Nastavení zásad ochrany mobilních aplikací pro iOSiOS mobile app protection policy settings

Platí pro: Intune v klasické konzoleApplies to: Intune in the classic console
Hledáte dokumentaci k Intune v Azure?Looking for documentation about Intune on Azure? Přejděte sem.Go here.

Nastavení zásad popsané v tomto tématu se dá nakonfigurovat pro zásady ochrany aplikací v okně Všechna nastavení na portálu Azure Portal.The policy settings described in this topic can be configured for an app protection policy on the All Settings blade in the Azure portal.

Existují dvě kategorie nastavení zásad:nastavení přemístění dat a nastavení přístupu.There are two categories of policy settings: data relocation settings and access settings. Termín aplikace spravované podle zásad v tomto tématu označuje aplikace, které jsou konfigurované pomocí zásad ochrany aplikací.In this topic, the term policy-managed apps refers to apps that are configured with app protection policies.

Nastavení přemístění datData relocation settings

NastaveníSetting Způsob použitíHow to use Výchozí hodnotaDefault value
Zakázat zálohování dat v iTunes a na iClouduPrevent iTunes and iCloud backups Zvolte Ano, pokud chcete této aplikaci zabránit v zálohování pracovních nebo školních dat na iTunes a iCloud.Choose Yes to prevent this app from backing up work or school data to iTunes and iCloud. Zvolte Ne, pokud chcete této aplikaci povolit zálohování pracovních nebo školních dat na iTunes a iCloud.Choose No to allow this app to back up of work or school data to iTunes and iCloud. AnoYes
Povolit aplikaci přenos dat do ostatních aplikacíAllow app to transfer data to other apps Určete, jaké aplikace můžou přijímat data z této aplikace:Specify what apps can receive data from this app:
  • Aplikace spravované podle zásad: Povoluje přenos jenom do jiných aplikací spravovaných podle zásad.Policy managed apps: Allow transfer only to other policy-managed apps.
  • Všechny aplikace: Povoluje přenos do všech aplikací.All apps: Allow transfer to any app.
  • Žádné: Nepovoluje přenos dat do žádné aplikace, včetně ostatních aplikací spravovaných podle zásad.None: Do not allow data transfer to any app, including other policy-managed apps.
Pokud nastavíte tuto možnost na hodnotu Aplikace spravované podle zásad nebo Žádné, bude blokovaná funkce iOS 9, která umožňuje vyhledávání Spotlight dat v rámci aplikací.Additionally, if you set this option to Policy managed apps or None, the iOS 9 feature that allows Spotlight Search to search data within apps will be blocked.

