تكوين سياسات حماية التطبيقات (APP) في Microsoft Intune

تكوين سياسات حماية التطبيقات (APP) في Microsoft Intune

14/06/2024

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمان ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تكوين وتنفيذ سياسات حماية التطبيقات (APP)، والمعروفة أيضًا باسم إدارة تطبيقات الهاتف المحمول (MAM) بدون تسجيل الدخول، في Microsoft Intune. تعد التطبيقات ضرورية لحماية بيانات الشركة على الأجهزة المحمولة، سواء كانت مُدارة بواسطة Intune (MDM) أو غير مُدارة (BYOD - أحضر جهازك الخاص)، مما يضمن بقاء بيانات المؤسسة آمنة ومعزولة عن البيانات الشخصية [1].

مقدمة

في السيناريو الذي يكون فيه التنقل ضروريًا واستخدام الأجهزة الشخصية لأغراض العمل (BYOD) شائعًا بشكل متزايد، تصبح حماية بيانات الشركة تحديًا كبيرًا. توفر سياسات حماية تطبيقات Microsoft Intune (APP) حلاً قويًا لهذه المشكلة، مما يمكّن المؤسسات من التحكم في كيفية الوصول إلى بيانات الشركة واستخدامها ومشاركتها داخل تطبيقات جوال محددة دون الحاجة إلى إدارة الجهاز بالكامل. وهذا يعني أنه يمكنك حماية البيانات في تطبيقات مثل Outlook وWord وExcel وSharePoint والتطبيقات الأخرى التي يديرها Intune، حتى على الأجهزة غير المسجلة في MDM [2].

سيغطي هذا الدليل العملي إنشاء وتكوين سياسات التطبيقات لنظامي التشغيل iOS/iPadOS وAndroid، بما في ذلك تحديد عناصر التحكم في الوصول وحماية البيانات ومتطلبات الامتثال. سيتم توفير إرشادات خطوة بخطوة وأمثلة التكوين وطرق التحقق حتى يتمكن القارئ من تنفيذ إستراتيجية فعالة لحماية البيانات وحماية المعلومات الحساسة وضمان الامتثال التنظيمي على الأجهزة المحمولة.

ما سبب أهمية سياسات حماية التطبيقات (APP)؟

  • حماية بيانات المؤسسة: تمنع فقدان البيانات (DLP) من خلال التحكم في إجراءات مثل النسخ واللصق والحفظ باسم وطباعة الشاشة في التطبيقات المُدارة.
  • دعم BYOD: يتيح للمستخدمين استخدام أجهزتهم الشخصية للعمل مع حماية بيانات الشركة دون انتهاك الخصوصية الشخصية.
  • عناصر التحكم في الوصول المرنة: تتطلب رقم التعريف الشخصي أو القياسات الحيوية أو بيانات اعتماد الشركة للوصول إلى التطبيقات المُدارة، مما يضمن أن المستخدمين المصرح لهم فقط هم من يمكنهم الوصول إلى بيانات الشركة.
  • عزل البيانات: يضمن عدم إمكانية نقل بيانات الشركة إلى التطبيقات الشخصية أو وحدات التخزين غير المُدارة.
  • الامتثال: يساعد على تلبية المتطلبات التنظيمية التي تتطلب حماية البيانات على الأجهزة المحمولة.
  • تجربة مستخدم محسّنة: توفر تجربة مستخدم متسقة وآمنة عبر تطبيقات المؤسسة.

المتطلبات الأساسية

لتنفيذ سياسات حماية التطبيقات (APP) في Microsoft Intune، ستحتاج إلى العناصر التالية:

  1. الترخيص: ترخيص يتضمن Microsoft Intune (على سبيل المثال Microsoft 365 E3 وE5 وF3 وBusiness Premium وEnterprise Mobility + Security E3 وE5) [3].
  2. الوصول الإداري: حساب يتمتع بأذونات Intune Administrator أو Intune Application Administrator أو المسؤول العام في مركز إدارة Microsoft Intune (https://endpoint.microsoft.com).
  3. Intune-Managed Apps: يجب أن تكون التطبيقات التي تريد حمايتها "مدركة لـ MAM" (متوافقة مع MAM)، مثل تطبيقات Microsoft 365 (Outlook وWord وExcel وPowerPoint وOneDrive وSharePoint وTeams) وتطبيقات خط الأعمال الأخرى التي تم دمجها مع Intune App Protection SDK [4].
  4. أجهزة الاختبار: أجهزة iOS/iPadOS وAndroid لاختبار السياسات.

خطوة بخطوة: تكوين سياسات حماية التطبيقات (APP)

لنقم بإنشاء سياسة APP لنظامي التشغيل iOS/iPadOS وAndroid لحماية بيانات الشركة في تطبيقات Microsoft 365.

