Architektura ochrany dat s využitím zásad ochrany aplikací

Vzhledem k tomu, že více organizací implementuje strategie pro přístup k pracovním nebo školním datům pro mobilní zařízení, je ochrana před únikem dat na prvním místě. Intune řešení pro správu mobilních aplikací pro ochranu před únikem dat jsou zásady ochrany aplikací (APP). APP jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci bez ohledu na to, jestli je zařízení zaregistrované. Další informace najdete v přehledu zásad Ochrana aplikací.

Při konfiguraci zásad ochrany aplikací umožňuje počet různých nastavení a možností organizacím přizpůsobit ochranu jejich konkrétním potřebám. Díky této flexibilitě nemusí být zřejmé, jaká permutace nastavení zásad se vyžaduje k implementaci kompletního scénáře. Společnost Microsoft zavedla novou taxonomii pro konfigurace zabezpečení v Windows 10 a Intune využívá podobnou taxonomii pro svou architekturu ochrany dat aplikací pro správu mobilních aplikací, aby organizacím pomohla určit prioritu posílení zabezpečení koncových bodů klientů.

Architektura konfigurace ochrany dat aplikace je uspořádaná do tří různých scénářů konfigurace:

  • Základní ochrana podnikových dat úrovně 1 – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci ochrany dat pro podnikové zařízení.

  • Rozšířená ochrana podnikových dat úrovně 2 – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace je použitelná pro většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům. Některé ovládací prvky můžou mít vliv na uživatelské prostředí.

  • Vysoká ochrana dat na úrovni 3 – Microsoft doporučuje tuto konfiguraci pro zařízení, která provozuje organizace s větším nebo sofistikovanějším týmem zabezpečení, nebo pro konkrétní uživatele nebo skupiny, kteří jsou vystaveni jedinečně vysokému riziku (uživatelům, kteří zpracovávají vysoce citlivá data, když neoprávněné zpřístupnění způsobí organizaci značné podstatné ztráty). Organizace, která bude pravděpodobně cílem dobře financovaných a sofistikovaných protivníků, by měla usilovat o tuto konfiguraci.

Metodologie nasazení architektury ochrany dat APP

Stejně jako u každého nasazení nového softwaru, funkcí nebo nastavení microsoft doporučuje investovat do kruhové metodologie pro testování ověřování před nasazením architektury ochrany dat APP. Definování okruhů nasazení je obecně jednorázová událost (nebo alespoň zřídka), ale IT by se k těmto skupinám mělo znovu vrátit, aby se zajistilo, že je pořadí stále správné.

Microsoft doporučuje následující přístup k okruhu nasazení pro architekturu ochrany dat APP:

Okruh nasazení Tenant Hodnotící týmy Výstup Časová osa
Kontrola kvality Předprodukční tenant Vlastníci mobilních funkcí, zabezpečení, posouzení rizik, ochrana osobních údajů, uživatelské prostředí Ověření funkčního scénáře, koncept dokumentace 0–30 dnů
Náhled Produkční tenant Vlastníci mobilních funkcí, uživatelské prostředí Ověření scénáře koncového uživatele, dokumentace orientovaná na uživatele 7–14 dní, po kontrole kvality
Produkce Produkční tenant Vlastníci mobilních funkcí, technická podpora IT Není k dispozici. 7 dní až několik týdnů, po náhledu

Jak ukazuje výše uvedená tabulka, všechny změny zásad ochrany aplikací by se měly nejprve provést v předprodukčním prostředí, aby se porozumělo důsledkům nastavení zásad. Po dokončení testování je možné změny přesunout do produkčního prostředí a aplikovat je na podmnožinu uživatelů v produkčním prostředí, obecně it oddělení a další příslušné skupiny. A nakonec může být zavedení dokončeno pro zbytek komunity mobilních uživatelů. Uvedení do produkčního prostředí může v závislosti na rozsahu dopadu změny trvat delší dobu. Pokud to nemá žádný dopad na uživatele, měla by se změna zavést rychle, zatímco pokud má změna dopad na uživatele, může být zavedení potřeba zpomalit, protože je potřeba informovat o změnách v populaci uživatelů.

