Udostępnij za pośrednictwem


Struktura ochrony danych przy użyciu zasad ochrony aplikacji

W miarę jak coraz więcej organizacji wdraża strategie urządzeń przenośnych w celu uzyskiwania dostępu do danych służbowych, ochrona przed wyciekami danych staje się najważniejsza. Rozwiązanie do zarządzania aplikacjami mobilnymi Intune do ochrony przed wyciekami danych to Zasady ochrony aplikacji (APP). APLIKACJA to reguły, które zapewniają, że dane organizacji pozostają bezpieczne lub zawarte w zarządzanej aplikacji, niezależnie od tego, czy urządzenie jest zarejestrowane. Aby uzyskać więcej informacji, zobacz omówienie zasad Ochrona aplikacji.

Podczas konfigurowania zasad ochrony aplikacji liczba różnych ustawień i opcji umożliwia organizacjom dostosowanie ochrony do ich konkretnych potrzeb. Ze względu na tę elastyczność może nie być oczywiste, która permutacja ustawień zasad jest wymagana do zaimplementowania kompletnego scenariusza. Aby ułatwić organizacjom ustalanie priorytetów wysiłków w zakresie wzmacniania poziomu punktów końcowych klientów, firma Microsoft wprowadziła nową taksonomię dla konfiguracji zabezpieczeń w Windows 10, a Intune wykorzystuje podobną taksonomię dla struktury ochrony danych aplikacji na potrzeby zarządzania aplikacjami mobilnymi.

Struktura konfiguracji ochrony danych aplikacji jest zorganizowana w trzy różne scenariusze konfiguracji:

  • Podstawowa ochrona danych na poziomie 1 — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację ochrony danych dla urządzenia przedsiębiorstwa.

  • Rozszerzona ochrona danych na poziomie 2 — firma Microsoft zaleca tę konfigurację dla urządzeń, na których użytkownicy uzyskują dostęp do informacji poufnych lub poufnych. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych uzyskujących dostęp do danych służbowych. Niektóre kontrolki mogą mieć wpływ na środowisko użytkownika.

  • Wysoki poziom ochrony danych na poziomie 3 — firma Microsoft zaleca tę konfigurację dla urządzeń uruchamianych przez organizację z większym lub bardziej zaawansowanym zespołem ds. zabezpieczeń lub dla określonych użytkowników lub grup, którzy są wyjątkowo narażeni na ryzyko (użytkownicy obsługują wysoce poufne dane, gdy nieautoryzowane ujawnienie powoduje znaczne straty materialne w organizacji). Organizacja, która może być celem dobrze finansowanych i zaawansowanych przeciwników, powinna dążyć do tej konfiguracji.

Metodologia wdrażania programu APP Data Protection Framework

Podobnie jak w przypadku każdego wdrożenia nowego oprogramowania, funkcji lub ustawień, firma Microsoft zaleca zainwestowanie w metodologię pierścienia do testowania walidacji przed wdrożeniem struktury ochrony danych aplikacji. Definiowanie pierścieni wdrażania jest zazwyczaj zdarzeniem jednorazowym (lub co najmniej rzadkim), ale it should revisit these groups to ensure that the sequencing is still correct.

Firma Microsoft zaleca następujące podejście do pierścienia wdrażania dla struktury ochrony danych aplikacji:

Pierścień wdrożenia Dzierżawca Zespoły oceniające Dane wyjściowe Oś czasu
Kontrola jakości Dzierżawa przedprodukcyjna Właściciele możliwości mobilnych, bezpieczeństwo, ocena ryzyka, prywatność, środowisko użytkownika Sprawdzanie poprawności scenariusza funkcjonalnego, dokumentacja w wersji roboczej 0–30 dni
Wersja zapoznawcza Dzierżawa produkcyjna Właściciele możliwości mobilnych, środowisko użytkownika Walidacja scenariusza użytkownika końcowego, dokumentacja dotycząca użytkowników 7–14 dni, kontrola jakości po wdrożeniu
Produkcja Dzierżawa produkcyjna Właściciele możliwości mobilnych, pomoc techniczna IT Nie dotyczy 7 dni do kilku tygodni, wersja zapoznawcza po wdrożeniu

