Krok 2. Použití rozšířené ochrany dat
Úroveň 1 je minimální konfigurace ochrany dat pro podnikové mobilní zařízení. Tato konfigurace nahrazuje potřebu základních zásad Exchange Online přístupu k zařízením tím, že vyžaduje pin kód pro přístup k pracovním nebo školním datům, zašifruje data pracovního nebo školního účtu a poskytuje možnost selektivně vymazat školní nebo pracovní data. Na rozdíl od Exchange Online zásad přístupu zařízení se ale níže uvedená nastavení zásad ochrany aplikací vztahují na všechny aplikace vybrané v zásadách, čímž se zajistí ochrana přístupu k datům i mimo scénáře zasílání mobilních zpráv.
Zásady na úrovni 1 vynucují přiměřenou úroveň přístupu k datům a současně minimalizují dopad na uživatele a odrážejí výchozí nastavení ochrany dat a požadavků na přístup při vytváření zásad ochrany aplikací v rámci Microsoft Intune.
Doporučená nastavení ochrany aplikací
Při vytváření a použití ochrany aplikací Intune pro rozšířenou ochranu dat úrovně 2 pro podniky použijte následující doporučená nastavení ochrany aplikací.
Rozšířená ochrana dat úrovně 2 pro podniky
Úroveň 2 je konfigurace ochrany dat doporučená jako standard pro zařízení, kde uživatelé přistupujte k citlivějším informacím. Tato zařízení jsou v dnešních podnicích přirozeným cílem. Tato doporučení nepředpokládá velký počet vysoce kvalifikovaných odborníků na zabezpečení, a proto by měla být přístupná většině podnikových organizací. Tato konfigurace rozšiřuje konfiguraci na úrovni 1 tím, že omezuje scénáře přenosu dat a vyžaduje minimální verzi operačního systému.
Důležité
Nastavení zásad vynucená na úrovni 2 zahrnují všechna nastavení zásad doporučená pro úroveň 1. Úroveň 2 ale obsahuje jenom ta nastavení, která byla přidána nebo změněna, aby implementovala více ovládacích prvků a sofistikovanější konfiguraci než úroveň 1. I když tato nastavení můžou mít o něco větší dopad na uživatele nebo aplikace, vynucují úroveň ochrany dat, která je pravděpodobnější pro uživatele s přístupem k citlivým informacím na mobilních zařízeních.
Ochrana dat
| Nastavení | Popis nastavení | Hodnota | Platforma | Poznámky |
|---|---|---|---|---|
| Přenos dat | Zálohovat data organizace do... | Blokování | iOS/iPadOS, Android | |
| Přenos dat | Odesílání dat organizace do jiných aplikací | Aplikace spravované zásadami | iOS/iPadOS, Android | V iOS/iPadOS můžou správci nakonfigurovat tuto hodnotu tak, aby byla "Aplikace spravované zásadami", "Aplikace spravované podle zásad se sdílením operačního systému" nebo "Aplikace spravované podle zásad s filtrováním open-in/share". Aplikace spravované zásadami se sdílením operačního systému jsou k dispozici, když je zařízení zaregistrované také v Intune. Toto nastavení umožňuje přenos dat do jiných aplikací spravovaných zásadami a přenosy souborů do jiných aplikací spravovaných Intune. Aplikace spravované podle zásad s filtrováním Open-In/Share filtrují dialogová okna Otevřít v nebo Sdílet operačního systému tak, aby zobrazovaly jenom aplikace spravované zásadami. Další informace najdete v tématu Nastavení zásad ochrany aplikací pro iOS. |
| Přenos dat | Odeslání nebo data do | Žádné cíle | Windows | |
| Přenos dat | Příjem dat z | Žádné zdroje | Windows | |
| Přenos dat | Vyberte aplikace, které chcete vyloučit. | Výchozí / skype; nastavení aplikace; calshow; itms; itmss; itms-apps; itms-appss; itms-services; | iOS/iPadOS | |
| Přenos dat | Uložení kopií dat organizace | Blokování | iOS/iPadOS, Android | |
| Přenos dat | Povolit uživatelům ukládat kopie do vybraných služeb | OneDrive pro firmy, SharePoint Online, Knihovna fotek | iOS/iPadOS, Android | |
| Přenos dat | Přenos telekomunikačních dat do | Libovolná aplikace pro vytáčení | iOS/iPadOS, Android | |
| Přenos dat | Omezení vyjmutí, kopírování a vkládání mezi aplikacemi | Aplikace spravované podle zásad s vložením | iOS/iPadOS, Android | |
| Přenos dat | Povolit vyjmutí, kopírování a vložení pro | Žádný cíl ani zdroj | Windows | |
| Přenos dat | Snímek obrazovky a Google Assistant | Blokování | Android | |
| Funkce | Omezení přenosu webového obsahu s jinými aplikacemi | Microsoft Edge | iOS/iPadOS, Android | |
| Funkce | Oznámení o datech organizace | Blokovat data organizace | iOS/iPadOS, Android | Seznam aplikací, které toto nastavení podporují, najdete v tématu Nastavení zásad ochrany aplikací pro iOS a Nastavení zásad ochrany aplikací pro Android. |
