Ochrona aplikacji i danych w usłudze Microsoft IntuneProtect apps and data with Microsoft Intune

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

Usługa Intune chroni dane firmowe dzięki zastosowaniu wielu warstw technologicznych.Intune protects company data through multiple technology layers. W warstwie tożsamości funkcja dostępu warunkowego chroni dostęp do usług, zezwalając jedynie na dostęp z urządzeń zarządzanych i zgodnych.At the identity layer, conditional access protects access to services by only allowing access from managed and compliant devices. W warstwie aplikacji klienta funkcja zarządzania aplikacjami mobilnymi (MAM) chroni przed utratą danych, uniemożliwiając przenoszenie danych do niechronionych aplikacji lub lokalizacji magazynu oraz czyszcząc dane w przypadku utraty lub kradzieży urządzenia.At the client application layer, mobile application management (MAM) protects data loss by preventing data from moving to nonprotected apps or storage locations—and by wiping data when a device is lost or stolen. Zaleca się używanie tych dwóch warstw ochrony jednocześnie, aby ułatwić zabezpieczanie danych przy jednoczesnym zachowaniu produktywności pracowników mobilnych.We recommend using these two layers of protection together to help secure data while keeping your mobile workforce productive.

Pierwszym ważnym krokiem do ochrony danych firmy jest zaimplementowanie dostępu warunkowego.An important first step to protecting company data is to implement conditional access. W tym celu należy się upewnić, że urządzenia, które są używane do dostępu do tych danych, korzystają z takich zabezpieczeń, jak silne hasła i szyfrowanie, i nie mają zdjętych zabezpieczeń systemu.You do this by making sure that devices that are used to access that data are using security protections like strong passwords and encryption, and are not jailbroken. Usługa Intune umożliwia określenie warunków, które urządzenia muszą spełnić przed uzyskaniem dostępu do firmowej poczty e-mail i danych.Intune lets you set conditions that the devices have to comply with before they're allowed to access your company email and data.

Dostęp warunkowy jest określany przez dwa typy zasad, które można ustawić w usłudze Intune:Conditional access is determined by two types of policies that you can set in Intune:

  • Do określenia zgodności urządzenia można użyć zasad zgodności.You use compliance policies to determine the compliance of a device. Umożliwiają podawanie wartości ustawień i warunków, takich jak:They evaluate settings and conditions like:
    • Numery PIN i hasła: można utworzyć reguły wymagające wprowadzenia hasła przed odblokowaniem urządzenia, reguły określające wymagania dotyczące złożoności hasła i inne ustawienia haseł.PINs and passwords: You can create rules to require passwords to unlock a device, for the complexity requirements of the password, and for other password settings.
    • Szyfrowanie: można ograniczyć dostęp do szyfrowanych urządzeń.Encryption: You can restrict access to devices that are encrypted.
    • Gdy urządzenie nie ma zdjętych zabezpieczeń ani nie ma dostępu do konta root: usługa Intune może wykryć, czy z zarejestrowanego urządzenia zdjęto zabezpieczenia.When a device is not jailbroken or rooted: Intune can detect if an enrolled device is jailbroken. Można ustawić zasady blokujące dostęp na tych urządzeniach.You can set the policy to block access on such devices.
  • Można skonfigurować zasady dostępu warunkowego pod kątem określonej usługi, takiej jak Exchange Online lub SharePoint Online.You configure conditional access policies for a particular service, like Exchange Online or SharePoint Online. Dla każdej usługi można określić, do której grupy użytkowników te zasady będą stosowane.For each service, you can define which groups of users these policies should apply to. Można na przykład upewnić się, że wszyscy pracownicy działu finansów mogą uzyskiwać dostęp do firmowych wiadomości e-mail z urządzeń zarejestrowanych i zgodnych.For example, you can make sure that everyone in the finance department can only access company email from enrolled and compliant devices.

