Поделиться через


Структура защиты данных с использованием политик защиты приложений

По мере того как все больше организаций внедряют стратегии мобильных устройств для доступа к рабочим или учебным данным, защита от утечки данных приобретает первостепенное значение. Intune решение для управления мобильными приложениями для защиты от утечки данных — политики защиты приложений (APP). APP — это правила, которые гарантируют, что данные организации остаются в безопасности или содержатся в управляемом приложении независимо от того, зарегистрировано ли устройство. Дополнительные сведения см. в статье Общие сведения о политиках защита приложений.

При настройке политик защиты приложений количество различных параметров и параметров позволяет организациям адаптировать защиту в соответствии с их конкретными потребностями. Из-за такой гибкости может быть не очевидно, какая перестановка параметров политики требуется для реализации полного сценария. Чтобы помочь организациям определить приоритеты усилий по защите конечных точек клиентов, корпорация Майкрософт представила новую таксономию для конфигураций безопасности в Windows 10, а Intune использует аналогичную таксономию для своей платформы защиты данных APP для управления мобильными приложениями.

Платформа конфигурации защиты данных APP организована в три отдельных сценария конфигурации:

  • Уровень 1 корпоративная базовая защита данных. Корпорация Майкрософт рекомендует эту конфигурацию в качестве минимальной конфигурации защиты данных для корпоративного устройства.

  • Расширенная защита корпоративных данных уровня 2. Корпорация Майкрософт рекомендует эту конфигурацию для устройств, на которых пользователи получают доступ к конфиденциальной или конфиденциальной информации. Эта конфигурация применима к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным. Некоторые параметры могут оказать влияние на работу пользователей.

  • Уровень 3 корпоративного уровня с высоким уровнем защиты данных. Корпорация Майкрософт рекомендует эту конфигурацию для устройств, управляемых организацией с более крупной или более сложной командой безопасности, или для конкретных пользователей или групп с уникальным высоким риском (пользователи, обрабатывающие конфиденциальные данные, когда несанкционированное раскрытие приводит к значительным материальным потерям для организации). Организация, скорее всего, будет мишенью хорошо финансируемых и изощренных злоумышленников, должна стремиться к этой конфигурации.

Методология развертывания APP Data Protection Framework

Как и при любом развертывании нового программного обеспечения, функций или параметров, корпорация Майкрософт рекомендует инвестировать в кольцевую методологию для тестирования проверки перед развертыванием платформы защиты данных APP. Определение кругов развертывания обычно является одноразовым событием (или, по крайней мере, редко), но ИТ-службе следует вернуться к этим группам, чтобы обеспечить правильность последовательности.

Корпорация Майкрософт рекомендует следующий подход к кольцевой среде развертывания для платформы защиты данных APP:

Круг развертывания Tenant Команды оценки Выходные данные Временная шкала
Контроль качества Клиент предварительной подготовки Владельцы мобильных возможностей, безопасность, оценка рисков, конфиденциальность, взаимодействие с пользователем Проверка функционального сценария, проекты документов 0–30 дней
Предварительная версия Рабочий клиент Владельцы мобильных возможностей, пользовательский интерфейс Проверка сценария конечного пользователя, документация для пользователей 7–14 дней, контроль качества
Производство Рабочий клиент Владельцы мобильных возможностей, служба ИТ-поддержки Недоступно от 7 дней до нескольких недель, предварительная версия

Как указано в приведенной выше таблице, все изменения политик защиты приложений должны быть сначала выполнены в предварительной среде, чтобы понять последствия параметров политики. После завершения тестирования изменения можно переместить в рабочую среду и применить к подмножествам пользователей в рабочей среде, как правило, ИТ-отделу и другим применимым группам. И, наконец, развертывание может быть завершено для остальной части сообщества мобильных пользователей. Развертывание в рабочей среде может занять больше времени в зависимости от масштаба влияния на изменение. Если это не влияет на пользователей, изменение должно быстро развернуться, в то время как, если изменение приводит к влиянию на пользователей, развертывание может идти медленнее из-за необходимости сообщать об изменениях в пользовательской совокупности.

