Настройка политик защиты приложений (APP) в Microsoft Intune

Настройка политик защиты приложений (APP) в Microsoft Intune

14.06.2024

Эта техническая и образовательная статья предназначена для аналитиков безопасности, ИТ-администраторов и системных инженеров при настройке и реализации политик защиты приложений (APP), также известных как управление мобильными приложениями без входа (MAM), в Microsoft Intune. Приложения имеют решающее значение для защиты корпоративных данных на мобильных устройствах, как управляемых Intune (MDM), так и неуправляемых (BYOD — «Принеси свое собственное устройство»), гарантируя, что данные организации остаются в безопасности и изолированы от личных данных [1].

Введение

В ситуации, когда мобильность имеет важное значение, а использование персональных устройств в рабочих целях (BYOD) становится все более распространенным, защита корпоративных данных становится серьезной проблемой. Политики защиты приложений Microsoft Intune (APP) предлагают надежное решение этой проблемы, позволяя организациям контролировать доступ к корпоративным данным, их использование и совместное использование в конкретных мобильных приложениях без необходимости управлять всем устройством. Это означает, что вы можете защитить данные в таких приложениях, как Outlook, Word, Excel, SharePoint и других приложениях, управляемых Intune, даже на устройствах, которые не зарегистрированы в MDM [2].

В этом практическом руководстве будет рассмотрено создание и настройка политик приложений для iOS/iPadOS и Android, включая определение контроля доступа, защиты данных и требований соответствия. Будут предоставлены пошаговые инструкции, примеры конфигурации и методы проверки, чтобы читатель мог реализовать эффективную стратегию защиты данных, защищая конфиденциальную информацию и обеспечивая соответствие нормативным требованиям на мобильных устройствах.

Почему политики защиты приложений (APP) так важны?

  • Защита корпоративных данных: предотвращает потерю данных (DLP) путем управления такими действиями, как копирование, вставка, сохранение как и печать экрана в управляемых приложениях.
  • Поддержка BYOD: позволяет пользователям использовать свои личные устройства для работы, защищая корпоративные данные, не вторгаясь в личную жизнь.
  • Гибкий контроль доступа: для доступа к управляемым приложениям требуется PIN-код, биометрические данные или корпоративные учетные данные, что гарантирует доступ к корпоративным данным только авторизованным пользователям.
  • Изоляция данных: гарантирует невозможность перемещения корпоративных данных в неуправляемые личные приложения или хранилища.
  • Соответствие: помогает соблюдать нормативные требования, требующие защиты данных на мобильных устройствах.
  • Улучшенный пользовательский интерфейс: обеспечивает единообразный и безопасный пользовательский интерфейс в корпоративных приложениях.

Предварительные условия

Для реализации политик защиты приложений (APP) в Microsoft Intune вам потребуются следующие элементы:

  1. Лицензирование: лицензия, включающая Microsoft Intune (например, Microsoft 365 E3, E5, F3, Business Premium, Enterprise Mobility + Security E3, E5) [3].
  2. Административный доступ: учетная запись с разрешениями «Администратор Intune», «Администратор приложений Intune» или «Глобальный администратор» в центре администрирования Microsoft Intune (https://endpoint.microsoft.com).
  3. Приложения, управляемые Intune. Приложения, которые вы хотите защитить, должны быть «совместимы с MAM» (MAM-совместимы), например приложения Microsoft 365 (Outlook, Word, Excel, PowerPoint, OneDrive, SharePoint, Teams) и другие бизнес-приложения, которые были интегрированы с Intune App Protection SDK [4].
  4. Устройства для тестирования: устройства iOS/iPadOS и Android для тестирования политик.

Шаг за шагом: настройка политик защиты приложений (APP)

Давайте создадим политику приложений для iOS/iPadOS и Android для защиты корпоративных данных в приложениях Microsoft 365.

1. Доступ к центру администрирования Microsoft Intune

  1. Откройте браузер и перейдите по адресу https://endpoint.microsoft.com.
  2. Войдите в систему под учетной записью, имеющей необходимые разрешения.

2. Создание новой политики защиты приложений

  1. На левой панели навигации выберите Приложения > Политики защиты приложений.
  2. Нажмите Создать политику и выберите нужную платформу (например: iOS/iPadOS). Мы повторим процессдля Андроид.

Шаг 1: Основная информация

  1. Название: APP – iOS – Корпоративная защита данных (или APP – Android – Корпоративная защита данных).
  2. Описание: «Политика защиты корпоративных данных в приложениях Microsoft 365 на устройствах iOS/iPadOS».
  3. Нажмите Далее.

Шаг 2: Приложения

Здесь вы выбираете приложения, на которые будет распространяться эта политика.

  1. Целевые приложения: выберите «Все приложения Microsoft» (чтобы защитить все приложения Microsoft 365 и другие приложения Microsoft, поддерживающие APP) или «Выбрать пользовательские приложения» (чтобы выбрать определенные приложения).
  2. В этом примере выберите «Все приложения Microsoft».
  3. Нажмите Далее.