Do některých aplikací a služeb, které mají výjimku, může Intune povolit přenos dat.There are some exempts apps and services to which Intune may allow data transfer. Úplný seznam takových aplikací a služeb najdete v části Výjimky přenosu dat.See Data transfer exemptions for a full list of apps and services.
Všechny aplikaceAll apps
Povolit aplikaci, aby přijímala data z jiných aplikacíAllow app to receive data from other apps Určete, jaké aplikace můžou převádět data do této aplikace:Specify what apps can transfer data to this app:
  • Aplikace spravované podle zásad: Povoluje přenos jenom z jiných aplikací spravovaných podle zásad.Policy managed apps: Allow transfer only from other policy-managed apps.
  • Všechny aplikace: Povoluje přenos dat ze všech aplikací.All apps: Allow data transfer from any app.
  • Žádné: Nepovoluje přenos dat z žádné aplikace, včetně ostatních aplikací spravovaných podle zásad.None: Do not allow data transfer from any app, including other policy-managed apps.
Z některých aplikací a služeb, které mají výjimku, může Intune povolit přenos dat.There are some exempts apps and services from which Intune may allow data transfer. Úplný seznam takových aplikací a služeb najdete v části Výjimky přenosu dat.See Data transfer exemptions for a full list of apps and services.
Všechny aplikaceAll apps
Zakázat možnost Uložit jakoPrevent "Save As" Pokud chcete v této aplikaci zakázat možnost Uložit jako, zvolte Ano.Choose Yes to disable the use of the Save As option in this app. Pokud chcete povolit použití možnosti Uložit jako, vyberte Ne.Choose No if you want to allow the use of Save As. NeNo
Omezit vyjmutí, kopírování a vkládání v ostatních aplikacíchRestrict cut, copy and paste with other apps Určete, kdy se můžou v této aplikaci použít akce vyjmutí, kopírování a vložení.Specify when cut, copy, and paste actions can be used with this app. Vybírejte z těchto možností:Choose from:
  • Blokováno: Nepovoluje akce vyjmutí, kopírování a vložení mezi touto a jakoukoliv jinou aplikací.Blocked: Do not allow cut, copy, and paste actions between this app and any other app.
  • Aplikace spravované podle zásad: Povoluje operace vyjmutí, kopírování a vložení mezi touto aplikací a jinými aplikacemi spravovanými podle zásad.Policy managed apps: Allow cut, copy, and paste actions between this app and other policy-managed apps.
  • Aplikace s vložením spravované podle zásad: Povoluje vyjmutí a kopírování mezi touto aplikací a jinými aplikacemi spravovanými podle zásad.Policy managed with paste in: Allow cut or copy between this app and other policy-managed apps. Povoluje vložení dat z jakékoliv aplikace do této aplikace.Allow data from any app to be pasted into this app.
  • Libovolná aplikace: Operace vyjmutí, kopírování a vložení do a z této aplikace nejsou nijak omezené.Any app: No restrictions for cut, copy, and paste to and from this app.
Libovolná aplikaceAny app
Omezit webový obsah tak, aby se spouštěl v Managed BrowseruRestrict web content to display in the Managed Browser Pokud chcete vynutit, aby se webové odkazy v aplikaci otevíraly v aplikaci Managed Browser, zvolte Ano.Choose Yes to enforce web links in the app to be opened in the Managed Browser app.

U zařízení, která nejsou zaregistrovaná v Intune, se webové odkazy v aplikacích spravovaných podle zásad můžou otevírat jenom v aplikaci Managed Browser.For devices not enrolled in Intune, the web links in policy-managed apps can open only in the Managed Browser app.

Pokud ke správě zařízení používáte Intune, přečtěte si téma Správa přístupu k internetu pomocí zásad spravovaného prohlížeče v Microsoft Intune.If you are using Intune to manage your devices, see Manage Internet access using managed browser policies with Microsoft Intune.
NeNo
Šifrovat data aplikaceEncrypt app data U aplikací spravovaných podle zásad se data šifrují v klidu pomocí schématu šifrování na úrovni zařízení poskytovaného iOSem.For policy-managed apps, data is encrypted at rest using the device-level encryption scheme provided by iOS. Když se vyžaduje PIN, data se zašifrují podle nastavení v zásadách ochrany aplikací.When a PIN is required, the data is encrypted according to the settings in the app protection policy.

Přejděte na oficiální dokumentaci společnosti Apple tady a podívejte se, které šifrovací moduly iOS jsou certifikované jako FIPS 140-2 nebo které na tuto certifikaci čekají.Go to the official Apple documentation here to see which iOS encryption modules are FIPS 140-2 certified or pending FIPS 140-2 certification.

