Ochrana dat a aplikací pomocí Microsoft IntuneProtect apps and data with Microsoft Intune

Platí pro: Intune v klasické konzoleApplies to: Intune in the classic console
Hledáte dokumentaci k Intune v Azure?Looking for documentation about Intune on Azure? Přejděte sem.Go here.

Intune chrání firemní data prostřednictvím několika technologických vrstev.Intune protects company data through multiple technology layers. Ve vrstvě identity podmíněný přístup chrání služby tím, že umožňuje přístup jenom ze spravovaných a kompatibilních zařízení.At the identity layer, conditional access protects access to services by only allowing access from managed and compliant devices. V klientské aplikační vrstvě chrání správa mobilních aplikací (MAM) před únikem informací. Zabraňuje přesunu dat do nechráněných aplikací nebo úložišť a v případě ztráty nebo odcizení zařízení vymaže data.At the client application layer, mobile application management (MAM) protects data loss by preventing data from moving to nonprotected apps or storage locations—and by wiping data when a device is lost or stolen. Doporučujeme používat tyto dvě vrstvy ochrany společně. Zabezpečíte tak data a zajistíte produktivitu mobilních pracovních sil.We recommend using these two layers of protection together to help secure data while keeping your mobile workforce productive.

Důležitým prvním krokem k ochraně dat společnosti je implementace podmíněného přístupu.An important first step to protecting company data is to implement conditional access. To provedete tak, že zajistíte, aby zařízení přistupující k těmto datům využívala bezpečnostní ochranu, jako jsou silná hesla nebo šifrování, a že tato zařízení nemají jailbreak.You do this by making sure that devices that are used to access that data are using security protections like strong passwords and encryption, and are not jailbroken. Intune umožňuje nastavit podmínky, které zařízení musí dodržovat, aby jim byl povolen přístup k datům a e-mailům společnosti.Intune lets you set conditions that the devices have to comply with before they're allowed to access your company email and data.

Podmíněný přístup je určený dvěma typy zásad, které můžete nastavit v Intune:Conditional access is determined by two types of policies that you can set in Intune:

  • Zásady dodržování předpisů určují kompatibilitu zařízení.You use compliance policies to determine the compliance of a device. Vyhodnocují nastavení a podmínky, jako jsou:They evaluate settings and conditions like:
    • Kódy PIN a hesla: Můžete vytvořit pravidla, která vyžadují hesla k odemknutí zařízení, definují vyžadovanou složitost hesel a určují další nastavení související s hesly.PINs and passwords: You can create rules to require passwords to unlock a device, for the complexity requirements of the password, and for other password settings.
    • Šifrování: Můžete omezit přístup k zařízením, která jsou šifrovaná.Encryption: You can restrict access to devices that are encrypted.
    • Zařízení nemá jailbreak ani root: Intune může zjistit, jestli má zaregistrované zařízení jailbreak.When a device is not jailbroken or rooted: Intune can detect if an enrolled device is jailbroken. Můžete nastavit zásady tak, aby u takových zařízení blokovaly přístup.You can set the policy to block access on such devices.
  • Zásady podmíněného přístupu můžete nakonfigurovat pro konkrétní službu, jako je Exchange Online nebo SharePoint Online.You configure conditional access policies for a particular service, like Exchange Online or SharePoint Online. U každé služby můžete definovat, na které skupiny uživatelů se tyto zásady mají vztahovat.For each service, you can define which groups of users these policies should apply to. Můžete například zkontrolovat, že všichni ve finančním oddělení mají přístup k firemnímu e-mailu jenom z kompatibilních zaregistrovaných zařízení.For example, you can make sure that everyone in the finance department can only access company email from enrolled and compliant devices.

Zabezpečení přístupu k prostředkům společnosti je jenom prvním krokem při ochraně firemních dat.Securing access to company resources is just the first step to protecting company data. I nadále potřebujete mít možnost chránit tato data poté, co k nim zařízení získá přístup.You still need the ability to protect data after it's been accessed on the device. Data se teď dají kopírovat, přesunout, uložit do jiného umístění nebo sdílet.The data can now be copied, moved, saved to a different location, or shared. Intune tento problém řeší tím, že poskytuje možnost omezit přesun dat vytvořením sady pravidel, jako jsou následující:Intune solves this problem by providing you with the ability to restrict data movement by creating a set of rules like:

  • Blokování kopírování a vložení nebo zamezení přesunu dat mimo pracovní kontextBlocking copy and paste, or preventing data transfer outside of the work context.
  • Zamezení zálohování do osobního cloudového úložiště a použití příkazu Uložit jakoPreventing backup to personal cloud storage and preventing "Save as".
  • Zabezpečení přístupu aplikací vyžadováním zadání kódu PIN, hesla nebo podnikových přihlašovacích údajůSecuring app access by requiring a PIN/passcode or corporate credentials.
  • Otevírání všech webových odkazů v prohlížeči spravovaném v Intune (Intune Managed Browser)Having all web links open within the Intune Managed Browser.

Tyto sady pravidel se označují jako zásady správy mobilních aplikací (MAM).These set of rules are referred to as mobile application management (MAM) policies. Zásady MAM můžete použít u aplikací spuštěných na zařízeních, která můžete nebo nemusíte spravovat.You can apply MAM policies to apps that are running on devices that might or might not be managed by you.

Data společnosti můžete chránit použitím zásad MAM pro zařízení, která jsou zaregistrovaná v Intune, zařízení, která jsou zaregistrovaná a spravovaná jiným řešením správy mobilních zařízení (MDM) třetí strany, nebo zařízení, která nejsou registrovaná v žádném řešení MDM, jako jsou třeba vlastní zařízení jednotlivých zaměstnanců.You can protect your company data by using MAM policies for devices that are enrolled in Intune, devices that are enrolled and managed by another third-party mobile device management (MDM) solution, or devices that are not enrolled in any MDM solution, like employee-owned devices.

Aby bylo možné aplikaci přidružit k zásadě MAM, musí mít začleněnou sadu Microsoft Intune App Software Development Kit (SDK) nebo můžete použít nástroj App Wrapping.To associate an app with a MAM policy, the app must incorporate the Microsoft Intune App Software Development Kit (SDK), or you can use the App Wrapping Tool.

Například aplikace Microsoft Office mají sadu Intune App SDK integrovanou.Apps like Microsoft Office apps have the Intune App SDK built in. Úplný seznam podporovaných aplikací najdete v galerii mobilních aplikací Microsoft Intune na stránce aplikací pro Microsoft Intune od partnerů.You can see the full list of supported apps in the Microsoft Intune mobile application gallery on the Microsoft Intune application partners page. Pokud zvolíte aplikaci, můžete zjistit podporované scénáře, platformy a to, jestli aplikace podporuje víc identit.Choose the app to see the supported scenarios and platforms, and whether the app supports multi-identity.

Můžete taky povolit vlastním obchodním aplikacím použití se zásadami MAM.You can also enable your custom-built line-of-business apps to use with MAM policies.

Když dojde ke ztrátě nebo odcizení zařízení nebo když uživatel přestane pracovat ve vaší společnosti, můžete kromě omezení přesunu dat taky selektivně vymazat firemní data a ponechat tak v zařízení jenom osobní data.In addition to restricting data movement, if a device gets lost or stolen or the user is no longer working with your company, you can selectively wipe company data, which leaves only personal data behind.

Pokud chcete odeslat svůj názor na produkt, navštivte Intune Feedback