16.08.2018

Защитите свои данные в файлах, приложениях и устройствах

Этот блог отвечает на общие вопросы, которые мы получаем от клиентов об установке решений безопасности Microsoft 365. Большинство компаний сосредотачивают свои решения в области безопасности вокруг пользователей, устройств и приложений, но часто пропускают и не уделяют должного внимания данным, которые необходимо защищать. В этом блоге мы вникаем в некоторые из самых сложных сценариев защиты данных, с которыми сталкиваются наши клиенты.

Как я могу убедиться в том, что данные предприятия в безопасности, если работники используют свои устройства?

Чтобы обеспечить безопасность данных Вашей организации на принадлежащих сотрудникам устройствах, решения безопасности Microsoft 365 предоставляют Вам контроль и защиту на протяжении всего жизненного цикла данных. Благодаря взаимодействующим решениям для управления идентификацией и доступом, защите конечных точек (или endpoints), защите информации и управлению мобильными устройствами, Microsoft 365 помогает обезопасить Ваши данные от сложных рисков мобильной среды.

Чтобы создать общую стратегию защиты информации, начните с управления идентификации сотрудников с помощью Azure Active Directory (Azure AD). Azure AD дает Вам видимость и контроль над пользовательскими идентификационными данными, позволяя или запрещая пользователям доступ к информации. Это позволяет пользователям безопасно входить в бизнес-приложения и получать доступ к соответствующим данным компании на своих устройствах.

Ваши сотрудники используют мобильные устройства для личных и рабочих задач в течение дня, быстро перемещаясь между приложениями и файлами и потенциально смешивая работу и личные данные. Вам необходимо убедиться, что Вы не рискуете утратой данных даже при доступе с устройств, которые не управляются Вами.

Вы можете использовать политики защиты приложений Microsoft Intune (Изображение 1), чтобы защитить данные Вашей компании. Поскольку политики защиты приложений Intune могут использоваться независимо от любого решения MDM, Вы можете использовать это для защиты данных Вашей компании с помощью или без регистрации устройств в решении по управлению устройствами. Внедряя политики на уровне приложений, Вы можете ограничить доступ к ресурсам компании и хранить данные в рамках вашего ИТ-отдела.

 

Эти политики позволяют Вам предоставлять параметры того, как Ваши пользователи взаимодействуют или используют данные в своих приложениях, управляемых Intune, например, ограничивая функции копирования и вставки (copyandpaste) и сохранения (save-as).

Intune App Protection
Изображение 1. Политики защиты приложений Microsoft Intune позволяют ограничивать доступ к ресурсам предприятия.

 

Условный доступ в Azure AD (Изображение 2) позволяет Вам назначать условия, которые должны выполняться для того, чтобы пользователи могли получить доступ. Установив политики условного доступа, Вы можете применить правильные элементы управления доступом в необходимых условиях. Настройте политики условного доступа для устранения рисков, связанных с подключением пользователя, сетевым расположением, неуправляемыми устройствами и приложениями.

Assigning conditions
Изображение 2. Условный доступ позволяет Вам назначить условия, которые позволяют пользователю получить доступ.

 

Защитите свою информацию от случайной утечки данных с помощью Windows Information Protection (WIP), что поможет Вам защитить бизнес-данные, когда они покидают устройства Ваших сотрудников.

WIP можно настроить через Intune, что позволяет ограничить функции копирования и вставки (copyandpaste), предотвращать доступ неавторизованных приложений к бизнес-данным и различать корпоративные и личные данные на устройстве, чтобы при необходимости можно было стереть их.

Как я могу помочь работникам соответствовать строгим требованием доступа к информации в рамках предприятия?

Классифицируйте и защищайте документы и электронные письма от случайной утраты информации, применяя Azure Information Protection. Ярлыки (labels) могут автоматически применяться администраторами, которые определяют правила и условия вручную пользователями, или в случаях, когда пользователям даются рекомендации. Классификация определяется независимо от того, где хранятся данные или с кем она делится.

Например, Вы можете настроить документ отчета так, чтобы к нему могли иметь доступ только люди, работающие в Вашей организации, и контролировать, можно ли редактировать этот документ или ограничивать его только для чтения или запрещать его печать. Вы можете настроить электронную почту аналогичным образом, а также предотвратить их переадресацию или запретить использование опции «Ответить всем» (Reply All).

Как я могу защитить данные, если работник потерял свое устройство?

Если Ваши сотрудники используют свои собственные устройства для доступа или хранения бизнес-информации, Вы можете удаленно стереть данные из управляемых бизнес-приложений, таких как Word и SharePoint, с помощью Intune.

Управляемые компанией устройства могут управляться через Intune MDM, предоставляя Вам гибкость, чтобы стереть все данные с устройства (сброс настроек) или просто стереть данные, касающиеся Вашей компании.

Советы от экспертов

Теперь, когда Вы знаете больше о том, как решения безопасности Microsoft 365 могут защитить Ваши данные, мы предлагаем прочитать три проверенных совета, чтобы Вы могли применить эти знания на практике.

  • Храните Ваши идентификаторы в безопасности. Управляйте идентификаторами сотрудников с помощью Azure AD для контроля над пользовательскими идентификационными данными и контроля над доступом пользователей. Настройте политики условного доступа для применения правильных прав к доступу, и устранения рисков, связанных с правами доступа.
  • Управляйте устройствами с помощью Intune. Включите Intune, чтобы управлять приложениями, которые сотрудники используют для ведения бизнеса/работы. Вы можете контролировать доступ к приложениям, и вы можете стереть данные с устройства, когда работник покинет компанию.
  • Храните данные Вашей компании в безопасности. Ограничьте доступ к ресурсам компании, используя политики защиты приложений Intune, чтобы защитить данные Вашего бизнеса. Установите Azure Information Protection и настройте классификацию данных, ярлыки (labels) и автоматические политики для контроля доступа путем маркировки, классификации и шифрования документов в соответствии с их уровнем безопасности. Затем используйте WIP для защиты от случайных утечек данных.
Дополнительный шаг: запланируйте свой успех с FastTrack. Этот ценный сервис включен в Вашу подписку (план) без дополнительной оплаты. Независимо от того, планируете ли вы свое разработку нового продукта, выпуск продукта на рынок или привлечение конечных пользователей, FastTrack — это ваше пособие, которое будет вам полезно. Начните работу с FastTrack, который включен в Microsoft 365.