Alkalmazásvédelem szabályzatok áttekintése

  • Cikk

Intune alkalmazásvédelmi szabályzatok (APP) olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságban legyenek vagy egy felügyelt alkalmazásban legyenek tárolva. Ezek a szabályzatok lehetővé teszik az adatok mobileszközökön futó alkalmazások általi elérésének és megosztásának szabályozását. A szabályzatok lehetnek olyan szabályok, amelyek akkor lépnek érvénybe, amikor a felhasználó "vállalati" adatokhoz próbál hozzáférni vagy áthelyezni, vagy olyan műveletek halmaza, amelyeket a felhasználó az alkalmazáson belül tilt vagy figyel. A felügyelt alkalmazások Intune olyan védett alkalmazások, amelyekre Intune alkalmazásvédelmi szabályzatok vonatkoznak, és Intune kezelik.

A Intune alkalmazásvédelmi szabályzatok használatának számos előnye van, többek között a vállalati adatok mobileszközökön történő védelme anélkül, hogy eszközregisztrációra van szükség, és szabályozni kellene, hogy az alkalmazások hogyan férnek hozzá és osztják meg az adatokat a mobileszközökön.

Az alkalmazásvédelmi szabályzatok Microsoft Intune például a következők:

  • PIN-kód vagy ujjlenyomat megkövetelése a vállalati e-mailek mobileszközön való eléréséhez
  • A felhasználók nem másolhatják és illeszthetik be a vállalati adatokat a személyes alkalmazásokba
  • A vállalati adatokhoz való hozzáférés korlátozása csak jóváhagyott alkalmazásokra

Számos hatékonyságnövelő alkalmazás, például a Microsoft 365 (Office) alkalmazások Intune MAM használatával kezelhetők. Tekintse meg a nyilvánosan elérhető Microsoft Intune védett alkalmazások hivatalos listáját.

Hogyan védheti meg az alkalmazásadatokat?

Az alkalmazottak a személyes és a munkahelyi feladatokhoz is mobileszközöket használnak. Miközben gondoskodik arról, hogy az alkalmazottak produktívak legyenek, meg szeretné akadályozni az adatvesztést, a szándékos és a véletlen adatvesztést. Emellett a nem Ön által felügyelt eszközökről elért vállalati adatokat is védenie kell.

Az Intune alkalmazásvédelmi szabályzatokat a mobileszköz-felügyeleti (MDM) megoldásoktól függetlenül is használhatja. Ez a függetlenség segít megvédeni cége adatait az eszközök eszközfelügyeleti megoldásban való regisztrálásával vagy anélkül. Az alkalmazásszintű szabályzatok implementálásával korlátozhatja a vállalati erőforrásokhoz való hozzáférést, és az adatokat az informatikai részlegen belül tarthatja.

Alkalmazásvédelem szabályzatok az eszközökön

Alkalmazásvédelem szabályzatok a következő eszközökön futó alkalmazásokhoz konfigurálhatók:

  • Regisztrálva a Microsoft Intune: Ezek az eszközök általában vállalati tulajdonban vannak.

  • Regisztrálva van egy külső mobileszköz-kezelési (MDM-) megoldásban: Ezek az eszközök általában vállalati tulajdonban vannak.

    Megjegyzés:

    A mobilalkalmazás-felügyeleti szabályzatok nem használhatók külső mobilalkalmazás-felügyelettel vagy biztonságos tárolómegoldásokkal.

  • Nincs regisztrálva egyetlen mobileszköz-kezelési megoldásban sem: Ezek az eszközök általában alkalmazottak tulajdonában lévő eszközök, amelyek nincsenek felügyelve vagy regisztrálva Intune vagy más MDM-megoldásokban.

Fontos

Létrehozhat mobilalkalmazás-felügyeleti házirendeket a Microsoft 365-szolgáltatásokhoz csatlakozó Office-mobilalkalmazásokhoz. A helyszíni Exchange-postaládákhoz való hozzáférést úgy is megvédheti, ha Intune alkalmazásvédelmi szabályzatokat hoz létre az iOS/iPadOS outlookhoz és az Androidhoz, hibrid modern hitelesítéssel engedélyezve. A funkció használata előtt győződjön meg arról, hogy megfelel az iOS/iPadOS és az Android Outlook követelményeinek. Alkalmazásvédelem házirendek nem támogatottak a helyszíni Exchange- vagy SharePoint-szolgáltatásokhoz csatlakozó egyéb alkalmazások esetében.

A Alkalmazásvédelem-szabályzatok használatának előnyei

Az Alkalmazásvédelem-szabályzatok használatának legfontosabb előnyei a következők:

  • A vállalati adatok védelme az alkalmazás szintjén. Mivel a mobilalkalmazás-kezeléshez nincs szükség eszközkezelésre, a céges adatokat a felügyelt és a nem felügyelt eszközökön is megvédheti. A felügyelet a felhasználói identitásra van kapcsolva, ami megszünteti az eszközfelügyelet követelményét.

  • A végfelhasználói hatékonyságra nincs hatással, és a szabályzatok nem vonatkoznak az alkalmazás személyes környezetben való használatakor. A szabályzatok csak munkahelyi környezetben vannak alkalmazva, így a személyes adatok érintése nélkül védheti a vállalati adatokat.

  • Alkalmazásvédelem szabályzatok biztosítják az alkalmazásréteg védelmének biztosítását. Lehetőség van például a következőkre:

    • PIN-kód megkövetelése egy alkalmazás munkahelyi környezetben való megnyitásához
    • Az adatok alkalmazások közötti megosztásának szabályozása
    • A vállalati alkalmazásadatok személyes tárhelyre való mentésének megakadályozása

  • Az MDM a MAM mellett gondoskodik arról, hogy az eszköz védett legyen. Megkövetelhet például PIN-kódot az eszköz eléréséhez, vagy üzembe helyezhet felügyelt alkalmazásokat az eszközön. Az MDM-megoldáson keresztül alkalmazásokat is telepíthet az eszközökre, így jobban szabályozhatja az alkalmazáskezelést.

Az MDM Alkalmazásvédelem szabályzatokkal való használatának további előnyei is vannak, és a vállalatok egyszerre használhatják Alkalmazásvédelem szabályzatokat MDM-ekkel és anélkül. Vegyünk például egy olyan alkalmazottat, aki a vállalat által kiadott telefont és a saját személyes táblagépét is használja. A vállalati telefon regisztrálva van az MDM-ben, és Alkalmazásvédelem házirendek védik, míg a személyes eszközt csak Alkalmazásvédelem házirendek védik.

Ha az eszközállapot beállítása nélkül alkalmaz MAM-szabályzatot a felhasználóra, a FELHASZNÁLÓ a BYOD-eszközön és a Intune által felügyelt eszközön is megkapja a MAM-szabályzatot. Mam-szabályzatot a felügyelt állapot alapján is alkalmazhat. Így amikor alkalmazásvédelmi szabályzatot hoz létre, a Target to all app types (Cél az összes alkalmazástípusnak) elem mellett válassza a Nem lehetőséget. Ezután hajtsa végre az alábbi műveletek egyikét:

  • Alkalmazzon kevésbé szigorú MAM-szabályzatot Intune felügyelt eszközökre, és alkalmazzon szigorúbb MAM-szabályzatot a nem MDM-ben regisztrált eszközökre.
  • Mam-szabályzat alkalmazása csak a nem regisztrált eszközökre.

Az alkalmazásvédelmi szabályzatok támogatott platformjai

Intune számos képességet kínál, amelyek segítenek a szükséges alkalmazások beszerzésében azokon az eszközökön, amelyeken futtatni szeretné őket. További információ: Alkalmazáskezelési képességek platform szerint.

Intune alkalmazásvédelmi szabályzatok platformtámogatása igazodik az Office mobilalkalmazás-platform androidos és iOS/iPadOS-eszközökhöz nyújtott támogatásához. Részletekért lásd az Office rendszerkövetelményeinekMobilalkalmazások szakaszát.

Előzetes verzió: Emellett alkalmazásvédelmi szabályzatokat is létrehozhat Windows-eszközökhöz. Részletekért lásd: Alkalmazásvédelem windowsos eszközök használata.

Fontos

Az androidos alkalmazásvédelmi szabályzatok fogadásához az Intune Céges portál szükséges az eszközön.

Alkalmazásvédelem szabályzat adatvédelmi keretrendszere

Az alkalmazásvédelmi szabályzatokban (APP) elérhető választási lehetőségek lehetővé teszik a szervezetek számára, hogy a védelmet a saját igényeiknek megfelelően alakítsák. Előfordulhat, hogy egyes esetekben nem egyértelmű, hogy mely házirend-beállítások szükségesek egy teljes forgatókönyv implementálásához. Annak érdekében, hogy a szervezetek előnyben részesítsék a mobilügyfél-végpontok megerősítését, a Microsoft bevezette az APP adatvédelmi keretrendszerének osztályozását az iOS és Android rendszerű mobilalkalmazás-felügyelethez.

Az APP adatvédelmi keretrendszer három különböző konfigurációs szintre van rendezve, és mindegyik szint az előző szintből építkezik:

  • Az alapszintű nagyvállalati adatvédelem (1. szint) biztosítja, hogy az alkalmazások PIN-kóddal legyenek védve, titkosítva legyenek, és szelektív adattörlési műveleteket hajtsanak végre. Android-eszközök esetén ez a szint ellenőrzi az Android-eszközök hitelesítését. Ez egy kezdő szintű konfiguráció, amely hasonló adatvédelmi vezérlést biztosít az Exchange Online postaládára vonatkozó házirendjeiben, és az informatikai megoldásokat és a felhasználók rendszerbe való feltöltését vezeti be az APP-ben.
  • A nagyvállalati szintű fokozott adatvédelem (2. szint) alkalmazásadatok kiszivárgásának megelőzésére szolgáló mechanizmusokat és minimális operációsrendszer-követelményeket vezet be. Ez az a konfiguráció, amely a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére vonatkozik.
  • Anagyvállalati szintű magas fokú adatvédelem (3. szint) fejlett adatvédelmi mechanizmusokat, továbbfejlesztett PIN-konfigurációt és az APP mobilfenyegetés-védelmét vezeti be. Ez a konfiguráció olyan felhasználóknak kellhet, akik magas kockázatú adatokhoz férnek hozzá.

Az egyes konfigurációs szintekre vonatkozó konkrét javaslatok és a minimális mennyiségű védelemre szoruló alkalmazások megtekintéséhez tekintse át az Alkalmazásvédelmi házirendeket használó adatvédelmi keretrendszert ismertető cikket.

Hogyan védik az alkalmazásvédelmi szabályzatok az alkalmazásadatokat?

Alkalmazásvédelmi szabályzatok nélküli alkalmazások

Ha korlátozás nélkül használják az alkalmazásokat, a vállalati és a személyes adatok nem lesznek korlátozva. A vállalati adatok olyan helyekre kerülhetnek, mint a személyes tárhely, vagy a purview-t meghaladó alkalmazásokba továbbíthatók, és adatvesztést okozhatnak. Az alábbi ábrán látható nyilak a vállalati és a személyes alkalmazások, valamint a tárolási helyek közötti korlátlan adatáthelyezési lehetőségeket mutatják be.

Fogalmi kép a szabályzatok nélküli alkalmazások közötti adatáthelyezési folyamathoz

Adatvédelem alkalmazásvédelmi szabályzatokkal (APP)

A Alkalmazásvédelem szabályzatokkal megakadályozhatja, hogy a vállalati adatok az eszköz helyi tárhelyére kerüljenek (lásd az alábbi képet). Korlátozhatja az adatáthelyezési elemet más olyan alkalmazásokra is, amelyeket nem védenek Alkalmazásvédelem szabályzatok. Alkalmazásvédelem házirend-beállítások a következők:

  • Adatáthelyezési szabályzatok, például Szervezeti adatok másolatainak mentése és Kivágás, másolás és beillesztés korlátozása.
  • Hozzáférési szabályzat beállításai, például Egyszerű PIN-kód megkövetelése a hozzáféréshez és Felügyelt alkalmazások futtatásának letiltása feltört vagy feltört eszközökön.

Fogalmi kép, amely a szabályzatok által védett vállalati adatokat mutatja be

Adatvédelem alkalmazással az MDM-megoldás által felügyelt eszközökön

Az alábbi ábrán az MDM- és Alkalmazásvédelem-szabályzatok által biztosított védelmi rétegek láthatók.

A Alkalmazásvédelem szabályzatok BYOD-eszközökön való működését bemutató kép

Az MDM-megoldás az alábbiak megadásával ad értéket:

  • Regisztrálja az eszközt
  • Az alkalmazások központi telepítése az eszközön
  • Folyamatos eszközmegfelelést és -felügyeletet biztosít

A Alkalmazásvédelem szabályzatok az alábbiak megadásával adnak értéket:

  • A vállalati adatok fogyasztói alkalmazásokba és szolgáltatásokba való kiszivárgásának védelme
  • Korlátozások, például mentés másként, vágólap vagy PIN-kód alkalmazása az ügyfélalkalmazásokra
  • Ha szükséges, törölje a vállalati adatokat az alkalmazásokból anélkül, hogy eltávolítaná ezeket az alkalmazásokat az eszközről

Adatvédelem appal regisztráció nélküli eszközökhöz

Az alábbi ábra bemutatja, hogyan működnek az adatvédelmi szabályzatok az alkalmazás szintjén MDM nélkül.

A Alkalmazásvédelem szabályzatok regisztráció nélküli (nem felügyelt) eszközökön való működését bemutató kép

Az MDM-megoldásban nem regisztrált BYOD-eszközök esetében Alkalmazásvédelem szabályzatok segíthetnek a vállalati adatok alkalmazásszintű védelmében. Vannak azonban olyan korlátozások, amelyeket érdemes figyelembe venni, például:

  • Az eszközön nem telepíthet alkalmazásokat. A végfelhasználónak le kell szereznie az alkalmazásokat az áruházból.
  • Ezeken az eszközökön nem lehet tanúsítványprofilokat kiépíteni.
  • Ezeken az eszközökön nem építhet ki vállalati Wi-Fi és VPN-beállításokat.

Alkalmazásvédelmi szabályzatokkal kezelhető alkalmazások

Az Intune SDK-val integrált vagy a Intune App Wrapping Tool által burkolt alkalmazások Intune alkalmazásvédelmi szabályzatokkal kezelhetők. Tekintse meg azon Microsoft Intune védett alkalmazások hivatalos listáját, amelyeket ezekkel az eszközökkel hoztak létre, és amelyek nyilvánosan elérhetők.

A Intune SDK fejlesztői csapata aktívan teszteli és támogatja a natív Android, iOS/iPadOS (Obj-C, Swift), Xamarin és Xamarin.Forms platformokkal készült alkalmazásokat. Bár egyes ügyfelek sikeresen integrálták Intune SDK-t más platformokkal, például a React Native és a NativeScripttel, nem biztosítunk explicit útmutatást vagy beépülő modulokat az alkalmazásfejlesztőknek, amelyek a támogatott platformokon kívül mást is használnak.

Végfelhasználói követelmények az alkalmazásvédelmi szabályzatok használatához

Az alábbi lista a végfelhasználóknak az alkalmazásvédelmi szabályzatok Intune által felügyelt alkalmazásokon való használatára vonatkozó követelményeket tartalmazza:

szabályzatok Alkalmazásvédelem Microsoft 365-alkalmazásokhoz

Néhány további követelményt is figyelembe kell vennie, amikor Alkalmazásvédelem házirendeket használ a Microsoft 365 (Office) alkalmazásokkal.

Fontos

Intune mobilalkalmazás-kezelést (MAM) Androidon Microsoft Entra ID Eszközregisztráció szükséges a Microsoft 365-alkalmazásokhoz. A biztonság javítása érdekében az Android-eszközöket regisztrálni kell az Microsoft Entra ID-ben, hogy továbbra is megkapják a Microsoft 365-alkalmazások MAM-szabályzatát.

Mam-szabályzattal megcélzott Microsoft 365-alkalmazások elérésekor a rendszer kérheti a felhasználók hitelesítését, ha az eszköz még nincs regisztrálva az Entra-azonosítóval. A felhasználóknak be kell fejezniük a hitelesítési és regisztrációs folyamatot a Microsoft 365 MAM-kompatibilis alkalmazásaik eléréséhez.

Ha engedélyezve vannak a feltételes hozzáférési szabályzatok vagy a többtényezős hitelesítés, az eszközöknek már regisztrálva kell lenniük, és a felhasználók nem fognak változást tapasztalni.

A regisztrált eszközök megtekintéséhez navigáljon a Microsoft Entra felügyeleti központ>> EszközökMinden eszköz jelentéshez, szűrjön operációs rendszer szerint, és rendezze a Regisztráltak szerint. További információ: Eszközidentitások kezelése az Microsoft Entra felügyeleti központ használatával.

Outlook mobilapp

Az Outlook mobilalkalmazás használatának további követelményei a következők:

  • A végfelhasználónak telepítve kell lennie az Outlook mobilappnak az eszközén.

  • A végfelhasználónak rendelkeznie kell egy Microsoft 365 Exchange Online postaládával és licenccel, amely a Microsoft Entra-fiókjához van társítva.

    Megjegyzés:

    Az Outlook mobilapp jelenleg csak az Intune App Protectiont támogatja a hibrid modern hitelesítéssel rendelkező Microsoft Exchange Online és Exchange Server esetén, és nem támogatja a dedikált Office 365 Exchange-et.

Word, Excel és PowerPoint

A Word, az Excel és a PowerPoint alkalmazás használatának további követelményei a következők:

  • A végfelhasználónak rendelkeznie kell a Microsoft Entra-fiókjához társított licenccel Üzleti Microsoft 365-alkalmazások vagy vállalat számára. Az előfizetésnek tartalmaznia kell az Office-alkalmazásokat a mobileszközökön, és tartalmaznia kell egy felhőalapú tárfiókot OneDrive Vállalati verzió. A Microsoft 365-licencek az alábbi utasításokMicrosoft 365 Felügyeleti központ rendelhetők hozzá.

  • A végfelhasználónak rendelkeznie kell egy felügyelt hellyel, amely a részletes mentés másként funkcióval van konfigurálva a "Szervezeti adatok másolatainak mentése" alkalmazásvédelmi házirend-beállításban. Ha például a felügyelt hely a OneDrive, a OneDrive alkalmazást a végfelhasználó Word, Excelben vagy PowerPoint-appban kell konfigurálni.

  • Ha a felügyelt hely a OneDrive, az alkalmazást a végfelhasználó számára telepített alkalmazásvédelmi szabályzatnak kell céloznia.

    Megjegyzés:

    Az Office-mobilappok jelenleg csak a SharePoint Online-t támogatják, a helyszíni SharePointot nem.

Az Office-hoz szükséges felügyelt hely

Az Office-hoz felügyelt helyre (azaz OneDrive-ra) van szükség. Intune az alkalmazás összes adatát "vállalati" vagy "személyes" megjelölésűként jelöli meg. Az adatok akkor minősülnek "vállalatinak", ha üzleti helyről származnak. Az Office-appok esetében a Intune a következőket tekintik vállalati helynek: e-mail (Exchange) vagy felhőalapú tárhely (OneDrive Vállalati verzió fiókkal rendelkező OneDrive alkalmazás).

Skype Vállalati verzió

A Skype Vállalati verzió használatára további követelmények vonatkoznak. Lásd: Skype Vállalati verzió licenckövetelmények. A Skype Vállalati verzió (SfB) hibrid és helyszíni konfigurációkkal kapcsolatban lásd: Hybrid Modern hitelesítés az SfB-hez és az Exchange általánosan elérhető,az SfB OnPrem esetében pedig modern hitelesítés Microsoft Entra ID.

Alkalmazásvédelem globális szabályzat

Ha egy OneDrive-rendszergazda megtekinti az admin.onedrive.com és kiválasztja az Eszközhozzáférés lehetőséget, beállíthatja a Mobilalkalmazás-felügyeleti vezérlőket a OneDrive- és SharePoint-ügyfélalkalmazásokra.

A OneDrive Rendszergazda konzolon elérhetővé tett beállítások egy speciális Intune alkalmazásvédelmi szabályzatot konfigurálnak globális szabályzat néven. Ez a globális szabályzat a bérlő összes felhasználójára vonatkozik, és nem szabályozhatja a szabályzatok célzását.

Az engedélyezést követően az iOS/iPadOS és Android rendszerhez készült OneDrive- és SharePoint-alkalmazások alapértelmezés szerint a kiválasztott beállításokkal vannak védve. Az informatikai szakemberek szerkeszthetik ezt a házirendet a Microsoft Intune Felügyeleti központban, hogy több célzott alkalmazást vegyenek fel, és módosíthassák a házirend-beállításokat.

Alapértelmezés szerint bérlőnként csak egy globális szabályzat lehet. A Intune Graph API-k használatával azonban bérlőnként további globális szabályzatokat hozhat létre, de ez nem ajánlott. Az extra globális szabályzatok létrehozása nem ajánlott, mert egy ilyen szabályzat végrehajtásának hibaelhárítása bonyolulttá válhat.

Bár a globális szabályzat a bérlő összes felhasználójára vonatkozik, minden szabványos Intune alkalmazásvédelmi szabályzat felülbírálja ezeket a beállításokat.

Megjegyzés:

A OneDrive Rendszergazda Center házirend-beállításai már nem frissülnek. Microsoft Intune használható helyette. További információt a Funkciókhoz való hozzáférés szabályozása a OneDrive- és SharePoint-mobilalkalmazásokban című témakörben talál.

Alkalmazásvédelem funkciók

Többszörös identitás

A többszörös identitás támogatása lehetővé teszi, hogy egy alkalmazás több célközönséget is támogatjon. Ezek a célközönségek "vállalati" és "személyes" felhasználók is. A munkahelyi és iskolai fiókokat a "vállalati" célközönségek használják, míg a személyes fiókokat a fogyasztói célközönségek, például a Microsoft 365 (Office) felhasználói használják. A többszörös identitást támogató alkalmazások nyilvánosan is kiadhatók, ahol az alkalmazásvédelmi szabályzatok csak akkor érvényesek, ha az alkalmazást munkahelyi és iskolai ("vállalati") környezetben használják. A többszörös identitástámogatás az Intune SDK-val csak az alkalmazásba bejelentkezett munkahelyi vagy iskolai fiókra alkalmazza az alkalmazásvédelmi szabályzatokat. Ha egy személyes fiók be van jelentkezve az alkalmazásba, az adatok érintetlenek lesznek. Alkalmazásvédelem szabályzatokkal megakadályozhatja a munkahelyi vagy iskolai fiókadatok átvitelét a több identitást használó alkalmazáson belüli személyes fiókokba, más alkalmazásokban lévő személyes fiókokba vagy személyes alkalmazásokba.

Fontos

Függetlenül attól, hogy egy alkalmazás támogatja-e a többszörös identitást, csak egyetlen "vállalati" identitás rendelkezhet Intune alkalmazásvédelmi szabályzattal.

A "személyes" környezetre példaként tekintsünk egy olyan felhasználóra, aki új dokumentumot indít el Word, ez személyes környezetnek minősül, így Intune alkalmazásvédelmi szabályzatok nem lesznek alkalmazva. Miután a dokumentumot a "vállalati" OneDrive-fiókba mentette, a rendszer "vállalati" környezetnek tekinti, és Intune alkalmazásvédelmi szabályzatokat alkalmaz.

Tekintse meg az alábbi példákat a munkahelyi vagy a "vállalati" környezethez:

  • Egy felhasználó a munkahelyi fiókjával indítja el a OneDrive alkalmazást. A munkahelyi környezetben nem helyezhetnek át fájlokat személyes tárhelyre. Később, amikor a OneDrive-ot a személyes fiókjával együtt használják, korlátozás nélkül másolhatják és áthelyezhetik az adatokat a személyes OneDrive-jukról.
  • A felhasználók elkezdenek e-maileket piszkozatokat készíteni az Outlook alkalmazásban. A tárgy vagy az üzenettörzs feltöltése után a felhasználó nem tudja a FROM címet a munkahelyi környezetről a személyes környezetre váltani, mivel a tárgyat és az üzenettörzset az alkalmazásvédelmi szabályzat védi.

Megjegyzés:

Az Outlook a "személyes" és a "vállalati" e-maileket is tartalmazza. Ebben az esetben az Outlook app indításkor kéri a Intune PIN-kód megadását.

Fontos

Bár az Edge "vállalati" környezetben van, a felhasználók szándékosan áthelyezhetik a OneDrive "vállalati" környezeti fájljait egy ismeretlen személyes felhőtárhelyre. Ennek elkerülése érdekében lásd: Korlátozott webhelyek kezelése és az Edge engedélyezett/letiltott webhelylistájának konfigurálása.

alkalmazás PIN-kód Intune

A személyes azonosítószám (PIN-kód) annak ellenőrzésére szolgál, hogy a megfelelő felhasználó hozzáfér-e a szervezet adataihoz egy alkalmazásban.

PIN-kód kérése
Intune a felhasználó alkalmazás PIN-kódjának megadását kéri, amikor a felhasználó a "vállalati" adatokhoz való hozzáférésre készül. Az olyan több identitást használó alkalmazásokban, mint a Word, az Excel vagy a PowerPoint, a felhasználónak pin-kódot kell kérnie, amikor megpróbál megnyitni egy "vállalati" dokumentumot vagy fájlt. Az egyszeres identitást használó alkalmazásokban, például a Intune App Wrapping Tool felügyelt üzletági alkalmazásokban a rendszer indításkor kéri a PIN-kódot, mert a Intune SDK tudja, hogy a felhasználói élmény az alkalmazásban mindig "vállalati".

PIN-kód kérése vagy vállalati hitelesítő adatok kérése, gyakoriság
A rendszergazda definiálhatja az Intune alkalmazásvédelmi szabályzat beállítását A hozzáférési követelmények ismételt ellenőrzése (perc) után a Microsoft Intune Felügyeleti központban. Ez a beállítás határozza meg, hogy mennyi idő után ellenőrizze a hozzáférési követelményeket az eszközön, és az alkalmazás PIN-kódjának képernyője vagy a vállalati hitelesítő adatok kérése ismét megjelenik. A PIN-kód fontos részletei azonban befolyásolják, hogy a rendszer milyen gyakran kéri a felhasználót:

  • A PIN-kód meg van osztva ugyanazon közzétevő alkalmazásai között a használhatóság javítása érdekében:
    iOS/iPadOS rendszeren egyetlen alkalmazás PIN-kódja van megosztva az ugyanazon alkalmazás-közzétevő összes alkalmazása között. Például minden Microsoft-alkalmazás ugyanazt a PIN-kódot használja. Androidon egy alkalmazás PIN-kódja minden alkalmazás között meg van osztva.
  • Az eszköz újraindítása után ellenőrizze újra a hozzáférési követelményeket (percek) után:
    Az időzítő nyomon követi az inaktivitás perceinek számát, amelyek meghatározzák, hogy mikor jelenjen meg a Intune alkalmazás PIN-kódja vagy a vállalati hitelesítő adatokra vonatkozó kérés. iOS/iPadOS rendszeren az eszköz újraindítása nem befolyásolja az időzítőt. Így az eszköz újraindítása nincs hatással arra, hogy a felhasználó hány percet inaktív egy olyan iOS/iPadOS-alkalmazásból, amely Intune PIN-kódra (vagy vállalati hitelesítő adatokra) vonatkozó szabályzatot céloz meg. Android rendszeren az időzítő alaphelyzetbe áll az eszköz újraindításakor. Ezért a Intune PIN-kóddal (vagy vállalati hitelesítő adatokkal) kapcsolatos szabályzattal rendelkező Android-alkalmazások valószínűleg kérni fogják az alkalmazás PIN-kódját vagy a vállalati hitelesítő adatokat, függetlenül attól, hogy az eszköz újraindítása után "A hozzáférési követelmények újraellenőrzése (perc) után".
  • A PIN-kódhoz társított időzítő működés közbeni jellege:
    Miután megadta a PIN-kódot egy alkalmazás (A alkalmazás) eléréséhez, és az alkalmazás elhagyja az előteret (a fő bemeneti fókuszt) az eszközön, az időzítő alaphelyzetbe áll az adott PIN-kódhoz. A PIN-kódot megosztó alkalmazások (B alkalmazás) nem kérik a felhasználótól a PIN-kód megadását, mert az időzítő alaphelyzetbe áll. A parancssor újra megjelenik, ha a "Hozzáférési követelmények újraellenőrzése ennyi perc után" érték ismét teljesül.

iOS-/iPadOS-eszközök esetén, még akkor is, ha a PIN-kód meg van osztva a különböző közzétevőktől származó alkalmazások között, a parancssor újra megjelenik, amikor a hozzáférési követelmények ismételt ellenőrzése ennyi perc után érték ismét teljesül azon alkalmazás esetében, amely nem a fő bemeneti fókusz. Egy felhasználó például rendelkezik az X kiadó A és B alkalmazásával az Y közzétevőtől, és ez a két alkalmazás ugyanazt a PIN-kódot használja. A felhasználó az A alkalmazásra (előtér) összpontosít, és a B alkalmazás kis méretűre van állítva. Miután a hozzáférési követelmények ismételt ellenőrzése (perc) után teljesült, és a felhasználó átváltott a B alkalmazásra, a PIN-kódra lesz szükség.