Při testování změn aplikace mějte na paměti načasování doručení. Stav doručení APLIKACE pro daného uživatele je možné monitorovat. Další informace najdete v tématu Jak monitorovat zásady ochrany aplikací.

Jednotlivá nastavení aplikace pro každou aplikaci je možné ověřit na zařízeních pomocí Microsoft Edge a adresy URL about:Intunehelp. Další informace najdete v tématech Kontrola protokolů ochrany klientských aplikací a Použití Microsoft Edge pro iOS a Android k přístupu k protokolům spravovaných aplikací.

Nastavení architektury ochrany dat APP

Následující nastavení zásad ochrany aplikací by mělo být povolené pro příslušné aplikace a přiřazené všem mobilním uživatelům. Další informace o jednotlivých nastaveních zásad najdete v tématu Nastavení zásad ochrany aplikací pro iOS a Nastavení zásad ochrany aplikací pro Android.

Microsoft doporučuje, abyste si prostudovali a kategorizovali scénáře použití a pak pomocí pokynů pro danou úroveň konfigurujte uživatele. Stejně jako u každé architektury může být potřeba upravit nastavení v rámci odpovídající úrovně na základě potřeb organizace, protože ochrana dat musí vyhodnocovat prostředí hrozeb, chuť k riziku a dopad na použitelnost.

Správci můžou do metodologie nasazení okruhu začlenit následující úrovně konfigurace pro testování a produkční použití importem ukázkových šablon JSON Intune App Protection Policy Configuration Framework pomocí skriptů PowerShellu Intune.

Poznámka

Pokud používáte MAM pro Windows, přečtěte si téma Ochrana aplikací nastavení zásad pro Windows.

Zásady podmíněného přístupu

Aby se zajistilo, že k datům pracovního nebo školního účtu budou přistupovat jenom aplikace podporující ochranu aplikací, vyžadují se zásady podmíněného přístupu Microsoft Entra. Tyto zásady jsou popsané v tématu Podmíněný přístup: Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací.

Postup implementace konkrétních zásad najdete v tématu Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací u mobilních zařízení v tématu Podmíněný přístup: Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací . Nakonec implementujte kroky v tématu Blokování starší verze ověřování a zablokujte starší verze aplikací pro iOS a Android podporující ověřování.

Poznámka

Tyto zásady využívají ovládací prvky udělení oprávnění Vyžadovat schválenou klientskou aplikaci a Vyžadovat zásady ochrany aplikací.

Aplikace, které se mají zahrnout do zásad ochrany aplikací

Pro každou zásadu ochrany aplikací je cílem skupina Core Microsoft Apps, která zahrnuje následující aplikace:

  • Microsoft Edge
  • Excel
  • Office
  • OneDrive
  • OneNote
  • Outlook
  • PowerPoint
  • SharePoint
  • Teams
  • To Do
  • Word

Zásady by měly zahrnovat další aplikace Microsoftu založené na obchodních potřebách, další veřejné aplikace třetích stran, které integrovaly sadu Intune SDK používanou v rámci organizace, a také obchodní aplikace, které integrovaly sadu Intune SDK (nebo byly zabaleny).

Základní ochrana dat úrovně 1

Úroveň 1 je minimální konfigurace ochrany dat pro podnikové mobilní zařízení. Tato konfigurace nahrazuje potřebu základních zásad Exchange Online přístupu k zařízením tím, že vyžaduje pin kód pro přístup k pracovním nebo školním datům, zašifruje data pracovního nebo školního účtu a poskytuje možnost selektivně vymazat školní nebo pracovní data. Na rozdíl od Exchange Online zásad přístupu zařízení se ale níže uvedená nastavení zásad ochrany aplikací vztahují na všechny aplikace vybrané v zásadách, čímž se zajistí ochrana přístupu k datům i mimo scénáře zasílání mobilních zpráv.

Zásady na úrovni 1 vynucují přiměřenou úroveň přístupu k datům a současně minimalizují dopad na uživatele a odrážejí výchozí nastavení ochrany dat a požadavků na přístup při vytváření zásad ochrany aplikací v rámci Microsoft Intune.

