Поделиться через


Защита данных для Windows MAM

Вы можете включить защищенный доступ к данным организации с помощью управления мобильными приложениями (MAM) на личных устройствах Windows. Эта возможность использует следующие функции:

  • Intune политик конфигурации приложений (ACP) для настройки пользовательского интерфейса организации
  • Intune политики защиты приложений (APP) для защиты данных организации и обеспечения работоспособности клиентского устройства
  • Безопасность Windows Center защита от угроз клиента, интегрированная с приложением Intune для обнаружения локальных угроз работоспособности на личных устройствах Windows
  • Условный доступ защиты приложений, чтобы обеспечить защиту и работоспособность устройства перед предоставлением защищенного доступа к службе через Microsoft Entra ID

Примечание.

Intune управление мобильными приложениями (MAM) для Windows доступно для Windows 10, сборки 19045.3636, KB5031445 или более поздней версии и Windows 11, сборки 10.0.22621.2506, KB5031455 (22H2) или более поздней версии. Сюда входят вспомогательные изменения для Microsoft Intune (выпуск 2309), Microsoft Edge (стабильная ветвь версии 117 и более поздних версий для Windows 11 и версии 118.0.2088.71 и более поздних версий для Windows 11) и Безопасность Windows Center (версии 1.0.2310.2002 и более поздних версий). Условный доступ к защите приложений общедоступен.

Windows MAM поддерживается в облачных средах для государственных организаций. Дополнительные сведения см. в статье Развертывание приложений с помощью Intune в средах GCC High и DoD.

Дополнительные сведения о MAM см. в статье Основные сведения об управлении мобильными приложениями (MAM).

Примечание.

Соединитель Mobile Threat Defense (MTD) для компонента Безопасность Windows Center (WSC) поддерживается только в Windows 11 версии 22631 (23H2) или более поздней.

Как конечные пользователи, так и организации должны иметь защищенный доступ организации с личных устройств. Организациям необходимо обеспечить защиту корпоративных данных на личных неуправляемых устройствах. Как администратор Intune вы несете ответственность за определение того, как члены (конечные пользователи) вашей организации получают защищенный доступ к корпоративным ресурсам с неуправляемого устройства. При доступе к данным организации необходимо убедиться, что неуправляемые устройства работоспособны, приложения соответствуют политикам защиты данных организации и что политики вашей организации не влияют на неуправляемые ресурсы конечного пользователя на своем устройстве.

Администратор Intune должен иметь следующие функции управления приложениями:

  • Возможность развертывания политик защиты приложений для приложений или пользователей, защищенных пакетом SDK для Intune APP, включая следующие:
    • Параметры защиты данных
    • Параметры проверок работоспособности (или условного запуска)
  • Возможность требовать политики защиты приложений с помощью условного доступа
  • Возможность выполнить дополнительную проверку работоспособности клиента через центр Безопасность Windows, выполнив следующие действия:
    • Назначение уровня риска центра Безопасность Windows для предоставления конечным пользователям доступа к корпоративным ресурсам
    • Настройка соединителя на основе клиента для Microsoft Intune для Безопасность Windows Center
  • Возможность развертывания команды выборочной очистки в защищенных приложениях

Члены вашей организации (конечные пользователи) должны иметь следующие функции для своих учетных записей:

  • Возможность входа в Microsoft Entra ID для доступа к сайтам, защищенным условным доступом
  • Возможность проверки состояния работоспособности клиентского устройства в случае, если устройство считается неработоспособным
  • Возможность отзыва доступа к ресурсам, когда устройство остается неработоспособным
  • Возможность получать информацию с четкими шагами по исправлению, когда доступ контролируется политикой администратора

Примечание.

Сведения о Microsoft Entra ID см. в статье Требование политики защиты приложений на устройствах Windows.

Соответствие требованиям условного доступа

Предотвращение потери данных является частью защиты данных организации. Защита от потери данных (DLP) действует только в том случае, если к данным организации невозможно получить доступ из любой незащищенной системы или устройства. Условный доступ защиты приложений использует условный доступ (ЦС) для обеспечения поддержки и применения политик защиты приложений (APP) в клиентском приложении перед предоставлением доступа к защищенным ресурсам (например, данным организации). ЦС APP позволит конечным пользователям с личными устройствами Windows использовать приложения, управляемые приложением, включая Microsoft Edge, доступ к ресурсам Microsoft Entra без полного управления личным устройством.