1. الوصول إلى مركز إدارة Microsoft Intune

  1. افتح المتصفح الخاص بك وانتقل إلى https://endpoint.microsoft.com.
  2. قم بتسجيل الدخول باستخدام حساب لديه الأذونات اللازمة.

2. إنشاء سياسة جديدة لحماية التطبيقات

  1. في جزء التنقل الأيمن، حدد التطبيقات > سياسات حماية التطبيقات.
  2. انقر فوق إنشاء سياسة وحدد النظام الأساسي المطلوب (على سبيل المثال: iOS/iPadOS). سوف نكرر العمليةلالروبوت.

الخطوة 1: المعلومات الأساسية

  1. الاسم: APP - iOS - حماية بيانات الشركة (أو APP - Android - حماية بيانات الشركة).
  2. الوصف: سياسة حماية بيانات الشركة في تطبيقات Microsoft 365 على أجهزة iOS/iPadOS.
  3. انقر التالي.

الخطوة الثانية: التطبيقات

هنا تقوم بتحديد التطبيقات التي ستستهدفها هذه السياسة.

  1. التطبيقات المستهدفة: حدد جميع تطبيقات Microsoft (لحماية جميع تطبيقات Microsoft 365 وتطبيقات Microsoft الأخرى التي تدعم التطبيق) أو تحديد تطبيقات مخصصة (لاختيار تطبيقات معينة).
  2. في هذا المثال، حدد "جميع تطبيقات Microsoft".
  3. انقر التالي.

الخطوة 3: حماية البيانات

يحدد هذا القسم كيفية حماية بيانات الشركة داخل التطبيقات.

نقل البيانات:

  1. إرسال بيانات المؤسسة إلى تطبيقات أخرى: حدد جميع التطبيقات أو بدون تطبيقات.
    • نصيحة: لتحقيق أقصى قدر من الأمان، تمنع ميزة "لا توجد تطبيقات" نقل بيانات الشركة إلى التطبيقات الشخصية. إذا كنت بحاجة إلى إمكانية التشغيل التفاعلي مع تطبيقات خط الأعمال غير المُدارة، ففكر في "جميع التطبيقات" مع قيود إضافية.
  2. تلقي البيانات من تطبيقات أخرى: حدد جميع التطبيقات أو بدون تطبيقات.
  3. السماح للمستخدمين بحفظ نسخ من بيانات المؤسسة: حدد بدون تطبيقات.
  4. السماح للمستخدمين بحفظ نسخ من بيانات المؤسسة في خدمات سحابية محددة: إذا كنت بحاجة إلى السماح بالحفظ في خدمات سحابية محددة (مثل OneDrive for Business وSharePoint)، فقم بتكوينه هنا.

التشفير:

  1. تشفير بيانات المؤسسة: حدد نعم.

الميزات:

  1. تقييد وظائف القص والنسخ واللصق: حدد لتطبيقات السياسة فقط (للسماح بالنسخ/اللصق بين التطبيقات المُدارة، ولكن ليس للتطبيقات الشخصية) أو حظر (للمنع تمامًا).
  2. منع لقطات الشاشة وتسجيل الشاشة: حدد "نعم".
  3. مزامنة جهات الاتصال مع التطبيقات الأصلية: حدد "حظر".

  4. طباعة بيانات المؤسسة: حدد "حظر".

  5. انقر التالي.

الخطوة 4: متطلبات الوصول

يحدد هذا القسم الشروط التي يجب على المستخدم استيفائها للوصول إلى التطبيقات المُدارة.

  1. رقم التعريف الشخصي للوصول: حدد "يتطلب رقم التعريف الشخصي".
    • نوع رقم التعريف الشخصي: رقمي أو رقمي معقد.
    • الحد الأدنى لطول رقم التعريف الشخصي: 4 (أو أكثر، حسب سياسة الأمان).
    • السماح ببصمة الإصبع بدلاً من رقم التعريف الشخصي: نعم (للتيسير).
  2. بيانات اعتماد الشركة للوصول: حدد `يتطلب بيانات اعتماد الشركة' (لإعادة المصادقة الدورية).

  3. التحقق من صحة الجهاز/التطبيق: حدد نعم.

    • الحد الأقصى لمستوى التهديد المسموح به: منخفض أو متوسط (يتكامل مع Microsoft Defender for Endpoint لنظامي التشغيل iOS/Android).

  4. انقر التالي.

الخطوة 5: الإطلاق المشروط

يحدد هذا القسم ما يحدث إذا كان الجهاز أو التطبيق لا يلبي متطلبات السياسة.

