Nastavení zásad ochrany aplikací pro Android v Microsoft Intune
Tento článek popisuje nastavení zásad ochrany aplikací pro zařízení s Androidem. Popsaná nastavení zásad se dají nakonfigurovat pro zásady ochrany aplikací v podokně Nastavení na portálu. Existují tři kategorie nastavení zásad: nastavení ochrany dat, požadavky na přístup a podmíněné spuštění. V tomto článku termín aplikace spravované zásadami označuje aplikace, které jsou nakonfigurované pomocí zásad ochrany aplikací.
Důležité
Portál společnosti Intune se na zařízení vyžaduje pro příjem zásad ochrany aplikací pro zařízení s Androidem.
Intune Managed Browser byl vyřazen. V prohlížeči s chráněnými Intune používejte Microsoft Edge.
Ochrana dat
Přenos dat
| Nastavení | Jak se používá | Výchozí hodnota |
|---|---|---|
| Zálohování dat organizace do zálohovací služby androidu | Pokud chcete této aplikaci zabránit v zálohování pracovních nebo školních dat do služby Android Backup Service, vyberte Blokovat. Pokud chcete této aplikaci povolit zálohování pracovních nebo školních dat, vyberte Povolit . |
Povolit |
| Odesílání dat organizace do jiných aplikací | Určete, které aplikace můžou přijímat data z této aplikace:
Některé aplikace a služby s výjimkou můžou Intune ve výchozím nastavení povolit přenos dat. Kromě toho můžete vytvořit vlastní výjimky, pokud potřebujete povolit přenos dat do aplikace, která nepodporuje Intune APP. Další informace najdete v tématu Výjimky přenosu dat. Tyto zásady se můžou vztahovat také na odkazy na aplikace pro Android. Obecné webové odkazy se spravují nastavením zásad Otevřít odkazy na aplikaci v Intune Managed Browser. Poznámka Intune v současné době nepodporuje funkci Instant Apps pro Android. Intune zablokuje všechna datová připojení k aplikaci nebo z aplikace. Další informace najdete v tématu Okamžité aplikace pro Android v dokumentaci pro vývojáře pro Android. Pokud je možnost Odesílat data organizace do jiných aplikací nakonfigurovaná na Všechny aplikace, textová data se můžou dál přenášet prostřednictvím sdílení operačního systému do schránky. |
Všechny aplikace |
|
Tato možnost je dostupná, když pro předchozí možnost vyberete Aplikace spravované zásadami . | |
|
Pokud chcete v této aplikaci zakázat použití možnosti Uložit jako, zvolte Blokovat . Pokud chcete povolit použití možnosti Uložit jako, zvolte Povolit. Pokud je nastavená možnost Blokovat, můžete nakonfigurovat nastavení Povolit uživateli ukládat kopie do vybraných služeb. Poznámka:
|
Povolit |
|
Uživatelé můžou ukládat do vybraných služeb (OneDrive pro firmy, SharePoint, Knihovna fotografií, Box a Místní úložiště). Všechny ostatní služby se zablokují. | 0 vybráno |
|
Když uživatel vybere v aplikaci telefonní číslo s hypertextovým odkazem, obvykle se otevře aplikace pro vytáčení s předem vyplněným telefonním číslem, které je připravené k volání. Pro toto nastavení zvolte způsob zpracování tohoto typu přenosu obsahu při jeho inicializování z aplikace spravované zásadami:
|
Libovolná aplikace pro vytáčení |
|
Pokud je vybraná konkrétní aplikace vytáčení, musíte zadat ID balíčku aplikace. | Prázdné |
|
Pokud je vybraná konkrétní aplikace vytáčení, musíte zadat název aplikace vytáčení. | Prázdné |
|
Když uživatel vybere v aplikaci telefonní číslo s hypertextovým odkazem, obvykle se otevře aplikace pro vytáčení s předem vyplněným telefonním číslem, které je připravené k volání. Pro toto nastavení zvolte způsob zpracování tohoto typu přenosu obsahu, když je zahájený z aplikace spravované zásadami. Pro toto nastavení zvolte způsob zpracování tohoto typu přenosu obsahu při jeho inicializování z aplikace spravované zásadami:
|
Libovolná aplikace pro zasílání zpráv |
|
Když je vybraná konkrétní aplikace pro zasílání zpráv, musíte zadat ID balíčku aplikace. | Prázdné |
|
Když je vybraná konkrétní aplikace pro zasílání zpráv, musíte zadat název aplikace pro zasílání zpráv. | Prázdné |
| Příjem dat z jiných aplikací | Určete, které aplikace můžou do této aplikace přenášet data:
Existují některé aplikace a služby s výjimkou, ze kterých můžou Intune povolit přenos dat. Úplný seznam aplikací a služeb najdete v tématu Výjimky přenosu dat. |
Všechny aplikace |
|
Vyberte Blokovat a zakažte použití možnosti Otevřít nebo jiné možnosti pro sdílení dat mezi účty v této aplikaci. Pokud chcete povolit použití možnosti Otevřít, vyberte Povolit. Pokud je nastavená možnost Blokovat , můžete nakonfigurovat možnost Povolit uživateli otevírat data z vybraných služeb na konkrétní služby, které jsou povolené pro umístění dat organizace. Poznámka:
|
Povolit |
|
Vyberte služby úložiště aplikací, ze které můžou uživatelé otevírat data. Všechny ostatní služby jsou blokované. Když vyberete možnost Žádné služby, uživatelé nebudou mít možnost otevřít data. Podporované služby:
|
Vše vybrané |
| Omezení vyjmutí, kopírování a vkládání mezi jinými aplikacemi | Určete, kdy je možné s touto aplikací použít akce vyjmutí, kopírování a vložení. Vyberte si z:
|
Libovolná aplikace |
|
Zadejte počet znaků, které mohou být vyjmuty nebo zkopírovány z dat organizace a účtů. To umožní sdílení zadaného počtu znaků, pokud by ho jinak zablokovalo nastavení Omezit vyjmutí, kopírování a vložení s jinými aplikacemi. Výchozí hodnota = 0 Poznámka: Vyžaduje Portál společnosti Intune verze 5.0.4364.0 nebo novější. |
0 |
| Snímek obrazovky a Google Assistant | Výběrem možnosti Blokovat zablokujte snímek obrazovky a zablokujte Google Assistantovi přístup k datům organizace na zařízení při používání této aplikace. Když zvolíte Blokovat , rozostře se obrázek náhledu přepínače aplikací také při použití této aplikace s pracovním nebo školním účtem. Poznámka: Asistent Google může být přístupný uživatelům ve scénářích, které nemají přístup k datům organizace. |
Blokování |
| Schválené klávesnice | Vyberte Vyžadovat a pak zadejte seznam schválených klávesnic pro tuto zásadu. Uživatelům, kteří nepoužívají schválenou klávesnici, se před použitím chráněné aplikace zobrazí výzva ke stažení a instalaci schválené klávesnice. Toto nastavení vyžaduje, aby aplikace měla sadu Intune SDK pro Android verze 6.2.0 nebo novější. |
Nepožaduje se |
|
Tato možnost je dostupná, když u předchozí možnosti vyberete Vyžadovat . Zvolte Vybrat a spravujte seznam klávesnic a metod zadávání znaků, které se dají používat s aplikacemi chráněnými touto zásadou. Do seznamu můžete přidat další klávesnice a odebrat některou z výchozích možností. K uložení nastavení musíte mít aspoň jednu schválenou klávesnici. Postupem času může Microsoft do seznamu nových zásad ochrany aplikací přidávat další klávesnice, které budou vyžadovat, aby správci podle potřeby zkontrolovali a aktualizovali stávající zásady. Pokud chcete přidat klávesnici, zadejte:
Poznámka: Uživatel s více zásadami ochrany aplikací bude moct používat jenom schválené klávesnice společné pro všechny zásady. |
Šifrování
| Nastavení | Jak se používá | Výchozí hodnota |
|---|---|---|
| Šifrování dat organizace | Pokud chcete v této aplikaci povolit šifrování pracovních nebo školních dat, zvolte Vyžadovat . Intune používá k bezpečnému šifrování dat aplikací 256bitové schéma šifrování AES wolfSSL spolu se systémem Android Keystore. Data se při vstupně-výstupních úlohách souborů šifrují synchronně. Obsah v úložišti zařízení je vždy šifrovaný a můžou ho otevřít jenom aplikace, které podporují zásady ochrany aplikací Intune a mají přiřazené zásady. Nové soubory budou šifrovány pomocí 256bitových klíčů. Stávající 128bitové šifrované soubory projdou pokusem o migraci na 256bitové klíče, ale tento proces není zaručen. Soubory šifrované pomocí 128bitových klíčů zůstanou čitelné. Metoda šifrování je ověřena standardem FIPS 140-2; Další informace najdete v článcích wolfCrypt FIPS 140-2 a FIPS 140-3. |
