Ustawienia zasad ochrony aplikacji systemu Android w usłudze Microsoft IntuneAndroid app protection policy settings in Microsoft Intune

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

Opisane w tym temacie ustawienia zasad aplikacji można skonfigurować w bloku Ustawienia w witrynie Azure Portal.The app policy settings that are described in this topic can be configured on the Settings blade in the Azure portal. Istnieją dwie kategorie ustawień zasad: relokacja danych i dostęp.There are two categories of policy settings: data relocation settings and access settings. W tym temacie termin aplikacje zarządzane przez zasady dotyczy aplikacji skonfigurowanych przy użyciu zasad ochrony aplikacji.In this topic, the term policy-managed apps refers to apps that are configured with app protection policies.

Ustawienia relokacji danychData relocation settings

UstawienieSetting Sposób użyciaHow to use Wartości domyślneDefault value(s)
Blokuj kopie zapasowe systemu AndroidPrevent Android backups Wybierz opcję Tak, aby uniemożliwić tej aplikacji tworzenie kopii zapasowych danych służbowych w usłudze kopii zapasowych systemu Android. Wybierz opcję Nie, aby umożliwić tej aplikacji tworzenie kopii zapasowych danych służbowych.Choose Yes to prevent this app from backing up work or school data to the Android Backup Service Choose No to allow this app to back up work or school data. TakYes
Zezwalaj aplikacji na przesyłanie danych do innych aplikacjiAllow app to transfer data to other apps Określ, które aplikacje mogą odbierać dane z tej aplikacji:Specify what apps can receive data from this app:
  • Aplikacje zarządzane przez zasady: zezwalaj na przesyłanie danych tylko do innych aplikacji zarządzanych przez zasady.Policy managed apps: Allow transfer only to other policy-managed apps.
  • Wszystkie aplikacje: zezwalaj na przesyłanie danych do wszystkich aplikacji.All apps: Allow transfer to any app.
  • Brak: nie zezwalaj na przesyłanie danych do żadnych aplikacji, w tym również innych aplikacji zarządzanych przez zasady.None: Do not allow data transfer to any app, including other policy-managed apps.

Istnieją pewne aplikacje i usługi, w przypadku których usługa Intune może zezwolić na przesyłanie danych do tych aplikacji i usług.There are some exempts apps and services to which Intune may allow data transfer. Sekcja Wyjątki w transferze danych zawiera pełną listę aplikacji i usług.See Data transfer exemptions for a full list of apps and services.

Wszystkie aplikacjeAll apps
Zezwalaj aplikacji na odbieranie danych z innych aplikacjiAllow app to receive data from other apps Określ, jakie aplikacje mogą przesyłać dane do tej aplikacji:Specify what apps can transfer data to this app:
  • Aplikacje zarządzane przez zasady: zezwalaj na przesyłanie danych tylko z innych aplikacji zarządzanych przez zasady.Policy managed apps: Allow transfer only from other policy-managed apps.
  • Wszystkie aplikacje: zezwalaj na przesyłanie danych z wszystkich aplikacji.All apps: Allow data transfer from any app.
  • Brak: nie zezwalaj na przesyłanie danych z żadnych aplikacji, w tym również innych aplikacji zarządzanych przez zasady.None: Do not allow data transfer from any app, including other policy-managed apps.

Istnieją pewne aplikacje i usługi, w przypadku których usługa Intune może zezwolić na przesyłanie danych z tych aplikacji i usług.There are some exempts apps and services from which Intune may allow data transfer. Sekcja Wyjątki w transferze danych zawiera pełną listę aplikacji i usług.See Data transfer exemptions for a full list of apps and services.

Wszystkie aplikacjeAll apps
Nie zezwalaj na używanie polecenia „Zapisz jako”Prevent "Save As" Wybierz opcję Tak, aby wyłączyć używanie opcji Zapisz jako w tej aplikacji.Choose Yes to disable the use of the Save As option in this app. Wybierz opcję Nie, jeśli chcesz zezwolić na używanie polecenia Zapisz jako.Choose No if you want to allow the use of Save As.


Wybierz, w których usługach magazynu można zapisywać dane firmoweSelect which storage services corporate data can be saved to
Użytkownicy będą mogli zapisywać dane w wybranych usługach (OneDrive dla Firm, SharePoint i Magazyn lokalny).Users are able to save to the selected services (OneDrive for Busines, SharePoint and Local Storage). Wszystkie pozostałe usługi będą zablokowane.All other services will be blocked.

NieNo

Wybrano 00 selected
Ogranicz wycinanie, kopiowanie i wklejanie w innych aplikacjachRestrict cut, copy and paste with other apps Określ, kiedy można używać akcji wycinania, kopiowania i wklejania w tej aplikacji.Specify when cut, copy, and paste actions can be used with this app. Wybierz spośród opcji:Choose from:
  • Zablokowane: nie zezwalaj na akcje wycinania, kopiowania i wklejania między tą aplikacją i dowolną inną aplikacją.Blocked: Do not allow cut, copy, and paste actions between this app and any other app.
  • Aplikacje zarządzane przez zasady: zezwalaj na akcje wycinania, kopiowania i wklejania między tą aplikacją i innymi aplikacjami zarządzanymi przez zasady.Policy managed apps: Allow cut, copy, and paste actions between this app and other policy-managed apps.
  • Aplikacje zarządzane przez zasady z funkcją wklejania: zezwalaj na wycinanie i kopiowanie między tą aplikacją i innymi aplikacjami zarządzanymi przez zasady.Policy managed with paste in: Allow cut or copy between this app and other policy-managed apps. Zezwalaj na wklejanie w tej aplikacji danych z dowolnych aplikacji.Allow data from any app to be pasted into this app.
  • Dowolna aplikacja: brak ograniczeń wycinania, kopiowania i wklejania do i z tej aplikacji.Any app: No restrictions for cut, copy, and paste to and from this app.
Dowolna aplikacjaAny app
Ogranicz zawartość sieci Web do wyświetlenia w programie Managed BrowserRestrict web content to display in the Managed Browser Wybierz opcję Tak, aby wymusić otwieranie linków sieci Web w danej aplikacji za pomocą aplikacji Managed Browser.Choose Yes to enforce web links in the app to be opened in the Managed Browser app.

W przypadku urządzeń, które nie zostały zarejestrowane w usłudze Intune, linki sieci Web w aplikacjach zarządzanych przez zasady będą otwierane tylko w aplikacji Managed Browser.For devices not enrolled in Intune, the web links in policy-managed apps can open only in the Managed Browser app.

Jeśli używasz usługi Intune do zarządzania swoimi urządzeniami, zobacz Zarządzanie dostępem do Internetu za pomocą zasad programu Managed Browser w usłudze Microsoft Intune.If you are using Intune to manage your devices, see Manage Internet access using managed browser policies with Microsoft Intune.
NieNo
Szyfruj dane aplikacjiEncrypt app data Wybierz opcję Tak, aby włączyć szyfrowanie danych służbowych w tej aplikacji.Choose Yes to enable encryption of work or school data in this app. Usługa Intune bezpiecznie szyfruje dane aplikacji przy użyciu schematu 128-bitowego szyfrowania AES i OpenSSL z systemem Android Keystore.Intune uses an OpenSSL, 128-bit AES encryption scheme along with the Android Keystore system to securely encrypt app data. Dane są szyfrowane synchronicznie podczas zadań wejścia/wyjścia na plikach.Data is encrypted synchronously during file I/O tasks. Zawartość w pamięci urządzenia jest zawsze zaszyfrowana.Content on the device storage is always encrypted.

Metoda szyfrowania nie ma certyfikatu FIPS 140-2.The encryption method is not FIPS 140-2 certified.
TakYes
Wyłącz synchronizację kontaktówDisable contact sync Wybierz opcję Tak, aby uniemożliwić aplikacji zapisywanie danych w natywnej aplikacji Kontakty na urządzeniu.Choose Yes to prevent the app from saving data to the native Contacts app on the device. Jeśli wybierzesz opcję Nie, aplikacja będzie mogła zapisywać dane w natywnej aplikacji Kontakty na urządzeniu.If you choose No, the app can save data to the native Contacts app on the device.

