Vytvoření a přiřazení zásad ochrany aplikací

  • Článek

Zjistěte, jak vytvářet a přiřazovat Microsoft Intune zásady ochrany aplikací (APP) pro uživatele ve vaší organizaci. Tento článek také popisuje, jak provádět změny stávajících zásad.

Než začnete

Ochrana aplikací zásady se můžou vztahovat na aplikace spuštěné na zařízeních, která můžou nebo nemusí být spravovaná službou Intune. Podrobnější popis toho, jak zásady ochrany aplikací fungují, a scénáře podporované zásadami ochrany aplikací Intune najdete v přehledu zásad Ochrana aplikací.

Možnosti dostupné v zásadách ochrany aplikací (APP) umožňují organizacím přizpůsobit ochranu jejich konkrétním potřebám. U některých nemusí být zřejmé, která nastavení zásad jsou nutná k implementaci kompletního scénáře. Microsoft zavedl taxonomii pro svoji architekturu ochrany dat APP pro správu mobilních aplikací pro správu mobilních aplikací pro iOS a Android, aby organizacím pomohl prioritizovat posílení zabezpečení koncových bodů mobilních klientů.

Architektura ochrany dat APP je uspořádaná do tří různých úrovní konfigurace, přičemž každá úroveň vychází z předchozí úrovně:

  • Základní ochrana podnikových dat (úroveň 1) zajišťuje, že aplikace jsou chráněné kódem PIN a šifrované, a provádí operace selektivního vymazání. U zařízení s Androidem tato úroveň ověřuje ověření identity zařízení s Androidem. Jedná se o konfiguraci základní úrovně, která poskytuje podobné řízení ochrany dat v zásadách poštovních schránek Exchange Online a zavádí IT a populaci uživatelů do APP.
  • Rozšířená ochrana podnikových dat (úroveň 2) zavádí mechanismy ochrany dat APP a minimální požadavky na operační systém. Toto je konfigurace, která se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.
  • Vysoká ochrana podnikových dat (úroveň 3) zavádí pokročilé mechanismy ochrany dat, vylepšenou konfiguraci PIN kódu a ochranu před mobilními hrozbami pro APP. Tato konfigurace je žádoucí pro uživatele, kteří přistupují k vysoce rizikovým datům.

Pokud chcete zobrazit konkrétní doporučení pro jednotlivé úrovně konfigurace a minimální počet aplikací, které je potřeba chránit, přečtěte si téma Architektura ochrany dat pomocí zásad ochrany aplikací.

Pokud hledáte seznam aplikací, které integrovaly sadu Intune SDK, přečtěte si téma Microsoft Intune chráněné aplikace.

Informace o přidání obchodních aplikací organizace do Microsoft Intune přípravy na zásady ochrany aplikací najdete v tématu Přidání aplikací do Microsoft Intune.

zásady Ochrana aplikací pro aplikace pro iOS/iPadOS a Android

Když vytváříte zásady ochrany aplikací pro aplikace pro iOS/iPadOS a Android, budete postupovat podle moderního toku procesu Intune, který má za následek nové zásady ochrany aplikací. Informace o vytváření zásad ochrany aplikací pro aplikace pro Windows najdete v tématu Ochrana aplikací nastavení zásad pro Windows.

Vytvoření zásad ochrany aplikací pro iOS/iPadOS nebo Android

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Aplikace>Ochrana aplikací zásady. Tato volba otevře podrobnosti o zásadách Ochrana aplikací, kde můžete vytvářet nové zásady a upravovat stávající zásady.

  3. Vyberte Vytvořit zásadu a vyberte iOS/iPadOS nebo Android. Zobrazí se podokno Vytvořit zásadu .

  4. Na stránce Základy přidejte následující hodnoty:

    Hodnota Popis
    Name (Název) Název této zásady ochrany aplikací.
    Popis [Volitelné] Popis této zásady ochrany aplikací

    Hodnota Platform (Platforma ) se nastavuje na základě vaší výše uvedené volby.

    Snímek obrazovky se stránkou Základy v podokně Vytvořit zásadu

  5. Kliknutím na Další zobrazte stránku Aplikace .
    Na stránce Aplikace můžete zvolit, na které aplikace má tato zásada cílit. Musíte přidat aspoň jednu aplikaci.

