Opstel van toepassingsbeskerming (APP)-beleide in Microsoft Intune

Opstel van toepassingsbeskerming (APP)-beleide in Microsoft Intune

14/06/2024

Hierdie tegniese en opvoedkundige artikel is bedoel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die opstel en implementering van toepassingsbeskermingsbeleide (APP), ook bekend as aanmeldvrye mobiele toepassingsbestuur (MAM), in Microsoft Intune. APP's is van kardinale belang vir die beskerming van korporatiewe data op mobiele toestelle, hetsy dit deur Intune (MDM) of onbestuurde (BYOD - Bring Your Own Device) bestuur word, om te verseker dat die organisasie se data veilig en geïsoleer van persoonlike data bly [1].

Inleiding

In 'n scenario waar mobiliteit noodsaaklik is en die gebruik van persoonlike toestelle vir werkdoeleindes (BYOD) al hoe meer algemeen voorkom, word die beskerming van korporatiewe data 'n groot uitdaging. Microsoft Intune App Protection Policies (APP) bied 'n robuuste oplossing vir hierdie probleem, wat organisasies in staat stel om te beheer hoe korporatiewe data verkry word, gebruik en gedeel word binne spesifieke mobiele toepassings sonder dat dit nodig is om die hele toestel te bestuur. Dit beteken jy kan data beskerm in programme soos Outlook, Word, Excel, SharePoint en ander programme wat deur Intune bestuur word, selfs op toestelle wat nie by MDM ingeskryf is nie [2].

Hierdie praktiese gids sal die skep en opstel van APP-beleide vir iOS/iPadOS en Android dek, insluitend die definisie van toegangskontroles, databeskerming en voldoeningsvereistes. Stap-vir-stap instruksies, konfigurasievoorbeelde en valideringsmetodes sal verskaf word sodat die leser 'n effektiewe databeskermingstrategie kan implementeer, sensitiewe inligting beskerm en regulatoriese voldoening op mobiele toestelle verseker.

Waarom is toepassingsbeskermingsbeleide (APP) deurslaggewend?

  • Ondernemingsdatabeskerming: Voorkom dataverlies (DLP) deur aksies soos kopieer, plak, stoor as en drukskerm in bestuurde toepassings te beheer.
  • BYOD-ondersteuning: Laat gebruikers toe om hul persoonlike toestelle vir werk te gebruik terwyl hulle korporatiewe data beskerm sonder om persoonlike privaatheid te benadeel.
  • Buigsame toegangskontroles: Vereis PIN, biometrie of korporatiewe geloofsbriewe om toegang te verkry tot bestuurde toepassings, om te verseker dat slegs gemagtigde gebruikers toegang tot korporatiewe data het.
  • Data-isolasie: Verseker dat korporatiewe data nie na onbestuurde persoonlike toepassings of berging geskuif kan word nie.
  • Voldoening: Help om te voldoen aan regulatoriese vereistes wat databeskerming op mobiele toestelle vereis.
  • Verbeterde gebruikerservaring: Bied 'n konsekwente en veilige gebruikerservaring oor ondernemingstoepassings heen.

Voorvereistes

Om toepassingsbeskermingsbeleide (APP) in Microsoft Intune te implementeer, benodig u die volgende items:

  1. Lisensiëring: 'n Lisensie wat Microsoft Intune insluit (bv. Microsoft 365 E3, E5, F3, Business Premium, Enterprise Mobility + Security E3, E5) [3].
  2. Administratiewe toegang: 'n Rekening met Intune Administrator, Intune Application Administrator, of Global Administrator-toestemmings in die Microsoft Intune-administrasiesentrum (https://endpoint.microsoft.com).
  3. Intune-bestuurde toepassings: Die toepassings wat u wil beskerm, moet "MAM-bewus" (MAM-aanpasbaar) wees, soos Microsoft 365-toepassings (Outlook, Word, Excel, PowerPoint, OneDrive, SharePoint, Teams) en ander lyn-van-sake-toepassings wat geïntegreer is met die Intune App Protection SDK [4].
  4. Toets toestelle: iOS/iPadOS en Android-toestelle om beleide te toets.

