在 Microsoft Intune 中配置应用程序保护 (APP) 策略

在 Microsoft Intune 中配置应用程序保护 (APP) 策略

2024年6月14日

此技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师在 Microsoft Intune 中配置和实施应用程序保护策略 (APP),也称为免登录移动应用程序管理 (MAM)。应用程序对于保护移动设备上的企业数据至关重要,无论是由 Intune (MDM) 管理还是非托管(BYOD - 自带设备),确保组织数据保持安全并与个人数据隔离 [1]。

简介

在移动性至关重要且使用个人设备进行工作 (BYOD) 日益普遍的情况下,保护企业数据成为一项重大挑战。 Microsoft Intune 应用程序保护策略 (APP) 为这一问题提供了强大的解决方案,使组织能够控制在特定移动应用程序中访问、使用和共享公司数据的方式,而无需管理整个设备。这意味着您可以保护 Outlook、Word、Excel、SharePoint 等应用程序以及由 Intune 管理的其他应用程序中的数据,甚至在未注册 MDM 的设备上也是如此 [2]。

本实用指南将涵盖为 iOS/iPadOS 和 Android 创建和配置 APP 策略,包括定义访问控制、数据保护和合规性要求。将提供分步说明、配置示例和验证方法,以便读者能够实施有效的数据保护策略,保护敏感信息并确保移动设备的法规遵从性。

为什么应用程序保护策略 (APP) 至关重要?

  • 企业数据保护:通过控制托管应用程序中的复制、粘贴、另存为和打印屏幕等操作来防止数据丢失 (DLP)。
  • BYOD 支持:允许用户使用个人设备进行工作,同时保护公司数据而不侵犯个人隐私。
  • 灵活的访问控制:需要 PIN、生物识别或公司凭据才能访问托管应用程序,确保只有授权用户才能访问公司数据。
  • 数据隔离:确保公司数据无法移动到不受管理的个人应用程序或存储中。
  • 合规性:帮助满足移动设备上数据保护的法规要求。
  • 增强的用户体验:跨企业应用程序提供一致且安全的用户体验。

先决条件

要在 Microsoft Intune 中实施应用程序保护策略 (APP),您将需要以下项目:

  1. 许可:包含 Microsoft Intune 的许可证(例如 Microsoft 365 E3、E5、F3、Business Premium、企业移动性 + 安全性 E3、E5)[3]。
  2. 管理访问权限:在 Microsoft Intune 管理中心 (https://endpoint.microsoft.com) 中具有“Intune 管理员”、“Intune 应用程序管理员”或“全局管理员”权限的帐户。
  3. Intune 托管应用程序:要保护的应用程序必须是“MAM 感知”(符合 MAM 要求),例如 Microsoft 365 应用程序(Outlook、Word、Excel、PowerPoint、OneDrive、SharePoint、Teams)以及已与 Intune 应用程序保护 SDK 集成的其他业务线应用程序 [4]。
  4. 测试设备:用于测试策略的 iOS/iPadOS 和 Android 设备。

分步:配置应用程序保护策略 (APP)

让我们为 iOS/iPadOS 和 Android 创建应用策略,以保护 Microsoft 365 应用中的公司数据。

1. 访问 Microsoft Intune 管理中心

  1. 打开浏览器并导航至“https://endpoint.microsoft.com”。
  2. 使用具有必要权限的帐户登录。

2. 创建新的应用程序保护策略

  1. 在左侧导航窗格中,选择应用程序 > 应用程序保护策略
  2. 单击“创建策略”并选择所需的平台(例如:“iOS/iPadOS”)。我们将重复该过程对于安卓。

第 1 步:基本信息

  1. 名称:“APP - iOS - 公司数据保护”(或“APP - Android - 公司数据保护”)。
  2. 说明:“保护 iOS/iPadOS 设备上的 Microsoft 365 应用中的公司数据的策略。”
  3. 单击下一步