Jak wskazuje powyższa tabela, wszystkie zmiany zasad ochrony aplikacji należy najpierw wykonać w środowisku przedprodukcyjnym, aby zrozumieć implikacje dotyczące ustawień zasad. Po zakończeniu testowania zmiany można przenieść do środowiska produkcyjnego i zastosować do podzestawu użytkowników produkcyjnych, ogólnie działu IT i innych odpowiednich grup. Na koniec wdrożenie można ukończyć dla pozostałej części społeczności użytkowników mobilnych. Wdrożenie w środowisku produkcyjnym może potrwać dłużej w zależności od skali wpływu zmiany. Jeśli nie ma wpływu na użytkownika, zmiana powinna zostać szybko wdrożona, natomiast jeśli zmiana spowoduje wpływ na użytkownika, wdrożenie może wymagać wolniejszego działania ze względu na konieczność przekazywania zmian do populacji użytkowników.

Podczas testowania zmian w aplikacji należy pamiętać o czasie dostarczania. Stan dostarczania aplikacji dla danego użytkownika może być monitorowany. Aby uzyskać więcej informacji, zobacz Jak monitorować zasady ochrony aplikacji.

Poszczególne ustawienia aplikacji dla każdej aplikacji można zweryfikować na urządzeniach przy użyciu przeglądarki Microsoft Edge i adresu URL about:Intunehelp. Aby uzyskać więcej informacji, zobacz Przeglądanie dzienników ochrony aplikacji klienckich i Używanie przeglądarki Microsoft Edge dla systemów iOS i Android do uzyskiwania dostępu do dzienników aplikacji zarządzanych.

Ustawienia programu APP Data Protection Framework

Następujące ustawienia zasad ochrony aplikacji powinny być włączone dla odpowiednich aplikacji i przypisane do wszystkich użytkowników mobilnych. Aby uzyskać więcej informacji na temat każdego ustawienia zasad, zobacz Ustawienia zasad ochrony aplikacji systemu iOS i Ustawienia zasad ochrony aplikacji systemu Android.

Firma Microsoft zaleca przeglądanie i kategoryzowanie scenariuszy użycia, a następnie konfigurowanie użytkowników przy użyciu nakazowych wskazówek dotyczących tego poziomu. Podobnie jak w przypadku każdej struktury, ustawienia na odpowiednim poziomie mogą wymagać dostosowania na podstawie potrzeb organizacji, ponieważ ochrona danych musi ocenić środowisko zagrożeń, apetyt na ryzyko i wpływ na użyteczność.

Administratorzy mogą uwzględnić poniższe poziomy konfiguracji w swojej metodologii wdrażania pierścienia na potrzeby testowania i użycia w środowisku produkcyjnym, importując przykładowe szablony JSON programu Intune App Protection Policy Configuration Framework za pomocą skryptów programu PowerShell Intune.

Uwaga

W przypadku korzystania z funkcji MAM dla systemu Windows zobacz Ochrona aplikacji ustawienia zasad dla systemu Windows.

Zasady dostępu warunkowego

Aby upewnić się, że tylko aplikacje obsługujące zasady ochrony aplikacji uzyskują dostęp do danych konta służbowego, Microsoft Entra wymagane są zasady dostępu warunkowego. Te zasady zostały opisane w artykule Dostęp warunkowy: Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji.

Zobacz Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji przy użyciu urządzeń przenośnych w obszarze Dostęp warunkowy: Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji , aby uzyskać instrukcje implementowania określonych zasad. Na koniec zaimplementuj kroki opisane w temacie Blokuj starsze uwierzytelnianie , aby zablokować starsze aplikacje z obsługą uwierzytelniania dla systemów iOS i Android.

Uwaga

Te zasady korzystają z mechanizmów kontroli przyznawania Wymagaj zatwierdzonej aplikacji klienckiej i Wymagaj zasad ochrony aplikacji.

Aplikacje do uwzględnienia w zasadach ochrony aplikacji

Dla każdej zasady ochrony aplikacji grupa Podstawowa Microsoft Apps jest przeznaczona, która obejmuje następujące aplikacje:

  • Microsoft Edge
  • Excel
  • Pakiet Office
  • OneDrive
  • OneNote
  • Outlook
  • PowerPoint
  • SharePoint
  • Teams
  • To Do
  • Word

Zasady powinny obejmować inne aplikacje firmy Microsoft oparte na potrzebach biznesowych, dodatkowe aplikacje publiczne innych firm, które zintegrowały zestaw SDK Intune używany w organizacji, a także aplikacje biznesowe, które zintegrowały zestaw SDK Intune (lub zostały opakowane).

Podstawowa ochrona danych na poziomie 1 przedsiębiorstwa

Poziom 1 to minimalna konfiguracja ochrony danych dla urządzenia przenośnego przedsiębiorstwa. Ta konfiguracja zastępuje potrzebę podstawowych zasad dostępu Exchange Online urządzenia, wymagając numeru PIN w celu uzyskania dostępu do danych służbowych, szyfrowania danych konta służbowego i zapewniania możliwości selektywnego czyszczenia danych służbowych. Jednak w przeciwieństwie do Exchange Online zasad dostępu do urządzeń poniższe ustawienia zasad ochrony aplikacji mają zastosowanie do wszystkich aplikacji wybranych w zasadach, zapewniając tym samym ochronę dostępu do danych poza scenariuszami obsługi komunikatów mobilnych.

Zasady na poziomie 1 wymuszają rozsądny poziom dostępu do danych przy jednoczesnym zminimalizowaniu wpływu na użytkowników i odzwierciedlają domyślne ustawienia wymagań dotyczących ochrony danych i dostępu podczas tworzenia zasad ochrony aplikacji w ramach Microsoft Intune.

Ochrona danych

Ustawienie Opis ustawienia Value Platforma
Transfer danych Utwórz kopię zapasową danych organizacji w... Zezwalaj iOS/iPadOS, Android
Transfer danych Wysyłanie danych organizacji do innych aplikacji Wszystkie aplikacje iOS/iPadOS, Android
Transfer danych Wysyłanie danych organizacji do Wszystkie miejsca docelowe System Windows
Transfer danych Odbieranie danych z innych aplikacji Wszystkie aplikacje iOS/iPadOS, Android
Transfer danych Odbieranie danych z Wszystkie źródła System Windows
Transfer danych Ograniczanie wycinania, kopiowania i wklejania między aplikacjami Dowolna aplikacja iOS/iPadOS, Android
Transfer danych Zezwalaj na wycinanie, kopiowanie i wklejanie Dowolne miejsce docelowe i dowolne źródło System Windows
Transfer danych Klawiatury innych firm Zezwalaj iOS/iPadOS
Transfer danych Zatwierdzone klawiatury Nie jest wymagane Android
Transfer danych Przechwytywanie ekranu i Asystent Google Zezwalaj Android
Szyfrowanie Szyfrowanie danych organizacji Wymagać iOS/iPadOS, Android
Szyfrowanie Szyfrowanie danych organizacji na zarejestrowanych urządzeniach Wymagać Android
Funkcjonalność Synchronizowanie aplikacji z natywną aplikacją kontaktów Zezwalaj iOS/iPadOS, Android
Funkcjonalność Drukowanie danych organizacji Zezwalaj iOS/iPadOS, Android, Windows
Funkcjonalność Ograniczanie transferu zawartości internetowej za pomocą innych aplikacji Dowolna aplikacja iOS/iPadOS, Android
Funkcjonalność Powiadomienia o danych organizacji Zezwalaj iOS/iPadOS, Android

Wymagania dotyczące dostępu

Ustawienie Value Platforma Uwagi
Numer PIN dostępu Wymagać iOS/iPadOS, Android
Typ numeru PIN Numeryczny iOS/iPadOS, Android
Prosty numer PIN Zezwalaj iOS/iPadOS, Android
Wybierz minimalną długość numeru PIN 4 iOS/iPadOS, Android
Touch ID zamiast numeru PIN w celu uzyskania dostępu (system iOS 8+/iPadOS) Zezwalaj iOS/iPadOS
Zastąp dane biometryczne numerem PIN po przekroczeniu limitu czasu Wymagać iOS/iPadOS, Android
Limit czasu (minuty działania) 1440 iOS/iPadOS, Android
Identyfikator twarzy zamiast numeru PIN na potrzeby dostępu (system iOS 11+/iPadOS) Zezwalaj iOS/iPadOS
Biometryczne zamiast numeru PIN w celu uzyskania dostępu Zezwalaj iOS/iPadOS, Android
Resetowanie numeru PIN po liczbie dni Nie iOS/iPadOS, Android
Wybierz liczbę poprzednich wartości numeru PIN do utrzymania 0 Android
Numer PIN aplikacji po ustawieniu numeru PIN urządzenia Wymagać iOS/iPadOS, Android Jeśli urządzenie jest zarejestrowane w Intune, administratorzy mogą rozważyć ustawienie tego ustawienia na wartość "Nie jest wymagane", jeśli wymuszają silny numer PIN urządzenia za pośrednictwem zasad zgodności urządzeń.
Poświadczenia konta służbowego na potrzeby dostępu Nie jest wymagane iOS/iPadOS, Android
Sprawdź ponownie wymagania dostępu po (w minutach braku aktywności) 30 iOS/iPadOS, Android

