Ochrana dat aplikací pomocí zásad ochrany aplikací v Microsoft IntuneProtect app data using app protection policies with Microsoft Intune

Platí pro: Intune v klasickém portáluApplies to: Intune in the classic portal
Hledáte dokumentaci o Intune na Azure Portalu?Looking for documentation about Intune in the Azure portal? Přejděte sem.Go here.

Způsob ochrany dat aplikacíHow you can protect app data

Vaši zaměstnanci používají mobilní zařízení pro osobní a pracovní úkoly.Your employees use mobile devices for both personal and work tasks. Chcete, aby vaši zaměstnanci byli produktivní, ale také chcete zabránit případným záměrným či neúmyslným únikům informací.While you're making sure your employees can be productive, you also want to prevent data loss—intentional and unintentional. Kromě toho chcete mít možnost chránit podniková data, ke kterým zaměstnanci přistupují ze zařízení, která nespravujete.In addition, you want to have the ability to protect company data that employees access by using devices that you don't manage.

K ochraně firemních dat můžete použít zásady ochrany aplikací Intune.You can use Intune app protection policies to help protect your company’s data. Protože se zásady ochrany aplikací Intune dají používat nezávisle na řešení správy mobilních zařízení (MDM), můžete správu mobilních aplikací (MAM) použít k ochraně firemních dat i bez registrace zařízení do nějakého řešení správy zařízení.Because Intune App protection policies can be used independent of any mobile device management (MDM) solution, you can use MAM to protect your company’s data with or without enrolling devices in a device management solution. Implementací zásad na úrovni aplikace můžete omezit přístup k prostředkům společnosti a ponechat data v kompetenci IT oddělení.By implementing app-level policies, you can restrict access to company resources and keep data within the purview of your IT department.

Zásady ochrany aplikací můžete konfigurovat pro aplikace běžící na zařízeních, která jsou:You can configure app protection policies for apps running on devices that are:

  • Zaregistrovaná v Microsoft Intune: Do této kategorie obvykle spadají zařízení vlastněná společností.Enrolled in Microsoft Intune: The devices in this category are typically corporate-owned devices.

  • Zaregistrovaná v řešení MDM třetí strany: Do této kategorie obvykle spadají zařízení vlastněná společností.Enrolled in a third-party MDM solution: The devices in this category are typically corporate-owned devices.

    Poznámka

    Zásady ochrany aplikací nedoporučujeme používat s řešeními pro správu mobilních aplikací třetích stran nebo s řešeními zabezpečeného kontejneru.We don't recommend using app protection policies with third-party mobile application management or secure container solutions.

  • Nezaregistrovaná v žádném řešení MDM: Do této kategorie obvykle spadají zařízení vlastněná zaměstnanci, která nejsou spravovaná ani zaregistrovaná v Intune nebo jiných řešeních MDM.Not enrolled in any MDM solution: The devices in this category are typically employee-owned devices that are not managed or enrolled in Intune or other MDM solutions.

Důležité

Můžete vytvářet zásady ochrany aplikací pro mobilní aplikace Office, které se připojují ke službám Office 365.You can create app protection policies for Office mobile apps that connect to Office 365 services. Zásady ochrany aplikací nejsou podporované pro aplikace, které se připojují k místním službám Exchange, Skype pro firmy nebo SharePoint.App protection policies are not supported for apps that connect to on-premises Exchange, Skype for Business, or SharePoint services.

Výhody použití zásad ochrany aplikacíBenefits of using app protection policies

  • Chrání podniková data na úrovni aplikace.They help protect your company data at the app level. Protože správa mobilních aplikací nevyžaduje správu zařízení, můžete podniková data chránit na spravovaných i nespravovaných zařízeních.Because mobile application management doesn't require device management, you can protect company data on both managed and unmanaged devices. Správa je zaměřená na identitu uživatele, odpadá tedy požadavek na správu zařízení.The management is centered on the user identity, which removes the requirement for device management.

  • Produktivita uživatele není ovlivněná a při použití aplikace pro osobní účely se zásady neaplikují.User productivity is not impacted, and the policies aren't applied when you're using the app in a personal context. Zásady se použijí jenom v pracovním kontextu, což umožňuje chránit podniková data bez zásahu do osobních dat.The policies are applied only in a work context, which gives you the ability to protect company data without touching personal data.