Stap vir stap: Opstel van toepassingsbeskermingsbeleide (APP)

Kom ons skep 'n APP-beleid vir iOS/iPadOS en Android om korporatiewe data in Microsoft 365-toepassings te beskerm.

1. Toegang tot die Microsoft Intune Admin Center

  1. Maak jou blaaier oop en navigeer na https://endpoint.microsoft.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.

2. Skep 'n nuwe toepassingbeskermingsbeleid

  1. In die linkernavigasievenster, kies Toepassings > Aansoekbeskermingsbeleide.
  2. Klik Skep beleid en kies die verlangde platform (byvoorbeeld: iOS/iPadOS). Ons sal die proses herhaalvir Android.

Stap 1: Basiese inligting

  1. Naam: APP - iOS - Korporatiewe Databeskerming (of APP - Android - Korporatiewe Databeskerming).
  2. Beskrywing: Beleid om korporatiewe data in Microsoft 365-toepassings op iOS/iPadOS-toestelle te beskerm.
  3. Klik Volgende.

Stap 2: Toepassings

Hier kies jy die toepassings wat deur hierdie beleid geteiken sal word.

  1. Teiken programme: Kies Alle Microsoft-programme (om alle Microsoft 365-programme en ander Microsoft-programme wat APP ondersteun) of Kies gepasmaakte toepassings (om spesifieke toepassings te kies) te beskerm.
  2. Vir hierdie voorbeeld, kies Alle Microsoft Apps.
  3. Klik Volgende.

Stap 3: Databeskerming

Hierdie afdeling definieer hoe korporatiewe data binne toepassings beskerm sal word.

Data-oordragte:

  1. Stuur organisasiedata na ander toepassings: Kies 'Alle toepassings' of 'Geen toepassings'.
    • Wenk: Vir maksimum sekuriteit verhoed Geen toepassings' dat korporatiewe data na persoonlike toepassings geskuif word. As jy interoperabiliteit met onbestuurde lyn-van-sake-toepassings benodig, oorweegAlle toepassings' met bykomende beperkings.
  2. Ontvang data van ander toepassings: Kies Alle programme of `Geen programme nie.
  3. Laat gebruikers toe om kopieë van organisasiedata te stoor: Kies Geen toepassings.
  4. Laat gebruikers toe om kopieë van organisasiedata na geselekteerde wolkdienste te stoor: As jy stoor na spesifieke wolkdienste (bv. OneDrive for Business, SharePoint) moet toelaat, stel dit hier in.

Enkripsie:

  1. Enkripteer organisasiedata: Kies Ja.

Kenmerke:

  1. Beperk sny-, kopieer- en plakfunksies: Kies Slegs vir beleidsprogramme (om kopieer/plak tussen bestuurde programme toe te laat, maar nie vir persoonlike programme nie) of Blokkeer (om heeltemal te voorkom).
  2. Voorkom skermkiekies en skermopname: Kies Ja.
  3. Sinkroniseer kontakte met inheemse toepassings: Kies Blokkeer.

  4. Druk organisasiedata: Kies Blokkeer.

  5. Klik Volgende.

Stap 4: Toegangsvereistes

Hierdie afdeling definieer die voorwaardes waaraan 'n gebruiker moet voldoen om toegang te verkry tot bestuurde toepassings.

  1. PIN vir toegang: Kies Vereis PIN.
    • PIN-tipe: Numeries of Komplekse numeries.
    • Minimum PIN-lengte: 4 (of meer, afhangend van sekuriteitsbeleid).
    • Laat vingerafdruk in plaas van PIN toe: Ja (geriefshalwe).
  2. Maatskappybewyse vir toegang: Kies `Vereis maatskappybewyse' (vir periodieke herbekragtiging).

  3. Toestel-/toepassingsgesondheidskontrole: Kies Ja.

    • Maksimum bedreigingsvlak toegelaat: 'Laag' of 'Medium' (integreer met Microsoft Defender vir Endpoint vir iOS/Android).

  4. Klik Volgende.

Stap 5: Voorwaardelike bekendstelling

Hierdie afdeling definieer wat gebeur as die toestel of program nie aan die beleidvereistes voldoen nie.

  1. Toegang-PIN: Stel Maksimum aantal PIN-pogings op (byvoorbeeld: 5). Handeling: "Stel PIN terug" of "Vee data uit".
  2. Vanlyn eiebewyse: Stel Vanlyn grasietydperk op (bv. 720 minute). Handeling: Blokkeer toegang of Vee data uit.

  3. Toestelbedreigingsvlak: Stel 'Maksimum toelaatbare bedreigingsvlak' op (bv. 'Medium'). Handeling: Blokkeer toegang of Vee data uit.

  4. Klik Volgende.

Stap 6: Opdragte

Ken die beleid toe aan die gebruikers of groepe wat die bestuurde toepassings sal gebruik.

  1. Sluit in: Kies Kies groepe en voeg die gebruikergroepe by wat hierdie beleid moet ontvang (bv. Alle gebruikers of 'n spesifieke groep korporatiewe gebruikers).

  2. Delete: (Opsioneel) Vee spesifieke groepe uit indien nodig.

  3. Klik Volgende.

Stap 7: Hersien en skep

  1. Hersien alle beleidinstellings.
  2. Klik Skep.

3. Herhaal vir die ander platform (Android)

Herhaal die stappe in Afdeling 2 om 'n beleid vir die Android-platform te skep, en pas die beleidnaam en beskrywing aan indien nodig. Databeskerminginstellings, toegangsvereistes en voorwaardelike vrystelling is soortgelyk, maar kan klein weesDaar is platformspesifieke variasies.

Bekragtiging en toetsing

Die validering van APP-beleide is van kritieke belang om te verseker dat hulle werk soos verwag en korporatiewe data beskerm.

1. Toets op bestuurde en onbestuurde toestelle

  1. Onbestuurde Toestel (BYOD): Op 'n persoonlike toestel wat nie by Intune (MDM) ingeskryf is nie, installeer 'n bestuurde toepassing (bv. Outlook). Meld aan met 'n korporatiewe rekening wat binne die bestek van die APP-beleid is.
    • Kyk of die toepassing die toegangs-PIN of biometrie versoek.
    • Probeer om korporatiewe data na 'n persoonlike toepassing (bv. Notepad) te kopieer. Die aksie moet geblokkeer word.
    • Probeer 'n skermskoot binne die bestuurde toepassing neem. Die aksie moet geblokkeer word of die skermskoot moet leeg lyk.
  2. Bestuurde toestel (MDM): Op 'n Intune-ingeskrewe toestel (MDM), toets dieselfde aksies om te verseker dat die APP-beleid korrek toegepas word in samewerking met die MDM-beleide.

2. Gaan Intune-diagnostiese logs na

Intune-diagnostiese logs kan inligting verskaf oor APP-beleidstoepassing.

  1. Gaan na Probleemoplossing + Ondersteuning in die Microsoft Intune-administrasiesentrum.
  2. Soek vir toetsgebruiker.
  3. In die Toepassings-afdeling kan jy die status sien van die toepassingbeskermingsbeleid wat op die gebruiker en toepassings toegepas is.

3. Gaan die programbeskermingsbeleidstatusverslag na

  1. Gaan in die Microsoft Intune-administrasiesentrum na Apps > Monitor > Programbeskermingstatus.
  2. Hierdie verslag verskaf 'n oorsig van die status van APP-beleide, insluitend gebruikers en toepassings wat dit ontvang het en enige foute.