При тестировании изменений в приложении следует учитывать время доставки. Состояние доставки приложения для данного пользователя можно отслеживать. Дополнительные сведения см. в разделе Мониторинг политик защиты приложений.

Отдельные параметры приложения для каждого приложения можно проверить на устройствах с помощью Microsoft Edge и URL-адреса about:Intunehelp. Дополнительные сведения см. в разделах Просмотр журналов защиты клиентских приложений и Использование Microsoft Edge для iOS и Android для доступа к журналам управляемых приложений.

Параметры платформы защиты данных APP

Следующие параметры политики защиты приложений должны быть включены для соответствующих приложений и назначены всем мобильным пользователям. Дополнительные сведения о каждом параметре политики см. в разделах Параметры политики защиты приложений iOS и Параметры политики защиты приложений Android.

Корпорация Майкрософт рекомендует просматривать и классифицировать сценарии использования, а затем настраивать пользователей с помощью инструкций для этого уровня. Как и в случае с любой платформой, параметры на соответствующем уровне может потребоваться скорректировать в зависимости от потребностей организации, так как защита данных должна оценивать среду угроз, аппетит к риску и влияние на удобство использования.

Администраторы могут включить приведенные ниже уровни конфигурации в методологию развертывания круга для тестирования и использования в рабочей среде путем импорта примера Intune шаблонов JSON платформы конфигурации политики защиты приложений с помощью сценариев PowerShell Intune.

Примечание.

При использовании MAM для Windows см. раздел параметры политики защита приложений для Windows.

Политики условного доступа

Чтобы гарантировать, что только приложения, поддерживающие политики защиты приложений, получают доступ к данным рабочей или учебной учетной записи, необходимо Microsoft Entra политики условного доступа. Эти политики описаны в разделе Условный доступ: требовать утвержденные клиентские приложения или политику защиты приложений.

Инструкции по реализации конкретных политик см. в статье Требовать утвержденные клиентские приложения или политику защиты приложений с помощью мобильных устройств в разделе Условный доступ: требовать утвержденные клиентские приложения или политику защиты приложений . Наконец, выполните действия, описанные в разделе Блокировать устаревшую проверку подлинности , чтобы заблокировать устаревшие приложения iOS и Android.

Приложения для включения в политики защиты приложений

Для каждой политики защиты приложений используется группа Core Microsoft Apps, которая включает следующие приложения:

  • Microsoft Edge
  • Excel
  • Office
  • OneDrive
  • OneNote
  • Outlook
  • PowerPoint
  • SharePoint
  • Teams
  • To Do
  • Word

Политики должны включать в себя другие приложения Майкрософт на основе бизнес-потребности, дополнительные сторонние общедоступные приложения, интегрированные Intune sdk, используемые в организации, а также бизнес-приложения, интегрированные с пакетом SDK для Intune (или были упакованы).

Уровень 1 корпоративная базовая защита данных

Уровень 1 — это минимальная конфигурация защиты данных для корпоративного мобильного устройства. Эта конфигурация заменяет потребность в базовых политиках доступа Exchange Online устройств, требуя ПИН-код для доступа к рабочим или учебным данным, шифруя данные рабочей или учебной учетной записи и предоставляя возможность выборочной очистки учебных или рабочих данных. Однако, в отличие от Exchange Online политик доступа к устройствам, приведенные ниже параметры политики защиты приложений применяются ко всем приложениям, выбранным в политике, тем самым обеспечивая защиту доступа к данным за пределами сценариев обмена мобильными сообщениями.

Политики уровня 1 обеспечивают разумный уровень доступа к данным, сводя к минимуму влияние на пользователей и зеркало параметры требований к защите данных и доступу по умолчанию при создании политики защиты приложений в Microsoft Intune.