  1. رقم التعريف الشخصي للدخول: قم بتكوين الحد الأقصى لعدد محاولات إدخال رقم التعريف الشخصي' (على سبيل المثال:5). الإجراء:إعادة تعيين رقم التعريف الشخصيأومسح البيانات`.
  2. بيانات الاعتماد بلا اتصال: قم بتكوين "فترة السماح بلا اتصال" (على سبيل المثال، 720 دقيقة). الإجراء: حظر الوصول أو مسح البيانات.

  3. مستوى تهديد الجهاز: قم بتكوين الحد الأقصى لمستوى التهديد المسموح به' (على سبيل المثال،متوسط). الإجراء:حظر الوصولأومسح البيانات`.

  4. انقر التالي.

الخطوة 6: الواجبات

قم بتعيين السياسة للمستخدمين أو المجموعات التي ستستخدم التطبيقات المُدارة.

  1. تضمين: حدد تحديد المجموعات' وأضف مجموعات المستخدمين التي يجب أن تتلقى هذه السياسة (على سبيل المثال،جميع المستخدمين` أو مجموعة محددة من مستخدمي الشركات).

  2. حذف: (اختياري) احذف مجموعات محددة إذا لزم الأمر.

  3. انقر التالي.

الخطوة 7: المراجعة والإنشاء

  1. قم بمراجعة كافة إعدادات السياسة.
  2. انقر إنشاء.

3. التكرار للنظام الأساسي الآخر (Android)

كرر الخطوات الواردة في القسم 2 لإنشاء سياسة لنظام Android الأساسي، مع تعديل اسم السياسة ووصفها إذا لزم الأمر. إعدادات حماية البيانات ومتطلبات الوصول والإصدار المشروط متشابهة ولكنها قد تكون صغيرةهناك اختلافات خاصة بالمنصة.

التحقق والاختبار

يعد التحقق من صحة سياسات APP أمرًا بالغ الأهمية لضمان عملها كما هو متوقع وحماية بيانات الشركة.

1. الاختبار على الأجهزة المُدارة وغير المُدارة

  1. جهاز غير مُدار (BYOD): على جهاز شخصي غير مسجل في Intune (MDM)، قم بتثبيت تطبيق مُدار (على سبيل المثال: Outlook). قم بتسجيل الدخول باستخدام حساب شركة يقع في نطاق سياسة APP.
    • تحقق مما إذا كان التطبيق يطلب رقم التعريف الشخصي (PIN) للوصول أو القياسات الحيوية.
    • حاول نسخ بيانات الشركة إلى تطبيق شخصي (مثل المفكرة). يجب حظر الإجراء.
    • حاول التقاط لقطة شاشة داخل التطبيق المُدار. يجب أن يتم حظر الإجراء أو يجب أن تظهر لقطة الشاشة فارغة.
  2. الجهاز المُدار (MDM): على جهاز مسجل في Intune (MDM)، اختبر نفس الإجراءات للتأكد من تطبيق سياسة APP بشكل صحيح جنبًا إلى جنب مع سياسات MDM.

2. التحقق من سجلات تشخيص Intune

يمكن أن توفر سجلات تشخيص Intune معلومات حول تنفيذ سياسة APP.

  1. في مركز إدارة Microsoft Intune، انتقل إلى استكشاف الأخطاء وإصلاحها + الدعم.
  2. ابحث عن مستخدم الاختبار.
  3. في قسم التطبيقات، يمكنك الاطلاع على حالة سياسة حماية التطبيقات المطبقة على المستخدم والتطبيقات.

3. التحقق من تقرير حالة سياسة حماية التطبيق

  1. في مركز إدارة Microsoft Intune، انتقل إلى التطبيقات > الشاشة > حالة حماية التطبيق.
  2. يقدم هذا التقرير نظرة عامة على حالة سياسات APP، بما في ذلك المستخدمين والتطبيقات التي استقبلتها وأي أخطاء.