Эта служба MAM синхронизирует состояние соответствия для каждого пользователя, приложения и устройства со службой ЦС Microsoft Entra. Сюда входит информация об угрозах, полученная от поставщиков Mobile Threat Defense (MTD), начиная с Безопасность Windows Center.

Примечание.

Эта служба MAM использует тот же рабочий процесс соответствия условному доступу, который используется для управления Microsoft Edge на устройствах iOS и Android.

При обнаружении изменения служба MAM немедленно обновляет состояние соответствия устройств. Служба также включает состояние работоспособности MTD как часть состояния соответствия.

Примечание.

Служба MAM оценивает состояние MTD в службе. Это делается независимо от клиента MAM и клиентской платформы.

Клиент MAM сообщает о состоянии клиента (или метаданных работоспособности) службе MAM после проверка. Состояние работоспособности включает любой сбой проверки работоспособности приложения для условий блокировки или очистки . Кроме того, Microsoft Entra ID помогает конечным пользователям выполнять действия по исправлению при попытке получить доступ к заблокированным ресурсам ЦС.

Соответствие требованиям условного доступа

Организации могут использовать политики условного доступа Microsoft Entra, чтобы пользователи могли получать доступ только к рабочему или учебному содержимому с помощью приложений, управляемых политикой, в Windows. Для этого потребуется политика условного доступа, распространяющаяся на всех потенциальных пользователей. Выполните действия, описанные в разделе Требовать политику защиты приложений на устройствах Windows, которая позволяет Microsoft Edge для Windows, но блокирует подключение других веб-браузеров к конечным точкам Microsoft 365.

С помощью условного доступа вы также можете настроить таргетинг на локальные сайты, которые вы открыли для внешних пользователей через прокси-сервер приложения Microsoft Entra .

Работоспособности защиты от угроз

Состояние работоспособности личного устройства проверяется перед предоставлением доступа к данным организации. Обнаружение угроз MAM можно подключить к центру Безопасность Windows. центр Безопасность Windows предоставляет оценку работоспособности клиентских устройств для Intune APP через соединитель "служба — служба". Эта оценка поддерживает поток и доступ к данным организации на личных неуправляемых устройствах.

Состояние работоспособности включает в себя следующие сведения:

  • Идентификаторы пользователей, приложений и устройств
  • Предопределенное состояние работоспособности
  • Время последнего обновления состояния работоспособности

Состояние работоспособности отправляется только пользователям, зарегистрированным в MAM. Конечные пользователи могут прекратить отправку данных, выйдя из учетной записи организации в защищенных приложениях. Администраторы могут прекратить отправку данных, удалив соединитель Безопасность Windows из Microsoft Intune.

Дополнительные сведения см. в статье Создание политики защиты приложений MTD для Windows.

Создание политик защиты приложений Intune

Политики защиты приложений (APP) указывают, какие приложения разрешены и какие действия эти приложения могут выполнять над данными вашей организации. Доступные в APP параметры позволяют организациям адаптировать систему безопасности в соответствии с конкретными потребностями. Однако они могут затруднить выбор параметров политик, необходимых для реализации полного сценария.

Администратор может настроить защиту данных с помощью ПРИЛОЖЕНИЯ. Эта конфигурация применяется к взаимодействию собственного приложения Windows с данными. Параметры приложения делятся на три категории:

  • Защита данных . Эти параметры определяют, как данные могут перемещаться в контекст организации (учетная запись, документ, расположение, службы) для пользователя и из него.
  • Проверки работоспособности (условный запуск). Эти параметры управляют условиями устройства, необходимыми для доступа к данным организации, и действиями по исправлению, если условия не выполняются.

Чтобы помочь организациям определить приоритеты защиты конечных точек клиентов, корпорация Майкрософт представила таксономию для своей платформы защиты данных APP для управления мобильными приложениями.

Конкретные рекомендации для каждого уровня конфигурации и минимальный список приложений, защиту которых необходимо обеспечить, см. в статье Использование политик защиты приложений на платформе защиты данных.

Дополнительные сведения о доступных параметрах см. в разделе Параметры политики защиты приложений Windows.

Дальнейшие действия