Защита данных

Setting Описание параметра Значение Платформа
Передача данных Резервное копирование данных организации в... Разрешить iOS/iPadOS, Android
Передача данных Отправка данных организации в другие приложения Все приложения iOS/iPadOS, Android
Передача данных Отправка данных организации по Все назначения Windows
Передача данных Получать данные из других приложений Все приложения iOS/iPadOS, Android
Передача данных Получение данных из Все источники Windows
Передача данных Ограничение вырезанной, копируемой и вставки между приложениями Любое приложение iOS/iPadOS, Android
Передача данных Разрешить вырезать, копировать и вставлять для Любое назначение и любой источник Windows
Передача данных Клавиатуры сторонних производителей Разрешить iOS/iPadOS
Передача данных Утвержденные клавиатуры Не требуется Android
Передача данных Снимок экрана и Google Assistant Разрешить Android
Шифрование Шифрование данных организации Обязательность iOS/iPadOS, Android
Шифрование Шифрование данных организации на зарегистрированных устройствах Обязательность Android
функциональность. Синхронизация приложения с собственным приложением контактов Разрешить iOS/iPadOS, Android
функциональность. Печать данных организации Разрешить iOS/iPadOS, Android, Windows
функциональность. Ограничить обмен веб-содержимым с другими приложениями Любое приложение iOS/iPadOS, Android
функциональность. Уведомления о данных организации Разрешить iOS/iPadOS, Android

Требования к доступу

Setting Значение Платформа Примечания
ПИН-код для доступа Обязательность iOS/iPadOS, Android
Тип ПИН-кода Числовой iOS/iPadOS, Android
Простой ПИН-код Разрешить iOS/iPadOS, Android
Выберите Минимальная длина ПИН-кода 4 iOS/iPadOS, Android
Сенсорный идентификатор вместо ПИН-кода для доступа (iOS 8+/iPadOS) Разрешить iOS/iPadOS
Переопределение биометрии с помощью ПИН-кода после истечения времени ожидания Обязательность iOS/iPadOS, Android
Время ожидания (в минутах активности) 1440 iOS/iPadOS, Android
Идентификатор лица вместо ПИН-кода для доступа (iOS 11+/iPadOS) Разрешить iOS/iPadOS
Биометрические данные вместо ПИН-кода для доступа Разрешить iOS/iPadOS, Android
Смена ПИН-кода после количества дней Нет iOS/iPadOS, Android
Выбор количества предыдущих значений ПИН-кода для сохранения 0 Android
ПИН-код приложения при задании ПИН-кода устройства Обязательность iOS/iPadOS, Android Если устройство зарегистрировано в Intune, администраторы могут задать для этого параметра значение "Не требуется", если они принудительно вводят надежный ПИН-код устройства с помощью политики соответствия устройств.
Данные рабочей или учебной учетной записи для доступа Не требуется iOS/iPadOS, Android
Перепроверять требования доступа через (минут бездействия) 30 iOS/iPadOS, Android

Условный запуск

Setting Описание параметра Значение и действие Платформа Примечания
Условия приложения Макс. попыток ввода ПИН-кода 5 / Сброс ПИН-кода iOS/iPadOS, Android
Условия приложения Период отсрочки в автономном режиме 10080 / Блокировать доступ (в минутах) iOS/iPadOS, Android, Windows
Условия приложения Период отсрочки в автономном режиме 90 / Очистка данных (в днях) iOS/iPadOS, Android, Windows
Условия устройства Устройства со снятой защитой или административным доступом N/A / Блокировать доступ iOS/iPadOS, Android
Условия устройства Аттестация устройств SafetyNet Базовая целостность и сертифицированные устройства / Блокировка доступа Android

Этот параметр настраивает целостность устройств Google Play проверка на устройствах конечных пользователей. Базовая целостность подтверждает целостность устройства. Проверку базовой целостности не проходят устройства с административным доступом, эмуляторы, виртуальные устройства и устройства с признаками несанкционированного доступа.

