Alkalmazások védelme mobilalkalmazás-kezelési házirendekkel a System Center Configuration ManagerbenProtect apps using mobile application management policies in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

A System Center Configuration Manager alkalmazáskezelési házirendek lehetővé teszik az érdekében, hogy azok összhangban a vállalat megfelelőségi és biztonsági házirendjeivel központilag telepített alkalmazások működésének módosítását.System Center Configuration Manager application management policies let you modify the functionality of apps that you deploy to help bring them in line with your company compliance and security policies. Például korlátozhatja a kivágási, másolási és beillesztési műveleteket egy alkalmazáson belül, vagy konfigurálhat egy alkalmazást az URL-címet egy kezelt böngészőben megnyitásához.For example, you can restrict cut, copy, and paste operations within a restricted app, or configure an app to open all URLs inside a managed browser. Az alkalmazáskezelési házirendek az alábbiakat támogatják:App management policies support:

  • Android 4 vagy újabb rendszerű eszközökDevices that run Android 4 and later

  • IOS 9-es vagy újabb rendszerű eszközökDevices that run iOS 9 and later

Mobilalkalmazás-felügyeleti szabályzatok az Intune által nem kezelt eszközök alkalmazásoknak is védelmet is használhatja.You can also use mobile app management policies to protect apps on devices that are not managed by Intune. Ezzel az új funkcióval alkalmazhat mobilalkalmazás-felügyeleti szabályzatok az Office 365-szolgáltatásokhoz alkalmazásokat.Using this new capability, you can apply mobile app management policies to apps that connect to Office 365 services. Ez nem támogatott, amelyek kapcsolódnak a helyszíni Exchange vagy SharePoint-alkalmazások.This is not supported for apps that connect to on-premises Exchange or SharePoint.

Ez a funkció használatához szüksége az Azure betekintő portálon.To use this new capability, you need to use the Azure preview portal. A következő témakörök segíthetnek az első lépések megtételében:The following topics can help you get started:

A korlátozások alkalmazni egy alkalmazásra, az alkalmazásnak tartalmaznia kell a Microsoft Intune App Software Development Kit (SDK).To apply restrictions to an app, the app must incorporate the Microsoft Intune App Software Development Kit (SDK). Ilyen típusú alkalmazást az alábbi két módszerrel lehet beszerezni:There are two methods of obtaining this type of app:

Alkalmazás létrehozása és telepítése mobilalkalmazás-kezelési házirenddelCreate and deploy an app with a mobile application management policy

2. lépés: Az alkalmazást tartalmazó Configuration Manager-alkalmazás létrehozásaStep 2: Create a Configuration Manager application that contains an app

A Configuration Manager-alkalmazás létrehozásának eltér attól függően, hogy használ-e a házirend által kezelt alkalmazások (külső hivatkozás) vagy olyan alkalmazás, amelynek az iOS számára (alkalmazáscsomag az iOS) a Microsoft Intune Alkalmazásburkoló eszközével használatával lett létrehozva.The procedure to create the Configuration Manager application differs depending on whether you are using a policy managed app (external link), or an app that was created by using the Microsoft Intune App Wrapping Tool for iOS (App package for iOS). A Configuration Manager-alkalmazás létrehozásához használja az alábbi eljárások egyikét.Use one of the following procedures to create the Configuration Manager application.

  1. Kattintson a Configuration Manager konzol szoftverkönyvtár > Alkalmazáskezelés > alkalmazások.In the Configuration Manager console, choose Software Library > Application Management > Applications.

  2. Az a Home lap a létrehozása csoportjában válassza alkalmazás létrehozása megnyitásához a alkalmazás létrehozása varázsló.In the Home tab, in the Create group, choose Create Application to open the Create Application Wizard.

  3. Az Általános lapon válassza Az alkalmazás adatainak automatikus észlelése a telepítési fájlokbanlehetőséget.On the General page, select Automatically detect information about this application from installation files.

  4. A Típus legördülő listából válassza az Alkalmazáscsomag az iOS számára (*.ipa fájl) elemet.In the Type drop-down list, select App package for iOS (*.ipa file).

  5. Válasszon Tallózás a importálja, és válassza a kívánt csomag kiválasztásához következő.Choose Browse to select the app package you want to import, and then choose Next.

