Этап 3. Применение высокой защиты данных
Рекомендуемые параметры защиты приложений
Используйте следующие рекомендуемые параметры защиты приложений при создании и применении защиты приложений Intune для корпоративной защиты данных уровня 3.
Высокий уровень защиты корпоративных данных уровня 3
Уровень 3 — это конфигурация защиты данных, рекомендуемая в качестве стандарта для организаций с большими и сложными организациями по обеспечению безопасности, а также для конкретных пользователей и групп, которые будут однозначно атакованы злоумышленниками. Такие организации, как правило, являются мишенью хорошо финансируемых и изощренных злоумышленников, и, как таковые, заслуживают дополнительных ограничений и средств контроля, описанных. Эта конфигурация расширяет конфигурацию уровня 2, ограничивая дополнительные сценарии передачи данных, усложняя конфигурацию ПИН-кода и добавляя обнаружение угроз для мобильных устройств.
Важно!
Параметры политики, применяемые на уровне 3, включают все параметры политики, рекомендуемые для уровня 2, но перечислены только те параметры ниже, которые были добавлены или изменены для реализации дополнительных элементов управления и более сложной конфигурации, чем уровень 2. Эти параметры политики могут оказать потенциально значительное влияние на пользователей или приложения, обеспечивая уровень безопасности, соизмеримый с рисками, с которыми сталкиваются целевые организации.
Защита данных
| Setting | Описание параметра | Значение | Платформа | Примечания |
|---|---|---|---|---|
| Передача данных | Transfer telecommunication data to (Перенос телекоммуникационных данных в) | Любое приложение набора номера, управляемое политикой | Android | Администраторы также могут настроить этот параметр для использования приложения набора номера, которое не поддерживает политики защиты приложений, выбрав определенное приложение для набора номера и указав значения Идентификатор пакета приложения для набора номера и Имя приложения набора номера. |
| Передача данных | Transfer telecommunication data to (Перенос телекоммуникационных данных в) | Определенное приложение для набора номера | iOS/iPadOS | |
| Передача данных | Схема URL-адресов приложения для набора номера | replace_with_dialer_app_url_scheme | iOS/iPadOS | В iOS/iPadOS это значение должно быть заменено схемой URL-адресов для используемого пользовательского приложения набора номера. Если схема URL-адресов не известна, обратитесь за дополнительными сведениями к разработчику приложения. Дополнительные сведения о схемах URL-адресов см. в разделе Определение пользовательской схемы URL-адресов для приложения. |
| Передача данных | Получать данные из других приложений | Приложения, управляемые политикой | iOS/iPadOS, Android | |
| Передача данных | Открывать данные в документах организации | Блокировка | iOS/iPadOS, Android | |
| Передача данных | Разрешить пользователям открывать данные из выбранных служб | OneDrive для бизнеса, SharePoint, камера, библиотека фотографий | iOS/iPadOS, Android | Дополнительные сведения см. в разделах Параметры политики защиты приложений Android и Параметры политики защиты приложений iOS. |
| Передача данных | Клавиатуры сторонних производителей | Блокировка | iOS/iPadOS | В iOS/iPadOS это блокирует работу всех сторонних клавиатур в приложении. |
| Передача данных | Утвержденные клавиатуры | Обязательность | Android | |
| Передача данных | Выбор клавиатуры для утверждения | добавление и удаление клавиатур | Android | В Android клавиатуры должны быть выбраны для использования на основе развернутых устройств Android. |
| функциональность. | Печать данных организации | Блокировка | iOS/iPadOS, Android, Windows |
Требования к доступу
| Setting | Значение | Платформа |
|---|---|---|
| Простой ПИН-код | Блокировка | iOS/iPadOS, Android |
| Выберите Минимальная длина ПИН-кода | 6 | iOS/iPadOS, Android |
| Смена ПИН-кода после количества дней | Да | iOS/iPadOS, Android |
| Количество дней | 365 | iOS/iPadOS, Android |
| Биометрия класса 3 (Android 9.0 и более поздних версий) | Обязательность | Android |
| Переопределение биометрии с помощью ПИН-кода после биометрических обновлений | Обязательность | Android |
Условный запуск
| Setting | Описание параметра | Значение и действие | Платформа | Примечания |
|---|---|---|---|---|
| Условия устройства | Требовать блокировку устройства | Высокий или заблокированный доступ | Android | Этот параметр гарантирует, что на устройствах Android есть пароль устройства, соответствующий минимальным требованиям к паролю. |
| Условия устройства | Максимальный допустимый уровень угроз для устройства | Защищенный или заблокированный доступ | Windows | |
| Условия устройства | Устройства со снятой защитой или административным доступом | N/A / Очистка данных | iOS/iPadOS, Android | |
| Условия устройства | Максимальный допустимый уровень угрозы | Защищенный или заблокированный доступ | iOS/iPadOS, Android | Незарегистрированные устройства можно проверить на наличие угроз с помощью Mobile Threat Defense. Дополнительные сведения см. в статье Mobile Threat Defense для незарегистрированных устройств. Если устройство зарегистрировано, этот параметр можно пропустить в пользу развертывания Mobile Threat Defense для зарегистрированных устройств. Дополнительные сведения приведены в статье Защита от угроз на мобильных устройствах для зарегистрированных устройств. |
| Условия устройства | Максимальная версия ОС |
Формат: Major.Minor Пример: 11.0 / Блокировать доступ |
Android | Корпорация Майкрософт рекомендует настроить максимальную основную версию Android, чтобы гарантировать, что бета-версии или неподдерживаемые версии операционной системы не используются. Ознакомьтесь с рекомендациями android enterprise для последних рекомендаций Android. |
| Условия устройства | Максимальная версия ОС |
Формат: Major.Minor.Build Пример: 15.0 / Блокировать доступ |
iOS/iPadOS | Корпорация Майкрософт рекомендует настроить максимальную основную версию iOS/iPadOS, чтобы гарантировать, что бета-версии или неподдерживаемые версии операционной системы не используются. Последние рекомендации Apple см. в разделе Обновления системы безопасности Apple . |
| Условия устройства | Максимальная версия ОС |
Формат: Major.Minor Пример: 22631. / Блокировать доступ |
Windows | Корпорация Майкрософт рекомендует настроить максимальную основную версию Windows, чтобы гарантировать, что бета-версии или неподдерживаемые версии операционной системы не используются. |
| Условия устройства | Аттестация устройств Samsung Knox | Очистка данных | Android | Корпорация Майкрософт рекомендует настроить для параметра аттестации устройств Samsung Knox значение Очистка данных , чтобы убедиться, что данные организации будут удалены, если устройство не соответствует аппаратной проверке работоспособности устройства Samsung Knox. Этот параметр проверяет все Intune ответы клиента MAM на службу Intune были отправлены с работоспособного устройства. Этот параметр будет применяться ко всем целевым устройствам. Чтобы применить этот параметр только к устройствам Samsung, можно использовать фильтры назначений "Управляемые приложения". Дополнительные сведения о фильтрах назначений см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune. |
| Условия приложения | Период отсрочки в автономном режиме | 30 / Блокировать доступ (в днях) | iOS/iPadOS, Android, Windows |
Следующее действие
Перейдите к шагу 4, чтобы получить представление о доставке защиты приложений в Microsoft Intune.