Krok 3. Použití vysoké ochrany dat
Doporučená nastavení ochrany aplikací
Při vytváření a použití Intune ochrany aplikací pro vysokou ochranu dat úrovně 3 použijte následující doporučená nastavení ochrany aplikací.
Úroveň 3 – vysoká ochrana podnikových dat
Úroveň 3 je konfigurace ochrany dat doporučená jako standard pro organizace s velkými a sofistikovanými organizacemi zabezpečení nebo pro konkrétní uživatele a skupiny, na které budou jedinečně cílit nežádoucí osoby. Tyto organizace jsou obvykle cílem dobře financovaných a sofistikovaných nepřátel a jako takové si zaslouží další popsaná omezení a kontroly. Tato konfigurace rozšiřuje konfiguraci na úrovni 2 omezením dalších scénářů přenosu dat, zvýšením složitosti konfigurace PIN kódu a přidáním detekce mobilních hrozeb.
Důležité
Nastavení zásad vynucovaná na úrovni 3 zahrnují všechna nastavení zásad doporučená pro úroveň 2, ale uvádí pouze níže uvedená nastavení, která byla přidána nebo změněna tak, aby implementovala více ovládacích prvků a sofistikovanější konfiguraci než úroveň 2. Tato nastavení zásad mohou mít potenciálně významný dopad na uživatele nebo aplikace a vynucovat úroveň zabezpečení odpovídající rizikům, kterým čelí cílové organizace.
Ochrana dat
| Nastavení | Popis nastavení | Hodnota | Platforma | Poznámky |
|---|---|---|---|---|
| Přenos dat | Přenos telekomunikačních dat do | Libovolná aplikace vytáčení spravované zásadami | Android | Správci můžou toto nastavení také nakonfigurovat tak, aby používala aplikaci vytáčení, která nepodporuje zásady ochrany aplikací, a to tak, že vyberou konkrétní aplikaci vytáčení a zadají hodnoty ID balíčku aplikace pro vytáčení a Název aplikace vytáčení . |
| Přenos dat | Přenos telekomunikačních dat do | Konkrétní aplikace vytáčení | iOS/iPadOS | |
| Přenos dat | Schéma adres URL aplikace dialeru | replace_with_dialer_app_url_scheme | iOS/iPadOS | V systému iOS/iPadOS musí být tato hodnota nahrazena schématem adres URL pro vlastní aplikaci vytáčení, která se používá. Pokud schéma adresy URL není známé, požádejte o další informace vývojáře aplikace. Další informace o schématech adres URL najdete v tématu Definování vlastního schématu adres URL pro vaši aplikaci. |
| Přenos dat | Příjem dat z jiných aplikací | Aplikace spravované zásadami | iOS/iPadOS, Android | |
| Přenos dat | Otevření dat v dokumentech organizace | Blokování | iOS/iPadOS, Android | |
| Přenos dat | Povolit uživatelům otevírat data z vybraných služeb | OneDrive pro firmy, SharePoint, Fotoaparát, Knihovna fotek | iOS/iPadOS, Android | Související informace najdete v tématu Nastavení zásad ochrany aplikací pro Android a Nastavení zásad ochrany aplikací pro iOS. |
| Přenos dat | Klávesnice třetích stran | Blokování | iOS/iPadOS | V iOS/iPadOS to blokuje fungování všech klávesnic třetích stran v rámci aplikace. |
| Přenos dat | Schválené klávesnice | Vyžadovat | Android | |
| Přenos dat | Výběr klávesnic ke schválení | přidání nebo odebrání klávesnic | Android | U Androidu musí být klávesnice vybrané, aby se mohly používat na základě nasazených zařízení s Androidem. |
| Funkce | Tisk dat organizace | Blokování | iOS/iPadOS, Android, Windows |
Požadavky na přístup
| Nastavení | Hodnota | Platforma |
|---|---|---|
| Jednoduchý PIN kód | Blokování | iOS/iPadOS, Android |
| Vyberte Minimální délka PIN kódu. | 6 | iOS/iPadOS, Android |
| Resetování PIN kódu po počtu dnů | Ano | iOS/iPadOS, Android |
| Počet dnů | 365 | iOS/iPadOS, Android |
| Biometrika třídy 3 (Android 9.0+) | Vyžadovat | Android |
| Přepsání biometriky pin kódem po biometrických aktualizacích | Vyžadovat | Android |
Podmíněné spuštění
| Nastavení | Popis nastavení | Hodnota / akce | Platforma | Poznámky |
|---|---|---|---|---|
| Podmínky zařízení | Vyžadovat zámek zařízení | Vysoký nebo blokovaný přístup | Android | Toto nastavení zajišťuje, aby zařízení s Androidem měla heslo, které splňuje minimální požadavky na heslo. |
| Podmínky zařízení | Maximální povolená úroveň hrozby zařízení | Zabezpečený nebo blokovaný přístup | Windows | |
| Podmínky zařízení | Zařízení s jailbreakem nebo rootem | Není k dispozici / Vymazání dat | iOS/iPadOS, Android | |
| Podmínky zařízení | Maximální povolená úroveň hrozby | Zabezpečený nebo blokovaný přístup | iOS/iPadOS, Android | Nezaregistrovaná zařízení je možné zkontrolovat, jestli nejsou ohrožena pomocí ochrany před mobilními hrozbami. Další informace najdete v tématu Ochrana před mobilními hrozbami pro nezaregistrovaná zařízení. Pokud je zařízení zaregistrované, můžete toto nastavení přeskočit ve prospěch nasazení ochrany před mobilními hrozbami pro zaregistrovaná zařízení. Další informace najdete v tématu Ochrana před mobilními hrozbami pro zaregistrovaná zařízení. |
| Podmínky zařízení | Maximální verze operačního systému |
Formát: Major.Minor Příklad: 11.0 / Blokovat přístup |
Android | Microsoft doporučuje nakonfigurovat maximální hlavní verzi Androidu, aby se zajistilo, že se nebudou používat beta nebo nepodporované verze operačního systému. Nejnovější doporučení pro Android najdete v tématu Doporučené požadavky na Android Enterprise . |
| Podmínky zařízení | Maximální verze operačního systému |
Formát: Major.Minor.Build Příklad: 15.0 / Blokovat přístup |
iOS/iPadOS | Microsoft doporučuje nakonfigurovat maximální hlavní verzi iOS/iPadOS, aby se zajistilo, že se nebudou používat beta nebo nepodporované verze operačního systému. Nejnovější doporučení společnosti Apple najdete v tématu Aktualizace zabezpečení Společnosti Apple . |
| Podmínky zařízení | Maximální verze operačního systému |
Formát: Major.Minor Příklad: 22631. / Blokovat přístup |
Windows | Microsoft doporučuje nakonfigurovat maximální hlavní verzi Windows, aby se zajistilo, že se nebudou používat beta nebo nepodporované verze operačního systému. |
| Podmínky zařízení | Ověření identity zařízení Samsung Knox | Vymazání dat | Android | Microsoft doporučuje nakonfigurovat nastavení ověřování zařízení Samsung Knox na Vymazat data , aby se zajistilo odebrání dat organizace, pokud zařízení nesplňuje hardwarové ověření stavu zařízení Knox společnosti Samsung. Toto nastavení ověří, že všechny odpovědi klienta MAM Intune službě Intune byly odeslány ze zařízení, které je v pořádku. Toto nastavení bude platit pro všechna cílová zařízení. Pokud chcete toto nastavení použít jenom u zařízení Samsung, můžete použít filtry přiřazení Spravované aplikace. Další informace o filtrech přiřazení najdete v tématu Použití filtrů při přiřazování aplikací, zásad a profilů v Microsoft Intune. |
| Podmínky aplikace | Období odkladu offline | 30 / Blokovat přístup (dny) | iOS/iPadOS, Android, Windows |
Další krok
Pokračujte krokem 4 a seznamte se s doručováním ochrany aplikací v Microsoft Intune.