使用应用保护策略的数据保护框架
随着越来越多的组织实施移动设备策略来访问工作或学校数据,防止数据泄露变得至关重要。 Intune用于防止数据泄漏的移动应用程序管理解决方案是应用保护策略 (APP) 。 APP 是确保组织数据在托管应用中保持安全或包含在托管应用中的规则,无论设备是否已注册。 有关详细信息,请参阅应用保护策略概述。
配置应用保护策略时,各种设置和选项的数量使组织能够根据自己的特定需求定制保护。 由于这种灵活性,实现完整方案可能需要哪种策略设置排列可能并不明显。 为了帮助组织确定客户端终结点强化工作的优先级,Microsoft为Windows 10中的安全配置引入了新的分类,Intune正在利用类似的分类来对其 APP 数据保护框架进行移动应用管理。
APP 数据保护配置框架分为三种不同的配置方案:
级别 1 企业基本数据保护 - Microsoft建议将此配置作为企业设备的最低数据保护配置。
级别 2 企业增强型数据保护 - Microsoft为用户访问敏感或机密信息的设备推荐此配置。 此配置适用于访问工作或学校数据的大多数移动用户。 某些控制可能会影响用户体验。
级别 3 企业高数据保护 - Microsoft建议此配置适用于具有更大或更复杂安全团队的组织运行的设备,或者对于具有独特高风险的特定用户或组, (处理高度敏感数据的用户,其中未经授权的披露会导致组织) 遭受重大重大损失。 一个组织可能成为资金雄厚的复杂攻击者的目标,应该渴望这种配置。
APP 数据保护框架部署方法
与任何新软件、功能或设置的部署一样,Microsoft建议在部署 APP 数据保护框架之前,投资一种用于测试验证的环形方法。 定义部署圈通常是一次性事件, (或至少不经常) ,但 IT 部门应重新访问这些组,以确保排序仍然正确。
Microsoft建议针对 APP 数据保护框架使用以下部署环方法:
| 部署环 | Tenant | 评估团队 | 输出 | 日程表 |
|---|---|---|---|---|
| 质量保证 | 预生产租户 | 移动功能所有者、安全性、风险评估、隐私、UX | 功能方案验证、草稿文档 | 0-30 天 |
| 预览 | 生产租户 | 移动功能所有者、UX | 最终用户方案验证、面向用户的文档 | 7-14 天,后期保证质量 |
| 生产 | 生产租户 | 移动功能所有者、IT 支持人员 | 不适用 | 7 天到数周,后期预览 |
如上表所示,应首先在预生产环境中执行对应用保护策略的所有更改,以了解策略设置的影响。 测试完成后,可以将更改移动到生产环境中,并应用于一部分生产用户,通常是 IT 部门和其他适用组。 最后,可以在移动用户社区的其余部分完成推出。 推出到生产环境可能需要更长的时间,具体取决于更改的影响规模。 如果没有对用户造成影响,则更改应快速推出,而如果更改导致用户影响,则由于需要将更改传达给用户群体,因此可能需要降低推出速度。
测试应用更改时,请注意 交付时间。 可以监视给定用户的应用交付状态。 有关详细信息,请参阅 如何监视应用保护策略。
可以使用 Microsoft Edge 和 有关:Intunehelp 的 URL 在设备上验证每个应用的单个应用设置。 有关详细信息,请参阅 查看客户端应用保护日志 和使用 适用于 iOS 和 Android 的 Microsoft Edge 访问托管应用日志。
APP 数据保护框架设置
应为适用的应用启用以下应用保护策略设置,并将其分配给所有移动用户。 有关每个策略设置的详细信息,请参阅 iOS 应用保护策略设置 和 Android 应用保护策略设置。
Microsoft建议查看和分类使用方案,然后使用该级别的规范性指南配置用户。 与任何框架一样,可能需要根据组织的需求调整相应级别的设置,因为数据保护必须评估威胁环境、风险偏好以及对可用性的影响。
管理员可以将示例Intune应用保护策略配置框架 JSON 模板与 Intune 的 PowerShell 脚本一起导入应用保护策略配置框架 JSON 模板,从而在其环形部署方法中合并以下配置级别,以便进行测试和生产使用。
注意
使用适用于 Windows 的 MAM 时,请参阅 windows 应用保护策略设置。
条件访问策略
