Architektura ochrany dat s využitím zásad ochrany aplikací
Vzhledem k tomu, že více organizací implementuje strategie pro přístup k pracovním nebo školním datům pro mobilní zařízení, je ochrana před únikem dat na prvním místě. Intune řešení pro správu mobilních aplikací pro ochranu před únikem dat jsou zásady ochrany aplikací (APP). APP jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci bez ohledu na to, jestli je zařízení zaregistrované. Další informace najdete v přehledu zásad Ochrana aplikací.
Při konfiguraci zásad ochrany aplikací umožňuje počet různých nastavení a možností organizacím přizpůsobit ochranu jejich konkrétním potřebám. Díky této flexibilitě nemusí být zřejmé, jaká permutace nastavení zásad se vyžaduje k implementaci kompletního scénáře. Společnost Microsoft zavedla novou taxonomii pro konfigurace zabezpečení v Windows 10 a Intune využívá podobnou taxonomii pro svou architekturu ochrany dat aplikací pro správu mobilních aplikací, aby organizacím pomohla určit prioritu posílení zabezpečení koncových bodů klientů.
Architektura konfigurace ochrany dat aplikace je uspořádaná do tří různých scénářů konfigurace:
Základní ochrana podnikových dat úrovně 1 – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci ochrany dat pro podnikové zařízení.
Rozšířená ochrana podnikových dat úrovně 2 – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace je použitelná pro většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům. Některé ovládací prvky můžou mít vliv na uživatelské prostředí.
Vysoká ochrana dat na úrovni 3 – Microsoft doporučuje tuto konfiguraci pro zařízení, která provozuje organizace s větším nebo sofistikovanějším týmem zabezpečení, nebo pro konkrétní uživatele nebo skupiny, kteří jsou vystaveni jedinečně vysokému riziku (uživatelům, kteří zpracovávají vysoce citlivá data, když neoprávněné zpřístupnění způsobí organizaci značné podstatné ztráty). Organizace, která bude pravděpodobně cílem dobře financovaných a sofistikovaných protivníků, by měla usilovat o tuto konfiguraci.
Metodologie nasazení architektury ochrany dat APP
Stejně jako u každého nasazení nového softwaru, funkcí nebo nastavení microsoft doporučuje investovat do kruhové metodologie pro testování ověřování před nasazením architektury ochrany dat APP. Definování okruhů nasazení je obecně jednorázová událost (nebo alespoň zřídka), ale IT by se k těmto skupinám mělo znovu vrátit, aby se zajistilo, že je pořadí stále správné.
Microsoft doporučuje následující přístup k okruhu nasazení pro architekturu ochrany dat APP:
| Okruh nasazení | Tenant | Hodnotící týmy | Výstup | Časová osa |
|---|---|---|---|---|
| Kontrola kvality | Předprodukční tenant | Vlastníci mobilních funkcí, zabezpečení, posouzení rizik, ochrana osobních údajů, uživatelské prostředí | Ověření funkčního scénáře, koncept dokumentace | 0–30 dnů |
| Náhled | Produkční tenant | Vlastníci mobilních funkcí, uživatelské prostředí | Ověření scénáře koncového uživatele, dokumentace orientovaná na uživatele | 7–14 dní, po kontrole kvality |
| Produkce | Produkční tenant | Vlastníci mobilních funkcí, technická podpora IT | Není k dispozici. | 7 dní až několik týdnů, po náhledu |
Jak ukazuje výše uvedená tabulka, všechny změny zásad ochrany aplikací by se měly nejprve provést v předprodukčním prostředí, aby se porozumělo důsledkům nastavení zásad. Po dokončení testování je možné změny přesunout do produkčního prostředí a aplikovat je na podmnožinu uživatelů v produkčním prostředí, obecně it oddělení a další příslušné skupiny. A nakonec může být zavedení dokončeno pro zbytek komunity mobilních uživatelů. Uvedení do produkčního prostředí může v závislosti na rozsahu dopadu změny trvat delší dobu. Pokud to nemá žádný dopad na uživatele, měla by se změna zavést rychle, zatímco pokud má změna dopad na uživatele, může být zavedení potřeba zpomalit, protože je potřeba informovat o změnách v populaci uživatelů.
Při testování změn aplikace mějte na paměti načasování doručení. Stav doručení APLIKACE pro daného uživatele je možné monitorovat. Další informace najdete v tématu Jak monitorovat zásady ochrany aplikací.
