Stap 1. Zakelijke basisgegevensbeveiliging toepassen
Zodra u de vereisten hebt gevolgd, hebt bepaald welke platforms u moet ondersteunen in uw organisatie, de verschillende categorieën voor app-gegevensbeveiliging die beschikbaar zijn voor elk ondersteuningsplatform hebt begrepen en de stappen hebt voltooid die nodig zijn voordat u het app-beveiligingsframework toepast, kunt u app-beveiligingsbeleid toevoegen.
Niveau 1 is de minimale configuratie voor gegevensbeveiliging voor een mobiel bedrijfsapparaat. Deze configuratie vervangt de behoefte aan basisbeleid voor Exchange Online apparaattoegang door een pincode te vereisen voor toegang tot werk- of schoolgegevens, het versleutelen van de werk- of schoolaccountgegevens en het bieden van de mogelijkheid om de school- of werkgegevens selectief te wissen. In tegenstelling tot Exchange Online apparaattoegangsbeleid zijn de onderstaande instellingen voor app-beveiligingsbeleid echter van toepassing op alle apps die in het beleid zijn geselecteerd, waardoor de toegang tot gegevens wordt beveiligd buiten scenario's voor mobiele berichten.
Het beleid in niveau 1 dwingt een redelijk toegangsniveau af, terwijl de impact op gebruikers wordt geminimaliseerd en de standaardinstellingen voor gegevensbescherming en toegang worden gespiegeld bij het maken van een app-beveiligingsbeleid binnen Microsoft Intune.
Aanbevolen instellingen voor app-beveiliging
Gebruik de volgende aanbevolen instellingen voor app-beveiliging bij het maken en toepassen van Intune app-beveiliging voor basisgegevensbeveiliging op bedrijfsniveau 1.
Niveau 1 enterprise basic data protection
Niveau 1 is de minimale configuratie voor gegevensbeveiliging voor een mobiel bedrijfsapparaat. Deze configuratie vervangt de behoefte aan basisbeleid voor Exchange Online apparaattoegang door een pincode te vereisen voor toegang tot werk- of schoolgegevens, het versleutelen van de werk- of schoolaccountgegevens en het bieden van de mogelijkheid om de school- of werkgegevens selectief te wissen. In tegenstelling tot Exchange Online apparaattoegangsbeleid zijn de onderstaande instellingen voor app-beveiligingsbeleid echter van toepassing op alle apps die in het beleid zijn geselecteerd, waardoor de toegang tot gegevens wordt beveiligd buiten scenario's voor mobiele berichten.
Het beleid in niveau 1 dwingt een redelijk toegangsniveau af, terwijl de impact op gebruikers wordt geminimaliseerd en de standaardinstellingen voor gegevensbescherming en toegang worden gespiegeld bij het maken van een app-beveiligingsbeleid binnen Microsoft Intune.
Gegevensbescherming
| Instelling | Beschrijving van instelling | Waarde | Platform |
|---|---|---|---|
| Gegevensoverdracht | Een back-up maken van organisatiegegevens naar... | Toestaan | iOS/iPadOS, Android |
| Gegevensoverdracht | Organisatiegegevens verzenden naar andere apps | Alle apps | iOS/iPadOS, Android |
| Gegevensoverdracht | Organisatiegegevens verzenden naar | Alle bestemmingen | Windows |
| Gegevensoverdracht | Gegevens ontvangen van andere apps | Alle apps | iOS/iPadOS, Android |
| Gegevensoverdracht | Gegevens ontvangen van | Alle bronnen | Windows |
| Gegevensoverdracht | Knippen, kopiëren en plakken tussen apps beperken | Elke app | iOS/iPadOS, Android |
| Gegevensoverdracht | Knippen, kopiëren en plakken toestaan voor | Elke bestemming en elke bron | Windows |
| Gegevensoverdracht | Toetsenborden van derden | Toestaan | iOS/iPadOS |
| Gegevensoverdracht | Goedgekeurde toetsenborden | Niet vereist | Android |
| Gegevensoverdracht | Schermopname en Google-assistent | Toestaan | Android |
| Versleuteling | Organisatiegegevens versleutelen | Vereisen | iOS/iPadOS, Android |
| Versleuteling | Organisatiegegevens versleutelen op ingeschreven apparaten | Vereisen | Android |
| Functionaliteit | App synchroniseren met systeemeigen app voor contactpersonen | Toestaan | iOS/iPadOS, Android |
