Интеграция Workspace ONE UEM с политиками защиты приложений Microsoft Intune® удаляет управление политиками защиты от потери данных (DLP) в двух консолях.

В Workspace ONE UEM можно настроить политики DLP приложений для защиты приложений Microsoft Intune. После интеграции двух систем управляйте политиками DLP для приложений в Workspace ONE UEM Console чтобы сохранять актуальное состояние интеграции.

Большинство политик защиты приложений Microsoft Intune доступны для платформ Android и iOS.

Управление в Workspace ONE UEM Console для поддержки синхронизации

После интеграции двух систем управляйте политиками DLP для приложений в Workspace ONE UEM Console чтобы сохранять актуальное состояние интеграции. Workspace ONE UEM не получает изменения, внесенные в других частях интеграции. Политики DLP для приложений или назначения групп безопасности могут перестать быть синхронизированными.

Пользовательские интерфейсы в Android и iOS

При первом доступе пользователей к приложениям после успешной интеграции с Intune платформы iOS и Android имеют разные пользовательские интерфейсы.

Интерфейс iOS

При проверке подлинности устройства пользователя в приложениях Microsoft Office 365 на устройствах iOS и успешной отправке профиля система отображает всплывающее окно, в котором говорится, что ваша организация управляет приложением. Дополнительных шагов в настройке не требуется.

Интерфейс Android

Для управления устройствами Android и Android Enterprise пользователи должны установить приложение Intune Company Portal. Это приложение выступает в качестве брокера для Intune App SDK таким же образом, как Workspace ONE Intelligent Hub выступает в качестве брокера для приложений Workspace ONE UEM.

Сходство iOS и Android

На обеих платформах необходимо выбрать Intune в качестве центра сертификации MDM на устройстве. Этот параметр можно настроить на устройстве в разделе Арендатор Azure > Все ресурсы > Intune. Включите Центр сертификации MDM из уведомления Начало работы.

Действия в Azure для интеграции Microsoft Intune

Для интеграции создайте учетную запись пользователя и назначьте пользователю указанные лицензии Microsoft.

В средах, в которых отсутствует интеграция Azure AD со службами каталогов в Workspace ONE UEM Console, необходимо добавить в Azure приложение AirWatch by Vmware. Дополнительные сведения см. в разделе Настройка Workspace ONE UEM для использования Azure AD в качестве службы идентификации.

Важно!:

Если у вас уже настроена готовая регистрация с любым другим поставщиком MDM, отличным от Workspace ONE UEM, добавьте AirWatch by VMware и не указывайте и не редактируйте другие настройки в Azure. Ввод или изменение настроек может нарушить существующий процесс регистрации.

  • Создайте учетную запись службы (пользователя) в Azure и назначьте пользователю соответствующие роли.
    Примечание:

    Данные шаги выполняются во всех случаях. Актуальные сведения о настройке Azure см. в документации Microsoft.

    1. Перейдите на портал Azure, введя в браузере portal.azure.com.
    2. Создайте пользователя или синхронизируйте пользователя с локальным каталогом Active Directory.

      Деактивируйте MFA (многофакторную аутентификацию) для домена этого пользователя.

    3. Назначьте этому пользователю указанные роли.
      • Администратор Intune
      • Администратор приложения
      • Чтение каталога
      • Запись каталога
  • Если пользователь создан в Azure AD, используйте эту учетную запись для входа в Azure по адресу portal.azure.com. Убедитесь, что пароль действителен и не требует обновления.
  • Назначьте пользователю указанные лицензии в Azure.
    • Политики защиты приложений Microsoft Intune
    • Microsoft Enterprise Mobility + Security E3 или E5

Настройка параметров Intune

В Workspace ONE UEM Console настройте и примените политики DLP для защиты приложений и данных Microsoft Intune®. Сначала настройте вкладку «Проверка подлинности», чтобы системы могли обмениваться данными. Затем настройте параметры DLP и назначьте их группам.

Workspace ONE UEM не применяет политики к приложениям напрямую. Управление политиками и их применение осуществляется в Microsoft SDK.
Примечание:

Предупреждения для версии операционной системы и для версии приложения будут различаться. Для версии исправления Android для пользователя отображается только предупреждающее сообщение. Тем не менее, предупреждения позволяют продолжать использование приложений.

Необходимые условия

Чтобы настроить и применить политики DLP для приложений Intune необходимо обладать полномочиями на настройку политик приложений в Intune.

Порядок действий

  1. Перейдите в раздел Группы и настройки > Все настройки > Приложения > Политики защиты приложений Microsoft Intune®.

  2. Выберите вкладку Проверка подлинности и введите имя пользователя и пароль для администратора Azure.

    Администраторы могут использовать политики DLP приложений Office 365 для защиты приложений и данных Office 365 с помощью Microsoft Graph API. Чтобы настроить политики DLP для Office 365 необходимы учетные данные администратора для подключения арендатора к Workspace ONE UEM.

    Настройка Описание
    Имя пользователя Введите имя пользователя, которое используется для настройки арендатора в Workspace ONE UEM.
    Пароль Введите пароль, который используется для настройки арендатора в Workspace ONE UEM.

    Workspace ONE UEM использует эти учетные данные для поиска и назначения политик DLP приложений группам безопасности Microsoft.

  3. Перейдите на вкладку «Защита от потери данных» и настройте политики DLP для защиты приложений и данных Microsoft Intune. Настройте политики DLP для управляемых приложений Microsoft Intune и данных приложений.
    Настройки перемещения данных Описание
    Предотвратить резервное копирование Запрещает пользователям выполнять резервное копирование данных из управляемых приложений.
    Разрешить приложениям переносить данные в другие приложения

    • Все — пользователи могут отправлять данные из управляемых приложений в любое приложение.

    • Ограничено — пользователи могут отправлять данные из управляемых приложений в другие управляемые приложения.

    • Нет — пользователям запрещено отправлять данные из управляемых приложений в любое приложение.
    Разрешить приложениям получать данные из других приложений

    • Все — пользователи могут получать данные из приложений для управляемых приложений.

    • Ограничено — пользователи могут получать данные из других управляемых приложений для своих управляемых приложений.

    • Нет — пользователям запрещено получать данные от всех приложений для управляемых приложений.
    Предотвратить «Сохранить как» Запрещает пользователям сохранять управляемые политики защиты приложений Microsoft Intune в другой системе или области хранения.
    Ограничить функцию копирования и вставки с помощью других приложений

    • Любое приложение — пользователи могут вырезать, копировать и вставлять данные между управляемыми приложениями и другими приложениями.

    • Заблокировано — пользователям запрещено вырезать, копировать и вставлять данные между управляемыми приложениями и другими приложениями.

    • Управляемые политиками приложения — пользователи могут вырезать, копировать и вставлять данные между управляемыми приложениями политик защиты приложений Microsoft Intune.

    • Управляемые политиками приложения с функцией «Вставить» — пользователи могут вырезать и копировать данные из управляемых приложений и вставлять данные в другие управляемые приложения.

      Пользователи также могут вырезать и копировать данные из любого приложения в свои управляемые приложения.
    Ограничение отображения веб-контента в управляемом приложении Browser Принудительно открывает ссылки управляемых приложений в управляемом приложении Browser.
    Шифровать данные приложений Шифрует данные управляемых приложений, когда устройство находится в выбранном состоянии. Система шифрует данные, хранящиеся в любом месте, в том числе на внешних дисках хранилища и SIM-картах.
    Отключить синхронизацию контента Предотвращает сохранение контактов в адресной книге управляемых приложений.
    Отключить печать Запрещает пользователям печатать данные, связанные с управляемыми приложениями.
    Разрешенные местоположения хранилища данных Администраторы могут контролировать места хранения данных управляемых приложений пользователями.
    Настройки для доступа Описание
    Требовать PIN-код для доступа

    Требует ввода пользователями PIN-кода для доступа к управляемым приложениям.

    Пользователи создают PIN-код при первом доступе к приложению.
    Количество попыток до сброса PIN-кода Задает количество попыток ввода, прежде чем система сбросит PIN-код.
    Разрешить простой PIN-код Пользователи могут создавать четырехзначные PIN-коды с повторяющихся символами.
    Длина PIN-кода Задает количество символов, которое пользователи должны задать для своих PIN-кодов.
    Разрешенные символы PIN-кода Задает символы, которые пользователи должны настроить для своих PIN-кодов.
    Разрешить отпечаток пальца вместо PIN-кода Пользователи могут получать доступ к управляемым приложениям с помощью отпечатков пальцев, не используя PIN-код.
    Для доступа требовать корпоративные учетные данные Пользователи могут получать доступ к управляемым приложениям, используя корпоративные учетные данные.
    Блокировать запуск управляемых приложений на устройствах со снятой защитой или с административным доступом Запрещает пользователям доступ к управляемым приложениям на скомпрометированных устройствах.
    Перепроверять требования доступа через (мин.)

    Настраивает систему для проверки PIN-кода, отпечатка пальца или учетных данных через определенный интервал времени во время сеанса доступа.

    • Время ожидания — количество минут бездействия сеансов доступа для управляемых приложений.

    • Время ожидания в автономном режиме — количество минут, в течение которых устройства с управляемыми приложениями находятся в автономном режиме.
    Интервал пребывания в автономном режиме (дни) до очистки данных приложения Настраивает систему на удаление данных управляемого приложения с устройств, когда устройства находятся в автономном режиме в течение установленного количества дней.
    Настройки для Android Описание
    Блокировать снимки экрана и Android Assistant Если выбрано значение Да, снимки экрана и сканирование Android Assistant будут недоступны при использовании приложения Office.
    Минимальная требуемая версия операционной системы Укажите требуемую минимальную версию ОС Android, которая должна быть у пользователя для безопасного доступа к приложению.
    Минимальная требуемая версия операционной системы (только оповещение) Укажите требуемую минимальную версию ОС Android, которая должна быть у пользователя для безопасного доступа к приложению.
    Минимальная требуемая версия приложения Укажите требуемую минимальную версию приложения, которая должна быть у пользователя для безопасного доступа к приложению.
    Требуется минимальная версия приложения (только предупреждение) Укажите минимальную версию приложения, которая должна быть у пользователя для безопасного доступа к приложению.
    Минимальная требуемая версия исправления Android Укажите самый старый обязательный уровень исправления безопасности Android, которое может быть установлено у пользователя для безопасного доступа к приложению.
    Требуется минимальная версия Android (только предупреждение) Укажите самый старый уровень исправления безопасности Android, которое может быть установлено у пользователя для безопасного доступа к приложению.
  4. Выберите вкладку Назначенные группы и назначьте политики DLP группам безопасности Microsoft. Группы безопасности ранее были настроены в Azure.
    Настройка Описание
    Все группы безопасности

    Введите имя группы безопасности и назначьте ее политикам DLP. Выберите в списке, который система отображает после ввода.

    Выберите Добавить группу и назначьте группе безопасности политики DLP.
    Группы безопасности, назначенные политикам O365

    Перечисляет группы безопасности, назначенные политикам DLP.

    Выберите Удалить группу и удалите назначение из группы безопасности.

Предупреждающие сообщения для удаленных и измененных политик

После загрузки политики защиты приложений Microsoft Intune Workspace ONE UEM Console проверяет наличие удалений и изменений в Intune на портале Azure. Управляемые политики могут не синхронизироваться с развернутыми политиками. Чтобы предупредить администраторов о возможных удалениях и изменениях, Workspace ONE UEM Console отображает предупреждающие сообщения в зависимости от сценария.

  • Политика удалена на портале Microsoft Intune. Нажмите «Удалить настройки», чтобы удалить настройки политики из UEM.

    Workspace ONE UEM Console отображает это сообщение после того, как кто-то удаляет одну или обе политики iOS и Android, развернутые в Intune. При выборе Удалить настройки настройки обеих политик будут отключены в Workspace ONE UEM Console без изменений на стороне Azure. Страница Console не обновляется автоматически.

    Пользователи могут развертывать новые политики iOS и Android в Azure без ошибок.

    Примечание: Если в Azure удаляется только одна из политик (iOS или Android), другая политика остается в Azure. Пользователи должны вручную удалить другую политику, если они решили не сохранять прошлые настройки. 
  • Настройки политики обновлены на портале Microsoft Intune и не синхронизированы с Workspace ONE UEM. Чтобы обновить эту политику в UEM, нажмите «Настройки синхронизации».
    Сервер Workspace ONE UEM Console отображает это сообщение, после того как кто-то изменяет политики iOS и Android в Intune на портале Azure, а настройки политики по-прежнему совпадают между двумя политиками. При выборе параметра Настройки синхронизации обновляются настройки обеих политик в Workspace ONE UEM, чтобы они совпадали с настройками политик в Azure. Страница Console не обновляется автоматически.
    Примечание: Этот сценарий исключает настройки, относящиеся к iOS или Android, например настройки iOS SDK и Android Assistant. 
  • Политика «Получать данные из других приложений» отличается для Android и iOS на портале Azure. Эта настройка должна быть одинаковой для Workspace ONE UEM, чтобы можно было синхронизировать политики Android и iOS. Чтобы устранить эту проблему, обратитесь к ИТ-администратору.
    Политики «Получать данные из других приложений» и «Отправлять данные организации в другие приложения» отличаются для Android и iOS на портале Azure. Эти настройки должны быть одинаковыми для Workspace ONE UEM, чтобы можно было синхронизировать политики Android и iOS. Чтобы устранить эту проблему, обратитесь к ИТ-администратору.
    Политики «Запретить резервное копирование», «Получать данные из других приложений» и «Отправлять данные организации в другие приложения» отличаются для Android и iOS на портале Azure. Эти настройки должны быть одинаковыми для Workspace ONE UEM, чтобы можно было синхронизировать политики Android и iOS. Чтобы устранить эту проблему, обратитесь к ИТ-администратору.

    Workspace ONE UEM Console отображает эти сообщения после того, как кто-то изменяет обе политики в Intune на портале Azure, но настройки не совпадают между этими двумя политиками. В сообщениях отображаются несоответствия настроек между двумя политиками в Azure. Также указываются названия политик, перечисленные в Azure, а не названия, используемые в Workspace ONE UEM Console.

    Устраните конфликты, указанные в сообщениях, прежде чем использовать пункт меню Настройки синхронизации в Workspace ONE UEM Console.

    Примечание: Этот сценарий исключает настройки, относящиеся к iOS или Android, например настройки iOS SDK и Android Assistant.

Пункты меню Удалить настройки и Настройки синхронизации не изменяют параметры Intune на портале Azure.