Adatvédelem a Windows MAM-hoz
Személyes Windows-eszközökön engedélyezheti a mobilalkalmazás-kezelés (MAM) számára a szervezeti adatokhoz való hozzáférést. Ez a képesség a következő funkciókat használja:
- Az Intune alkalmazáskonfigurációs szabályzatai (ACP) a szervezeti felhasználói élmény testreszabásához
- Az Intune alkalmazásvédelmi szabályzatai (APP) a szervezeti adatok védelméhez és az ügyféleszköz megfelelő állapotának biztosításához
- Windows biztonság Center integrálva van az Intune APP-ral integrált ügyfélfenyegetettség-védelemmel a helyi egészségügyi fenyegetések észleléséhez a személyes Windows-eszközökön
- Alkalmazásvédelmi feltételes hozzáférés az eszköz védelmének és kifogástalan állapotának biztosításához, mielőtt védett szolgáltatás-hozzáférést ad Microsoft Entra-azonosítón keresztül
Megjegyzés:
A Windowshoz készült Intune Mobile Application Management (MAM) a Windows 10, a 19045.3636-os, KB5031445-os vagy újabb, valamint a Windows 11 10.0.22621.2506-os és KB5031455-os (22H2) vagy újabb buildekhez érhető el. Ez magában foglalja a Microsoft Intune (2309-es kiadás), a Microsoft Edge (117-es stabil ág, Windows 11 és 118.0.2088.71-es és újabb verziók esetében a Windows 11) és a Windows biztonság Center (1.0.2310.2002-es és újabb verziók) kiegészítő módosításait. Általánosan elérhető az App Protection feltételes hozzáférése.
A Windows MAM kormányzati felhőkörnyezetekben támogatott. További információ: Alkalmazások üzembe helyezése az Intune használatával a GCC High- és DoD-környezetekben.
További információ a MAM-ról: A mobilalkalmazás-kezelés (MAM) alapjai.
A végfelhasználóknak és a szervezeteknek is védett szervezeti hozzáféréssel kell rendelkezniük a személyes eszközökről. A szervezeteknek gondoskodniuk kell arról, hogy a vállalati adatok személyes, nem felügyelt eszközökön legyenek védve. Intune-rendszergazdaként Önnek kell meghatároznia, hogy a szervezet tagjai (végfelhasználói) hogyan férnek hozzá a vállalati erőforrásokhoz védett módon egy nem felügyelt eszközről. Gondoskodnia kell arról, hogy a szervezeti adatok elérésekor a nem felügyelt eszközök kifogástalan állapotban legyenek, az alkalmazások betartsák a szervezeti adatok védelmi szabályzatait, és hogy a szervezet szabályzatai ne befolyásolják a végfelhasználó eszközén lévő nem felügyelt eszközöket.
Intune-rendszergazdaként a következő alkalmazásfelügyeleti funkciókkal kell rendelkeznie:
- Alkalmazásvédelmi szabályzatok üzembe helyezése az Intune APP SDK által védett alkalmazásokra/felhasználókra, beleértve a következőket:
- Adatvédelmi beállítások
- Állapotellenőrzések (más néven feltételes indítás) beállításai
- Alkalmazásvédelmi szabályzatok megkövetelése feltételes hozzáféréssel
- Képesség további ügyfélállapot-ellenőrzés végrehajtására Windows biztonság központon keresztül az alábbiak szerint:
- A Windows biztonság Center kockázati szintjének megtervezése a végfelhasználók számára a vállalati erőforrásokhoz való hozzáférés engedélyezéséhez
- Bérlőalapú összekötő beállítása Microsoft Intune a Windows biztonság Centerhez
- Szelektív törlési parancs üzembe helyezése védett alkalmazásokban
A szervezet tagjai (a végfelhasználók) a következő funkciókat várják el a fiókjaikhoz:
- Bejelentkezés Microsoft Entra azonosítóba a feltételes hozzáféréssel védett webhelyek eléréséhez
- Az ügyféleszköz állapotának ellenőrzése abban az esetben, ha az eszköz nem megfelelő állapotúnak minősül
- Az erőforrásokhoz való hozzáférés visszavonása, ha az eszköz állapota nem megfelelő
- Világos szervizelési lépésekkel tájékoztatható, ha a hozzáférést rendszergazdai szabályzat szabályozza
Megjegyzés:
Az Microsoft Entra azonosítóval kapcsolatos információkért lásd: Alkalmazásvédelmi szabályzat megkövetelése Windows-eszközökön.
Feltételes hozzáférés megfelelősége
Az adatvesztés megelőzése a szervezeti adatok védelmének része. Az adatveszteség-megelőzés (DLP) csak akkor hatékony, ha a szervezet adatai nem érhetők el semmilyen nem védett rendszerből vagy eszközről. Az App Protection feltételes hozzáférése feltételes hozzáféréssel (CA) biztosítja, hogy az alkalmazásvédelmi szabályzatok (APP) támogatottak és kikényszeríthetők legyenek az ügyfélalkalmazásokban, mielőtt engedélyezi a védett erőforrásokhoz (például szervezeti adatokhoz) való hozzáférést. Az APP CA lehetővé teszi a személyes Windows-eszközökkel rendelkező végfelhasználók számára, hogy alkalmazás által felügyelt alkalmazásokat használjanak, beleértve a Microsoft Edge-et is, hogy Microsoft Entra erőforrásokhoz férhessenek hozzá a személyes eszköz teljes kezelése nélkül.
