Jak tworzyć i przypisywać zasady ochrony aplikacji

  • Artykuł

Dowiedz się, jak tworzyć i przypisywać Microsoft Intune zasad ochrony aplikacji (APP) dla użytkowników w organizacji. W tym artykule opisano również sposób wprowadzania zmian w istniejących zasadach.

Przed rozpoczęciem

Ochrona aplikacji zasady mogą mieć zastosowanie do aplikacji uruchomionych na urządzeniach, które mogą być zarządzane przez usługę Intune. Aby uzyskać bardziej szczegółowy opis działania zasad ochrony aplikacji i scenariuszy obsługiwanych przez zasady ochrony aplikacji usługi Intune, zobacz omówienie zasad Ochrona aplikacji.

Opcje dostępne w zasadach ochrony aplikacji (APP) umożliwiają organizacjom dostosowanie ochrony do ich konkretnych potrzeb. Dla niektórych może nie być oczywiste, które ustawienia zasad są wymagane do wdrożenia pełnego scenariusza. Aby ułatwić organizacjom ustalanie priorytetów zabezpieczeń punktów końcowych klientów na urządzeniach przenośnych, firma Microsoft wprowadziła taksonomię dla struktury ochrony danych aplikacji na potrzeby zarządzania aplikacjami na urządzeniach przenośnych dla systemów iOS i Android.

Struktura ochrony danych zasad APP jest podzielona na trzy różne poziomy konfiguracji, przy czym każdy poziom opiera się na poziomie poprzednim:

  • Podstawowa ochrona danych w przedsiębiorstwie (poziom 1) zapewnia, że aplikacje są chronione przy użyciu kodu PIN i szyfrowane, a także wykonuje selektywne operacje czyszczenia. W przypadku urządzeń z systemem Android ten poziom weryfikuje zaświadczanie urządzenia z systemem Android. Jest to konfiguracja na poziomie podstawowym, która zapewnia podobną kontrolę ochrony danych w zasadach skrzynek pocztowych usługi Exchange Online oraz wprowadza specjalistów IT i populację użytkowników do aplikacji.
  • Rozszerzona ochrona danych w przedsiębiorstwie (poziom 2) wprowadza mechanizmy zapobiegania wyciekom danych aplikacji i minimalne wymagania dotyczące systemu operacyjnego. Jest to konfiguracja, która ma zastosowanie w przypadku większości użytkowników na urządzeniach przenośnych uzyskujących dostęp do danych służbowych.
  • Wysoka ochrona danych w przedsiębiorstwie (poziom 3) wprowadza zaawansowane mechanizmy ochrony danych, rozszerzoną konfigurację kodu PIN i zasady APP dotyczące obrony przed zagrożeniami mobilnymi. Ta konfiguracja jest pożądana dla użytkowników uzyskujących dostęp do danych wysokiego ryzyka.

Aby zobaczyć specyficzne zalecenia dotyczące każdego poziomu konfiguracji i minimalną liczbę aplikacji, które muszą być chronione, zapoznaj się z artykułem Struktura ochrony danych przy użyciu zasad ochrony aplikacji.

Jeśli szukasz listy aplikacji, które zintegrowały zestaw SDK usługi Intune, zobacz Microsoft Intune aplikacje chronione.

Aby uzyskać informacje na temat dodawania aplikacji biznesowych (LOB) organizacji do Microsoft Intune w celu przygotowania się do zasad ochrony aplikacji, zobacz Dodawanie aplikacji do Microsoft Intune.

zasady Ochrona aplikacji dla aplikacji dla systemów iOS/iPadOS i Android

Podczas tworzenia zasad ochrony aplikacji dla aplikacji dla systemów iOS/iPadOS i Android stosujesz nowoczesny przepływ procesu usługi Intune, który powoduje utworzenie nowych zasad ochrony aplikacji. Aby uzyskać informacje na temat tworzenia zasad ochrony aplikacji dla aplikacji systemu Windows, zobacz Ochrona aplikacji ustawienia zasad dla systemu Windows.