Jednotlivá nastavení aplikace pro každou aplikaci je možné ověřit na zařízeních pomocí Microsoft Edge a adresy URL about:Intunehelp. Další informace najdete v tématech Kontrola protokolů ochrany klientských aplikací a Použití Microsoft Edge pro iOS a Android k přístupu k protokolům spravovaných aplikací.
Nastavení architektury ochrany dat APP
Následující nastavení zásad ochrany aplikací by mělo být povolené pro příslušné aplikace a přiřazené všem mobilním uživatelům. Další informace o jednotlivých nastaveních zásad najdete v tématu Nastavení zásad ochrany aplikací pro iOS a Nastavení zásad ochrany aplikací pro Android.
Microsoft doporučuje, abyste si prostudovali a kategorizovali scénáře použití a pak pomocí pokynů pro danou úroveň konfigurujte uživatele. Stejně jako u každé architektury může být potřeba upravit nastavení v rámci odpovídající úrovně na základě potřeb organizace, protože ochrana dat musí vyhodnocovat prostředí hrozeb, chuť k riziku a dopad na použitelnost.
Správci můžou do metodologie nasazení okruhu začlenit následující úrovně konfigurace pro testování a produkční použití importem ukázkových šablon JSON Intune App Protection Policy Configuration Framework pomocí skriptů PowerShellu Intune.
Poznámka
Pokud používáte MAM pro Windows, přečtěte si téma Ochrana aplikací nastavení zásad pro Windows.
Zásady podmíněného přístupu
Pokud chcete zajistit, aby k datům pracovního nebo školního účtu přistupovaly jenom aplikace podporující zásady ochrany aplikací, vyžadují se zásady podmíněného přístupu Microsoft Entra. Tyto zásady jsou popsané v tématu Podmíněný přístup: Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací.
Postup implementace konkrétních zásad najdete v tématu Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací u mobilních zařízení v tématu Podmíněný přístup: Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací . Nakonec implementujte kroky v tématu Blokování starší verze ověřování a zablokujte starší verze aplikací pro iOS a Android podporující ověřování.
Poznámka
Tyto zásady využívají ovládací prvky udělení oprávnění Vyžadovat schválenou klientskou aplikaci a Vyžadovat zásady ochrany aplikací.
Aplikace, které se mají zahrnout do zásad ochrany aplikací
Pro každou zásadu ochrany aplikací je cílem skupina Core Microsoft Apps, která zahrnuje následující aplikace:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- To Do
- Word
Zásady by měly zahrnovat další aplikace Microsoftu založené na obchodních potřebách, další veřejné aplikace třetích stran, které integrovaly sadu Intune SDK používanou v rámci organizace, a také obchodní aplikace, které integrovaly sadu Intune SDK (nebo byly zabaleny).
Základní ochrana dat úrovně 1
Úroveň 1 je minimální konfigurace ochrany dat pro podnikové mobilní zařízení. Tato konfigurace nahrazuje potřebu základních zásad Exchange Online přístupu k zařízením tím, že vyžaduje pin kód pro přístup k pracovním nebo školním datům, zašifruje data pracovního nebo školního účtu a poskytuje možnost selektivně vymazat školní nebo pracovní data. Na rozdíl od Exchange Online zásad přístupu zařízení se ale níže uvedená nastavení zásad ochrany aplikací vztahují na všechny aplikace vybrané v zásadách, čímž se zajistí ochrana přístupu k datům i mimo scénáře zasílání mobilních zpráv.
Zásady na úrovni 1 vynucují přiměřenou úroveň přístupu k datům a současně minimalizují dopad na uživatele a odrážejí výchozí nastavení ochrany dat a požadavků na přístup při vytváření zásad ochrany aplikací v rámci Microsoft Intune.
Ochrana dat
| Nastavení | Popis nastavení | Hodnota | Platforma |
|---|---|---|---|
| Přenos dat | Zálohovat data organizace do... | Povolit | iOS/iPadOS, Android |
| Přenos dat | Odesílání dat organizace do jiných aplikací | Všechny aplikace | iOS/iPadOS, Android |
| Přenos dat | Odeslání dat organizace na adresu | Všechny cíle | Windows |
| Přenos dat | Příjem dat z jiných aplikací | Všechny aplikace | iOS/iPadOS, Android |
| Přenos dat | Příjem dat z | Všechny zdroje | Windows |
| Přenos dat | Omezení vyjmutí, kopírování a vkládání mezi aplikacemi | Libovolná aplikace | iOS/iPadOS, Android |
| Přenos dat | Povolit vyjmutí, kopírování a vložení pro | Jakýkoli cíl a jakýkoli zdroj | Windows |
| Přenos dat | Klávesnice třetích stran | Povolit | iOS/iPadOS |
| Přenos dat | Schválené klávesnice | Nepožaduje se | Android |
| Přenos dat | Snímek obrazovky a Google Assistant | Povolit | Android |
| Šifrování | Šifrování dat organizace | Vyžadují | iOS/iPadOS, Android |
| Šifrování | Šifrování dat organizace na zaregistrovaných zařízeních | Vyžadují | Android |
| Funkce | Synchronizace aplikace s nativní aplikací kontaktů | Povolit | iOS/iPadOS, Android |
| Funkce | Tisk dat organizace | Povolit | iOS/iPadOS, Android, Windows |
| Funkce | Omezení přenosu webového obsahu s jinými aplikacemi | Libovolná aplikace | iOS/iPadOS, Android |
| Funkce | Oznámení o datech organizace | Povolit | iOS/iPadOS, Android |
Požadavky na přístup
| Nastavení | Hodnota | Platforma | Poznámky |
|---|---|---|---|
| PIN kód pro přístup | Vyžadují | iOS/iPadOS, Android | |
| Typ PIN kódu | Číselné | iOS/iPadOS, Android | |
| Jednoduchý PIN kód | Povolit | iOS/iPadOS, Android | |
| Vyberte Minimální délka PIN kódu. | 4 | iOS/iPadOS, Android | |
| Touch ID místo PIN kódu pro přístup (iOS 8+/iPadOS) | Povolit | iOS/iPadOS | |
| Přepsání biometriky pin kódem po vypršení časového limitu | Vyžadují | iOS/iPadOS, Android | |
| Časový limit (minuty aktivity) | 1440 | iOS/iPadOS, Android | |
| Face ID místo PIN kódu pro přístup (iOS 11+/iPadOS) | Povolit | iOS/iPadOS | |
| Biometrické místo PIN kódu pro přístup | Povolit | iOS/iPadOS, Android | |
| Resetování PIN kódu po počtu dnů | Ne | iOS/iPadOS, Android | |
| Vyberte počet předchozích hodnot PIN, které chcete zachovat. | 0 | Android | |
| PIN kód aplikace při nastavení PIN kódu zařízení | Vyžadují | iOS/iPadOS, Android | Pokud je zařízení zaregistrované v Intune, můžou správci zvážit nastavení na Hodnotu Není povinné, pokud prostřednictvím zásad dodržování předpisů zařízením vynucují silný PIN kód zařízení. |
| Přihlašovací údaje k pracovnímu nebo školnímu účtu pro přístup | Nepožaduje se | iOS/iPadOS, Android | |
| Znovu zkontrolovat požadavky na přístup po (minuty nečinnosti) | 30 | iOS/iPadOS, Android |
Podmíněné spuštění
| Nastavení | Popis nastavení | Hodnota / akce | Platforma | Poznámky |
|---|---|---|---|---|
| Podmínky aplikace | Maximální počet pokusů o PIN kód | 5 / Resetování PIN kódu | iOS/iPadOS, Android | |
| Podmínky aplikace | Období odkladu offline | 1440 / Blokování přístupu (minuty) | iOS/iPadOS, Android, Windows | |
| Podmínky aplikace | Období odkladu offline | 90 / Vymazání dat (dny) | iOS/iPadOS, Android, Windows | |
| Podmínky zařízení | Zařízení s jailbreakem nebo rootem | Není k dispozici / Blokovat přístup | iOS/iPadOS, Android | |
| Podmínky zařízení | Ověření identity zařízení SafetyNet | Základní integrita a certifikovaná zařízení / Blokování přístupu | Android | Toto nastavení nakonfiguruje kontrolu integrity zařízení Google Play na zařízeních koncových uživatelů. Základní integrita ověřuje integritu zařízení. Rootovaná zařízení, emulátory, virtuální zařízení a zařízení se známkami manipulace selhávají v základní integritě. Základní integrita a certifikovaná zařízení ověřují kompatibilitu zařízení se službami Společnosti Google. Touto kontrolou můžou projít jenom neupravená zařízení certifikovaná společností Google. |
| Podmínky zařízení | Vyžadovat kontrolu hrozeb u aplikací | Není k dispozici / Blokovat přístup | Android | Toto nastavení zajistí, že pro zařízení koncových uživatelů je zapnutá kontrola Google Verify Apps. Pokud je tato konfigurace nakonfigurovaná, bude koncovému uživateli zablokován přístup, dokud na zařízení s Androidem nezapne vyhledávání aplikací Googlem. |
| Podmínky zařízení | Maximální povolená úroveň hrozby zařízení | Nízký nebo blokovaný přístup | Windows | |
| Podmínky zařízení | Vyžadovat zámek zařízení | Nízká/upozornění | Android | Toto nastavení zajišťuje, aby zařízení s Androidem měla heslo, které splňuje minimální požadavky na heslo. |
Poznámka
Nastavení podmíněného spuštění Windows jsou označená jako Kontroly stavu.
Rozšířená ochrana dat úrovně 2 pro podniky
Úroveň 2 je konfigurace ochrany dat doporučená jako standard pro zařízení, kde uživatelé přistupujte k citlivějším informacím. Tato zařízení jsou v dnešních podnicích přirozeným cílem. Tato doporučení nepředpokládá velký počet vysoce kvalifikovaných odborníků na zabezpečení, a proto by měla být přístupná většině podnikových organizací. Tato konfigurace rozšiřuje konfiguraci na úrovni 1 tím, že omezuje scénáře přenosu dat a vyžaduje minimální verzi operačního systému.
Nastavení zásad vynucená na úrovni 2 zahrnují všechna nastavení zásad doporučená pro úroveň 1. Úroveň 2 ale obsahuje jenom ta nastavení, která byla přidána nebo změněna, aby implementovala více ovládacích prvků a sofistikovanější konfiguraci než úroveň 1. I když tato nastavení můžou mít o něco větší dopad na uživatele nebo aplikace, vynucují úroveň ochrany dat, která je pravděpodobnější pro uživatele s přístupem k citlivým informacím na mobilních zařízeních.
Ochrana dat
| Nastavení | Popis nastavení | Hodnota | Platforma | Poznámky |
|---|---|---|---|---|
| Přenos dat | Zálohovat data organizace do... | Blokování | iOS/iPadOS, Android | |
| Přenos dat | Odesílání dat organizace do jiných aplikací | Aplikace spravované zásadami | iOS/iPadOS, Android | V iOS/iPadOS můžou správci nakonfigurovat tuto hodnotu tak, aby byla "Aplikace spravované zásadami", "Aplikace spravované podle zásad se sdílením operačního systému" nebo "Aplikace spravované podle zásad s filtrováním open-in/share". Aplikace spravované zásadami se sdílením operačního systému jsou k dispozici, když je zařízení zaregistrované také v Intune. Toto nastavení umožňuje přenos dat do jiných aplikací spravovaných zásadami a přenosy souborů do jiných aplikací spravovaných Intune. Aplikace spravované podle zásad s filtrováním Open-In/Share filtrují dialogová okna Otevřít v nebo Sdílet operačního systému tak, aby zobrazovaly jenom aplikace spravované zásadami. Další informace najdete v tématu Nastavení zásad ochrany aplikací pro iOS. |
| Přenos dat | Odeslání nebo data do | Žádné cíle | Windows | |
| Přenos dat | Příjem dat z | Žádné zdroje | Windows | |
| Přenos dat | Vyberte aplikace, které chcete vyloučit. | Výchozí / skype; nastavení aplikace; calshow; itms; itmss; itms-apps; itms-appss; itms-services; | iOS/iPadOS | |
| Přenos dat | Uložení kopií dat organizace | Blokování | iOS/iPadOS, Android | |
| Přenos dat | Povolit uživatelům ukládat kopie do vybraných služeb | OneDrive pro firmy, SharePoint Online, Knihovna fotek | iOS/iPadOS, Android | |
| Přenos dat | Přenos telekomunikačních dat do | Libovolná aplikace pro vytáčení | iOS/iPadOS, Android | |
| Přenos dat | Omezení vyjmutí, kopírování a vkládání mezi aplikacemi | Aplikace spravované podle zásad s vložením | iOS/iPadOS, Android | |
| Přenos dat | Povolit vyjmutí, kopírování a vložení pro | Žádný cíl ani zdroj | Windows | |
| Přenos dat | Snímek obrazovky a Google Assistant | Blokování | Android | |
| Funkce | Omezení přenosu webového obsahu s jinými aplikacemi | Microsoft Edge | iOS/iPadOS, Android | |
| Funkce | Oznámení o datech organizace | Blokovat data organizace | iOS/iPadOS, Android | Seznam aplikací, které toto nastavení podporují, najdete v tématu Nastavení zásad ochrany aplikací pro iOS a Nastavení zásad ochrany aplikací pro Android. |
Podmíněné spuštění
| Nastavení | Popis nastavení | Hodnota / akce | Platforma | Poznámky |
|---|---|---|---|---|
| Podmínky aplikace | Zakázaný účet | Není k dispozici / Blokovat přístup | iOS/iPadOS, Android, Windows | |
| Podmínky zařízení | Minimální verze operačního systému | Formát: Major.Minor.Build Příklad: 14.8 / Blokovat přístup |
