Přehled zásad ochrany aplikací

Zásady ochrany aplikací (APP) jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci. Zásada může být pravidlo, které se vynucuje, když se uživatel pokusí získat přístup k podnikovým datům nebo přesunout "podniková" data, nebo sadu akcí, které jsou zakázané nebo sledované, když je uživatel uvnitř aplikace. Spravovaná aplikace je aplikace, u které se používají zásady ochrany aplikací a které může spravovat Intune.

Zásady ochrany aplikací MAM (Mobile Application Management) umožňují spravovat a chránit data vaší organizace v aplikaci. Mnoho aplikací pro zvýšení produktivity, například Microsoft Office aplikací, může spravovat Intune MAM. Podívejte se na oficiální seznam Microsoft Intune chráněných aplikací, které jsou k dispozici pro veřejné použití.

Jak můžete chránit data aplikací

Vaši zaměstnanci používají mobilní zařízení pro osobní i pracovní úkoly. I když chcete zajistit, aby vaši zaměstnanci mohli být produktivní, chcete zabránit ztrátě dat, záměrným a neúmyslným. Budete také chtít chránit firemní data, ke kterým máte přístup ze zařízení, která nespravujete vy.

Zásady ochrany aplikací Intune můžete používat nezávisle na jakémkoli řešení správy mobilních zařízení (MDM). Tato nezávislost pomáhá chránit data vaší společnosti pomocí zařízení nebo bez registrace zařízení v řešení pro správu zařízení. Implementací zásad na úrovni aplikace můžete omezit přístup k firemním prostředkům a udržovat data v rámci svého IT oddělení.

Zásady ochrany aplikací na zařízeních

Zásady ochrany aplikací je možné nakonfigurovat pro aplikace, které běží na zařízeních, která jsou:

  • Zaregistrované v Microsoft Intune: Tato zařízení jsou obvykle vlastněná společností.

  • Zaregistrované v řešení mdm (Mobile Device Management) od jiných výrobců: Tato zařízení jsou obvykle vlastněná společností.

    Poznámka

    Zásady správy mobilních aplikací by se neměly používat se s řízením mobilních aplikací třetích stran ani s řešením zabezpečených kontejnerů.

  • Nezadáte se do žádného řešení pro správu mobilních zařízení: Tato zařízení jsou obvykle zařízení vlastněná zaměstnanci, která nejsou spravovaná nebo zaregistrovaná v Intune nebo jiných řešeních MDM.

Důležité

Zásady správy mobilních aplikací můžete vytvářet pro Office aplikace, které se připojují k Microsoft 365 aplikacím. Přístup k místním poštovním schránkám Exchange můžete chránit také vytvořením zásad ochrany aplikací Intune pro Outlook pro iOS/iPadOS a Android s povoleným hybridním moderním ověřováním. Před použitím této funkce se ujistěte, že splňujete požadavky Outlook pro iOS/iPadOS a Android. Zásady ochrany aplikací nejsou podporované pro jiné aplikace, které se připojují k místním Exchange nebo SharePoint služeb.

Výhody používání zásad ochrany aplikací

Důležité výhody používání zásad ochrany aplikací jsou následující:

  • Ochrana firemních dat na úrovni aplikace Vzhledem k tomu, že správa mobilních aplikací nevyžaduje správu zařízení, můžete data společnosti chránit na spravovaných i nespravovaných zařízeních. Správa se zaobírá identitou uživatele, která odebere požadavek na správu zařízení.

  • Produktivita koncových uživatelů není ovlivněna a zásady se při používání aplikace v osobním kontextu nepoužijí. Zásady se používají jenom v pracovním kontextu, což umožňuje chránit firemní data bez dotyku osobních údajů.

  • Zásady ochrany aplikací zajistí, že jsou ochrany vrstvy aplikace na místě. Můžete například:

    • Vyžadování PIN kódu k otevření aplikace v pracovním kontextu
    • Řízení sdílení dat mezi aplikacemi
    • Zabránění ukládání dat aplikace společnosti do umístění osobního úložiště
  • MDM kromě MAM zajistí, že je zařízení chráněné. Pro přístup k zařízení můžete například vyžadovat PIN kód nebo můžete nasadit spravované aplikace do zařízení. Aplikace můžete taky nasadit na zařízení prostřednictvím svého řešení MDM, abyste měli větší kontrolu nad s managementem aplikací.

Používání mdm se zásadami ochrany aplikací přináší další výhody a společnosti mohou používat zásady ochrany aplikací současně s MDM i bez nich. Zvažte třeba zaměstnance, který používá telefon vydaný společností, i vlastní osobní tablet. Firemní telefon je zaregistrovaná v MDM a chráněná zásadami ochrany aplikací, zatímco osobní zařízení je chráněno jenom zásadami ochrany aplikací.

Pokud pro uživatele použijete zásadu MAM bez nastavení stavu zařízení, uživatel dostane zásadu MAM na zařízení BYOD i na zařízení spravovaném Intune. Můžete taky použít zásady MAM založené na spravovaném stavu. Když tedy vytvoříte zásady ochrany aplikací, vedle možnosti Cíl pro všechny typy aplikací vyberete Ne. Pak proveďte některý z následujících kroků:

  • Pro zařízení spravovaná v Intune použijte méně přísnou zásadu MAM a u zařízení, která nejsou zaregistrovaná pomocí MDM, použijte restriktivní zásadu MAM.
  • Zásady mamu se používejte jenom pro neza zaregistrovaná zařízení.

Podporované platformy pro zásady ochrany aplikací

Intune nabízí celou řadu funkcí, které vám pomůžou získat aplikace, které potřebujete, na zařízeních, na které je chcete spustit. Další informace najdete v tématu Možnosti správy aplikací podle platformy.

Podpora platformy zásad ochrany aplikací Intune je v souladu s Office mobilních aplikací pro zařízení s Androidem a iOS/iPadOS. Podrobnosti najdete v části Mobilní aplikace v Office požadavky na systém.