"Базовая целостность и сертифицированные устройства" проверяют совместимость устройства со службами Google. Эту проверку могут пройти только неизмененные устройства, сертифицированные корпорацией Google.

Условия устройства Требовать проверку на угрозы в приложениях N/A / Блокировать доступ Android Этот параметр гарантирует, что проверка приложений Google включена для устройств конечных пользователей. Если это настроено, доступ к конечному пользователю будет запрещен до тех пор, пока он не включит сканирование приложений Google на своем устройстве Android.
Условия устройства Максимальный допустимый уровень угроз для устройства Низкий или заблокированный доступ Windows
Условия устройства Требовать блокировку устройства Низкий уровень или предупреждение Android Этот параметр гарантирует, что на устройствах Android есть пароль устройства, соответствующий минимальным требованиям к паролю.

Примечание.

Параметры условного запуска Windows помечены как проверки работоспособности.

Расширенная защита данных предприятия уровня 2

Уровень 2 — это конфигурация защиты данных, рекомендуемая в качестве стандарта для устройств, где пользователи получают доступ к более конфиденциальной информации. Сегодня эти устройства являются в организациях естественной мишенью. Эти рекомендации не предполагают большого числа высококвалифицированных специалистов по безопасности, поэтому они должны быть доступны большинству корпоративных организаций. Эта конфигурация расширяет конфигурацию уровня 1, ограничивая сценарии передачи данных и требуя минимальной версии операционной системы.

Важно!

Параметры политики, применяемые на уровне 2, включают все параметры политики, рекомендуемые для уровня 1. Однако на уровне 2 перечислены только те параметры, которые были добавлены или изменены для реализации дополнительных элементов управления и более сложной конфигурации, чем уровень 1. Хотя эти параметры могут оказать несколько большее влияние на пользователей или приложения, они обеспечивают уровень защиты данных, более соизмеримый с рисками, с которыми сталкиваются пользователи с доступом к конфиденциальной информации на мобильных устройствах.

Защита данных

Setting Описание параметра Значение Платформа Примечания
Передача данных Резервное копирование данных организации в... Блокировка iOS/iPadOS, Android
Передача данных Отправка данных организации в другие приложения Приложения, управляемые политикой iOS/iPadOS, Android

В iOS/iPadOS администраторы могут настроить это значение как "Приложения, управляемые политикой", "Приложения, управляемые политикой, с общим доступом к ОС" или "Приложения, управляемые политикой, с фильтрацией "Открыть в/поделиться".

Приложения, управляемые политикой, с общим доступом к ОС доступны, если устройство также зарегистрировано в Intune. Этот параметр позволяет передавать данные другим приложениям, управляемым политикой, и передавать файлы другим приложениям, управляемым Intune.

Приложения, управляемые политикой, с фильтрацией Open-In/Share фильтруют диалоговые окна открытия и совместного использования ОС, чтобы отображать только приложения, управляемые политикой.

Дополнительные сведения см. в разделе Параметры политики защиты приложений iOS.

Передача данных Отправка данных или в Нет назначений Windows
Передача данных Получение данных из Нет источников Windows
Передача данных Выбрать исключаемые приложения Значение по умолчанию / skype; параметры приложения; calshow; itms; itmss; itms-apps; itms-appss; itms-services; iOS/iPadOS
Передача данных Сохранять копии данных организации Блокировка iOS/iPadOS, Android
Передача данных Разрешить пользователям сохранять копии в выбранных службах OneDrive для бизнеса, SharePoint Online, библиотека фотографий iOS/iPadOS, Android
Передача данных Transfer telecommunication data to (Перенос телекоммуникационных данных в) Любое приложение для набора номера iOS/iPadOS, Android
Передача данных Ограничение вырезанной, копируемой и вставки между приложениями Приложения, управляемые политикой, с вставкой в iOS/iPadOS, Android
Передача данных Разрешить вырезать, копировать и вставлять для Нет назначения или источника Windows
Передача данных Снимок экрана и Google Assistant Блокировка Android
функциональность. Ограничить обмен веб-содержимым с другими приложениями Microsoft Edge iOS/iPadOS, Android
функциональность. Уведомления о данных организации Блокировать данные организации iOS/iPadOS, Android Список приложений, поддерживающих этот параметр, см. в разделах Параметры политики защиты приложений iOS и Параметры политики защиты приложений Android.

