Časté otázky ke správě mobilních aplikací (MAM) a ochraně aplikacíFrequently asked questions about MAM and app protection

Platí pro: Intune v klasickém portáluApplies to: Intune in the classic portal
Hledáte dokumentaci o Intune na Azure Portalu?Looking for documentation about Intune in the Azure portal? Přejděte sem.Go here.

Tento článek poskytuje odpovědi na některé časté otázky ke správě mobilních aplikací (MAM) Intune a ochraně aplikací Intune.This article provides answers to some frequently asked questions on Intune mobile application management (MAM) and Intune app protection.

Základní informace o MAMMAM Basics

Co je MAM?What is MAM? Správa mobilních aplikací (MAM) Intune představuje sadu funkcí Intune pro správu, s kterými můžete publikovat, doručovat, konfigurovat, zabezpečovat, monitorovat a aktualizovat mobilní aplikace pro uživatele.Intune mobile application management refers to the suite of Intune management features that lets you publish, push, configure, secure, monitor, and update mobile apps for your users.

Jaké jsou výhody ochrany aplikací pomocí MAM?What are the benefits of MAM app protection? MAM chrání data organizace v rámci aplikace.MAM protects an organization's data within an application. Díky funkci MAM bez registrace zařízení (MAM-WE) jde pracovní nebo školní aplikaci, která obsahuje citlivá data, spravovat prakticky na jakémkoliv zařízení, včetně osobních zařízení, která uživatelé používají pracovně (BYOD, bring-your-own-device).With MAM-WE, a work or school-related app that contains sensitive data can be managed on almost any device, including personal devices in bring-your-own-device (BYOD) scenarios. Mnoho kancelářských aplikací, jako jsou například aplikace Microsoft Office, jde spravovat přes Intune MAM.Many productivity apps, such as the Microsoft Office apps, are able to be managed by Intune MAM. Podívejte se do oficiálního seznamu aplikací podporujících Intune, který je veřejně přístupný.See the official list of Intune-enlightened apps available for public use.

Jaké konfigurace zařízení MAM podporuje?What device configurations does MAM support? Intune MAM podporuje dvě konfigurace:Intune MAM supports two configurations:

  1. Intune MDM + MAM: Toto je první konfigurace podporovaná správou MAM při prvním spuštění.Intune MDM + MAM: This is the first configuration supported by MAM when it first launched. Správci IT můžou spravovat aplikace pomocí MAM a zásad ochrany aplikací jenom na zařízeních, která jsou zaregistrovaná ve správě mobilních zařízení Intune (MDM).IT administrators can only manage apps using MAM and app protection policies on devices that are enrolled with Intune mobile device management (MDM). Pokud zákazníci chtějí spravovat aplikace pomocí MDM + MAM, měli by používat samostatnou konzolu Intune na https://manage.microsoft.com.To manage apps using MDM + MAM, customers should use the Intune standalone console at https://manage.microsoft.com.

  2. MAM bez registrace zařízení: MAM bez registrace zařízení, neboli MAM-WE, umožňuje správcům IT spravovat aplikace pomocí MAM a zásad ochrany aplikací na zařízeních, která nejsou zaregistrovaná ve správě mobilních zařízení Intune.MAM without device enrollment: MAM without device enrollment, or MAM-WE, allows IT administrators to manage apps using MAM and app protection policies on devices not enrolled with Intune MDM. To znamená, že aplikace je možné spravovat pomocí Intune na zařízeních, která jsou zaregistrovaná u jiných poskytovatelů EMM.This means apps can be managed by Intune on devices enrolled with third-party EMM providers. Pokud zákazníci chtějí spravovat aplikace pomocí MAM-WE, měli by používat konzolu Intune na portálu Azure na stránce http://portal.azure.com.To manage apps using MAM-WE, customers should use the Intune console in the Azure portal at http://portal.azure.com.