若要确保只有支持应用保护策略的应用访问工作或学校帐户数据,需要Microsoft Entra条件访问策略。 条件访问:需要批准的客户端应用或应用保护策略介绍了这些策略。
有关实现特定策略的步骤,请参阅条件访问:要求批准的客户端应用或应用保护策略中的要求已批准的客户端应用或移动设备应用保护策略。 最后,实现 阻止旧式身份验证 中的步骤,以阻止支持旧式身份验证的 iOS 和 Android 应用。
注意
这些策略利用授权控件 “需要已批准的客户端应用 ”和 “需要应用保护策略”。
要包含在应用保护策略中的应用
对于每个应用保护策略,将针对核心Microsoft Apps组,其中包括以下应用:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- 待办事项
- Word
策略应包括基于业务需求的其他Microsoft应用、集成了组织中使用的Intune SDK 的其他第三方公共应用,以及已将 Intune SDK (集成或已包装) 的业务线应用。
级别 1 企业基本数据保护
级别 1 是企业移动设备的最低数据保护配置。 此配置通过要求 PIN 访问工作或学校数据、加密工作或学校帐户数据以及提供选择性擦除学校或工作数据的功能,取代了对基本Exchange Online设备访问策略的需求。 但是,与Exchange Online设备访问策略不同,以下应用保护策略设置适用于策略中选择的所有应用,从而确保数据访问不受移动消息传送方案保护。
级别 1 中的策略强制实施合理的数据访问级别,同时尽量减少对用户的影响,并在 Microsoft Intune 内创建应用保护策略时镜像默认的数据保护和访问要求设置。
数据保护
| Setting | 设置说明 | 值 | 平台 |
|---|---|---|---|
| 数据传输 | 将组织数据备份到... | 允许 | iOS/iPadOS、Android |
| 数据传输 | 将组织数据发送到其他应用 | 所有应用 | iOS/iPadOS、Android |
| 数据传输 | 将组织数据发送到 | 所有目标 | Windows |
| 数据传输 | 从其他应用接收数据 | 所有应用 | iOS/iPadOS、Android |
| 数据传输 | 从 接收数据 | 所有源 | Windows |
| 数据传输 | 限制应用之间的剪切、复制和粘贴 | 任何应用 | iOS/iPadOS、Android |
| 数据传输 | 允许剪切、复制和粘贴 | 任何目标和任何源 | Windows |
| 数据传输 | 第三方键盘 | 允许 | iOS/iPadOS |
| 数据传输 | 批准的键盘 | 不需要 | Android |
| 数据传输 | 屏幕截图和 Google 助手 | 允许 | Android |
| 加密 | 加密组织数据 | 需要 | iOS/iPadOS、Android |
| 加密 | 加密已注册设备上的组织数据 | 需要 | Android |
| 功能 | 将应用与本机联系人应用同步 | 允许 | iOS/iPadOS、Android |
| 功能 | 打印组织数据 | 允许 | iOS/iPadOS、Android、Windows |
| 功能 | 限制使用其他应用传输 Web 内容 | 任何应用 | iOS/iPadOS、Android |
| 功能 | 组织数据通知 | 允许 | iOS/iPadOS、Android |
访问要求
| 设置 | 值 | 平台 | 注释 |
|---|---|---|---|
| 需要 PIN 才能进行访问 | 需要 | iOS/iPadOS、Android | |
| PIN 类型 | 数值 | iOS/iPadOS、Android | |
| 简单 PIN | 允许 | iOS/iPadOS、Android | |
| 选择“最小 PIN 长度” | 4 | iOS/iPadOS、Android | |
| (iOS 8+/iPadOS) 访问的触摸 ID 而不是 PIN | 允许 | iOS/iPadOS | |
| 超时后使用 PIN 替代生物识别 | 需要 | iOS/iPadOS、Android | |