Určete, kdy se budou šifrovat pracovní nebo školní data v této aplikaci.Specify when work or school data in this app is encrypted. Vybírejte z těchto možností:Choose from:
  • Když je zařízení blokované: Všechna data aplikace přidružená k této zásadě jsou při uzamčení zařízení zašifrovaná.When device is locked: All app data that is associated with this policy is encrypted while the device is locked.
  • Když je zařízení uzamčené a existují otevřené soubory: Všechna data aplikace přidružená k této zásadě jsou při uzamčení zařízení zašifrovaná, kromě dat v souborech, které jsou v aplikaci aktuálně otevřené.When device is locked and there are open files: All app data associated with this policy is encrypted while the device is locked, except for data in the files that are currently open in the app.
  • Po restartování zařízení: Všechna data aplikace přidružená k této zásadě jsou při restartování zařízení zašifrovaná až do doby, než se zařízení poprvé odemkne.After device restart:All app data associated with this policy is encrypted when the device is restarted, until the device is unlocked for the first time.
  • Použít nastavení zařízení: Data aplikace se zašifrují podle výchozího nastavení v zařízení.Use device settings: App data is encrypted based on the default settings on the device.
Pokud povolíte toto nastavení, je možné, že si uživatel bude muset nastavit kód PIN a používat ho pro přístup k zařízení.When you enable this setting, the user may be required to set up and use a PIN to access their device. Pokud není PIN zařízení nastavený a vyžaduje se šifrování, aplikace se neotevře a uživateli se místo toho zobrazí zpráva, že jeho organizace vyžaduje, aby pro přístup k této aplikaci nejdřív povolil PIN zařízení.If there is no device PIN and encryption is required, the apps will not open and the user will be prompted to set a PIN with the message “Your organization has required you to first enable a device PIN to access this app.”
Když je zařízení blokovanéWhen device is locked
Zakázat synchronizaci kontaktůDisable contact sync Pokud nechcete, aby aplikace ukládala data do nativní aplikace Kontakty na zařízení, zvolte Ano.Choose Yes to prevent the app from saving data to the native Contacts app on the device. Když zvolíte Ne, může aplikace ukládat data do nativní aplikace Kontakty na zařízení.If you choose No, the app can save data to the native Contacts app on the device.

Když budete z aplikace selektivně mazat pracovní nebo školní data, odeberou se kontakty synchronizované přímo z aplikace do nativní aplikace Kontakty.When you perform a selective wipe to remove work or school data from the app, contacts synced directly from the app to the native Contacts app are removed. Kontakty synchronizované z nativního adresáře do dalšího externího zdroje není možné vymazat.Any contacts synced from the native address book to another external source cannot be wiped. To se v současné době týká jenom aplikace Microsoft Outlook.Currently this applies only to the Microsoft Outlook app.
NeNo
Zakázat tiskDisable printing Pokud chcete v aplikaci zakázat tisk pracovních nebo školních dat, zvolte Ano.Choose Yes to prevent the app from printing work or school data. NeNo
Vyberte, do kterých služeb úložiště se můžou ukládat firemní dataSelect which storage services corporate data can be saved to Uživatelé můžou ukládat data do vybraných služeb (OneDrive pro firmy, SharePoint a Místní úložiště).Users are able to save to the selected services (OneDrive for Busines, SharePoint and Local Storage). Všechny ostatní služby budou blokované.All other services will be blocked. Vybráno: 00 Selected
Poznámka

Žádné z nastavení přemístění dat na zařízeních s iOSem neřídí funkci otevírání v aplikaci spravované Applem.None of the data relocation settings controls the Apple managed open-in feature on iOS devices. Pokud chcete spravovat funkci Otevřít v od Applu, přečtěte si Správa přenosu dat mezi aplikacemi pro iOS pomocí Microsoft Intune.To use manage Apple open-in, see Manage data transfer between iOS apps with Microsoft Intune.

Výjimky přenosu datData transfer exemptions

U některých aplikací a služeb platformy, které mají výjimku, můžou zásady ochrany aplikací Intune v některých scénářích povolit přenos dat.There are some exempt apps and platform services that Intune app protection policy may allow data transfer to and from in certain scenarios. Tento seznam se může měnit. Obsahuje služby a aplikace, které se považují za užitečné pro bezpečné a produktivní použití.This list is subject to change and reflects the services and apps considered useful for secure productivity.

Název aplikace nebo službyApp/service name(s) PopisDescription
tel; telprompttel; telprompt Nativní telefonní aplikaceNative phone app
skypeskype SkypeSkype
app-settingsapp-settings Nastavení zařízeníDevice settings
itms; itmss; itms-apps; itms-appss; itms-servicesitms; itmss; itms-apps; itms-appss; itms-services App StoreApp Store
calshowcalshow Nativní kalendářNative Calendar

Nastavení přístupuAccess settings

NastaveníSetting Způsob použitíHow to use Výchozí hodnotaDefault value
Vyžadovat pro přístup kód PINRequire PIN for access Zvolte Ano, aby se k použití této aplikace vyžadoval kód PIN.Choose Yes to require a PIN to use this app. Uživateli se zobrazí výzva k nastavení tohoto kódu PIN při prvním spuštění aplikace v pracovním nebo školním kontextu.The user is prompted to set up this PIN the first time they run the app in a work or school context. Výchozí hodnota = AnoDefault value = Yes.

Sílu kódu PIN nakonfigurujete pomocí následujících nastavení:Configure the following settings for PIN strength:
  • Počet pokusů před resetem PIN kódu: Zadejte počet pokusů, které uživatel bude mít k úspěšnému zadání PINu, než bude nutné PIN resetovat.Number of attempts before PIN reset: Specify the number of tries the user has to successfully enter their PIN before they must reset it. Výchozí hodnota = 5Default value = 5.
  • Povolit jednoduchý kód PIN: Pokud chcete uživatelům povolit používání jednoduchých posloupností v kódu PIN, třeba 1234 nebo 1111, zvolte Ano.Allow simple PIN: Choose Yes to allow users to use simple PIN sequences like 1234 or 1111. V případě, že nechcete, aby jednoduché posloupnosti používali, zvolte Ne.Choose No to prevent them from using simple sequences. Výchozí hodnota = AnoDefault value = Yes.
  • Délka kódu PIN: Zadejte minimální počet číslic v PINu.PIN length: Specify the minimum number of digits in a PIN sequence. Výchozí hodnota = 4Default value = 4.
  • Povolit otisk prstu místo PIN kódu (iOS 8.0+): Zvolte Ano, pokud chcete uživateli ke zpřístupnění aplikace povolit použití Touch ID místo PINu.Allow fingerprint instead of PIN (iOS 8.0+): Choose Yes to allow the user to use Touch ID instead of a PIN for app access. Výchozí hodnota = AnoDefault value = Yes
Na zařízeních s iOSem můžete nechat uživatele prokazovat svoji identitu pomocí Touch ID namísto PINu.On iOS devices, you can let the user prove their identity by using Touch ID instead of a PIN. Když se uživatel pokusí použít tuto aplikaci se svým pracovním nebo školním účtem, zobrazí se výzva k zadání otisku prstu a uživatel nemusí zadávat kód PIN.When the user tries use this app with their work or school account, they are prompted to provide their fingerprint identity instead of entering a PIN. Když je toto nastavení povolené, bude při používání pracovního nebo školního účtu obrázek náhledu v přepínači aplikací rozostřený.When this setting is enabled, the App-switcher preview image will be blurred while using a work or school account.
Požadovat kód PIN: AnoRequire PIN: Yes

Počet pokusů před resetováním kódu PIN: 5PIN reset attempts: 5

Povolit jednoduchý PIN: AnoAllow simple PIN: Yes

Délka PINu: 4PIN length: 4

Povolit otisk prstu: AnoAllow fingerprint: Yes
Vyžadovat podnikové přihlašovací údaje pro přístupRequire corporate credentials for access Pokud chcete, aby se uživatel k získání přístupu k aplikaci přihlašoval pomocí svého pracovního nebo školního účtu namísto zadávání kódu PIN, zvolte Ano.Choose Yes to require the user to sign in with their work or school account instead of entering a PIN for app access. Pokud nastavíte Ano, přepíše se tím požadavek na PIN nebo Touch ID.If you set this to Yes, this overrides the requirements for PIN or Touch ID. NeNo
Blokovat spuštění spravovaných aplikací na zařízeních s jailbreakem nebo rootemBlock managed apps from running on jailbroken or rooted devices Pokud chcete zabránit spuštění této aplikace v zařízeních s jailbreakem nebo rootem, zvolte Ano.Choose Yes to prevent this app from running on jailbroken or rooted devices. Uživatel bude moct dál používat tuto aplikaci pro své osobní účely, ale k práci s pracovními nebo školními daty v této aplikaci bude muset používat jiné zařízení.The user will continue to be able to use this app for personal tasks, but will have to use a different device to access work or school data in this app. AnoYes
Znovu zkontrolovat požadavky na přístup po (minuty)Recheck the access requirements after (minutes) Proveďte konfiguraci následujících nastavení:Configure the following settings:
  • Časový limit: Toto je počet minut před opakovaným zkontrolováním požadavků na přístup k aplikaci (definovaným dříve v zásadách).Timeout: This is the number of minutes before the access requirements (defined earlier in the policy) are rechecked. Správce například v zásadách zapne kód PIN, uživatel otevře aplikaci MAM a musí zadat PIN.For example, an admin turns on PIN in the policy, a user opens a MAM app, and must enter a pin. Při použití tohoto nastavení nemusí uživatel u žádné aplikace MAM zadávat PIN dalších 30 minut (výchozí hodnota).When using this setting, the user would not have to enter a PIN on any MAM app for another 30 minutes (default value)..