Megjegyzés:

A felhasználó hozzáférési követelményeinek gyakoribb ellenőrzése (azaz PIN-kód kérése) érdekében, különösen a gyakran használt alkalmazások esetében ajánlott csökkenteni a "Hozzáférési követelmények újbóli ellenőrzése ennyi perc után" beállítás értékét.

Beépített app PIN-jei az Outlookhoz és a OneDrive-hoz
A Intune PIN-kód egy inaktivitás-alapú időzítő alapján működik (a hozzáférési követelmények újbóli ellenőrzése ennyi idő után (perc)). Így Intune PIN-kódra vonatkozó kérések az Outlook és a OneDrive beépített PIN-kód-kéréseitől függetlenül jelennek meg, amelyek gyakran alapértelmezés szerint az alkalmazások indításához kapcsolódnak. Ha a felhasználó egyidejűleg mindkét PIN-kódot kéri, a várt viselkedés az, hogy a Intune PIN-kód elsőbbséget élvez.

PIN-kód biztonságának Intune
A PIN-kód arra szolgál, hogy csak a megfelelő felhasználó férhessen hozzá a szervezet adataihoz az alkalmazásban. Ezért a végfelhasználónak be kell jelentkeznie a munkahelyi vagy iskolai fiókjával, mielőtt beállíthatja vagy alaphelyzetbe állíthatja Intune alkalmazás PIN-kódját. Ezt a hitelesítést a Microsoft Entra ID kezeli biztonságos jogkivonat-cserével, és nem átlátható a Intune SDK számára. Biztonsági szempontból a munkahelyi vagy iskolai adatok védelmének legjobb módja az adatok titkosítása. A titkosítás nem kapcsolódik az alkalmazás PIN-kódhoz, hanem saját alkalmazásvédelmi szabályzata.

A találgatásos támadásokkal és a Intune PIN-kóddal szembeni védelem
Az alkalmazás PIN-kód-szabályzatának részeként a rendszergazda beállíthatja, hogy a felhasználó legfeljebb hányszor próbálja meg hitelesíteni a PIN-kódját az alkalmazás zárolása előtt. A kísérletek száma után a Intune SDK törölheti az alkalmazás "vállalati" adatait.

PIN-kód Intune és szelektív törlés
iOS/iPadOS rendszeren az alkalmazásszintű PIN-kód adatai abban a kulcskarikában tárolódnak, amelyet ugyanazzal a közzétevővel rendelkező alkalmazások, például az összes belső Microsoft-alkalmazás között osztanak meg. Ezek a PIN-kódok egy végfelhasználói fiókhoz is kapcsolódnak. Egy alkalmazás szelektív törlése nincs hatással egy másik alkalmazásra.

A bejelentkezett felhasználó outlookos PIN-kódkészletét például egy megosztott kulcslánc tárolja. Amikor a felhasználó bejelentkezik a OneDrive-ba (amelyet szintén a Microsoft tett közzé), ugyanazt a PIN-kódot fogja látni, mint az Outlook, mivel ugyanazt a megosztott kulcsláncot használja. Ha kijelentkezik az Outlookból, vagy törli a felhasználói adatokat az Outlookban, a Intune SDK nem törli a kulcskarikát, mert előfordulhat, hogy a OneDrive továbbra is ezt a PIN-kódot használja. Emiatt a szelektív törlés nem törli a megosztott kulcskarikát, beleértve a PIN-kódot sem. Ez a viselkedés akkor is ugyanaz marad, ha egy közzétevő csak egy alkalmazása létezik az eszközön.

Mivel a PIN-kód meg van osztva az azonos közzétevővel rendelkező alkalmazások között, ha a törlés egyetlen alkalmazásba kerül, a Intune SDK nem tudja, hogy vannak-e más alkalmazások az eszközön ugyanazzal a közzétevővel. Így a Intune SDK nem törli a PIN-kódot, mivel továbbra is használható más alkalmazásokhoz. Az elvárás az, hogy az alkalmazás PIN-kódját törölni kell, amikor a közzétevőtől származó utolsó alkalmazás törlődik az operációs rendszer bizonyos karbantartása során.

Ha azt tapasztalja, hogy egyes eszközökön a PIN-kód törlődik, a következő történik: Mivel a PIN-kód egy identitáshoz van kötve, ha a felhasználó egy másik fiókkal jelentkezett be a törlés után, a rendszer kérni fogja, hogy adjon meg egy új PIN-kódot. Ha azonban egy korábban már meglévő fiókkal jelentkeznek be, a kulcskarikán tárolt PIN-kód már használható a bejelentkezéshez.

Kétszer állít be PIN-kódot ugyanabból a közzétevőből származó alkalmazásokra?
A MAM (iOS/iPadOS rendszeren) jelenleg alfanumerikus és speciális karakterekkel (pin-kód) rendelkező alkalmazásszintű PIN-kódot engedélyez, amelyhez az alkalmazások (pl. WXP, Outlook, Managed Browser, Viva Engage) részvétele szükséges az iOS-hez készült Intune SDK integrálásához. Enélkül a pin-kód beállításai nem lesznek megfelelően kikényszerítve a megcélzott alkalmazásokhoz. Ez a funkció az iOS Intune SDK 7.1.12-s verzióban jelent meg.

A funkció támogatásához és az iOS/iPadOS-hez készült Intune SDK korábbi verzióival való kompatibilitás biztosítása érdekében a 7.1.12- vagy újabb verziókban az összes PIN-kódot (numerikus vagy pin-kód) az SDK korábbi verzióiban használt numerikus PIN-kódtól elkülönítve kezeli. Az iOS Intune 14.6.0-s verziójához készült SDK-ban egy másik változás jelent meg, amely miatt a 14.6.0-s vagy újabb verziókban az összes PIN-elemet külön kell kezelni az SDK korábbi verzióiban használt PIN-kódoktól.

Ezért ha egy eszköz Intune iOS-es verziójú alkalmazásokkal rendelkezik 7.1.12-es és 7.1.12-es verzió után ugyanabból a közzétevőből (vagy a 14.6.0-s és a 14.6.0-s verziót követő verziókból), két PIN-elemet kell beállítania. A két PIN-szám (alkalmazásonként) semmilyen módon nem kapcsolódik egymáshoz (azaz meg kell felelniük az alkalmazásra alkalmazott alkalmazásvédelmi szabályzatnak). Így a felhasználó csak akkor állíthatja be kétszer ugyanazt a PIN-kódot, ha az A és a B alkalmazásra ugyanazok a szabályzatok vonatkoznak (a PIN-kódra vonatkozóan).

Ez a viselkedés az Intune Mobile App Managementtel engedélyezett iOS-/iPadOS-alkalmazások PIN-kódjára jellemző. Idővel, amikor az alkalmazások az iOS/iPadOS rendszerhez készült Intune SDK újabb verzióit vezetik be, az ugyanabból a közzétevőből származó alkalmazásokon kétszer kell pin-kódot beállítania, kisebb problémát jelent. Példaként tekintse meg az alábbi megjegyzést.

Megjegyzés:

Ha például az A alkalmazás 7.1.12-es (vagy 14.6.0-s) előtti verzióval készült, és a B alkalmazás 7.1.12-nél (vagy 14.6.0-nál) régebbi verzióval készült ugyanabból a közzétevőből, a végfelhasználónak külön kell beállítania a PIN-kódokat az A és a B rendszerhez, ha mindkettő iOS/iPadOS-eszközön van telepítve.

Ha az eszközön telepítve van az SDK 7.1.9-es (vagy 14.5.0-s) verzióját tartalmazó C alkalmazás, ugyanazzal a PIN-kóddal fog osztozni, mint az A alkalmazás.