Důležité

Pro Portál společnosti Intune v zařízení je vyžadována funkce Zásady ochrany aplikací na Androidu. Další informace najdete v článku Portál společnosti Intune přístup k aplikacím.

Rámec ochrany dat zásad ochrany aplikací

Možnosti dostupné v zásadách ochrany aplikací (APP) umožňují organizacím přizpůsobit ochranu svým konkrétním potřebám. U některých nemusí být jasné, které nastavení zásad je potřeba k implementaci úplného scénáře. Microsoft zavedl taxonomii pro svůj rámec ochrany dat APP pro správu mobilních aplikací pro iOS a Android, aby pomohl organizacím upřednostňovat ztvrdování koncových bodů mobilního klienta.

Rámec ochrany dat appu je uspořádaný do tří různých úrovní konfigurace a každá úroveň je na předchozí úrovni:

  • Enterprise základní ochrana dat (úroveň 1) zajišťuje, že aplikace jsou chráněné PIN kódem a šifrované a provádějí selektivní operace vymazání. U zařízení s Androidem tato úroveň ověřuje ověření zařízení s Androidem. Jedná se o konfiguraci vstupní úrovně, která poskytuje podobné řízení ochrany dat v Exchange Online poštovních schránek a zavádí DO APP IT a základní soubor uživatelů.
  • Enterprise ochrany dat (úroveň 2) zavádí mechanismy prevence úniku dat appu a minimální požadavky na operační systém. Toto je konfigurace, která platí pro většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.
  • Enterprise ochranu dat (úroveň 3) zavádí pokročilé mechanismy ochrany dat, vylepšenou konfiguraci PIN kódu a ochranu před mobilními hrozbami appu. Tato konfigurace je žádoucí pro uživatele, kteří přistupují k datům s vysokým rizikem.

Pokud chcete zobrazit konkrétní doporučení pro každou úroveň konfigurace a minimální aplikace, které musí být chráněné, podívejte se na rámec ochrany dat pomocí zásad ochrany aplikací.

Jak zásady ochrany aplikací chrání data aplikací

Aplikace bez zásad ochrany aplikací

Pokud jsou aplikace používány bez omezení, určitá společnost a osobní data se mohou vzájemně proniknou. Data společnosti mohou skončit na místech, jako je osobní úložiště, nebo se přenesou do aplikací mimo vaši zornou stránku a vyústují ve ztrátu dat. Šipky v následujícím diagramu ukazují neomezený pohyb dat mezi podnikovými i osobními aplikacemi a umístění úložiště.

Koncepční obrázek pro přesun dat mezi aplikacemi bez zásad

Ochrana dat se zásadami ochrany aplikací (APP)

Pomocí zásad ochrany aplikací můžete zabránit ukládání dat společnosti do místního úložiště zařízení (viz obrázek níže). Pohyb dat můžete omezit i na jiné aplikace, které nejsou chráněny zásadami ochrany aplikací. Nastavení zásad ochrany aplikací zahrnují:

  • Zásady přemisťování dat, jako je ukládání kopií dat organizace a omezení vyjmout , zkopírovat a vložit
  • Nastavení zásad přístupu, jako je Vyžadovat jednoduchý PIN kód pro přístup, a Blokovat spouštění spravovaných aplikací na zařízeních s jailbrokenem nebo rootem.

Koncepční obrázek zobrazující data společnosti chráněná zásadami

Ochrana dat pomocí APLIKACE na zařízeních spravovaných řešením MDM

Na následujícím obrázku jsou znázorněny vrstvy ochrany, které společně nabízejí zásady ochrany mdm a aplikace.

Obrázek, který ukazuje, jak fungují zásady ochrany aplikací na zařízeních BYOD

Řešení MDM přidá hodnotu takto:

  • Zaregistruje zařízení.
  • Nasazení aplikací do zařízení
  • Poskytuje průběžné dodržování předpisů a správu zařízení.

Zásady ochrany aplikací přidávají hodnotu takto:

  • Ochrana firemních dat před únikem informací do spotřebitelských aplikací a služeb
  • Použití omezení, jako je ukládání jako, schránka nebo PIN kód, u klientských aplikací
  • Vymazání firemních dat v případě potřeby z aplikací bez odebrání těchto aplikací ze zařízení

Ochrana dat s APLIKACÍ pro zařízení bez registrace

Následující diagram ukazuje, jak fungují zásady ochrany dat na úrovni aplikace bez MDM.

Obrázek, který ukazuje, jak fungují zásady ochrany aplikací na zařízeních bez registrace (nespravovaná zařízení)

U zařízení BYOD, která nejsou zaregistrovaná v žádném řešení MDM, můžou zásady ochrany aplikací pomoct chránit firemní data na úrovni aplikace. Je ale třeba vědět o některých omezeních, například:

  • Do zařízení nemůžete nasadit aplikace. Koncový uživatel musí získat aplikace ze Storu.
  • Profily certifikátů na těchto zařízeních nemůžete zřídit.
  • Na těchto zařízeních nemůžete zřídit nastavení Wi-Fi a VPN.

Aplikace, které můžete spravovat pomocí zásad ochrany aplikací

Všechny aplikace, které jsou integrované se sadou Intune SDK nebo zalomené službou Intune App Wrapping Tool spravovat pomocí zásad ochrany aplikací Intune. Podívejte se na oficiální seznam Microsoft Intune chráněných aplikací, které byly vytvořené pomocí těchto nástrojů a jsou dostupné pro veřejné použití.

Vývojový tým Intune SDK aktivně testuje a udržuje podporu pro aplikace vytvořené na nativních platformách Android, iOS/iPadOS (Obj-C, Swift), Xamarin a Xamarin.Forms. I když někteří zákazníci měli úspěch s integrací sady Intune SDK s jinými platformami, jako je React Native a NativeScript, neposkytujeme výslovné pokyny ani moduly plug-in pro vývojáře aplikací, kteří používají něco jiného než naše podporované platformy.

Požadavky koncových uživatelů na používání zásad ochrany aplikací

Následující seznam obsahuje požadavky koncových uživatelů na používání zásad ochrany aplikací v aplikaci spravované Intune:

  • Koncový uživatel musí mít účet Azure Active Directory (Azure AD). Přečtěte si informace o tom, jak vytvářet uživatele Intune v Azure Active Directory.

  • Koncový uživatel musí mít licenci na Microsoft Intune přiřazenou ke svému Azure Active Directory účtu. Informace o přiřazení licencí Intune koncovým uživatelům najdete v tématu Správa licencí Intune.

  • Koncový uživatel musí patřit do skupiny zabezpečení, na kterou se zaměřuje zásada ochrany aplikací. Stejné zásady ochrany aplikací se musí zaměřit na konkrétní aplikaci, která se používá. Zásady ochrany aplikací můžete vytvářet a nasazovat v Centru Microsoft Endpoint Manager pro správu. Skupiny zabezpečení je možné v současné době vytvářet v Centrum pro správu Microsoftu 365.

  • Koncový uživatel se k aplikaci musí přihlásit pomocí svého účtu Azure AD.

Zásady ochrany aplikací pro Microsoft Office aplikace

Existuje několik dalších požadavků, o které byste měli vědět při používání zásad ochrany aplikací s Microsoft Office aplikacemi.

Outlook mobilní aplikace

Další požadavky na používání Outlook aplikace zahrnují následující:

  • Koncový uživatel musí mít nainstalovanou Outlook mobilní aplikaci na svém zařízení.

  • Koncový uživatel musí mít Microsoft 365 Exchange Online poštovní schránku a licenci propojenou se svým Azure Active Directory účtem.

    Poznámka

    Mobilní aplikace Outlook v současné době podporuje ochranu aplikací Intune pro Microsoft Exchange Online a Exchange Server s hybridním moderním ověřováním a nepodporuje Exchange v Office 365 Dedicated.

Word, Excel a PowerPoint

K dalším požadavkům na používání aplikací Word, Excel a PowerPoint patří:

  • Koncový uživatel musí mít licenci pro Microsoft 365 Apps pro firmy nebo organizace propojenou se svým Azure Active Directory účtem. Předplatné musí zahrnovat Office aplikací na mobilních zařízeních a může zahrnovat účet cloudového úložiště s OneDrive pro firmy. Microsoft 365 licence můžete přiřadit v Centrum pro správu Microsoftu 365 těchto pokynů.

  • Koncový uživatel musí mít spravované umístění nakonfigurované pomocí granulárního ukládání jako funkce v nastavení zásad ochrany aplikací Uložit kopie dat organizace. Pokud je například spravované umístění OneDrive, měla by být aplikace OneDrive nakonfigurovaná v aplikaci Word, Excel nebo PowerPoint koncového uživatele.

  • Pokud je spravované umístění OneDrive, musí být aplikace zaměřená na zásady ochrany aplikací nasazené na koncového uživatele.

    Poznámka

    Mobilní Office aplikace momentálně podporují jenom SharePoint Online a SharePoint místní.

Spravované umístění potřebné pro Office

Pro OneDrive je potřeba spravované Office. Intune označí všechna data v aplikaci jako "podniková" nebo "osobní". Data se považují za podniková, když pocházejí z obchodního místa. Pro Office aplikace Intune považuje za obchodní umístění: e-mail (Exchange) nebo cloudové úložiště (aplikace OneDrive s účtem OneDrive pro firmy).

Skype pro firmy

Existují další požadavky na použití Skype pro firmy. Podívejte se Skype pro firmy licenčních požadavků. Hybridní Skype pro firmy (SfB) a konfigurace na počítači najdete v článku Hybridní moderní ověřování pro SfB a Exchange přejde na GA a Modern Auth pro SfB OnPrem s Azure AD.

Globální zásady ochrany aplikací

Pokud OneDrive správce zařízení admin.onedrive.com zařízení, může nastavit ovládací prvky pro správu mobilních aplikací na OneDrive a SharePoint klientské aplikace.

Nastavení, která jsou dostupná v OneDrive správce, nakonfigurujte speciální zásady ochrany aplikací Intune s názvem Globální zásady. Tato globální zásada platí pro všechny uživatele ve vašem tenantovi a nemá žádný způsob, jak řídit cílení zásad.

Po povolení jsou aplikace OneDrive a SharePoint pro iOS/iPadOS a Android ve výchozím nastavení chráněné vybraným nastavením. Správce IT Pro tyto zásady v konzole Intune upravovat, přidávat cílenější aplikace a upravovat nastavení zásad.

Ve výchozím nastavení může být na tenanta jenom jedna globální zásada. Rozhraní API Intune Graph ale můžete použít k vytvoření dalších globálních zásad na tenanta, ale to se nedoporučuje. Vytváření dalších globálních zásad se nedoporučuje, protože řešení potíží s implementací takové zásady může být komplikované.

I když se globální zásady vztahují na všechny uživatele ve vašem tenantovi, všechny standardní zásady ochrany aplikací Intune tato nastavení přepíšou.

Poznámka

Nastavení zásad v Centru OneDrive se už ne aktualizují. Místo toho může být použit Microsoft Enpoint Manager. Další informace najdete v článku Řízení přístupu k funkcím v OneDrive a SharePoint mobilních aplikacích.

Funkce ochrany aplikací

Více identit

Podpora více identit umožňuje aplikaci podporovat více cílových skupin. Tyto cílové skupiny jsou "firemní" uživatelé i "osobní" uživatelé. Pracovní a školní účty používají "firemní" cílové skupiny, zatímco osobní účty by se používaly pro cílové skupiny uživatelů, jako jsou Microsoft Office uživatelů. Aplikaci, která podporuje více identit, se může veřejně uvolnit, kde zásady ochrany aplikací platí jenom v případě, že se aplikace používá v pracovním a školním (podnikovém) kontextu. Podpora více identit používá sadu Intune SDK k použití zásad ochrany aplikací jenom u pracovního nebo školního účtu přihlášené k aplikaci. Pokud je k aplikaci přihlášen osobní účet, data se neupraví. Zásady ochrany aplikací slouží k zabránění přenosu dat pracovního nebo školního účtu na osobní účty v aplikaci s více identitou, osobních účtů v jiných aplikacích nebo osobních aplikacích.