iOS/iPadOS | Microsoft doporučuje nakonfigurovat minimální hlavní verzi iOS tak, aby odpovídala podporovaným verzím iOS pro aplikace Microsoftu. Aplikace Microsoftu podporují přístup N-1, kde N je aktuální hlavní verze iOS. V případě hodnot podverze a buildů microsoft doporučuje zajistit, aby zařízení byla aktuální s příslušnými aktualizacemi zabezpečení. Nejnovější doporučení společnosti Apple najdete v tématu Aktualizace zabezpečení Společnosti Apple . |
| Podmínky zařízení | Minimální verze operačního systému | Formát: Major.Minor Příklad: 9.0 / Blokovat přístup |
Android | Microsoft doporučuje nakonfigurovat minimální hlavní verzi Androidu tak, aby odpovídala podporovaným verzím Androidu pro aplikace Microsoftu. Výrobce OEM a zařízení, která splňují doporučené požadavky androidu Enterprise, musí podporovat aktuální vydání expedice a upgrade o jeden dopis. V současné době Android doporučuje android 9.0 a novější pro pracovníky znalostí. Nejnovější doporučení pro Android najdete v tématu Doporučené požadavky na Android Enterprise . |
| Podmínky zařízení | Minimální verze operačního systému | Formát: Sestavení Příklad: 10.0.22621.2506 / Blokování přístupu |
Windows | Microsoft doporučuje nakonfigurovat minimální build Windows tak, aby odpovídal podporovaným verzím Windows pro aplikace Microsoft. V současné době Microsoft doporučuje následující:
|
| Podmínky zařízení | Minimální verze opravy | Formát: RRRR-MM-DD Příklad: 2020-01-01 / Blokovat přístup |
Android | Zařízení s Androidem můžou dostávat měsíční opravy zabezpečení, ale vydání závisí na OEM nebo operátorech. Organizace by měly před implementací tohoto nastavení zajistit, aby nasazená zařízení s Androidem dostávala aktualizace zabezpečení. Nejnovější vydání oprav najdete v bulletinech zabezpečení pro Android . |
| Podmínky zařízení | Požadovaný typ vyhodnocení SafetyNet | Klíč s hardwarovým zálohováním | Android | Ověření identity na základě hardwaru vylepšuje stávající kontrolu integrity služby Google Play tím, že používá nový typ vyhodnocení s názvem Hardware Backed a poskytuje robustnější detekci kořenového adresáře v reakci na novější typy nástrojů a metod rootingu, které nemusí být vždy spolehlivě detekovány řešením výhradně pro software. Jak už název napovídá, ověřování pomocí hardwaru používá hardwarovou součást, která se dodává se zařízeními nainstalovanými s Androidem 8.1 a novějším. Zařízení, která byla upgradována ze starší verze Androidu na Android 8.1, pravděpodobně nebudou mít hardwarové komponenty potřebné pro ověření identity pomocí hardwaru. I když by toto nastavení mělo být široce podporováno od zařízení, která se dodávají s Androidem 8.1, Microsoft důrazně doporučuje, aby se zařízení testovala jednotlivě, než toto nastavení zásad povolíte obecně. |
| Podmínky zařízení | Vyžadovat zámek zařízení | Střední/blokový přístup | Android | Toto nastavení zajišťuje, aby zařízení s Androidem měla heslo, které splňuje minimální požadavky na heslo. |
| Podmínky zařízení | Ověření identity zařízení Samsung Knox | Blokovat přístup | Android | Microsoft doporučuje nakonfigurovat nastavení ověření identity zařízení Samsung Knox na Blokovat přístup , aby se zajistilo, že uživatelský účet bude zablokován přístup, pokud zařízení nesplňuje hardwarové ověření stavu zařízení Knox společnosti Samsung. Toto nastavení ověří, že všechny odpovědi klienta MAM Intune službě Intune byly odeslány ze zařízení, které je v pořádku. Toto nastavení platí pro všechna cílová zařízení. Pokud chcete toto nastavení použít jenom u zařízení Samsung, můžete použít filtry přiřazení Spravované aplikace. Další informace o filtrech přiřazení najdete v tématu Použití filtrů při přiřazování aplikací, zásad a profilů v Microsoft Intune. |
| Podmínky aplikace | Období odkladu offline | 21 / Vymazání dat (dny) | Windows |
Poznámka
Nastavení podmíněného spuštění Windows jsou označená jako Kontroly stavu.
