Krok nr 2. Stosowanie rozszerzonej ochrony danych
Poziom 1 to minimalna konfiguracja ochrony danych dla urządzenia przenośnego przedsiębiorstwa. Ta konfiguracja zastępuje potrzebę podstawowych zasad dostępu Exchange Online urządzenia, wymagając numeru PIN w celu uzyskania dostępu do danych służbowych, szyfrowania danych konta służbowego i zapewniania możliwości selektywnego czyszczenia danych służbowych. Jednak w przeciwieństwie do Exchange Online zasad dostępu do urządzeń poniższe ustawienia zasad ochrony aplikacji mają zastosowanie do wszystkich aplikacji wybranych w zasadach, zapewniając tym samym ochronę dostępu do danych poza scenariuszami obsługi komunikatów mobilnych.
Zasady na poziomie 1 wymuszają rozsądny poziom dostępu do danych przy jednoczesnym zminimalizowaniu wpływu na użytkowników i odzwierciedlają domyślne ustawienia wymagań dotyczących ochrony danych i dostępu podczas tworzenia zasad ochrony aplikacji w ramach Microsoft Intune.
Zalecane ustawienia ochrony aplikacji
Użyj następujących zalecanych ustawień ochrony aplikacji podczas tworzenia i stosowania Intune ochrony aplikacji dla rozszerzonej ochrony danych na poziomie 2 przedsiębiorstwa.
Rozszerzona ochrona danych na poziomie 2 przedsiębiorstwa
Poziom 2 to konfiguracja ochrony danych zalecana jako standard dla urządzeń, na których użytkownicy uzyskują dostęp do bardziej poufnych informacji. Urządzenia te są obecnie naturalnym celem w przedsiębiorstwach. Te zalecenia nie zakładają dużego personelu wysoko wykwalifikowanych specjalistów ds. zabezpieczeń i dlatego powinny być dostępne dla większości organizacji korporacyjnych. Ta konfiguracja rozszerza się po konfiguracji na poziomie 1, ograniczając scenariusze transferu danych i wymagając minimalnej wersji systemu operacyjnego.
Ważna
Ustawienia zasad wymuszane na poziomie 2 obejmują wszystkie ustawienia zasad zalecane dla poziomu 1. Jednak poziom 2 zawiera tylko te ustawienia, które zostały dodane lub zmienione w celu zaimplementowania większej liczby kontrolek i bardziej zaawansowanej konfiguracji niż poziom 1. Chociaż te ustawienia mogą mieć nieco większy wpływ na użytkowników lub aplikacje, wymuszają one poziom ochrony danych bardziej proporcjonalnie do zagrożeń, przed którymi stoją użytkownicy z dostępem do poufnych informacji na urządzeniach przenośnych.
Ochrona danych
| Ustawienie | Opis ustawienia | Value | Platforma | Uwagi |
|---|---|---|---|---|
| Transfer danych | Utwórz kopię zapasową danych organizacji w... | Blokuj | iOS/iPadOS, Android | |
| Transfer danych | Wysyłanie danych organizacji do innych aplikacji | Aplikacje zarządzane przez zasady | iOS/iPadOS, Android | W systemie iOS/iPadOS administratorzy mogą skonfigurować tę wartość tak, aby była to wartość "Aplikacje zarządzane przez zasady", "Aplikacje zarządzane przez zasady z udostępnianiem systemu operacyjnego" lub "Aplikacje zarządzane przez zasady z filtrowaniem otwórz w/udostępnij". Aplikacje zarządzane przez zasady z udostępnianiem systemu operacyjnego są dostępne, gdy urządzenie jest również zarejestrowane w Intune. To ustawienie umożliwia transfer danych do innych aplikacji zarządzanych przez zasady oraz transfer plików do innych aplikacji zarządzanych przez Intune. Aplikacje zarządzane przez zasady z filtrowaniem Otwórz w/Udostępnij filtrują okna dialogowe Otwieranie w/Udostępnianie systemu operacyjnego, aby wyświetlać tylko aplikacje zarządzane przez zasady. Aby uzyskać więcej informacji, zobacz Ustawienia zasad ochrony aplikacji systemu iOS. |
