Шаг 6. Управление мобильными приложениями: топ 10 действий для защиты вашей среды
active directory, advanced threat protection, exchange online protection, защита ит-инфраструктуры, информационная безопасность, персональные данные
В серии публикаций «Топ 10 действий для защиты вашей среды» описаны основные шаги, которые вы можете предпринять, инвестируя средства в решения для обеспечения безопасности от Microsoft 365. В статье «Шаг 6. Управление мобильными приложениями» вы узнаете, как реализовать стратегию унифицированного управления конечными точками (UEM) с помощью Microsoft Intune Mobile Application Management (MAM).
В предыдущей статье нашего блога «Шаг 5. Настройка управления мобильными устройствами», мы познакомились ContosoCars, чтобы на примере этой компании продемонстрировать весь путь внедрения Intune как части вашей стратегии UEM. Продолжим разбор этой истории, чтобы показать, как можно улучшить защиту конечных точек, управляя мобильными приложениями и отслеживая развертывание.
Как вы помните из предыдущей публикации, компания ContosoCars уже определила свои сценарии и требования, передала полномочия управления мобильными устройствами (MDM) Intune и настроила политики конфигурации для регистрации своих устройств на Windows 10 и для других мобильных устройств (рисунок 1).
| Местоположение | Сотрудники | Собственник устройства | Группы | Платформы устройств | Требования |
| Корпоративный центральный офис (ЦО) | 1 000 | Корпорация | Сотрудники ЦО | ПК с Windows 10,MacBook | Защита электронной почты, настроек устройств, профилей и приложений |
|---|---|---|---|---|---|
| Филиал | 4 000 | Корпорация | Продажи | ПК с Windows 10, смартфоны на iOS и Android | |
| Франшиза | 2 000 офисов | Сотрудник | Сервисные центры | планшеты iOS и Android смартфоны iOS и Android |
Таблица 1. ContosoCars определяет сценарии использования и требования для Intune.
Обеспечьте защиту конфиденциальных данных в приложениях
Сотрудники центрального офиса и отделов продаж ContosoCars пользуются для работы своими личными телефонами и планшетами, что создает риски утечки данных.
Чтобы защитить данные организации, которые доступны при входе через не управляемые компанией устройства, ContosoCars использует политики защиты приложений Intune. Они могут применяться к приложениям, даже если устройства не управляются с помощью Intune. ContosoCars может создавать и назначать для приложений, управляемых политиками, специальные политики защиты с добавлением части кода Intune. Это обеспечит соблюдение политик защиты данных (рисунок 1).
Рисунок 1. Защита данных с помощью политик защиты приложений.
Например, политика защиты приложений может гарантировать, что корпоративные данные будут храниться только в OneDrive для бизнеса и SharePoint, а не в локальном хранилище. Так не допускается утечка данных в незащищенные пользовательские облачные службы хранения и выполняется шифрование данных на случай потери устройства (рисунок 2).
Рисунок 2. Политика защиты данных для приложений, которая запрещает функции вырезания, копирования и вставки.
Обеспечьте защиту данных клиентов на неуправляемых устройствах
В отличие от устройств сотрудников, ContosoCars не регистрирует и не управляет устройствами, которыми пользуются технические специалисты их франчайзи. С целью обеспечения наилучшего качества обслуживания клиентов, техническим специалистам необходимо получать на своих планшетах данные о клиентах в реальном времени, оставаясь на месте. Политики защиты приложений Intune работают, даже если устройства не зарегистрированы в Intune.
ContosoCars может использовать MAM Intune для поставки и управления утвержденными корпоративными приложениями на технических планшетах, применять необходимые политики безопасности приложений для защиты данных и выборочно, по необходимости стирать данные так, чтобы удалялись только «управляемые приложения и данные», а другие данные на устройствах франчайзи при этом сохранялись в неизменном виде. Они также могут ограничивать утечку данных в приложения, которые не защищены политиками защиты приложений, при этом обеспечивая легкий обмен данными в приложениях, управляемых политиками.
Рисунок 3. Клиенты могут использовать PIN-код на уровне приложения, чтобы ограничить доступ к определенному приложению.
Усильте безопасность Intune с помощью интеграции с Microsoft 365
При использовании Microsoft 365, ContosoCars получает целый ряд преимуществ не только касаемо управления устройствами и приложениями, но и в плане безопасности. Интеграция Intune с Azure Information Protection гарантирует, что в случае передачи конфиденциальных данных сотрудниками отдела продаж франшизы другим лицам за пределами компании, доступ к таким данным будет заблокирован для неавторизованных пользователей. Политики условного доступа Azure Active Directory разрешают доступ к Exchange Online и другим службам Office 365 только приложениям, управляемым политиками. Это не позволит злоумышленникам воспользоваться незащищенным почтовым приложением на мобильном устройстве с целью доступа ко всей сети.
Отслеживайте и проводите мониторинг развертывания Intune
Intune предоставляет несколько способов мониторинга развертывания. Благодаря просмотру групп пользователей, встроенным отчетами предупреждениям в консоли можно отслеживать, сколько пользователей зарегистрировало устройства после каждого этапа развертывания. Это вам позволит:
- Оценить эффективность вашего коммуникационного плана.
- Оценить влияние подключения политик условного доступа.
Узнайте больше
Читайте нашу следующую публикацию «Шаг7. Настройка обнаружения в облаке», где мы обсудим, как вы можете обнаруживать используемые приложения, оценивать связанные с ними риски и выявлять уязвимости.