Konfigurace zásad ochrany aplikací (APP) v Microsoft Intune

Konfigurace zásad ochrany aplikací (APP) v Microsoft Intune

14.06.2024

Tento technický a vzdělávací článek je určen pro bezpečnostní analytiky, správce IT a systémové inženýry při konfiguraci a implementaci zásad ochrany aplikací (APP), známých také jako správa mobilních aplikací bez přihlášení (MAM), v Microsoft Intune. Aplikace jsou klíčové pro ochranu firemních dat na mobilních zařízeních, ať už spravovaných Intune (MDM) nebo nespravovaných (BYOD – Bring Your Own Device), zajišťující, že data organizace zůstanou v bezpečí a izolovaná od osobních dat [1].

Úvod

Ve scénáři, kde je mobilita zásadní a používání osobních zařízení pro pracovní účely (BYOD) je stále běžnější, se ochrana firemních dat stává významnou výzvou. Zásady ochrany aplikací Microsoft Intune (APP) nabízejí robustní řešení tohoto problému a umožňují organizacím řídit, jak jsou podniková data přístupná, používána a sdílena v rámci konkrétních mobilních aplikací, aniž by bylo nutné spravovat celé zařízení. To znamená, že můžete chránit data v aplikacích, jako je Outlook, Word, Excel, SharePoint a dalších aplikacích spravovaných Intune, a to i na zařízeních, která nejsou zaregistrována v MDM [2].

Tato praktická příručka se bude zabývat vytvářením a konfigurací zásad APP pro iOS/iPadOS a Android, včetně definování řízení přístupu, ochrany dat a požadavků na shodu. Budou poskytnuty podrobné pokyny, příklady konfigurace a metody ověřování, aby čtenář mohl implementovat účinnou strategii ochrany dat, chránit citlivé informace a zajistit dodržování předpisů na mobilních zařízeních.

Proč jsou zásady ochrany aplikací (APP) klíčové?

  • Enterprise Data Protection: Zabraňuje ztrátě dat (DLP) řízením akcí, jako je kopírování, vkládání, ukládání jako a tisk obrazovky ve spravovaných aplikacích.
  • Podpora BYOD: Umožňuje uživatelům používat jejich osobní zařízení k práci a zároveň chránit firemní data bez narušení soukromí.
  • Flexibilní řízení přístupu: Pro přístup ke spravovaným aplikacím vyžaduje PIN, biometrické údaje nebo podnikové přihlašovací údaje, což zajišťuje, že k podnikovým datům budou mít přístup pouze oprávnění uživatelé.
  • Izolace dat: Zajišťuje, že firemní data nelze přesunout do nespravovaných osobních aplikací nebo úložiště.
  • Soulad: Pomáhá splnit regulační požadavky, které vyžadují ochranu dat na mobilních zařízeních.
  • Vylepšená uživatelská zkušenost: Poskytuje konzistentní a zabezpečenou uživatelskou zkušenost napříč podnikovými aplikacemi.

Předpoklady

K implementaci zásad ochrany aplikací (APP) v Microsoft Intune budete potřebovat následující položky:

  1. Licencování: Licence, která zahrnuje Microsoft Intune (např. Microsoft 365 E3, E5, F3, Business Premium, Enterprise Mobility + Security E3, E5) [3].
  2. Administrativní přístup: Účet s oprávněními Intune Administrator, Intune Application Administrator nebo Global Administrator v centru pro správu Microsoft Intune (https://endpoint.microsoft.com).
  3. Intune-Managed Apps: Aplikace, které chcete chránit, musí být „MAM-aware“ (vyhovující MAM), jako jsou aplikace Microsoft 365 (Outlook, Word, Excel, PowerPoint, OneDrive, SharePoint, Teams) a další podnikové aplikace, které byly integrovány se sadou Intune App Protection SDK [4].
  4. Testovací zařízení: Zařízení iOS/iPadOS a Android pro testování zásad.

Krok za krokem: Konfigurace zásad ochrany aplikací (APP)

Pojďme vytvořit zásady APP pro iOS/iPadOS a Android k ochraně firemních dat v aplikacích Microsoft 365.