Vyžadují |
|
Pokud chcete vynutit šifrování dat organizace pomocí šifrování Intune vrstvy aplikace na všech zařízeních, vyberte Vyžadovat. Pokud na zaregistrovaných zařízeních nevynucujete šifrování dat organizace pomocí Intune šifrování vrstvy aplikace, vyberte Nepožadováno. | Vyžadují |
Funkce
| Nastavení | Jak se používá | Výchozí hodnota |
|---|---|---|
| Synchronizace dat aplikací spravovaných zásadami s nativními aplikacemi nebo doplňky | Zvolte Blokovat, pokud chcete aplikacím spravovaným podle zásad zabránit v ukládání dat do nativních aplikací zařízení (Kontakty, Kalendář a widgety) a zabránit používání doplňků v aplikacích spravovaných podle zásad. Pokud aplikace nepodporuje, ukládání dat do nativních aplikací a používání doplňků bude povoleno. Pokud zvolíte Povolit, aplikace spravovaná zásadami může ukládat data do nativních aplikací nebo používat doplňky, pokud jsou tyto funkce podporované a povolené v rámci aplikace spravované zásadami. Aplikace můžou poskytovat další ovládací prvky pro přizpůsobení chování synchronizace dat konkrétním nativním aplikacím nebo tento ovládací prvek nedodržovat. Poznámka: Když z aplikace odeberete pracovní nebo školní data selektivním vymazáním, odeberou se data synchronizovaná přímo z aplikace spravované podle zásad do nativní aplikace. Všechna data synchronizovaná z nativní aplikace do jiného externího zdroje se nevymaže. Poznámka: Tuto funkci podporují následující aplikace:
|
Povolit |
| Tisk dat organizace | Pokud chcete aplikaci zabránit v tisku pracovních nebo školních dat, zvolte Blokovat . Pokud toto nastavení necháte na Povolit, což je výchozí hodnota, uživatelé budou moct exportovat a vytisknout všechna data organizace. | Povolit |
| Omezení přenosu webového obsahu s jinými aplikacemi | Určete, jak se webový obsah (odkazy http/https) otevírá z aplikací spravovaných zásadami. Vyberte si z:
Prohlížeče spravované zásadami V Androidu si koncoví uživatelé můžou vybrat z jiných aplikací spravovaných zásadami, které podporují odkazy http/https, pokud není nainstalovaný ani Intune Managed Browser ani Microsoft Edge. Pokud se vyžaduje prohlížeč spravovaný zásadami, ale není nainstalovaný, zobrazí se koncovým uživatelům výzva k instalaci Microsoft Edge. Pokud se vyžaduje prohlížeč spravovaný zásadami, spravují se odkazy na aplikace pro Android nastavením zásad Povolit aplikaci přenos dat do jiných aplikací . Intune registrace zařízení Microsoft Edge spravovaný zásadami |
Nenakonfigurováno |
|
Zadejte ID aplikace pro jeden prohlížeč. Webový obsah (odkazy http/https) z aplikací spravovaných zásadami se otevře v zadaném prohlížeči. Webový obsah nebude v cílovém prohlížeči spravovaný. | Prázdné |
|
Zadejte název aplikace pro prohlížeč přidružený k NEspravovanému ID prohlížeče. Pokud zadaný prohlížeč není nainstalovaný, zobrazí se uživatelům tento název. | Prázdné |
| Oznámení o datech organizace | Určete, kolik dat organizace se bude sdílet prostřednictvím oznámení operačního systému pro účty organizace. Toto nastavení zásad bude mít vliv na místní zařízení a všechna připojená zařízení, jako jsou nositelná zařízení a inteligentní reproduktory. Aplikace můžou poskytovat další ovládací prvky pro přizpůsobení chování oznámení nebo se můžou rozhodnout, že nebudou respektovat všechny hodnoty. Vyberte z:
Poznámka: Toto nastavení vyžaduje podporu aplikací: |
Povolit |
Výjimky pro přenos dat
Existují některé aplikace a služby platformy s výjimkou, které Intune zásady ochrany aplikací umožňují přenos dat do a ze systému. Například všechny aplikace spravované Intune v Androidu musí být schopné přenášet data do a z google převodu textu na řeč, aby bylo možné nahlas číst text z obrazovky mobilního zařízení. Tento seznam se může změnit a odráží služby a aplikace považované za užitečné pro zajištění produktivity.