  6. Az Általános információ lapon adja meg azt a leíró szöveget és kategóriainformációt, amelyet meg szeretne jeleníteni a felhasználóknak a vállalati portálon.On the General Information page, enter the descriptive text and category information that you want users to see in the company portal.

  7. Fejezze be a varázslót.Complete the wizard.

    Az új alkalmazás megjelenik a Szoftverkönyvtár munkaterület Alkalmazások csomópontjában.The new application is displayed in the Applications node of the Software Library workspace.

  1. Kattintson a Configuration Manager konzol szoftverkönyvtár > Alkalmazáskezelés > alkalmazások.In the Configuration Manager console, choose Software Library > Application Management > Applications.

  2. Az a Home lap a létrehozása csoportjában válassza alkalmazás létrehozása megnyitásához a alkalmazás létrehozása varázsló.In the Home tab, in the Create group, choose Create Application to open the Create Application Wizard.

  3. Az Általános lapon válassza Az alkalmazás adatainak automatikus észlelése a telepítési fájlokbanlehetőséget.On the General page, select Automatically detect information about this application from installation files.

  4. A Típus legördülő listában válasszon az alábbiak közül:In the Type drop-down, select one of the following:

    • IOS: Alkalmazáscsomag az iOS App Store-bólFor iOS: App Package for iOS from App Store

    • Android: Alkalmazáscsomag az Androidhoz a Google PlayrőlFor Android: App Package for Android on Google Play

  5. Adja meg az URL-címet az alkalmazás (1. lépés), és válassza a következő.Enter the URL for the app (from step 1), and then choose Next.

  6. Az Általános információ lapon adja meg azt a leíró szöveget és kategóriainformációt, amelyet meg szeretne jeleníteni a felhasználóknak a vállalati portálon.On the General Information page, enter the descriptive text and category information that you want users to see in the company portal.

  7. Fejezze be a varázslót.Complete the wizard.

    Az új alkalmazás megjelenik a Szoftverkönyvtár munkaterület Alkalmazások csomópontjában.The new application is displayed in the Applications node of the Software Library workspace.

3. lépés: Az Alkalmazáskezelési házirend létrehozásaStep 3: Create an application management policy

Ezután hozzon létre egy Alkalmazáskezelési szabályzatot az alkalmazáshoz társítani.Next, create an application management policy that you associate with the application. Létrehozhat általános vagy felügyeltböngésző-szabályzatot.You can create a general or managed browser policy.

1) Kattintson a Configuration Manager konzol szoftverkönyvtár > Alkalmazáskezelés > alkalmazáskezelési házirendek.In the Configuration Manager console, choose Software Library > Application Management > Application Management Policies.

2) Az a Home lap a létrehozása csoportjában válassza Alkalmazáskezelési házirend létrehozása.In the Home tab, in the Create group, choose Create Application Management Policy.

3) Az a általános lapon adja meg a nevét és a házirend leírását, és válassza a következő.On the General page, enter the name and description for the policy, and then choose Next.

4) Az a Házirendtípus lapon válassza ki a platformot és a házirend típusát, és válassza a következő.On the Policy Type page, select the platform and the policy type for this policy, and then choose Next. A következő házirendtípusok közül választhat:The following policy types are available:

  • Általános: Az általános házirendtípus lehetővé teszi, hogy azok összhangban a vállalat megfelelőségi és biztonsági házirendeket központilag telepített alkalmazások működésének módosítását.General: The General policy type lets you modify the functionality of apps that you deploy to help bring them in line with your company compliance and security policies. A korlátozott alkalmazásokban például korlátozhatja a vágás, a másolás és a beillesztés műveletet.For example, you can restrict cut, copy, and paste operations within a restricted app.