Tworzenie zasad ochrony aplikacji systemu iOS/iPadOS lub Android

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Wybierz pozycję Aplikacje>Ochrona aplikacji zasady. Ten wybór powoduje otwarcie szczegółów zasad Ochrona aplikacji, w których można tworzyć nowe zasady i edytować istniejące zasady.

  3. Wybierz pozycję Utwórz zasady i wybierz pozycję iOS/iPadOS lub Android. Zostanie wyświetlone okienko Tworzenie zasad .

  4. Na stronie Podstawy dodaj następujące wartości:

    Value Opis
    Name (Nazwa) Nazwa tych zasad ochrony aplikacji.
    Opis [Opcjonalnie] Opis tych zasad ochrony aplikacji.

    Wartość Platforma jest ustawiana na podstawie powyższego wyboru.

    Zrzut ekranu przedstawiający stronę Podstawy okienka Tworzenie zasad

  5. Kliknij przycisk Dalej , aby wyświetlić stronę Aplikacje .
    Strona Aplikacje umożliwia wybranie aplikacji, które mają być objęte tymi zasadami. Musisz dodać co najmniej jedną aplikację.

    Wartość/opcja Opis
    Zasady docelowe do W polu listy rozwijanej Zasady docelowe wybierz opcję kierowania zasad ochrony aplikacji do pozycji Wszystkie aplikacje, Microsoft Apps lub Podstawowe Microsoft Apps.

    • Wszystkie aplikacje obejmują wszystkie aplikacje firmy Microsoft i partnerów, które zintegrowały zestaw SDK usługi Intune.
    • Microsoft Apps obejmuje wszystkie aplikacje firmy Microsoft, które zintegrowały zestaw SDK usługi Intune.
    • Podstawowe Microsoft Apps obejmują następujące aplikacje: Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do i Word.

    Następnie możesz wybrać pozycję Wyświetl listę aplikacji, które będą przeznaczone do wyświetlania listy aplikacji, których dotyczą te zasady.
    Aplikacje publiczne Jeśli nie chcesz wybierać jednej ze wstępnie zdefiniowanych grup aplikacji, możesz wybrać opcję docelową poszczególnych aplikacji, wybierając pozycję Wybrane aplikacje w polu listy rozwijanej Zasady docelowe . Kliknij pozycję Wybierz aplikacje publiczne , aby wybrać aplikacje publiczne do docelowego miejsca docelowego.
    Aplikacje niestandardowe Jeśli nie chcesz wybierać jednej ze wstępnie zdefiniowanych grup aplikacji, możesz wybrać opcję docelową poszczególnych aplikacji, wybierając pozycję Wybrane aplikacje w polu listy rozwijanej Zasady docelowe . Kliknij pozycję Wybierz aplikacje niestandardowe , aby wybrać aplikacje niestandardowe do lokalizacji docelowej na podstawie identyfikatora pakietu. Nie można wybrać aplikacji niestandardowej w przypadku określania wartości docelowej dla wszystkich aplikacji publicznych w tych samych zasadach.

    Wybrane aplikacje zostaną wyświetlone na liście aplikacji publicznych i niestandardowych.

    Uwaga

    Aplikacje publiczne są obsługiwane przez firmę Microsoft i partnerów, które są często używane z Microsoft Intune. Te aplikacje chronione przez usługę Intune są włączone z rozbudowanym zestawem obsługi zasad ochrony aplikacji mobilnych. Aby uzyskać więcej informacji, zobacz Microsoft Intune chronione aplikacje. Aplikacje niestandardowe to aplikacje biznesowe zintegrowane z zestawem SDK usługi Intune lub opakowane przez App Wrapping Tool usługi Intune. Aby uzyskać więcej informacji, zobacz Microsoft Intune App SDK Overview and Prepare line-of-business apps for app protection policies (Omówienie zestawu SDK aplikacji Microsoft Intune) i Prepare line-of-business apps for app protection policies (Przygotowywanie aplikacji biznesowych do zasad ochrony aplikacji).