Шаг 3: Защита данных

Этот раздел определяет, как корпоративные данные будут защищены в приложениях.

Передача данных:

  1. Отправить данные организации в другие приложения. Выберите «Все приложения» или «Нет приложений».
    • Совет. Для обеспечения максимальной безопасности параметр «Нет приложений» предотвращает перемещение корпоративных данных в личные приложения. Если вам нужна совместимость с неуправляемыми бизнес-приложениями, рассмотрите вариант «Все приложения» с дополнительными ограничениями.
  2. Получать данные из других приложений: выберите «Все приложения» или «Нет приложений».
  3. Разрешить пользователям сохранять копии данных организации: выберите «Нет приложений».
  4. Разрешить пользователям сохранять копии данных организации в выбранных облачных службах. Если вам нужно разрешить сохранение в определенных облачных службах (например, OneDrive для бизнеса, SharePoint), настройте это здесь.

Шифрование:

  1. Шифровать данные организации: выберите «Да».

Особенности:

  1. Ограничить функции вырезания, копирования и вставки: выберите «Только для приложений политики» (чтобы разрешить копирование и вставку между управляемыми приложениями, но не для личных приложений) или «Блокировать» (чтобы полностью запретить).
  2. Запретить создание снимков экрана и запись экрана: выберите «Да».
  3. Синхронизировать контакты с собственными приложениями: выберите «Заблокировать».

  4. Печать данных организации: выберите «Блокировать».

  5. Нажмите Далее.

Шаг 4. Требования к доступу

В этом разделе определяются условия, которым должен соответствовать пользователь для доступа к управляемым приложениям.

  1. ПИН-код для доступа: выберите «Требовать ПИН-код».
    • Тип PIN-кода: «Числовой» или «Комплексный числовой».
    • Минимальная длина PIN-кода: 4 (или больше, в зависимости от политики безопасности).
    • Разрешить отпечаток пальца вместо PIN-кода: «Да» (для удобства).
  2. Учетные данные компании для доступа: выберите «Требовать учетные данные компании» (для периодической повторной аутентификации).

  3. Проверка работоспособности устройства/приложения: выберите «Да».

    • Максимально допустимый уровень угрозы: «Низкий» или «Средний» (интегрируется с Microsoft Defender для конечной точки для iOS/Android).

  4. Нажмите Далее.

Шаг 5: Условный запуск

В этом разделе определяется, что произойдет, если устройство или приложение не соответствует требованиям политики.

  1. ПИН-код доступа: настройте «Максимальное количество попыток ввода ПИН-кода» (например: «5»). Действие: «Сбросить PIN» или «Очистить данные».
  2. Учетные данные для автономного режима: настройте льготный период для автономного режима (например, 720 минут). Действие: «Заблокировать доступ» или «Очистить данные».

  3. Уровень угрозы устройства: настройте «Максимально допустимый уровень угрозы» (например, «Средний»). Действие: «Заблокировать доступ» или «Очистить данные».

  4. Нажмите Далее.

Шаг 6: Задания

Назначьте политику пользователям или группам, которые будут использовать управляемые приложения.

  1. Включить: выберите «Выбрать группы» и добавьте группы пользователей, которые должны получить эту политику (например, «Все пользователи» или определенная группа корпоративных пользователей).

  2. Удалить: (необязательно) при необходимости удалите определенные группы.

  3. Нажмите Далее.

Шаг 7. Просмотрите и создайте

  1. Просмотрите все параметры политики.
  2. Нажмите Создать.

3. Повтор для другой платформы (Android)

Повторите шаги, описанные в разделе 2, чтобы создать политику для платформы Android, при необходимости изменив имя и описание политики. Настройки защиты данных, требования к доступу и условному выпуску аналогичны, но могут иметь небольшиеСуществуют варианты для конкретной платформы.

Проверка и тестирование

Проверка политик приложений имеет решающее значение для обеспечения их правильной работы и защиты корпоративных данных.

1. Тестирование на управляемых и неуправляемых устройствах

  1. Неуправляемое устройство (BYOD). На личном устройстве, не зарегистрированном в Intune (MDM), установите управляемое приложение (например, Outlook). Войдите в систему с помощью корпоративной учетной записи, на которую распространяется политика приложения.
    • Проверьте, запрашивает ли приложение PIN-код доступа или биометрию.
    • Попробуйте скопировать корпоративные данные в личное приложение (например, «Блокнот»). Действие необходимо заблокировать.
    • Попробуйте сделать снимок экрана в управляемом приложении. Действие должно быть заблокировано, иначе снимок экрана должен быть пустым.
  2. Управляемое устройство (MDM). На зарегистрированном в Intune устройстве (MDM) проверьте те же действия, чтобы убедиться, что политика приложения правильно применяется в сочетании с политиками MDM.