Podmíněné spuštění
| Nastavení | Popis nastavení | Hodnota / akce | Platforma | Poznámky |
|---|---|---|---|---|
| Podmínky aplikace | Zakázaný účet | Není k dispozici / Blokovat přístup | iOS/iPadOS, Android, Windows | |
| Podmínky zařízení | Minimální verze operačního systému |
Formát: Major.Minor.Build Příklad: 14.8 / Blokovat přístup |
iOS/iPadOS | Microsoft doporučuje nakonfigurovat minimální hlavní verzi iOS tak, aby odpovídala podporovaným verzím iOS pro aplikace Microsoftu. Aplikace Microsoftu podporují přístup N-1, kde N je aktuální hlavní verze iOS. V případě hodnot podverze a buildů microsoft doporučuje zajistit, aby zařízení byla aktuální s příslušnými aktualizacemi zabezpečení. Nejnovější doporučení společnosti Apple najdete v tématu Aktualizace zabezpečení Společnosti Apple . |
| Podmínky zařízení | Minimální verze operačního systému |
Formát: Major.Minor Příklad: 9.0 / Blokovat přístup |
Android | Microsoft doporučuje nakonfigurovat minimální hlavní verzi Androidu tak, aby odpovídala podporovaným verzím Androidu pro aplikace Microsoftu. Výrobce OEM a zařízení, která splňují doporučené požadavky androidu Enterprise, musí podporovat aktuální vydání expedice a upgrade o jeden dopis. V současné době Android doporučuje android 9.0 a novější pro pracovníky znalostí. Nejnovější doporučení pro Android najdete v tématu Doporučené požadavky na Android Enterprise . |
| Podmínky zařízení | Minimální verze operačního systému |
Formát: Sestavení Příklad: 10.0.22621.2506 / Blokování přístupu |
Windows | Microsoft doporučuje nakonfigurovat minimální build Windows tak, aby odpovídal podporovaným verzím Windows pro aplikace Microsoft. V současné době Microsoft doporučuje následující:
|
| Podmínky zařízení | Minimální verze opravy |
Formát: RRRR-MM-DD Příklad: 2020-01-01 / Blokovat přístup |
Android | Zařízení s Androidem můžou dostávat měsíční opravy zabezpečení, ale vydání závisí na OEM nebo operátorech. Organizace by měly před implementací tohoto nastavení zajistit, aby nasazená zařízení s Androidem dostávala aktualizace zabezpečení. Nejnovější vydání oprav najdete v bulletinech zabezpečení pro Android . |
| Podmínky zařízení | Požadovaný typ vyhodnocení SafetyNet | Klíč s hardwarovým zálohováním | Android | Ověření identity na základě hardwaru vylepšuje stávající kontrolu integrity služby Google Play tím, že používá nový typ vyhodnocení s názvem Hardware Backed a poskytuje robustnější detekci kořenového adresáře v reakci na novější typy nástrojů a metod rootingu, které nemusí být vždy spolehlivě detekovány řešením výhradně pro software. Jak už název napovídá, ověřování pomocí hardwaru používá hardwarovou součást, která se dodává se zařízeními nainstalovanými s Androidem 8.1 a novějším. Zařízení, která byla upgradována ze starší verze Androidu na Android 8.1, pravděpodobně nebudou mít hardwarové komponenty potřebné pro ověření identity pomocí hardwaru. I když by toto nastavení mělo být široce podporováno od zařízení, která se dodávají s Androidem 8.1, Microsoft důrazně doporučuje, aby se zařízení testovala jednotlivě, než toto nastavení zásad povolíte obecně. |
| Podmínky zařízení | Vyžadovat zámek zařízení | Střední/blokový přístup | Android | Toto nastavení zajišťuje, aby zařízení s Androidem měla heslo, které splňuje minimální požadavky na heslo. |
| Podmínky zařízení | Ověření identity zařízení Samsung Knox | Blokovat přístup | Android | Microsoft doporučuje nakonfigurovat nastavení ověření identity zařízení Samsung Knox na Blokovat přístup , aby se zajistilo, že uživatelský účet bude zablokován přístup, pokud zařízení nesplňuje hardwarové ověření stavu zařízení Knox společnosti Samsung. Toto nastavení ověří, že všechny odpovědi klienta MAM Intune službě Intune byly odeslány ze zařízení, které je v pořádku. Toto nastavení platí pro všechna cílová zařízení. Pokud chcete toto nastavení použít jenom u zařízení Samsung, můžete použít filtry přiřazení Spravované aplikace. Další informace o filtrech přiřazení najdete v tématu Použití filtrů při přiřazování aplikací, zásad a profilů v Microsoft Intune. |
| Podmínky aplikace | Období odkladu offline | 30 / Vymazání dat (dny) | iOS/iPadOS, Android, Windows |
Poznámka
Nastavení podmíněného spuštění Windows jsou označená jako Kontroly stavu.
Další krok
Pokračujte krokem 3 a použijte vysokou ochranu dat v Microsoft Intune.