Sekuriteitswenke en beste praktyke

  • Begin met Oudit: Vir nuwe implementerings, begin met minder beperkende beleide of in ouditmodus (indien beskikbaar) om die impak te verstaan voordat volledige blokke toegepas word.
  • Duidelike kommunikasie: Kommunikeer duidelik met gebruikers oor APP-beleide, hul voordele en hoe dit die gebruik van hul toestelle beïnvloed. Dit help om weerstand te verminder en nakoming te verhoog.
  • Kruis-platform-konsekwentheid: Hou APP-beleide konsekwent oor iOS/iPadOS en Android vir 'n verenigde gebruikerservaring en samehangende sekuriteitsposisie.
  • Integrasie met voorwaardelike toegang: Kombineer APP-beleide met Azure AD-voorwaardelike toegang om te vereis dat toepassings APP-beveilig word voordat toegang tot korporatiewe hulpbronne verleen word [5].
  • Periodiese hersiening: Hersien en pas jou APP-beleide gereeld aan om aan te pas by veranderende besigheidsbehoeftes, die bedreigingslandskap en toepassingopdaterings.
  • Prioriteer sensitiewe toepassings: Begin deur APP-beleide toe te pas op die toepassings wat die sensitiefste data bevat of wat die meeste vir korporatiewe doeleindes gebruik word.
  • PIN en Biometrie: Vereis PIN of biometrie vir toegang tot bestuurde programme vir 'n ekstra laag sekuriteit, veral op gedeelde toestelle.

Algemene probleemoplossing

  • APP-beleid nie toegepas nie: Kontroleer of die gebruiker in die beleidinsluitingsgroep is. Maak seker dat die toepassing 'n Intune-bestuurde toepassing is en in die teikentoepassingslys is. Gaan die Intune diagnostiese logs na.
  • Gebruikers wat onverwags geblokkeer is: Gaan die beleid se Voorwaardelike bekendstelling-instellings na. Dit kan wees dat die toestel of toepassing 'n voorwaarde oortree (bv. verkeerde PIN, gewortelde/jailbroken toestel).
  • Korporatiewe data lek: Gaan die Databeskerming-instellings na, veral die Stuur organisasiedata na ander toepassings en Laat gebruikers toe om kopieë van organisasiedata te stoor-beperkings.
  • App verskyn nie as bestuur nie: Maak seker dat die toepassing as 'n Intune-bestuurde toepassing ontplooi is of dat die gebruiker met hul werkrekening in die toepassing aangemeld is.
  • Programprestasiekwessies: In sommige gevalle kan baie beperkende APP-beleide toepassingprestasie beïnvloed. Monitor gebruikerterugvoer en pas beleide aan indien nodig.
  • Konflik met ander beleide: As daar MDM- en APP-beleide op dieselfde toestel toegepas word, maak seker dat daar geen konflikte is nie. APP gen beleideHierdie beleide is slegs van toepassing op data binne die toepassing, terwyl MDM-beleide op die toestel as geheel van toepassing is.

Gevolgtrekking

Toepassingsbeskermingsbeleide (APP) in Microsoft Intune is 'n noodsaaklike hulpmiddel vir die beskerming van korporatiewe data op mobiele toestelle, wat buigsaamheid en sekuriteit bied vir BYOD-omgewings. Deur granulêre kontroles te implementeer oor hoe toegang tot data verkry, gebruik en gedeel word binne bestuurde toepassings, kan organisasies die risiko van dataverlies aansienlik verminder en regulatoriese voldoening verseker. Versigtige konfigurasie van APP's, gekombineer met streng toetsing en gebruikersopvoeding, bemagtig IT- en sekuriteitspanne om databeskerming buite die tradisionele omtrek uit te brei, om te verseker dat die maatskappy se waardevolste inligting veilig bly, ongeag die toestel wat gebruik word. Met hierdie gids sal sekuriteitswerkers mobiele sekuriteit kan versterk en inligtingsbates in 'n toenemend gekoppelde wêreld kan beskerm.

Verwysings:

[1] Microsoft Learn. Oorsig van toepassingsbeskermingsbeleide. Beskikbaar by: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policy [2] Microsoft Learn. Skep en ontplooi toepassingbeskermingsbeleide. Beskikbaar by: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policies [3] Microsoft Learn. Microsoft Intune-lisensievereistes. Beskikbaar by: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [4] Microsoft Learn. Toepassings beskerm deur Microsoft Intune. Beskikbaar by: https://learn.microsoft.com/pt-br/mem/intune/apps/apps-supported-intune-apps [5] Microsoft Learn. Voorwaardelike toegang met Intune App Protection. Beskikbaar by: https://learn.microsoft.com/pt-br/mem/intune/apps/app-protection-conditional-access