Условный запуск

Setting Описание параметра Значение и действие Платформа Примечания
Условия приложения Учетная запись отключена N/A / Блокировать доступ iOS/iPadOS, Android, Windows
Условия устройства Минимальная версия ОС Формат: Major.Minor.Build
Пример: 14.8
/ Блокировать доступ
iOS/iPadOS Корпорация Майкрософт рекомендует настроить минимальную основную версию iOS в соответствии с поддерживаемыми версиями iOS для приложений Майкрософт. Приложения Майкрософт поддерживают подход N-1, при котором N — это текущая основная версия выпуска iOS. Для настройки значений дополнительной версии и сборки корпорация Майкрософт рекомендует обеспечить актуальность устройств в соответствии с обновлениями для системы безопасности. Последние рекомендации Apple см. в разделе Обновления системы безопасности Apple .
Условия устройства Минимальная версия ОС Формат: Major.Minor
Пример: 9.0
/ Блокировать доступ
Android Корпорация Майкрософт рекомендует настроить минимальный основной номер версии Android в соответствии с поддерживаемыми версиями Android для приложений Майкрософт. Изготовители оборудования и устройства, соответствующие рекомендуемым требованиям Android Enterprise, должны поддерживать текущий поставляемый выпуск и обновление. В настоящее время специалистам в сфере анализа и обработки информации рекомендуется использовать Android 9.0 и более поздние версии. Ознакомьтесь с рекомендациями android enterprise для последних рекомендаций Android.
Условия устройства Минимальная версия ОС Формат: сборка
Пример: 10.0.22621.2506
/ Блокировать доступ
Windows Корпорация Майкрософт рекомендует настроить минимальную сборку Windows в соответствии с поддерживаемыми версиями Windows для приложений Майкрософт. В настоящее время корпорация Майкрософт рекомендует следующее:
Условия устройства Минимальная версия исправления Формат: ГГГГ-ММ-ДД
Пример: 2020-01-01
/ Блокировать доступ
Android Устройства Android могут получить ежемесячные исправления безопасности, но их выпуск зависит от OEM-изготовителей и операторов связи. Организации должны убедиться, что развернутые устройства Android действительно получают обновления безопасности, и только после этого применять этот параметр. Последние выпуски исправлений см. в бюллетенях по безопасности Android .
Условия устройства Требуемый тип оценки SafetyNet Аппаратный ключ Android Аппаратная аттестация улучшает существующую службу Google Play Integrity проверка путем применения нового типа оценки под названием Hardware Backed, обеспечивая более надежное обнаружение корней в ответ на более новые типы инструментов и методов rooting, которые не всегда могут быть надежно обнаружены программным решением.

Как следует из названия, аппаратная аттестация использует аппаратный компонент, который поставляется с устройствами, установленными с Android 8.1 и более поздних версий. Устройства, которые были обновлены с предыдущей версии Android до Android 8.1, вряд ли будут иметь аппаратные компоненты, необходимые для аттестации с аппаратной поддержкой. Хотя этот параметр должен широко поддерживаться, начиная с устройств, поставляемых с Android 8.1, корпорация Майкрософт настоятельно рекомендует проверять каждое устройство отдельно, прежде чем широко применять этот параметр политики.