| 活动) 超时 (分钟 | 1440 | iOS/iPadOS、Android | |
| 用于访问 (iOS 11+/iPadOS) 的人脸 ID 而不是 PIN | 允许 | iOS/iPadOS | |
| 生物识别而不是 PIN 进行访问 | 允许 | iOS/iPadOS、Android | |
| 数天后重置 PIN | 否 | iOS/iPadOS、Android | |
| 选择要维护的先前 PIN 值的数目 | 0 | Android | |
| 设置设备 PIN 时的应用 PIN | 需要 | iOS/iPadOS、Android | 如果设备已在 Intune 中注册,则管理员可以考虑通过设备符合性策略强制实施强设备 PIN,将其设置为“不需要”。 |
| 用于访问的工作或学校帐户凭据 | 不需要 | iOS/iPadOS、Android | |
| 在(非活动状态的分钟数)后重新检查访问要求 | 30 | iOS/iPadOS、Android |
条件启动
| Setting | 设置说明 | 值/操作 | 平台 | 注释 |
|---|---|---|---|---|
| 应用条件 | 最大 PIN 尝试次数 | 5 / 重置 PIN | iOS/iPadOS、Android | |
| 应用条件 | 离线宽限期 | 10080/阻止访问 (分钟) | iOS/iPadOS、Android、Windows | |
| 应用条件 | 离线宽限期 | 90 / 擦除数据 (天) | iOS/iPadOS、Android、Windows | |
| 设备条件 | 已越狱/获得 root 权限的设备 | 不适用/阻止访问 | iOS/iPadOS、Android | |
| 设备条件 | SafetyNet 设备证明 | 基本完整性和认证设备/阻止访问 | Android | 此设置在最终用户设备上配置 Google Play 的设备完整性检查。 基本完整性验证设备的完整性。 已取得根权限的设备、模拟器、虚拟设备以及具有篡改迹象的设备无法通过基本完整性检查。 基本完整性和认证设备验证设备是否符合 Google 服务的要求。 只有经过 Google 认证的未修改的设备才能通过此检查。 |
| 设备条件 | 要求对应用进行威胁扫描 | 不适用/阻止访问 | Android | 此设置确保为最终用户设备启用 Google 的“验证应用”扫描。 如果已配置,将阻止最终用户访问,直到他们在 Android 设备上打开 Google 的应用扫描。 |
| 设备条件 | 允许的最大设备威胁级别 | 低/阻止访问 | Windows | |
| 设备条件 | 需要设备锁定 | 低/警告 | Android | 此设置可确保 Android 设备具有满足最低密码要求的设备密码。 |
注意
Windows 条件启动设置标记为 “运行状况检查”。
级别 2 企业增强型数据保护
级别 2 是建议作为用户访问更敏感信息的设备的标准数据保护配置。 这些设备如今是企业中的自然目标。 这些建议不会假设大量高技能的安全从业者,因此大多数企业组织应该可以访问这些建议。 此配置通过限制数据传输方案并要求最低操作系统版本来扩展级别 1 中的配置。
重要
在级别 2 中强制实施的策略设置包括针对级别 1 建议的所有策略设置。 但是,级别 2 仅列出那些已添加或更改的设置,以实现比级别 1 更多的控件和更复杂的配置。 虽然这些设置对用户或应用程序的影响可能略高一些,但它们强制执行的数据保护级别与用户访问移动设备上的敏感信息时面临的风险更相称。
数据保护
| Setting | 设置说明 | 值 | 平台 | 注释 |
|---|---|---|---|---|
| 数据传输 | 将组织数据备份到... | 阻止 | iOS/iPadOS、Android | |
| 数据传输 | 将组织数据发送到其他应用 | 策略托管应用 | iOS/iPadOS、Android | 使用 iOS/iPadOS,管理员可以将此值配置为“策略托管应用”、“具有 OS 共享的策略托管应用”或“具有打开/共享筛选的策略托管应用”。 如果设备还向 Intune 注册,则提供具有 OS 共享的策略托管应用。 此设置允许将数据传输到其他策略托管应用,并将文件传输到由 Intune 管理的其他应用。 使用“打开”/“共享”筛选的策略托管应用将筛选 OS“打开”/“共享”对话框,以仅显示策略托管应用。 有关详细信息,请参阅 iOS 应用保护策略设置。 |
| 数据传输 | 发送或将数据发送到 | 无目标 | Windows | |
| 数据传输 | 从 接收数据 | 无源 | Windows | |
| 数据传输 | 选择要豁免的应用 | 默认值/Skype;app-settings;calshow;itms;itmss;itms-apps;itms-appss;itms-services; | iOS/iPadOS | |
| 数据传输 | 保存组织数据的副本 | 阻止 | iOS/iPadOS、Android | |
| 数据传输 | 允许用户将副本保存到所选服务 | OneDrive for Business、SharePoint Online、照片库 | iOS/iPadOS、Android | |
| 数据传输 | 将电信数据传输到 | 任意拨号器应用 | iOS/iPadOS、Android | |
| 数据传输 | 限制应用之间的剪切、复制和粘贴 | 具有粘贴功能的策略托管应用 | iOS/iPadOS、Android | |
| 数据传输 | 允许剪切、复制和粘贴 | 无目标或源 | Windows | |
| 数据传输 | 屏幕截图和 Google 助手 | 阻止 | Android | |
| 功能 | 限制使用其他应用传输 Web 内容 | Microsoft Edge | iOS/iPadOS、Android | |
| 功能 | 组织数据通知 | 阻止组织数据 | iOS/iPadOS、Android | 有关支持此设置的应用列表,请参阅 iOS 应用保护策略设置 和 Android 应用保护策略设置。 |
条件启动
| Setting | 设置说明 | 值/操作 | 平台 | 注释 |
|---|---|---|---|---|
| 应用条件 | 已禁用帐户 | 不适用/阻止访问 | iOS/iPadOS、Android、Windows | |
| 设备条件 | 最低 OS 版本 |
格式:Major.Minor.Build 示例:14.8 /阻止访问 |
iOS/iPadOS | Microsoft 建议配置最低 iOS 主要版本,以便与 Microsoft 应用支持的 iOS 版本匹配。 Microsoft应用支持 N-1 方法,其中 N 是当前的 iOS 主要版本。 对于次要版本和内部版本值,Microsoft 建议确保设备通过相应的安全更新保持最新状态。 有关 Apple 的最新建议,请参阅 Apple 安全更新 |
| 设备条件 | 最低 OS 版本 |
格式:Major.Minor 示例:9.0 /阻止访问 |
Android | Microsoft 建议配置最低 Android 主要版本,以与 Microsoft 应用支持的 Android 版本匹配。 遵循 Android Enterprise 建议的要求的 OEM 和设备必须支持当前交付版本以及一字母升级版。 当前,Android 建议对知识工作者使用 Android 9.0 及更高版本。 有关 Android 的最新建议,请参阅 Android Enterprise 建议的要求 |
| 设备条件 | 最低 OS 版本 |
格式:生成 示例:10.0.22621.2506 /阻止访问 |
Windows | Microsoft建议配置最低 Windows 版本,以匹配Microsoft应用的受支持 Windows 版本。 目前,Microsoft建议以下内容:
|
| 设备条件 | 最低修补程序版本 |
格式:YYYY-MM-DD 示例:2020-01-01 /阻止访问 |
Android | Android 设备可以接收每月安全修补程序,但发布取决于 OEM 和/或运营商。 组织应确保已部署的 Android 设备在实现此设置之前确实收到了安全更新程序。 有关最新修补程序版本 ,请参阅 Android 安全公告 。 |
| 设备条件 | 所需的 SafetyNet 评估类型 | 硬件支持的密钥 | Android | 硬件支持证明通过应用名为“硬件支持”的新评估类型来增强现有的 Google Play 完整性服务检查,从而提供更可靠的根检测,以响应新类型的生根工具和方法,这些工具和方法不能始终由仅软件解决方案可靠地检测。 顾名思义,硬件支持证明使用基于硬件的组件,该组件随 Android 8.1 及更高版本一起安装的设备一起提供。 从较低版本的 Android 升级到 Android 8.1 的设备不太可能具有硬件支持证明所需的基于硬件的组件。 虽然这一设置应该从随附 Android 8.1 的设备开始得到广泛支持,但 Microsoft 强烈建议在广泛启用此策略设置之前单独测试设备。 |
| 设备条件 | 需要设备锁定 | 中等/阻止访问 | Android | 此设置可确保 Android 设备具有满足最低密码要求的设备密码。 |
| 设备条件 | Samsung Knox 设备证明 | 阻止访问 | Android | Microsoft建议将 Samsung Knox 设备证明 设置配置为 “阻止访问 ”,以确保如果设备不符合 Samsung 基于 Knox 硬件的设备运行状况验证,则阻止用户帐户进行访问。 此设置验证对Intune服务的所有Intune MAM 客户端响应是否从正常设备发送。 此设置适用于面向的所有设备。 若要仅将此设置应用于 Samsung 设备,可以使用“托管应用”分配筛选器。 有关分配筛选器的详细信息,请参阅在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。 |
| 应用条件 | 离线宽限期 | 30 / 擦除数据 (天) | iOS/iPadOS、Android、Windows |
注意
Windows 条件启动设置标记为 “运行状况检查”。
级别 3 企业高数据保护
级别 3 是建议作为具有大型复杂安全组织的组织的标准数据保护配置,或者针对将成为攻击者唯一目标的特定用户和组。 此类组织通常以资金雄厚的老练对手为目标,因此需要所述的其他约束和控制。 此配置通过限制其他数据传输方案、增加 PIN 配置的复杂性以及添加移动威胁检测,扩展了级别 2 中的配置。
重要
在级别 3 中强制实施的策略设置包括针对级别 2 建议的所有策略设置,但仅列出以下已添加或更改的设置,以实现比级别 2 更多的控件和更复杂的配置。 这些策略设置可能会对用户或应用程序产生潜在重大影响,从而强制执行与目标组织面临的风险相称的安全级别。
数据保护
| Setting | 设置说明 | 值 | 平台 | 注释 |
|---|---|---|---|---|
| 数据传输 | 将电信数据传输到 | 任何策略托管的拨号程序应用 | Android | 管理员还可以通过将此设置配置为使用不支持应用保护策略的 拨号程序应用,方法是选择“特定拨号程序”应用 ,并提供 “拨号程序应用包 ID ”和“ 拨号程序应用名称” 值。 |
| 数据传输 | 将电信数据传输到 | 特定拨号程序应用 | iOS/iPadOS | |
| 数据传输 | 拨号器应用 URL 方案 | replace_with_dialer_app_url_scheme | iOS/iPadOS | 在 iOS/iPadOS 上,此值必须替换为使用的自定义拨号应用的 URL 方案。 如果 URL 方案未知,请联系应用开发人员了解详细信息。 有关 URL 方案的详细信息,请参阅 为应用定义自定义 URL 方案。 |
| 数据传输 | 从其他应用接收数据 | 策略托管应用 | iOS/iPadOS、Android | |
| 数据传输 | 在组织文档中打开数据 | 阻止 | iOS/iPadOS、Android | |
| 数据传输 | 允许用户从选定服务打开数据 | OneDrive for Business、SharePoint、相机、照片库 | iOS/iPadOS、Android | 有关相关信息,请参阅 Android 应用保护策略设置 和 iOS 应用保护策略设置。 |
| 数据传输 | 第三方键盘 | 阻止 | iOS/iPadOS | 在 iOS/iPadOS 上,这会阻止所有第三方键盘在应用中运行。 |
| 数据传输 | 批准的键盘 | 需要 | Android | |
| 数据传输 | 选择要批准的键盘 | 添加/删除键盘 | Android | 对于 Android,必须选择键盘才能根据部署的 Android 设备使用。 |
| 功能 | 打印组织数据 | 阻止 | iOS/iPadOS、Android、Windows |
访问要求
| 设置 | 值 | 平台 |
|---|---|---|
| 简单 PIN | 阻止 | iOS/iPadOS、Android |
| 选择“最小 PIN 长度” | 6 | iOS/iPadOS、Android |
| 数天后重置 PIN | 是 | iOS/iPadOS、Android |
| 天数 | 365 | iOS/iPadOS、Android |
| 3 类生物识别 (Android 9.0+) | 需要 | Android |
| 生物识别更新后,使用 PIN 替代生物识别 | 需要 | Android |
条件启动
| Setting | 设置说明 | 值/操作 | 平台 | 注释 |
|---|---|---|---|---|
| 设备条件 | 需要设备锁定 | 高/块访问 | Android | 此设置可确保 Android 设备具有满足最低密码要求的设备密码。 |
| 设备条件 | 允许的最大设备威胁级别 | 安全/阻止访问 | Windows | |
| 设备条件 | 已越狱/获得 root 权限的设备 | 不适用/擦除数据 | iOS/iPadOS、Android | |
| 设备条件 | 允许的最大威胁级别 | 安全/阻止访问 | iOS/iPadOS、Android | 可以使用移动威胁防御检查未注册的设备是否有威胁。 有关详细信息,请参阅 未注册设备的移动威胁防御。 如果设备已注册,则可以跳过此设置,以便为已注册的设备部署移动威胁防御。 有关详细信息,请参阅适用于已注册设备的移动威胁防御。 |
| 设备条件 | 最高 OS 版本 |
格式:Major.Minor 示例:11.0 /阻止访问 |
Android | Microsoft建议配置最大 Android 主版本,以确保不使用操作系统的 beta 版本或不受支持版本。 有关 Android 的最新建议,请参阅 Android Enterprise 建议的要求 |
| 设备条件 | 最高 OS 版本 |
格式:Major.Minor.Build 示例:15.0 /阻止访问 |
iOS/iPadOS | Microsoft建议配置最大 iOS/iPadOS 主版本,以确保不使用操作系统的 beta 版本或不受支持版本。 有关 Apple 的最新建议,请参阅 Apple 安全更新 |
| 设备条件 | 最高 OS 版本 |
格式:Major.Minor 示例:22631。 / 阻止访问 |
Windows | Microsoft建议配置最大 Windows 主版本,以确保不使用操作系统的 beta 版本或不受支持的版本。 |
| 设备条件 | Samsung Knox 设备证明 | 擦除数据 | Android | Microsoft建议将 Samsung Knox 设备证明 设置配置为 “擦除数据 ”,以确保如果设备不符合 Samsung 基于 Knox 硬件的设备运行状况验证,则删除组织数据。 此设置验证对Intune服务的所有Intune MAM 客户端响应是否从正常设备发送。 此设置将应用于面向的所有设备。 若要仅将此设置应用于 Samsung 设备,可以使用“托管应用”分配筛选器。 有关分配筛选器的详细信息,请参阅在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器。 |
| 应用条件 | 离线宽限期 | 30 / 阻止访问 (天) | iOS/iPadOS、Android、Windows |
后续步骤
管理员可以将示例Intune应用保护策略配置框架 JSON 模板与 Intune 的 PowerShell 脚本一起导入应用保护策略配置框架 JSON 模板,从而将上述配置级别纳入其环形部署方法中,以便进行测试和生产使用。