Ochrana dat

Nastavení Popis nastavení Hodnota Platforma
Přenos dat Zálohovat data organizace do... Povolit iOS/iPadOS, Android
Přenos dat Odesílání dat organizace do jiných aplikací Všechny aplikace iOS/iPadOS, Android
Přenos dat Odeslání dat organizace na adresu Všechny cíle Windows
Přenos dat Příjem dat z jiných aplikací Všechny aplikace iOS/iPadOS, Android
Přenos dat Příjem dat z Všechny zdroje Windows
Přenos dat Omezení vyjmutí, kopírování a vkládání mezi aplikacemi Libovolná aplikace iOS/iPadOS, Android
Přenos dat Povolit vyjmutí, kopírování a vložení pro Jakýkoli cíl a jakýkoli zdroj Windows
Přenos dat Klávesnice třetích stran Povolit iOS/iPadOS
Přenos dat Schválené klávesnice Nepožaduje se Android
Přenos dat Snímek obrazovky a Google Assistant Povolit Android
Šifrování Šifrování dat organizace Vyžadovat iOS/iPadOS, Android
Šifrování Šifrování dat organizace na zaregistrovaných zařízeních Vyžadovat Android
Funkčnost Synchronizace aplikace s nativní aplikací kontaktů Povolit iOS/iPadOS, Android
Funkčnost Tisk dat organizace Povolit iOS/iPadOS, Android, Windows
Funkčnost Omezení přenosu webového obsahu s jinými aplikacemi Libovolná aplikace iOS/iPadOS, Android
Funkčnost Oznámení o datech organizace Povolit iOS/iPadOS, Android

Požadavky na přístup

Nastavení Hodnota Platforma Poznámky
PIN kód pro přístup Vyžadovat iOS/iPadOS, Android
Typ PIN kódu Číselný iOS/iPadOS, Android
Jednoduchý PIN kód Povolit iOS/iPadOS, Android
Vyberte Minimální délka PIN kódu. 4 iOS/iPadOS, Android
Touch ID místo PIN kódu pro přístup (iOS 8+/iPadOS) Povolit iOS/iPadOS
Přepsání biometriky pin kódem po vypršení časového limitu Vyžadovat iOS/iPadOS, Android
Časový limit (minuty aktivity) 1440 iOS/iPadOS, Android
Face ID místo PIN kódu pro přístup (iOS 11+/iPadOS) Povolit iOS/iPadOS
Biometrické místo PIN kódu pro přístup Povolit iOS/iPadOS, Android
Resetování PIN kódu po počtu dnů Ne iOS/iPadOS, Android
Vyberte počet předchozích hodnot PIN, které chcete zachovat. 0 Android
PIN kód aplikace při nastavení PIN kódu zařízení Vyžadovat iOS/iPadOS, Android Pokud je zařízení zaregistrované v Intune, můžou správci zvážit nastavení na Hodnotu Není povinné, pokud prostřednictvím zásad dodržování předpisů zařízením vynucují silný PIN kód zařízení.
Přihlašovací údaje k pracovnímu nebo školnímu účtu pro přístup Nepožaduje se iOS/iPadOS, Android
Znovu zkontrolovat požadavky na přístup po (minuty nečinnosti) 30 iOS/iPadOS, Android

Podmíněné spuštění

Nastavení Popis nastavení Hodnota / akce Platforma Poznámky
Podmínky aplikace Maximální počet pokusů o PIN kód 5 / Resetování PIN kódu iOS/iPadOS, Android
Podmínky aplikace Období odkladu offline 10080 / Blokování přístupu (minuty) iOS/iPadOS, Android, Windows
Podmínky aplikace Období odkladu offline 90 / Vymazání dat (dny) iOS/iPadOS, Android, Windows
Podmínky zařízení Zařízení s jailbreakem nebo rootem Není k dispozici / Blokovat přístup iOS/iPadOS, Android
Podmínky zařízení Ověření identity zařízení SafetyNet Základní integrita a certifikovaná zařízení / Blokování přístupu Android

Toto nastavení nakonfiguruje kontrolu integrity zařízení Google Play na zařízeních koncových uživatelů. Základní integrita ověřuje integritu zařízení. Rootovaná zařízení, emulátory, virtuální zařízení a zařízení se známkami manipulace selhávají v základní integritě.

Základní integrita a certifikovaná zařízení ověřují kompatibilitu zařízení se službami Společnosti Google. Touto kontrolou můžou projít jenom neupravená zařízení certifikovaná společností Google.