Uruchamianie warunkowe

Ustawienie Opis ustawienia Wartość/akcja Platforma Uwagi
Warunki aplikacji Maksymalna liczba prób numeru PIN 5 / Resetowanie numeru PIN iOS/iPadOS, Android
Warunki aplikacji Okres prolongaty w trybie offline 10080 / Blokuj dostęp (w minutach) iOS/iPadOS, Android, Windows
Warunki aplikacji Okres prolongaty w trybie offline 90 / Czyszczenie danych (dni) iOS/iPadOS, Android, Windows
Warunki urządzenia Urządzenia ze zdjętymi zabezpieczeniami systemu /urządzeniami z dostępem do konta root N/A/ Blokuj dostęp iOS/iPadOS, Android
Warunki urządzenia Zaświadczanie urządzenia SafetyNet Podstawowa integralność i certyfikowane urządzenia / Blokuj dostęp Android

To ustawienie konfiguruje sprawdzanie integralności urządzeń w sklepie Google Play na urządzeniach użytkowników końcowych. Podstawowa integralność weryfikuje integralność urządzenia. Urządzenia z odblokowanym dostępem, emulatory, urządzenia wirtualne i urządzenia z oznakami naruszenia nie mają podstawowej integralności.

Podstawowa integralność i certyfikowane urządzenia sprawdzają zgodność urządzenia z usługami Firmy Google. Tylko niezmodyfikowane urządzenia, które zostały certyfikowane przez firmę Google, mogą przejść tę kontrolę.

Warunki urządzenia Wymagaj skanowania pod kątem zagrożeń w aplikacjach N/A/ Blokuj dostęp Android To ustawienie gwarantuje, że skanowanie weryfikujące aplikacje firmy Google jest włączone dla urządzeń użytkowników końcowych. Jeśli ta konfiguracja zostanie skonfigurowana, użytkownik końcowy będzie miał zablokowany dostęp do momentu włączenia skanowania aplikacji Google na urządzeniu z systemem Android.
Warunki urządzenia Maksymalny dozwolony poziom zagrożenia urządzenia Niski/zablokowany dostęp System Windows
Warunki urządzenia Wymagaj blokady urządzenia Niski/Ostrzegaj Android To ustawienie gwarantuje, że urządzenia z systemem Android mają hasło urządzenia spełniające minimalne wymagania dotyczące hasła.

Uwaga

Ustawienia uruchamiania warunkowego systemu Windows są oznaczone jako Testy kondycji.

Rozszerzona ochrona danych na poziomie 2 przedsiębiorstwa

Poziom 2 to konfiguracja ochrony danych zalecana jako standard dla urządzeń, na których użytkownicy uzyskują dostęp do bardziej poufnych informacji. Urządzenia te są obecnie naturalnym celem w przedsiębiorstwach. Te zalecenia nie zakładają dużego personelu wysoko wykwalifikowanych specjalistów ds. zabezpieczeń i dlatego powinny być dostępne dla większości organizacji korporacyjnych. Ta konfiguracja rozszerza się po konfiguracji na poziomie 1, ograniczając scenariusze transferu danych i wymagając minimalnej wersji systemu operacyjnego.

Ważna

Ustawienia zasad wymuszane na poziomie 2 obejmują wszystkie ustawienia zasad zalecane dla poziomu 1. Jednak poziom 2 zawiera tylko te ustawienia, które zostały dodane lub zmienione w celu zaimplementowania większej liczby kontrolek i bardziej zaawansowanej konfiguracji niż poziom 1. Chociaż te ustawienia mogą mieć nieco większy wpływ na użytkowników lub aplikacje, wymuszają one poziom ochrony danych bardziej proporcjonalnie do zagrożeń, przed którymi stoją użytkownicy z dostępem do poufnych informacji na urządzeniach przenośnych.

Ochrona danych

Ustawienie Opis ustawienia Value Platforma Uwagi
Transfer danych Utwórz kopię zapasową danych organizacji w... Blokuj iOS/iPadOS, Android
Transfer danych Wysyłanie danych organizacji do innych aplikacji Aplikacje zarządzane przez zasady iOS/iPadOS, Android

W systemie iOS/iPadOS administratorzy mogą skonfigurować tę wartość tak, aby była to wartość "Aplikacje zarządzane przez zasady", "Aplikacje zarządzane przez zasady z udostępnianiem systemu operacyjnego" lub "Aplikacje zarządzane przez zasady z filtrowaniem otwórz w/udostępnij".

Aplikacje zarządzane przez zasady z udostępnianiem systemu operacyjnego są dostępne, gdy urządzenie jest również zarejestrowane w Intune. To ustawienie umożliwia transfer danych do innych aplikacji zarządzanych przez zasady oraz transfer plików do innych aplikacji zarządzanych przez Intune.

Aplikacje zarządzane przez zasady z filtrowaniem Otwórz w/Udostępnij filtrują okna dialogowe Otwieranie w/Udostępnianie systemu operacyjnego, aby wyświetlać tylko aplikacje zarządzane przez zasady.

Aby uzyskać więcej informacji, zobacz Ustawienia zasad ochrony aplikacji systemu iOS.

Transfer danych Wyślij lub dane do Brak miejsc docelowych System Windows
Transfer danych Odbieranie danych z Brak źródeł System Windows
Transfer danych Wybieranie aplikacji do wykluczenia Domyślne /skype; ustawienia aplikacji; calshow; itms; itmss; itms-apps; itms-appss; itms-services; iOS/iPadOS
Transfer danych Zapisywanie kopii danych organizacji Blokuj iOS/iPadOS, Android
Transfer danych Zezwalaj użytkownikom na zapisywanie kopii w wybranych usługach OneDrive dla Firm, SharePoint Online, Biblioteka zdjęć iOS/iPadOS, Android
Transfer danych Transfer danych telekomunikacyjnych do Dowolna aplikacja wybierania numerów iOS/iPadOS, Android
Transfer danych Ograniczanie wycinania, kopiowania i wklejania między aplikacjami Aplikacje zarządzane przez zasady z wklejaczem iOS/iPadOS, Android
Transfer danych Zezwalaj na wycinanie, kopiowanie i wklejanie Brak miejsca docelowego ani źródła System Windows
Transfer danych Przechwytywanie ekranu i Asystent Google Blokuj Android
Funkcjonalność Ograniczanie transferu zawartości internetowej za pomocą innych aplikacji Microsoft Edge iOS/iPadOS, Android
Funkcjonalność Powiadomienia o danych organizacji Blokuj dane organizacji iOS/iPadOS, Android Aby uzyskać listę aplikacji, które obsługują to ustawienie, zobacz ustawienia zasad ochrony aplikacji systemu iOS i Ustawienia zasad ochrony aplikacji systemu Android.

Uruchamianie warunkowe

Ustawienie Opis ustawienia Wartość/akcja Platforma Uwagi
Warunki aplikacji Wyłączone konto N/A/ Blokuj dostęp iOS/iPadOS, Android, Windows
Warunki urządzenia Minimalna wersja systemu operacyjnego Format: Major.Minor.Build
Przykład: 14.8
/ Blokowanie dostępu
iOS/iPadOS Firma Microsoft zaleca skonfigurowanie minimalnej wersji głównej systemu iOS tak, aby była zgodna z obsługiwanymi wersjami systemu iOS dla aplikacji firmy Microsoft. Aplikacje firmy Microsoft obsługują podejście N-1, w którym N jest bieżącą wersją główną systemu iOS. W przypadku wartości wersji pomocniczych i wersji kompilacji firma Microsoft zaleca upewnienie się, że urządzenia są aktualne z odpowiednimi aktualizacjami zabezpieczeń. Zobacz Aktualizacje zabezpieczeń firmy Apple , aby zapoznać się z najnowszymi zaleceniami firmy Apple
Warunki urządzenia Minimalna wersja systemu operacyjnego Format: Major.Minor
Przykład: 9.0
/ Blokowanie dostępu
Android Firma Microsoft zaleca skonfigurowanie minimalnej wersji głównej systemu Android zgodnej z obsługiwanymi wersjami systemu Android dla aplikacji firmy Microsoft. Oprogramowanie OEM i urządzenia zgodne z wymaganiami zalecanymi dla systemu Android Enterprise muszą obsługiwać bieżącą wersję wysyłkową i uaktualnienie jednoliterowe. Obecnie firma Android zaleca korzystanie z systemu Android 9.0 i nowszych wersji w przypadku pracowników intelektualnych. Zobacz Wymagania zalecane dla systemu Android Enterprise dotyczące najnowszych zaleceń systemu Android
Warunki urządzenia Minimalna wersja systemu operacyjnego Format: Kompilacja
Przykład: 10.0.22621.2506
/ Blokuj dostęp
System Windows Firma Microsoft zaleca skonfigurowanie minimalnej kompilacji systemu Windows tak, aby była zgodna z obsługiwanymi wersjami systemu Windows dla aplikacji firmy Microsoft. Obecnie firma Microsoft zaleca następujące czynności:
Warunki urządzenia Minimalna wersja poprawki Format: RRRR-MM-DD
Przykład: 2020-01-01
/ Blokowanie dostępu
Android Urządzenia z systemem Android mogą otrzymywać miesięczne poprawki zabezpieczeń, ale wersja jest zależna od OEM i/lub operatorów. Organizacje powinny upewnić się, że wdrożone urządzenia z systemem Android otrzymują aktualizacje zabezpieczeń przed zaimplementowaniem tego ustawienia. Zobacz Biuletyny zabezpieczeń systemu Android , aby uzyskać najnowsze wersje poprawek.
Warunki urządzenia Wymagany typ oceny safetynetu Klucz oparty na sprzęcie Android Zaświadczanie oparte na sprzęcie usprawnia sprawdzanie istniejącej usługi google Play Integrity, stosując nowy typ oceny o nazwie Hardware Backed, zapewniając bardziej niezawodne wykrywanie root w odpowiedzi na nowsze typy narzędzi i metod rootingu, które nie zawsze mogą być niezawodnie wykrywane przez rozwiązanie tylko oprogramowanie.

Jak sama nazwa wskazuje, zaświadczanie oparte na sprzęcie używa składnika sprzętowego, który jest dostarczany z urządzeniami zainstalowanymi z systemem Android 8.1 lub nowszym. Urządzenia, które zostały uaktualnione ze starszej wersji systemu Android do systemu Android 8.1, prawdopodobnie nie będą miały składników sprzętowych niezbędnych do zaświadczania opartego na sprzęcie. Chociaż to ustawienie powinno być szeroko obsługiwane, począwszy od urządzeń dostarczanych z systemem Android 8.1, firma Microsoft zdecydowanie zaleca testowanie urządzeń indywidualnie przed szerokim włączeniem tego ustawienia zasad.

Warunki urządzenia Wymagaj blokady urządzenia Dostęp średni/blokowy Android To ustawienie gwarantuje, że urządzenia z systemem Android mają hasło urządzenia spełniające minimalne wymagania dotyczące hasła.
Warunki urządzenia Zaświadczanie urządzenia Samsung Knox Blokuj dostęp Android Firma Microsoft zaleca skonfigurowanie ustawienia zaświadczania urządzenia z systemem Samsung Knox na wartość Blokuj dostęp , aby mieć pewność, że dostęp do konta użytkownika zostanie zablokowany, jeśli urządzenie nie spełnia wymagań sprzętowej weryfikacji kondycji urządzenia w systemie Knox firmy Samsung. To ustawienie weryfikuje wszystkie Intune odpowiedzi klientów zarządzania aplikacjami mobilnymi na usługę Intune zostały wysłane z urządzenia w dobrej kondycji.

To ustawienie dotyczy wszystkich urządzeń docelowych. Aby zastosować to ustawienie tylko do urządzeń firmy Samsung, możesz użyć filtrów przypisań "Aplikacje zarządzane". Aby uzyskać więcej informacji na temat filtrów przypisania, zobacz Używanie filtrów podczas przypisywania aplikacji, zasad i profilów w Microsoft Intune.

Warunki aplikacji Okres prolongaty w trybie offline 30 / Czyszczenie danych (dni) iOS/iPadOS, Android, Windows

Uwaga

Ustawienia uruchamiania warunkowego systemu Windows są oznaczone jako Testy kondycji.