A 7.1.14-zel (vagy 14.6.2-vel) készült D alkalmazás ugyanazt a PIN-kódot fogja használni, mint a B alkalmazás.

Ha egy eszközön csak az A és a C alkalmazás van telepítve, akkor egy PIN-kódot kell beállítani. Ugyanez vonatkozik arra az esetre, ha csak a B és a D alkalmazás van telepítve egy eszközön.

Alkalmazásadatok titkosítása

A rendszergazdák olyan alkalmazásvédelmi szabályzatot telepíthetnek, amely megköveteli az alkalmazásadatok titkosítását. A szabályzat részeként a rendszergazda azt is megadhatja, hogy mikor legyen titkosítva a tartalom.

Hogyan Intune adattitkosítási folyamat?
A titkosítási alkalmazásvédelmi szabályzat beállításával kapcsolatos részletes információkért tekintse meg az Android alkalmazásvédelmi szabályzatának beállításait és az iOS/iPadOS alkalmazásvédelmi házirend-beállításait .

Titkosított adatok
Csak a "vállalatiként" megjelölt adatok vannak titkosítva a rendszergazda alkalmazásvédelmi szabályzatának megfelelően. Az adatok akkor minősülnek "vállalatinak", ha üzleti helyről származnak. Az Office-appok esetében Intune a következőket tekintik üzleti helyeknek:

  • Email (Exchange)
  • Felhőtárhely (OneDrive alkalmazás OneDrive Vállalati verzió fiókkal)

A Intune App Wrapping Tool által felügyelt üzletági alkalmazások esetében az összes alkalmazásadat "vállalatinak" minősül.

Szelektív törlés

Adatok távoli törlése
Intune az alkalmazásadatok három különböző módon törölhetők:

  • Teljes eszköztörlés
  • Szelektív törlés az MDM-hez
  • MAM szelektív törlése

Az MDM távoli törlésével kapcsolatos további információkért lásd: Eszközök eltávolítása törléssel vagy kivonással. A MAM használatával végzett szelektív törlésről további információt a Kivonás művelet és a Csak a vállalati adatok törlése alkalmazásokból című cikkben talál.

Az eszköz teljes törlése eltávolítja az összes felhasználói adatot és beállítást az eszköz gyári alapértelmezett beállításainak visszaállításával. Az eszköz el lesz távolítva a Intune.

Megjegyzés:

A teljes eszköztörlés és az MDM szelektív törlése csak az Intune mobileszköz-felügyelettel (MDM) regisztrált eszközökön érhető el.

Szelektív törlés az MDM-hez
A céges adatok eltávolításáról az Eszközök eltávolítása – kivonás című témakörben olvashat.

Szelektív törlés MAM esetén
A MAM szelektív törlése egyszerűen eltávolítja a vállalati alkalmazásadatokat egy alkalmazásból. A kérés a Intune használatával kezdeményezhető. A törlési kérés kezdeményezéséről a Csak a vállalati adatok törlése alkalmazásokból című témakörben olvashat.

Ha a felhasználó szelektív törlés kezdeményezésekor használja az alkalmazást, a Intune SDK 30 percenként ellenőrzi a Intune MAM szolgáltatás szelektív törlési kérését. A szelektív törlést is ellenőrzi, amikor a felhasználó első alkalommal indítja el az alkalmazást, és bejelentkezik a munkahelyi vagy iskolai fiókjával.

Ha a helyszíni (helyszíni) szolgáltatások nem működnek Intune védett alkalmazásokkal
Intune alkalmazásvédelem a felhasználó identitásától függ, hogy konzisztens legyen az alkalmazás és a Intune SDK között. Ezt csak a modern hitelesítéssel garantálhatja. Vannak olyan forgatókönyvek, amikor az alkalmazások helyszíni konfigurációval működnek, de nem konzisztensek és nem garantáltak.

Webes hivatkozások biztonságos megnyitása felügyelt alkalmazásokból
A rendszergazda alkalmazásvédelmi szabályzatot telepíthet és állíthat be a Microsoft Edge böngészőhöz, amely könnyen kezelhető Intune. A rendszergazda megkövetelheti, hogy a Intune által felügyelt alkalmazások összes webes hivatkozását egy felügyelt böngészővel nyissa meg.

iOS-eszközök Alkalmazásvédelem felülete

Eszköz ujjlenyomata vagy arcazonosítója

Intune alkalmazásvédelmi szabályzatok csak a Intune licenccel rendelkező felhasználó számára engedélyezik az alkalmazás-hozzáférés vezérlését. Az alkalmazáshoz való hozzáférés szabályozásának egyik módja, ha az Apple Touch ID vagy Face ID azonosítóját igényli a támogatott eszközökön. Intune olyan viselkedést valósít meg, amelyben az eszköz biometrikus adatbázisának módosítása esetén Intune pin-kódot kér a felhasználótól, amikor a következő tétlenségi időtúllépési érték teljesül. A biometrikus adatok változásai közé tartozik az ujjlenyomat vagy az arc hozzáadása vagy eltávolítása. Ha a Intune felhasználó nem rendelkezik PIN-kóddal, a rendszer egy Intune PIN-kódot állít be.

Ennek a folyamatnak az a célja, hogy továbbra is biztonságosan és az alkalmazás szintjén védve tartsa a szervezet adatait az alkalmazásban. Ez a funkció csak iOS/iPadOS rendszeren érhető el, és az iOS/iPadOS Intune SDK 9.0.1-es vagy újabb verzióját integráló alkalmazások részvételét igényli. Az SDK integrációjára azért van szükség, hogy a viselkedés kényszeríthető legyen a megcélzott alkalmazásokon. Ez az integráció gördülő alapon történik, és az adott alkalmazáscsapatoktól függ. A programban részt vevő alkalmazások közé tartozik például a WXP, az Outlook, a Managed Browser és a Viva Engage.

iOS-megosztási bővítmény

Az iOS/iPadOS megosztási bővítmény használatával megnyithatja a munkahelyi vagy iskolai adatokat nem felügyelt alkalmazásokban, még akkor is, ha az adatátviteli szabályzat csak felügyelt alkalmazásokra vagy alkalmazásokra van beállítva. Intune alkalmazásvédelmi szabályzat nem tudja vezérelni az iOS/iPadOS megosztási bővítményt az eszköz kezelése nélkül. Ezért Intune titkosítja a "vállalati" adatokat, mielőtt megosztanák azokat az alkalmazáson kívül. Ezt a titkosítási viselkedést úgy ellenőrizheti, hogy megpróbál megnyitni egy "vállalati" fájlt a felügyelt alkalmazáson kívül. A fájlnak titkosítva kell lennie, és nem nyitható meg a felügyelt alkalmazáson kívül.

Alapértelmezés szerint Intune alkalmazásvédelmi szabályzatok megakadályozzák a jogosulatlan alkalmazástartalmakhoz való hozzáférést. Az iOS/iPadOS rendszerben az univerzális hivatkozások használatával bizonyos tartalmak vagy alkalmazások nyithatók meg.

A felhasználók letilthatják az alkalmazások univerzális hivatkozásait, ha felkeresik őket a Safariban, és a Megnyitás új lapon vagy a Megnyitás lehetőséget választják. Az univerzális hivatkozások Intune alkalmazásvédelmi szabályzatokkal való használatához fontos újra engedélyezni az univerzális hivatkozásokat. A végfelhasználónak meg kell nyitnia az<alkalmazás nevét> a Safariban, miután hosszú ideig lenyomta a megfelelő hivatkozást. Ennek minden további védett alkalmazást fel kell kérnie, hogy az összes univerzális hivatkozást az eszközön lévő védett alkalmazáshoz iránya.

Több Intune alkalmazásvédelmi hozzáférési beállítás ugyanazon alkalmazás- és felhasználókészlethez

Intune hozzáférésre vonatkozó alkalmazásvédelmi szabályzatok adott sorrendben lesznek alkalmazva a végfelhasználói eszközökön, amikor megpróbálnak hozzáférni egy célzott alkalmazáshoz a vállalati fiókjukból. Általánosságban elmondható, hogy a törlés elsőbbséget élvez, amelyet egy blokk, majd egy elutasítható figyelmeztetés követ. Ha például az adott felhasználóra/alkalmazásra vonatkozik, a rendszer egy minimális iOS/iPadOS operációsrendszer-beállítást alkalmaz, amely arra figyelmezteti a felhasználót, hogy frissítse az iOS/iPadOS-verziót, miután a felhasználó hozzáférését letiltó minimális iOS/iPadOS operációs rendszerbeállítást alkalmazta. Tehát abban a forgatókönyvben, amikor a rendszergazda a minimális iOS operációs rendszert 11.0.0.0-ra, a minimális iOS operációs rendszert (csak figyelmeztetés) pedig 11.1.0.0-ra konfigurálja, miközben az alkalmazáshoz hozzáférni próbáló eszköz iOS 10-en volt, a végfelhasználót a minimális iOS operációsrendszer-verzió korlátozóbb beállítása blokkolja, amely letiltotta a hozzáférést.

A különböző típusú beállítások kezelésekor az SDK-verzióra vonatkozó Intune követelmények elsőbbséget élveznek, majd egy alkalmazásverzióra vonatkozó követelmény, amelyet az iOS/iPadOS operációs rendszer verziókövetelménye követ. Ezután az ugyanabban a sorrendben található összes beállításra vonatkozó figyelmeztetéseket ellenőrzi a rendszer. Azt javasoljuk, hogy a Intune SDK-verziókövetelményt csak az Intune termékcsapatának útmutatása alapján konfigurálja az alapvető blokkolási forgatókönyvekhez.

androidos eszközök Alkalmazásvédelem élménye

Megjegyzés:

Alkalmazásvédelem szabályzatok (APP) nem támogatottak Intune felügyelt, dedikált Android Enterprise-eszközökön, megosztott eszköz mód nélkül. Ezeken az eszközökön Céges portál telepítésre van szükség ahhoz, hogy az APP blokkszabályzata a felhasználóra gyakorolt hatás nélkül érvénybe lépjen. Alkalmazásvédelem szabályzatok támogatottak Intune felügyelt, megosztott eszköz módú, dedikált Android Enterprise-eszközökön, valamint a megosztott eszköz módot használó, felhasználó nélküli AOSP-eszközökön.

Microsoft Teams Android-eszközök

A Microsoft Teams Android-eszközökön futó Teams alkalmazás nem támogatja az APP alkalmazást (nem kap szabályzatot az Céges portál alkalmazáson keresztül). Ez azt jelenti, hogy az alkalmazásvédelmi szabályzat beállításai nem lesznek alkalmazva a Teamsre a Microsoft Teams Android-eszközökön. Ha ezekhez az eszközökhöz alkalmazásvédelmi szabályzatok vannak konfigurálva, fontolja meg a Teams-eszközfelhasználók egy csoportjának létrehozását, és zárja ki ezt a csoportot a kapcsolódó alkalmazásvédelmi szabályzatokból. Emellett érdemes lehet módosítani a Intune regisztrációs házirendet, a feltételes hozzáférési szabályzatokat és a Intune megfelelőségi szabályzatokat, hogy támogatott beállításokkal rendelkezzenek. Ha nem tudja módosítani a meglévő szabályzatokat, konfigurálnia kell (kizárási) eszközszűrőket. Ellenőrizze az egyes beállításokat a meglévő feltételes hozzáférési konfigurációban, és Intune megfelelőségi szabályzatot, hogy megtudja, vannak-e nem támogatott beállításai. További információ: Támogatott feltételes hozzáférés és Intune eszközmegfelelési szabályzatok Microsoft Teams Konferencia és Teams Android-eszközökhöz. A Microsoft Teams Konferencia kapcsolatos információkért lásd: Feltételes hozzáférés és Intune megfelelőség Microsoft Teams Konferencia.

Eszköz biometrikus hitelesítése

A biometrikus hitelesítést támogató Android-eszközök esetében engedélyezheti a végfelhasználók számára az ujjlenyomat vagy az Arcfeloldás használatát attól függően, hogy az Android-eszközük mit támogat. Konfigurálhatja, hogy az ujjlenyomaton kívül minden biometrikus típus használható-e a hitelesítéshez. Vegye figyelembe, hogy az ujjlenyomat és a Face Unlock csak az ilyen biometrikus típusokat támogató és az Android megfelelő verzióját futtató eszközökhöz érhető el. Az ujjlenyomathoz Android 6 és újabb, az Arcfeloldáshoz pedig Android 10 és újabb verziók szükségesek.

Céges portál alkalmazás- és Intune-alkalmazásvédelem

Az alkalmazásvédelmi funkciók nagy része be van építve az Céges portál alkalmazásba. Az eszközregisztrációra nincs szükség annak ellenére, hogy a Céges portál alkalmazásra mindig szükség van. Mobilalkalmazás-kezelés (MAM) esetén a végfelhasználónak csak telepítenie kell a Céges portál alkalmazást az eszközön.

Több Intune alkalmazásvédelmi hozzáférési beállítás ugyanazon alkalmazás- és felhasználókészlethez

Intune hozzáférésre vonatkozó alkalmazásvédelmi szabályzatok adott sorrendben lesznek alkalmazva a végfelhasználói eszközökön, amikor megpróbálnak hozzáférni egy célzott alkalmazáshoz a vállalati fiókjukból. A blokkok általában elsőbbséget élveznek, majd elutasítható figyelmeztetést jelentenek. Ha például az adott felhasználóra/alkalmazásra vonatkozik, a rendszer egy minimális Android-javításverzió-beállítást alkalmaz, amely figyelmezteti a felhasználót a javításfrissítésre, miután a felhasználó hozzáférését letiltó minimális Android-javításverzió-beállítás életbe lép. Tehát abban a forgatókönyvben, amikor a rendszergazda a minimális Android-javítási verziót 2018-03-01-es verzióra és az Android minimális javításverzióját (csak figyelmeztetés) 2018-02-01-es verzióra konfigurálja, míg az alkalmazáshoz hozzáférni próbáló eszköz a 2018-01-01-es frissítési verzión volt, a végfelhasználót a rendszer a minimális Android-javítási verzió korlátozóbb beállítása alapján letiltja, amely letiltja a hozzáférést.

A különböző típusú beállítások kezelésekor az alkalmazásverzióra vonatkozó követelmények elsőbbséget élveznek, amelyet az Android operációs rendszer verziókövetelménye és az Android-javítások verziókövetelménye követ. Ezután a rendszer minden figyelmeztetést ugyanabban a sorrendben ellenőriz minden beállítástípus esetében.