Podmínky zařízení Vyžadovat kontrolu hrozeb u aplikací Není k dispozici / Blokovat přístup Android Toto nastavení zajistí, že pro zařízení koncových uživatelů je zapnutá kontrola Google Verify Apps. Pokud je tato konfigurace nakonfigurovaná, bude koncovému uživateli zablokován přístup, dokud na zařízení s Androidem nezapne vyhledávání aplikací Googlem.
Podmínky zařízení Maximální povolená úroveň hrozby zařízení Nízký nebo blokovaný přístup Windows
Podmínky zařízení Vyžadovat zámek zařízení Nízká/upozornění Android Toto nastavení zajišťuje, aby zařízení s Androidem měla heslo, které splňuje minimální požadavky na heslo.

Poznámka

Nastavení podmíněného spuštění Windows jsou označená jako Kontroly stavu.

Rozšířená ochrana dat úrovně 2 pro podniky

Úroveň 2 je konfigurace ochrany dat doporučená jako standard pro zařízení, kde uživatelé přistupujte k citlivějším informacím. Tato zařízení jsou v dnešních podnicích přirozeným cílem. Tato doporučení nepředpokládá velký počet vysoce kvalifikovaných odborníků na zabezpečení, a proto by měla být přístupná většině podnikových organizací. Tato konfigurace rozšiřuje konfiguraci na úrovni 1 tím, že omezuje scénáře přenosu dat a vyžaduje minimální verzi operačního systému.

Důležité

Nastavení zásad vynucená na úrovni 2 zahrnují všechna nastavení zásad doporučená pro úroveň 1. Úroveň 2 ale obsahuje jenom ta nastavení, která byla přidána nebo změněna, aby implementovala více ovládacích prvků a sofistikovanější konfiguraci než úroveň 1. I když tato nastavení můžou mít o něco větší dopad na uživatele nebo aplikace, vynucují úroveň ochrany dat, která je pravděpodobnější pro uživatele s přístupem k citlivým informacím na mobilních zařízeních.

Ochrana dat

Nastavení Popis nastavení Hodnota Platforma Poznámky
Přenos dat Zálohovat data organizace do... Blokování iOS/iPadOS, Android
Přenos dat Odesílání dat organizace do jiných aplikací Aplikace spravované zásadami iOS/iPadOS, Android

V iOS/iPadOS můžou správci nakonfigurovat tuto hodnotu tak, aby byla "Aplikace spravované zásadami", "Aplikace spravované podle zásad se sdílením operačního systému" nebo "Aplikace spravované podle zásad s filtrováním open-in/share".

Aplikace spravované zásadami se sdílením operačního systému jsou k dispozici, když je zařízení zaregistrované také v Intune. Toto nastavení umožňuje přenos dat do jiných aplikací spravovaných zásadami a přenosy souborů do jiných aplikací spravovaných Intune.

Aplikace spravované podle zásad s filtrováním Open-In/Share filtrují dialogová okna Otevřít v nebo Sdílet operačního systému tak, aby zobrazovaly jenom aplikace spravované zásadami.

Další informace najdete v tématu Nastavení zásad ochrany aplikací pro iOS.

Přenos dat Odeslání nebo data do Žádné cíle Windows
Přenos dat Příjem dat z Žádné zdroje Windows
Přenos dat Vyberte aplikace, které chcete vyloučit. Výchozí / skype; nastavení aplikace; calshow; itms; itmss; itms-apps; itms-appss; itms-services; iOS/iPadOS
Přenos dat Uložení kopií dat organizace Blokování iOS/iPadOS, Android
Přenos dat Povolit uživatelům ukládat kopie do vybraných služeb OneDrive pro firmy, SharePoint Online, Knihovna fotek iOS/iPadOS, Android
Přenos dat Přenos telekomunikačních dat do Libovolná aplikace pro vytáčení iOS/iPadOS, Android
Přenos dat Omezení vyjmutí, kopírování a vkládání mezi aplikacemi Aplikace spravované podle zásad s vložením iOS/iPadOS, Android
Přenos dat Povolit vyjmutí, kopírování a vložení pro Žádný cíl ani zdroj Windows
Přenos dat Snímek obrazovky a Google Assistant Blokování Android
Funkčnost Omezení přenosu webového obsahu s jinými aplikacemi Microsoft Edge iOS/iPadOS, Android
Funkčnost Oznámení o datech organizace Blokovat data organizace iOS/iPadOS, Android Seznam aplikací, které toto nastavení podporují, najdete v tématu Nastavení zásad ochrany aplikací pro iOS a Nastavení zásad ochrany aplikací pro Android.

Podmíněné spuštění

Nastavení Popis nastavení Hodnota / akce Platforma Poznámky
Podmínky aplikace Zakázaný účet Není k dispozici / Blokovat přístup iOS/iPadOS, Android, Windows
Podmínky zařízení Minimální verze operačního systému Formát: Major.Minor.Build
Příklad: 14.8
/ Blokovat přístup
iOS/iPadOS Microsoft doporučuje nakonfigurovat minimální hlavní verzi iOS tak, aby odpovídala podporovaným verzím iOS pro aplikace Microsoftu. Aplikace Microsoftu podporují přístup N-1, kde N je aktuální hlavní verze iOS. V případě hodnot podverze a buildů microsoft doporučuje zajistit, aby zařízení byla aktuální s příslušnými aktualizacemi zabezpečení. Nejnovější doporučení společnosti Apple najdete v tématu Aktualizace zabezpečení Společnosti Apple .
Podmínky zařízení Minimální verze operačního systému Formát: Major.Minor
Příklad: 9.0
/ Blokovat přístup
Android Microsoft doporučuje nakonfigurovat minimální hlavní verzi Androidu tak, aby odpovídala podporovaným verzím Androidu pro aplikace Microsoftu. Výrobce OEM a zařízení, která splňují doporučené požadavky androidu Enterprise, musí podporovat aktuální vydání expedice a upgrade o jeden dopis. V současné době Android doporučuje android 9.0 a novější pro pracovníky znalostí. Nejnovější doporučení pro Android najdete v tématu Doporučené požadavky na Android Enterprise .
Podmínky zařízení Minimální verze operačního systému Formát: Sestavení
Příklad: 10.0.22621.2506
/ Blokování přístupu
Windows Microsoft doporučuje nakonfigurovat minimální build Windows tak, aby odpovídal podporovaným verzím Windows pro aplikace Microsoft. V současné době Microsoft doporučuje následující:
Podmínky zařízení Minimální verze opravy Formát: RRRR-MM-DD
Příklad: 2020-01-01
/ Blokovat přístup
Android Zařízení s Androidem můžou dostávat měsíční opravy zabezpečení, ale vydání závisí na OEM nebo operátorech. Organizace by měly před implementací tohoto nastavení zajistit, aby nasazená zařízení s Androidem dostávala aktualizace zabezpečení. Nejnovější vydání oprav najdete v bulletinech zabezpečení pro Android .
Podmínky zařízení Požadovaný typ vyhodnocení SafetyNet Klíč s hardwarovým zálohováním Android Ověření identity na základě hardwaru vylepšuje stávající kontrolu integrity služby Google Play tím, že používá nový typ vyhodnocení s názvem Hardware Backed a poskytuje robustnější detekci kořenového adresáře v reakci na novější typy nástrojů a metod rootingu, které nemusí být vždy spolehlivě detekovány řešením výhradně pro software.

Jak už název napovídá, ověřování pomocí hardwaru používá hardwarovou součást, která se dodává se zařízeními nainstalovanými s Androidem 8.1 a novějším. Zařízení, která byla upgradována ze starší verze Androidu na Android 8.1, pravděpodobně nebudou mít hardwarové komponenty potřebné pro ověření identity pomocí hardwaru. I když by toto nastavení mělo být široce podporováno od zařízení, která se dodávají s Androidem 8.1, Microsoft důrazně doporučuje, aby se zařízení testovala jednotlivě, než toto nastavení zásad povolíte obecně.