    Hodnota/možnost Popis
    Zacílit zásadu na V rozevíracím seznamu Cílová zásada do vyberte, jestli chcete zásady ochrany aplikací cílit na Všechny aplikace, Microsoft Apps nebo Základní Microsoft Apps.

    • Všechny aplikace zahrnují všechny aplikace microsoftu a partnerů, které integrovaly sadu Intune SDK.
    • Microsoft Apps zahrnuje všechny aplikace Microsoftu, které integrovaly sadu Intune SDK.
    • Základní Microsoft Apps zahrnují následující aplikace: Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do a Word.

    Dále můžete vybrat Zobrazit seznam aplikací, na které se budou cílit , a zobrazit seznam aplikací, které budou touto zásadou ovlivněny.
    Veřejné aplikace Pokud nechcete vybrat některou z předdefinovaných skupin aplikací, můžete se rozhodnout cílit na jednotlivé aplikace tak, že v rozevíracím seznamu Cílová zásada dovyberete Vybrané aplikace. Klikněte na Vybrat veřejné aplikace a vyberte veřejné aplikace, na které chcete cílit.
    Vlastní aplikace Pokud nechcete vybrat některou z předdefinovaných skupin aplikací, můžete se rozhodnout cílit na jednotlivé aplikace tak, že v rozevíracím seznamu Cílová zásada dovyberete Vybrané aplikace. Klikněte na Vybrat vlastní aplikace a vyberte vlastní aplikace, na které chcete cílit na základě ID sady. Při cílení na všechny veřejné aplikace ve stejné zásadě nemůžete zvolit vlastní aplikaci.

    Vybrané aplikace se zobrazí v seznamu veřejných a vlastních aplikací.

    Poznámka

    Veřejné aplikace jsou podporovány aplikace od Microsoftu a partnerů, které se běžně používají s Microsoft Intune. Tyto aplikace chráněné službou Intune jsou povolené s bohatou sadou podpory zásad ochrany mobilních aplikací. Další informace najdete v tématu Microsoft Intune chráněných aplikací. Vlastní aplikace jsou obchodní aplikace, které jsou integrované se sadou Intune SDK nebo zabalené App Wrapping Tool Intune. Další informace najdete v tématech přehled sady Microsoft Intune App SDK a Příprava obchodních aplikací na zásady ochrany aplikací.

  6. Kliknutím na Další zobrazíte stránku Ochrana dat .
    Tato stránka obsahuje nastavení pro ovládací prvky ochrany před únikem informací, včetně omezení vyjmutí, kopírování, vložení a uložení jako. Tato nastavení určují, jak uživatelé pracují s daty v aplikacích, na které se tato zásada ochrany aplikací vztahuje.

    Nastavení ochrany dat:

  7. Kliknutím na Další zobrazte stránku Požadavky na přístup .
    Tato stránka obsahuje nastavení, která vám umožní nakonfigurovat požadavky na PIN kód a přihlašovací údaje, které uživatelé musí splňovat, aby mohli přistupovat k aplikacím v pracovním kontextu.

    Nastavení požadavků na přístup:

  8. Kliknutím na Další zobrazte stránku Podmíněné spuštění .
    Tato stránka obsahuje nastavení pro nastavení požadavků na zabezpečení přihlašování pro zásady ochrany aplikací. Vyberte Nastavení a zadejte hodnotu , kterou uživatelé musí splnit, aby se mohli přihlásit k aplikaci vaší společnosti. Pak vyberte akci , kterou chcete provést, pokud uživatelé nesplňují vaše požadavky. V některých případech je možné pro jedno nastavení nakonfigurovat více akcí.

    Nastavení podmíněného spuštění:

  9. Kliknutím na Další zobrazte stránku Přiřazení .
    Stránka Přiřazení umožňuje přiřadit zásady ochrany aplikací skupinám uživatelů. Aby se zásady projevily, musíte je použít na skupinu uživatelů.

  10. Kliknutím na Další: Zkontrolovat a vytvořit zkontrolujte hodnoty a nastavení, které jste zadali pro tuto zásadu ochrany aplikací.

  11. Až budete hotovi, klikněte na Vytvořit a vytvořte zásadu ochrany aplikací v Intune.

    Tip

    Tato nastavení zásad se vynucují jenom při použití aplikací v pracovním kontextu. Když koncoví uživatelé používají aplikaci k provedení osobního úkolu, tyto zásady na nich nebudou mít vliv. Všimněte si, že když vytvoříte nový soubor, považuje se za osobní soubor.

    Důležité

    Než se zásady ochrany aplikací použijí na stávající zařízení, může to nějakou dobu trvat. Koncovým uživatelům se na zařízení zobrazí oznámení, když se použijí zásady ochrany aplikací. Před použitím pravidel pro vlastní přístup použijte zásady ochrany aplikací na zařízení.

Koncoví uživatelé si můžou aplikace stáhnout z App Storu nebo Google Play. Další informace najdete tady:

Změna existujících zásad

Můžete upravit existující zásadu a použít ji u cílových uživatelů. Další informace o načasování doručení zásad najdete v tématu Vysvětlení načasování doručení zásad ochrany aplikací.

Změna seznamu aplikací přidružených k zásadám

  1. V podokně Ochrana aplikací zásady vyberte zásadu, kterou chcete změnit.

  2. V podokně Intune App Protection vyberte Vlastnosti.

  3. Vedle oddílu s názvem Aplikace vyberte Upravit.

  4. Na stránce Aplikace můžete zvolit, na které aplikace má tato zásada cílit. Musíte přidat aspoň jednu aplikaci.

    Hodnota/možnost Popis
    Veřejné aplikace V rozevíracím seznamu Cílová zásada do vyberte, jestli chcete zásady ochrany aplikací cílit na Všechny veřejné aplikace, Microsoft Apps nebo Základní Microsoft Apps. Dále můžete vybrat Zobrazit seznam aplikací, na které se budou cílit , a zobrazit seznam aplikací, které budou touto zásadou ovlivněny.

    V případě potřeby se můžete rozhodnout cílit na jednotlivé aplikace kliknutím na Vybrat veřejné aplikace.

    Vlastní aplikace Klikněte na Vybrat vlastní aplikace a vyberte vlastní aplikace, na které chcete cílit na základě ID sady.

    Vybrané aplikace se zobrazí v seznamu veřejných a vlastních aplikací.

  5. Kliknutím na Zkontrolovat a vytvořit zkontrolujte aplikace vybrané pro tuto zásadu.

  6. Až budete hotovi, klikněte na Uložit a aktualizujte zásady ochrany aplikací.

Změna seznamu skupin uživatelů

  1. V podokně Ochrana aplikací zásady vyberte zásadu, kterou chcete změnit.

  2. V podokně Intune App Protection vyberte Vlastnosti.

  3. Vedle oddílu s názvem Zadání vyberte Upravit.

  4. Pokud chcete do zásady přidat novou skupinu uživatelů, na kartě Zahrnout zvolte Vybrat skupiny, které chcete zahrnout, a vyberte skupinu uživatelů. Zvolte Vybrat a přidejte skupinu.

  5. Pokud chcete vyloučit skupinu uživatelů, na kartě Vyloučit zvolte Vybrat skupiny k vyloučení a vyberte skupinu uživatelů. Zvolte Vybrat a odeberte skupinu uživatelů.

  6. Pokud chcete odstranit dříve přidané skupiny, vyberte na kartách Zahrnout nebo Vyloučit tři tečky (...) a pak vyberte Odstranit.

  7. Kliknutím na Zkontrolovat a vytvořit zkontrolujte skupiny uživatelů vybrané pro tuto zásadu.

  8. Po dokončení změn přiřazení vyberte Uložit a uložte konfiguraci a nasaďte zásady pro novou sadu uživatelů. Pokud před uložením konfigurace vyberete Zrušit , zahodíte všechny změny, které jste udělali na kartách Zahrnout a Vyloučit .

Změna nastavení zásad

  1. V podokně Ochrana aplikací zásady vyberte zásadu, kterou chcete změnit.

  2. V podokně Intune App Protection vyberte Vlastnosti.

  3. Vedle oddílu odpovídajícího nastavení, které chcete změnit, vyberte Upravit. Pak změňte nastavení na nové hodnoty.

  4. Kliknutím na Zkontrolovat a vytvořit zkontrolujte aktualizovaná nastavení pro tuto zásadu.

  5. Výběrem možnosti Uložit uložte provedené změny. Opakováním postupu vyberte oblast nastavení a upravte a pak uložte změny, dokud se všechny změny neskončí. Podokno Intune App Protection – Vlastnosti pak můžete zavřít.

