Защита и защита приложений с помощью Microsoft Intune
После настройки и развертывания возможностей Intune, добавления приложений, которыми вы хотите управлять, в Intune и приложений, которыми вы управляете в Intune, можно приступить к созданию политик защиты приложений. политики защита приложений (APP) — это правила, гарантирующие безопасность данных вашей организации и их хранение в управляемом приложении. Эти политики обеспечивают доступ конечных пользователей к "корпоративным" данным и их перемещение, а также управление действиями, которые запрещены или отслеживаются при использовании приложения конечными пользователями. Это позволяет контролировать доступ к данным и совместное использование приложений на мобильных устройствах в вашей организации.
Содержимое, предоставленное в этом решении, поможет вам понять различные аспекты защиты приложений для каждой из поддерживаемых платформ. Кроме того, это решение поможет вам создать политики защиты приложений на основе рекомендуемых параметров для базовой, расширенной и высокоуровневой защиты приложений.
Управляемые приложения — это приложения, назначенные пользователям с помощью единого поставщика управления конечными точками, например Intune. Управляемые приложения поддерживают политики защиты приложений, а также политики конфигурации приложений. В этих приложениях используется управление мобильными приложениями (MAM), предоставляемое единым поставщиком управления конечными точками. MAM позволяет организациям управлять и защищать свои данные в приложении. Управляемое приложение в Intune — это защищенное приложение , к которому применяются политики защиты приложений Intune, и оно назначается Intune и управляется им. Управляемое приложение либо интегрировало пакет SDK для приложений Intune, либо было упаковано с помощью средства упаковки Intune для поддержки политик защиты приложений (APP) и (или) политик конфигурации приложений. Политики MAM можно использовать для настройки и защиты приложений на неуправляемых устройствах, которые являются личными устройствами конечного пользователя, которые не зарегистрированы в Intune.
Совет
Сведения о том, когда следует развернуть политики MAM, см. в статье Руководство по миграции: настройка или переход на Microsoft Intune.
Использование политик защиты приложений обеспечивает защиту данных организации на уровне приложения. Для конечных пользователей производительность не влияет, а политики защиты приложений не применяются, когда конечные пользователи используют приложение в личном контексте. Существует несколько ситуаций, в которых обычно следует использовать политики защиты приложений. Например, если конечные пользователи используют свое личное устройство, вам может потребоваться использовать политику защиты приложений для управления доступом к приложению с помощью ПИН-кода. Вы можете применить ограничения общего доступа к данным, чтобы данные вашей организации не были переданы неуправляемыми приложениями. Кроме того, может потребоваться запретить пользователям сохранять данные организации в личных расположениях. Дополнительные сведения см. в разделе Преимущества использования политик защита приложений.
Важно!
Intune можно использовать для реализации стратегии безопасности "Никому не доверяй" в организации. "Никому не доверяй" — это подход, используемый при разработке и реализации набора принципов безопасности. Дополнительные сведения см. в разделах Никому не доверяй с Microsoft Intune и конфигурации удостоверений и доступа к устройствам.
Организации могут одновременно использовать политики защиты приложений с мобильными Управление устройствами (MDM) и без нее. Например, рассмотрим пользователя (сотрудника или члена организации), который использует как телефон, выданный компанией, так и личный планшет. Телефон, выданный организацией, регистрируется в MDM и защищен политиками защиты приложений, а личное устройство защищено только политиками защиты приложений.
Поддерживаемые платформы
При создании политики защиты приложений в Intune поддерживаются три основные платформы.