Podmínky zařízení Vyžadovat zámek zařízení Střední/blokový přístup Android Toto nastavení zajišťuje, aby zařízení s Androidem měla heslo, které splňuje minimální požadavky na heslo.
Podmínky zařízení Ověření identity zařízení Samsung Knox Blokovat přístup Android Microsoft doporučuje nakonfigurovat nastavení ověření identity zařízení Samsung Knox na Blokovat přístup , aby se zajistilo, že uživatelský účet bude zablokován přístup, pokud zařízení nesplňuje hardwarové ověření stavu zařízení Knox společnosti Samsung. Toto nastavení ověří, že všechny odpovědi klienta MAM Intune službě Intune byly odeslány ze zařízení, které je v pořádku.

Toto nastavení platí pro všechna cílová zařízení. Pokud chcete toto nastavení použít jenom u zařízení Samsung, můžete použít filtry přiřazení Spravované aplikace. Další informace o filtrech přiřazení najdete v tématu Použití filtrů při přiřazování aplikací, zásad a profilů v Microsoft Intune.

Podmínky aplikace Období odkladu offline 30 / Vymazání dat (dny) iOS/iPadOS, Android, Windows

Poznámka

Nastavení podmíněného spuštění Windows jsou označená jako Kontroly stavu.

Úroveň 3 – vysoká ochrana podnikových dat

Úroveň 3 je konfigurace ochrany dat doporučená jako standard pro organizace s velkými a sofistikovanými organizacemi zabezpečení nebo pro konkrétní uživatele a skupiny, na které budou jedinečně cílit nežádoucí osoby. Tyto organizace jsou obvykle cílem dobře financovaných a sofistikovaných nepřátel a jako takové si zaslouží další popsaná omezení a kontroly. Tato konfigurace rozšiřuje konfiguraci na úrovni 2 omezením dalších scénářů přenosu dat, zvýšením složitosti konfigurace PIN kódu a přidáním detekce mobilních hrozeb.

Důležité

Nastavení zásad vynucovaná na úrovni 3 zahrnují všechna nastavení zásad doporučená pro úroveň 2, ale uvádí pouze níže uvedená nastavení, která byla přidána nebo změněna tak, aby implementovala více ovládacích prvků a sofistikovanější konfiguraci než úroveň 2. Tato nastavení zásad mohou mít potenciálně významný dopad na uživatele nebo aplikace a vynucovat úroveň zabezpečení odpovídající rizikům, kterým čelí cílové organizace.

Ochrana dat

Nastavení Popis nastavení Hodnota Platforma Poznámky
Přenos dat Přenos telekomunikačních dat do Libovolná aplikace vytáčení spravované zásadami Android Správci můžou toto nastavení také nakonfigurovat tak, aby používala aplikaci vytáčení, která nepodporuje zásady ochrany aplikací, a to tak, že vyberou konkrétní aplikaci vytáčení a zadají hodnoty ID balíčku aplikace pro vytáčení a Název aplikace vytáčení .
Přenos dat Přenos telekomunikačních dat do Konkrétní aplikace vytáčení iOS/iPadOS
Přenos dat Schéma adres URL aplikace dialeru replace_with_dialer_app_url_scheme iOS/iPadOS V systému iOS/iPadOS musí být tato hodnota nahrazena schématem adres URL pro vlastní aplikaci vytáčení, která se používá. Pokud schéma adresy URL není známé, požádejte o další informace vývojáře aplikace. Další informace o schématech adres URL najdete v tématu Definování vlastního schématu adres URL pro vaši aplikaci.
Přenos dat Příjem dat z jiných aplikací Aplikace spravované zásadami iOS/iPadOS, Android
Přenos dat Otevření dat v dokumentech organizace Blokování iOS/iPadOS, Android
Přenos dat Povolit uživatelům otevírat data z vybraných služeb OneDrive pro firmy, SharePoint, Fotoaparát, Knihovna fotek iOS/iPadOS, Android Související informace najdete v tématu Nastavení zásad ochrany aplikací pro Android a Nastavení zásad ochrany aplikací pro iOS.
Přenos dat Klávesnice třetích stran Blokování iOS/iPadOS V iOS/iPadOS to blokuje fungování všech klávesnic třetích stran v rámci aplikace.
Přenos dat Schválené klávesnice Vyžadovat Android
Přenos dat Výběr klávesnic ke schválení přidání nebo odebrání klávesnic Android U Androidu musí být klávesnice vybrané, aby se mohly používat na základě nasazených zařízení s Androidem.
Funkčnost Tisk dat organizace Blokování iOS/iPadOS, Android, Windows