    K měření časového limitu požadavků na přístup se používá doba nečinnosti všech aplikací spravovaných podle těchto zásad.Timeout for access requirements is measured in terms of the time of inactivity between any policy-managed application.

  • Období odkladu pro offline režim: Toto je počet minut, po které může aplikace MAM běžet offline. Zadejte dobu (v minutách) před opakovaným zkontrolováním požadavků na přístup k aplikaci.Offline grace period: This is the number of minutes that MAM apps can run offline, specify the time (in minutes) before the access requirements for the app are rechecked. Výchozí hodnota = 720 minut (12 hodin)Default value = 720 minutes (12 hours). Aby mohla aplikace po uplynutí této doby dál běžet, bude vyžadovat ověření uživatele ve službě AAD.After this period is expired, the app will require user authentication to AAD, so the app can continue to run.
Časový limit: 30Timeout: 30

Offline: 720Offline: 720
Doba v offline režimu (ve dnech) před vymazáním datOffline interval before app data is wiped (days) Po tomto počtu dnů (definovaném správcem) běhu v offline režimu provede aplikace sama selektivní vymazání.After this many days (defined by the admin) of running offline, the app itself will do a selective wipe. Je to stejné selektivní vymazání, jaké může vyvolat správce v pracovním postupu vymazání MAM.This selective wipe is the same wipe as the one that can be initiated by the admin in the MAM wipe work-flow.

90 dnů90 days
Zakázat PIN kód aplikace, když je PIN kód zařízení spravovanýDisable app PIN when device PIN is managed Pokud chcete zakázat PIN kód aplikace, když bude na zaregistrovaném zařízení zjištěn zámek zařízení, zvolte Ano.Choose Yes to disable the app PIN when a device lock is detected on an enrolled device. NeNo
Vyžadovat minimální verzi operačního systému iOSRequire minimum iOS operating system Zvolte Ano, pokud k používání této aplikace vyžadujete minimální verzi operačního systému iOS.Choose Yes to require a minimum iOS operating system to use this app. Uživateli bude zablokován přístup, pokud verze iOS v zařízení nesplňuje tento požadavek.The user will be blocked from access if the iOS version on the device does not meet the requirement. NeNo
Vyžadovat minimální verzi operačního systému iOS (jenom upozornění)Require minimum iOS operating system (Warning only) Zvolte Ano, pokud k používání této aplikace vyžadujete minimální verzi operačního systému iOS.Choose Yes to require a minimum iOS operating system to use this app. Uživateli se zobrazí oznámení, pokud verze iOS v zařízení nesplňuje tento požadavek.The user will see a notification if the iOS version on the device does not meet the requirement. Toto oznámení je možné zavřít.This notification can be dismissed. NeNo
Vyžadovat minimální verzi aplikaceRequire minimum app version Zvolte Ano, pokud k používání této aplikace vyžadujete minimální verzi aplikace.Choose Yes to require a minimum app version to use the app. Uživateli bude zablokován přístup, pokud verze aplikace v zařízení nesplňuje tento požadavek.The user will be blocked from access if the app version on the device does not meet the requirement.

Při výběru cílových aplikací si prosím uvědomte, že aplikace mívají často odlišná schémata verzí.When selecting apps to target, please note that apps often have distinct versioning schemes between them.

NeNo
Vyžadovat minimální verzi aplikace (jenom upozornění)Require minimum app version (Warning only) Zvolte Ano, pokud k používání této aplikace doporučujete minimální verzi aplikace.Choose Yes to recommend a minimum app version to use this app. Uživateli se zobrazí oznámení, pokud verze aplikace v zařízení nesplňuje tento požadavek.The user will see a notification if the app version on the device does not meet the requirement. Toto oznámení je možné zavřít.This notification can be dismissed.

Při výběru cílových aplikací si prosím uvědomte, že aplikace mívají často odlišná schémata verzí.When selecting apps to target, please note that apps often have distinct versioning schemes between them.

NeNo
Vyžadovat minimální verzi sady SDK zásad ochrany aplikací IntuneRequire minimum Intune app protection policy SDK version Zvolte Ano, pokud požadujete, aby tato aplikace používala minimální verzi sady SDK zásad ochrany aplikací Intune.Choose Yes to require a minimum Intune app protection policy SDK version on the app to use. Uživateli bude zablokován přístup, pokud verze sady SDK zásad ochrany aplikací Intune nesplňuje tento požadavek.The user will be blocked from access if the app’s Intune app protection policy SDK version does not meet the requirement.

Další informace o sadě SDK zásad ochrany aplikací Intune najdete v článku Přehled sady Intune App SDK.To learn more about the Intune app protection policy SDK, see Intune App SDK overview

NeNo

Doplňky pro aplikaci OutlookAdd-ins for Outlook app

Poměrně čerstvou novinkou v Outlooku jsou doplňky pro iOS, které umožňují integrovat oblíbené aplikace s e-mailovým klientem.Outlook recently brought add-ins to Outlook for iOS which let you integrate popular apps with the email client. Doplňky pro Outlook jsou k dispozici na webu, v systému Windows, na Macu a v Outlooku pro iOS.Add-ins for Outlook are available on the web, Windows, Mac, and Outlook for iOS. Vzhledem k tomu, že se doplňky spravují přes Microsoft Exchange, budou uživatelé moct sdílet data a zprávy v rámci Outlooku a nespravovaných aplikací doplňků (pokud nemají doplňky vypnuté na Exchangi).Since add-ins are managed via Microsoft Exchange, users will be able to share data and messages across Outlook and unmanaged add-in applications unless add-ins are turned off for the user by their Exchange.

Pokud chcete svým koncovým uživatelům používání a instalaci doplňků Outlooku zakázat (bude to mít vliv na všechny klienty Outlooku), musíte v rolích v Centru pro správu Exchange provést následující změny:If you want to stop your end users from accessing and installing Outlook add-ins (this affects all Outlook clients), make sure you have the following changes to roles in the Exchange admin center:

  • Pokud chcete uživatelům zabránit v instalaci doplňků z Office Storu, odeberte jim roli My Marketplace (Moje tržiště).To prevent users from installing Office Store add-ins, remove the My Marketplace role from them.
  • Pokud chcete uživatelům zabránit v instalaci doplňků bokem (mimo Store), odeberte jim roli My Custom Apps (Moje vlastní aplikace).To prevent users from side loading add-ins, remove the My Custom Apps role from them.
  • Pokud chcete uživatelům zabránit v instalaci všech doplňků, odeberte jim jak roli My Custom Apps, tak roli My Marketplace.To prevent users from installing all add-ins, remove both, My Custom Apps and My Marketplace roles from them.

Tyto pokyny platí pro Office 365, Exchange 2016, Exchange 2013, a to jak v Outlooku na webu, tak také v jeho verzích pro Windows, Mac a mobilní zařízení.These instructions apply to Office 365, Exchange 2016, Exchange 2013 across Outlook on the web, Windows, Mac and mobile.

Pokud chcete odeslat svůj názor na produkt, navštivte Intune Feedback