Vytvoření a přiřazení zásad ochrany aplikací

naučte se vytvářet a přiřazovat Microsoft Intune zásady ochrany aplikací (app) pro uživatele vaší organizace. Toto téma také popisuje, jak změnit existující zásady.

Než začnete

Zásady ochrany aplikací lze použít pro aplikace běžící na zařízeních, která může nebo nemusí spravovat Intune. Podrobnější popis toho, jak zásady ochrany aplikací fungují, a scénáře podporované zásadami ochrany aplikací Intune najdete v tématu Přehled zásad ochrany aplikací.

Volby dostupné v zásadách ochrany aplikací (aplikace) umožňují organizacím přizpůsobit ochranu na jejich konkrétní potřeby. V některých případech nemusí být zřejmé, která nastavení zásad jsou nutná k implementaci kompletního scénáře. Microsoft zavedl taxonomii pro své rozhraní ochrany dat aplikací pro správu mobilních aplikací v iOS a Androidu, aby organizacím pomohly určit prioritu posílení koncových bodů mobilních klientů.

Architektura aplikace Data Protection je rozdělená na tři různé úrovně konfigurace, přičemž každá úroveň se sestavuje na předchozí úrovni:

  • Základní ochrana dat pro podniky (Úroveň 1) zajišťuje, že aplikace budou chráněné PINem a zašifrované. Provádí také selektivní operace vymazání. Na zařízeních s Androidem tato úroveň ověřuje atestaci zařízení Android. toto je konfigurace na úrovni vstupu, která poskytuje podobné řízení ochrany dat v Exchange Online zásady poštovních schránek a zavádí uživatele a naplnění do aplikace.
  • Enterprise rozšířená ochrana dat (úroveň 2) zavádí mechanismy prevence úniku dat aplikace a minimální požadavky na operační systém. Tato konfigurace se hodí pro většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.
  • Enterprise vysoká ochrana dat (úroveň 3) zavádí pokročilé mechanismy ochrany dat, vylepšenou konfiguraci kódu PIN a ochranu před mobilními hrozbami aplikace. Tato konfigurace je vhodná pro uživatele, kteří přistupují k vysoce rizikovým datům.

Pokud chcete zobrazit konkrétní doporučení pro jednotlivé úrovně konfigurace a minimální aplikace, které musí být chráněné, přečtěte si téma Ochrana dat pomocí zásad ochrany aplikací.

pokud hledáte seznam aplikací, které mají integrovanou sadu intune SDK, přečtěte si téma Microsoft Intune protected apps.

Informace o přidání obchodních aplikací organizace do Microsoft Intune kvůli přípravě na zásady ochrany aplikací najdete v tématu Přidání aplikací do Microsoft Intune.

Zásady ochrany aplikací pro iOS/iPadOS a aplikace pro Android

Když vytvoříte zásady ochrany aplikací pro iOS/iPadOS a aplikace pro Android, budete postupovat podle moderního toku procesu Intune, který má za následek novou zásadu ochrany aplikací. informace o vytváření zásad ochrany aplikací pro aplikace Windows najdete v tématu vytvoření a nasazení zásad Windows Information Protection (nv) s intune.

Vytvoření zásad ochrany aplikací pro iOS/iPadOS nebo Android

  1. Přihlaste se k Centru pro správu Microsoft Endpoint Manageru.

  2. Vyberte aplikace > Zásady ochrany aplikací. Po výběru této možnosti se zobrazí detaily Zásady ochrany aplikací, kde můžete vytvářet nové zásady a upravovat stávající.

  3. Vyberte vytvořit zásadu a vyberte možnost iOS/iPadOS nebo Android. Zobrazí se podokno vytvořit zásadu .

  4. Na stránce základy přidejte následující hodnoty:

    Hodnota Popis
    Název Název této zásady ochrany aplikací
    Popis Volitelné Popis této zásady ochrany aplikací

    Hodnota platformy je nastavená na základě výše zvolené možnosti.

    Snímek stránky základy v podokně vytvořit zásadu

  5. Kliknutím na Další zobrazte stránku aplikace .
    Stránka aplikace umožňuje zvolit, jak chcete tyto zásady použít pro aplikace na různých zařízeních. Musíte přidat alespoň jednu aplikaci.

