Zabezpieczanie i ochrona aplikacji przy użyciu Microsoft Intune
Po skonfigurowaniu i wdrożeniu funkcji usługi Intune, dodaniu aplikacji, którymi chcesz zarządzać w usłudze Intune, oraz skonfigurowaniu aplikacji zarządzanych w usłudze Intune można rozpocząć proces tworzenia zasad ochrony aplikacji. Ochrona aplikacji zasad (APP) to reguły, które zapewniają bezpieczeństwo danych organizacji i znajdują się w zarządzanej aplikacji. Te zasady wymuszają dostęp użytkowników końcowych i przenoszenie danych "firmowych", a także kontrolowanie akcji, które są zabronione lub monitorowane, gdy użytkownicy końcowi korzystają z aplikacji. To wymuszanie umożliwia kontrolowanie sposobu uzyskiwania dostępu do danych i ich udostępniania przez aplikacje na urządzeniach przenośnych w organizacji.
Zawartość udostępniona w tym rozwiązaniu pomoże Ci zrozumieć różne aspekty ochrony aplikacji dla każdej z obsługiwanych platform. Ponadto to rozwiązanie przeprowadzi Cię przez proces tworzenia zasad ochrony aplikacji na podstawie naszych zalecanych ustawień dotyczących podstawowej, rozszerzonej i wysokiej ochrony aplikacji.
Aplikacje zarządzane to aplikacje przypisane do użytkowników za pośrednictwem ujednoliconego dostawcy zarządzania punktami końcowymi, takiego jak usługa Intune. Aplikacje zarządzane obsługują zasady ochrony aplikacji, a także zasady konfiguracji aplikacji. Te aplikacje korzystają z zarządzania aplikacjami mobilnymi (MAM) zapewnianego przez ujednoliconego dostawcę zarządzania punktami końcowymi. Zarządzanie aplikacjami mobilnymi umożliwia organizacjom zarządzanie danymi i ich ochronę w aplikacji. Aplikacja zarządzana w usłudze Intune to chroniona aplikacja , która ma zastosowane zasady ochrony aplikacji usługi Intune i jest przypisywana i zarządzana przez usługę Intune. Aplikacja zarządzana zintegrowała zestaw SDK aplikacji usługi Intune lub została opakowana przy użyciu narzędzia opakowującego usługi Intune w celu obsługi zasad ochrony aplikacji (APP) i/lub zasad konfiguracji aplikacji. Zasady zarządzania aplikacjami mobilnymi umożliwiają konfigurowanie i ochronę aplikacji na urządzeniach niezarządzanych, które są urządzeniami osobistymi użytkownika końcowego, które nie są zarejestrowane w usłudze Intune.
Porada
Aby uzyskać informacje o tym, kiedy należy rozważyć wdrożenie zasad zarządzania aplikacjami mobilnymi, zobacz Przewodnik migracji: Konfigurowanie lub przenoszenie do Microsoft Intune.
Korzystanie z zasad ochrony aplikacji zapewnia korzyści z ochrony danych organizacji na poziomie aplikacji. W przypadku użytkowników końcowych nie ma to wpływu na produktywność, a zasady ochrony aplikacji nie mają zastosowania, gdy użytkownicy końcowi używają aplikacji w kontekście osobistym. Istnieje kilka sytuacji, w których często należy używać zasad ochrony aplikacji. Jeśli na przykład użytkownicy końcowi używają swojego urządzenia osobistego, możesz użyć zasad ochrony aplikacji, aby kontrolować dostęp do aplikacji przy użyciu numeru PIN. Możesz wymusić ograniczenia udostępniania danych, aby dane organizacji nie były udostępniane aplikacjom niezarządzanym. Ponadto możesz uniemożliwić użytkownikom końcowym zapisywanie danych organizacji w lokalizacjach osobistych. Aby uzyskać więcej informacji, zobacz Korzyści z używania zasad Ochrona aplikacji.
Ważna
Usługa Intune ułatwia wymuszanie strategii zabezpieczeń Zero Trust dla organizacji. Zero Trust jest podejściem do używania podczas projektowania i implementowania zestawu zasad zabezpieczeń. Aby uzyskać więcej informacji, zobacz Zero Trust z konfiguracjami Microsoft Intune i Zero Trust tożsamości i dostępu do urządzeń.
Organizacje mogą używać zasad ochrony aplikacji z usługą Mobile Zarządzanie urządzeniami (MDM) i bez niej w tym samym czasie. Rozważmy na przykład użytkownika końcowego (pracownika lub członka organizacji), który używa zarówno telefonu wystawionego przez firmę, jak i własnego tabletu osobistego. Telefon wystawiony przez organizację jest zarejestrowany w rozwiązaniu MDM i chroniony przez zasady ochrony aplikacji, podczas gdy urządzenie osobiste jest chronione tylko przez zasady ochrony aplikacji.