Použití MDM se zásadami ochrany aplikací přináší i další výhody. Společnosti můžou zásady MAM současně používat jak se správou MDM, tak i bez ní.There are additional benefits to using MDM with app protection policies, and companies can use MAM with and without MDM at the same time. Zaměstnanci můžou například používat podnikový telefon i vlastní tablet.For example, an employee might use a company-issued phone, as well as a personal tablet. V takovém případě je podnikový telefon zaregistrovaný ve správě mobilních zařízení a chráněný zásadami ochrany aplikací, zatímco vlastní zařízení je chráněné jen zásadami ochrany aplikací.In this case, the company phone is enrolled in MDM and protected by app protection policies, and the personal device is protected by app protection policies only.

  • MDM zajišťuje ochranu zařízení.MDM makes sure that the device is protected. Můžete například přístup do zařízení zabezpečit kódem PIN nebo do zařízení nasadit spravované aplikace.For example, you can require a PIN to access the device, or you can deploy managed apps to the device. Do zařízení můžete aplikace nasadit také pomocí řešení MDM, čímž získáte větší kontrolu nad správou aplikací.You can also deploy apps to devices through your MDM solution to give you more control over app management.

  • Zásady ochrany aplikací zajišťují použití ochrany na úrovni aplikací.App protection policies make sure that the app-layer protections are in place. Můžete například vytvořit zásadu, která bude při otevření aplikace v pracovním kontextu vyžadovat kód PIN, zabrání sdílení dat mezi aplikacemi nebo zabrání ukládání podnikových dat do osobního úložiště.For example, you can have a policy that requires a PIN to open an app in a work context, prevents data from being shared between apps, and prevents company app data from being saved to a personal storage location.

Zařízení podporující MAMDevices that support MAM

Zásady ochrany aplikací jsou aktuálně podporované v těchto systémech:App protection policies are currently supported on:

  • iOS 8.1 nebo novějšíiOS 8.1 or later
  • Android 4 nebo novějšíAndroid 4 or later
Poznámka

Zařízení s Windows nejsou ve scénáři MAM bez registrace podporované.Windows devices are not supported in the MAM without enrollment scenario. Pokud zařízení s Windows 10 zaregistrujete do Intune, můžete použít sadu Windows Information Protection, která nabízí podobné funkce.However, when you enroll Windows 10 devices with Intune, you can use Windows Information Protection, which offers similar functionality. Podrobnosti najdete v tématu věnovanému ochraně podnikových dat pomocí sady Windows Information Protection.For details, see Protect your enterprise data using Windows Information Protection (WIP).

Jak zásady ochrany aplikací chrání data aplikacíHow app protection policies protect app data

Aplikace bez zásad ochrany aplikacíApps without app protection policies

Obrázek, který znázorňuje, že pokud se nepoužívají zásady ochrany aplikací, můžou se data volně přesouvat mezi aplikacemi

Pokud aplikace používáte bez omezení, můžou se osobní a podniková data prolínat.When you use apps without restrictions, company and personal data can get intermingled. Podniková data můžou být uložena do osobního úložiště nebo přenesena do aplikací mimo váš dosah, čímž může dojít k úniku informací.Company data might end up in locations like personal storage or might be transferred to apps outside of your purview, which could result in data loss. Šipky v diagramu znázorňují neomezený přesun dat mezi aplikacemi (podnikovými a osobními) a úložišti.The arrows in the diagram show unrestricted data movement between apps (corporate and personal) and to storage locations.