Ez a MAM-szolgáltatás felhasználónként, alkalmazásonként és eszközönként szinkronizálja a megfelelőségi állapotot a Microsoft Entra HITELESÍTÉSSZOLGÁLTATÓ szolgáltatással. Ide tartoznak a Mobile Threat Defense (MTD) szállítóitól kapott, a Windows biztonság Centerrel kezdődő fenyegetésekkel kapcsolatos információk.
Megjegyzés:
Ez a MAM-szolgáltatás ugyanazt a feltételes hozzáférési megfelelőségi munkafolyamatot használja, mint a Microsoft Edge kezelésére iOS- és Android-eszközökön.
Ha a rendszer módosítást észlel, a MAM szolgáltatás azonnal frissíti az eszközmegfelelőségi állapotot. A szolgáltatás az MTD állapotát is tartalmazza a megfelelőségi állapot részeként.
Megjegyzés:
A MAM szolgáltatás kiértékeli a szolgáltatás MTD-állapotát. Ez a MAM-ügyféltől és az ügyfélplatformtól függetlenül történik.
A MAM-ügyfél bejelentkezéskor közli az ügyfél állapotát (vagy az állapot metaadatait) a MAM-szolgáltatással. Az állapot magában foglalja az APP Health-ellenőrzések blokkolási vagy törlési feltételeinek sikertelenségét. Emellett Microsoft Entra id végigvezeti a végfelhasználókat a javítási lépéseken, amikor blokkolt hitelesítésszolgáltatói erőforráshoz próbálnak hozzáférni.
Feltételes hozzáférés megfelelősége
A szervezetek Microsoft Entra feltételes hozzáférési szabályzatok használatával biztosíthatják, hogy a felhasználók csak a windowsos házirend által felügyelt alkalmazásokkal férhessenek hozzá a munkahelyi vagy iskolai tartalmakhoz. Ehhez szüksége lesz egy olyan feltételes hozzáférési házirendre, amely az összes potenciális felhasználót megcélozza. Kövesse az Alkalmazásvédelmi szabályzat megkövetelése Windows-eszközökön című cikk lépéseit, amely lehetővé teszi a Microsoft Edge for Windows használatát, de megakadályozza, hogy más webböngészők csatlakozzanak a Microsoft 365-végpontokhoz.
A feltételes hozzáféréssel olyan helyszíni webhelyeket is megcélozhat, amelyeket a Microsoft Entra alkalmazásproxyn keresztül külső felhasználók számára is elérhetővé tett.
Veszélyforrások elleni védelem állapota
A személyes tulajdonú eszközök állapotának ellenőrzése a szervezeti adatokhoz való hozzáférés engedélyezése előtt történik. A MAM fenyegetésészlelése csatlakoztatható a Windows biztonság Centerrel. Windows biztonság Center egy szolgáltatás-szolgáltatás összekötőn keresztül biztosít ügyféleszköz-állapotfelmérést az Intune APP-nak. Ez az értékelés támogatja a folyamat korlátozását és a szervezeti adatokhoz való hozzáférést a személyes, nem felügyelt eszközökön.
Az állapot a következő adatokat tartalmazza:
- Felhasználói, alkalmazás- és eszközazonosítók
- Előre meghatározott állapot
- A legutóbbi állapotfrissítés időpontja
Az állapot csak a MAM-ban regisztrált felhasználók számára lesz elküldve. A végfelhasználók leállíthatják az adatok küldését azáltal, hogy kijelentkeznek a szervezeti fiókjukból a védett alkalmazásokban. A rendszergazdák leállhatnak az adatok küldésével, ha eltávolítják a Windows biztonság-összekötőt a Microsoft Intune.
További információ: MTD alkalmazásvédelmi szabályzat létrehozása Windowshoz.
Intune alkalmazásvédelmi házirendek létrehozása
Az alkalmazásvédelmi házirendek (APP) meghatározzák, hogy mely alkalmazások engedélyezettek, és azt is, hogy milyen műveleteket hajthatnak végre a szervezet adataival. Az APP-ben elérhető választási lehetőségek lehetővé teszik a szervezetek számára, hogy a védelmet az igényeiknek megfelelően alakítsák. Előfordulhat, hogy egyes esetekben nem egyértelmű, hogy mely házirend-beállítások szükségesek egy teljes forgatókönyv implementálásához.
Rendszergazdaként konfigurálhatja, hogyan védhetők az adatok az APP-on keresztül. Ez a konfiguráció az adatokkal folytatott natív Windows-alkalmazás-interakcióra vonatkozik. Az ALKALMAZÁSbeállítások három kategóriába vannak szegmentálva:
- Adatvédelem – Ezek a beállítások szabályozzák, hogy az adatok hogyan léphetnek be és ki a szervezeti környezetbe (fiók, dokumentum, hely, szolgáltatások) a felhasználó számára.
- Állapotellenőrzések (feltételes indítás) – Ezek a beállítások a szervezeti adatok eléréséhez szükséges eszközfeltételeket és a javítási művelet(ek)et vezérli, ha a feltételek nem teljesülnek.
Annak érdekében, hogy a szervezetek előnyben részesítsék az ügyfélvégpontok megerősítését, a Microsoft bevezette a mobilalkalmazás-felügyelethez készült APP adatvédelmi keretrendszer osztályozását.
Az egyes konfigurációs szintekre vonatkozó konkrét javaslatok és a minimális mennyiségű védelemre szoruló alkalmazások megtekintéséhez tekintse át az Alkalmazásvédelmi házirendeket használó adatvédelmi keretrendszert ismertető cikket.
Az elérhető beállításokkal kapcsolatos további információkért lásd: A Windows alkalmazásvédelmi szabályzatának beállításai.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: