Alkalmazások és adatok védelme a Microsoft Intune-nalProtect apps and data with Microsoft Intune

A következőkre vonatkozik: Intune a klasszikus portálonApplies to: Intune in the classic portal
Az Intune Azure Portalbeli verziójáról keres dokumentációt?Looking for documentation about Intune in the Azure portal? Lépjen tovább ide.Go here.

Az Intune a vállalati adatokat több technológiai réteg segítségével védi.Intune protects company data through multiple technology layers. Az identitáskezelő rétegben a feltételes hozzáférés gondoskodik a védelemről: a szolgáltatásokhoz csak felügyelt, illetve a szabályoknak megfelelő eszközökkel lehet hozzáférni.At the identity layer, conditional access protects access to services by only allowing access from managed and compliant devices. Az ügyfélalkalmazási rétegben a mobilalkalmazás-kezelés (MAM) gondoskodik az adatvesztés elleni védelemről. Ennek részeként megakadályozza az adatok nem védett alkalmazásokba vagy tárhelyekre történő áthelyezését, illetve az eszköz elvesztése vagy ellopása esetén törli az adatokat.At the client application layer, mobile application management (MAM) protects data loss by preventing data from moving to nonprotected apps or storage locations—and by wiping data when a device is lost or stolen. Azt javasoljuk, hogy az adatvédelem megvalósítása mellett a mobil munkaerő termelékenységének megőrzése érdekében e két védelmi réteget együttesen kell használni.We recommend using these two layers of protection together to help secure data while keeping your mobile workforce productive.

A céges adatok védelmének első fontos lépése a feltételes hozzáférés bevezetése.An important first step to protecting company data is to implement conditional access. Azért vezeti be, hogy az adatokhoz hozzáférő eszközön megfelelő biztonsági védelem legyen, például erős jelszó és titkosítás, valamint megóvja őket a feltöréstől.You do this by making sure that devices that are used to access that data are using security protections like strong passwords and encryption, and are not jailbroken. Az Intune lehetőséget biztosít olyan feltételek megadására, amelyeknek az eszközöknek meg kell felelniük ahhoz, hogy hozzáférést kapjanak a vállalati e-mailekhez és adatokhoz.Intune lets you set conditions that the devices have to comply with before they're allowed to access your company email and data.

A feltételes hozzáférést két, az Intune-ban megadható házirendtípus határozza meg:Conditional access is determined by two types of policies that you can set in Intune:

  • A Megfelelőségi szabályzatok segítségével határozza meg az eszközök megfelelőségét.You use compliance policies to determine the compliance of a device. A következőkhöz hasonló beállításokat és feltételeket értékelik ki:They evaluate settings and conditions like:
    • PIN-kód és jelszavak: Létrehozhatók olyan szabályok, amelyek jelszót kérnek egy adott eszköz feloldásához, vagy a jelszó összetettségi követelményeit és egyéb jelszóbeállításokat adnak meg.PINs and passwords: You can create rules to require passwords to unlock a device, for the complexity requirements of the password, and for other password settings.
    • Titkosítás: A hozzáférés a titkosított eszközökre korlátozható.Encryption: You can restrict access to devices that are encrypted.
    • Az eszköz nincs függetlenítve vagy feltörve: Az Intune észleli, ha egy regisztrált eszköz függetlenítve van.When a device is not jailbroken or rooted: Intune can detect if an enrolled device is jailbroken. Beállíthat egy szabályzatot is az ilyen típusú eszközök hozzáférésének letiltására.You can set the policy to block access on such devices.
  • Feltételes hozzáférési házirendek egy adott szolgáltatáshoz állíthatók be, például az Exchange Online vagy a SharePoint Online számára.You configure conditional access policies for a particular service, like Exchange Online or SharePoint Online. Minden egyes szolgáltatás esetében meghatározhatja, hogy a házirendek melyik felhasználói csoportokra vonatkozzon.For each service, you can define which groups of users these policies should apply to. Biztosíthatja például, hogy a pénzügyi részleg dolgozói csak a regisztrált és a házirendeknek megfelelő eszközökről férhessenek hozzá a vállalati e-mailekhez.For example, you can make sure that everyone in the finance department can only access company email from enrolled and compliant devices.