Wysoka ochrona danych na poziomie 3 przedsiębiorstwa

Poziom 3 to konfiguracja ochrony danych zalecana jako standard dla organizacji z dużymi i zaawansowanymi organizacjami zabezpieczeń lub dla określonych użytkowników i grup, którzy będą unikatowo celem ataków. Takie organizacje są zazwyczaj celem dobrze finansowanych i zaawansowanych przeciwników i jako takie zasługują na dodatkowe ograniczenia i mechanizmy kontroli opisane. Ta konfiguracja rozszerza konfigurację na poziomie 2, ograniczając dodatkowe scenariusze transferu danych, zwiększając złożoność konfiguracji numeru PIN i dodając wykrywanie zagrożeń mobilnych.

Ważna

Ustawienia zasad wymuszane na poziomie 3 obejmują wszystkie ustawienia zasad zalecane dla poziomu 2, ale zawierają tylko poniższe ustawienia, które zostały dodane lub zmienione w celu zaimplementowania większej liczby kontrolek i bardziej zaawansowanej konfiguracji niż poziom 2. Te ustawienia zasad mogą mieć potencjalnie znaczący wpływ na użytkowników lub aplikacje, wymuszając poziom zabezpieczeń proporcjonalny do zagrożeń, przed którymi stoją organizacje docelowe.

Ochrona danych

Ustawienie Opis ustawienia Value Platforma Uwagi
Transfer danych Transfer danych telekomunikacyjnych do Dowolna aplikacja wybierania numerów zarządzana przez zasady Android Administratorzy mogą również skonfigurować to ustawienie tak, aby korzystała z aplikacji wybierania numerów, która nie obsługuje zasad ochrony aplikacji, wybierając pozycję Określona aplikacja wybierania numerów i podając wartości Identyfikator pakietu aplikacji wybierania numerów i Nazwa aplikacji wybierania numerów .
Transfer danych Transfer danych telekomunikacyjnych do Określona aplikacja wybierania numerów iOS/iPadOS
Transfer danych Schemat adresu URL aplikacji wybierania numerów replace_with_dialer_app_url_scheme iOS/iPadOS W systemie iOS/iPadOS ta wartość musi zostać zastąpiona schematem adresu URL używanej niestandardowej aplikacji wybierania numerów. Jeśli schemat adresów URL nie jest znany, skontaktuj się z deweloperem aplikacji, aby uzyskać więcej informacji. Aby uzyskać więcej informacji na temat schematów adresów URL, zobacz Definiowanie niestandardowego schematu adresów URL dla aplikacji.
Transfer danych Odbieranie danych z innych aplikacji Aplikacje zarządzane przez zasady iOS/iPadOS, Android
Transfer danych Otwieranie danych w dokumentach organizacji Blokuj iOS/iPadOS, Android
Transfer danych Zezwalaj użytkownikom na otwieranie danych z wybranych usług OneDrive dla Firm, SharePoint, Aparat fotograficzny, Biblioteka zdjęć iOS/iPadOS, Android Aby uzyskać powiązane informacje, zobacz Ustawienia zasad ochrony aplikacji systemu Android i ustawienia zasad ochrony aplikacji systemu iOS.
Transfer danych Klawiatury innych firm Blokuj iOS/iPadOS W systemie iOS/iPadOS blokuje to działanie wszystkich klawiatur innych firm w aplikacji.
Transfer danych Zatwierdzone klawiatury Wymagać Android
Transfer danych Wybieranie klawiatur do zatwierdzenia dodawanie/usuwanie klawiatur Android W systemie Android klawiatury muszą być wybrane, aby były używane na podstawie wdrożonych urządzeń z systemem Android.
Funkcjonalność Drukowanie danych organizacji Blokuj iOS/iPadOS, Android, Windows

Wymagania dotyczące dostępu

Ustawienie Value Platforma
Prosty numer PIN Blokuj iOS/iPadOS, Android
Wybierz minimalną długość numeru PIN 6 iOS/iPadOS, Android
Resetowanie numeru PIN po liczbie dni Tak iOS/iPadOS, Android
Liczba dni 365 iOS/iPadOS, Android
Klasa 3 Biometria (Android 9.0+) Wymagać Android
Zastąp dane biometryczne numerem PIN po aktualizacjach biometrycznych Wymagać Android