نصائح أمنية وأفضل الممارسات

  • البدء بالتدقيق: بالنسبة إلى عمليات التنفيذ الجديدة، ابدأ بسياسات أقل تقييدًا أو في وضع التدقيق (إذا كان متاحًا) لفهم التأثير قبل تطبيق الكتل الكاملة.
  • التواصل الواضح: التواصل بوضوح مع المستخدمين بشأن سياسات التطبيقات وفوائدها وكيفية تأثيرها على استخدام أجهزتهم. وهذا يساعد على تقليل المقاومة وزيادة الامتثال.
  • التناسق بين الأنظمة الأساسية: حافظ على اتساق سياسات التطبيقات عبر iOS/iPadOS وAndroid للحصول على تجربة مستخدم موحدة ووضع أمني متماسك.
  • التكامل مع الوصول المشروط: قم بدمج سياسات APP مع الوصول المشروط لـ Azure AD للمطالبة بتأمين التطبيقات بواسطة التطبيق قبل منح الوصول إلى موارد الشركة [5].
  • المراجعة الدورية: قم بمراجعة سياسات التطبيق وتعديلها بانتظام للتكيف مع احتياجات العمل المتغيرة ومشهد التهديدات وتحديثات التطبيق.
  • منح الأولوية للتطبيقات الحساسة: ابدأ بتطبيق سياسات التطبيقات على التطبيقات التي تحتوي على البيانات الأكثر حساسية أو الأكثر استخدامًا لأغراض الشركة.
  • رقم التعريف الشخصي والمقاييس الحيوية: يتطلب رقم التعريف الشخصي أو المقاييس الحيوية للوصول إلى التطبيقات المُدارة للحصول على طبقة إضافية من الأمان، خاصة على الأجهزة المشتركة.

استكشاف الأخطاء وإصلاحها الشائعة

  • لم يتم تطبيق سياسة التطبيق: تحقق مما إذا كان المستخدم موجودًا في مجموعة تضمين السياسة. تأكد من أن التطبيق هو تطبيق مُدار بواسطة Intune وموجود في قائمة التطبيقات المستهدفة. تحقق من سجلات تشخيص Intune.
  • تم حظر المستخدمين بشكل غير متوقع: تحقق من إعدادات "التشغيل المشروط" للسياسة. من الممكن أن يكون الجهاز أو التطبيق ينتهك شرطًا ما (على سبيل المثال، رقم تعريف شخصي غير صحيح، جهاز تم الوصول إلى الجذر/كسر الحماية).
  • تسريب بيانات الشركة: راجع إعدادات حماية البيانات، وخاصة قيود إرسال بيانات المؤسسة إلى تطبيقات أخرى والسماح للمستخدمين بحفظ نسخ من بيانات المؤسسة.
  • لا يظهر التطبيق كتطبيق مُدار: تأكد من نشر التطبيق كتطبيق مُدار بواسطة Intune أو أن المستخدم قام بتسجيل الدخول باستخدام حساب العمل الخاص به في التطبيق.
  • مشكلات في أداء التطبيق: في بعض الحالات، يمكن أن تؤثر سياسات التطبيق المقيدة للغاية على أداء التطبيق. مراقبة تعليقات المستخدمين وتعديل السياسات إذا لزم الأمر.
  • تعارض مع السياسات الأخرى: إذا كانت هناك سياسات MDM وAPP مطبقة على نفس الجهاز، فتأكد من عدم وجود تعارضات. سياسات APP العامةتنطبق هذه السياسات فقط على البيانات الموجودة داخل التطبيق، بينما تنطبق سياسات MDM على الجهاز ككل.

الخلاصة

تعد سياسات حماية التطبيقات (APP) في Microsoft Intune أداة أساسية لحماية بيانات الشركة على الأجهزة المحمولة، مما يوفر المرونة والأمان لبيئات BYOD. من خلال تنفيذ ضوابط دقيقة حول كيفية الوصول إلى البيانات واستخدامها ومشاركتها داخل التطبيقات المُدارة، يمكن للمؤسسات التخفيف بشكل كبير من مخاطر فقدان البيانات وضمان الامتثال التنظيمي. يعمل التكوين الدقيق للتطبيقات، جنبًا إلى جنب مع الاختبارات الصارمة وتعليم المستخدمين، على تمكين فرق تكنولوجيا المعلومات والأمن من توسيع نطاق حماية البيانات إلى ما هو أبعد من المحيط التقليدي، مما يضمن بقاء المعلومات الأكثر قيمة للشركة آمنة، بغض النظر عن الجهاز المستخدم. باستخدام هذا الدليل، سيتمكن متخصصو الأمن من تعزيز أمان الأجهزة المحمولة وحماية أصول المعلومات في عالم متصل بشكل متزايد.

المراجع:

[1] مايكروسوفت تعلم. نظرة عامة على سياسات حماية التطبيقات. متوفر على: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policy [2] مايكروسوفت تعلم. إنشاء ونشر سياسات حماية التطبيقات. متوفر على: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policies [3] مايكروسوفت تعلم. متطلبات ترخيص Microsoft Intune. متوفر على: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [4] مايكروسوفت تعلم. التطبيقات محمية بواسطة Microsoft Intune. متوفر على: https://learn.microsoft.com/pt-br/mem/intune/apps/apps-supported-intune-apps [5] مايكروسوفت تعلم. الوصول المشروط مع حماية تطبيق Intune. متوفر على: https://learn.microsoft.com/pt-br/mem/intune/apps/app-protection-conditional-access