1. Přístup k Microsoft Intune Admin Center

  1. Otevřete prohlížeč a přejděte na https://endpoint.microsoft.com.
  2. Přihlaste se pomocí účtu, který má potřebná oprávnění.

2. Vytvoření nové zásady ochrany aplikací

  1. V levém navigačním panelu vyberte Aplikace > Zásady ochrany aplikací.
  2. Klikněte na Vytvořit zásady a vyberte požadovanou platformu (např. iOS/iPadOS). Postup zopakujemepro Android.

Krok 1: Základní informace

  1. Název: „APP – iOS – Firemní ochrana dat“ (nebo „APP – Android – Firemní ochrana dat“).
  2. Popis: Zásady ochrany podnikových dat v aplikacích Microsoft 365 na zařízeních iOS/iPadOS.
  3. Klikněte na Další.

Krok 2: Aplikace

Zde vyberete aplikace, na které bude tato zásada cílit.

  1. Cílové aplikace: Vyberte „Všechny aplikace Microsoftu“ (chráníte všechny aplikace Microsoft 365 a další aplikace Microsoftu, které podporují APP) nebo „Vybrat vlastní aplikace“ (chcete-li vybrat konkrétní aplikace).
  2. V tomto příkladu vyberte All Microsoft Apps.
  3. Klikněte na Další.

Krok 3: Ochrana údajů

Tato část definuje, jak budou firemní data chráněna v rámci aplikací.

Datové přenosy:

  1. Odeslat organizační data do jiných aplikací: Vyberte „Všechny aplikace“ nebo „Žádné aplikace“.
    • Tip: Pro maximální zabezpečení brání „Žádné aplikace“ přesunutí firemních dat do osobních aplikací. Pokud potřebujete interoperabilitu s nespravovanými obchodními aplikacemi, zvažte možnost „Všechny aplikace“ s dalšími omezeními.
  2. Příjem dat z jiných aplikací: Vyberte „Všechny aplikace“ nebo „Žádné aplikace“.
  3. Povolit uživatelům ukládat kopie dat organizace: Vyberte možnost „Žádné aplikace“.
  4. Povolit uživatelům ukládat kopie dat organizace do vybraných cloudových služeb: Pokud potřebujete povolit ukládání do konkrétních cloudových služeb (např. OneDrive pro firmy, SharePoint), nakonfigurujte je zde.

Šifrování:

  1. Šifrovat data organizace: Vyberte „Ano“.

Vlastnosti:

  1. Omezit funkce vyjmutí, kopírování a vkládání: Vyberte „Pouze pro aplikace zásad“ (chcete-li povolit kopírování/vkládání mezi spravovanými aplikacemi, ale ne pro osobní aplikace) nebo „Blokovat“ (chcete-li zcela zabránit).
  2. Zabránit pořizování snímků obrazovky a nahrávání obrazovky: Vyberte „Ano“.
  3. Synchronizace kontaktů s nativními aplikacemi: Vyberte „Blokovat“.

  4. Tisk dat organizace: Vyberte „Blokovat“.

  5. Klikněte na Další.

Krok 4: Požadavky na přístup

Tato část definuje podmínky, které musí uživatel splnit pro přístup ke spravovaným aplikacím.

  1. PIN pro přístup: Vyberte „Vyžadovat PIN“.
    • Typ PIN: „Číselný“ nebo „Složitý číselný“.
    • Minimální délka PIN: 4 (nebo více, v závislosti na bezpečnostní politice).
    • Povolit otisk prstu místo PIN: „Ano“ (pro pohodlí).
  2. Přihlašovací údaje společnosti pro přístup: Vyberte možnost „Vyžadovat přihlašovací údaje společnosti“ (pro pravidelné opětovné ověřování).

  3. Kontrola stavu zařízení/aplikace: Vyberte „Ano“.

    • Maximální povolená úroveň hrozby: „Nízká“ nebo „Střední“ (integruje se s Microsoft Defender pro Endpoint pro iOS/Android).