Uruchamianie warunkowe

Ustawienie Opis ustawienia Wartość/akcja Platforma Uwagi
Warunki urządzenia Wymagaj blokady urządzenia Dostęp wysoki/blokowy Android To ustawienie gwarantuje, że urządzenia z systemem Android mają hasło urządzenia spełniające minimalne wymagania dotyczące hasła.
Warunki urządzenia Maksymalny dozwolony poziom zagrożenia urządzenia Zabezpieczony/zablokowany dostęp System Windows
Warunki urządzenia Urządzenia ze zdjętymi zabezpieczeniami systemu /urządzeniami z dostępem do konta root N/A/ Czyszczenie danych iOS/iPadOS, Android
Warunki urządzenia Maksymalny dozwolony poziom zagrożenia Zabezpieczony/zablokowany dostęp iOS/iPadOS, Android

Niezarejestrowanych urządzeń można sprawdzić pod kątem zagrożeń przy użyciu usługi Mobile Threat Defense. Aby uzyskać więcej informacji, zobacz Mobile Threat Defense for unenrolled devices (Usługa Mobile Threat Defense dla niezarejestrowanych urządzeń).

Jeśli urządzenie jest zarejestrowane, to ustawienie można pominąć na rzecz wdrożenia usługi Mobile Threat Defense dla zarejestrowanych urządzeń. Aby uzyskać więcej informacji, zobacz Mobile Threat Defense for enrolled devices (Usługa Mobile Threat Defense dla zarejestrowanych urządzeń).

Warunki urządzenia Maksymalna wersja systemu operacyjnego Format: Major.Minor
Przykład: 11.0
/ Blokowanie dostępu
Android Firma Microsoft zaleca skonfigurowanie maksymalnej wersji głównej systemu Android w celu zapewnienia, że nie są używane wersje beta lub nieobsługiwany system operacyjny. Zobacz Wymagania zalecane dla systemu Android Enterprise dotyczące najnowszych zaleceń systemu Android
Warunki urządzenia Maksymalna wersja systemu operacyjnego Format: Major.Minor.Build
Przykład: 15.0
/ Blokowanie dostępu
iOS/iPadOS Firma Microsoft zaleca skonfigurowanie maksymalnej wersji głównej systemu iOS/iPadOS, aby upewnić się, że wersje beta lub nieobsługiwany system operacyjny nie są używane. Zobacz Aktualizacje zabezpieczeń firmy Apple , aby zapoznać się z najnowszymi zaleceniami firmy Apple
Warunki urządzenia Maksymalna wersja systemu operacyjnego Format: Major.Minor
Przykład: 22631.
/ Blokuj dostęp
System Windows Firma Microsoft zaleca skonfigurowanie maksymalnej wersji głównej systemu Windows, aby upewnić się, że nie są używane wersje beta lub nieobsługiwany system operacyjny.
Warunki urządzenia Zaświadczanie urządzenia Samsung Knox Wyczyść dane Android Firma Microsoft zaleca skonfigurowanie ustawienia zaświadczania urządzenia z systemem Samsung Knox na wartość Wyczyść dane , aby upewnić się, że dane organizacji zostaną usunięte, jeśli urządzenie nie spełnia wymagań sprzętowej weryfikacji kondycji urządzenia w systemie Knox firmy Samsung. To ustawienie weryfikuje wszystkie Intune odpowiedzi klientów zarządzania aplikacjami mobilnymi na usługę Intune zostały wysłane z urządzenia w dobrej kondycji.

To ustawienie będzie miało zastosowanie do wszystkich urządzeń docelowych. Aby zastosować to ustawienie tylko do urządzeń firmy Samsung, możesz użyć filtrów przypisań "Aplikacje zarządzane". Aby uzyskać więcej informacji na temat filtrów przypisania, zobacz Używanie filtrów podczas przypisywania aplikacji, zasad i profilów w Microsoft Intune.

Warunki aplikacji Okres prolongaty w trybie offline 30 / Blokowanie dostępu (dni) iOS/iPadOS, Android, Windows

Następne kroki

Administratorzy mogą uwzględnić powyższe poziomy konfiguracji w swojej metodologii wdrażania pierścienia na potrzeby testowania i użycia w środowisku produkcyjnym, importując przykładowe szablony JSON programu Intune App Protection Policy Configuration Framework za pomocą skryptów programu PowerShell Intune.

Zobacz też