Úplné výjimky
Tyto aplikace a služby jsou plně povolené pro přenos dat do a z aplikací spravovaných Intune.
| Název aplikace nebo služby | Popis |
|---|---|
| com.android.phone | Nativní aplikace pro telefon |
| com.android.vending | Obchod Google Play |
| com.google.android.webview | WebView, který je nezbytný pro mnoho aplikací včetně Outlooku. |
| com.android.webview | Webové zobrazení, které je nezbytné pro mnoho aplikací včetně Outlooku. |
| com.google.android.tts | Převod textu na řeč Google |
| com.android.providers.settings | Nastavení systému Android |
| com.android.settings | Nastavení systému Android |
| com.azure.authenticator | Aplikace Azure Authenticator, která se vyžaduje pro úspěšné ověřování v mnoha scénářích. |
| com.microsoft.windowsintune.companyportal | Portál společnosti Intune |
Podmíněné výjimky
Tyto aplikace a služby jsou za určitých podmínek povolené jenom pro přenos dat do a z Intune spravovaných aplikací.
| Název aplikace nebo služby | Popis | Podmínka výjimky |
|---|---|---|
| com.android.chrome | Prohlížeč Google Chrome | Chrome se používá pro některé komponenty WebView v Androidu 7.0 nebo novější a nikdy není skrytý. Tok dat do a z aplikace je ale vždy omezený. |
| com.skype.raider | Skype | Aplikace Skype je povolená jenom pro určité akce, jejichž výsledkem je telefonní hovor. |
| com.android.providers.media | Poskytovatel mediálního obsahu pro Android | Poskytovatel multimediálního obsahu je povolený pouze pro akci výběru vyzváněcího tónu. |
| com.google.android.gms; com.google.android.gsf | Balíčky služeb Google Play | Tyto balíčky jsou povolené pro akce služby Google Cloud Messaging, jako jsou nabízená oznámení. |
| com.google.android.apps.maps | Mapy Google | Adresy jsou povolené pro navigaci. |
| com.android.documentsui | Výběr dokumentů v Androidu | Povoleno při otevírání nebo vytváření souboru. |
| com.google.android.documentsui | Výběr dokumentů v Androidu (Android 10+) | Povoleno při otevírání nebo vytváření souboru. |
Další informace najdete v tématu Výjimky zásad přenosu dat pro aplikace.