Zásady ochrany aplikacíApp protection policies

Co jsou zásady ochrany aplikací?What are app protection policies? Zásady ochrany aplikací jsou pravidla, která zajistí, že data organizace budou zabezpečená nebo vázaná ve spravované aplikaci.App protection policies are rules that ensure an organization's data remains safe or contained in a managed app. Zásada může být pravidlo, které je vynuceno, když se uživatel pokusí pracovat s firemními daty nebo je přesunout, nebo sada akcí, které jsou zakázané nebo monitorované, pokud je uživatel uvnitř aplikace.A policy can be a rule that is enforced when the user attempts to access or move "corporate" data, or a set of actions that are prohibited or monitored when the user is inside the app.

Jaké jsou příklady zásad ochrany aplikací?What are examples of app protection policies? Podrobné informace o každém nastavení zásad ochrany aplikací najdete v tématech Nastavení zásad ochrany aplikací pro Android a Nastavení zásad ochrany aplikací pro iOS.See the Android app protection policy settings and iOS app protection policy settings for detailed information on each app protection policy setting.

Aplikace, které se dají spravovat pomocí zásad ochrany aplikacíApps you can manage with app protection policies

Které aplikace se dají spravovat pomocí zásad ochrany aplikací?Which apps can be managed by app protection policies? Zásadami ochrany aplikací Intune se dá spravovat každá aplikace, u které byla tato podpora povolena sadou Intune App SDK nebo která byla zabalena nástrojem Intune App Wrapping.Any app that has been enlightened by the Intune App SDK or wrapped by the Intune App Wrapping Tool can be managed using Intune app protection policies. Podívejte se do oficiálního seznamu aplikací podporujících Intune, který je veřejně přístupný.See the official list of Intune-enlightened apps available for public use.

Jaké jsou základní požadavky na používání zásad ochrany aplikací v aplikaci s podporou Intune?What are the baseline requirements to use app protection policies on an Intune-enlightened app?

  1. Koncový uživatel musí mít účet Azure Active Directory (AAD).The end-user must have an Azure Active Directory (AAD) account. Pokud se chcete dozvědět, jak se vytvářejí uživatelé Intune v Azure Active Directory, přečtěte si Přidání uživatelů a udělení oprávnění pro správu v Intune.See Add users and give administrative permission to Intune to learn how to create Intune users in Azure Active Directory.

  2. Koncový uživatel musí mít ke svému účtu Azure Active Directory přiřazenou licenci pro Microsoft Intune.The end-user must have a license for Microsoft Intune assigned to their Azure Active Directory account. Informace o tom, jak se přiřazují licence Intune koncovým uživatelům, najdete v článku Správa licencí Intune.See Manage Intune licenses to learn how to assign Intune licenses to end-users.

  3. Koncový uživatel musí patřit do skupiny zabezpečení, která je cílem zásady ochrany aplikace.The end-user must belong to a security group that is targeted by an app protection policy. Stejná zásada ochrany aplikace musí mít za cíl konkrétní používanou aplikaci.The same app protection policy must target the specific app being used. Zásady ochrany aplikací se dají vytvářet a nasazovat v konzole Intune na portálu Azure.App protection policies can be created and deployed in the Intune console in the Azure portal. Skupiny zabezpečení se aktuálně dají vytvářet na portálu Office.Security groups can currently be created in the Office portal.

  4. Koncový uživatel se musí do aplikace přihlásit pomocí svého účtu AAD.The end-user must sign into the app using his or her AAD account.

Jaké jsou další požadavky na používání mobilní aplikace Outlook?What are the additional requirements to use the Outlook mobile app?

  1. Koncový uživatel musí mít v zařízení nainstalovanou mobilní aplikaci Outlook.The end-user must have the Outlook mobile app installed to their device.

  2. Koncový uživatel musí mít poštovní schránku Office 365 Exchange Online a licenci propojenou se svým účtem Azure Active Directory.The end-user must have an Office 365 Exchange Online mailbox and license linked to their Azure Active Directory account.

    Poznámka

    Mobilní aplikace Outlook aktuálně podporuje jenom Microsoft Exchange Online a nepodporuje místní Exchange nebo Exchange v Office 365 Dedicated.The Outlook mobile app currently only supports Microsoft Exchange Online and does not support Exchange on-premises or Exchange in Office 365 Dedicated.

Jaké jsou další požadavky na používání aplikací Word, Excel a PowerPoint?What are the additional requirements to use the Word, Excel, & PowerPoint apps?

  1. Koncový uživatel musí mít licenci pro Office 365 Business nebo Enterprise propojenou se svým účtem Azure Active Directory.The end-user must have a license for Office 365 Business or Enterprise linked to their Azure Active Directory account. Předplatné musí obsahovat aplikace Office na mobilních zařízeních a účet pro ukládání na cloud se službou OneDrive pro firmy.The subscription must include the Office apps on mobile devices and a cloud storage account with OneDrive for Business. Licence na Office 365 se dají přiřadit na portálu Office podle těchto pokynů.Office 365 licenses can be assigned in the Office portal following these instructions.

  2. Koncový uživatel musí mít v zařízení nainstalovanou aplikaci OneDrive a přihlásit se se svým účtem AAD.The end-user must have the OneDrive app installed to their device and sign in with their AAD account.

  3. Aplikace OneDrive musí být cílem pro zásadu ochrany aplikace nasazenou pro koncového uživatele.The OneDrive app must be targeted by the app protection policy deployed to the end-user.

    Poznámka

    Mobilní aplikace Office aktuálně podporují jenom SharePoint Online a ne místní SharePoint.The Office mobile apps currently only support SharePoint Online and not SharePoint on-premises.

Proč je pro Office nutný OneDrive?Why is OneDrive needed for Office? Intune označuje veškerá data v aplikaci jako podniková (firemní) nebo osobní.Intune marks all data in the app as either "corporate" or "personal." Data se považují za podniková, když pocházejí z firemního umístění.Data is considered "corporate" when it originates from a business location. U aplikací Office považuje Intune za firemní následující umístění: e-mail (Exchange) nebo cloudové úložiště (aplikace OneDrive s účtem OneDrive pro firmy).For the Office apps, Intune considers the following as business locations: email (Exchange) or cloud storage (OneDrive app with a OneDrive for Business account).

Jaké jsou další požadavky na používání Skypu pro firmy?What are the additional requirements to use Skype for Business? Viz licenční požadavky Skypu pro firmy.See Skype for Business license requirements.

Poznámka

Mobilní aplikace Skype pro firmy aktuálně podporuje jenom Online Skype pro firmy.The Skype for Business mobile app currently only supports Skype for Business Online.

Funkce ochrany aplikacíApp protection features

Co je podpora více identit?What is multi-identity support? Podpora více identit je schopnost sady Intune App SDK použít zásady ochrany aplikací jenom na pracovní nebo školní účet přihlášený k aplikaci.Multi-identity support is the ability for the Intune App SDK to only apply app protection policies to the work or school account signed into the app. Pokud se k aplikaci přihlásí osobní účet, zůstanou data nedotčená.If a personal account is signed into the app, the data is untouched.

Co je účelem podpory více identit?What is the purpose of multi-identity support? Podpora více identit umožňuje, aby se aplikace pro podnikové i běžné zákazníky (tj. aplikace Office) vydávaly veřejně s funkcemi ochrany aplikací Intune pro podnikové účty.Multi-identity support allows apps with both "corporate" and consumer audiences (ie. the Office apps) to be released publicly with Intune app protection capabilities for the "corporate" accounts.

