další kroky
- Zvyšte zabezpečení pracovních souborů tím, že uživatelům přiřadíte zásady podmíněného přístupu založené na aplikacích, které chrání cloudové služby před odesíláním pracovních souborů do nechráněných aplikací. Další informace najdete v tématu Nastavení zásad podmíněného přístupu na základě aplikací pomocí Intune.