Intune alkalmazásvédelmi szabályzatok és a Google Play eszközintegritási ellenőrzése Android-eszközökön

Intune alkalmazásvédelmi szabályzatok lehetővé teszik a rendszergazdák számára, hogy megkövetelje a végfelhasználói eszközöktől a Google Play eszközintegritási ellenőrzésének átadását androidos eszközökön. Az új Google Play-szolgáltatásmeghatározást a rendszer a Intune szolgáltatás által meghatározott időközönként jelenti a rendszergazdának. Milyen gyakran történik a szolgáltatáshívás szabályozása a terhelés miatt, ezért ez az érték belsőleg van fenntartva, és nem konfigurálható. A Google-eszközintegritási beállítás rendszergazda által konfigurált összes művelete a feltételes indításkor az Intune szolgáltatásnak küldött utolsó jelentett eredmény alapján lesz végrehajtva. Ha nincsenek adatok, a hozzáférés engedélyezve lesz attól függően, hogy más feltételes indítási ellenőrzések nem hiúsulnak meg, és a Google Play szolgáltatás "roundtrip" az igazolási eredmények meghatározásához a háttérrendszerben kezdődik, és aszinkron módon kéri a felhasználót, ha az eszköz meghibásodott. Ha elavult adatok vannak, a hozzáférés az utolsó jelentett eredménytől függően le lesz tiltva vagy engedélyezve lesz, és ehhez hasonlóan elindul egy Google Play szolgáltatás "roundtrip" az igazolási eredmények meghatározásához, és aszinkron módon kéri a felhasználót, ha az eszköz meghibásodott.

Intune alkalmazásvédelmi szabályzatok és a Google Verify Apps API androidos eszközökhöz

Intune alkalmazásvédelmi szabályzatok lehetővé teszik a rendszergazdák számára, hogy a végfelhasználói eszközöktől megköveteljék a jelek küldését a Google Verify Apps API-ján keresztül Android-eszközökön. Ennek módjára vonatkozó utasítások eszközönként kissé eltérnek. Az általános folyamat része a Google Play Áruház megnyitása, majd a Saját alkalmazások & játékok elemre kattintva az utolsó alkalmazásvizsgálat eredményére kattintva, amely a Védelem lejátszása menübe kerül. Győződjön meg arról, hogy az Eszköz biztonsági fenyegetések keresése kapcsoló be van kapcsolva.

A Google Play Integrity API-ja

Intune a Google Play Integrity API-jait használja a regisztráció nélküli eszközök meglévő gyökérészlelési ellenőrzésének hozzáadásához. A Google kifejlesztette és fenntartotta ezt az API-készletet az Android-alkalmazások számára, ha nem szeretnék, hogy az alkalmazásaik rootolt eszközökön fussanak. Az Android Pay alkalmazás beépítette például ezt. Bár a Google nem osztja meg nyilvánosan a gyökérészlelési ellenőrzések teljes egészét, elvárjuk, hogy ezek az API-k észleljék az eszközeiket gyökerező felhasználókat. Ezeket a felhasználókat ezután letilthatja a hozzáférésük, vagy a vállalati fiókjuk törölhető a szabályzatot engedélyező alkalmazásaikból. Az alapvető integritás ellenőrzése tájékoztatja az eszköz általános integritásáról. A feltört eszközök, emulátorok, virtuális eszközök és illetéktelen módosításra utaló jeleket tartalmazó eszközök alapvető integritása meghiúsul. Ellenőrizze az alapvető integritást, & hitelesített eszközök tájékoztatják az eszköz és a Google szolgáltatásainak kompatibilitásáról. Ezt az ellenőrzést csak a Google által hitelesített, nem módosított eszközök tudják átadni. A sikertelen eszközök közé tartoznak a következők:

  • Alapszintű integritást nem használó eszközök
  • Zárolt rendszertöltővel rendelkező eszközök
  • Egyéni rendszerképpel/ROM-tal rendelkező eszközök
  • Olyan eszközök, amelyekhez a gyártó nem igényelt vagy nem adott át Google-minősítést
  • Közvetlenül az Android nyílt forráskódú program forrásfájljaiból létrehozott rendszerképpel rendelkező eszközök
  • Bétaverziós/fejlesztői előzetes verziójú rendszerképpel rendelkező eszközök

Technikai részletekért tekintse meg a Google play integrity API-jának dokumentációját .

Az integritási ítélet és a "feltört/rootolt eszközök" beállítás lejátszása

A játékintegritási ítélet megköveteli, hogy a végfelhasználó online állapotban legyen, legalább arra az időtartamra, amikor az igazolási eredmények meghatározásához a "roundtrip" lefut. Ha a végfelhasználó offline állapotban van, a rendszergazda továbbra is számíthat az eredmény kényszerítésére a feltört/rootolt eszközök beállításával. Ez azt jelenti, hogy ha a végfelhasználó túl hosszú ideig volt offline, az Offline türelmi időszak értéke megjelenik, és a munkahelyi vagy iskolai adatokhoz való hozzáférés az időzítő értékének elérése után le lesz tiltva, amíg el nem érhető a hálózati hozzáférés. Mindkét beállítás bekapcsolása lehetővé teszi a végfelhasználói eszközök kifogástalan állapotának megőrzésére szolgáló rétegzett megközelítést, ami akkor fontos, ha a végfelhasználók mobileszközökön férnek hozzá a munkahelyi vagy iskolai adatokhoz.

Google Play Protect API-k és Google Play-szolgáltatások

A Google Play Protect API-kat használó alkalmazásvédelmi szabályzat beállításainak működéséhez a Google Play-szolgáltatásokra van szükség. A Play integritási ítéletének és az alkalmazások fenyegetésvizsgálatának beállításaihoz a Google Play-szolgáltatások Google által meghatározott verziójának megfelelően kell működnie. Mivel ezek a beállítások a biztonság területére esnek, a rendszer letiltja a végfelhasználót, ha ezeket a beállításokat célozza meg, és nem felel meg a Google Play Services megfelelő verziójának, vagy nem rendelkezik hozzáféréssel a Google Play Szolgáltatásokhoz.

Előzetes verzió: windowsos eszközök Alkalmazásvédelem felülete

A szabályzatbeállításoknak két kategóriája van: adatvédelem és állapot-ellenőrzések. A szabályzattal felügyelt alkalmazás kifejezés az alkalmazásvédelmi szabályzatokkal konfigurált alkalmazásokra vonatkozik.

Adatvédelem

Az adatvédelmi beállítások hatással vannak a szervezeti adatokra és a környezetre. Rendszergazdaként szabályozhatja, hogy az adatok a szervezet védelmének környezetébe és azon kívülre kerülnek. A szervezeti környezetet a megadott szervezeti fiók által elért dokumentumok, szolgáltatások és webhelyek határozzák meg. Az alábbi szabályzatbeállítások segítenek szabályozni a szervezeti környezetbe érkező külső adatokat és a szervezeti környezetből küldött szervezeti adatokat.

Állapotellenőrzések

Az állapot-ellenőrzések lehetővé teszik a feltételes indítási képességek konfigurálását. Ehhez meg kell adnia az alkalmazásvédelmi szabályzat állapot-ellenőrzési feltételeit. Válasszon ki egy beállítást , és adja meg azt az értéket , amelyet a felhasználóknak meg kell felelniük a szervezeti adatok eléréséhez. Ezután válassza ki azt a műveletet , amelyet el szeretne végezni, ha a felhasználók nem felelnek meg a feltételes feltételeknek. Bizonyos esetekben több művelet is konfigurálható egyetlen beállításhoz.

Következő lépések

Alkalmazásvédelmi szabályzatok létrehozása és telepítése Microsoft Intune

Androidos alkalmazásvédelmi szabályzatok elérhető beállításai a Microsoft Intune

Az iOS/iPadOS alkalmazásvédelmi szabályzatának elérhető beállításai a Microsoft Intune