Požadavky na přístup
| Nastavení | Jak se používá |
|---|---|
| PIN kód pro přístup | Vyberte Vyžadovat , pokud chcete k použití této aplikace vyžadovat PIN kód. Uživateli se při prvním spuštění aplikace v pracovním nebo školním kontextu zobrazí výzva k nastavení tohoto PIN kódu. Výchozí hodnota = Vyžadovat Sílu PIN kódu můžete nakonfigurovat pomocí nastavení dostupných v části PIN pro přístup. Poznámka: Koncoví uživatelé, kteří mají povolený přístup k aplikaci, můžou pin kód aplikace resetovat. Toto nastavení nemusí být v některých případech viditelné na zařízeních s Androidem. Zařízení s Androidem mají omezení maximálně čtyř dostupných klávesových zkratek. Po dosažení maximálního limitu musí koncový uživatel odebrat všechny přizpůsobené zástupce (nebo přejít na zástupce z jiného zobrazení spravované aplikace), aby si zobrazil zástupce pro resetování PIN kódu APLIKACE. Případně si koncový uživatel může zástupce připnout na svoji domovskou stránku. |
Typ PIN kódu |
Před přístupem k aplikaci, která používá zásady ochrany aplikací, nastavte požadavek na číselné pin kódy nebo kódy typu hesla. Číselné požadavky zahrnují pouze čísla, zatímco heslo může být definováno alespoň 1 abecedním písmenem nebo alespoň 1 speciálním znakem. Výchozí hodnota = Číselná Poznámka: Povolené speciální znaky zahrnují speciální znaky a symboly na klávesnici androidu v anglickém jazyce. |
|
Vyberte Povolit , pokud chcete uživatelům povolit používání jednoduchých sekvencí PIN, jako jsou 1234, 1111, abcd nebo aaaa. Vyberte Bloky , abyste jim zabránili v používání jednoduchých sekvencí. Jednoduché sekvence se kontrolují v 3znacích posuvných oknech. Pokud je nakonfigurované blokování , 1235 nebo 1112 se jako PIN kód nastavený koncovým uživatelem nepřijmou, ale 1122 bude povolený. Výchozí hodnota = Povolit Poznámka: Pokud je pin kód typu hesla nakonfigurovaný a jednoduchý PIN kód je nastavený na Povolit, uživatel potřebuje ve svém PIN kódu aspoň jedno písmeno nebo aspoň jeden speciální znak. Pokud je pin kód typu hesla nakonfigurovaný a Jednoduchý PIN kód je nastavený na Blokovat, potřebuje uživatel ve svém PIN kódu aspoň jedno číslo a jedno písmeno a alespoň jeden speciální znak. |
|
Zadejte minimální počet číslic v sekvenci KÓDU PIN. Výchozí hodnota = 4 |
|
Výběrem možnosti Povolit povolíte uživateli používat biometriku k ověřování uživatelů na zařízeních s Androidem. Pokud je to povolené, pro přístup k aplikaci na zařízeních s Androidem 10 nebo novějším se používá biometrika. |
|
Pokud chcete toto nastavení použít, vyberte Vyžadovat a pak nakonfigurujte časový limit nečinnosti. Výchozí hodnota = Vyžadovat |
|
Zadejte čas v minutách, po jehož uplynutí bude použití biometrického kódu přepsáno přístupovým kódem nebo číselným (podle konfigurace) PIN kódu. Tato hodnota časového limitu by měla být větší než hodnota zadaná v části Znovu zkontrolovat požadavky na přístup po (minuty nečinnosti). Výchozí hodnota = 30 |
|
Vyberte Vyžadovat , pokud chcete, aby se uživatel přihlásil pomocí biometriky třídy 3. Další informace o biometrice třídy 3 najdete v dokumentaci společnosti Google v části Biometrika . |
|
Pokud chcete po zjištění změny biometriky přepsat použití biometriky pomocí PIN kódu, vyberte Vyžadovat . POZNÁMKA: |
|
Pokud chcete, aby si uživatelé po nastaveném časovém období (ve dnech) změnili PIN kód aplikace, vyberte Ano . Když nastavíte ano, nakonfigurujete počet dní, po které se bude pin resetování vyžadovat. Výchozí hodnota = Ne |
|
Nakonfigurujte počet dní, po které bude nutné resetovat PIN kód. Výchozí hodnota = 90 |
|
Toto nastavení určuje počet předchozích PIN kódů, které Intune budou udržovat. Všechny nové PIN kódy se musí lišit od těch, které Intune udržuje. Výchozí hodnota = 0 |
|
Když se na zaregistrovaných zařízeních s nakonfigurovaným Portál společnosti zjistí zámek zařízení, vyberte Nepožadováno. Výchozí hodnota = Vyžadovat. |
| Přihlašovací údaje k pracovnímu nebo školnímu účtu pro přístup | Pokud chcete, aby se uživatel místo zadávání KÓDU PIN pro přístup k aplikaci přihlásil pomocí svého pracovního nebo školního účtu, zvolte Vyžadovat . Pokud je nastavená možnost Vyžadovat a jsou zapnuté výzvy k zadání KÓDU PIN nebo biometrických údajů, zobrazí se jak podnikové přihlašovací údaje, tak výzvy k zadání PIN kódu nebo biometrických údajů. Výchozí hodnota = Nepožaduje se |
| Znovu zkontrolovat požadavky na přístup po (minuty nečinnosti) | Nakonfigurujte následující nastavení:
|
Poznámka
Další informace o tom, jak na Androidu funguje více Intune nastavení ochrany aplikací nakonfigurovaných v části Access pro stejnou sadu aplikací a uživatelů, najdete v tématech Intune nejčastější dotazy k MAM a Selektivní vymazání dat pomocí akcí přístupu zásad ochrany aplikací v Intune.