| Transfer danych | Wyślij lub dane do | Brak miejsc docelowych | System Windows | |
| Transfer danych | Odbieranie danych z | Brak źródeł | System Windows | |
| Transfer danych | Wybieranie aplikacji do wykluczenia | Domyślne /skype; ustawienia aplikacji; calshow; itms; itmss; itms-apps; itms-appss; itms-services; | iOS/iPadOS | |
| Transfer danych | Zapisywanie kopii danych organizacji | Blokuj | iOS/iPadOS, Android | |
| Transfer danych | Zezwalaj użytkownikom na zapisywanie kopii w wybranych usługach | OneDrive dla Firm, SharePoint Online, Biblioteka zdjęć | iOS/iPadOS, Android | |
| Transfer danych | Transfer danych telekomunikacyjnych do | Dowolna aplikacja wybierania numerów | iOS/iPadOS, Android | |
| Transfer danych | Ograniczanie wycinania, kopiowania i wklejania między aplikacjami | Aplikacje zarządzane przez zasady z wklejaczem | iOS/iPadOS, Android | |
| Transfer danych | Zezwalaj na wycinanie, kopiowanie i wklejanie | Brak miejsca docelowego ani źródła | System Windows | |
| Transfer danych | Przechwytywanie ekranu i Asystent Google | Blokuj | Android | |
| Funkcjonalność | Ograniczanie transferu zawartości internetowej za pomocą innych aplikacji | Microsoft Edge | iOS/iPadOS, Android | |
| Funkcjonalność | Powiadomienia o danych organizacji | Blokuj dane organizacji | iOS/iPadOS, Android | Aby uzyskać listę aplikacji, które obsługują to ustawienie, zobacz ustawienia zasad ochrony aplikacji systemu iOS i Ustawienia zasad ochrony aplikacji systemu Android. |
Uruchamianie warunkowe
| Ustawienie | Opis ustawienia | Wartość/akcja | Platforma | Uwagi |
|---|---|---|---|---|
| Warunki aplikacji | Wyłączone konto | N/A/ Blokuj dostęp | iOS/iPadOS, Android, Windows | |
| Warunki urządzenia | Minimalna wersja systemu operacyjnego |
Format: Major.Minor.Build Przykład: 14.8 / Blokowanie dostępu |
iOS/iPadOS | Firma Microsoft zaleca skonfigurowanie minimalnej wersji głównej systemu iOS tak, aby była zgodna z obsługiwanymi wersjami systemu iOS dla aplikacji firmy Microsoft. Aplikacje firmy Microsoft obsługują podejście N-1, w którym N jest bieżącą wersją główną systemu iOS. W przypadku wartości wersji pomocniczych i wersji kompilacji firma Microsoft zaleca upewnienie się, że urządzenia są aktualne z odpowiednimi aktualizacjami zabezpieczeń. Zobacz Aktualizacje zabezpieczeń firmy Apple , aby zapoznać się z najnowszymi zaleceniami firmy Apple |
| Warunki urządzenia | Minimalna wersja systemu operacyjnego |
Format: Major.Minor Przykład: 9.0 / Blokowanie dostępu |
Android | Firma Microsoft zaleca skonfigurowanie minimalnej wersji głównej systemu Android zgodnej z obsługiwanymi wersjami systemu Android dla aplikacji firmy Microsoft. Oprogramowanie OEM i urządzenia zgodne z wymaganiami zalecanymi dla systemu Android Enterprise muszą obsługiwać bieżącą wersję wysyłkową i uaktualnienie jednoliterowe. Obecnie firma Android zaleca korzystanie z systemu Android 9.0 i nowszych wersji w przypadku pracowników intelektualnych. Zobacz Wymagania zalecane dla systemu Android Enterprise dotyczące najnowszych zaleceń systemu Android |
