Интерактивный сценарий — защита мобильных приложений Microsoft Office
Следуя этому интерактивному сценарию на портале управления устройствами, вы можете включить базовую защиту приложений Intune на устройствах iOS/iPadOS и Android.
Включенная защита приложений будет применять следующие действия:
- Шифрование рабочих файлов.
- Требовать ПИН-код для доступа к рабочим файлам.
- Требовать сброс ПИН-кода после пяти неудачных попыток.
- Запретить резервное копирование рабочих файлов в службах iTunes, iCloud или Android.
- Требовать сохранения рабочих файлов только в OneDrive или SharePoint.
- Запретить защищенным приложениям загружать рабочие файлы на устройства со снятой защитой или с привилегированным доступом.
- Блокировать доступ к рабочим файлам, если устройство находится в автономном режиме в течение 720 минут.
- Удалите рабочие файлы, если устройство находится в автономном режиме в течение 90 дней.
Общие сведения
Мобильные приложения Office и Microsoft Edge для мобильных устройств поддерживают двойное удостоверение. Двойное удостоверение позволяет приложениям управлять рабочими файлами отдельно от личных файлов.
Политики защиты приложений Intune помогают защитить рабочие файлы на устройствах, зарегистрированных в Intune. Вы также можете использовать политики защиты приложений на устройствах, принадлежащих сотрудникам, которые не зарегистрированы для управления в Intune. В этом случае, даже если ваша компания не управляет устройством, вам все равно необходимо убедиться, что рабочие файлы и ресурсы защищены.
Политики защиты приложений можно использовать, чтобы запретить пользователям сохранять рабочие файлы в незащищенных расположениях. Вы также можете ограничить перемещение данных в другие приложения, которые не защищены с помощью политик защиты приложений. К параметрам политик защиты приложений можно отнести следующие:
- Политики перемещения данных, такие как Сохранение копий данных организации и Ограничение вырезания, копирования и вставки.
- Параметры политики доступа требуют простого ПИН-кода для доступа и блокируют запуск управляемых приложений на устройствах со снятой защитой или рутом.
Условный доступ на основе приложений и управление клиентскими приложениями добавляют уровень безопасности, убедившись, что только клиентские приложения, поддерживающие политики защиты приложений Intune, могут получить доступ к Exchange Online и другим службам Microsoft 365.
Встроенные почтовые приложения в iOS/iPadOS и Android можно заблокировать, если разрешить доступ к Exchange Online только приложению Microsoft Outlook. Кроме того, вы можете заблокировать доступ к SharePoint Online для приложений, к которым не применяются политики защиты приложений Intune.
В этом примере администратор применил политики защиты приложений к приложению Outlook, за которым следует правило условного доступа, которое добавляет приложение Outlook в утвержденный список приложений, которые можно использовать при доступе к корпоративной электронной почте.
Предварительные условия
Вам потребуются следующие разрешения администратора Intune:
- Управляемые приложения считывают, создают, удаляют и назначают разрешения
- Наборы политик для чтения, создания и назначения разрешений
- Разрешение на чтение в организации
Шаг 1. Введение
Следуя интерактивному сценарию защиты приложений Intune , вы предотвратите общий доступ к данным или утечку данных за пределы вашей организации.
Назначенные пользователи iOS/iPadOS и Android должны вводить ПИН-код при каждом открытии приложения Office. После пяти неудачных попыток ПИН-кода пользователи должны сбросить свой ПИН-код. Если вам уже требуется ПИН-код устройства, пользователи не будут затронуты.
Что вам потребуется для продолжения
Мы спросим вас о приложениях, необходимых пользователям, и о том, что необходимо для доступа к ним. Убедитесь, что у вас есть следующие сведения:
- Список приложений Office, утвержденных для корпоративного использования.
- Требования к ПИН-кодам для запуска утвержденных приложений на неуправляемых устройствах.
Шаг 2. Основные сведения
На этом шаге необходимо ввести префикс и описание для новой политики защиты приложений. При добавлении префикса будут обновлены сведения, связанные с ресурсами, создаваемыми в интерактивном сценарии. Эти сведения упрощают поиск политик позже, если вам потребуется изменить назначения и конфигурацию.
Совет
Рассмотрите возможность заметить ресурсы, которые будут созданы, чтобы вы могли ссылаться на них позже.
Шаг 3. Приложения
Чтобы приступить к работе, этот интерактивный сценарий предварительно выбирает следующие мобильные приложения для защиты на устройствах iOS/iPadOS и Android:
- Microsoft Excel
- Microsoft Word
- Microsoft Teams
- Microsoft Edge
- Microsoft PowerPoint
- Microsoft Outlook
- Microsoft OneDrive
Этот интерактивный сценарий также настроит эти приложения для открытия веб-ссылок в Microsoft Edge, чтобы гарантировать открытие рабочих сайтов в защищенном браузере.
Измените список приложений, управляемых политикой, которые требуется защитить. Добавление или удаление приложений из этого списка.
Выбрав приложения, нажмите кнопку Далее.
Шаг 4. Настройка
На этом шаге необходимо настроить требования для доступа к корпоративным файлам и сообщениям электронной почты в этих приложениях и совместного доступа к ним. По умолчанию пользователи могут сохранять данные в учетных записях OneDrive и SharePoint вашей организации.
При использовании параметра Расширенная защита данных , показанного выше, применяются следующие параметры.
| Setting | Описание | Значение |
|---|---|---|
| Время ожидания (в минутах бездействия) | Укажите время в минутах, по истечении которого секретный код или числовой (настроенный) ПИН-код переопределит использование биометрии. Это значение должно быть больше, чем значение параметра "Перепроверять требования доступа через (минуты бездействия)". Значение по умолчанию: 30 | 720 |
Шаг 5. Назначения
На этом шаге можно выбрать группы пользователей, которые нужно включить, чтобы обеспечить им доступ к корпоративным данным. Защита приложений назначается пользователям, а не устройствам, поэтому корпоративные данные будут защищены независимо от используемого устройства и состояния регистрации.
Пользователи, которым не назначены политики защиты приложений и параметры условного доступа, смогут сохранять данные из корпоративного профиля в личные приложения и неуправляемое локальное хранилище на мобильных устройствах. Они также могут подключаться к корпоративным службам данных, таким как Microsoft Exchange, с помощью личных приложений.
Шаг 6. Проверка и создание
Последний шаг позволяет просмотреть сводку настроенных параметров. После проверки выбранных вариантов нажмите кнопку Создать , чтобы завершить интерактивный сценарий. После завершения интерактивного сценария отобразится таблица ресурсов. Эти ресурсы можно изменить позже, однако после выхода из представления сводки таблица не будет сохранена.
Важно!
После завершения интерактивного сценария отобразится сводка. Вы можете изменить ресурсы, перечисленные в сводке, позже, однако таблица, отображающая эти ресурсы, не будет сохранена.
Дальнейшие действия
- Повысьте безопасность рабочих файлов, назначив пользователям политику условного доступа на основе приложений, чтобы защитить облачные службы от отправки рабочих файлов в незащищенные приложения. Дополнительные сведения см. в статье Настройка политик условного доступа на основе приложений с помощью Intune.