Zabezpečení a ochrana aplikací pomocí Microsoft Intune
Jakmile nastavíte a nasadíte funkce Intune, přidáte do Intune aplikace, které chcete spravovat, a nakonfigurujete aplikace, které v Intune spravujete, můžete zahájit proces vytváření zásad ochrany aplikací. zásady Ochrana aplikací (APP) jsou pravidla, která zajišťují, aby data vaší organizace zůstala v bezpečí a obsahovala je spravovaná aplikace. Tyto zásady vynucují, jak koncoví uživatelé přistupují k "podnikovým" datům a jak řídíte akce, které jsou zakázané nebo monitorované, když koncoví uživatelé aplikaci používají. Toto vynucování umožňuje řídit, jak aplikace na mobilních zařízeních ve vaší organizaci přistupují k datům a jak je sdílejí.
Obsah v tomto řešení vám pomůže pochopit různé aspekty ochrany aplikací pro každou z podporovaných platforem. Toto řešení vás navíc provede vytvořením zásad ochrany aplikací na základě našich doporučených nastavení základní, rozšířené a vysoké úrovně ochrany aplikací.
Spravované aplikace jsou aplikace, které jste uživatelům přiřadili prostřednictvím sjednoceného poskytovatele správy koncových bodů, jako je Intune. Spravované aplikace podporují zásady ochrany aplikací i zásady konfigurace aplikací. Tyto aplikace používají správu mobilních aplikací (MAM), kterou poskytuje sjednocený poskytovatel správy koncových bodů. MAM umožňuje organizacím spravovat a chránit data v rámci aplikace. Spravovaná aplikace v Intune je chráněná aplikace , která má použité zásady ochrany aplikací Intune a je přiřazená a spravovaná službou Intune. Spravovaná aplikace má buď integrovanou sadu Intune App SDK, nebo byla zabalena pomocí nástroje Intune Wrapping Tool, aby podporovala zásady ochrany aplikací (APP) nebo zásady konfigurace aplikací. Pomocí zásad MAM můžete nakonfigurovat a chránit aplikace na nespravovaných zařízeních, což jsou osobní zařízení koncového uživatele, která nejsou zaregistrovaná v MDM v Intune.
Tip
Informace o tom, kdy byste měli zvážit nasazení zásad MAM, najdete v tématu Průvodce migrací: Nastavení nebo přechod na Microsoft Intune.
Použití zásad ochrany aplikací poskytuje výhodu ochrany dat vaší organizace na úrovni aplikace. U koncových uživatelů není produktivita ovlivněna a zásady ochrany aplikací se nevztahují, když koncoví uživatelé používají aplikaci v osobním kontextu. Zásady ochrany aplikací byste měli používat v několika situacích. Pokud například koncoví uživatelé používají své osobní zařízení, můžete použít zásady ochrany aplikací k řízení přístupu k aplikaci pomocí KÓDU PIN. Možná budete chtít vynutit omezení sdílení dat, aby se data vaší organizace nesdíleli s nespravovanými aplikacemi. Můžete také chtít zabránit koncovým uživatelům v ukládání dat organizace do osobních umístění. Další informace najdete v tématu Výhody používání zásad Ochrana aplikací.
Důležité
Intune můžete použít k vynucení nulová důvěra (Zero Trust) strategie zabezpečení pro vaši organizaci. nulová důvěra (Zero Trust) je přístup, který se používá při návrhu a implementaci sady principů zabezpečení. Další informace najdete v tématu nulová důvěra (Zero Trust) s konfigurací Microsoft Intune a nulová důvěra (Zero Trust) identit a přístupu k zařízením.
Organizace můžou současně používat zásady ochrany aplikací s i bez mobilních Správa zařízení (MDM). Představte si například koncového uživatele (zaměstnance nebo člena organizace), který používá telefon vydaný společností i vlastní osobní tablet. Telefon vydaný organizací je zaregistrovaný v MDM a chráněný zásadami ochrany aplikací, zatímco osobní zařízení je chráněno jenom zásadami ochrany aplikací.
Podporované platformy
Při vytváření zásad ochrany aplikací v Intune se podporují tři primární platformy.
| Platforma | Popis |
|---|---|
| iOS/iPadOS | Zásady ochrany aplikací můžete použít u aplikací pro iOS/iPadOS, které byly vyvinuty pro podporu funkcí ochrany aplikací Intune. Ochranu aplikací můžete použít u skupin uživatelů, kteří se přihlašují k zařízením s iOS/iPadOS. Konkrétně můžete použít ochranu aplikací na základě ochrany dat, požadavků na přístup a nastavení podmíněného spouštění v rámci zásad ochrany aplikací pro iOS/iPadOS. Další informace najdete v tématu Nastavení zásad ochrany aplikací pro iOS v Microsoft Intune. |
| Android | Zásady ochrany aplikací můžete použít u aplikací pro Android, které byly vyvinuty pro podporu funkcí ochrany aplikací Intune. Ochranu aplikací můžete použít u skupin uživatelů, kteří se přihlašují k zařízením s Androidem. Konkrétně můžete použít ochranu aplikací na základě ochrany dat, požadavků na přístup a nastavení podmíněného spouštění v rámci zásad ochrany aplikací pro Android. Další informace najdete v tématu Nastavení zásad ochrany aplikací pro Android v Microsoft Intune. |
| Windows | V současné době můžete zásady ochrany aplikací použít na Microsoft Edge pro zařízení s Windows. Pomocí Prohlížeče Microsoft Edge můžete řídit, jak se bude přistupovat k datům vaší organizace. Ochranu aplikací můžete použít u skupin uživatelů, kteří se přihlašují k zařízením s Windows. Konkrétně můžete použít ochranu aplikací na základě nastavení ochrany dat a kontrol stavu v rámci zásad ochrany aplikací pro Windows. Nastavení ochrany dat vám umožňuje řídit, jak se data přesunují do a z kontextu organizace. Kontext organizace je definován dokumenty, službami a weby, ke které přistupuje zadaný účet organizace. Nastavení zásad ochrany aplikací můžete použít k řízení externích dat přijatých do kontextu organizace a dat organizace odesílaných z kontextu organizace. Tato nastavení zahrnují příjem a odesílání dat organizace. Můžete také implementovat ovládací prvky ochrany před únikem informací, jako jsou omezení vyjmutí, kopírování, vložení a uložení jako. Kromě toho můžete povolit nebo zablokovat tisk dat organizace. Další informace najdete v tématu Ochrana aplikací nastavení zásad pro Windows. |
Další informace o podporovaných platformách najdete v tématu Možnosti správy aplikací podle platformy.
Podporované aplikace
Pro platformy iOS/iPadOS a Android můžete zásady ochrany aplikací použít na libovolnou spravovanou aplikaci, která byla vyvinuta tak, aby podporovala možnosti ochrany aplikací Intune. Spravovaná aplikace má buď integrovanou sadu Intune App SDK, nebo je zabalená pomocí App Wrapping Tool Intune. Pro platformu Windows můžete povolit ochranu podnikových dat na osobních zařízeních s Windows pomocí Windows MAM. Windows MAM je místo, kde se zásady ochrany aplikací aplikují na Microsoft Edge pro Windows. Microsoft Edge a také většina aplikací Microsoftu je integrovaná tak, aby podporovala Intune pomocí sady Intune App SDK. Seznam aplikací, které zahrnují integraci sady SDK, najdete v tématu Microsoft Intune chráněné aplikace.
Požadavky
Než budete moct chránit aplikace pomocí Microsoft Intune, musíte splnit několik požadavků pro nastavení Intune a také porozumět klíčovým konfiguracím správy aplikací.
Poznámka
Pokud s Intune začínáte, začněte Microsoft Intune bezplatnou zkušební verzí. Intune si můžete zdarma vyzkoušet. Zkušební doba je 30 dní. Po dokončení procesu registrace budete mít nového tenanta, který můžete použít k vyhodnocení Intune. Tenant je vyhrazená instance Microsoft Entra ID (Microsoft Entra ID), kde je hostované vaše předplatné Intune. Potom můžete nakonfigurovat tenanta, který zahrnuje mnoho funkcí, které můžete použít k ochraně vaší organizace. Jedním z nich je přidání a konfigurace aplikací pro Intune.
Pokud jste ještě nenastavili Intune a nepřidali aplikace, které potřebujete ke správě a ochraně, postupujte takto:
- Nastavení a nasazení Intune
- Principy ochrany aplikací
- Principy typů aplikací
- Přidání aplikací do Intune
Důležité
Pokud chcete používat Microsoft Intune nad rámec bezplatné zkušební verze, budete muset získat licenci od Microsoftu. Další informace o licencích, které zahrnují Microsoft Intune, najdete v tématu Microsoft Intune licencování.
I když je mnoho aplikací, které můžete nasadit členům vaší organizace, bezplatných, některé aplikace můžou vyžadovat licenci, předplatné nebo účet, aby každý uživatel mohl aplikaci používat. Další informace o licencích aplikací najdete v tématu Vysvětlení licencí aplikací používaných v Intune.
Ochrana aplikací
Ochrana aplikací je možné použít u podporovaných spravovaných aplikací na podporovaných platformách zařízení, které jsou zaregistrované v Microsoft Intune, zaregistrované v řešení správy mobilních zařízení (MDM) jiného výrobce nebo nejsou zaregistrované v žádném řešení pro správu mobilních zařízení.
Při vytváření zásad ochrany aplikací zvolíte následující podrobnosti v následujícím pořadí:
- Platforma
- Aplikace, kterou chcete chránit
- Nastavení ochrany dat pro aplikaci
- Požadavky na přístup k aplikaci
- Nastavení podmíněného spuštění aplikace
Kromě výše uvedeného seznamu můžete také zvolit značky oboru a přiřazení aplikací.