| Warunki urządzenia | Minimalna wersja systemu operacyjnego |
Format: Kompilacja Przykład: 10.0.22621.2506 / Blokuj dostęp |
System Windows | Firma Microsoft zaleca skonfigurowanie minimalnej kompilacji systemu Windows tak, aby była zgodna z obsługiwanymi wersjami systemu Windows dla aplikacji firmy Microsoft. Obecnie firma Microsoft zaleca następujące czynności:
|
| Warunki urządzenia | Minimalna wersja poprawki |
Format: RRRR-MM-DD Przykład: 2020-01-01 / Blokowanie dostępu |
Android | Urządzenia z systemem Android mogą otrzymywać miesięczne poprawki zabezpieczeń, ale wersja jest zależna od OEM i/lub operatorów. Organizacje powinny upewnić się, że wdrożone urządzenia z systemem Android otrzymują aktualizacje zabezpieczeń przed zaimplementowaniem tego ustawienia. Zobacz Biuletyny zabezpieczeń systemu Android , aby uzyskać najnowsze wersje poprawek. |
| Warunki urządzenia | Wymagany typ oceny safetynetu | Klucz oparty na sprzęcie | Android | Zaświadczanie oparte na sprzęcie usprawnia sprawdzanie istniejącej usługi google Play Integrity, stosując nowy typ oceny o nazwie Hardware Backed, zapewniając bardziej niezawodne wykrywanie root w odpowiedzi na nowsze typy narzędzi i metod rootingu, które nie zawsze mogą być niezawodnie wykrywane przez rozwiązanie tylko oprogramowanie. Jak sama nazwa wskazuje, zaświadczanie oparte na sprzęcie używa składnika sprzętowego, który jest dostarczany z urządzeniami zainstalowanymi z systemem Android 8.1 lub nowszym. Urządzenia, które zostały uaktualnione ze starszej wersji systemu Android do systemu Android 8.1, prawdopodobnie nie będą miały składników sprzętowych niezbędnych do zaświadczania opartego na sprzęcie. Chociaż to ustawienie powinno być szeroko obsługiwane, począwszy od urządzeń dostarczanych z systemem Android 8.1, firma Microsoft zdecydowanie zaleca testowanie urządzeń indywidualnie przed szerokim włączeniem tego ustawienia zasad. |
| Warunki urządzenia | Wymagaj blokady urządzenia | Dostęp średni/blokowy | Android | To ustawienie gwarantuje, że urządzenia z systemem Android mają hasło urządzenia spełniające minimalne wymagania dotyczące hasła. |
| Warunki urządzenia | Zaświadczanie urządzenia Samsung Knox | Blokuj dostęp | Android | Firma Microsoft zaleca skonfigurowanie ustawienia zaświadczania urządzenia z systemem Samsung Knox na wartość Blokuj dostęp , aby mieć pewność, że dostęp do konta użytkownika zostanie zablokowany, jeśli urządzenie nie spełnia wymagań sprzętowej weryfikacji kondycji urządzenia w systemie Knox firmy Samsung. To ustawienie weryfikuje wszystkie Intune odpowiedzi klientów zarządzania aplikacjami mobilnymi na usługę Intune zostały wysłane z urządzenia w dobrej kondycji. To ustawienie dotyczy wszystkich urządzeń docelowych. Aby zastosować to ustawienie tylko do urządzeń firmy Samsung, możesz użyć filtrów przypisań "Aplikacje zarządzane". Aby uzyskać więcej informacji na temat filtrów przypisania, zobacz Używanie filtrów podczas przypisywania aplikacji, zasad i profilów w Microsoft Intune. |
| Warunki aplikacji | Okres prolongaty w trybie offline | 30 / Czyszczenie danych (dni) | iOS/iPadOS, Android, Windows |
Uwaga
Ustawienia uruchamiania warunkowego systemu Windows są oznaczone jako Testy kondycji.
Następny krok
Kontynuuj krok 3, aby zastosować wysoką ochronę danych w Microsoft Intune.