Důležité

Bez ohledu na to, jestli aplikace podporuje více identit, může být použita zásada ochrany aplikací Intune jenom jedna "firemní" identita.

Příklad "osobního" kontextu, zvažte uživatele, který ve Wordu spustí nový dokument, považuje se to za osobní kontext, takže se zásady ochrany aplikací Intune nebudou uplatňovat. Po uložení dokumentu na firemním účtu OneDrive, bude považován za "podnikový" kontext a použijí se zásady ochrany aplikací Intune.

Zvažte následující příklady pracovního nebo podnikového kontextu:

  • Uživatel spustí aplikaci OneDrive pomocí svého pracovního účtu. V pracovním kontextu nesmějou soubory do osobního úložiště. Později, když budou používat OneDrive s osobním účtem, mohou kopírovat a přesouvat data ze svých osobních OneDrive bez omezení.
  • Uživatel začne kreslovat e-maily v Outlook aplikaci. Jakmile je předmět nebo text zprávy vyplněný, uživatel nemůže přepnout adresu FROM z pracovního kontextu do osobního kontextu, protože předmět a text zprávy jsou chráněny zásadou Ochrany aplikací.

Poznámka

Outlook má kombinované e-mailové zobrazení osobních i firemních e-mailů. V takovém případě se Outlook zobrazí výzva k zadání PIN kódu Intune při spuštění.

Důležité

I když je Edge v "podnikovém" kontextu, uživatelé mohou záměrně přesunout OneDrive "podnikové" kontextové soubory do neznámého osobního cloudového úložiště. Abyste se tomu vyhnuli, podívejte se na stránku Správa omezených webů a konfigurace seznamu povolených nebo blokovaných webů pro Edge.

PIN kód aplikace Intune

Osobní identifikační číslo (PIN) je heslo, které slouží k ověření, že správný uživatel přistupuje k datům organizace v aplikaci.

Výzva k ZADÁNÍ PIN kódu
Intune zobrazí výzvu k zadání PIN kódu aplikace uživatele, když má uživatel přístup k firemním datům. V aplikacích s více identitou, jako je Word, Excel nebo PowerPoint, se uživateli při pokusu o otevření podnikového dokumentu nebo souboru zobrazí výzva k zadání pin kódu. V aplikacích s jednou identitou, jako jsou například obchodní aplikace spravované pomocí Intune App Wrapping Tool, se při spuštění zobrazí výzva k zadání PIN kódu, protože sada Intune SDK ví, že uživatelské prostředí v aplikaci je vždy "podnikové".

Výzva k ZADÁNÍ PIN kódu nebo výzva k zadání podnikového přihlašovacího údaje
Správce IT může definovat nastavení zásad ochrany aplikací Intune: Znovu zkontrolujte požadavky na přístup po (minutách) v konzole pro správu Intune. Toto nastavení určuje dobu před tím, než se na zařízení zaškrtnou požadavky na přístup, a znovu se zobrazí obrazovka PIN kódu aplikace nebo výzva k podnikovým přihlašovacím údajům. Důležité podrobnosti o PIN kódu, které mají vliv na to, jak často bude uživatel vyzván, jsou:

  • PIN kód se sdílí mezi aplikacemi stejného vydavatele, aby se zlepšila použitelnost:
    V iOS/iPadOS se PIN kód jedné aplikace sdílí mezi všemi aplikacemi stejného vydavatele aplikací. Například všechny aplikace Microsoftu sdílejí stejný PIN kód. V Androidu se pin kód jedné aplikace sdílí mezi všemi aplikacemi.
  • Znovu zkontrolovat požadavky na přístup po (minutách) chování po restartování zařízení:
    Časovač sleduje počet minut nečinnosti, která určuje, kdy se má zobrazit PIN kód aplikace Intune, nebo výzvu k podnikovým přihlašovacím údajům. V systému iOS/iPadOS není časovač ovlivněn restartováním zařízení. Restartování zařízení proto nemá vliv na počet minut, po které byl uživatel neaktivní z aplikace pro iOS/iPadOS s cílenou zásadou PIN kódu Intune (nebo podnikových přihlašovacích údajů). Na Androidu se časovač resetuje při restartování zařízení. Aplikace pro Android s pin kódem Intune (nebo podnikovým přihlašovacím údajem) se proto pravděpodobně zobrazí výzva k zadání PIN kódu aplikace nebo výzvy k zadání podnikového přihlašovacího údaje bez ohledu na hodnotu nastavení Znovu zkontrolovat požadavky na přístup po (minutách) po restartování zařízení.
  • Postupná povaha časovače přidruženého k PIN kódu:
    Po zadání PIN kódu pro přístup k aplikaci (aplikaci A) a aplikace opustí popředí (fokus hlavního vstupu) na zařízení, časovač se resetuje pro tento PIN kód. Žádná aplikace (aplikace B), která sdílí tento PIN kód, nebude uživatele vyzvat k zadání PIN kódu, protože se časovač resetuje. Výzva se znovu zobrazí, až bude znovu splněná hodnota "Znovu zkontrolovat požadavky na přístup po (minutách)."

U zařízení s iOS/iPadOS se i v případě, že je PIN kód sdílený mezi aplikacemi od různých vydavatelů, zobrazí se výzva znovu, když je znovu splněna hodnota (minuty) požadavků na přístup pro aplikaci, která není hlavním fokusem vstupu. Uživatel má například aplikaci A od publisheru X a aplikace B od vydavatele Y a tyto dvě aplikace sdílejí stejný PIN kód. Uživatel se zaměřuje na aplikaci A (popředí) a aplikace B se minimalizuje. Po splnění (minut) hodnoty znovu zkontrolovat požadavky na přístup a uživatel přepne na aplikaci B, bude potřeba PIN kód.

Poznámka

Aby bylo možné častěji ověřovat požadavky na přístup uživatele (tj. výzva k PIN kódu), zejména u často používané aplikace, doporučujeme snížit hodnotu nastavení "Znovu zkontrolovat požadavky na přístup po (minutách)".

Piny integrované aplikace pro Outlook a OneDrive
Pin kód Intune funguje na základě časovače založeného na nečinnosti (hodnota znovu zkontrolovat požadavky na přístup po (minutách)). Výzvy k PIN kódu Intune se proto zobrazují nezávisle na výzvách k pin kódu integrované aplikace pro Outlook a OneDrive, které jsou často ve výchozím nastavení spojené se spuštěním aplikace. Pokud uživatel dostane oba výzvy k ZADÁNÍ KÓDU PIN současně, mělo by se očekávané chování vyřešit tak, že má přednost PIN kód Intune.

Zabezpečení PIN kódu Intune
PIN kód slouží k povolení přístupu k datům své organizace v aplikaci jenom správnému uživateli. Koncový uživatel se proto musí přihlásit pomocí svého pracovního nebo školního účtu, aby mohl nastavit nebo resetovat svůj PIN kód aplikace Intune. Toto ověřování je zpracováno Azure Active Directory prostřednictvím zabezpečené výměny tokenů a není průhledné pro sadu Intune SDK. Z hlediska zabezpečení je nejlepší způsob, jak chránit pracovní nebo školní data, zašifrovat je. Šifrování se nesouvisí s PIN kódem aplikace, ale je to její vlastní zásada ochrany aplikací.

Ochrana před útoky hrubou silou a PIN kódem Intune
V rámci zásad PIN kódu aplikace může správce IT nastavit maximální počet pokusů uživatele o ověření pin kódu před uzamknutím aplikace. Po dokončení počtu pokusů může sada Intune SDK vymazat "podniková" data v aplikaci.

Pin kód Intune a selektivní vymazání
V iOS/iPadOS se informace o PIN kódu na úrovni aplikace ukládají do klíčen, který se sdílí mezi aplikacemi se stejným vydavatelem, jako jsou všechny aplikace Microsoftu od první strany. Tyto informace o PIN kódu jsou taky spojené s účtem koncového uživatele. Výběrové vymazání jedné aplikace by nemělo mít vliv na jinou aplikaci.

Například sada PIN kódu pro Outlook pro přihlášené uživatele je uložená ve sdíleném klíčku. Když se uživatel přihlásí k OneDrive (publikovaný také Microsoftem), zobrazí se jim stejný PIN kód jako Outlook protože používá stejnou sdílenou klíčenku. Při odhlášení z Outlook nebo vymazání uživatelských dat v aplikaci Outlook, sada Intune SDK tento klíčový klíč vymaže, protože OneDrive tento PIN kód stále používá. Z tohoto důvodu selektivní vymazání nesmazá sdílenou klíčenku, včetně PIN kódu. Toto chování zůstává stejné, i když na zařízení existuje jenom jedna aplikace vydavatele.

Vzhledem k tomu, že pin kód se sdílí mezi aplikacemi se stejným vydavatelem, pokud vymazání přejde do jedné aplikace, sada Intune SDK neví, jestli na zařízení se stejným vydavatelem existují nějaké další aplikace. Sada Intune SDK proto pin kód nevypnutí, protože se může používat i pro jiné aplikace. Očekává se, že pin kód aplikace se vymaže, až se poslední aplikace od tohoto vydavatele odebere jako součást vyčištění operačního systému.

Pokud pozorujete vymazání PIN kódu na některých zařízeních, pravděpodobně se děje toto: Vzhledem k tomu, že pin kód je spojený s identitou, pokud se uživatel po vymazání přihlásil pomocí jiného účtu, zobrazí se výzva k zadání nového PIN kódu. Pokud se ale přihlásí pomocí dříve existujícího účtu, můžete k přihlášení použít PIN kód uložený v klíčence.

Dvakrát nastavíte PIN kód u aplikací od stejného vydavatele?
MAM (v systému iOS/iPadOS) v současné době umožňuje integraci sady Intune SDK pro iOS pomocí kódu PIN kódu na úrovni aplikace s alfanumerických a speciálních znaků (tzv. heslo), které vyžadují účast aplikací (např. WXP, Outlook, Spravovaný prohlížeč, Yammer). Bez toho se nastavení přístupového kódu pro cílové aplikace nevynucuje správně. Tato funkce byla vydána v sadě Intune SDK pro iOS v. 7.1.12.

Pro podporu této funkce a zajištění zpětné kompatibility s předchozími verzemi sady Intune SDK pro iOS/iPadOS se všechny PIN kódy (číselné nebo heslo) v 7.1.12+ zpracovávají odděleně od číselného PIN kódu v předchozích verzích sady SDK. Další změna byla zavedena v sadě Intune SDK pro iOS v 14.6.0, která způsobí, že všechny piny ve verzi 14.6.0+ budou zpracovány odděleně od pinů v předchozích verzích sady SDK.

Proto pokud má zařízení aplikace se sadou Intune SDK pro iOS před verzí 7.1.12 A po verzi 7.1.12 od stejného vydavatele (nebo verze před verzí 14.6.0 AND po 14.6.0), budou muset nastavit dvě PIN. Tyto dva piny (pro každou aplikaci) nejsou v žádném případě související (tj. musí dodržovat zásady ochrany aplikací, které se v aplikaci používají). Jenom v případě, že aplikace A a B používají stejné zásady (pokud jde o PIN kód), může uživatel nastavit stejný PIN kód dvakrát.

Toto chování je specifické pro PIN kód v aplikacích iOS/iPadOS, které jsou povolené pomocí správy mobilních aplikací Intune. V průběhu času, kdy aplikace přijímají novější verze sady Intune SDK pro iOS/iPadOS, se stává, že u aplikací od stejného vydavatele bude museli dvakrát nastavit PIN kód. Příklad najdete v následující poznámce.

Poznámka

Pokud je například aplikace A vytvořená s verzí starší než 7.1.12 (nebo 14.6.0) a aplikace B je vytvořená s verzí větší nebo rovnou 7.1.12 (nebo 14.6.0) od stejného vydavatele, bude koncový uživatel muset nastavit pin piny samostatně pro A a B, pokud jsou oba nainstalované na zařízení s iOS/iPadOS. Pokud je na zařízení nainstalovaná aplikace C, která má sadu SDK verze 7.1.9 (nebo 14.5.0), bude sdílet stejný PIN kód jako aplikace A. Aplikace D vytvořená s 7.1.14 (nebo 14.6.2) bude sdílet stejný PIN kód jako aplikace B.
Pokud jsou na zařízení nainstalované jenom aplikace A a C, bude potřeba nastavit jeden PIN kód. Totéž platí v případě, že na zařízení jsou nainstalované jenom aplikace B a D.

Šifrování dat aplikace

Správci IT můžou nasadit zásady ochrany aplikací, které vyžadují šifrování dat aplikací. V rámci této zásady může správce IT také určit, kdy je obsah zašifrovaný.

Jak se proces šifrování dat Intune
Podrobné informace o nastavení zásad ochrany aplikací pro šifrování najdete v nastavení zásad ochrany aplikací pro Android a nastavení zásad ochrany aplikací pro iOS/iPadOS .

Data, která jsou zašifrovaná
Podle zásad ochrany aplikací správce IT se šifrují jenom data označená jako podniková. Data se považují za podniková, když pocházejí z obchodního místa. Pro Office aplikace Intune považuje za obchodní umístění následující:

  • E-mail (Exchange)
  • Cloudové úložiště (OneDrive aplikace s OneDrive pro firmy účtem)

U obchodních aplikací spravovaných službou Intune App Wrapping Tool se všechna data aplikací považují za firemní.

Selektivní vymazání

Vzdálené vymazání dat
Intune dokáže vymazat data aplikací třemi různými způsoby:

  • Úplné vymazání zařízení
  • Selektivní vymazání pro MDM
  • Selektivní vymazání MAM

Další informace o vzdáleném vymazání pro MDM najdete v tématu Odebrání zařízení pomocí vymazání nebo vyřazení. Další informace o selektivním vymazání pomocí mamu najdete v akcích Vyřazení a Jak vymazat jenom podniková data z aplikací.

Úplné vymazání zařízení odebere všechna uživatelská data a nastavení ze zařízení obnovením zařízení do výchozího továrního nastavení. Zařízení se odebere z Intune.

Poznámka

Úplné vymazání zařízení a selektivní vymazání pro MDM je možné dosáhnout jenom na zařízeních zaregistrovaých pomocí správy mobilních zařízení Intune (MDM).

Selektivní vymazání pro MDM
Další informace o odebrání firemních dat najdete v článku Odebrání zařízení – vyřazení.

Selektivní vymazání pro MAM
Selektivní vymazání pro MAM jednoduše odebere data aplikací společnosti z aplikace. Žádost se zahájí pomocí Intune. Informace o tom, jak zahájit žádost o vymazání, najdete v tématu Jak vymazat jenom podniková data z aplikací.

Pokud uživatel aplikaci používá při spuštění selektivního vymazání, sada Intune SDK každých 30 minut kontroluje výběrovou žádost o vymazání ze služby Intune MAM. Vyhledá také selektivní vymazání, když uživatel poprvé spustí aplikaci a přihlásí se pomocí svého pracovního nebo školního účtu.

Když místní (místní) služby nefungují s aplikacemi chráněnými intune
Ochrana aplikací Intune závisí na identitě uživatele, aby byla konzistentní mezi aplikací a sadou Intune SDK. Jediný způsob, jak to zaručit, je moderní ověřování. Existují scénáře, ve kterých mohou aplikace pracovat s konfigurací na počítači, ale nejsou konzistentní ani zaručené.

Zabezpečený způsob otevření webových odkazů ze spravovaných aplikací
Správce IT může nasadit a nastavit zásady ochrany aplikací pro Microsoft Edge, webový prohlížeč, který se s Intune snadno spravuje. Správce IT může vyžadovat, aby se všechny webové odkazy v aplikacích spravovaných Intune otevíraly pomocí spravovaného prohlížeče.

Prostředí ochrany aplikací pro zařízení s iOSem

Otisk prstu zařízení nebo ID obličeje

Zásady ochrany aplikací Intune umožňují řídit přístup k aplikacím jenom licencovanému uživateli Intune. Jedním ze způsobů, jak řídit přístup k aplikaci, je vyžadovat buď Apple Touch ID, nebo Face ID na podporovaných zařízeních. Intune implementuje chování, kdy pokud dojde ke změně biometrické databáze zařízení, Intune vyzve uživatele k zadání PIN kódu, když je splněna další hodnota časového limitu nečinnosti. Změny biometrických dat zahrnují přidání nebo odebrání otisku prstu nebo obličeje. Pokud uživatel Intune nemá nastavený PIN kód, bude muset nastavit PIN kód Intune.

Cílem tohoto procesu je zachovat data vaší organizace v aplikaci zabezpečená a chráněná na úrovni aplikace. Tato funkce je dostupná jenom pro iOS/iPadOS a vyžaduje účast aplikací, které integrují sadu Intune SDK pro iOS/iPadOS, verze 9.0.1 nebo novější. Integrace sady SDK je nezbytná, aby bylo možné chování u cílových aplikací vynutit. K této integraci dochází pravidelně a závisí na konkrétních aplikačních týmech. Mezi některé aplikace, které se účastní, patří WXP, Outlook, Spravovaný prohlížeč a Yammer.

Rozšíření pro sdílení v iOSu

Rozšíření sdílení pro iOS/iPadOS můžete použít k otevření pracovních nebo školních dat v nespravovaných aplikacích, a to i v případě, že jsou zásady přenosu dat nastavené jenom na spravované aplikace nebo žádné aplikace. Zásady ochrany aplikací Intune nemohou řídit rozšíření sdílení iOS/iPadOS bez správy zařízení. Intune proto před sdílením mimo aplikaci zašifruje "podniková" data. Toto chování šifrování můžete ověřit pokusem o otevření podnikového souboru mimo spravovanou aplikaci. Soubor by měl být zašifrovaný a nedaří se otevřít mimo spravovanou aplikaci.

Zásady ochrany aplikací Intune ve výchozím nastavení zabraňují přístupu k neautorizovanému obsahu aplikace. V iOS/iPadOS jsou k dispozici funkce pro otevření určitého obsahu nebo aplikací pomocí univerzálních odkazů.

Uživatelé mohou univerzální odkazy aplikace zakázat tak, že je navštívíte v Safari a vyberete Otevřít na nové kartě nebo Otevřít. Abyste mohli použít univerzální odkazy se zásadami ochrany aplikací Intune, je důležité univerzální odkazy znovu povolit. Koncový uživatel bude muset po dlouhém < stisknutí odpovídajícího odkazu> otevřít název aplikace.**** Tím by se měla zobrazit výzva k směrování všech univerzálních odkazů na chráněnou aplikaci na zařízení jakékoli další chráněné aplikaci.

Nastavení přístupu k více aplikacím Intune pro stejnou sadu aplikací a uživatelů

Zásady ochrany aplikací Intune pro přístup se použijí v určitém pořadí na zařízeních koncových uživatelů při pokusu o přístup k cílové aplikaci ze svého podnikového účtu. Obecně platí, že vymazání bude mít přednost, za ním pak blok a pak nepřípustné upozornění. Pokud se to týká konkrétního uživatele nebo aplikace, použije se například minimální nastavení operačního systému iOS/iPadOS, které uživatele upozorní na aktualizaci verze iOS/iPadOS po minimálním nastavení operačního systému iOS/iPadOS, které uživateli brání v přístupu. Takže v situaci, kdy správce IT nakonfiguruje minimální operační systém iOS na 11.0.0.0 a minimální operační systém iOS (jenom upozornění) na 11.1.0.0, zatímco zařízení, které se pokouší o přístup k aplikaci, bylo v iOSu 10, koncový uživatel byl zablokovaný na základě restriktivního nastavení pro verzi operačního systému min iOS, která vede k blokovanému přístupu.

Při řešení různých typů nastavení by měl mít přednost požadavek na verzi sady Intune SDK, pak požadavek na verzi aplikace a požadavek na verzi operačního systému iOS/iPadOS. Všechna upozornění pro všechny typy nastavení ve stejném pořadí jsou zaškrtnutá. Doporučujeme, aby byl požadavek na verzi sady Intune SDK nakonfigurovaný jenom na základě pokynů produktového týmu Intune pro základní scénáře blokování.

Prostředí ochrany aplikací pro zařízení s Androidem

Poznámka

Zásady ochrany aplikací nejsou podporované na vyhrazených zařízeních s Androidem spravovanými Enterprise Intune. Pokud vaši uživatelé na zařízeních s Androidem Enterprise používají zásady APP pro jiné zařízení, budete chtít provést následující kroky:

  1. Ujistěte se, že zařízení, na která chcete cílit, jsou jenom vyhrazená zařízení spravovaná přes Intune. Zásada blokování se nepro projeví, pokud je zařízení spravováno poskytovatelem MDM třetí strany.

  2. Ujistěte se Portál společnosti je nainstalovaný na vyhrazeném zařízení. To je potřeba, aby se zásady blokování APLIKACÍ projeví. V aplikaci pro koncové uživatele na vyhrazených zařízeních není nutná žádná interakce s koncovým uživatelem, Portál společnosti proto není nutné, aby byla aplikace Portál společnosti spouštěná koncovými uživateli. Soubor Portál společnosti musí být na zařízení nainstalovaný. Nemusíte ho třeba povolovat v horní části obrazovky Spravovaná domovská obrazovka.

Upozorňujeme, že na uživatele, kteří jsou cílení pomocí zásad APP na ne vyhrazených zařízeních, nebude mít vliv.

Microsoft Teams zařízení s Androidem

Aplikace Teams na Microsoft Teams s Androidem nepodporuje APLIKACI (prostřednictvím aplikace Portál společnosti nepřijímá zásady). To znamená, že nastavení zásad ochrany aplikací se na zařízeních s Androidem Teams Microsoft Teams aplikace.

Biometrické ověřování zařízení

U zařízení s Androidem, která podporují biometrické ověřování, můžete koncovým uživatelům povolit používání otisků prstů nebo odemknutí obličeje podle toho, co jejich zařízení s Androidem podporuje. Můžete nakonfigurovat, jestli se všechny biometrické typy kromě otisku prstu používají k ověření. Mějte na vědomí, že otisk prstu a odemknutí obličeje jsou dostupné jenom pro zařízení, která jsou pro podporu těchto biometrických typů a mají správnou verzi Androidu. Pro otisk prstu je nutný Android 6 a novější a Android 10 a novější je nutný pro odemknutí obličeje.

Portál společnosti aplikací a intune

Velká část funkcí ochrany aplikací je integrovaná v Portál společnosti aplikací. Registrace zařízení není nutná, i když Portál společnosti aplikace je vždy povinná. Pro správu mobilních aplikací (MAM) musí mít koncový uživatel na zařízení Portál společnosti nainstalovanou aplikaci.

Nastavení přístupu k více aplikacím Intune pro stejnou sadu aplikací a uživatelů

Zásady ochrany aplikací Intune pro přístup se použijí v určitém pořadí na zařízeních koncových uživatelů při pokusu o přístup k cílové aplikaci ze svého podnikového účtu. Obecně platí, že blok bude mít přednost a pak se zobrazí upozornění, které je nepřípustné. Pokud se například vztahuje na konkrétního uživatele nebo aplikaci, použije se po minimálním nastavení verze oprav pro Android minimální nastavení oprav pro Android, které uživatele upozorní na upgrade opravy, po nastavení minimální verze opravy pro Android, které uživateli brání v přístupu. Takže v situaci, kdy správce IT nakonfiguruje minimální verzi opravy pro Android na 2018-03-01 a minimální verzi opravy pro Android (pouze upozornění) na 2018-02-01, zatímco zařízení, které se pokouší o přístup k aplikaci, bylo na verzi opravy 2018-01-01, koncový uživatel by byl zablokovaný na základě restriktivního nastavení pro minimální verzi oprav pro Android, která má zablokovaný přístup.

Při práci s různými typy nastavení by měl přednost požadavek na verzi aplikace, následovaný požadavkem na verzi operačního systému Android a požadavkem na opravu verze pro Android. Všechna upozornění pro všechny typy nastavení ve stejném pořadí jsou zaškrtnutá.

Zásady ochrany aplikací Intune a ověření SafetyNet společnosti Google pro zařízení s Androidem

Zásady ochrany aplikací Intune umožňují správcům vyžadovat, aby zařízení koncových uživatelů prošly ověřením SafetyNet společnosti Google pro zařízení s Androidem. Nové určení služby Google Play bude oznámeno správci IT v intervalu určeném službou Intune. Jak často se servisní volání provádí, je kvůli zatížení omezení, proto je tato hodnota udržována interně a není konfigurovatelná. Jakákoli akce nakonfigurovaná správcem IT pro nastavení ověření Google SafetyNet se bude provést na základě posledního nahlášeného výsledku pro službu Intune v okamžiku podmíněného spuštění. Pokud nejsou žádná data, bude přístup povolen v závislosti na tom, jestli se nedaří provádět žádné další podmíněné kontroly spuštění, a služba Google Play "roundtrip" pro určení výsledků ověření začne v back-endu a asynchronně se zobrazí výzva uživateli, pokud se zařízení nepovedlo. Pokud jsou k dispozici zastaralá data, bude přístup zablokovaný nebo povolený v závislosti na posledním nahlášeném výsledku a podobně začne služba Google Play "roundtrip" pro určení výsledků ověření a zobrazí uživateli asynchronní výzvu, pokud zařízení selhalo.

Zásady ochrany aplikací Intune a rozhraní Google Verify Apps API pro zařízení s Androidem

Zásady ochrany aplikací Intune umožňují správcům vyžadovat, aby zařízení koncových uživatelů odesílala signály prostřednictvím rozhraní Google Verify Apps API pro zařízení s Androidem. Pokyny k tomu, jak to udělat, se mírně liší podle zařízení. Obecný proces spočívá v tom, že se chystáte do Obchodu Google Play, potom kliknete na Moje aplikace & hry a kliknete na výsledek poslední kontroly aplikací, která vás zaveze do nabídky Ochrana před přehráváním. Ujistěte se, že je přepínač pro zařízení Prohledat bezpečnostní hrozby zapnutý.

Google SafetyNet Attestation API

Intune využívá rozhraní API Google Play Protect SafetyNet k přidání do našich stávajících kontrol zjišťování kořenového adresáře pro nezahájená zařízení. Google vyvinul a udržoval tuto sadu API pro aplikace pro Android, která se má přijmout, pokud nechce, aby jejich aplikace spouštěly na kořenových zařízeních. Do této funkce se začlenila například aplikace Android Pay. I když Google veřejně nesdílí všechny kontroly zjišťování kořenových tezí, očekáváme, že tato rozhraní API rozpozná uživatele, kteří mají zakořeněná jejich zařízení. Těmto uživatelům pak může být zablokován přístup nebo jejich podnikové účty z aplikací s povolenými zásadami. Zkontrolujte základní integritu , která vám řekne o obecné integritě zařízení. Zakořeněná zařízení, emulátory, virtuální zařízení a zařízení se známkami manipulace se nepovede k základní integritě. Zkontrolujte základní integritu & certifikovaných zařízeních , která vám sdělí kompatibilitu zařízení se službami Googlu. Tuto kontrolu mohou projít jenom neupravovaná zařízení certifikovaná společností Google. Zařízení, která se nepodaří, zahrnují následující:

  • Zařízení, která selhat se základní integritou
  • Zařízení s odemčeným zavaděčem
  • Zařízení s vlastním obrázkem systému/ROM
  • Zařízení, pro která výrobce nepožádá nebo neprojde certifikací Google
  • Zařízení s obrázkem systému sestavený přímo ze zdrojových souborů open source programu Pro Android
  • Zařízení s bitovou verzí beta/vývojářského náhledu systému

Technické podrobnosti najdete v dokumentaci Googlu na webu SafetyNet Attestation .

Nastavení atestace zařízení SafetyNet a nastavení jailbroken/rooted

Kontroly api safetynetu Google Play Protect vyžadují, aby byl koncový uživatel online, aspoň po dobu trvání doby, kdy se provede "roundtrip" pro určení výsledků ověření. Pokud je koncový uživatel offline, může správce IT přesto očekávat, že se výsledek vynucuje z nastavení jailbroken/rooted zařízení . To znamená, že pokud je koncový uživatel příliš dlouho offline, spustí se hodnota období odkladu offline a veškerý přístup k pracovním nebo školním datům se po dosažení této hodnoty časovače zablokuje, dokud nebude přístup k síti dostupný. Zapnutí obou nastavení umožňuje vrstvené nastavení, aby zařízení koncových uživatelů byla v pořádku, což je důležité, když mají koncoví uživatelé přístup k pracovním nebo školním datům na mobilním zařízení.

Rozhraní GOOGLE Play Protect API a služby Google Play

Nastavení zásad ochrany aplikací, která využívají rozhraní GOOGLE Play Protect API, vyžadují, aby služby Google Play fungovaly. Ověření zařízení SafetyNet i kontrola hrozeb u nastavení aplikací vyžadují, aby správně fungovala verze služeb Google Play od Googlu. Vzhledem k tomu, že se jedná o nastavení, která spadají do oblasti zabezpečení, koncový uživatel bude zablokovaný, pokud je tato nastavení zacílená a nesplní příslušnou verzi služeb Google Play nebo nemá přístup ke službám Google Play.

Další kroky

Jak vytvářet a nasazovat zásady ochrany aplikací pomocí Microsoft Intune

Dostupná nastavení zásad ochrany aplikací pro Android s Microsoft Intune

Dostupná nastavení zásad ochrany aplikací pro iOS/iPadOS s Microsoft Intune