  4. Klikněte na Další.

Krok 5: Podmíněné spuštění

Tato část definuje, co se stane, když zařízení nebo aplikace nesplňuje požadavky zásad.

  1. Přístupový PIN: Nakonfigurujte „Maximální počet pokusů o zadání PIN“ (např. „5“). Akce: „Resetovat PIN“ nebo „Vymazat data“.
  2. Přihlašovací údaje pro režim offline: Nakonfigurujte „Dodatečnou lhůtu offline“ (např. „720“ minut). Akce: Blokovat přístup nebo Vymazat data.

  3. Úroveň ohrožení zařízení: Nakonfigurujte „Maximální povolená úroveň hrozby“ (např. „Střední“). Akce: Blokovat přístup nebo Vymazat data.

  4. Klikněte na Další.

Krok 6: Úkoly

Přiřaďte zásady uživatelům nebo skupinám, kteří budou používat spravované aplikace.

  1. Zahrnout: Vyberte „Vybrat skupiny“ a přidejte skupiny uživatelů, které by měly obdržet tyto zásady (např. „Všichni uživatelé“ nebo konkrétní skupina podnikových uživatelů).

  2. Smazat: (Volitelné) V případě potřeby smažte konkrétní skupiny.

  3. Klikněte na Další.

Krok 7: Kontrola a vytvoření

  1. Zkontrolujte všechna nastavení zásad.
  2. Klikněte na Vytvořit.

3. Opakování pro jinou platformu (Android)

Opakujte kroky v části 2 pro vytvoření zásady pro platformu Android, v případě potřeby upravte název zásady a popis. Nastavení ochrany dat, požadavky na přístup a podmíněné uvolnění jsou podobné, ale mohou být maléExistují varianty specifické pro platformu.

Validace a testování

Ověření zásad APP je zásadní pro zajištění toho, aby fungovaly podle očekávání a chránily podniková data.

1. Testování na spravovaných a nespravovaných zařízeních

  1. Nespravované zařízení (BYOD): Na osobním zařízení, které není zaregistrováno v Intune (MDM), nainstalujte spravovanou aplikaci (např. Outlook). Přihlaste se pomocí firemního účtu, na který se vztahují zásady APP.
    • Zkontrolujte, zda aplikace vyžaduje přístupový PIN nebo biometrické údaje.
    • Zkuste zkopírovat firemní data do osobní aplikace (např. Poznámkový blok). Akce musí být zablokována.
    • Zkuste pořídit snímek obrazovky ve spravované aplikaci. Akce musí být zablokována nebo musí být snímek obrazovky prázdný.
  2. Spravované zařízení (MDM): Na zařízení registrovaném v Intune (MDM) otestujte stejné akce, abyste se ujistili, že zásada APP je správně aplikována ve spojení se zásadami MDM.

2. Kontrola diagnostických protokolů Intune

Diagnostické protokoly Intune mohou poskytovat informace o vynucení zásad aplikace APP.

  1. V centru pro správu Microsoft Intune přejděte na Troubleshooting + Support.
  2. Vyhledejte testovacího uživatele.
  3. V části Aplikace můžete vidět stav zásad ochrany aplikací aplikovaných na uživatele a aplikace.

3. Kontrola zprávy o stavu zásad ochrany aplikace

  1. V centru pro správu Microsoft Intune přejděte na Aplikace > Monitor > Stav ochrany aplikace.
  2. Tato zpráva poskytuje přehled o stavu zásad APP, včetně uživatelů a aplikací, které je obdržely, a případných chyb.

Bezpečnostní tipy a doporučené postupy

  • Začněte s auditem: U nových implementací začněte s méně omezujícími zásadami nebo v režimu auditu (je-li k dispozici), abyste pochopili dopad před použitím úplných bloků.
  • Jasná komunikace: Jasně sdělujte uživatelům zásady APP, jejich výhody a jak ovlivňují používání jejich zařízení. To pomáhá snížit odpor a zvýšit poddajnost.
  • Konzistence napříč platformami: Udržujte zásady APP konzistentní napříč iOS/iPadOS a Android pro jednotné uživatelské prostředí a soudržný bezpečnostní postoj.
  • Integrace s podmíněným přístupem: Zkombinujte zásady APP s podmíněným přístupem Azure AD, abyste vyžadovali, aby aplikace byly před udělením přístupu k podnikovým prostředkům zabezpečeny APP [5].
  • Pravidelná kontrola: Pravidelně kontrolujte a upravujte své zásady APP, aby se přizpůsobily měnícím se obchodním potřebám, prostředí hrozeb a aktualizacím aplikací.
  • Upřednostněte citlivé aplikace: Začněte aplikací zásad APP na aplikace, které obsahují nejcitlivější data nebo se nejčastěji používají pro firemní účely.
  • PIN a biometrie: Vyžaduje PIN nebo biometrické údaje pro přístup ke spravovaným aplikacím pro další vrstvu zabezpečení, zejména na sdílených zařízeních.

Běžné odstraňování problémů

  • Nepoužita zásada APP: Zkontrolujte, zda je uživatel ve skupině zahrnutí zásad. Ujistěte se, že je aplikace spravovaná Intune a je v seznamu cílových aplikací. Zkontrolujte diagnostické protokoly Intune.
  • Uživatelé byli neočekávaně zablokováni: Zkontrolujte nastavení zásady „Podmíněné spuštění“. Může se stát, že zařízení nebo aplikace porušuje podmínku (např. nesprávný PIN, rootované/jailbreaknuté zařízení).
  • Únik podnikových dat: Zkontrolujte nastavení „Ochrana dat“, zejména omezení „Posílat data organizace do jiných aplikací“ a „Povolit uživatelům ukládat kopie dat organizace“.
  • Aplikace se nezobrazuje jako spravovaná: Ujistěte se, že je aplikace nasazena jako aplikace spravovaná Intune nebo že je uživatel v aplikaci přihlášen pomocí svého pracovního účtu.
  • Problémy s výkonem aplikací: V některých případech mohou výkon aplikací ovlivnit velmi restriktivní zásady APP. Sledujte zpětnou vazbu od uživatelů a v případě potřeby upravte zásady.
  • Konflikty s jinými zásadami: Pokud jsou na stejné zařízení použity zásady MDM a APP, ujistěte se, že nedochází ke konfliktům. zásady APP genTyto zásady se vztahují pouze na data v aplikaci, zatímco zásady MDM se vztahují na zařízení jako celek.

Závěr

Zásady ochrany aplikací (APP) v Microsoft Intune jsou základním nástrojem pro ochranu podnikových dat na mobilních zařízeních a poskytují flexibilitu a zabezpečení pro prostředí BYOD. Zavedením podrobné kontroly nad tím, jak jsou data zpřístupňována, používána a sdílena v rámci spravovaných aplikací, mohou organizace výrazně snížit riziko ztráty dat a zajistit soulad s předpisy. Pečlivá konfigurace APP v kombinaci s přísným testováním a vzděláváním uživatelů umožňuje IT a bezpečnostním týmům rozšířit ochranu dat za tradiční perimetr a zajistit, že nejcennější informace společnosti zůstanou v bezpečí bez ohledu na použité zařízení. Pomocí této příručky budou odborníci na zabezpečení schopni posílit mobilní zabezpečení a chránit informační aktiva ve stále propojenějším světě.

Reference:

[1] Microsoft Learn. Přehled zásad ochrany aplikací. Dostupné na: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policy [2] Microsoft Learn. Vytvářejte a nasazujte zásady ochrany aplikací. Dostupné na: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policies [3] Microsoft Learn. Požadavky na licence Microsoft Intune. Dostupné na: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [4] Microsoft Learn. Aplikace chráněné Microsoft Intune. Dostupné na: https://learn.microsoft.com/pt-br/mem/intune/apps/apps-supported-intune-apps [5] Microsoft Learn. Podmíněný přístup s ochranou aplikací Intune. Dostupné na: https://learn.microsoft.com/pt-br/mem/intune/apps/app-protection-conditional-access