Požadavky na přístup

Nastavení Hodnota Platforma
Jednoduchý PIN kód Blokování iOS/iPadOS, Android
Vyberte Minimální délka PIN kódu. 6 iOS/iPadOS, Android
Resetování PIN kódu po počtu dnů Ano iOS/iPadOS, Android
Počet dnů 365 iOS/iPadOS, Android
Biometrika třídy 3 (Android 9.0+) Vyžadovat Android
Přepsání biometriky pin kódem po biometrických aktualizacích Vyžadovat Android

Podmíněné spuštění

Nastavení Popis nastavení Hodnota / akce Platforma Poznámky
Podmínky zařízení Vyžadovat zámek zařízení Vysoký nebo blokovaný přístup Android Toto nastavení zajišťuje, aby zařízení s Androidem měla heslo, které splňuje minimální požadavky na heslo.
Podmínky zařízení Maximální povolená úroveň hrozby zařízení Zabezpečený nebo blokovaný přístup Windows
Podmínky zařízení Zařízení s jailbreakem nebo rootem Není k dispozici / Vymazání dat iOS/iPadOS, Android
Podmínky zařízení Maximální povolená úroveň hrozby Zabezpečený nebo blokovaný přístup iOS/iPadOS, Android

Nezaregistrovaná zařízení je možné zkontrolovat, jestli nejsou ohrožena pomocí ochrany před mobilními hrozbami. Další informace najdete v tématu Ochrana před mobilními hrozbami pro nezaregistrovaná zařízení.

Pokud je zařízení zaregistrované, můžete toto nastavení přeskočit ve prospěch nasazení ochrany před mobilními hrozbami pro zaregistrovaná zařízení. Další informace najdete v tématu Ochrana před mobilními hrozbami pro zaregistrovaná zařízení.

Podmínky zařízení Maximální verze operačního systému Formát: Major.Minor
Příklad: 11.0
/ Blokovat přístup
Android Microsoft doporučuje nakonfigurovat maximální hlavní verzi Androidu, aby se zajistilo, že se nebudou používat beta nebo nepodporované verze operačního systému. Nejnovější doporučení pro Android najdete v tématu Doporučené požadavky na Android Enterprise .
Podmínky zařízení Maximální verze operačního systému Formát: Major.Minor.Build
Příklad: 15.0
/ Blokovat přístup
iOS/iPadOS Microsoft doporučuje nakonfigurovat maximální hlavní verzi iOS/iPadOS, aby se zajistilo, že se nebudou používat beta nebo nepodporované verze operačního systému. Nejnovější doporučení společnosti Apple najdete v tématu Aktualizace zabezpečení Společnosti Apple .
Podmínky zařízení Maximální verze operačního systému Formát: Major.Minor
Příklad: 22631.
/ Blokovat přístup
Windows Microsoft doporučuje nakonfigurovat maximální hlavní verzi Windows, aby se zajistilo, že se nebudou používat beta nebo nepodporované verze operačního systému.
Podmínky zařízení Ověření identity zařízení Samsung Knox Vymazání dat Android Microsoft doporučuje nakonfigurovat nastavení ověřování zařízení Samsung Knox na Vymazat data , aby se zajistilo odebrání dat organizace, pokud zařízení nesplňuje hardwarové ověření stavu zařízení Knox společnosti Samsung. Toto nastavení ověří, že všechny odpovědi klienta MAM Intune službě Intune byly odeslány ze zařízení, které je v pořádku.

Toto nastavení bude platit pro všechna cílová zařízení. Pokud chcete toto nastavení použít jenom u zařízení Samsung, můžete použít filtry přiřazení Spravované aplikace. Další informace o filtrech přiřazení najdete v tématu Použití filtrů při přiřazování aplikací, zásad a profilů v Microsoft Intune.

Podmínky aplikace Období odkladu offline 30 / Blokovat přístup (dny) iOS/iPadOS, Android, Windows

Další kroky

Správci můžou výše uvedené úrovně konfigurace začlenit do metodologie nasazení okruhu pro testování a produkční použití importem ukázkových šablon JSON Intune App Protection Policy Configuration Framework se skripty PowerShellu Intune.

Viz také