  • A Managed Browser: A Managed Browser-szabályzat lehetővé teszi, hogy Ön döntse el, hogy engedélyezi vagy letiltja a managed browser nem nyithatja URL-címek listáját.Managed Browser: The Managed Browser policy lets you decide whether to allow or block the managed browser from opening a list of URLs. A Felügyelt böngésző házirendtípus lehetővé teszi az Intune Managed Browser alkalmazás funkcióinak módosítását.The Managed Browser policy type lets you modify the functionality of the Intune Managed Browser app. Ez egy olyan webböngésző, amellyel kezelheti a felhasználók által végrehajtható műveleteket, beleértve, hogy milyen webhelyeket kereshetnek fel, és hogy miként történik a tartalmakra mutató hivatkozások megnyitása a böngészőben.This is a web browser that lets you manage the actions that users can perform, including the sites they can visit, and how links to content within the browser are opened. További információ az iOS-hez készült Intune Managed Browser alkalmazásról és az Androidhoz készült Intune Managed Browser alkalmazásról.Learn more about the Intune Managed Browser app for iOS and the Intune Managed Browser app for Android.

5) Az a iOS-házirend vagy Android-házirend lapon konfigurálja a következő értékeket, és válassza a következő.On the iOS Policy or Android Policy page, configure the following values as required, and then choose Next. A beállítások eltérhetnek attól függően, hogy a házirendet milyen típusú eszközhöz konfigurálja.The options might differ depending on the device type for which you are configuring the policy.

ÉrtékValue További információMore information
A vállalat által kezelt böngészőben megjelenő webtartalom korlátozásaRestrict web content to display in a corporate managed browser Lehetővé teszi az alkalmazásnak, hogy a kezelt böngészőben nyissa meg az összes hivatkozást.Enables all links in the app to open in the Managed Browser. Ahhoz, hogy működjön ez a beállítás, az alkalmazásnak telepítve kell lennie az eszközökön.You must have deployed this app to devices in order for this option to work.
Android biztonsági mentések tiltása vagy iTunes és iCloud biztonsági mentések tiltásaPrevent Android backups or Prevent iTunes and iCloud backups Információk biztonsági mentésének letiltása az alkalmazásból.Disables the backup of any information from the app.
Más alkalmazásokból való adatátvitel engedélyezése az alkalmazásnakAllow app to transfer data to other apps Megadhatja azokat az alkalmazásokat, amelyekbe ez az alkalmazás adatokat küldhet.Specifies the apps that this app can send data to. Ha szeretné, nem engedélyezi az adatátvitelt bármely alkalmazásba engedélyezése csak más korlátozott alkalmazásokba átviteli, vagy bármely alkalmazásba tiltott átvitele.You can choose to not allow data transfer to any app, to only allow transfer to other restricted apps, or to allow transfer to any app.

iOS-eszközök esetén a kezelt és nem kezelt alkalmazások közötti dokumentumátvitel letiltásához egy olyan mobileszköz-biztonsági házirendet is konfigurálnia és alkalmaznia kell, amely letiltja a Kezelt dokumentumok engedélyezése más nem kezelt alkalmazásokbanbeállítást.For iOS devices, to prevent document transfer between managed and unmanaged apps, you must also configure and deploy a mobile device security policy that disables the setting Allow managed documents in other unmanaged apps.

Ha csak engedélyezi az adatátvitelt más korlátozott alkalmazásokba, az Intune PDF- és képmegtekintői (ha telepítve vannak) segítségével a megfelelő típusú tartalmak megnyitásához.If you select to only allow transfer to other restricted apps, the Intune PDF and image viewers (if deployed) are used to open content of the respective types.
Más alkalmazásokból való adatfogadás engedélyezése az alkalmazásnakAllow app to receive data from other apps Megadhatja azokat az alkalmazásokat, amelyekből ez az alkalmazás adatokat fogadhat.Specifies the apps that this app can receive data from. Dönthet úgy, hogy letiltja az adatátvitel minden alkalmazásból engedélyezése csak más korlátozott alkalmazásokból, illetve bármilyen alkalmazásból érkező adatátvitel engedélyezése.You can choose to not allow data transfer from any app, to only allow transfer from other restricted apps, or to allow transfer from any app.
A „Mentés másként” művelet letiltásaPrevent “Save As” Letiltja a a Mentés másként beállítást az e házirendet használó alkalmazásokban.Disables the use of the Save As option in any app that uses this policy.
Kivágási, másolási és beillesztési műveletek korlátozása más alkalmazásokkalRestrict cut, copy and paste with other apps Megadhatja, hogy miként legyen használható a kivágási, a másolási és a beillesztési művelet az alkalmazással.Specifies how cut, copy, and paste operations can be used with the app. A következő lehetőségek közül választhat:Choose from:

Blokkolt – nem engedélyezi a kivágási, másolási és beillesztési műveletek letiltása az alkalmazás és más alkalmazások között.Blocked – Doesn't allow cut, copy, and paste operations between this app and other apps.