Условия устройства Требовать блокировку устройства Средний или блочный доступ Android Этот параметр гарантирует, что на устройствах Android есть пароль устройства, соответствующий минимальным требованиям к паролю.
Условия устройства Аттестация устройств Samsung Knox Блокировка доступа Android Корпорация Майкрософт рекомендует настроить для параметра аттестации устройств Samsung Knoxзначение Блокировать доступ , чтобы убедиться, что учетная запись пользователя заблокирована для доступа, если устройство не соответствует аппаратной проверке работоспособности устройства Samsung Knox. Этот параметр проверяет все Intune ответы клиента MAM на службу Intune были отправлены с работоспособного устройства.

Этот параметр применяется ко всем целевым устройствам. Чтобы применить этот параметр только к устройствам Samsung, можно использовать фильтры назначений "Управляемые приложения". Дополнительные сведения о фильтрах назначений см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune.

Условия приложения Период отсрочки в автономном режиме 30 / Очистка данных (в днях) iOS/iPadOS, Android, Windows

Примечание.

Параметры условного запуска Windows помечены как проверки работоспособности.

Высокий уровень защиты корпоративных данных уровня 3

Уровень 3 — это конфигурация защиты данных, рекомендуемая в качестве стандарта для организаций с большими и сложными организациями по обеспечению безопасности, а также для конкретных пользователей и групп, которые будут однозначно атакованы злоумышленниками. Такие организации, как правило, являются мишенью хорошо финансируемых и изощренных злоумышленников, и, как таковые, заслуживают дополнительных ограничений и средств контроля, описанных. Эта конфигурация расширяет конфигурацию уровня 2, ограничивая дополнительные сценарии передачи данных, усложняя конфигурацию ПИН-кода и добавляя обнаружение угроз для мобильных устройств.

Важно!

Параметры политики, применяемые на уровне 3, включают все параметры политики, рекомендуемые для уровня 2, но перечислены только те параметры ниже, которые были добавлены или изменены для реализации дополнительных элементов управления и более сложной конфигурации, чем уровень 2. Эти параметры политики могут оказать потенциально значительное влияние на пользователей или приложения, обеспечивая уровень безопасности, соизмеримый с рисками, с которыми сталкиваются целевые организации.

Защита данных

Setting Описание параметра Значение Платформа Примечания
Передача данных Transfer telecommunication data to (Перенос телекоммуникационных данных в) Любое приложение набора номера, управляемое политикой Android Администраторы также могут настроить этот параметр для использования приложения набора номера, которое не поддерживает политики защиты приложений, выбрав определенное приложение для набора номера и указав значения Идентификатор пакета приложения для набора номера и Имя приложения набора номера.
Передача данных Transfer telecommunication data to (Перенос телекоммуникационных данных в) Определенное приложение для набора номера iOS/iPadOS
Передача данных Схема URL-адресов приложения для набора номера replace_with_dialer_app_url_scheme iOS/iPadOS В iOS/iPadOS это значение должно быть заменено схемой URL-адресов для используемого пользовательского приложения набора номера. Если схема URL-адресов не известна, обратитесь за дополнительными сведениями к разработчику приложения. Дополнительные сведения о схемах URL-адресов см. в разделе Определение пользовательской схемы URL-адресов для приложения.
Передача данных Получать данные из других приложений Приложения, управляемые политикой iOS/iPadOS, Android
Передача данных Открывать данные в документах организации Блокировка iOS/iPadOS, Android
Передача данных Разрешить пользователям открывать данные из выбранных служб OneDrive для бизнеса, SharePoint, камера, библиотека фотографий iOS/iPadOS, Android Дополнительные сведения см. в разделах Параметры политики защиты приложений Android и Параметры политики защиты приложений iOS.
Передача данных Клавиатуры сторонних производителей Блокировка iOS/iPadOS В iOS/iPadOS это блокирует работу всех сторонних клавиатур в приложении.
Передача данных Утвержденные клавиатуры Обязательность Android
Передача данных Выбор клавиатуры для утверждения добавление и удаление клавиатур Android В Android клавиатуры должны быть выбраны для использования на основе развернутых устройств Android.
функциональность. Печать данных организации Блокировка iOS/iPadOS, Android, Windows

Требования к доступу

Setting Значение Платформа
Простой ПИН-код Блокировка iOS/iPadOS, Android
Выберите Минимальная длина ПИН-кода 6 iOS/iPadOS, Android
Смена ПИН-кода после количества дней Да iOS/iPadOS, Android
Количество дней 365 iOS/iPadOS, Android
Биометрия класса 3 (Android 9.0 и более поздних версий) Обязательность Android
Переопределение биометрии с помощью ПИН-кода после биометрических обновлений Обязательность Android

Условный запуск

Setting Описание параметра Значение и действие Платформа Примечания
Условия устройства Требовать блокировку устройства Высокий или заблокированный доступ Android Этот параметр гарантирует, что на устройствах Android есть пароль устройства, соответствующий минимальным требованиям к паролю.
Условия устройства Максимальный допустимый уровень угроз для устройства Защищенный или заблокированный доступ Windows
Условия устройства Устройства со снятой защитой или административным доступом N/A / Очистка данных iOS/iPadOS, Android
Условия устройства Максимальный допустимый уровень угрозы Защищенный или заблокированный доступ iOS/iPadOS, Android

Незарегистрированные устройства можно проверить на наличие угроз с помощью Mobile Threat Defense. Дополнительные сведения см. в статье Mobile Threat Defense для незарегистрированных устройств.

Если устройство зарегистрировано, этот параметр можно пропустить в пользу развертывания Mobile Threat Defense для зарегистрированных устройств. Дополнительные сведения приведены в статье Защита от угроз на мобильных устройствах для зарегистрированных устройств.

Условия устройства Максимальная версия ОС Формат: Major.Minor
Пример: 11.0
/ Блокировать доступ
Android Корпорация Майкрософт рекомендует настроить максимальную основную версию Android, чтобы гарантировать, что бета-версии или неподдерживаемые версии операционной системы не используются. Ознакомьтесь с рекомендациями android enterprise для последних рекомендаций Android.
Условия устройства Максимальная версия ОС Формат: Major.Minor.Build
Пример: 15.0
/ Блокировать доступ
iOS/iPadOS Корпорация Майкрософт рекомендует настроить максимальную основную версию iOS/iPadOS, чтобы гарантировать, что бета-версии или неподдерживаемые версии операционной системы не используются. Последние рекомендации Apple см. в разделе Обновления системы безопасности Apple .
Условия устройства Максимальная версия ОС Формат: Major.Minor
Пример: 22631.
/ Блокировать доступ
Windows Корпорация Майкрософт рекомендует настроить максимальную основную версию Windows, чтобы гарантировать, что бета-версии или неподдерживаемые версии операционной системы не используются.
Условия устройства Аттестация устройств Samsung Knox Очистка данных Android Корпорация Майкрософт рекомендует настроить для параметра аттестации устройств Samsung Knox значение Очистка данных , чтобы убедиться, что данные организации будут удалены, если устройство не соответствует аппаратной проверке работоспособности устройства Samsung Knox. Этот параметр проверяет все Intune ответы клиента MAM на службу Intune были отправлены с работоспособного устройства.

Этот параметр будет применяться ко всем целевым устройствам. Чтобы применить этот параметр только к устройствам Samsung, можно использовать фильтры назначений "Управляемые приложения". Дополнительные сведения о фильтрах назначений см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune.

Условия приложения Период отсрочки в автономном режиме 30 / Блокировать доступ (в днях) iOS/iPadOS, Android, Windows

Дальнейшие действия

Администраторы могут включить приведенные выше уровни конфигурации в методологию развертывания круга для тестирования и использования в рабочей среде, импортировав пример Intune шаблонов JSON платформы конфигурации политики защиты приложений с помощью сценариев PowerShell Intune.

См. также