Důležité
Aplikace Portál společnosti Intune se vyžaduje na zařízeních s Androidem, protože umožňuje uživatelům zařízení přijímat zásady ochrany aplikací jako kontroler zásad zařízení. Umožňuje uživatelům zařízení přijímat zásady ochrany aplikací. Další informace najdete v tématu Konfigurace aplikací Portál společnosti Intune, webu Portál společnosti a aplikace Intune aPřizpůsobení a konfigurace Portál společnosti.
Ochrana aplikací kategorií podle platformy
Pro každou podporovanou platformu jsou k dispozici různá nastavení ochrany aplikací. Je důležité si uvědomit, že platformy iOS/iPadOS a Android mají stejné kategorie ochrany aplikací. Systém Windows se ale liší. Platforma Windows chrání data organizace tím, že spravuje tok dat přes Microsoft Edge do umístění úložiště vaší organizace.
Tip
Informace o tom, kam zásady ochrany aplikací a dodržování předpisů zapadají do celkové architektury Intune, najdete v tématu Architektura vysoké úrovně pro Microsoft Intune.
Při vytváření zásad ochrany aplikací zvolíte platformu, aplikaci, na kterou chcete cílit, a také konkrétní nastavení z kategorií ochrany aplikací.
Jak zásady ochrany aplikací chrání data aplikací
Vaši koncoví uživatelé (členové vaší organizace) používají mobilní zařízení pro osobní i pracovní úkoly. I když chcete zajistit, aby koncoví uživatelé mohli být produktivní, chcete zabránit přesunu dat vaší organizace do míst, kde je nemůžete zabezpečit, a to jak v úmyslných, tak neúmyslných situacích. Budete také chtít chránit firemní data, ke kterým přistupujete ze zařízení, která nespravujete. Zásady ochrany aplikací Intune můžete používat nezávisle na jakémkoli řešení správy mobilních zařízení (MDM). Tato nezávislost pomáhá chránit firemní data s registrací zařízení do řešení pro správu zařízení nebo bez. Implementací zásad ochrany na úrovni aplikace můžete omezit přístup k prostředkům společnosti a zachovat data v rámci it oddělení.
Když se aplikace používají bez omezení, můžou se firemní a osobní údaje prolínnout. Firemní data můžou skončit v umístěních, jako je osobní úložiště, nebo se přenesou do aplikací mimo vaši oblast a vést ke ztrátě dat. Následující tabulka obsahuje podrobnosti o ochraně dat, zařízení a aplikací.
| Ochrana dat, zařízení a aplikací | Popis |
|---|---|
| Aplikace bez zásad ochrany aplikací | Když se aplikace používají bez omezení, můžou se firemní a osobní údaje prolínnout. Firemní data můžou skončit v umístěních, jako je osobní úložiště, nebo se přenesou do aplikací mimo vaši oblast a vést ke ztrátě dat. |
| Ochrana dat pomocí zásad ochrany aplikací | Pomocí zásad Ochrana aplikací můžete zabránit ukládání firemních dat do místního úložiště zařízení. Přesun dat můžete také omezit na jiné aplikace, které nejsou chráněné zásadami Ochrana aplikací. |
| Ochrana dat pomocí zásad ochrany aplikací na spravovaných zařízeních | Poskytuje správu a ochranu aplikací i zařízení. |
| Ochrana dat pomocí zásad ochrany aplikací pro zařízení bez registrace | zásady Ochrana aplikací můžou pomoct chránit firemní data na úrovni aplikace. Existují ale omezení související s nasazováním aplikací, zřizováním profilů certifikátů zařízení a zřizováním nastavení organizace zařízení. Těmto omezením se můžete vyhnout registrací a správou zařízení v Intune. |
Další informace najdete v tématu Jak zásady ochrany aplikací chrání data aplikací.
Co je v tomto řešení
Toto řešení vám pomůže pochopit ochranu dat aplikací v Microsoft Intune. Kromě toho toto řešení poskytuje doporučené kroky pro vytvoření zásad ochrany aplikací v Intune pro konkrétní aplikace a přiřazení těchto zásad členům vaší organizace. Po splnění výše uvedených požadavků můžete v Intune vytvořit zásady ochrany aplikací pro vaši organizaci. Používání zásad konfigurace a ochrany v rámci správy aplikací umožňuje členům vaší organizace bezpečně používat aplikace. Správou aplikací ve vaší organizaci pomáháte chránit a zabezpečit data vaší organizace.
Informace o ochraně aplikací v Intune najdete v následujících tématech:
- Principy ochrany dat aplikací
- Vysvětlení požadavků na přístup k ochraně aplikací
- Vysvětlení podmíněného spuštění ochrany aplikací
- Vysvětlení kontrol stavu ochrany aplikací
Pokud chcete při přidávání zásad ochrany aplikací v Intune postupovat podle doporučených nastavení, projděte si následující témata:
- Použití minimální ochrany dat
- Použití rozšířené ochrany dat
- Použití vysoké ochrany dat
- Principy doručování ochrany aplikací
- Ověření a monitorování ochrany aplikací
- Použití akcí ochrany aplikací
Po dokončení výše uvedených kroků můžete nasadit, spravovat a monitorovat spravované aplikace, které vaše organizace používá.