A vállalati erőforrásokhoz való hozzáférés biztosítása csak első lépése a vállalati adatok védelmének.Securing access to company resources is just the first step to protecting company data. Arra is szükség van, hogy az eszközön már elért adatokat is meg lehessen védeni.You still need the ability to protect data after it's been accessed on the device. Az adatok ezután már másolhatók, áthelyezhetők, másik helyre menthetők vagy megoszthatók.The data can now be copied, moved, saved to a different location, or shared. Az Intune ezt a problémát azáltal oldja meg, hogy lehetővé teszi az adatmozgás korlátozását szabályzatok létrehozásával, például:Intune solves this problem by providing you with the ability to restrict data movement by creating a set of rules like:

  • A másolás és a beillesztés letiltása, vagy a munkahelyi környezeten kívülre történő adatátvitel megakadályozása.Blocking copy and paste, or preventing data transfer outside of the work context.
  • Személyes felhőalapú tárhelyre készített biztonsági mentés letiltása, a Mentés másként parancs letiltása.Preventing backup to personal cloud storage and preventing "Save as".
  • Az alkalmazások elérésének védelme PIN-kód/jelszó vagy vállalati hitelesítő adatok kérésével.Securing app access by requiring a PIN/passcode or corporate credentials.
  • Webes hivatkozások megnyitása kizárólag az Intune Managed Browser böngészőben.Having all web links open within the Intune Managed Browser.

A szabályzatoknak ezt a csoportját mobilalkalmazás-felügyeleti (MAM) szabályzatoknak nevezzük.These set of rules are referred to as mobile application management (MAM) policies. Olyan eszközökön futó alkalmazásokhoz is hozzárendelhet MAM-szabályzatokat, amely eszközöket nem ön felügyel.You can apply MAM policies to apps that are running on devices that might or might not be managed by you.

A vállalati adatait védheti MAM-szabályzatokkal olyan eszközökön, amelyek regisztrálva vannak az Intune-ban, harmadik fél MDM-e által regisztrált és felügyelt eszközökön, illetve olyan eszközökön, amelyek egy MDM-megoldásban sincsenek regisztrálva, például alkalmazottak tulajdonában lévő eszközök.You can protect your company data by using MAM policies for devices that are enrolled in Intune, devices that are enrolled and managed by another third-party mobile device management (MDM) solution, or devices that are not enrolled in any MDM solution, like employee-owned devices.

Ahhoz, hogy egy alkalmazáshoz MAM-szabályzat legyen társítható, az alkalmazásnak tartalmaznia kell a Microsoft Intune szoftverfejlesztői készletet (SDK), vagy használhatja az alkalmazásburkoló eszközt.To associate an app with a MAM policy, the app must incorporate the Microsoft Intune App Software Development Kit (SDK), or you can use the App Wrapping Tool.

Egyes alkalmazások, mint például a Microsoft Office beépítve tartalmazzák az Intune alkalmazásfejlesztő készletet (SDK-t).Apps like Microsoft Office apps have the Intune App SDK built in. A támogatott alkalmazások teljes listáját a Microsoft Intune mobilalkalmazás-galériában, a Microsoft Intune alkalmazáspartnerek oldalán láthatja.You can see the full list of supported apps in the Microsoft Intune mobile application gallery on the Microsoft Intune application partners page. Ha szeretné megtekinteni a támogatott forgatókönyveket és platformokat, illetve, hogy az alkalmazás támogatja-e a többszörös identitást, válassza ki az adott alkalmazást.Choose the app to see the supported scenarios and platforms, and whether the app supports multi-identity.

Egyéni kialakítású üzleti alkalmazásait is alkalmassá teheti a MAM-szabályzatokkal való használatra.You can also enable your custom-built line-of-business apps to use with MAM policies.

Ha egy eszközt elveszítenek vagy ellopnak, vagy ha a felhasználó már nem dolgozik a vállalatnál, akkor az adatmozgás korlátozása mellett alkalmazható a vállalati adatok szelektív törlése, ami csak a személyes adatokat hagyja meg.In addition to restricting data movement, if a device gets lost or stolen or the user is no longer working with your company, you can selectively wipe company data, which leaves only personal data behind.