Ochrana dat pomocí zásad ochrany aplikacíData protection with app protection policies

Obrázek, který znázorňuje způsob ochrany firemních dat při použití zásad ochrany aplikací

Pomocí zásad ochrany aplikací můžete zabránit ukládání firemních dat do místního úložiště na zařízení a omezit přesun dat do jiných aplikací, které nejsou chráněné zásadami ochrany aplikací.You can use app protection policies to prevent company data from saving to the local storage of the device, and to restrict data movement to other apps that aren't protected by app protection policies. Mezi nastavení zásad ochrany aplikací patří:App protection policy settings include:

  • Zásady pro přemísťování dat, jako jsou Zakázat možnost Uložit jako a Omezit vyjmutí, zkopírování a vložení.Data relocation policies like Prevent Save As and Restrict cut, copy, and paste.
  • Nastavení zásad přístupu, jako jsou Vyžadovat pro přístup jednoduchý PIN kód a Blokovat spouštění spravovaných aplikací na zařízeních s jailbreakem nebo rootem.Access policy settings like Require simple PIN for access and Block managed apps from running on jailbroken or rooted devices.

Ochrana dat pomocí zásad ochrany aplikací na zařízeních spravovaných řešením MDMData protection with app protection on devices that are managed by a MDM solution

Obrázek, který znázorňuje, jak zásady ochrany aplikací fungují na vlastních zařízeních uživatelů

Zařízení zaregistrovaná v řešení MDM: Předchozí diagram znázorňuje vrstvy ochrany, které MDM a zásady ochrany aplikací společně nabízejí.For devices enrolled in an MDM solution: The preceding diagram shows the layers of protection that MDM and app protection policies offer together.

Řešení MDM:The MDM solution:

  • Zaregistruje zařízení.Enrolls the device.

  • Na zařízení nasadí aplikace.Deploys apps to the device.

  • Zajišťuje neustálé dodržování předpisů a správu zařízení.Provides ongoing device compliance and management.

Zásady ochrany aplikací přidávají hodnotu tím, že:App protection policies add value because they:

  • Chrání před únikem podnikových informací v uživatelských aplikacích a službách.Help protect company data from leaking to consumer apps and services.

  • Aplikují omezení (použití příkazu Uložit jako, schránky, kódu PIN atd.) pro mobilní aplikace.Apply restrictions (save-as, clipboard, PIN, etc.) to mobile apps.

  • Vymažou podniková data z aplikací bez nutnosti tyto aplikace ze zařízení odebrat.Wipe company data from apps without removing those apps from the device.

Ochrana dat pomocí zásad ochrany aplikací na neregistrovaných zařízeníchData protection with app protection policies for devices without enrollment

Obrázek, který znázorňuje, jak zásady ochrany aplikací fungují na spravovaných zařízeních

Předchozí diagram znázorňuje, jak fungují zásady ochrany dat na úrovni aplikace bez správy mobilních zařízení MDM.The preceding diagram illustrates how data protection policies work at the app level without MDM.

U vlastních zařízení uživatelů nezaregistrovaných do řešení MDM můžou zásady ochrany aplikací pomoci chránit firemní data na úrovni aplikace.For BYOD devices that aren't enrolled in any MDM solution, app protection policies can help protect company data at the app level.

Je ale potřeba mít na paměti některá omezení:However, there are some limitations to be aware of:

  • Aplikace nejde do zařízení nasadit.You can't deploy apps to the device. Uživatel musí aplikace sám získat a nainstalovat.The user has to get the apps from the store.

  • V těchto zařízeních nejde zřídit profily certifikátů.You can't provision certificate profiles on these devices.

  • V těchto zařízeních nejde nastavit podnikovou síť Wi-Fi a síť VPN.You can't set up company Wi-Fi and VPN settings on these devices.

Víc identitMulti-identity

Aplikace, které podporují více identit, umožňují pro přístup ke stejným aplikacím používat různé účty (pracovní a osobní). Zásady ochrany aplikací se použijí, jen když jsou aplikace použité v pracovním kontextu.Apps that support multi-identity let you use different accounts (work and personal) to access the same apps, while app protection policies are applied only when the apps are used in the work context.

Pokud třeba uživatel spustí aplikaci OneDrive pomocí svého pracovního účtu, nemůže přesunout soubory do svého osobního úložiště.For example, when a user starts the OneDrive app by using their work account, they can't move the files to a personal storage location. Pokud ale uživatel použije OneDrive se svým osobním účtem, může kopírovat a přesouvat data ze svého osobního OneDrivu bez omezení.However, when they use OneDrive with their personal account, they can copy and move data from their personal OneDrive without restrictions.

Další krokyNext steps