Zabezpieczanie dostępu do zasobów firmy to tylko pierwszy krok do ochrony danych firmowych.Securing access to company resources is just the first step to protecting company data. Po uzyskaniu dostępu do danych na urządzeniu nadal należy mieć możliwość ich ochrony.You still need the ability to protect data after it's been accessed on the device. Dane można teraz kopiować, przenosić, zapisywać w innej lokalizacji lub udostępniać.The data can now be copied, moved, saved to a different location, or shared. Usługa Intune rozwiązuje ten problem, udostępniając możliwość ograniczenia przepływu danych dzięki utworzeniu zestawu reguł, takich jak:Intune solves this problem by providing you with the ability to restrict data movement by creating a set of rules like:

  • Blokowanie kopiowania i wklejania lub uniemożliwianie przesyłania danych poza kontekstem służbowym.Blocking copy and paste, or preventing data transfer outside of the work context.
  • Uniemożliwianie tworzenia kopii zapasowej w osobistym magazynie w chmurze i blokowanie operacji „Zapisz jako”.Preventing backup to personal cloud storage and preventing "Save as".
  • Zabezpieczanie dostępu do aplikacji przez wymaganie kodu PIN/hasła dostępu lub firmowych poświadczeń.Securing app access by requiring a PIN/passcode or corporate credentials.
  • Otwieranie wszystkich linków sieci Web w programie Intune Managed Browser.Having all web links open within the Intune Managed Browser.

Te zestawy reguł są nazywane zasadami zarządzania aplikacjami mobilnymi (MAM).These set of rules are referred to as mobile application management (MAM) policies. Można stosować zasady zarządzania aplikacjami mobilnymi do aplikacji uruchomionych na urządzeniach, które mogą, ale nie muszą być zarządzane przez użytkownika.You can apply MAM policies to apps that are running on devices that might or might not be managed by you.

Dane firmowe można chronić przy użyciu zasad MAM dla urządzeń zarejestrowanych w usłudze Intune, urządzeń zarejestrowanych i zarządzanych przez rozwiązanie do zarządzania urządzeniami przenośnymi (MDM) innej firmy lub urządzeń, które nie są zarejestrowane w żadnym rozwiązaniu MDM, takich jak urządzenia należące do pracowników.You can protect your company data by using MAM policies for devices that are enrolled in Intune, devices that are enrolled and managed by another third-party mobile device management (MDM) solution, or devices that are not enrolled in any MDM solution, like employee-owned devices.

Aby skojarzyć aplikację z zasadami MAM, aplikacja musi uwzględniać zestaw SDK (Software Development Kit) aplikacji w usłudze Microsoft Intune. Można też skorzystać z narzędzia opakowującego aplikacje.To associate an app with a MAM policy, the app must incorporate the Microsoft Intune App Software Development Kit (SDK), or you can use the App Wrapping Tool.

Aplikacje takie jak należące do pakietu Microsoft Office mają wbudowany zestaw SDK w usłudze Intune.Apps like Microsoft Office apps have the Intune App SDK built in. Pełna lista obsługiwanych aplikacji jest dostępna w galerii aplikacji mobilnych usługi Microsoft Intune na stronie partnerów aplikacji usługi Microsoft Intune.You can see the full list of supported apps in the Microsoft Intune mobile application gallery on the Microsoft Intune application partners page. Wybierz aplikację, aby wyświetlić obsługiwane scenariusze i platformy oraz aby sprawdzić, czy obsługuje ona wiele tożsamości.Choose the app to see the supported scenarios and platforms, and whether the app supports multi-identity.

Możesz również umożliwić własnym niestandardowym aplikacjom biznesowym korzystanie z zasad MAM.You can also enable your custom-built line-of-business apps to use with MAM policies.

Oprócz ograniczania przepływu danych, jeśli urządzanie zostanie utracone lub skradzione albo jeśli użytkownik nie jest już pracownikiem firmy, można selektywnie wyczyścić dane firmowe, pozostawiając tylko dane osobiste.In addition to restricting data movement, if a device gets lost or stolen or the user is no longer working with your company, you can selectively wipe company data, which leaves only personal data behind.