第 2 步:申请

您可以在此处选择该策略所针对的应用程序。

  1. 目标应用程序:选择“所有 Microsoft 应用程序”(以保护所有 Microsoft 365 应用程序和支持 APP 的其他 Microsoft 应用程序)或“选择自定义应用程序”(以选择特定应用程序)。
  2. 在此示例中,选择“所有 Microsoft 应用”。
  3. 单击下一步

步骤 3:数据保护

本节定义如何在应用程序中保护公司数据。

数据传输:

  1. 将组织数据发送到其他应用程序:选择“所有应用程序”或“无应用程序”。
    • 提示:为了获得最大的安全性,“无应用程序”会阻止公司数据移动到个人应用程序。如果您需要与非托管业务线应用程序进行互操作,请考虑具有附加限制的“所有应用程序”。
  2. 从其他应用程序接收数据:选择“所有应用程序”或“无应用程序”。
  3. 允许用户保存组织数据的副本:选择“无应用程序”。
  4. 允许用户将组织数据的副本保存到选定的云服务:如果您需要允许保存到特定的云服务(例如 OneDrive for Business、SharePoint),请在此处进行配置。

加密:

  1. 加密组织数据:选择“是”。

特点:

  1. 限制剪切、复制和粘贴功能:选择“仅限策略应用程序”(允许在托管应用程序之间复制/粘贴,但不允许个人应用程序)或“阻止”(完全阻止)。
  2. 阻止屏幕截图和屏幕录制:选择“是”。
  3. 与本机应用程序同步联系人:选择“阻止”。

  4. 打印组织数据:选择“块”。

  5. 单击下一步

步骤 4:访问要求

本节定义用户访问托管应用程序必须满足的条件。

  1. 访问 PIN 码:选择“需要 PIN 码”。
    • PIN 类型:“数字”或“复杂数字”。
    • 最小 PIN 长度:“4”(或更多,取决于安全策略)。
    • 允许指纹代替 PIN:“是”(为了方便)。
  2. 用于访问的公司凭据:选择“需要公司凭据”(用于定期重新身份验证)。

  3. 设备/应用程序运行状况检查:选择“是”。

    • 允许的最大威胁级别:“低”或“中”(与适用于 iOS/Android 的 Microsoft Defender for Endpoint 集成)。

  4. 单击下一步

步骤 5:有条件启动

本部分定义了如果设备或应用程序不满足策略要求会发生什么情况。

  1. 访问 PIN:配置“最大 PIN 尝试次数”(例如:“5”)。操作:“重置 PIN”或“清除数据”。
  2. 离线凭证:配置“离线宽限期”(例如“720”分钟)。操作:“阻止访问”或“清除数据”。

  3. 设备威胁级别:配置“允许的最大威胁级别”(例如“中”)。操作:“阻止访问”或“清除数据”。

  4. 单击下一步

第 6 步:作业

将策略分配给将使用托管应用程序的用户或组。

  1. 包括:选择“选择组”并添加应接收此策略的用户组(例如“所有用户”或特定的企业用户组)。

  2. 删除:(可选)如有必要,删除特定组。

  3. 单击下一步

第 7 步:查看并创建

  1. 检查所有策略设置。
  2. 单击“创建”。

3. 在其他平台 (Android) 上重复

重复第 2 部分中的步骤为 Android 平台创建策略,并根据需要调整策略名称和描述。数据保护设置、访问要求和有条件释放类似,但可能有细微差别有特定于平台的变化。

验证和测试

验证 APP 策略对于确保其按预期工作并保护公司数据至关重要。

1. 在托管和非托管设备上进行测试

  1. 非托管设备 (BYOD):在未注册 Intune (MDM) 的个人设备上,安装托管应用程序(例如:Outlook)。使用APP政策范围内的企业帐户登录。
    • 检查应用程序是否请求访问 PIN 或生物识别信息。
    • 尝试将公司数据复制到个人应用程序(例如记事本)。必须阻止该操作。
    • 尝试在托管应用程序中截取屏幕截图。必须阻止该操作或屏幕截图必须显示为空白。
  2. 托管设备 (MDM):在 Intune 注册设备 (MDM) 上,测试相同的操作,以确保应用程序策略与 MDM 策略一起正确应用。

2.检查 Intune 诊断日志

Intune 诊断日志可以提供有关 APP 策略实施的信息。

  1. 在 Microsoft Intune 管理中心中,转到 故障排除 + 支持
  2. 搜索测试用户。
  3. 应用程序部分,您可以查看应用于用户和应用程序的应用程序保护策略的状态。

3. 检查应用程序保护策略状态报告

  1. 在 Microsoft Intune 管理中心中,转到 应用程序 > 监视器 > 应用程序保护状态
  2. 此报告概述了 APP 策略的状态,包括已收到策略的用户和应用程序以及任何错误。

安全提示和最佳实践

  • 从审核开始:对于新的实施,从限制较少的策略或在审核模式(如果可用)开始,以在应用完整块之前了解影响。
  • 清晰的沟通:向用户清楚地传达APP政策、其好处以及它们如何影响其设备的使用。这有助于减少阻力并提高依从性。
  • 跨平台一致性:在 iOS/iPadOS 和 Android 上保持 APP 策略一致,以获得统一的用户体验和一致的安全态势。
  • 与条件访问集成:将 APP 策略与 Azure AD 条件访问相结合,要求应用程序在授予对企业资源的访问权限之前受 APP 保护 [5]。
  • 定期审查:定期审查和调整您的应用程序策略,以适应不断变化的业务需求、威胁形势和应用程序更新。
  • 优先考虑敏感应用程序:首先将 APP 策略应用于包含最敏感数据或最常用于企业目的的应用程序。
  • PIN 和生物识别:需要 PIN 或生物识别才能访问托管应用程序,以获得额外的安全层,尤其是在共享设备上。

常见故障排除

  • 未应用APP策略:检查用户是否在策略包含组中。确保该应用是 Intune 管理的应用并且位于目标应用列表中。检查 Intune 诊断日志。
  • 用户意外被阻止:检查策略的“有条件启动”设置。设备或应用程序可能违反了某个条件(例如,PIN 码不正确、设备已获得 root 权限/越狱)。
  • 公司数据泄露:检查“数据保护”设置,尤其是“将组织数据发送到其他应用程序”和“允许用户保存组织数据的副本”限制。
  • 应用程序未显示为托管:确保应用程序部署为 Intune 托管应用程序,或者用户在应用程序中使用其工作帐户登录。
  • 应用程序性能问题:在某些情况下,非常严格的应用程序策略可能会影响应用程序性能。监控用户反馈并在必要时调整策略。
  • 与其他策略冲突:如果同一设备应用了 MDM 和 APP 策略,请确保不存在冲突。 APP生成政策这些策略仅适用于应用程序内的数据,而 MDM 策略适用于整个设备。

结论

Microsoft Intune 中的应用程序保护策略 (APP) 是保护移动设备上的公司数据的重要工具,为 BYOD 环境提供灵活性和安全性。通过对托管应用程序中数据的访问、使用和共享方式实施精细控制,组织可以显着降低数据丢失的风险并确保法规遵从性。精心配置应用程序,结合严格的测试和用户教育,使 IT 和安全团队能够将数据保护扩展到传统范围之外,确保公司最有价值的信息保持安全,无论使用何种设备。借助本指南,安全专业人员将能够在日益互联的世界中加强移动安全并保护信息资产。

参考资料:

[1] 微软学习。 应用程序保护策略概述。网址:https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policy [2] 微软学习。 创建和部署应用程序保护策略。网址:https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policies [3] 微软学习。 Microsoft Intune 许可要求。网址:https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [4] 微软学习。 受 Microsoft Intune 保护的应用程序。网址:https://learn.microsoft.com/pt-br/mem/intune/apps/apps-supported-intune-apps [5] 微软学习。 具有 Intune 应用程序保护的条件访问。位于:https://learn.microsoft.com/pt-br/mem/intune/apps/app-protection-conditional-access