Gdy jest wykonywane selektywne czyszczenie danych w celu usunięcia danych służbowych z aplikacji, kontakty zsynchronizowane bezpośrednio z aplikacji do natywnej aplikacji Kontakty są usuwane.When you perform a selective wipe to remove work or school data from the app, contacts synced directly from the app to the native Contacts app are removed. Nie można wyczyścić wszystkich kontaktów zsynchronizowanych z natywnej książki adresowej do innego źródła zewnętrznego.Any contacts synced from the native address book to another external source cannot be wiped. Obecnie dotyczy to tylko aplikacji Microsoft Outlook.Currently this applies only to the Microsoft Outlook app.
NieNo
Wyłącz drukowanieDisable printing Wybierz opcję Tak, aby uniemożliwić aplikacji drukowanie danych służbowych.Choose Yes to prevent the app from printing work or school data. NieNo

Uwaga

Metoda szyfrowania dla ustawienia Szyfruj dane aplikacji nie ma certyfikatu FIPS 140-2.The encryption method for the Encrypt app data setting is not FIPS 140-2 certified.

Wyjątki w transferze danychData transfer exemptions

Istnieją pewne aplikacje i usługi platform, w przypadku których zasady ochrony aplikacji usługi Intune mogą zezwolić na przesyłanie danych z tych aplikacji i usług oraz do nich.There are some exempt apps and platform services that Intune app protection policy may allow data transfer to and from. Na przykład wszystkie aplikacje obsługujące usługę Intune w systemie Android muszą mieć możliwość przesyłania danych z i do funkcji Zamiana tekstu na mowę Google, aby tekst z ekranu urządzenia przenośnego mógł być odczytywany na głos.For example, all Intune-enlightened apps on Android must be able to transfer data to and from the Google Text-to-speech, so that text from your mobile device screen can be read aloud. Ta lista może ulec zmianom i odzwierciedla usługi oraz aplikacje uważane za przydatne w kwestii bezpieczeństwa wydajności.This list is subject to change and reflects the services and apps considered useful for secure productivity.

Pełna lista wyjątkówFull exemptions

Te aplikacje i usługi mogą przesyłać dane z aplikacji zarządzanych przez usługę Intune i do nich bez ograniczeń.These apps and services are fully allowed for data transfer to and from Intune-managed apps.

Nazwa aplikacji/usługiApp/service name OpisDescription
com.android.phonecom.android.phone Natywna aplikacja telefonicznaNative phone app
com.android.vendingcom.android.vending Sklep Google PlayGoogle Play Store
com.android.documentsuicom.android.documentsui Android Document PickerAndroid Document Picker
com.google.android.webviewcom.google.android.webview Składnik WebView, który jest niezbędny dla wielu aplikacji np. Outlook.WebView, which is necessary for many apps including Outlook.
com.android.webviewcom.android.webview Składnik WebView, który jest niezbędny dla wielu aplikacji np. Outlook.Webview, which is necessary for many apps including Outlook.
com.google.android.ttscom.google.android.tts Zamiana tekstu na mowę GoogleGoogle Text-to-speech
com.android.providers.settingscom.android.providers.settings Ustawienia systemu AndroidAndroid system settings
com.azure.authenticatorcom.azure.authenticator Aplikacja Azure Authenticator, która jest niezbędna do pomyślnego uwierzytelniania w wielu scenariuszach.Azure Authenticator app, which is required for successful authentication in many scenarios.
com.microsoft.windowsintune.companyportalcom.microsoft.windowsintune.companyportal Intune Portal firmyIntune Company Portal

Wyjątki warunkoweConditional exemptions

Te aplikacje i usługi mogą przesyłać dane z aplikacji zarządzanych przez usługę Intune i do nich pod pewnymi warunkami.These apps and services are only allowed for data transfer to and from Intune-managed apps under certain conditions.

Nazwa aplikacji/usługiApp/service name OpisDescription Warunek wyjątkuExemption condition
com.android.chromecom.android.chrome Przeglądarka Google ChromeGoogle Chrome Browser Przeglądarka Chrome jest używana w niektórych składnikach WebView w systemie Android 7.0+ i nigdy nie jest ukryta.Chrome is used for some WebView components on Android 7.0+ and is never hidden from view. Przepływ danych z aplikacji i do niej jest jednak zawsze ograniczony.Data flow to and from the app, however, is always restricted.
com.skype.raidercom.skype.raider SkypeSkype Aplikacja Skype jest dozwolona tylko w przypadku niektórych akcji, których wynikiem jest nawiązanie połączenia telefonicznego.The Skype app is allowed only for certain actions that result in a phone call.
com.android.providers.mediacom.android.providers.media Dostawca zawartości multimedialnej systemu AndroidAndroid media content provider Dostawca zawartości multimedialnej jest dozwolony tylko w przypadku akcji wybierania dzwonka.The media content provider allowed only for the ringtone selection action.
com.google.android.gms; com.google.android.gsfcom.google.android.gms; com.google.android.gsf Pakiety usług Google PlayGoogle Play Services packages Ta pakiety są dozwolone tylko w przypadku akcji usługi Google Cloud Messaging takich jak powiadomienia wypychane.These packages are allowed for Google Cloud Messaging actions, such as push notifications.

Ustawienia dostępuAccess settings

UstawienieSetting Sposób użyciaHow to use Wartości domyślneDefault value(s)
Wymagaj numeru PIN w celu udzielenia dostępuRequire PIN for access Wybierz opcję Tak, aby wymagać numeru PIN do korzystania z tej aplikacji.Choose Yes to require a PIN to use this app. Użytkownik zostanie poproszony o skonfigurowanie tego numeru PIN przy pierwszym uruchomieniu aplikacji w kontekście służbowym.The user is prompted to set up this PIN the first time they run the app in a work or school context. Wartość domyślna: Tak.Default value = Yes.

Skonfiguruj następujące ustawienia dotyczące siły numeru PIN:Configure the following settings for PIN strength:
  • Liczba prób przed zresetowaniem numeru PIN: określ liczbę prób wprowadzenia numeru PIN, po której użytkownik musi go zresetować.Number of attempts before PIN reset: Specify the number of tries the user has to successfully enter their PIN before they must reset it. Wartość domyślna: 5.Default value = 5.
  • Zezwalaj na prosty numer PIN: wybierz opcję Tak, aby zezwolić użytkownikom na stosowanie prostych sekwencji numeru PIN, takich jak 1234 lub 1111.Allow simple PIN: Choose Yes to allow users to use simple PIN sequences like 1234 or 1111. Wybierz opcję Nie, aby uniemożliwić im stosowanie prostych sekwencji.Choose No to prevent them from using simple sequences. Wartość domyślna: Tak.Default value = Yes.
  • Długość numeru PIN: określ minimalną liczbę cyfr w sekwencji numeru PIN.PIN length: Specify the minimum number of digits in a PIN sequence. Wartość domyślna: 4.Default value = 4.
  • Zezwalaj na odcisk palca zamiast numeru PIN (Android 6.0 i nowsze): wybierz opcję Tak, aby zezwolić użytkownikowi na dostęp do aplikacji za pomocą uwierzytelniania odciskiem palca zamiast numerem PIN.Allow fingerprint instead of PIN (Android 6.0+): Choose Yes to allow the user to use fingerprint authentication instead of a PIN for app access. Wartość domyślna: Tak.Default value = Yes.
Na urządzeniach z systemem Android można zezwolić użytkownikowi na potwierdzenie tożsamości za pomocą uwierzytelniania odciskiem palca w systemie Android zamiast numerem PIN.On Android devices, you can let the user prove their identity by using Android fingerprint authentication instead of a PIN. Gdy użytkownik spróbuje skorzystać z tej aplikacji za pomocą konta służbowego, otrzyma monit o potwierdzenie tożsamości odciskiem palca, a nie numerem PIN.When the user tries use this app with their work or school account, they are prompted to provide their fingerprint identity instead of entering a PIN.
Wymagaj numeru PIN: takRequire PIN: Yes

Liczba prób przed zresetowaniem numeru PIN: 5PIN reset attempts: 5

Zezwalaj na prosty numer PIN: takAllow simple PIN: Yes

Długość numeru PIN: 4PIN length: 4

Zezwalaj na odcisk palca: takAllow fingerprint: Yes
Wymagaj poświadczeń firmowych w celu udzielenia dostępuRequire corporate credentials for access Wybierz opcję Tak, aby wymagać od użytkownika logowania się za pomocą konta służbowego zamiast numeru PIN w celu uzyskania dostępu do aplikacji.Choose Yes to require the user to sign in with their work or school account instead of entering a PIN for app access. Wybranie opcji Tak przesłania wymagania dotyczące numeru PIN lub funkcji Touch ID.If you set this to Yes, this overrides the requirements for PIN or Touch ID. NieNo
Blokuj uruchamianie aplikacji zarządzanych na urządzeniach, na których zdjęto zabezpieczenia systemu lub uzyskano dostęp do konta rootBlock managed apps from running on jailbroken or rooted devices Wybierz opcję Tak, aby uniemożliwić tej aplikacji działanie na urządzeniach, na których zdjęto zabezpieczenia systemu lub uzyskano dostęp do konta root.Choose Yes to prevent this app from running on jailbroken or rooted devices. Użytkownik nadal będzie mógł wykonywać zadania osobiste za pomocą tej aplikacji, ale będzie musiał korzystać z innego urządzenia w celu uzyskania dostępu do danych służbowych w tej aplikacji.The user will continue to be able to use this app for personal tasks, but will have to use a different device to access work or school data in this app. TakYes
Ponownie sprawdź wymagania dostępu po (w minutach)Recheck the access requirements after (minutes) Skonfiguruj następujące ustawienia:Configure the following settings:
  • Limit czasu: jest to liczba minut przed ponownym sprawdzeniem wymagań dostępu (zdefiniowanych wcześniej w tych zasadach).Timeout: This is the number of minutes before the access requirements (defined earlier in the policy) are rechecked. Na przykład administrator włącza numer PIN w zasadach, a użytkownik otwiera aplikację MAM i musi wprowadzić numer PIN.For example, an admin turns on PIN in the policy, a user opens a MAM app, and must enter a pin. Gdyby to ustawienie było używane, użytkownik nie musiałby wprowadzać numeru PIN w żadnej aplikacji MAM przez następne 30 minut (wartość domyślna).When using this setting, the user would not have to enter a PIN on any MAM app for another 30 minutes (default value).
  • Okres karencji w trybie offline: jest to liczba minut, przez jaką aplikacja MAM może działać w trybie offline. Określ czas (w minutach) do ponownego sprawdzenia wymagań dostępu dla aplikacji.Offline grace period: This is the number of minutes that MAM apps can run offline, specify the time (in minutes) before the access requirements for the app are rechecked. Wartość domyślna: 720 minut (12 godzin).Default value = 720 minutes (12 hours). Po tym czasie aplikacja będzie wymagać uwierzytelnienia użytkownika w usłudze AAD, co pozwoli na kontynuowanie jej działania.After this period is expired, the app will require user authentication to AAD, so the app can continue to run.
Limit czasu: 30Timeout: 30

W trybie offline: 720Offline: 720
Interwał offline przed wyczyszczeniem danych aplikacji (w dniach)Offline interval before app data is wiped (days) Po tej liczbie dni pracy w trybie offline (zdefiniowanej przez administratora) aplikacja sama przeprowadzi selektywne czyszczenie.After this many days (defined by the admin) of running offline, the app itself will do a selective wipe. To selektywne czyszczenie jest takie samo jak to, które może zostać zainicjowanie przez administratora w przepływie pracy czyszczenia zarządzania aplikacjami mobilnymi.This selective wipe is the same wipe as the one that can be initiated by the admin in the MAM wipe work-flow.

90 dni90 days
Zablokuj przechwytywanie ekranu i asystenta systemu Android (Android 6.0 i nowsze)Block screen capture and Android Assistant (Android 6.0+) Wybierz opcję Tak, aby zablokować funkcję przechwytywania ekranu i możliwości asystenta systemu Android na urządzeniu podczas korzystania z tej aplikacji.Choose Yes to block screen capture and the Android Assistant capabilities of the device when using this app. Wybranie opcji Tak spowoduje również rozmycie obrazu podglądu przełącznika aplikacji podczas korzystania z tej aplikacji przy użyciu konta służbowego.Choosing Yes will also blur the App-switcher preview image when using this app with a work or school account. NieNo
Wyłącz numer PIN aplikacji, gdy zarządzany jest numer PIN urządzeniaDisable app PIN when device PIN is managed Wybierz opcję Tak, aby wyłączyć numer PIN aplikacji, gdy na zarejestrowanym urządzeniu zostanie wykryta blokada urządzenia.Choose Yes to disable the app PIN when a device lock is detected on an enrolled device. NieNo