Házirend által felügyelt alkalmazások – lehetővé teszi kivágási, másolási és beillesztési műveletek csak az alkalmazás és más korlátozott alkalmazások között.Policy Managed Apps – Allows cut, copy, and paste operations between only this app and other restricted apps.

Házirend által kezelt alkalmazások beillesztéssel – lehetővé teszi az adatok kivágása vagy másolása az alkalmazásból illeszthetők be más korlátozott alkalmazásokba.Policy Managed Apps with Paste In – Allows data that's cut or copied from this app only to be pasted into other restricted apps. Lehetővé teszi az adatok kivágása vagy bármely alkalmazásból illeszthető be az alkalmazásba másolva.Allows data that is cut or copied from any app to be pasted into this app.

Bármely alkalmazás – korlátozás nélkül használhatók a kivágási, másolási és beillesztési műveletek az alkalmazásból.Any App – No restrictions to cut, copy, and paste operations to or from this app.
Egyszerű PIN-kód szükséges a hozzáféréshezRequire simple PIN for access A felhasználónak az alkalmazás használatához megadott PIN-kód.Requires the user to enter a PIN that they specify to use this app. A felhasználónak kapcsolatba kell beállítaniuk ezt, az első alkalommal futtatja az alkalmazást.The user is asked to set this up the first time they run the app.
Kísérletek száma a PIN-kód alaphelyzetbe állítása előttNumber of attempts before PIN reset Azt a hányszor tehessen kísérletet, mielőtt a felhasználó a PIN-kód alaphelyzetbe állítását.Specifies the number of PIN entry attempts that can be made before the user must reset the PIN.
Vállalati hitelesítő adatok szükségesek a hozzáféréshezRequire corporate credentials for access Megköveteli, hogy a felhasználónak meg kell adnia a vállalati bejelentkezési adatait az alkalmazás eléréséhez.Requires that the user must enter their corporate sign-in information before they can access the app.
A vállalati házirenddel való eszközkompatibilitás szükséges a hozzáféréshezRequire device compliance with corporate policy for access Lehetővé teszi, hogy az alkalmazás használata csak akkor, ha az eszköz nincs függetlenítve vagy rootolva.Allows the app to be used only when the device is not jailbroken or rooted.
A hozzáférési követelmények ismételt ellenőrzése ennyi idő után (perc)Recheck the access requirements after (minutes) Meghatározza az adott időszakban, mielőtt az alkalmazás hozzáférési követelményeinek újbóli ellenőrzéséig fennmaradó, miután az alkalmazás elindul (a a időtúllépés mező).Specifies the time period before the access requirements for the app are rechecked after the app is launched (in the Timeout field).

Az a Offline türelmi időszak mező, ha az eszköz offline állapotban, adja meg az adott időszakban az alkalmazás hozzáférési követelményeinek újbóli ellenőrzéséig.In the Offline grace period field, if the device is offline, specifies the time period before the access requirements for the app are rechecked.
Alkalmazásadatok titkosításaEncrypt app data Meghatározza, hogy ezzel az alkalmazással társított összes adat titkosítva van, például SD-kártyán tárolt adatok kívülről, tárolt adatokat is beleértve.Specifies that all data that is associated with this app is encrypted, including data that's stored externally, such as data stored on SD cards.

Titkosítás iOS rendszerhezEncryption for iOS

A Configuration Manager mobilalkalmazás-kezelési házirendjével társított alkalmazások esetén az adatok titkosítása az operációs rendszer által biztosított eszközszintű titkosítást használ.For apps that are associated with a Configuration Manager mobile application management policy, data is encrypted at rest using device-level encryption that's provided by the OS. Ez az egy eszköz a rendszergazda segítségét. be kell állítani PIN-házirendjén keresztül engedélyezhető Ha a PIN-kód szükséges, az adattitkosítás a mobilalkalmazás-felügyeleti szabályzatban megadott beállítások szerint.This is enabled through a device PIN policy that must be set by the IT admin. When a PIN is required, the data is encrypted per the settings in the mobile application management policy. Az Apple dokumentációjában leírtaknak az iOS 7 által használt modulokra érvényes a FIPS 140-2 szerinti tanúsítást alkalmaznak.As stated in Apple documentation, the modules that are used by iOS 7 are FIPS 140-2 certified.

Titkosítás Android rendszerhezEncryption for Android

A Configuration Manager mobilalkalmazás-kezelési házirendjével társított alkalmazások esetén titkosítást a Microsoft biztosítja.For apps that are associated with a Configuration Manager mobile application management policy, encryption is provided by Microsoft. Az adatok titkosítása a fájl I/O műveleteivel egy időben történik a mobilalkalmazás-kezelési házirendben megadott beállításnak megfelelően.Data is encrypted synchronously during file I/O operations according to the setting in the mobile application management policy. Az Androidban a kezelt alkalmazások az AES-128 titkosítást használják CBC módban, a platform kriptográfiai tárainak felhasználásával.Managed apps on Android use AES-128 encryption in CBC mode utilizing the platform cryptography libraries. A titkosítási módszerre nem érvényes a FIPS 140-2 típusú tanúsítvány.The encryption method is not FIPS 140-2 certified. Az eszköz tárhelyén található tartalom mindig titkosított.Content on the device storage is always encrypted.
Képernyőrögzítés letiltása (csak Android-eszközök esetén)Block screen capture (Android devices only) Megadhatja, hogy az eszköz képernyő-rögzítési lehetőségei le legyenek tiltva az alkalmazás használatakor.Specifies that the screen capture capabilities of the device are blocked when using this app.
Névjegy-szinkronizálás letiltásaDisable contact sync 1710 verziójával kezdve ez a beállítás megakadályozza, hogy az alkalmazás menti az adatokat a natív ügyfelek alkalmazásba az eszköz.Beginning with version 1710, this option prevents the app from saving data to the native Contacts app on the device. Ha a nem gombot választja, az alkalmazás menteni tudja adatokat a natív ügyfelek alkalmazást az eszközön.If you choose No, the app can save data to the native Contacts app on the device.
Tiltsa le a nyomtatásDisable printing 1710 verziójával kezdve ez a beállítás megakadályozza, hogy a nyomtatási munkahelyi vagy iskolai adatokat az alkalmazásból.Beginning with version 1710, this option prevents the app from printing work or school data.

6) Az a Managed Browser lapon adja meg, hogy a felügyelt böngésző kap, a listában csak URL-címek megnyitásához vagy a Managed browser nem nyithatja meg az URL-címeket a listában, és válassza a következő.On the Managed Browser page, select whether the managed browser is allowed to open only URLs in the list or to block the managed browser from opening the URLs in the list, and then choose Next.
További információkért lásd: kezelése Internet-hozzáférés felügyelt böngészőszabályzatokkal.For more information, see Manage Internet access using managed browser policies.

7) Fejezze be a varázslót.Complete the wizard.

Az új házirend megjelenik a Szoftverkönyvtár munkaterület Alkalmazáskezelési házirendek csomópontjában.The new policy is displayed in the Application Management Policies node of the Software Library workspace.

4. lépés: Az Alkalmazáskezelési házirend társítása egy központi telepítési típussalStep 4: Associate the application management policy with a deployment type

Amikor központi telepítési típust hoz létre egy alkalmazáshoz, amelyhez alkalmazáskezelési házirendre, a Configuration Manager felismeri ezt, és megkéri, hogy társítson egy Alkalmazáskezelési házirendet.When a deployment type is created for an app that requires an application management policy, Configuration Manager recognizes this and prompts you to associate an app management policy. A Managed Browser szükségesek hozzá kell rendelnie egy általános és a Managed Browser-szabályzatot.For the Managed Browser, you are required to associate both a General and Managed Browser policy. További információkért lásd: alkalmazásokat.For more information, see Create applications.

Fontos

Ha az alkalmazás már telepítve van, majd az új központi telepítési típus telepítése sikertelen amíg ezt a társítást.If the application is already deployed, then the deployment for the new deployment type fails until this association is made. Ezt a társítást az alkalmazás Tulajdonságai között végezheti el az Alkalmazáskezelés lapon.You can make the association in Properties for the application, on the Application Management tab.

Fontos

Az iOS 7.1-es verziójánál operációs rendszereket futtató eszközök esetén a társított házirendek rendszer nem távolítja el, amikor a rendszer eltávolítja az alkalmazást.For devices that run operating systems earlier than iOS 7.1, associated policies aren't removed when the app is uninstalled.

Ha az eszköz regisztrációját megszüntetik a Configuration Manager alkalmazásból, házirendek nem lesznek eltávolítva az alkalmazásokat.If the device is unenrolled from Configuration Manager, polices are not removed from the apps. Alkalmazások, amelyekre házirendeket alkalmaztak megőrzi a házirend-beállításokat, az alkalmazás eltávolítása és újratelepítése után is.Apps that had policies applied retain the policy settings even after the app is uninstalled and reinstalled.

5. lépés: Az alkalmazás telepítésének figyeléseStep 5: Monitor the app deployment

Miután létrehozott és telepített egy mobilalkalmazás-kezelési házirenddel társított alkalmazást, figyelheti az alkalmazást, és oldja meg az esetleges házirendütközéseket.Once you have created and deployed an app that's associated with a mobile application management policy, you can monitor the app and resolve any policy conflicts.

  1. Kattintson a Configuration Manager konzol szoftverkönyvtár > áttekintése > központi telepítések.In the Configuration Manager console, choose Software Library > Overview > Deployments.

  2. Válassza ki a telepítést, amelyet létrehozott.Select the deployment that you created. Ezt követően a Home lapra, majd tulajdonságok.Then, on the Home tab, choose Properties.

  3. A részleteket tartalmazó ablaktáblán a telepítés alatt kapcsolódó objektumok, válassza a alkalmazáskezelési házirendek.In the details pane for the deployment, under Related Objects, choose Application Management Policies.

    Alkalmazások figyelésével kapcsolatos további információkért lásd: alkalmazások figyeléséhez.For more information about monitoring applications, see Monitor applications.

Ismerje meg a házirend-ütközések feloldásaLearn how policy conflicts are resolved

Ha a felhasználó vagy eszköz első telepített egy mobilalkalmazás felügyeleti házirend ütközik, a rendszer eltávolítja az ütközésben lévő beállításérték a házirendet, amely az alkalmazás központi telepítése.When there is a mobile application management policy conflict on the first deployment to the user or device, the specific setting value that's in conflict is removed from the policy that's deployed to the app. Ezt követően az alkalmazás egy beépített ütközési értéket használ.Then the app uses a built-in conflict value.

Ha az alkalmazás vagy felhasználó későbbi telepített egy mobilalkalmazás felügyeleti házirend ütközik, az ütközésben lévő beállításérték nem frissül, az alkalmazásra alkalmazott mobilalkalmazás-felügyeleti házirend, és az alkalmazás beállítás meglévő értékét használja.When there is a mobile app management policy conflict on later deployments to the app or user, the specific setting value that's in conflict is not updated on the mobile app management policy that's deployed to the app, and the app uses the existing value for that setting.

Azokban az esetekben, amikor az eszköz vagy a felhasználó két ütköző házirendet kap, a következő viselkedés tapasztalható:In cases where the device or user receives two conflicting policies, the following behavior applies:

  • A házirend még telepítve van az eszközön, a meglévő házirend-beállítások nem a rendszer felülírja.If a policy has yet been deployed to the device, the existing policy settings are not overwritten.

  • Ha nincs házirend már alkalmazva van az eszközön, és két ütköző beállítás vannak telepítve, az az eszközbe épített alapértelmezett beállítás használatos.If no policy has already been deployed to the device, and two conflicting settings are deployed, the default setting that's built into the device is used.

Tekintse meg a rendelkezésre álló, házirend által kezelt alkalmazások listájaSee a list of available policy managed apps

A házirend listája, amelyek elérhetők az iOS és Android-eszközök felügyelt alkalmazásokban: Microsoft Intune alkalmazási partnerektől származó.For a list of the policy managed apps that are available for iOS and Android devices, see Microsoft Intune application partners.