Cílení zásad ochrany aplikací na základě stavu správy zařízení

V mnoha organizacích je běžné umožnit koncovým uživatelům používat zařízení spravovaná pomocí Intune Mobile Správa zařízení (MDM), jako jsou zařízení vlastněná společností, i nespravovaná zařízení chráněná jenom zásadami ochrany aplikací Intune. Nespravovaná zařízení se často označují jako přineste si vlastní zařízení (BYOD).

Vzhledem k tomu, že zásady ochrany aplikací Intune cílí na identitu uživatele, nastavení ochrany pro uživatele se může vztahovat jak na zaregistrovaná zařízení (spravovaná MDM), tak i na nezaregistrovaná zařízení (bez MDM). Proto můžete pomocí filtrů zacílit zásady ochrany aplikací Intune na zařízení s iOS/iPadOS a Androidem zaregistrovaná nebo nezaregistrovaná v Intune. Další informace o vytváření filtrů najdete v tématu Použití filtrů při přiřazování zásad . Můžete mít jednu zásadu ochrany pro nespravovaná zařízení, ve kterých jsou zavedeny přísné ovládací prvky ochrany před únikem informací (DLP), a samostatné zásady ochrany pro zařízení spravovaná pomocí MDM, kde mohou být ovládací prvky ochrany před únikem informací o něco uvolněnější. Další informace o tom, jak to funguje na osobních zařízeních s Androidem Enterprise, najdete v tématu zásady Ochrana aplikací a pracovní profily.

Pokud chcete tyto filtry použít při přiřazování zásad, přejděte v Centru pro správu Intune na Aplikace>Ochrana aplikací zásady a pak vyberte Vytvořit zásadu. Můžete také upravit existující zásady ochrany aplikací. Přejděte na stránku Přiřazení a vyberte Upravit filtr , abyste zahrnuli nebo vyloučili filtry pro přiřazenou skupinu.

typy Správa zařízení

Důležité

Microsoft Intune končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS) 30. srpna 2024. Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme před ukončením podpory přepnout na jinou možnost správy Androidu v Intune. Další informace najdete v článku Ukončení podpory pro správce zařízení s Androidem na zařízeních GMS.

  • Nespravované: Pro zařízení s iOS/iPadOS jsou nespravovaná zařízení všechna zařízení, u kterých klíč nepředá IntuneMAMUPN správa MDM Intune nebo řešení MDM/EMM třetí strany. U zařízení s Androidem jsou nespravovaná zařízení zařízení, u kterých se nezjistila správa MDM v Intune. To zahrnuje zařízení spravovaná externími dodavateli MDM.
  • Zařízení spravovaná Přes Intune: Spravovaná zařízení spravuje Intune MDM.
  • Správce zařízení s Androidem: Zařízení spravovaná přes Intune pomocí rozhraní API pro správu zařízení s Androidem.
  • Android Enterprise: Zařízení spravovaná přes Intune využívající pracovní profily Android Enterprise nebo úplné Správa zařízení Android Enterprise.
  • Vyhrazená zařízení s Androidem Enterprise vlastněná společností s Microsoft Entra režimem sdíleného zařízení: Zařízení spravovaná v Intune, která používají vyhrazená zařízení s Androidem Enterprise v režimu sdíleného zařízení.
  • Zařízení s Androidem (AOSP) přidružená uživatelem: Zařízení spravovaná přes Intune, která používají správu přidruženou k uživateli AOSP.
  • Uživatelská zařízení s Androidem (AOSP): Zařízení spravovaná v Intune pomocí zařízení bez uživatelů AOSP. Tato zařízení také využívají Microsoft Entra režim sdíleného zařízení.

Zařízení s Androidem zobrazí výzvu k instalaci aplikace Portál společnosti Intune bez ohledu na to, jaký typ Správa zařízení zvolíte. Pokud například vyberete Android Enterprise, zobrazí se výzva i uživatelům s nespravovanými zařízeními s Androidem.

Pro iOS/iPadOS se k vynucení typu Správa zařízení na zařízeních spravovaných v Intune vyžadují další nastavení konfigurace aplikací. Tyto konfigurace sdělí službě APP, že je spravovaná konkrétní aplikace a že nastavení aplikace se nepoužije:

Nastavení zásad

Pokud chcete zobrazit úplný seznam nastavení zásad pro iOS/iPadOS a Android, vyberte jeden z následujících odkazů:

Další kroky

Monitorování dodržování předpisů a stavu uživatele

Viz také