App Protection Policies

За таким непонятным заголовком скрывается управление приложениями без управления самими устройствами (Mobile Application Management without Enrollment).
Звучит несколько запутано, но на самом деле упрощает жизнь и пользователям и администраторам.

Если вы управляете каким то количеством мобильных устройств и особенно личными устройствами (так называемый Bring-Your-Own-Device), то скорее всего вы слышали такие фразы:

  • “Да вы мои СМС читаете, не буду настраивать”
  • “Вы будете подглядывать через камеру в телефоне”
  • “Вы мне все удалите”

Конечно же никто этого не будет делать через инструмент для управления устройствами, но пользователи могут напрягаться.

Помимо этого, управление самим устройством никак не контролирует что пользователь может сделать с корпоративными данными на телефоне, что создает некоторые проблемы безопасности.

Эти две проблемы и решает App Protection Policies.

Conceptual image that shows company data being protected by policies

Идея в том, что политика безопасности создает некий “пузырь” с корпоративными данными и вы контролируете какие приложения имеют доступ к этому “пузырю” и что можно делать с этими данными. Очень похоже на идею с личным\корпоративным профилем в Android Enterprise, но работает на iOS и Android/Android Enterprise.

Приложения, которые могут с этим работать:

  • Microsoft Azure Information Protection
  • Microsoft Bookings
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Flow
  • Microsoft Intune Managed Browser
  • Microsoft Invoicing
  • Microsoft Kaizala
  • Microsoft Launcher
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft PowerApps
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Skype for Business
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Visio
  • Microsoft Word
  • Microsoft Yammer

При создании политики могут полностью управлять тем, как корпоративные данные будут перемещаться по устройству. Основные доступные настройки выглядят так:

  • Backup Org data to iTunes and iCloud backups/Android backup services – предотвращает возможность бекапа данных из корпоративного контекста.
  • Send Org data to other apps – с этой настройкой можно контролировать куда данные могут уходить из приложения. Можно запретить любой выход данных, можно сделать исключения для конкретных приложений.
  • Receive data from other apps – как и предыдущая настройка, только в обратном направлении.
  • Save copies of Org data – можно запретить save as на устройствах.

Самое главное, что эти настройки будут применяться на уровне приложения и вам не важно управляете ли вы устройством. Политика будет применяться к приложению как только пользователь пройдет авторизацию с корпоративной учетной записью.

Помимо приложений от Microsoft, некоторые разработчики тоже встраивают поддержку этих политик и вы можете добавлять их в свои политики. Например есть Adobe Acrobat Reader, что удобно если пользователи обмениваются pdf документами, а вы хотите запретить обмен данными.

Если же у вас есть внутренние приложения, то их тоже можно использовать с этими политиками. Для этого нужно:

  • Добавить Intune SDK к вашему приложению.
  • Добавить BundleID вашего приложения в политику.

После этого ваше приложение будет полностью поддерживать App Protection Policies и сможет работать с другими приложениями из корпоративного контекста.

Подводя итог могу сказать, что появление этих политик позволило открыть доступ персональным устройствам без переживаний за данные и без необходимости управлять самим устройством, что очень положительно сказываться на пользовании сервисами. У меня просто на сарафанном радио появилось +10% пользователей, которые раньше не добавляли устройства в Intune, но теперь пользуются приложениями, которые защищены политиками.

%d bloggers like this: