Alkalmazásvédelmi szabályzatok létrehozása és hozzárendelése

  • Cikk

Megtudhatja, hogyan hozhat létre és rendelhet hozzá Microsoft Intune alkalmazásvédelmi szabályzatokat (APP) a szervezet felhasználói számára. Ez a cikk azt is ismerteti, hogyan módosíthatja a meglévő szabályzatokat.

Az első lépések

Alkalmazásvédelem szabályzatok olyan eszközökön futó alkalmazásokra is alkalmazhatók, amelyeket az Intune kezelhet vagy nem. Az alkalmazásvédelmi szabályzatok működésével és az Intune alkalmazásvédelmi szabályzatai által támogatott forgatókönyvekkel kapcsolatos részletesebb leírásért lásd: Alkalmazásvédelem szabályzatok áttekintése.

Az alkalmazásvédelmi szabályzatokban (APP) elérhető választási lehetőségek lehetővé teszik a szervezetek számára, hogy a védelmet a saját igényeiknek megfelelően alakítsák. Előfordulhat, hogy egyes esetekben nem egyértelmű, hogy mely házirend-beállítások szükségesek egy teljes forgatókönyv implementálásához. Annak érdekében, hogy a szervezetek előnyben részesítsék a mobilügyfél-végpontok megerősítését, a Microsoft bevezette az APP adatvédelmi keretrendszerének osztályozását az iOS és Android rendszerű mobilalkalmazás-felügyelethez.

Az APP adatvédelmi keretrendszer három különböző konfigurációs szintre van rendezve, és mindegyik szint az előző szintből építkezik:

  • Az alapszintű nagyvállalati adatvédelem (1. szint) biztosítja, hogy az alkalmazások PIN-kóddal legyenek védve, titkosítva legyenek, és szelektív adattörlési műveleteket hajtsanak végre. Android-eszközök esetén ez a szint ellenőrzi az Android-eszközök hitelesítését. Ez egy kezdő szintű konfiguráció, amely hasonló adatvédelmi vezérlést biztosít az Exchange Online postaládára vonatkozó házirendjeiben, és az informatikai megoldásokat és a felhasználók rendszerbe való feltöltését vezeti be az APP-ben.
  • A nagyvállalati szintű fokozott adatvédelem (2. szint) alkalmazásadatok kiszivárgásának megelőzésére szolgáló mechanizmusokat és minimális operációsrendszer-követelményeket vezet be. Ez az a konfiguráció, amely a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére vonatkozik.
  • Anagyvállalati szintű magas fokú adatvédelem (3. szint) fejlett adatvédelmi mechanizmusokat, továbbfejlesztett PIN-konfigurációt és az APP mobilfenyegetés-védelmét vezeti be. Ez a konfiguráció olyan felhasználóknak kellhet, akik magas kockázatú adatokhoz férnek hozzá.

Az egyes konfigurációs szintekre vonatkozó konkrét javaslatok és a minimális mennyiségű védelemre szoruló alkalmazások megtekintéséhez tekintse át az Alkalmazásvédelmi házirendeket használó adatvédelmi keretrendszert ismertető cikket.

Ha olyan alkalmazásokat keres, amelyek integrálták az Intune SDK-t, tekintse meg Microsoft Intune védett alkalmazásokat.

További információ a szervezet üzletági (LOB) alkalmazásainak Microsoft Intune alkalmazásvédelmi szabályzatokra való előkészítéséhez való hozzáadásáról: Alkalmazások hozzáadása Microsoft Intune.

szabályzatok Alkalmazásvédelem iOS-/iPadOS- és Android-alkalmazásokhoz

Amikor alkalmazásvédelmi szabályzatot hoz létre iOS-/iPadOS- és Android-alkalmazásokhoz, egy modern Intune-folyamatot követ, amely új alkalmazásvédelmi szabályzatot eredményez. További információ a Windows-alkalmazások alkalmazásvédelmi szabályzatainak létrehozásáról: Alkalmazásvédelem Windows-házirend-beállítások.

iOS-/iPadOS- vagy Android-alkalmazásvédelmi szabályzat létrehozása

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza az Alkalmazások>Alkalmazásvédelem szabályzatok lehetőséget. Ez a kijelölés megnyitja a Alkalmazásvédelem házirendek részleteit, ahol új szabályzatokat hozhat létre, és szerkesztheti a meglévő szabályzatokat.

  3. Válassza a Szabályzat létrehozása lehetőséget, és válassza az iOS/iPadOS vagy az Android lehetőséget. Megjelenik a Szabályzat létrehozása panel.

  4. Az Alapvető beállítások lapon adja hozzá a következő értékeket:

    Érték Leírás
    Name (Név) Az alkalmazásvédelmi szabályzat neve.
    Leírás [Nem kötelező] Az alkalmazásvédelmi szabályzat leírása.

    A Platform értéke a fenti választás alapján van beállítva.

    Képernyőkép a Szabályzat létrehozása panel Alapvető beállítások lapjáról

  5. Kattintson a Tovább gombra az Alkalmazások lap megjelenítéséhez.
    Az Alkalmazások lapon kiválaszthatja, hogy mely alkalmazásokat célozza meg ez a szabályzat. Legalább egy alkalmazást fel kell vennie.

    Érték/beállítás Leírás
    Célházirend A Célszabályzat legördülő listában válassza a Minden alkalmazás, Microsoft Apps vagy Core Microsoft Apps alkalmazásvédelmi szabályzatot.

    • Minden alkalmazás tartalmazza az intune SDK-t integráló összes Microsoft- és partneralkalmazást.
    • Microsoft Apps tartalmazza az intune SDK-t integrált összes Microsoft-alkalmazást.
    • A Core Microsoft Apps a következő alkalmazásokat tartalmazza: Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do és Word.

    Ezután kiválaszthatja a Megtekintheti a megcélzott alkalmazások listáját a szabályzat által érintett alkalmazások listájának megtekintéséhez.
    Nyilvános alkalmazások Ha nem szeretné kiválasztani az előre definiált alkalmazáscsoportok egyikét, az egyes alkalmazásokat a Célszabályzat legördülő listájában a Kijelölt alkalmazások lehetőség kiválasztásával célozhatja meg. Kattintson a Nyilvános alkalmazások kiválasztása elemre a megcélzandó nyilvános alkalmazások kiválasztásához.
    Egyéni alkalmazások Ha nem szeretné kiválasztani az előre definiált alkalmazáscsoportok egyikét, az egyes alkalmazásokat a Célszabályzat legördülő listájában a Kijelölt alkalmazások lehetőség kiválasztásával célozhatja meg. Kattintson az Egyéni alkalmazások kiválasztása elemre, és válassza ki a kötegazonosító alapján megcélzott egyéni alkalmazásokat. Nem választhat egyéni alkalmazást, ha az összes nyilvános alkalmazást ugyanabban a szabályzatban célozza meg.

    A kiválasztott alkalmazás(ok) megjelennek a nyilvános és az egyéni alkalmazások listájában.

    Megjegyzés:

    A nyilvános alkalmazások a Microsofttól származó alkalmazások és a Microsoft Intune gyakran használt partnerek. Ezek az Intune által védett alkalmazások a mobilalkalmazás-védelmi szabályzatok számos támogatásával érhetők el. További információ: Microsoft Intune védett alkalmazások. Az egyéni alkalmazások olyan üzletági alkalmazások, amelyek integrálva vannak az Intune SDK-val, vagy amelyeket az Intune App Wrapping Tool csomagoltak be. További információ: Microsoft Intune App SDK áttekintése és Üzletági alkalmazások előkészítése alkalmazásvédelmi szabályzatokhoz.

  6. Kattintson a Tovább gombra az Adatvédelmi oldal megjelenítéséhez.
    Ez a lap az adatveszteség-megelőzési (DLP) vezérlők beállításait tartalmazza, beleértve a kivágásra, másolásra, beillesztésre és mentésre vonatkozó korlátozásokat. Ezek a beállítások határozzák meg, hogy a felhasználók hogyan használják az alkalmazásvédelmi szabályzat hatálya alatt lévő alkalmazások adatait.

    Adatvédelmi beállítások:

  7. Kattintson a Tovább gombra a Hozzáférési követelmények lap megjelenítéséhez .
    Ezen a lapon olyan beállításokat talál, amelyekkel konfigurálhatja azokat a PIN-kód- és hitelesítőadat-követelményeket, amelyeknek a felhasználóknak meg kell felelniük ahhoz, hogy munkahelyi környezetben férhessenek hozzá az alkalmazásokhoz.

    Hozzáférési követelmények beállításai:

  8. A Feltételes indítás lap megjelenítéséhez kattintson a Tovább gombra.
    Ezen a lapon az alkalmazásvédelmi szabályzat bejelentkezési biztonsági követelményeinek beállítására szolgáló beállításokat talál. Válasszon ki egy beállítást , és adja meg azt az értéket , amelyet a felhasználóknak meg kell felelniük a vállalati alkalmazásba való bejelentkezéshez. Ezután válassza ki a kívánt műveletet , ha a felhasználók nem felelnek meg a követelményeknek. Bizonyos esetekben több művelet is konfigurálható egyetlen beállításhoz.

    Feltételes indítási beállítások:

  9. Kattintson a Tovább gombra a Feladatok lap megjelenítéséhez.
    A Hozzárendelések lapon felhasználói csoportokhoz rendelheti az alkalmazásvédelmi szabályzatot. A szabályzat érvénybe léptetéséhez a szabályzatot felhasználók egy csoportjára kell alkalmaznia.

  10. Kattintson a Tovább: Áttekintés + létrehozás elemre az alkalmazásvédelmi szabályzathoz megadott értékek és beállítások áttekintéséhez.

  11. Ha elkészült, kattintson a Létrehozás gombra az alkalmazásvédelmi szabályzat intune-beli létrehozásához.

    Tipp

    Ezek a házirend-beállítások csak akkor lesznek kényszerítve, ha alkalmazásokat használnak a munkahelyi környezetben. Ha a végfelhasználók az alkalmazást személyes feladat végrehajtására használják, ezek a szabályzatok nem érintik őket. Vegye figyelembe, hogy új fájl létrehozásakor az személyes fájlnak minősül.

    Fontos

    Időbe telhet, mire az alkalmazásvédelmi szabályzatok érvényesek lesznek a meglévő eszközökre. A végfelhasználók értesítést kapnak az eszközön az alkalmazásvédelmi szabályzat alkalmazásakor. Alkalmazásvédelmi szabályzatok alkalmazása az eszközökre a párhuzamos hozzáférési szabályok alkalmazása előtt.

A végfelhasználók letölthetik az alkalmazásokat az App Store-ból vagy a Google Play áruházból. További információ:

Meglévő szabályzatok módosítása

Szerkesztheti a meglévő szabályzatokat, és alkalmazhatja a megcélzott felhasználókra. A szabályzatkézbesítés időzítésével kapcsolatos további információkért lásd: Az alkalmazásvédelmi szabályzat kézbesítési időzítésének ismertetése.

A szabályzathoz társított alkalmazások listájának módosítása

  1. A Alkalmazásvédelem házirendek panelen válassza ki a módosítani kívánt szabályzatot.

  2. Az Intune App Protection panelen válassza a Tulajdonságok lehetőséget.

  3. Az Alkalmazások szakasz mellett válassza a Szerkesztés lehetőséget.

  4. Az Alkalmazások lapon kiválaszthatja, hogy mely alkalmazásokat célozza meg ez a szabályzat. Legalább egy alkalmazást fel kell vennie.

    Érték/beállítás Leírás
    Nyilvános alkalmazások A Célszabályzat legördülő listában válassza ki, hogy az alkalmazásvédelmi szabályzatot a Minden nyilvános alkalmazás, Microsoft Apps vagy Core Microsoft Apps értékre célozza. Ezután kiválaszthatja a Megtekintheti a megcélzott alkalmazások listáját a szabályzat által érintett alkalmazások listájának megtekintéséhez.

    Szükség esetén a Nyilvános alkalmazások kiválasztása gombra kattintva dönthet úgy, hogy az egyes alkalmazásokat célozza meg.

    Egyéni alkalmazások Kattintson az Egyéni alkalmazások kiválasztása elemre, és válassza ki a kötegazonosító alapján megcélzott egyéni alkalmazásokat.

    A kiválasztott alkalmazás(ok) megjelennek a nyilvános és az egyéni alkalmazások listájában.

  5. Kattintson a Felülvizsgálat + létrehozás elemre a szabályzathoz kiválasztott alkalmazások áttekintéséhez.

  6. Ha végzett, kattintson a Mentés gombra az alkalmazásvédelmi szabályzat frissítéséhez.

A felhasználói csoportok listájának módosítása

  1. A Alkalmazásvédelem házirendek panelen válassza ki a módosítani kívánt szabályzatot.

  2. Az Intune App Protection panelen válassza a Tulajdonságok lehetőséget.

  3. A Hozzárendelések szakasz mellett válassza a Szerkesztés lehetőséget.

  4. Ha új felhasználói csoportot szeretne hozzáadni a szabályzathoz, a Belefoglalás lapon válassza a Felvenni kívánt csoportok kiválasztása lehetőséget, majd válassza ki a felhasználói csoportot. Válassza a Kiválasztás lehetőséget a csoport hozzáadásához.

  5. Felhasználói csoport kizárásához a Kizárás lapon válassza a Kizárandó csoportok kiválasztása lehetőséget, majd válassza ki a felhasználói csoportot. Válassza a Kiválasztás lehetőséget a felhasználói csoport eltávolításához.

  6. A korábban hozzáadott csoportok törléséhez az Include (Belefoglalás ) vagy a Exclude (Kizárás ) lapon válassza a három pontot (...), majd a Delete ( Törlés) lehetőséget.

  7. Kattintson a Felülvizsgálat + létrehozás gombra a szabályzathoz kiválasztott felhasználói csoportok áttekintéséhez.

  8. Miután a hozzárendelések módosításai elkészültek, a Mentés gombra kattintva mentse a konfigurációt, és telepítse a szabályzatot az új felhasználói csoportban. Ha a konfiguráció mentése előtt a Mégse lehetőséget választja, a Belefoglalás és a Kizárás lapon végzett összes módosítást elveti.

Szabályzatbeállítások módosítása

  1. A Alkalmazásvédelem házirendek panelen válassza ki a módosítani kívánt szabályzatot.

  2. Az Intune App Protection panelen válassza a Tulajdonságok lehetőséget.

  3. A módosítani kívánt beállításoknak megfelelő szakasz mellett válassza a Szerkesztés lehetőséget. Ezután módosítsa a beállításokat új értékekre.

  4. Kattintson a Felülvizsgálat + létrehozás elemre a szabályzat frissített beállításainak áttekintéséhez.

  5. A módosítások mentéséhez válassza a Mentés lehetőséget. Ismételje meg a folyamatot egy beállítási terület kiválasztásához, majd a módosítások mentéséhez, amíg az összes módosítás be nem fejeződik. Ezután bezárhatja az Intune App Protection – Tulajdonságok panelt.

Célalkalmazás-védelmi szabályzatok az eszközfelügyeleti állapot alapján

Számos szervezetben gyakori, hogy a végfelhasználók az Intune Mobile Eszközkezelés (MDM) által felügyelt eszközöket is használhatják, például a vállalati tulajdonú eszközöket, valamint a csak Az Intune alkalmazásvédelmi szabályzataival védett nem felügyelt eszközöket. A nem felügyelt eszközöket gyakran saját eszközök használata (BYOD) néven ismerjük.

Mivel az Intune alkalmazásvédelmi szabályzatai a felhasználó identitására vonatkoznak, a felhasználók védelmi beállításai a regisztrált (MDM által felügyelt) és a nem regisztrált eszközökre (MDM nélkül) egyaránt alkalmazhatók. Ezért az Intune alkalmazásvédelmi szabályzatát megcélozhatja az Intune-ban regisztrált vagy nem regisztrált iOS/iPadOS- és Android-eszközökre szűrők használatával. A szűrők létrehozásával kapcsolatos további információkért lásd: Szűrők használata szabályzatok hozzárendelésekor . Rendelkezhet egy védelmi szabályzattal a nem felügyelt eszközökhöz, amelyeken szigorú adatveszteség-megelőzési (DLP) vezérlők vannak érvényben, valamint egy külön védelmi szabályzattal az MDM által felügyelt eszközökhöz, ahol a DLP-vezérlők kissé enyhültebbek lehetnek. További információ a személyes Android Enterprise-eszközökön való működésről: Alkalmazásvédelem szabályzatok és munkahelyi profilok.

Ha ezeket a szűrőket szabályzatok hozzárendelésekor szeretné használni, keresse meg az Intune Felügyeleti központban az Alkalmazások>Alkalmazásvédelem szabályzatok elemet, majd válassza a Szabályzat létrehozása lehetőséget. Egy meglévő alkalmazásvédelmi szabályzatot is szerkeszthet. Lépjen a Hozzárendelések lapra, és válassza a Szűrő szerkesztése lehetőséget a hozzárendelt csoport szűrőinek belefoglalásához vagy kizárásához.

Eszközkezelés típusok

Fontos

Microsoft Intune 2024. augusztus 30-án megszűnik az Android-eszközök rendszergazdai felügyeletének támogatása a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközökön. Ezt követően az eszközregisztráció, a technikai támogatás, a hibajavítások és a biztonsági javítások nem lesznek elérhetők. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy a támogatás befejeződése előtt váltson egy másik Android-felügyeleti lehetőségre az Intune-ban. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.

  • Nem felügyelt: Az iOS-/iPadOS-eszközök esetében a nem felügyelt eszközök olyan eszközök, amelyeknél az Intune MDM-felügyelet vagy egy külső MDM-/EMM-megoldás nem adja át a IntuneMAMUPN kulcsot. Android-eszközök esetén a nem felügyelt eszközök olyan eszközök, amelyeknél az Intune MDM felügyelete nem észlelhető. Ide tartoznak a külső MDM-szállítók által kezelt eszközök.
  • Intune által felügyelt eszközök: A felügyelt eszközöket az Intune MDM felügyeli.
  • Android-eszközadminisztrátor: Az Intune által felügyelt eszközök az Android Device Administration API használatával.
  • Android Enterprise: Az Intune által felügyelt eszközök androidos vállalati munkahelyi profilokkal vagy Android Enterprise teljes Eszközkezelés.
  • Android Enterprise vállalati tulajdonú dedikált eszközök Microsoft Entra megosztott eszköz móddal: Az Intune által felügyelt eszközök az Android Enterprise dedikált eszközeivel, megosztott eszköz móddal.
  • Android (AOSP) felhasználóhoz társított eszközök: Az Intune által felügyelt eszközök az AOSP felhasználóhoz társított felügyeletével.
  • Androidos (AOSP) felhasználó nélküli eszközök: Intune által felügyelt eszközök AOSP felhasználó nélküli eszközökkel. Ezek az eszközök Microsoft Entra megosztott eszköz módot is használják.

Android rendszeren az Android-eszközök kérni fogják a Intune Céges portál alkalmazás telepítését, függetlenül attól, hogy melyik Eszközkezelés típust választják. Ha például az "Android Enterprise" lehetőséget választja, a nem felügyelt Android-eszközökkel rendelkező felhasználókat a rendszer továbbra is kérni fogja.

iOS/iPadOS esetén további alkalmazáskonfigurációs beállításokra van szükség ahhoz, hogy a Eszközkezelés típust kényszerítse ki az Intune által felügyelt eszközökre. Ezek a konfigurációk közlik az APP Service-rel, hogy egy adott alkalmazást felügyelnek, és az alkalmazásbeállítások nem lesznek érvényesek:

Szabályzatbeállítások

Az iOS/iPadOS és az Android rendszerre vonatkozó szabályzatbeállítások teljes listájának megtekintéséhez válassza az alábbi hivatkozások egyikét:

Következő lépések

A megfelelőség és a felhasználói állapot monitorozása

Lásd még