| Functionaliteit | Organisatiegegevens afdrukken | Toestaan | iOS/iPadOS, Android, Windows |
| Functionaliteit | Overdracht van webinhoud met andere apps beperken | Elke app | iOS/iPadOS, Android |
| Functionaliteit | Meldingen van organisatiegegevens | Toestaan | iOS/iPadOS, Android |
Toegangsvereisten
| Instelling | Waarde | Platform | Opmerkingen |
|---|---|---|---|
| Pincode voor toegang | Vereisen | iOS/iPadOS, Android | |
| Type pincode | Numeriek | iOS/iPadOS, Android | |
| Eenvoudige pincode | Toestaan | iOS/iPadOS, Android | |
| Minimale lengte van pincode selecteren | 4 | iOS/iPadOS, Android | |
| Touch ID in plaats van pincode voor toegang (iOS 8+/iPadOS) | Toestaan | iOS/iPadOS | |
| Biometrie overschrijven met pincode na time-out | Vereisen | iOS/iPadOS, Android | |
| Time-out (minuten van activiteit) | 1440 | iOS/iPadOS, Android | |
| Face ID in plaats van pincode voor toegang (iOS 11+/iPadOS) | Toestaan | iOS/iPadOS | |
| Biometrisch in plaats van pincode voor toegang | Toestaan | iOS/iPadOS, Android | |
| Pincode opnieuw instellen na een aantal dagen | Nee | iOS/iPadOS, Android | |
| Selecteer het aantal vorige pincodewaarden dat u wilt onderhouden | 0 | Android | |
| App-pincode wanneer de apparaatpincode is ingesteld | Vereisen | iOS/iPadOS, Android | Als het apparaat is ingeschreven bij Intune, kunnen beheerders overwegen dit in te stellen op 'Niet vereist' als ze een sterke apparaatpincode afdwingen via een nalevingsbeleid voor apparaten. |
| Werk- of schoolaccountreferenties voor toegang | Niet vereist | iOS/iPadOS, Android | |
| Controleer de toegangsvereisten opnieuw na (minuten van inactiviteit) | 30 | iOS/iPadOS, Android |
Voorwaardelijk starten
| Instelling | Beschrijving van instelling | Waarde/actie | Platform | Opmerkingen |
|---|---|---|---|---|
| App-voorwaarden | Maximum aantal pincodepogingen | 5 / Pincode opnieuw instellen | iOS/iPadOS, Android | |
| App-voorwaarden | Offline respijtperiode | 10080 / Toegang blokkeren (minuten) | iOS/iPadOS, Android, Windows | |
| App-voorwaarden | Offline respijtperiode | 90 / Gegevens wissen (dagen) | iOS/iPadOS, Android, Windows | |
| Apparaatvoorwaarden | Gekraakte/geroote apparaten | N.b./toegang blokkeren | iOS/iPadOS, Android | |
| Apparaatvoorwaarden | SafetyNet-apparaatattest | Basisintegriteit en gecertificeerde apparaten/ Toegang blokkeren | Android | Met deze instelling configureert u de apparaatintegriteitscontrole van Google Play op apparaten van eindgebruikers. Basisintegriteit valideert de integriteit van het apparaat. Geroote apparaten, emulators, virtuele apparaten en apparaten met tekenen van manipulatie mislukken de basisintegriteit. Basisintegriteit en gecertificeerde apparaten valideren de compatibiliteit van het apparaat met de services van Google. Alleen niet-gewijzigde apparaten die door Google zijn gecertificeerd, kunnen deze controle doorstaan. |
| Apparaatvoorwaarden | Bedreigingsscan voor apps vereisen | N.b./toegang blokkeren | Android | Met deze instelling zorgt u ervoor dat de scan van Google Apps verifiëren is ingeschakeld voor apparaten van eindgebruikers. Als deze is geconfigureerd, wordt de toegang tot de eindgebruiker geblokkeerd totdat hij of zij het scannen van apps van Google op zijn Android-apparaat inschakelt. |
| Apparaatvoorwaarden | Maximaal toegestaan bedreigingsniveau voor apparaten | Laag/toegang blokkeren | Windows | |
| Apparaatvoorwaarden | Apparaatvergrendeling vereisen | Laag/waarschuwen | Android | Deze instelling zorgt ervoor dat Android-apparaten een apparaatwachtwoord hebben dat voldoet aan de minimale wachtwoordvereisten. |
Opmerking
Instellingen voor voorwaardelijk starten van Windows worden gelabeld als Statuscontroles.
Volgende stap
Ga verder met stap 2 om verbeterde gegevensbeveiliging toe te passen in Microsoft Intune.