Principy ochrany dat aplikací
Nastavení Ochrany dat v Intune určuje, jak uživatelé pracují s daty organizace a kontextem v aplikacích spravovaných podle zásad. Jako správce můžete řídit přesun dat do a z kontextu ochrany organizace. Kontext organizace jsou definovány dokumenty, službami a weby, ke které přistupuje zadaný účet organizace (Microsoft Entra ID) vlastněný koncovým uživatelem. Nastavení zásad ochrany aplikací pomáhá řídit externí data přijatá do kontextu organizace a data organizace odesílaná z kontextu organizace.
Poznámka
Termín aplikace spravované zásadami označuje aplikace, které jsou nakonfigurované pomocí zásad ochrany aplikací.
Ochrana dat je dostupná pro aplikace spravované zásadami, které podporují platformy iOS/iPadOS, Android a Windows . Každá platforma nabízí jinou sadu nastavení souvisejících s ochranou dat.
Nastavení ochrany dat v rámci zásad ochrany aplikací poskytuje pro každou platformu následující kategorie:
| Ochrana dat | Kategorie |
|---|---|
| iOS/iPadOS | Přenos dat, šifrování, funkce |
| Android | Přenos dat, šifrování, funkce |
| Windows | Přenos dat, funkce |
Přenos dat
Zásady ochrany aplikací pro přenos dat pro iOS/iPadOS
Část Přenos dat v nastavení ochrany dat pro konkrétní zásady ochrany aplikací pro iOS/iPadOS obsahuje nastavení specifická pro platformu iOS/iPadOS. Tato nastavení určují, jak koncoví uživatelé pracují s daty organizace v aplikacích pro iOS/iPadOS na zařízení. Můžete vybrat nastavení pro povolení nebo blokování záloh iTunes a iCloud, určení způsobu, jakým můžou aplikace odesílat a přijímat data organizace, omezit přesun dat mezi aplikacemi iniciovaný koncovým uživatelem a zabránit používání klávesnic třetích stran.
Zásady ochrany aplikací pro Přenos dat pro Android
Část Přenos dat v nastavení ochrany dat pro konkrétní zásady ochrany aplikací pro Android obsahuje nastavení, která jsou také specifická pro platformu Android. Kromě běžně nabízených nastavení ochrany aplikací poskytuje ochrana aplikací pro Android další nastavení, například povolení zachycení obrazovky a Google Assistanta.
Přenos dat pro zásady ochrany aplikací pro Windows
Část Přenos dat v nastavení ochrany dat pro konkrétní zásady ochrany aplikací pro Windows obsahuje nastavení specifická pro platformu Windows. Tato nastavení ochrany před únikem informací poskytují tři hlavní možnosti pro aplikace pro Android. Tato nastavení zahrnují způsob, jakým se data přijímají, odesílají a přesunují mezi aplikacemi.
Šifrování
Šifrování je dostupné pro iOS/iPadOS a Android jako součást zásad ochrany aplikací. Část Šifrování v části Přenos dat je také součástí nastavení Ochrany dat .
Důležité
Pokud chcete povolit šifrování pracovních nebo školních dat v aplikaci, musíte zvolit Možnost Vyžadovat .
Zásady ochrany aplikací pro iOS/iPadOS
Intune vynucuje šifrování zařízení s iOS/iPadOS, aby chránila data aplikací, když je zařízení zamknuté. Aplikace můžou volitelně šifrovat data aplikací pomocí šifrování sady Intune APP SDK. Intune APP SDK používá kryptografické metody pro iOS/iPadOS k použití 256bitového šifrování AES u dat aplikací.
Když toto nastavení povolíte, může být nutné, aby uživatel nastavil kód PIN a použil ho pro přístup ke svému zařízení. Pokud není k dispozici pin kód zařízení a je vyžadováno šifrování, zobrazí se uživateli výzva k nastavení PIN kódu se zprávou "Vaše organizace vyžaduje, abyste nejdřív povolili PIN kód zařízení pro přístup k této aplikaci.".
Poznámka
Přejděte do oficiální dokumentace společnosti Apple a podívejte se, které moduly šifrování iOS jsou kompatibilní se standardem FIPS 140-2 nebo čekající na dodržování předpisů FIPS 140-2.
Zásady ochrany aplikací pro Android
Intune k bezpečnému šifrování dat aplikací používá wolfSSL, 256bitové šifrovací schéma AES spolu se systémem Android Keystore. Data se při vstupně-výstupních úlohách souborů šifrují synchronně. Obsah v úložišti zařízení je vždy šifrovaný. Nové soubory budou šifrovány pomocí 256bitových klíčů. Stávající 128bitové šifrované soubory projdou pokusem o migraci na 256bitové klíče, ale tento proces není zaručen. Soubory šifrované pomocí 128bitových klíčů zůstanou čitelné.
Poznámka
Metoda šifrování je kompatibilní s standardem FIPS 140-2.
Funkčnost
Oddíl Funkce je posledním oddílem v nastavení ochrany dat zásad ochrany aplikací. Tato část obsahuje další nastavení ochrany dat.
Tip
Aplikace můžou poskytovat další možnosti konfigurace pomocí zásad konfigurace aplikací. Další informace najdete v dokumentaci vývojáře aplikace.
Funkce pro zásady ochrany aplikací pro iOS/iPadOS a Android
V případě zásad ochrany aplikací pro iOS/iPadOS a Android můžete aplikacím spravovaným podle zásad zablokovat ukládání dat do nativních aplikací zařízení (jako jsou Kontakty, Kalendář a widgety), nebo zabránit používání doplňků v aplikacích spravovaných zásadami. Pokud zvolíte Povolit, aplikace spravovaná zásadami může ukládat data do nativních aplikací nebo používat doplňky, pokud jsou tyto funkce podporované a povolené v rámci aplikace spravované zásadami.
Kromě toho můžete povolit nebo zablokovat tisk dat organizace, omezit přenos webového obsahu s jinými aplikacemi a určit, jak se budou zpracovávat oznámení o datech organizace. Pokud omezíte přenos webového obsahu, zvažte možnost povolit otevření webového obsahu jenom v prohlížeči Microsoft Edge.
Poznámka
Android a iOS/iPadOS nabízejí vizuálně odlišné možnosti při omezení přenosu webového obsahu pomocí zásad ochrany aplikací. Pro iOS/iPadOS můžete zadat konkrétní protokol pro jeden nespravovaný prohlížeč. V případě Androidu můžete zadat nespravované ID prohlížeče nebo nespravovaný název prohlížeče.
Uvidíte, že iOS/iPadOS nabízejí mírně odlišné funkce ochrany aplikací:
Android nabízí podobné funkce jako iOS/iPadOS:
Android navíc umožňuje vybrat připojení k síti VPN tunelu Microsoft při spuštění aplikace určené zásadami ochrany aplikací.
Funkce zásad ochrany aplikací pro Windows
U zásad ochrany aplikací pro Windows můžete povolit nebo zablokovat tisk dat organizace.
Důležité
Zásady ochrany aplikací pro Windows povolují jenom Microsoft Edge jako spravovanou aplikaci uvedenou v zásadách.