Podmíněné spuštění
Nakonfigurujte nastavení podmíněného spouštění a nastavte požadavky na zabezpečení přihlašování pro zásady ochrany aplikací.
Ve výchozím nastavení je k dispozici několik nastavení s předem nakonfigurovanými hodnotami a akcemi. Některá nastavení, jako je minimální verze operačního systému, můžete odstranit. Další nastavení můžete také vybrat z rozevíracího seznamu Vybrat jedno .
Podmínky aplikace
| Nastavení | Jak se používá |
|---|---|
| Maximální počet pokusů o PIN kód | Zadejte počet pokusů, které uživatel musí úspěšně zadat, než se provede nakonfigurovaná akce. Pokud se uživateli nepodaří úspěšně zadat svůj PIN kód po maximálním počtu pokusů o PIN kód, musí ho po úspěšném přihlášení ke svému účtu a provedení výzvy multi-Factor Authentication (MFA) v případě potřeby resetovat. Tento formát nastavení zásad podporuje kladné celé číslo. Mezi akce patří:
|
| Období odkladu offline | Počet minut, po které můžou spravované aplikace běžet offline. Zadejte čas (v minutách) před opětovnou kontrolou požadavků na přístup k aplikaci. Mezi akce patří:
|
| Minimální verze aplikace | Zadejte hodnotu minimální verze aplikace. Mezi akce patří:
Tato položka se může zobrazit vícekrát, přičemž každá instance podporuje jinou akci. Tento formát nastavení zásad podporuje buď major.minor, major.minor.build, major.minor.build.revision. Kromě toho můžete nakonfigurovat, kde můžou koncoví uživatelé získat aktualizovanou verzi obchodní aplikace. Koncoví uživatelé to uvidí v dialogovém okně podmíněného spuštění minimální verze aplikace , které vyzve koncové uživatele k aktualizaci na minimální verzi obchodní aplikace. Na Androidu tato funkce používá Portál společnosti. Aby bylo možné nakonfigurovat, kde má koncový uživatel obchodní aplikaci aktualizovat, potřebuje aplikace zásady konfigurace spravované aplikace , které jí budou odeslány s klíčem com.microsoft.intune.myappstore. Odeslaná hodnota definuje, ze kterého úložiště si koncový uživatel aplikaci stáhne. Pokud je aplikace nasazená prostřednictvím Portál společnosti, hodnota musí být CompanyPortal. V jakémkoli jiném obchodě musíte zadat úplnou adresu URL. |
| Zakázaný účet | Pro toto nastavení není k dispozici žádná hodnota, kterou by bylo potřeba nastavit. Mezi akce patří:
|
Podmínky zařízení
| Nastavení | Jak se používá |
|---|---|
| Zařízení s jailbreakem nebo rootem | Určete, jestli chcete blokovat přístup k zařízení nebo vymazat data zařízení s jailbreakem nebo rootem. Mezi akce patří:
|
| Minimální verze operačního systému | Zadejte minimální operační systém Android, který se vyžaduje pro použití této aplikace. Tyto akce aktivují verze operačního systému pod zadanou minimální verzí operačního systému. Mezi akce patří:
|
| Maximální verze operačního systému | Zadejte maximální počet operačních systémů Android, který je nutný k použití této aplikace. Tyto akce aktivují verze operačního systému pod zadanou maximální verzí operačního systému. Mezi akce patří:
|
| Minimální verze opravy | Vyžadovat zařízení mají minimální opravu zabezpečení Androidu, kterou vydala společnost Google.
|
| Výrobci zařízení | Zadejte seznam výrobců oddělených středníkem. V těchto hodnotách se nerozlišují malá a velká písmena. Mezi akce patří:
|
| Přehrát verdikt integrity | zásady Ochrana aplikací podporují některá rozhraní API pro integritu Google Play. Toto nastavení konfiguruje zejména kontrolu integrity služby Google Play na zařízeních koncových uživatelů za účelem ověření integrity těchto zařízení. Zadejte buď základní integritu , nebo základní integritu a integritu zařízení. Základní integrita informuje o obecné integritě zařízení. Rootovaná zařízení, emulátory, virtuální zařízení a zařízení se známkami manipulace selhávají v základní integritě. Základní integrita & certifikovaných zařízeních vás informuje o kompatibilitě zařízení se službami Společnosti Google. Touto kontrolou můžou projít jenom neupravená zařízení certifikovaná společností Google. Pokud pro podmíněné spuštění vyberete Možnost Přehrát verdikt integrity , můžete jako typ vyhodnocení určit, že se použije silná kontrola integrity. Přítomnost silné kontroly integrity jako typu vyhodnocení značí větší integritu zařízení. Zařízení, která nepodporují silné kontroly integrity, budou blokována zásadami MAM, pokud jsou cílem tohoto nastavení. Silná kontrola integrity poskytuje robustnější detekci kořenového adresáře v reakci na novější typy nástrojů a metod rootingu, které nemůže vždy spolehlivě detekovat softwarové řešení. V aplikaci APP se ověření hardwaru povolí nastavením typu vyhodnocení verdiktu integrity play na Po nakonfigurování verdiktu integrity play na Zkontrolovat silnou integritu a po nakonfigurování kontroly integrity zařízení požadovaný typ vyhodnocení SafetyNet na silnou kontrolu integrity. Ověření identity založené na hardwaru využívá hardwarovou součást dodávaná se zařízeními nainstalovanými s Androidem 8.1 a novějším. Zařízení, která byla upgradována ze starší verze Androidu na Android 8.1, pravděpodobně nebudou mít hardwarové komponenty potřebné pro ověření identity pomocí hardwaru. I když by toto nastavení mělo být široce podporováno od zařízení, která se dodávají s Androidem 8.1, Microsoft důrazně doporučuje, aby se zařízení testovala jednotlivě, než toto nastavení zásad povolíte obecně. Důležité: Zařízení, která tento typ vyhodnocení nepodporují, budou zablokována nebo vymazána na základě akce kontroly integrity zařízení. Organizace, které chtějí tuto funkci používat, budou muset zajistit, aby uživatelé měli podporovaná zařízení. Další informace o doporučených zařízeních společnosti Google najdete v tématu Doporučené požadavky pro Android Enterprise. Mezi akce patří:
|
| Vyžadovat kontrolu hrozeb u aplikací | zásady Ochrana aplikací podporují některá rozhraní API služby Google Play Protect. Toto nastavení zejména zajišťuje, že pro zařízení koncových uživatelů je zapnutá kontrola Google Verify Apps. Pokud je tato konfigurace nakonfigurovaná, bude koncovému uživateli zablokovaný přístup, dokud na svém zařízení s Androidem nezapne vyhledávání aplikací googlem. Mezi akce patří:
|
| Požadovaný typ vyhodnocení SafetyNet | Ověření identity zajištěné hardwarem vylepšuje stávající kontrolu služby safetynet pro ověření identity. Po nastavení ověření identity zařízení SafteyNet můžete tuto hodnotu nastavit na Klíč založený na hardwaru. |
| Vyžadovat zámek zařízení | Toto nastavení určuje, jestli má zařízení s Androidem PIN kód zařízení, který splňuje minimální požadavek na heslo. Zásady Ochrana aplikací můžou provést akci, pokud zámek zařízení nesplňuje minimální požadavek na heslo. Mezi hodnoty patří:
Tato hodnota složitosti je určená pro Android 12 nebo novější. U zařízení s Androidem 11 a starším se nastavení hodnoty složitosti na nízkou, střední nebo vysokou nastaví jako výchozí očekávané chování pro nízkou složitost. Další informace najdete v dokumentaci Googlu pro vývojáře getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM a PASSWORD_COMPLEXITY_HIGH. Mezi akce patří:
|
| Minimální Portál společnosti verze | Pomocí minimální Portál společnosti verze můžete určit konkrétní minimální definovanou verzi Portál společnosti, která se vynucuje na zařízení koncového uživatele. Toto nastavení podmíněného spuštění umožňuje nastavit hodnoty na Blokovat přístup, Vymazat data a Upozornit jako možné akce, když nejsou splněné jednotlivé hodnoty. Možné formáty pro tuto hodnotu se řídí vzorem [Hlavní].[ Minor], [Major].[ Vedlejší]. [Build] nebo [Hlavní].[ Vedlejší]. [Sestavení]. [Revize]. Vzhledem k tomu, že někteří koncoví uživatelé nemusí upřednostňovat vynucenou aktualizaci aplikací na místě, může být při konfiguraci tohoto nastavení ideální možnost "upozornit". Obchod Google Play odvádí dobrou práci, protože odesílá pouze rozdílové bajty pro aktualizace aplikací, ale stále se může jednat o velké množství dat, které uživatel nemusí chtít využít, pokud jsou na datech v době aktualizace. Vynucení aktualizace a stažení aktualizované aplikace může v době aktualizace vést k neočekávaným poplatkům za data. Další informace najdete v tématu Nastavení zásad pro Android. |
| Maximální stáří verze Portál společnosti (dny) | Maximální počet dnů můžete nastavit jako stáří verze Portál společnosti (CP) pro zařízení s Androidem. Toto nastavení zajišťuje, že koncoví uživatelé budou v určitém rozsahu vydaných verzí cp (ve dnech). Hodnota musí být mezi 0 a 365 dny. Pokud nastavení zařízení není splněné, aktivuje se akce pro toto nastavení. Mezi akce patří Blokování přístupu, Vymazání dat nebo Upozornění. Související informace najdete v tématu Nastavení zásad pro Android. Poznámka: Stáří Portál společnosti buildu určuje Google Play na zařízení koncového uživatele. |
| Ověření identity zařízení Samsung Knox | Určete, jestli se vyžaduje kontrola ověření identity zařízení Samsung Knox. Touto kontrolou můžou projít pouze neupravená zařízení ověřená společností Samsung. Seznam podporovaných zařízení najdete v tématu samsungknox.com. Při použití tohoto nastavení Microsoft Intune také ověří, že komunikace z Portál společnosti do služby Intune byla odeslána ze zařízení, které je v pořádku. Mezi akce patří:
Poznámka: Uživatel musí před provedením kontroly ověření identity zařízení přijmout podmínky samsung knox. Pokud uživatel nepřijme podmínky Samsung Knox, provede se zadaná akce. Poznámka: Toto nastavení bude platit pro všechna cílová zařízení. Pokud chcete toto nastavení použít jenom u zařízení Samsung, můžete použít filtry přiřazení Spravované aplikace. Další informace o filtrech přiřazení najdete v tématu Použití filtrů při přiřazování aplikací, zásad a profilů v Microsoft Intune. |
| Maximální povolená úroveň hrozby zařízení | Ochrana aplikací zásady můžou využívat konektor Intune-MTD. Zadejte maximální úroveň hrozby přijatelnou pro použití této aplikace. Hrozby jsou určeny vámi zvolenou aplikací od dodavatele ochrany před mobilními hrozbami (MTD) na zařízení koncového uživatele. Zadejte zabezpečenou, nízkou, střední nebo vysokou. Zabezpečené nevyžaduje na zařízení žádné hrozby a představuje nejvíce omezující konfigurovatelnou hodnotu, zatímco vysoká v podstatě vyžaduje aktivní připojení Intune k MTD. Mezi akce patří:
|
| Primární služba MTD | Pokud jste nakonfigurovali více konektorů Intune-MTD, zadejte primární aplikaci dodavatele MTD, která se má používat na zařízení koncového uživatele. Mezi hodnoty patří:
Abyste mohli toto nastavení používat, musíte nakonfigurovat nastavení Maximální úroveň ohrožení zařízení. Pro toto nastavení neexistují žádné akce . |
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro