Surface Duo 安全性概述
Surface Duo 在每个层都提供内置保护,具有深度集成的硬件、固件和软件,以保护设备、标识和数据。 作为 Android 10 设备,Surface Duo 在 OS 级别和 Google 服务层利用 Android 安全功能。 Android OS 利用传统的 OS 安全控制来保护用户数据和系统资源,保护设备完整性免受恶意软件的侵害,并提供应用程序隔离。 此外,Google 在 OS 之上提供各种服务,当与 Android OS 安全性结合使用时,这些服务有助于持续保护 Android 用户。
- 自定义工程 UEFI。 在 Android 设备中,Surface Duo 的独特之处是 Microsoft 的自定义设计统一可扩展固件接口 (UEFI) ,可实现对固件组件的完全控制。 Microsoft 通过在内部编写或查看每一行固件代码,为 Surface Duo 提供企业级安全性,使 Microsoft 能够直接、灵活地应对潜在的固件威胁并缓解供应链安全风险。
- 已验证启动。 从登录时的硬件级别开始,验证启动会努力确保执行的代码仅来自受信任的源。 它建立了一个完整的信任链 -- 从硬件保护的信任根到启动加载程序、启动分区和其他已验证的分区。 Surface Duo 启动时,每个阶段都会在移交执行之前验证下一阶段的完整性和真实性。
- 应用分离。 应用程序沙盒隔离和保护 Android 应用,防止恶意应用访问私人信息。 强制、始终启用的加密和密钥处理有助于保护传输中的数据和静态数据,即使设备落入错误之手也是如此。 加密使用密钥存储密钥进行保护,密钥存储密钥存储在容器中,因此更难从设备中提取加密密钥。
- Google Play 保护。 在软件层,Surface Duo 使用 Google Play 防护威胁检测,扫描所有应用程序,包括 Google Play 中的公共应用、Microsoft 和运营商更新的系统应用以及旁加载的应用。
- Microsoft Defender ATP。 Windows 10 的企业级防病毒和恶意软件保护软件现在可用于从 Intune 管理的 Android 设备。 若要了解详细信息,请参阅 适用于 Android 的 Microsoft defender ATP。
移动设备管理安全性
Surface Duo 在企业环境中使用企业移动性管理 (EMM) 解决方案进行保护,该解决方案提供一组一致的保护工具、技术和最佳做法,你可以根据组织和合规性要求进行定制。 各种管理 API 为 IT 部门提供了工具,帮助防止数据泄露,并在各种方案中强制实施合规性。 多配置文件支持和设备管理选项可实现工作和个人数据的分离,从而帮助确保公司数据的安全。
MDM 安全性建立在一组不断扩大的配置技术之上,使用户能够在外出时高效工作,同时保护关键的企业知识产权。 这包括应用保护策略、设备限制策略和相关技术,旨在使你能够根据你的环境实现特定目标,无论你的业务是提供餐厅外卖订单、管理牙科诊所的 IT 服务还是处理敏感的国家安全信息。
例如,你可能希望通过要求用户输入 6 位字母数字引脚以及 2 因素身份验证来加强设备身份验证。 你可能希望限制用户可以注册的设备,以帮助保持符合许可限制,或避免授予对“越狱”手机或其他不受支持的设备类型的访问权限。 Intune和其他 EMM 允许组织根据需要管理设备。
应用保护策略
(APP) 应用保护策略是确保组织数据安全或包含在托管应用中的规则。 策略可以是当用户尝试访问或移动“公司”数据或当用户在应用内时被禁止或监视的一组操作时强制实施的规则。 托管应用是应用了应用保护策略的应用,可由Intune进行管理。
应用保护策略允许在应用程序中管理和保护组织的数据。 许多生产力应用(如 Microsoft Office 应用)都可以由 Intune MAM 进行管理。 请参阅可供公众使用的Microsoft Intune受保护应用的官方列表。
管理 Surface Duo 的安全注意事项
移动设备管理解决方案中可用的策略设置越来越多,使组织能够调整保护级别以满足其特定需求。 为了帮助组织确定 Surface Duo (或任何其他 Android 设备) 的安全设置的优先级,Intune引入了其 Android Enterprise 安全配置框架,这些配置框架组织到多个不同的配置方案中,为工作配置文件和完全托管方案提供了指导。
| 安全级别 | 目标为 | 摘要 | 设置信息 |
|---|---|---|---|
| 工作配置文件基本安全性 - 级别 1 | 有权访问工作或学校数据的个人设备。 | 引入密码要求,分离工作数据和个人数据,并验证 Android 设备证明。 | 工作配置文件级别 1 设置 |
| 工作配置文件高安全性 - 级别 3 (由于框架约定,这是级别 1.) |
唯一高风险的用户或组使用的设备。 例如,处理高度敏感数据的用户,其中未经授权的披露会导致大量材料损失。 | 引入移动威胁防御或Microsoft Defender ATP,将最低 Android 版本设置为 8.0,实施更强大的密码策略,并进一步限制工作和个人分离。 | 工作配置文件级别 3 设置 |
| 完全托管的基本安全性 -级别 1 | 企业设备的最低安全配置,适用于访问工作或学校数据的大多数移动用户。 | 引入了密码要求,将最低 Android 版本设置为 8.0,并实施某些设备限制。 | 完全托管的级别 1 设置 |
| 完全托管的增强安全级别 2 | 用户访问敏感或机密信息的设备。 | 实施更强大的密码策略并禁用用户/帐户功能。 | 完全托管的级别 2 集 |
| 完全托管的高安全性级别 3 | 唯一高风险的用户或组使用的设备。 例如,处理高度敏感数据的用户,其中未经授权的披露会导致大量材料损失。 | 将最低 Android 版本提高到 10.0,引入移动威胁防御或Microsoft Defender ATP,并强制实施其他设备限制。 | 完全托管的级别 3 设置 |
与任何框架一样,可能需要根据组织的需求调整相应级别的设置,因为安全性必须评估威胁环境、风险偏好以及对可用性的影响。
了解详细信息
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