Úroveň 3 – vysoká ochrana podnikových dat
Úroveň 3 je konfigurace ochrany dat doporučená jako standard pro organizace s velkými a sofistikovanými organizacemi zabezpečení nebo pro konkrétní uživatele a skupiny, na které budou jedinečně cílit nežádoucí osoby. Tyto organizace jsou obvykle cílem dobře financovaných a sofistikovaných nepřátel a jako takové si zaslouží další popsaná omezení a kontroly. Tato konfigurace rozšiřuje konfiguraci na úrovni 2 omezením dalších scénářů přenosu dat, zvýšením složitosti konfigurace PIN kódu a přidáním detekce mobilních hrozeb.
Nastavení zásad vynucovaná na úrovni 3 zahrnují všechna nastavení zásad doporučená pro úroveň 2, ale uvádí pouze níže uvedená nastavení, která byla přidána nebo změněna tak, aby implementovala více ovládacích prvků a sofistikovanější konfiguraci než úroveň 2. Tato nastavení zásad mohou mít potenciálně významný dopad na uživatele nebo aplikace a vynucovat úroveň zabezpečení odpovídající rizikům, kterým čelí cílové organizace.
Ochrana dat
| Nastavení | Popis nastavení | Hodnota | Platforma | Poznámky |
|---|---|---|---|---|
| Přenos dat | Přenos telekomunikačních dat do | Libovolná aplikace vytáčení spravované zásadami | Android | Správci můžou toto nastavení také nakonfigurovat tak, aby používala aplikaci vytáčení, která nepodporuje zásady ochrany aplikací, a to tak, že vyberou konkrétní aplikaci vytáčení a zadají hodnoty ID balíčku aplikace pro vytáčení a Název aplikace vytáčení . |
| Přenos dat | Přenos telekomunikačních dat do | Konkrétní aplikace vytáčení | iOS/iPadOS | |
| Přenos dat | Schéma adres URL aplikace dialeru | replace_with_dialer_app_url_scheme | iOS/iPadOS | V systému iOS/iPadOS musí být tato hodnota nahrazena schématem adres URL pro vlastní aplikaci vytáčení, která se používá. Pokud schéma adresy URL není známé, požádejte o další informace vývojáře aplikace. Další informace o schématech adres URL najdete v tématu Definování vlastního schématu adres URL pro vaši aplikaci. |
| Přenos dat | Příjem dat z jiných aplikací | Aplikace spravované zásadami | iOS/iPadOS, Android | |
| Přenos dat | Otevření dat v dokumentech organizace | Blokování | iOS/iPadOS, Android | |
| Přenos dat | Povolit uživatelům otevírat data z vybraných služeb | OneDrive pro firmy, SharePoint, Fotoaparát, Knihovna fotek | iOS/iPadOS, Android | Související informace najdete v tématu Nastavení zásad ochrany aplikací pro Android a Nastavení zásad ochrany aplikací pro iOS. |
| Přenos dat | Klávesnice třetích stran | Blokování | iOS/iPadOS | V iOS/iPadOS to blokuje fungování všech klávesnic třetích stran v rámci aplikace. |
| Přenos dat | Schválené klávesnice | Vyžadují | Android | |
| Přenos dat | Výběr klávesnic ke schválení | přidání nebo odebrání klávesnic | Android | U Androidu musí být klávesnice vybrané, aby se mohly používat na základě nasazených zařízení s Androidem. |
| Funkce | Tisk dat organizace | Blokování | iOS/iPadOS, Android, Windows |
Požadavky na přístup
| Nastavení | Hodnota | Platforma |
|---|---|---|
| Jednoduchý PIN kód | Blokování | iOS/iPadOS, Android |
| Vyberte Minimální délka PIN kódu. | 6 | iOS/iPadOS, Android |
| Resetování PIN kódu po počtu dnů | Ano | iOS/iPadOS, Android |
| Počet dnů | 365 | iOS/iPadOS, Android |
| Biometrika třídy 3 (Android 9.0+) | Vyžadují | Android |
| Přepsání biometriky pin kódem po biometrických aktualizacích | Vyžadují | Android |
Podmíněné spuštění
| Nastavení | Popis nastavení | Hodnota / akce | Platforma | Poznámky |
|---|---|---|---|---|
| Podmínky zařízení | Vyžadovat zámek zařízení | Vysoký nebo blokovaný přístup | Android | Toto nastavení zajišťuje, aby zařízení s Androidem měla heslo, které splňuje minimální požadavky na heslo. |
| Podmínky zařízení | Maximální povolená úroveň hrozby zařízení | Zabezpečený nebo blokovaný přístup | Windows | |
| Podmínky zařízení | Zařízení s jailbreakem nebo rootem | Není k dispozici / Vymazání dat | iOS/iPadOS, Android | |
| Podmínky zařízení | Maximální povolená úroveň hrozby | Zabezpečený nebo blokovaný přístup | iOS/iPadOS, Android | Nezaregistrovaná zařízení je možné zkontrolovat, jestli nejsou ohrožena pomocí ochrany před mobilními hrozbami. Další informace najdete v tématu Ochrana před mobilními hrozbami pro nezaregistrovaná zařízení. Pokud je zařízení zaregistrované, můžete toto nastavení přeskočit ve prospěch nasazení ochrany před mobilními hrozbami pro zaregistrovaná zařízení. Další informace najdete v tématu Ochrana před mobilními hrozbami pro zaregistrovaná zařízení. |
| Podmínky zařízení | Maximální verze operačního systému | Formát: Major.Minor Příklad: 11.0 / Blokovat přístup |
Android | Microsoft doporučuje nakonfigurovat maximální hlavní verzi Androidu, aby se zajistilo, že se nebudou používat beta nebo nepodporované verze operačního systému. Nejnovější doporučení pro Android najdete v tématu Doporučené požadavky na Android Enterprise . |
| Podmínky zařízení | Maximální verze operačního systému | Formát: Major.Minor.Build Příklad: 15.0 / Blokovat přístup |
iOS/iPadOS | Microsoft doporučuje nakonfigurovat maximální hlavní verzi iOS/iPadOS, aby se zajistilo, že se nebudou používat beta nebo nepodporované verze operačního systému. Nejnovější doporučení společnosti Apple najdete v tématu Aktualizace zabezpečení Společnosti Apple . |
| Podmínky zařízení | Maximální verze operačního systému | Formát: Major.Minor Příklad: 22631. / Blokovat přístup |
Windows | Microsoft doporučuje nakonfigurovat maximální hlavní verzi Windows, aby se zajistilo, že se nebudou používat beta nebo nepodporované verze operačního systému. |
| Podmínky zařízení | Ověření identity zařízení Samsung Knox | Vymazání dat | Android | Microsoft doporučuje nakonfigurovat nastavení ověřování zařízení Samsung Knox na Vymazat data , aby se zajistilo odebrání dat organizace, pokud zařízení nesplňuje hardwarové ověření stavu zařízení Knox společnosti Samsung. Toto nastavení ověří, že všechny odpovědi klienta MAM Intune službě Intune byly odeslány ze zařízení, které je v pořádku. Toto nastavení bude platit pro všechna cílová zařízení. Pokud chcete toto nastavení použít jenom u zařízení Samsung, můžete použít filtry přiřazení Spravované aplikace. Další informace o filtrech přiřazení najdete v tématu Použití filtrů při přiřazování aplikací, zásad a profilů v Microsoft Intune. |
Další kroky
Správci můžou výše uvedené úrovně konfigurace začlenit do metodologie nasazení okruhu pro testování a produkční použití importem ukázkových šablon JSON Intune App Protection Policy Configuration Framework se skripty PowerShellu Intune.
Viz také
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro