Tổng quan Intune App Protection Policy
7 August, 2023

Tổng quan Intune App Protection Policy

Intune App Protection Policy là một bộ các quy tắc giúp bảo vệ dữ liệu của doanh nghiệp khi có người dùng cố truy cập, di chuyển dữ liệu của công ty hoặc thực hiện một loại các hành động đã bị cấm.

Intune App Protection Policy là một bộ các chính sách giúp bảo vệ dữ liệu của doanh nghiệp một cách tốt nhất trước những hành động ăn cắp hoặc di chuyển bất hợp phát. Bài viết dưới đây sẽ cung cấp thêm cho khách hàng một số thông tin về lợi ích, cách bảo vệ và các ứng dụng có thể sử dụng APP.

Intune App Protection Policy trên thiết bị

Intune App Protection Policy trên thiết bị bao gồm những chính sách dưới đây:

  • Đăng ký Microsoft Intune: Dành cho các thiết bị thuộc quyền sở hữu của doanh nghiệp. 
  • Đăng ký dịch vụ quản lý thiết bị di động MDM của bên thứ 3: Dành cho các thiết bị thuộc quyền sở hữu của doanh nghiệp. 
  • Chưa đăng ký bất kỳ một dịch vụ quản lý thiết bị di động nào: Dành cho các thiết bị thuộc quyền sở hữu của nhân viên trong doanh nghiệp, không được quản lý và ghi danh trong hệ thống Intune hay các giải pháp MDM khác. 

Lợi ích của việc sử dụng Intune App Protection Policy

Khi doanh nghiệp đăng ký sử dụng Intune App Protection Policy thì sẽ nhận được một số lợi ích như sau:

  • Bảo vệ dữ liệu của công ty ở cấp ứng dụng tốt hơn bằng việc tập trung vào quản lý danh tính người dùng. 
  • Các chính sách chỉ áp dụng cho các dữ liệu liên quan đến công việc, không liên quan đến dữ liệu cá nhân của từng nhân viên trong doanh nghiệp. 
  • Intune App Protection Policy đảm bảo các giải pháp dùng để bảo vệ ứng dụng được diễn ra an toàn và chính xác. 
  • MDM và MAM đảm bảo mọi thiết bị sẽ được bảo vệ một cách tốt nhất. 

 

Intune App Protection Policy giúp bảo vệ dữ liệu chặt chẽ
Intune App Protection Policy giúp bảo vệ dữ liệu chặt chẽ

Nền tảng hỗ trợ Intune App Protection Policy 

Intune App Protection Policy thường dùng để hỗ trợ cho Office trên các thiết bị di động chạy hệ điều hành Android và iOS/iPadOS. Ngoài ra, người dùng cũng có thể sử dụng chính sách này cho thiết bị Windows. 

Khung bảo vệ Intune App Protection Policy

Khung bảo vệ dữ liệu App Protection Policy được thành lập dựa trên 3 cấp độ cấu hình riêng biệt. Trong đó, cấp độ sau sẽ được xây dựng dựa trên cấp độ trước đó. Cụ thể như sau:

  • Bảo vệ dữ liệu cơ bản dành cho doanh nghiệp (Cấp 1): Đảm bảo rằng các ứng dụng sẽ được bảo vệ bằng mã PIN, được mã hóa và các thao tác xóa dữ liệu có chọn lọc. 
  • Bảo vệ dữ liệu nâng cao dành cho doanh nghiệp (Cấp 2): Bao gồm các cơ chế ngăn chặn rò rỉ dữ liệu APP và một số yêu cầu tối thiểu cho từng hệ điều hành. Cấp độ này thường được sử dụng cho những người dùng di động truy cập vào dữ liệu của các cơ quan và trường học. 
  • Bảo vệ dữ liệu cao cấp dành cho doanh nghiệp (Cấp 3): Bao gồm các cơ chế bảo vệ dữ liệu nâng cao, cấu hình mã PIN nâng cao và một số chính sách phòng chống mối đe dọa di động APP. Cấp độ này dành cho những người dùng đang truy cập vào dữ liệu có sự rủi ro cao. 

Cách bảo vệ dữ liệu trên Intune App Protection Policy

Để bảo vệ tốt dữ liệu thông qua Intune App Protection Policy, các tổ chức có thể tham khảo một số cách dưới đây: 

Bảo vệ ứng dụng với Intune App Protection Policy

Dữ liệu của công ty và cá nhân sẽ bị trộn lẫn với nhau khi ứng dụng không giới hạn số lượt sử dụng. Dữ liệu của tổ chức có thể được lưu trữ trên bộ nhớ cá nhân hoặc được di chuyển sang một ứng dụng khác. Điều này khiến cho doanh nghiệp khó có thể quản lý toàn bộ dữ liệu của mình, dẫn đến tình trạng mất dữ liệu. 

Intune App Protection Policy sẽ giúp ngăn chặn việc này bằng cách đưa ra một số chính sách đối với người dùng khi truy cập vào ứng dụng. 

Bảo vệ dữ liệu với App Protection Policy (APP)

App Protection Policy giúp ngăn chặn tình trạng dữ liệu của tổ chức được lưu vào bộ nhớ cục bộ của thiết bị và hạn chế việc di chuyển dữ liệu đối với các ứng dụng khác không được bảo vệ bởi APP. Cài đặt APP cho việc bảo vệ dữ liệu bao gồm:

  • Một số chính sách di chuyển dữ liệu như Lưu bản sao dữ liệu tổ chức, Hạn chế cắt, sao chép và dán dữ liệu. 
  • Cài đặt chính sách truy cập như Yêu cầu mã nhập PIN và Chặn các ứng dụng chạy trên các thiết bị đã bẻ khóa hoặc đã root.

 

Intune App Protection Policy giúp bảo vệ dữ liệu chặt chẽ
Intune App Protection Policy giúp bảo vệ dữ liệu chặt chẽ

Bảo vệ dữ liệu bằng APP trên các thiết bị được quản lý bởi giải pháp MDM

Bảo vệ dữ liệu bằng APP trên các thiết bị được quản lý bởi giải pháp MDM mang đến các lợi ích sau:

  • Bảo vệ dữ liệu của doanh nghiệp không bị rò rỉ bởi các ứng dụng và dịch vụ của người tiêu dùng.
  • Áp dụng một số hạn chế như lưu dưới dạng , khay nhớ tạm hoặc mã PIN cho các ứng dụng khách.
  • Xóa dữ liệu của tổ chức trên ứng dụng mà không cần xóa ứng dụng khỏi thiết bị.

Bảo vệ dữ liệu bằng APP cho các thiết bị không cần đăng ký

Đối với những thiết bị không thể đăng ký được bất kỳ giải pháp nào trong MDM, Intune App Protection Policy vẫn có khả năng bảo vệ dữ liệu của doanh nghiệp ở cấp ứng dụng. Tuy nhiên, những chính sách này sẽ tồn tại một số hạn chế như:

  • Không thể triển khai ứng dụng cho thiết bị và người dùng cuối sẽ phải tải ứng dụng từ cửa hàng.
  • Các thiết bị không được cung cấp hồ sơ chứng chỉ cho các thiết bị.
  • Những thiết bị này không thể cài đặt Wi-Fi và VPN của công ty.

Các ứng dụng có thể quản lý bằng Intune App Protection Policy

Intune App Protection Policy thường được sử dụng cho các ứng dụng được tích hợp với SDK Intune. Ngoài ra, những ứng dụng được bảo vệ bởi Intune App Wrapping Tool cũng có thể được quản lý bằng App Protection Policy. 

Yêu cầu của người dùng cuối với việc sử dụng Intune App Protection Policy

Dưới đây là một số yêu cầu của người dùng cuối với việc sử dụng Intune App Protection Policy:

  • Phải sử dụng tài khoản Azure Active Directory (Azure AD).
  • Có giấy phép Microsoft Intune được dùng cho tài khoản Azure Active Directory.
  • Thuộc nhóm bảo mật của chính sách bảo vệ ứng dụng. 
  • Đăng nhập vào ứng dụng thông qua tài khoản Azure AD của chính họ. 

Sử dụng App Protection Policy cho các ứng dụng của Microsoft Office 

Nếu người dùng muốn sử dụng App Protection Policy cho ứng dụng của Microsoft sẽ cần phải đáp ứng những yêu cầu nhất định. Trong đó, mỗi ứng dụng sẽ có những yêu cầu riêng, cụ thể như sau: 

Ứng dụng Outlook trên điện thoại

Dưới đây là một số yêu cầu khi sử dụng App Protection Policy cho ứng dụng Outlook trên điện thoại:

  • Người dùng cuối phải cài đặt ứng dụng Outlook phiên bản dành cho thiết bị di động trên thiết bị của mình. 
  • Người dùng cuối cần đảm bảo có hộp thư Microsoft 365 Exchange Online và giấy phép được liên kết với tài khoản Azure Active Directory. 

 

Yêu cầu với việc sử dụng APP cho Outlook trên điện thoại
Yêu cầu với việc sử dụng APP cho Outlook trên điện thoại

Word, Excel, and PowerPoint

Dưới đây là một số yêu cầu khi sử dụng App Protection Policy cho ứng dụng Word, Excel và PowerPoint:

  • Người dùng cuối phải sở hữu giấy phép cho ứng dụng Microsoft 365 dành cho doanh nghiệp được liên kết với tài khoản Azure Active Directory.
  • Người dùng cuối cần có quyền quản lý cấu hình ứng dụng thông qua chức năng Lưu bản sao của dữ liệu tổ chức trong App Protection Policy.

Skype doanh nghiệp

Để có thể sử dụng App Protection Policy cho Skype doanh nghiệp, người dùng cần xem các yêu cầu về giấy phép Skype for Business. Còn đối với cấu hình kết hợp và tại chỗ, tổ chức cần xem xác thực kết hợp hiện đại cho SfB và Exchange goes GA.

Các tính năng của Intune App Protection

Intune App Protection bao gồm 3 tính năng chính là đa danh tính, mã PIN ứng dụng Intune và mã hóa dữ liệu ứng dụng.

Đa danh tính

Đa danh tính nghĩa là cho phép một ứng dụng hỗ trợ cho nhiều đối tượng sử dụng bao gồm cả người dùng cá nhân và người dùng doanh nghiệp. Một ứng dụng hỗ trợ tính năng này có thể được phát hành công khai. Trong đó, các chính sách Intune App Protection Policy sẽ chỉ áp dụng cho những ứng dụng được sử dụng cho các tổ chức. 

Bên cạnh đó, hỗ trợ đa danh tính sử dụng SDK Intune chỉ áp dụng các App Protection Policy cho tài khoản của tổ chức đã đăng nhập vào ứng dụng. Trong trường hợp tài khoản cá nhân đăng nhập vào ứng dụng thì dữ liệu cũng sẽ không bị ảnh hưởng. Nguyên nhân là bởi lúc này App Protection Policy sẽ ngăn chặn việc chuyển dữ liệu từ tài khoản tổ chức sang tài khoản cá nhân trong ứng dụng đa danh tính. 

Mã PIN ứng dụng Intune

Mã PIN là loại mật mã được dùng để xác minh rằng người dùng đang truy cập dữ liệu của tổ chức trong một ứng dụng cụ thể. Intune sẽ nhắc nhở người dùng nhập mã PIN khi đăng nhập vào các tài liệu trong các ứng dụng đa định danh như Word, Excel hoặc PowerPoint. 

Còn nếu người dùng có ý định truy cập trong ứng dụng một danh tính thì sẽ được nhắc nhở nhập mã PIN khi khởi chạy vì SDK Intune. 

 

Mã PIN được sử dụng trong các ứng dụng đa định danh
Mã PIN được sử dụng trong các ứng dụng đa định danh

 

Quản trị viên CNTT của doanh nghiệp có thể cài xác định Intune App Protection Policy qua cài đặt Kiểm tra lại các yêu cầu truy cập sau (phút) trong trung tâm quản trị Microsoft Intune. Tính năng này sẽ giúp ước lượng khoảng thời gian trước khi các yêu cầu được kiểm tra trên thiết bị và màn hình mã PIN của ứng dụng.

Mã PIN được áp dụng với mục đích cho phép đúng người dùng truy cập vào dữ liệu của tổ chức trong ứng dụng. Do đó, người dùng cuối phải đăng nhập bằng tài khoản của tổ trước khi cài đặt lại mã PIN ứng dụng Intune của mình. 

Quá trình xác thực này được Azure Active Directory xử lý thông qua việc trao đổi mã thông báo bảo mật đối với SDK Intune. Nhìn chung mã PIN ứng dụng Intune sẽ bảo vệ dữ liệu của tổ chức trong ứng dụng một cách chặt chẽ nhất. 

Mã hóa dữ liệu ứng dụng 

Những dữ liệu được đánh dấu là của công ty mới được thực hiện mã hóa theo chính sách Intune App Protection Policy. Một dữ liệu được coi là của công ty khi nó bắt nguồn từ một địa chỉ kinh doanh. Đới với các ứng dụng Office, địa chỉ kinh doanh được xác định là:

  • Trao đổi email
  • Lưu trữ đám mây

Ngoài ra, đối với tất cả các ứng dụng dành cho doanh nghiệp được quản lý bởi Intune App Wrapping Tool thì mọi dữ liệu trong ứng dụng cũng được coi là của công ty. 

Lời kết

Bài viết trên đây là một số thông tin về Intune App Protection Policy. Việc sử dụng chính sách này sẽ giúp các tổ chức bảo vệ dữ liệu trong ứng dụng một cách tốt nhất. Nếu khách hàng cần tư vấn về các dịch vụ của Microsoft 365 Business, hãy liên hệ với FPT Smart Cloud để được hỗ trợ sớm nhất. 

0/5 (0 Reviews)

Liên hệ FPT Smart Cloud

Liên hệ ngay với chúng tôi để nhận sự tư vấn và hỗ trợ từ những chuyên gia hàng đầu.
Trang web này được bảo vệ bởi reCAPTCHA Chính sách quyền riêng tư và Điều khoản dịch vụ của Google sẽ được áp dụng
DMCA compliant image