  6. Kliknij przycisk Dalej , aby wyświetlić stronę Ochrona danych .
    Ta strona zawiera ustawienia mechanizmów kontroli ochrony przed utratą danych (DLP), w tym ograniczenia wycinania, kopiowania, wklejania i zapisywania jako. Te ustawienia określają sposób interakcji użytkowników z danymi w aplikacjach stosowanych przez te zasady ochrony aplikacji.

    Ustawienia ochrony danych:

  7. Kliknij przycisk Dalej , aby wyświetlić stronę Wymagania dotyczące dostępu .
    Ta strona zawiera ustawienia umożliwiające skonfigurowanie wymagań dotyczących numeru PIN i poświadczeń, które użytkownicy muszą spełnić, aby uzyskać dostęp do aplikacji w kontekście służbowym.

    Ustawienia wymagań dotyczących dostępu:

  8. Kliknij przycisk Dalej , aby wyświetlić stronę Uruchamianie warunkowe .
    Ta strona zawiera ustawienia umożliwiające ustawienie wymagań dotyczących zabezpieczeń logowania dla zasad ochrony aplikacji. Wybierz ustawienie i wprowadź wartość , którą użytkownicy muszą spełnić, aby zalogować się do aplikacji firmowej. Następnie wybierz akcję , którą chcesz wykonać, jeśli użytkownicy nie spełniają Twoich wymagań. W niektórych przypadkach można skonfigurować wiele akcji dla jednego ustawienia.

    Ustawienia uruchamiania warunkowego:

  9. Kliknij przycisk Dalej , aby wyświetlić stronę Przypisania .
    Strona Przypisania umożliwia przypisanie zasad ochrony aplikacji do grup użytkowników. Aby zasady zostały zastosowane, należy zastosować je do grupy użytkowników.

  10. Kliknij przycisk Dalej: Przejrzyj i utwórz , aby przejrzeć wartości i ustawienia wprowadzone dla tych zasad ochrony aplikacji.

  11. Po zakończeniu kliknij pozycję Utwórz , aby utworzyć zasady ochrony aplikacji w usłudze Intune.

    Porada

    Te ustawienia zasad są wymuszane tylko w przypadku korzystania z aplikacji w kontekście służbowym. Gdy użytkownicy końcowi używają aplikacji do wykonywania zadań osobistych, te zasady nie mają na nie wpływu. Pamiętaj, że podczas tworzenia nowego pliku jest on traktowany jako plik osobisty.

    Ważna

    Zastosowanie zasad ochrony aplikacji do istniejących urządzeń może zająć trochę czasu. Użytkownicy końcowi będą widzieć powiadomienie na urządzeniu po zastosowaniu zasad ochrony aplikacji. Przed zastosowaniem reguł dostępu warunkowego zastosuj zasady ochrony aplikacji do urządzeń.

Użytkownicy końcowi mogą pobierać aplikacje ze sklepu App Store lub Google Play. Więcej informacji można znaleźć w następujących artykułach:

Zmienianie istniejących zasad

Istniejące zasady można edytować i stosować do użytkowników docelowych. Aby uzyskać więcej informacji na temat czasu dostarczania zasad, zobacz Omówienie czasu dostarczania zasad ochrony aplikacji.

Aby zmienić listę aplikacji skojarzonych z zasadami

  1. W okienku zasad Ochrona aplikacji wybierz zasady, które chcesz zmienić.

  2. W okienku Ochrona aplikacji usługi Intune wybierz pozycję Właściwości.

  3. Obok sekcji zatytułowanej Aplikacje wybierz pozycję Edytuj.

  4. Strona Aplikacje umożliwia wybranie aplikacji, które mają być objęte tymi zasadami. Musisz dodać co najmniej jedną aplikację.

    Wartość/opcja Opis
    Aplikacje publiczne W polu listy rozwijanej Zasady docelowe wybierz opcję kierowania zasad ochrony aplikacji do pozycji Wszystkie aplikacje publiczne, Microsoft Apps lub Podstawowe Microsoft Apps. Następnie możesz wybrać pozycję Wyświetl listę aplikacji, które będą przeznaczone do wyświetlania listy aplikacji, których dotyczą te zasady.

    W razie potrzeby możesz wybrać opcję docelową poszczególnych aplikacji, klikając pozycję Wybierz aplikacje publiczne.

    Aplikacje niestandardowe Kliknij pozycję Wybierz aplikacje niestandardowe , aby wybrać aplikacje niestandardowe do lokalizacji docelowej na podstawie identyfikatora pakietu.

    Wybrane aplikacje zostaną wyświetlone na liście aplikacji publicznych i niestandardowych.

  5. Kliknij pozycję Przejrzyj i utwórz , aby przejrzeć aplikacje wybrane dla tych zasad.

  6. Po zakończeniu kliknij przycisk Zapisz , aby zaktualizować zasady ochrony aplikacji.

Aby zmienić listę grup użytkowników

  1. W okienku zasad Ochrona aplikacji wybierz zasady, które chcesz zmienić.

  2. W okienku Ochrona aplikacji usługi Intune wybierz pozycję Właściwości.

  3. Obok sekcji zatytułowanej Przypisania wybierz pozycję Edytuj.

  4. Aby dodać nową grupę użytkowników do zasad, na karcie Dołącz wybierz pozycję Wybierz grupy do uwzględnienia i wybierz grupę użytkowników. Wybierz pozycję Wybierz , aby dodać grupę.

  5. Aby wykluczyć grupę użytkowników, na karcie Wyklucz wybierz pozycję Wybierz grupy do wykluczenia i wybierz grupę użytkowników. Wybierz pozycję Wybierz , aby usunąć grupę użytkowników.

  6. Aby usunąć grupy, które zostały dodane wcześniej, na kartach Dołączanie lub Wykluczanie wybierz wielokropek (...) i wybierz pozycję Usuń.

  7. Kliknij pozycję Przejrzyj i utwórz , aby przejrzeć grupy użytkowników wybrane dla tych zasad.

  8. Gdy zmiany przypisań będą gotowe, wybierz pozycję Zapisz , aby zapisać konfigurację i wdrożyć zasady dla nowego zestawu użytkowników. Jeśli wybierzesz pozycję Anuluj przed zapisaniem konfiguracji, odrzucisz wszystkie zmiany wprowadzone na kartach Dołączanie i wykluczanie .

Aby zmienić ustawienia zasad

  1. W okienku zasad Ochrona aplikacji wybierz zasady, które chcesz zmienić.

  2. W okienku Ochrona aplikacji usługi Intune wybierz pozycję Właściwości.

  3. Obok sekcji odpowiadającej ustawieniu, które chcesz zmienić, wybierz pozycję Edytuj. Następnie zmień ustawienia na nowe wartości.

  4. Kliknij pozycję Przejrzyj i utwórz , aby przejrzeć zaktualizowane ustawienia tych zasad.

  5. Wybierz pozycję Zapisz , aby zapisać zmiany. Powtórz proces, aby wybrać obszar ustawień i zmodyfikować, a następnie zapisać zmiany do momentu ukończenia wszystkich zmian. Następnie możesz zamknąć okienko Intune App Protection — Właściwości .

Docelowe zasady ochrony aplikacji na podstawie stanu zarządzania urządzeniami

W wielu organizacjach często użytkownicy końcowi mogą korzystać zarówno z urządzeń zarządzanych przez usługę Intune Mobile Zarządzanie urządzeniami (MDM), takich jak urządzenia należące do firmy, jak i urządzeń niezarządzanych chronionych tylko za pomocą zasad ochrony aplikacji usługi Intune. Urządzenia niezarządzane są często nazywane "Przynieś własne urządzenia" (BYOD).

Ponieważ zasady ochrony aplikacji usługi Intune są przeznaczone dla tożsamości użytkownika, ustawienia ochrony użytkownika mogą być stosowane zarówno do urządzeń zarejestrowanych (zarządzanych przez rozwiązanie MDM), jak i niezarejestrowanych (bez zarządzania urządzeniami przenośnymi). W związku z tym zasady ochrony aplikacji usługi Intune można kierować do zarejestrowanych lub niezarejestrowanych urządzeń z systemami iOS/iPadOS i Android w usłudze Intune przy użyciu filtrów. Aby uzyskać więcej informacji na temat tworzenia filtrów, zobacz Używanie filtrów podczas przypisywania zasad . Możesz mieć jedną zasadę ochrony dla urządzeń niezarządzanych, w których obowiązują ścisłe mechanizmy ochrony przed utratą danych (DLP), oraz oddzielne zasady ochrony dla urządzeń zarządzanych przez rozwiązanie MDM, w których mechanizmy kontroli DLP mogą być nieco bardziej złagodzone. Aby uzyskać więcej informacji o tym, jak to działa na osobistych urządzeniach z systemem Android Enterprise, zobacz zasady Ochrona aplikacji i profile służbowe.

Aby użyć tych filtrów podczas przypisywania zasad, przejdź do pozycji Aplikacje>Ochrona aplikacji zasad w centrum administracyjnym usługi Intune, a następnie wybierz pozycję Utwórz zasady. Możesz również edytować istniejące zasady ochrony aplikacji. Przejdź do strony Przypisania i wybierz pozycję Edytuj filtr , aby uwzględnić lub wykluczyć filtry dla przypisanej grupy.

typy Zarządzanie urządzeniami

Ważna

Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 30 sierpnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w usłudze Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, przeczytaj Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

  • Niezarządzane: w przypadku urządzeń z systemem iOS/iPadOS urządzenia niezarządzane to urządzenia, na których zarządzanie urządzeniami przenośnymi w usłudze Intune lub rozwiązanie MDM/EMM innej firmy nie przekazuje klucza IntuneMAMUPN . W przypadku urządzeń z systemem Android urządzenia niezarządzane to urządzenia, na których nie wykryto zarządzania urządzeniami przenośnymi usługi Intune. Obejmuje to urządzenia zarządzane przez innych dostawców oprogramowania MDM.
  • Urządzenia zarządzane przez usługę Intune: urządzenia zarządzane są zarządzane przez usługę Intune MDM.
  • Administrator urządzeń z systemem Android: urządzenia zarządzane przez usługę Intune przy użyciu interfejsu API administrowania urządzeniami z systemem Android.
  • Android Enterprise: urządzenia zarządzane przez usługę Intune przy użyciu profilów służbowych systemu Android Enterprise lub pełnego Zarządzanie urządzeniami systemu Android Enterprise.
  • Dedykowane urządzenia z systemem Android Enterprise należące do firmy z Microsoft Entra trybem urządzenia udostępnionego: urządzenia zarządzane przez usługę Intune korzystające z dedykowanych urządzeń z systemem Android Enterprise w trybie urządzenia udostępnionego.
  • Urządzenia z systemem Android (AOSP) skojarzone z użytkownikiem: urządzenia zarządzane przez usługę Intune przy użyciu zarządzania skojarzonego z użytkownikiem usługi AOSP.
  • Urządzenia bez użytkownika z systemem Android (AOSP): urządzenia zarządzane przez usługę Intune przy użyciu urządzeń bez użytkownika usługi AOSP. Te urządzenia korzystają również Microsoft Entra trybu urządzenia udostępnionego.

W systemie Android na urządzeniach z systemem Android zostanie wyświetlony monit o zainstalowanie aplikacji Intune — Portal firmy niezależnie od wybranego typu Zarządzanie urządzeniami. Jeśli na przykład wybierzesz pozycję "Android Enterprise", użytkownicy z niezarządzanymi urządzeniami z systemem Android będą nadal monitować.

W przypadku systemu iOS/iPadOS, aby typ Zarządzanie urządzeniami był wymuszany na urządzeniach zarządzanych przez usługę Intune, wymagane są dodatkowe ustawienia konfiguracji aplikacji. Te konfiguracje będą komunikować się z usługą APP, która jest zarządzana przez określoną aplikację — i że ustawienia aplikacji nie będą stosowane:

Ustawienia zasad

Aby wyświetlić pełną listę ustawień zasad dla systemów iOS/iPadOS i Android, wybierz jeden z następujących linków:

Następne kroki

Monitorowanie zgodności i stanu użytkownika

Zobacz też