2. Проверка журналов диагностики Intune

Журналы диагностики Intune могут предоставить информацию о применении политики приложений.

  1. В центре администрирования Microsoft Intune перейдите в раздел Устранение неполадок + поддержка.
  2. Найдите тестового пользователя.
  3. В разделе Приложения вы можете увидеть статус политики защиты приложений, примененной к пользователю и приложениям.

3. Проверка отчета о состоянии политики защиты приложений

  1. В центре администрирования Microsoft Intune выберите Приложения > Мониторинг > Состояние защиты приложений.
  2. В этом отчете представлен обзор состояния политик приложений, включая пользователей и приложения, которые их получили, а также любые ошибки.

Советы и рекомендации по безопасности

  • Начните с аудита. Для новых реализаций начните с менее строгих политик или в режиме аудита (если он доступен), чтобы понять влияние, прежде чем применять полные блокировки.
  • Четкое общение: четко информируйте пользователей о политиках приложений, их преимуществах и о том, как они влияют на использование их устройств. Это помогает снизить сопротивление и повысить соответствие.
  • Межплатформенная согласованность. Обеспечьте единообразие политик приложений для iOS/iPadOS и Android, чтобы обеспечить унифицированный пользовательский интерфейс и единую систему безопасности.
  • Интеграция с условным доступом: объедините политики приложений с условным доступом Azure AD, чтобы требовать, чтобы приложения были защищены с помощью приложений перед предоставлением доступа к корпоративным ресурсам [5].
  • Периодическая проверка. Регулярно проверяйте и корректируйте политики приложений, чтобы адаптироваться к меняющимся потребностям бизнеса, ландшафту угроз и обновлениям приложений.
  • Установите приоритет конфиденциальных приложений. Начните с применения политик приложений к приложениям, которые содержат наиболее конфиденциальные данные или чаще всего используются в корпоративных целях.
  • ПИН-код и биометрия: для доступа к управляемым приложениям требуется ПИН-код или биометрия, что обеспечивает дополнительный уровень безопасности, особенно на общих устройствах.

Распространенное устранение неполадок

  • Политика приложения не применена: проверьте, входит ли пользователь в группу включения политики. Убедитесь, что приложение находится под управлением Intune и находится в списке целевых приложений. Проверьте журналы диагностики Intune.
  • Пользователи неожиданно заблокированы: проверьте настройки политики «Условный запуск». Возможно, устройство или приложение нарушает какое-либо условие (например, неверный PIN-код, устройство с root-доступом или взломанным устройством).
  • Утечка корпоративных данных. Проверьте настройки «Защита данных», особенно ограничения «Отправлять данные организации в другие приложения» и «Разрешить пользователям сохранять копии данных организации».
  • Приложение не отображается как управляемое. Убедитесь, что приложение развернуто как приложение, управляемое Intune, или что пользователь выполнил вход в приложение под своей рабочей учетной записью.
  • Проблемы с производительностью приложений. В некоторых случаях очень строгие политики приложений могут повлиять на производительность приложений. Отслеживайте отзывы пользователей и при необходимости корректируйте политики.
  • Конфликты с другими политиками. Если к одному и тому же устройству применены политики MDM и APP, убедитесь, что нет конфликтов. Политики генерации приложенийЭти политики применяются только к данным внутри приложения, а политики MDM применяются к устройству в целом.

Заключение

Политики защиты приложений (APP) в Microsoft Intune — это важный инструмент для защиты корпоративных данных на мобильных устройствах, обеспечивающий гибкость и безопасность сред BYOD. Внедряя детальный контроль над тем, как доступ к данным, их использование и совместное использование в управляемых приложениях, организации могут значительно снизить риск потери данных и обеспечить соответствие нормативным требованиям. Тщательная настройка приложений в сочетании со строгим тестированием и обучением пользователей позволяет ИТ-командам и службам безопасности расширять защиту данных за пределы традиционного периметра, гарантируя, что самая ценная информация компании останется в безопасности, независимо от используемого устройства. С помощью этого руководства специалисты по безопасности смогут повысить безопасность мобильных устройств и защитить информационные активы во все более взаимосвязанном мире.

Ссылки:

[1] Microsoft Learn. Обзор политик защиты приложений. Доступно по адресу: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policy. [2] Microsoft Learn. Создание и развертывание политик защиты приложений. Доступно по адресу: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policies [3] Microsoft Learn. Требования к лицензированию Microsoft Intune. Доступно по адресу: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [4] Microsoft Learn. Приложения, защищенные Microsoft Intune. Доступно по адресу: https://learn.microsoft.com/pt-br/mem/intune/apps/apps-supported-intune-apps [5] Microsoft Learn. Условный доступ с защитой приложений Intune. Доступно по адресу: https://learn.microsoft.com/pt-br/mem/intune/apps/app-protection-conditional-access