Obsługiwane platformy
Istnieją trzy podstawowe platformy, które są obsługiwane podczas tworzenia zasad ochrony aplikacji w usłudze Intune.
| Platforma | Opis |
|---|---|
| iOS/iPadOS | Zasady ochrony aplikacji można zastosować do aplikacji systemu iOS/iPadOS, które zostały opracowane w celu obsługi funkcji ochrony aplikacji usługi Intune. Ochronę aplikacji można zastosować do grup użytkowników, którzy logują się do urządzeń z systemem iOS/iPadOS. W szczególności można zastosować ochronę aplikacji w oparciu o ochronę danych, wymagania dotyczące dostępu i ustawienia uruchamiania warunkowego w ramach zasad ochrony aplikacji dla systemu iOS/iPadOS. Aby uzyskać więcej informacji, zobacz ustawienia zasad ochrony aplikacji systemu iOS w Microsoft Intune. |
| Android | Zasady ochrony aplikacji można zastosować do aplikacji systemu Android, które zostały opracowane w celu obsługi funkcji ochrony aplikacji usługi Intune. Ochronę aplikacji można zastosować do grup użytkowników, którzy logują się do urządzeń z systemem Android. W szczególności można zastosować ochronę aplikacji na podstawie ochrony danych, wymagań dotyczących dostępu i ustawień uruchamiania warunkowego w ramach zasad ochrony aplikacji dla systemu Android. Aby uzyskać więcej informacji, zobacz Ustawienia zasad ochrony aplikacji systemu Android w Microsoft Intune. |
| System Windows | Obecnie można zastosować zasady ochrony aplikacji do przeglądarki Microsoft Edge dla urządzeń z systemem Windows. Za pomocą przeglądarki Microsoft Edge możesz kontrolować sposób uzyskiwania dostępu do danych organizacji. Ochronę aplikacji można zastosować do grup użytkowników, którzy logują się do urządzeń z systemem Windows. W szczególności można zastosować ochronę aplikacji na podstawie ustawień ochrony danych i kontroli kondycji w ramach zasad ochrony aplikacji dla systemu Windows. Ustawienia ochrony danych umożliwiają kontrolowanie przenoszenia danych do i z kontekstu organizacji (organizacji). Kontekst organizacji jest definiowany przez dokumenty, usługi i witryny, do których dostęp uzyskuje określone konto organizacji. Ustawienia zasad ochrony aplikacji ułatwiają kontrolowanie danych zewnętrznych odbieranych w kontekście organizacji i danych organizacji wysyłanych z kontekstu organizacji. Te ustawienia obejmują odbieranie i wysyłanie danych organizacji. Ponadto można zaimplementować mechanizmy kontroli ochrony przed utratą danych (DLP), takie jak ograniczenia wycinania, kopiowania, wklejania i zapisywania jako. Ponadto można zezwalać na drukowanie danych organizacji lub blokować ich drukowanie. Aby uzyskać więcej informacji, zobacz Ochrona aplikacji ustawienia zasad dla systemu Windows. |
Aby uzyskać więcej informacji na temat obsługiwanych platform, zobacz Możliwości zarządzania aplikacjami według platformy.
Obsługiwane aplikacje
W przypadku platform iOS/iPadOS i Android można stosować zasady ochrony aplikacji do dowolnej zarządzanej aplikacji, która została opracowana w celu obsługi funkcji ochrony aplikacji usługi Intune. Aplikacja zarządzana zintegrowała zestaw SDK aplikacji usługi Intune lub została opakowana przy użyciu App Wrapping Tool usługi Intune. W przypadku platformy systemu Windows można włączyć ochronę danych firmowych na osobistych urządzeniach z systemem Windows przy użyciu funkcji zarządzania aplikacjami mobilnymi systemu Windows. Funkcja zarządzania aplikacjami mobilnymi systemu Windows to miejsce, w którym stosuje się zasady ochrony aplikacji do przeglądarki Microsoft Edge dla systemu Windows. Przeglądarka Microsoft Edge oraz większość aplikacji firmy Microsoft zostały zintegrowane w celu obsługi usługi Intune przy użyciu zestawu SDK aplikacji usługi Intune. Aby uzyskać listę aplikacji, które obejmują integrację zestawu SDK, zobacz Microsoft Intune chronione aplikacje.
Wymagania wstępne
Aby można było chronić aplikacje za pomocą Microsoft Intune, należy spełnić kilka wymagań wstępnych, aby skonfigurować usługę Intune, a także zrozumieć konfiguracje zarządzania kluczowymi aplikacjami.
Uwaga
Jeśli dopiero zaczynasz korzystać z usługi Intune, zacznij od Microsoft Intune bezpłatnej wersji próbnej. Usługę Intune można bezpłatnie testować przez 30 dni. Po zakończeniu procesu tworzenia konta będziesz mieć nową dzierżawę, która umożliwia ocenę usługi Intune. Dzierżawa to dedykowane wystąpienie Tożsamość Microsoft Entra (Tożsamość Microsoft Entra), w którym jest hostowana twoja subskrypcja usługi Intune. Następnie można skonfigurować dzierżawę, która obejmuje wiele możliwości, których można użyć do ochrony organizacji. Jedna z nich obejmuje dodawanie i konfigurowanie aplikacji dla usługi Intune.
Wykonaj następujące kroki, jeśli jeszcze nie skonfigurowano usługi Intune i dodano aplikacje potrzebne do zarządzania i ochrony:
- Konfigurowanie i wdrażanie usługi Intune
- Omówienie ochrony aplikacji
- Omówienie typów aplikacji
- Dodawanie aplikacji do usługi Intune
Ważna
Aby korzystać z Microsoft Intune poza bezpłatną wersję próbną, musisz uzyskać licencję od firmy Microsoft. Aby uzyskać więcej informacji na temat licencji obejmujących Microsoft Intune, zobacz licencjonowanie Microsoft Intune.
Chociaż wiele aplikacji, które można wdrożyć dla członków organizacji, jest bezpłatnych, niektóre aplikacje mogą wymagać licencji, subskrypcji lub konta, aby każdy użytkownik mógł korzystać z aplikacji. Aby uzyskać więcej informacji na temat licencji aplikacji, zobacz Omówienie licencji aplikacji używanych w usłudze Intune.
Ochrona aplikacji
Ochrona aplikacji mogą być stosowane do obsługiwanych aplikacji zarządzanych na obsługiwanych platformach urządzeń zarejestrowanych w Microsoft Intune, zarejestrowanych w rozwiązaniu do zarządzania urządzeniami przenośnymi (MDM) innej firmy lub nie są zarejestrowane w żadnym rozwiązaniu do zarządzania urządzeniami przenośnymi.
Podczas tworzenia zasad ochrony aplikacji należy wybrać następujące szczegóły w następującej kolejności:
- Platforma
- Aplikacja, którą chcesz chronić
- Ustawienia ochrony danych dla aplikacji
- Wymagania dotyczące dostępu dla aplikacji
- Ustawienia uruchamiania warunkowego dla aplikacji
Oprócz powyższej listy możesz również wybrać tagi zakresu i przypisania aplikacji.
Ważna
Aplikacja Intune — Portal firmy jest wymagana na urządzeniach z systemem Android, ponieważ umożliwia użytkownikom urządzeń odbieranie zasad ochrony aplikacji jako kontrolera zasad urządzeń. Umożliwia użytkownikom urządzeń odbieranie zasad ochrony aplikacji. Aby uzyskać więcej informacji, zobacz How to configure the Intune — Portal firmy apps, Portal firmy website, and Intune app and Customize and configure the Portal firmy (Jak skonfigurować aplikacje Intune — Portal firmy, Portal firmy witrynę internetową i aplikację usługi Intune oraz dostosowywanie i konfigurowanie Portal firmy.
Ochrona aplikacji kategorie według platformy
Dla każdej obsługiwanej platformy są dostępne różne ustawienia ochrony aplikacji. Należy pamiętać, że platforma iOS/iPadOS i Android ma te same kategorie ochrony aplikacji. Jednak system Windows jest inny. Platforma Windows chroni dane organizacji, zarządzając przepływem danych za pośrednictwem przeglądarki Microsoft Edge do lokalizacji magazynu organizacji.
Porada
Aby sprawdzić, gdzie zasady ochrony aplikacji i zgodności pasują do ogólnej architektury usługi Intune, zobacz Architektura wysokiego poziomu dla Microsoft Intune.
Podczas tworzenia zasad ochrony aplikacji wybierasz platformę, aplikację docelową, a także określone ustawienia z kategorii ochrony aplikacji.
Jak zasady ochrony aplikacji chronią dane aplikacji
Użytkownicy końcowi (członkowie organizacji) używają urządzeń przenośnych zarówno do zadań osobistych, jak i służbowych. Upewniając się, że użytkownicy końcowi mogą być produktywni, chcesz uniemożliwić przenoszenie danych organizacji do lokalizacji, w których nie można ich zabezpieczyć, zarówno w sytuacjach zamierzonych, jak i niezamierzonych. Warto również chronić dane firmowe, do których uzyskuje się dostęp z urządzeń, które nie są zarządzane przez Ciebie. Zasad ochrony aplikacji usługi Intune można używać niezależnie od dowolnego rozwiązania do zarządzania urządzeniami przenośnymi (MDM). Ta niezależność ułatwia ochronę danych firmy przy użyciu lub bez rejestrowania urządzeń w rozwiązaniu do zarządzania urządzeniami. Implementując zasady ochrony na poziomie aplikacji, możesz ograniczyć dostęp do zasobów firmy i przechowywać dane w zakresie działu IT.
Gdy aplikacje są używane bez ograniczeń, dane firmowe i osobowe mogą być ze sobą powiązane. Dane firmowe mogą znajdować się w lokalizacjach takich jak magazyn osobisty lub przesyłane do aplikacji wykraczających poza twoją obsługę i mogą powodować utratę danych. Poniższa tabela zawiera szczegółowe informacje o danych, urządzeniach i ochronie aplikacji.
| Ochrona danych, urządzeń i aplikacji | Opis |
|---|---|
| Aplikacje bez zasad ochrony aplikacji | Gdy aplikacje są używane bez ograniczeń, dane firmowe i osobowe mogą być ze sobą powiązane. Dane firmowe mogą znajdować się w lokalizacjach takich jak magazyn osobisty lub przesyłane do aplikacji wykraczających poza twoją obsługę i mogą powodować utratę danych. |
| Ochrona danych za pomocą zasad ochrony aplikacji | Możesz użyć zasad Ochrona aplikacji, aby uniemożliwić zapisywanie danych firmowych w lokalnym magazynie urządzenia. Możesz również ograniczyć przenoszenie danych do innych aplikacji, które nie są chronione przez zasady Ochrona aplikacji. |
| Ochrona danych za pomocą zasad ochrony aplikacji na urządzeniach zarządzanych | Zapewnia zarówno zarządzanie aplikacjami, jak i urządzeniami oraz ochronę. |
| Ochrona danych przy użyciu zasad ochrony aplikacji dla urządzeń bez rejestracji | Ochrona aplikacji zasady mogą pomóc chronić dane firmowe na poziomie aplikacji. Istnieją jednak ograniczenia związane z wdrażaniem aplikacji, aprowizowaniem profilów certyfikatów urządzeń i aprowizowaniem ustawień organizacji urządzeń. Możesz uniknąć tych ograniczeń, rejestrując urządzenia i zarządzając nimi w usłudze Intune. |
Aby uzyskać więcej informacji, zobacz Jak zasady ochrony aplikacji chronią dane aplikacji.
Co jest w tym rozwiązaniu
To rozwiązanie pomaga zrozumieć ochronę danych aplikacji w Microsoft Intune. Ponadto to rozwiązanie zawiera zalecane kroki tworzenia zasad ochrony aplikacji w usłudze Intune dla określonych aplikacji i przypisywania tych zasad do członków organizacji. Po ukończeniu powyższych wymagań wstępnych możesz utworzyć zasady ochrony aplikacji dla swojej organizacji w usłudze Intune. Korzystanie z zasad konfiguracji i ochrony w ramach działań związanych z zarządzaniem aplikacjami umożliwia członkom organizacji bezpieczne korzystanie z aplikacji. Zarządzając aplikacjami w organizacji, pomagasz chronić i zabezpieczać dane organizacji.
Aby dowiedzieć się więcej na temat ochrony aplikacji w usłudze Intune, zobacz następujące tematy:
- Omówienie ochrony danych aplikacji
- Omówienie wymagań dotyczących dostępu do ochrony aplikacji
- Omówienie uruchamiania warunkowego ochrony aplikacji
- Omówienie kontroli kondycji ochrony aplikacji
Aby postępować zgodnie z zalecanymi ustawieniami podczas dodawania zasad ochrony aplikacji w usłudze Intune, zobacz następujące tematy:
- Stosowanie minimalnej ochrony danych
- Stosowanie rozszerzonej ochrony danych
- Stosowanie wysokiej ochrony danych
- Omówienie dostarczania ochrony aplikacji
- Weryfikowanie i monitorowanie ochrony aplikacji
- Korzystanie z akcji ochrony aplikacji
Po wykonaniu powyższych kroków możesz przystąpić do wdrażania aplikacji zarządzanych, zarządzania nimi i monitorowania ich używanych przez organizację.