Kdy se zobrazí obrazovka s PINem?When does the PIN screen show up? Obrazovka s PINem Intune se zobrazí jenom tehdy, když se uživatel pokusí v aplikaci získat přístup k podnikovým datům.The Intune PIN screen only appears when the user is trying to access "corporate" data in the app. Například v aplikacích Word, Excel a PowerPoint se zobrazí, když se koncový uživatel pokusí otevřít dokument z OneDrivu pro firmy (za předpokladu, že jste úspěšně nasadili zásadu ochrany aplikace, která vynucuje PIN).For example, in the Word/Excel/PowerPoint apps, it would appear when the end-user attempts to open a document from OneDrive for Business (assuming you successfully deployed an app protection policy enforcing PIN).

Jak je na tom aplikace Outlook s více identitami?What about Outlook and multi-identity? Outlook má kombinované zobrazení osobních a podnikových e-mailů, proto při spuštění zobrazí výzvu k zadání PINu Intune.Because Outlook has a combined email view of both personal and "corporate" emails, the Outlook app prompts for the Intune PIN on launch.

Co je PIN aplikace Intune?What is the Intune app PIN? Osobní identifikační číslo (PIN) je heslo, kterým se ověřuje, že s daty organizace pracuje v aplikaci správný uživatel.The Personal Identification Number (PIN) is a passcode used to verify that the correct user is accessing the organization's data in an application.

  1. Když je uživatel vyzván k zadání PINu?When is the user prompted to enter their PIN? Intune vyzve uživatele k zadání PINu aplikace, když se uživatel chystá pracovat s podnikovými daty.Intune will only prompt for the user's app PIN when the user is about to access "corporate" data. V aplikacích s více identitami, jako Word, Excel a PowerPoint, bude uživatel vyzván k zadání PINu při pokusu o otevření podnikového souboru nebo dokumentu.In multi-identity apps such as Word/Excel/PowerPoint, the user is prompted for their PIN when they try to open a "corporate" document or file. V aplikacích s jednou identitou, například obchodní aplikace podporované díky nástroji Intune App Wrapping, se PIN vyžaduje při spuštění, protože sada Intune App SDK ví, že prostředí uživatele v aplikaci bude vždy podnikové.In single-identity apps, such as line-of-business apps enlightened using the Intune App Wrapping Tool, the PIN is prompted at launch, because the Intune App SDK knows the user's experience in the app is always "corporate."

  2. Je PIN bezpečný?Is the PIN secure? PIN slouží k tomu, aby v aplikaci povolil pracovat s daty organizace jenom správnému uživateli.The PIN serves to allow only the correct user to access their organization's data in the app. Proto se koncový uživatel musí přihlásit s pracovním nebo školním účtem, aby mohl nastavit nebo resetovat PIN pro aplikaci Intune.Therefore, an end-user must sign in with their work or school account before they can set or reset their Intune app PIN. Toto ověření zpracovává Azure Active Directory prostřednictvím zabezpečené výměny tokenu a sada Intune App SDK do procesu nevidí.This authentication is handled by Azure Active Directory via secure token exchange and is not transparent to the Intune App SDK. Z hlediska zabezpečení je nejlepší ochranou pracovních nebo školních dat jejich šifrování.From a security perspective, the best way to protect work or school data is to encrypt it. Šifrování nesouvisí s PINem aplikace, ale jde o vlastní zásadu ochrany aplikace.Encryption is not related to the app PIN, but is its own app protection policy.

  3. Jak Intune chrání PIN před útoky hrubou silou?How does Intune protect the PIN against brute force attacks? Jako součást zásady pro PIN aplikace může správce IT nastavit maximální počet pokusů, které uživatel má k ověření PINu před uzamčením aplikace.As part of the app PIN policy, the IT administrator can set the maximum number of times a user can try to authenticate their PIN before locking the app. Po vyčerpání pokusů může sada Intune App SDK vymazat podniková data v aplikaci.After the number of attempts has been met, the Intune App SDK can wipe the "corporate" data in the app.

A co šifrování?What about encryption? Správci IT můžou nasadit zásadu ochrany aplikace, která vyžaduje šifrování dat aplikace.IT administrators can deploy an app protection policy that requires app data to be encrypted. Jako součást této zásady může správce IT také určit, kdy se obsah bude šifrovat.As part of the policy, the IT administrator can also specify when the content is encrypted.

  1. Jak Intune šifruje data?How does Intune encrypt data? Podrobné informace o nastavení zásady ochrany aplikace šifrováním najdete v tématech Nastavení zásad ochrany aplikací pro Android a Nastavení zásad ochrany aplikací pro iOS.See the Android app protection policy settings and iOS app protection policy settings for detailed information on the encryption app protection policy setting.

  2. Co se šifruje?What gets encrypted? Šifrují se jenom data označená jako podniková, a to podle zásady ochrany aplikace správce IT.Only data marked as "corporate" is encrypted according to the IT administrator's app protection policy. Data se považují za podniková, když pocházejí z firemního umístění.Data is considered "corporate" when it originates from a business location. U aplikací Office považuje Intune za firemní následující umístění: e-mail (Exchange) nebo cloudové úložiště (aplikace OneDrive s účtem OneDrive pro firmy).For the Office apps, Intune considers the following as business locations: email (Exchange) or cloud storage (OneDrive app with a OneDrive for Business account). U obchodních aplikací kompatibilních s nástrojem Intune App Wrapping se za podniková považují všechna data aplikace.For line-of-business apps enlightened by the Intune App Wrapping Tool, all app data is considered "corporate."

Jak může Intune vzdáleně smazat data?How does Intune remotely wipe data? Intune může data aplikace smazat třemi způsoby: úplným vymazáním zařízení, selektivním vymazáním pro MDM nebo selektivním vymazáním pro MAM.Intune can wipe app data in three different ways: full device wipe, selective wipe for MDM, and MAM selective wipe. Další informace o vzdáleném vymazání pro MDM najdete v článku Lepší ochrana dat s využitím plného nebo selektivního vymazání pomocí Microsoft Intune.For more information about remote wipe for MDM, see Help protect your data with full or selective wipe using Microsoft Intune. Další informace o selektivním vymazání pro MAM najdete v článku Vymazání dat spravovaných aplikací společnosti s Microsoft IntuneFor more information about selective wipe using MAM, see Wipe managed company app data with Microsoft Intune

  1. Co je úplné vymazání?What is full wipe? Úplné vymazání odebere veškerá uživatelská data a nastavení ze zařízení pomocí obnovení výchozího továrního nastavení v zařízení.Full wipe removes all user data and settings from the device by restoring the device to its factory default settings. Zařízení se odebere ze služby Intune.The device is removed from Intune.

    Poznámka

    Úplného vymazání jde dosáhnout jenom na zařízeních zaregistrovaných ve správě mobilních zařízení (MDM) Intune.Full wipe can only be achieved on devices enrolled with Intune mobile device management (MDM).

  2. Co je selektivní vymazání pro MDM?What is selective wipe for MDM? O selektivním vymazání si můžete přečíst v článku Lepší ochrana dat s využitím plného nebo selektivního vymazání pomocí Microsoft Intune.See Help protect your data with full or selective wipe using Microsoft Intune to read about selective wipe.

  3. Co je selektivní vymazání pro MAM?What is selective wipe for MAM? Selektivní vymazání pro MAM jednoduše odebere data aplikace společnosti z aplikace.Selective wipe for MAM simply removes company app data from an app. Žádost se inicializuje pomocí portálu Intune Azure Portal.The request is initiated using the Intune Azure portal. Informace o tom, jak inicializovat žádost o vymazání, najdete v článku Vymazání dat spravovaných aplikací společnosti s Microsoft Intune.To learn how to initiate a wipe request, see Wipe managed company app data with Microsoft Intune

  4. Jak rychle selektivní vymazání pro MAM proběhne?How quickly does selective wipe for MAM happen? Pokud uživatel používá aplikaci, když je zahájeno selektivní vymazání, sada Intune App SDK kontroluje každých 30 minut žádost o selektivní vymazání ze služby Intune MAM.If the user is using the app when selective wipe is initiated, the Intune App SDK checks every 30 minutes for a selective wipe request from the Intune MAM service. Selektivní vymazání také kontroluje tehdy, když uživatel spustí aplikaci poprvé a přihlásí se pomocí pracovního nebo školního účtu.It also checks for selective wipe when the user launches the app for the first time and signs in with their work or school account.

Proč místní služby nepracují s aplikacemi chráněnými službou Intune?Why don't On-Premises (on-prem) services work with Intune protected apps? Ochrana aplikací Intune závisí na identitě uživatele, aby byla konzistentní mezi aplikací a sadou Intune App SDK.Intune app protection depends on the identity of the user to be consistent between the application and the Intune App SDK. Jediná cesta, která to může zaručit, je moderní ověřování.The only way to guarantee that is through modern authentication. Jsou situace, kdy aplikace můžou fungovat s místní konfigurací, ale nejsou konzistentní ani nic nezaručují.There are scenarios in which apps may work with an on-prem configuration, but they are neither consistent nor guaranteed.

Existuje bezpečný způsob, jak otevírat webové odkazy ze spravovaných aplikací?Is there a secure way to open web links from managed apps? Ano.Yes! Správce IT může nasadit a nastavit zásadu ochrany aplikace pro aplikaci Intune Managed Browser, což je webový prohlížeč vyvinutý týmem Microsoft Intune, který se dá snadno spravovat přes Intune.The IT administrator can deploy and set app protection policy for the Intune Managed Browser app, a web browser developed by Microsoft Intune that can be managed easily with Intune. Správce IT může vyžadovat, aby se všechny webové odkazy v aplikacích podporujících Intune otvíraly v aplikaci Managed Browser.The IT administrator can require all web links in Intune-enlightened apps to be opened using the Managed Browser app.

Prostředí aplikací na AndroiduApp experience on Android

Proč je potřeba aplikace Portál společnosti, aby ochrana aplikací Intune fungovala na zařízeních s Androidem?Why is the Company Portal app needed for Intune app protection to work on Android devices? Většina funkcí ochrany aplikací je integrovaná do aplikace Portál společnosti.Much of app protection functionality is built into the Company Portal app. I když aplikace Portál společnosti se vždycky vyžaduje, registrace zařízení se nevyžaduje.Device enrollment is not required even though the Company Portal app is always required. U správy mobilních aplikací bez registrace (MAM-WE) je jenom nutné, aby měl koncový uživatel aplikaci Portál společnosti na zařízení nainstalovanou.For MAM-WE, the end-user just needs to have the Company Portal app installed on the device.

Prostředí aplikací v iOSApp experience on iOS

Můžu pomocí rozšíření pro sdílení v iOS otevírat pracovní nebo školní data v nespravovaných aplikacích, i když je zásada přenosu dat nastavená na „jenom spravované aplikace“ nebo „žádné aplikace“. Nemůže při tom dojít k úniku dat?I am able to use the iOS share extension to open work or school data in unmanaged apps, even with the data transfer policy set to "managed apps only" or "no apps." Doesn't this leak data? Zásady ochrany aplikací pro Intune nemůžou ovládat rozšíření pro sdílení v iOS, když dané zařízení nespravují.Intune app protection policy cannot control the iOS share extension without managing the device. Proto Intune podniková data před jejich sdílením mimo příslušnou aplikaci zašifruje.Therefore, Intune encrypts "corporate" data before it is shared outside the app. Můžete si to ověřit tak, že si zkusíte otevřít podnikový soubor mimo spravovanou aplikaci.You can validate this by attempting to open the "corporate" file outside of the managed app. Měl by být zašifrovaný a mimo spravovanou aplikaci by ho nemělo být možné otevřít.The file should be encrypted and unable to be opened outside the managed app.

Související témataSee also