    Hodnota/možnost Popis
    Cíl pro aplikace na všech typech zařízení Tuto možnost použijte, pokud chcete zásady zaměřit na aplikace na zařízeních libovolného stavu správy. Pokud chcete cílit aplikace na konkrétní typy zařízení, vyberte ne . Informace najdete v tématu cílení zásad ochrany aplikací na základě stavu správy zařízení.
    Typy zařízení Tuto možnost použijte, pokud chcete určit, jestli se tato zásada vztahuje na zařízení spravovaná MDM nebo na nespravovaná zařízení. V případě zásad aplikací pro iOS/iPadOS vyberte možnost z nespravovaných a spravovaných zařízení. V případě zásad aplikací pro Android vyberte z nespravovaného, Správce zařízení s androidem a Enterprise pro Android.
    Veřejné aplikace v rozevíracím seznamu cílová zásada na rozevírací seznam vyberte cíl zásady ochrany aplikací pro všechny veřejné aplikace, Microsoft Apps nebo jádro Microsoft Apps. V dalším kroku můžete vybrat Zobrazit seznam aplikací, na které se bude cílit, a zobrazit tak seznam aplikací, na které budou tyto zásady ovlivněny.

    V případě potřeby se můžete rozhodnout cílit na jednotlivé aplikace kliknutím na Vybrat veřejné aplikace.

    Vlastní aplikace Klikněte na Vybrat vlastní aplikace a vyberte vlastní aplikace, které chcete cílit na základě ID sady prostředků.

    Vybrané aplikace se zobrazí v seznamu veřejné a vlastní aplikace.

    Poznámka

    Veřejné aplikace jsou podporované v aplikacích od Microsoftu a partnerů, které se běžně používají s Microsoft Intune. U těchto aplikací chráněných službou Intune je dostupná bohatá sada podpory pro zásady ochrany mobilních aplikací. další informace najdete v tématu Microsoft Intune protected apps. Vlastní aplikace jsou obchodní aplikace, které jsou integrované se sadou Intune SDK nebo jsou zabalené App Wrapping Tool Intune. další informace najdete v tématu Microsoft Intune App SDK Overview a příprava obchodních aplikací na zásady ochrany aplikací.

  6. Kliknutím na Další zobrazte stránku Ochrana dat .
    Tato stránka poskytuje nastavení pro řízení ochrany před únikem informací (DLP), včetně omezení pro vyjmutí, kopírování, vložení a uložení. Tato nastavení určují, jak uživatelé pracují s daty v aplikacích, které tato zásada ochrany aplikací používá.

    Nastavení ochrany dat:

  7. Kliknutím na Další zobrazte stránku požadavky na přístup .
    Tato stránka poskytuje nastavení, která umožňují nakonfigurovat požadavky na kód PIN a přihlašovací údaje, které uživatelé musí splnit, aby měli přístup k aplikacím v pracovním kontextu.

    Nastavení požadavků na přístup:

  8. Kliknutím na Další zobrazte podmíněný spouštěcí stránku.
    Tato stránka poskytuje nastavení pro nastavení požadavků na zabezpečení přihlášení pro zásady ochrany aplikací. Vyberte Nastavení a do sloupce Hodnota zadejte hodnotu, kterou uživatelé musí splnit, aby se přihlásili k firemní aplikaci. Pak vyberte akci , kterou chcete provést, pokud uživatelé nesplňují vaše požadavky. V některých případech lze pro jedno nastavení nakonfigurovat více akcí.

    Nastavení podmíněného spuštění:

  9. Kliknutím na tlačítko Další zobrazíte stránku přiřazení .
    Stránka přiřazení vám umožní přiřadit zásady ochrany aplikací skupinám uživatelů. Zásadu musíte použít pro skupinu uživatelů, aby se tyto zásady projevily.

  10. Klikněte na Další: zkontrolovat + vytvořit a zkontrolujte hodnoty a nastavení, které jste zadali pro tyto zásady ochrany aplikací.

  11. Až skončíte, klikněte na vytvořit a vytvořte zásadu ochrany aplikací v Intune.

    Tip

    Tato nastavení zásad se vynutí jenom při použití aplikace v pracovním kontextu. Když koncový uživatel použije aplikaci k provedení osobní úlohy, nebudou mít tyto zásady na ni vliv. Upozorňujeme, že když vytvoříte nový soubor, považuje se za osobní soubor.

    Důležité

    Použití zásad ochrany aplikací v existujících zařízeních může trvat dlouho. Koncovým uživatelům se na zařízení zobrazí oznámení, když se použijí zásady ochrany aplikací. Před použitím pravidel přístupu condidtional použijte zásady ochrany aplikací na zařízení.

Koncoví uživatelé můžou stahovat aplikace z App Storu nebo Google Play. Další informace naleznete v tématu:

Změna existujících zásad

Podle potřeby můžete upravit existující zásady a použít je pro cílové uživatele. Když ale změníte existující zásady, uživatelé, kteří se už přihlásili k aplikacím, neuvidí změny po dobu osmi hodin.

Aby se změny projevily hned, musí se koncový uživatel odhlásit od aplikace a pak se k ní zase přihlásit.

Změna seznamu aplikací přidružených k zásadě

  1. V podokně Zásady ochrany aplikací vyberte zásadu, kterou chcete změnit.

  2. V podokně Intune App Protection vyberte možnost vlastnosti.

  3. Vedle části s názvem aplikace vyberte Upravit.

  4. Stránka aplikace umožňuje zvolit, jak chcete tyto zásady použít pro aplikace na různých zařízeních. Musíte přidat alespoň jednu aplikaci.

    Hodnota/možnost Popis
    Cíl pro aplikace na všech typech zařízení Tuto možnost použijte, pokud chcete zásady zaměřit na aplikace na zařízeních libovolného stavu správy. Pokud chcete cílit aplikace na konkrétní typy zařízení, vyberte ne . Pro toto nastavení může být vyžadována další konfigurace aplikace. Podrobnosti najdete v tématu Cílení zásad ochrany aplikací na základě stavu správy zařízení.
    Typy zařízení Tuto možnost použijte, pokud chcete určit, jestli se tato zásada vztahuje na zařízení spravovaná MDM nebo na nespravovaná zařízení. V případě zásad aplikací pro iOS/iPadOS vyberte možnost z nespravovaných a spravovaných zařízení. V případě zásad aplikací pro Android vyberte z nespravovaného, Správce zařízení s androidem a Enterprise pro Android.
    Veřejné aplikace v rozevíracím seznamu cílová zásada na rozevírací seznam vyberte cíl zásady ochrany aplikací pro všechny veřejné aplikace, Microsoft Apps nebo jádro Microsoft Apps. V dalším kroku můžete vybrat Zobrazit seznam aplikací, na které se bude cílit, a zobrazit tak seznam aplikací, na které budou tyto zásady ovlivněny.

    V případě potřeby se můžete rozhodnout cílit na jednotlivé aplikace kliknutím na Vybrat veřejné aplikace.

    Vlastní aplikace Klikněte na Vybrat vlastní aplikace a vyberte vlastní aplikace, které chcete cílit na základě ID sady prostředků.

    Vybrané aplikace se zobrazí v seznamu veřejné a vlastní aplikace.

  5. Klikněte na tlačítko zkontrolovat + vytvořit a zkontrolujte aplikace vybrané pro tuto zásadu.

  6. Až skončíte, klikněte na Uložit a aktualizujte Zásady ochrany aplikací.

Změna seznamu skupin uživatelů

  1. V podokně Zásady ochrany aplikací vyberte zásadu, kterou chcete změnit.

  2. V podokně Intune App Protection vyberte možnost vlastnosti.

  3. Vedle části s názvem přiřazení vyberte Upravit.

  4. Pokud chcete přidat k zásadě novou skupinu uživatelů, zvolte na kartě Zahrnout možnost Vybrat skupiny, které se zahrnou a vyberte skupinu uživatelů. Zvolte možnost vybrat a přidejte skupinu.

  5. Pokud chcete vyloučit skupinu uživatelů, zvolte na kartě vyloučit možnost vybrat skupiny, které se mají vyloučit a vyberte skupinu uživatelů. Skupinu uživatelů odeberte pomocí možnosti Vybrat.

  6. Pokud chcete odstranit skupiny, které jste dříve přidali, vyberte na kartách Zahrnout nebo vyloučit tři tečky (...) a vyberte Odstranit.

  7. Kliknutím na tlačítko zkontrolovat + vytvořit zkontrolujte skupiny uživatelů vybrané pro tuto zásadu.

  8. Až budou změny v přiřazení připravené, vyberte Uložit a uložte konfiguraci a Nasaďte zásadu na novou skupinu uživatelů. Pokud vyberete Zrušit před uložením konfigurace, zahodí se všechny změny, které jste udělali na kartách zahrnutí a vyloučení .

Změna nastavení zásad

  1. V podokně Zásady ochrany aplikací vyberte zásadu, kterou chcete změnit.

  2. V podokně Intune App Protection vyberte možnost vlastnosti.

  3. Vedle oddílu, který odpovídá nastavení, které chcete změnit, vyberte Upravit. Pak tato nastavení změňte na nové hodnoty.

  4. Kliknutím na tlačítko zkontrolovat + vytvořit zkontrolujte aktualizované nastavení pro tuto zásadu.

  5. Kliknutím na Uložit uložte změny. Opakováním tohoto postupu vyberte jinou oblast nastavení, udělejte změny a pak je uložte, dokud nebudou všechny změny hotové. Pak můžete podokno Intune App Protection – Vlastnosti zavřít.

Cílení zásad ochrany aplikací na základě stavu správy zařízení

V mnoha organizacích je běžné, že koncovým uživatelům umožníte používat zařízení spravovaná přes správu mobilních zařízení (MDM) Intune, jako jsou zařízení vlastněná podnikem, a nespravovaná zařízení chráněná jenom pomocí zásad ochrany aplikací Intune. Nespravovaná zařízení se často označují jako BYOD (Bring Your Own Devices).

Vzhledem k tomu, že zásady ochrany aplikací Intune cílí na identitu uživatele, nastavení ochrany pro uživatele se může vztahovat na zaregistrovaná zařízení (spravovaná přes MDM) i na nezaregistrovaná zařízení (bez MDM). Proto můžete cílit na zásady ochrany aplikací Intune buď na zaregistrovaná, nebo na neregistrovaná zařízení s iOS/iPadOS a Androidem. Můžete mít jednu zásadu ochrany pro nespravovaná zařízení, ve kterých jsou zavedené ovládací prvky ochrany před únikem informací (DLP), a samostatné zásady ochrany pro zařízení spravovaná pomocí MDM, kde můžou být ovládací prvky ochrany před únikem informací trochu uvolněné. další informace o tom, jak funguje na osobních zařízeních s androidem Enterprise, najdete v tématu zásady ochrany aplikací a pracovní profily.

Pokud chcete vytvořit tyto zásady, vyhledejte > v konzole Intune aplikace Zásady ochrany aplikací a potom vyberte vytvořit zásadu. Můžete také upravit existující zásadu ochranu aplikací. Pokud chcete, aby se zásady ochrany aplikací nastavily u spravovaných i nespravovaných zařízení, přejděte na stránku aplikace a ověřte, že cíl pro aplikace na všech typech zařízení je nastavená na Ano, což je výchozí hodnota. Pokud chcete členit přiřazení na základě stavu správy, nastavte cíl pro aplikace na všech typech zařízení na ne.

Typy zařízení

  • Nespravované: u zařízení se systémem iOS/iPadOS jsou nespravovaná zařízení všechna zařízení, ve kterých neprošla Správa Intune MDM nebo řešení MDM/EMM jiného výrobce IntuneMAMUPN . U zařízení s Androidem jsou nespravovaná zařízení zařízení, ve kterých se nezjistila Správa MDM pro Intune. Patří sem zařízení, která spravuje dodavatel MDM třetích stran.
  • Zařízení spravovaná pomocí Intune: spravovaná zařízení se spravují přes Intune MDM.
  • Správce zařízení s Androidem: zařízení spravovaná přes Intune, která používají rozhraní API pro správu zařízení s Androidem.
  • android Enterprise: zařízení spravovaná pomocí intune, která používají pracovní profily Enterprise androidu nebo zařízení s androidem Enterprise úplnou správu.

v androidu se zařízení s androidem zobrazí výzva k instalaci aplikace Portál společnosti Intune bez ohledu na to, který typ zařízení zvolíte. pokud například vyberete "Android Enterprise", budou se stále zobrazovat uživatelé s nespravovanými zařízeními s androidem.

Pro iOS/iPadOS se pro výběr typu zařízení vynutilo pro spravovaná zařízení Intune, vyžadují se další nastavení konfigurace aplikace. Tyto konfigurace budou komunikovat se službou APP Service, že konkrétní aplikace je spravovaná a že nastavení aplikace nebudou platit:

Poznámka

Konkrétní informace o zásadách ochrany aplikací na základě stavu správy zařízení pro iOS/iPadOS najdete v tématu Zásady ochrany mam cílené na základě stavu správy.

Nastavení zásad

Pokud chcete zobrazit úplný seznam nastavení zásad pro iOS/iPadOS a Android, vyberte jeden z následujících odkazů:

Další kroky

Monitorování stavu dodržování předpisů a uživatele

Viz také