| Платформа | Описание |
|---|---|
| iOS/iPadOS | Политики защиты приложений можно применять к приложениям iOS/iPadOS, которые были разработаны для поддержки возможностей защиты приложений Intune. Вы можете применить защиту приложений к группам пользователей, которые входят на устройства iOS/iPadOS. В частности, вы можете применить защиту приложений на основе защиты данных, требований к доступу и параметров условного запуска в политике защиты приложений для iOS/iPadOS. Дополнительные сведения см. в разделе Параметры политики защиты приложений iOS в Microsoft Intune. |
| Android | Политики защиты приложений можно применять к приложениям Android, которые были разработаны для поддержки возможностей защиты приложений Intune. Вы можете применить защиту приложений к группам пользователей, которые входят на устройства Android. В частности, вы можете применить защиту приложений на основе защиты данных, требований к доступу и параметров условного запуска в политике защиты приложений для Android. Дополнительные сведения см. в разделе Параметры политики защиты приложений Android в Microsoft Intune. |
| Windows | В настоящее время политики защиты приложений можно применять к Microsoft Edge для устройств Windows. С помощью Microsoft Edge можно управлять доступом к данным вашей организации. Вы можете применить защиту приложений к группам пользователей, которые входят на устройства Windows. В частности, вы можете применить защиту приложений на основе параметров защиты данных и проверок работоспособности в политике защиты приложений для Windows. Параметры защиты данных позволяют управлять перемещением данных в контекст организации (организации) и из нее. Контекст организации определяется документами, службами и сайтами, к которым обращается указанная учетная запись организации. Параметры политики защиты приложений можно использовать для управления внешними данными, полученными в контексте организации, и данными организации, отправляемыми из контекста организации. Эти параметры включают получение и отправку данных организации. Кроме того, можно реализовать элементы управления защиты от потери данных (DLP), такие как ограничения вырезания, копирования, вставки и сохранения как. Кроме того, можно разрешить или заблокировать печать данных организации. Дополнительные сведения см. в разделе параметры политики защита приложений для Windows. |
Дополнительные сведения о поддерживаемых платформах см. в статье Возможности управления приложениями по платформам.
Поддерживаемые приложения
Для платформ iOS/iPadOS и Android политики защиты приложений можно применять к любому управляемому приложению, которое было разработано для поддержки возможностей защиты приложений Intune. Управляемое приложение либо интегрировало пакет SDK для приложений Intune, либо было упаковано с помощью App Wrapping Tool Intune. Для платформы Windows можно включить защиту корпоративных данных на личных устройствах Windows с помощью Windows MAM. Windows MAM — это место, где вы применяете политики защиты приложений к Microsoft Edge для Windows. Microsoft Edge, а также большинство приложений Майкрософт были интегрированы для поддержки Intune с помощью пакета SDK для приложений Intune. Список приложений, которые включают интеграцию с пакетом SDK, см. в разделе Microsoft Intune защищенных приложений.
Предварительные требования
Прежде чем защищать приложения с помощью Microsoft Intune, необходимо следовать нескольким предварительным требованиям, чтобы настроить Intune, а также ознакомиться с основными конфигурациями управления приложениями.
Примечание.
Если вы не знакомы с Intune, начните с Microsoft Intune бесплатной пробной версии. Пробная версия Intune предоставляется бесплатно на 30 дней. После завершения процесса регистрации у вас будет новый клиент, который можно использовать для оценки Intune. Клиент — это выделенный экземпляр Microsoft Entra ID (Microsoft Entra ID), в котором размещена ваша подписка на Intune. Затем можно настроить клиент, который включает в себя множество возможностей, которые можно использовать для защиты организации. Один из них включает добавление и настройку приложений для Intune.
Если вы еще не настроили Intune и добавили приложения, необходимые для управления и защиты, выполните следующие действия.
- Настройка и развертывание Intune
- Общие сведения о защите приложений
- Общие сведения о типах приложений
- Добавление приложений в Intune
Важно!
Чтобы использовать Microsoft Intune вне бесплатной пробной версии, необходимо получить лицензию от корпорации Майкрософт. Дополнительные сведения о лицензиях, включающих Microsoft Intune, см. в разделе лицензирование Microsoft Intune.
Несмотря на то, что многие приложения, которые можно развернуть для членов организации, являются бесплатными, для некоторых приложений может потребоваться лицензия, подписка или учетная запись для каждого пользователя для использования приложения. Дополнительные сведения о лицензиях приложений см. в статье Общие сведения о лицензиях приложений, используемых в Intune.
Защита приложений
защита приложений можно применять к поддерживаемым управляемым приложениям на поддерживаемых платформах устройств, которые зарегистрированы в Microsoft Intune, зарегистрированы в стороннем решении для управления мобильными устройствами (MDM) или не зарегистрированы ни в одном решении по управлению мобильными устройствами.
При создании политики защиты приложений вы выбираете следующие сведения в следующем порядке:
- Платформа
- Приложение, которое вы хотите защитить
- Параметры защиты данных для приложения
- Требования к доступу для приложения
- Параметры условного запуска для приложения
В дополнение к приведенному выше списку можно также выбрать область теги и назначения приложений.
Важно!
Приложение Корпоративный портал Intune требуется на устройствах Android, так как оно позволяет пользователям устройств получать политики защиты приложений в качестве контроллера политики устройств. Это позволяет пользователям устройств получать политики защиты приложений. Дополнительные сведения см. в разделах Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и Приложения Intune и Настройка и настройка Корпоративный портал.
защита приложений категории по платформам
Для каждой поддерживаемой платформы доступны различные параметры защиты приложений. Важно понимать, что платформа iOS/iPadOS и Android имеют одинаковые категории защиты приложений. Однако Windows отличается. Платформа Windows защищает данные организации, управляя потоком данных через Microsoft Edge в хранилища вашей организации.
Совет
Сведения о том, как политики защиты приложений и соответствия требованиям вписываются в общую архитектуру Intune, см. в статье Высокоуровневая архитектура для Microsoft Intune.
При создании политики защиты приложений вы выбираете платформу, целевое приложение, а также конкретные параметры из категорий защиты приложений.
Защита данных приложений с помощью политик защиты приложений
Конечные пользователи (члены вашей организации) используют мобильные устройства как для личных, так и для рабочих задач. Убедитесь, что конечные пользователи могут быть продуктивными, вы хотите предотвратить перемещение данных вашей организации в места, где вы не можете защитить их, как в преднамеренных, так и в непреднамеренных ситуациях. Вы также хотите защитить корпоративные данные, доступ к которым осуществляется с устройств, которые не управляются вами. Политики защиты приложений Intune можно использовать независимо от любого решения для управления мобильными устройствами (MDM). Это позволит защитить данные компании как с регистрацией устройств, так и без нее в решении по управлению устройствами. Реализуя политики защиты на уровне приложений, вы можете ограничить доступ к ресурсам компании и хранить данные в пределах компетенции ИТ-отдела.
При использовании приложений без ограничений данные компании и личные данные могут смешиваться. Данные компании могут помещаться в такие расположения, как личное хранилище, или передаваться в приложения вне вашего контроля, что приводит к потере данных. В следующей таблице приведены сведения о защите данных, устройств и приложений.
| Защита данных, устройств и приложений | Описание |
|---|---|
| Приложения без политик защиты приложений | При использовании приложений без ограничений данные компании и личные данные могут смешиваться. Данные компании могут помещаться в такие расположения, как личное хранилище, или передаваться в приложения вне вашего контроля, что приводит к потере данных. |
| Защита данных с помощью политик защиты приложений | Вы можете использовать политики защита приложений, чтобы предотвратить сохранение данных компании в локальное хранилище устройства. Вы также можете ограничить перемещение данных в другие приложения, которые не защищены с помощью политик защиты приложений. |
| Защита данных с помощью политик защиты приложений на управляемых устройствах | Обеспечивает управление приложениями и устройствами и защиту. |
| Защита данных с помощью политик защиты приложений для устройств без регистрации | защита приложений политики могут помочь защитить корпоративные данные на уровне приложения. Однако существуют ограничения, связанные с развертыванием приложений, подготовкой профилей сертификатов устройств и подготовкой параметров организации устройства. Эти ограничения можно избежать, зарегистрировав устройства и управляя ими в Intune. |
Дополнительные сведения см. в разделе Защита данных приложения политиками защиты приложений.
Что в этом решении
Это решение помогает понять защиту данных приложений в Microsoft Intune. Кроме того, это решение содержит рекомендации по созданию политик защиты приложений в Intune для конкретных приложений и назначению этих политик членам организации. Выполнив указанные выше предварительные требования, вы можете создать политики защиты приложений для своей организации в Intune. Использование политик конфигурации и защиты в рамках управления приложениями позволяет членам вашей организации безопасно использовать приложения. Управляя приложениями в организации, вы помогаете защитить и защитить данные организации.
Сведения о защите приложений в Intune см. в следующих разделах:
- Общие сведения о защите данных приложения
- Общие сведения о требованиях к доступу к защите приложений
- Общие сведения об условном запуске защиты приложений
- Общие сведения о проверках работоспособности защиты приложений
Чтобы следовать рекомендуемым параметрам при добавлении политик защиты приложений в Intune, ознакомьтесь со следующими разделами:
- Применение минимальной защиты данных
- Применение расширенной защиты данных
- Применение высокой защиты данных
- Общие сведения о доставке защиты приложений
- Проверка и мониторинг защиты приложений
- Использование действий по защите приложений
Выполнив описанные выше действия, вы сможете развертывать управляемые приложения, управлять ими, а также отслеживать их.