Tworzenie i wdrażanie zasad ochrony aplikacji przy użyciu usługi Microsoft IntuneCreate and deploy app protection policies with Microsoft Intune

Dotyczy: usługa Intune w konsoli klasycznejApplies to: Intune in the classic console
Szukasz dokumentacji dotyczącej usługi Intune na platformie Azure?Looking for documentation about Intune on Azure? Przejdź tutaj.Go here.

W tym temacie opisano proces tworzenia zasad ochrony aplikacji w witrynie Azure Portal.This topic describes the process of creating an app protection policy in the Azure portal. Witryna Azure Portal to nowa konsola administracyjna do tworzenia zasad ochrony aplikacji. Do ich tworzenia zalecane jest użycie tego portalu.The Azure portal is the new admin console for creating app protection policies, and we recommend that you use this portal to create app protection policies. Portal Azure obsługuje następujące scenariusze zarządzania aplikacjami mobilnymi:Azure portal supports the following MAM scenarios:

  • Urządzenia zarejestrowane w usłudze Intune.Devices enrolled in Intune.
  • Urządzenia zarządzane przez rozwiązanie MDM innej firmy.Devices managed by a third-party MDM solution.
  • Urządzenia niezarządzane przez żadne rozwiązanie MDM (BYOD).Devices that are not managed by any MDM solution (BYOD).
Ważne

Jeśli zarządzasz urządzeniami za pomocą konsoli administracyjnej usługi Intune, weź pod uwagę następujące informacje:Here are a few considerations if you're using the Intune admin console to manage your devices:

  • Zasady ochrony aplikacji, które obsługują aplikacje na potrzeby urządzeń przenośnych zarejestrowanych w usłudze Intune, możesz utworzyć przy użyciu konsoli administracyjnej usługi Intune.You can create an app protection policy that supports apps for devices enrolled in Intune using the Intune admin console.
  • Zasad ochrony aplikacji utworzonych w konsoli administracyjnej usługi Intune nie można zaimportować do witryny Azure Portal.App protection policies created in the Intune admin console cannot be imported into the Azure portal. Zasady ochrony aplikacji należy ponownie utworzyć w witrynie Azure Portal.The app protection policies must be re-created in the Azure portal.

  • W konsoli administracyjnej usługi Intune mogą nie być wyświetlane wszystkie ustawienia zasad ochrony aplikacji.You may not see all app protection policy settings in the Intune admin console. Witryna Azure Portal to nowa konsola administracyjna do tworzenia zasad ochrony aplikacji.The Azure portal is the new admin console for creating app protection policies.

  • Aby wdrożyć aplikacje zarządzane, należy utworzyć zasady ochrony aplikacji w konsoli administracyjnej usługi Intune.To deploy managed apps, you must create a app protection policy in the Intune admin console. W takim przypadku można utworzyć zasady ochrony aplikacji zarówno w konsoli administracyjnej usługi Intune, jak i w witrynie Azure Portal. Konsola administracyjna usługi Intune umożliwia wdrażanie aplikacji zarządzanych, a witryna Azure Portal to nowa konsola administracyjna, która udostępnia wszystkie ustawienia zasad ochrony aplikacji.In this case, you may want to create app protection policies in both the Intune admin console and the Azure portal: Intune admin console to make sure you have the ability to deploy managed apps, and the Azure portal because it is the new admin console that has all the app protection policy settings.

  • Jeśli utworzysz zasady ochrony aplikacji zarówno za pomocą konsoli administracyjnej usługi Intune, jak i witryny Azure Portal, dla aplikacji zostaną zastosowane zasady utworzone w witrynie Azure Portal.If you create app protection policies on both Intune admin console and Azure portal, the policy that is created in the Azure portal is applied to the apps.

Aby wyświetlić listę zasad obsługiwanych na platformach Android i iOS, wybierz jeden z następujących elementów:To see a list of policy settings supported for Android and iOS platforms, select one of the following:

Tworzenie zasad ochrony aplikacjiCreate an app protection policy

Zasady ochrony aplikacji tworzy się w witrynie Azure Portal.App protection policies are created at the Azure Portal. Jeśli używasz witryny Azure Portal po raz pierwszy, przeczytaj artykuł Azure Portal — zasady ochrony aplikacji usługi Microsoft Intune, aby zapoznać się z tą witryną.If this is the first time you are using the Azure portal, read Azure portal for Microsoft Intune app protection policies to get more familiar with the Azure Portal. Zanim utworzysz zasady ochrony aplikacji, przejrzyj informacje w sekcji Wymagania wstępne i pomoc techniczna.Before creating an app protection policy, review the pre-requisites and support information.

Wykonaj poniższe kroki, aby utworzyć zasady ochrony aplikacji:Follow the steps below to create app protection policies:

  1. Przejdź do witryny Azure Portal i podaj swoje poświadczenia.Go to the Azure portal, and enter your credentials.

  2. Wybierz opcję Więcej usług, a następnie wpisz „Intune”.Choose More Services, and type "Intune".

  3. Wybierz opcję Ochrona aplikacji w usłudze Intune.Choose Intune App Protection.

  4. Wybierz pozycje Zarządzanie aplikacjami mobilnymi usługi Intune > Ustawienia, aby otworzyć blok Wszystkie ustawienia.Choose Intune mobile application management > Settings to open the All Settings blade.

    Zrzut ekranu przedstawiający blok zarządzania aplikacjami mobilnymi usługi Intune

  5. W bloku Wszystkie ustawienia wybierz pozycję Zasady aplikacji.In the All Settings blade, choose App policy. Spowoduje to otwarcie bloku Zasady aplikacji, w którym można tworzyć nowe zasady i edytować istniejące.This opens the App policy blade, where you'll create new policies and edit existing policies. Wybierz pozycję Dodaj zasady.Choose Add a policy.

    <span data-ttu-id="d4563-136">Zrzut ekranu przedstawiający blok zasad aplikacji z podświetloną opcją menu Dodaj zasady</span><span class="sxs-lookup"><span data-stu-id="d4563-136">Screenshot of the App policy blade with the Add a policy menu option highlighted</span></span>

  6. Wpisz nazwę zasad, dodaj ich krótki opis i wybierz typ platformy do utworzenia zasad dla systemu iOS lub Android.Type a name for the policy, add a brief description, and select the platform type to create a policy for iOS or Android. Dla każdej platformy można utworzyć większą liczbę zasad.You can create more than one policy for each platform.

    Zrzut ekranu przedstawiający blok Dodawanie zasad

  7. Wybierz pozycję Aplikacje, aby otworzyć blok Aplikacje, w którym jest wyświetlana lista dostępnych aplikacji.Choose Apps to open the Apps blade, where a list of available apps is displayed. Z listy wybierz jedną lub więcej aplikacji do powiązania z tworzonymi zasadami.Select one or more apps from the list that you want to associate with the policy that you are creating. Po wybraniu aplikacji wybierz opcję Wybierz w dolnej części bloku Aplikacje, aby zapisać wybrane opcje.Once you have selected the apps, choose Select at the bottom of the Apps blade to save your selection.

    Ważne

    W celu utworzenia zasad należy wybrać co najmniej jedną aplikację.You must select at least one app to create a policy.

  8. W bloku Dodawanie zasad wybierz pozycję Skonfiguruj wymagane ustawienia, aby otworzyć blok ustawień zasad.On the Add a policy blade, choose Configure required settings to open the policy settings blade.

    Istnieją dwie kategorie ustawień zasad, Przeniesienie danych i Dostęp.There are two categories of policy settings, Data relocation and Access. Zasady przeniesienia danych stosują się do przenoszenia danych do i z aplikacji, podczas gdy zasady dostępu określają metodę dostępu użytkownika końcowego do aplikacji w kontekście pracy.Data relocation policies are applicable to data movement in and out of the apps, while the access polices determine how the end user accesses the apps in a work context. Ustawienia zasad mają wartości domyślne, co ułatwia rozpoczęcie pracy.To get you started, the policy settings have default values. Jeśli wartości domyślne spełniają Twoje wymagania, nie musisz wprowadzać żadnych zmian.You do not have to make any changes if the default values meet your requirements.

    Porada

    Te ustawienia zasad obowiązują tylko w przypadku stosowania aplikacji w kontekście pracy.These policy settings are enforced only when using apps in the work context. W przypadku gdy użytkownik końcowy używa aplikacji do wykonywania zadań osobistych, zasady te nie obowiązują.When the end user uses the app to do a personal task, they will not be affected by these policies.

    Zrzut ekranu przedstawiający blok ustawień z blokiem Dodawanie zasad

  9. Wybierz pozycję OK, aby zapisać tę konfigurację.Choose OK to save this configuration. Znajdziesz się ponownie w bloku Dodawanie zasad .You are now back in the Add a policy blade. Wybierz pozycję Utwórz, aby utworzyć zasady i zapisać ustawienia.Choose Create to create the policy and save your settings.

    Zrzut ekranu przedstawiający blok Dodawanie zasad z informacją o tym, że aplikacje i ustawienia zostały skonfigurowane

Po zakończeniu tworzenia zasad zgodnie z opisem w poprzedniej procedurze nie są one wdrażane dla żadnych użytkowników.When you finish creating a policy as described in the previous procedure, it is not deployed to any users. Aby wdrożyć zasady, zobacz następującą sekcję: „Wdrażanie zasad dla użytkowników”.To deploy a policy, see the following section, "Deploy a policy to users."

Ważne

Jeśli utworzysz zasady ochrony aplikacji dla aplikacji przy pomocy konsoli administracyjnej usługi Intune oraz zasady ochrony aplikacji przy pomocy witryny Azure Portal, pierwszeństwo będą miały zasady utworzone w witrynie Azure Portal.If you create an app protection policy for an app using the Intune admin console and an app protection policy using the Azure portal, the policy you created using the Azure portal takes precedence. Jednak raportowanie w konsoli usługi Intune lub programu Configuration Manager będzie zgłaszać ustawienia zasad utworzonych w konsoli administracyjnej usługi Intune.However, the reporting in the Intune or Configuration Manager console will report the policy settings created from the Intune admin console. Na przykład:For example:

  • W konsoli administracyjnej usługi Intune utworzono zasady ochrony aplikacji, które blokują kopiowanie danych z aplikacji.You created an app protection policy in the Intune admin console that blocks copy from an app.
  • W konsoli platformy Azure utworzono zasady ochrony aplikacji, które zezwalają na kopiowanie danych z aplikacji.You created an app protection policy in the Azure console that allows copy from an app.
  • Obie zasady zostały skojarzone z jedną aplikacją.You associate both of these policies to the same app.
  • Priorytet ma zasada utworzona w konsoli platformy Azure, która umożliwia kopiowanie.The policy you created from the Azure console takes precedence, and copy is allowed.
  • Jednak stan i raporty w konsoli usługi Intune będą niepoprawnie wskazywać blokowanie kopiowania.However, status and reports in the Intune console will incorrectly indicate that copy is blocked.

Aplikacje biznesowe (LOB) (opcjonalnie)Line of Business (LOB) apps (optional)

Począwszy od wersji Intune 1703, podczas tworzenia nowych zasad ochrony aplikacji możesz dodawać do usługi Intune aplikacje biznesowe.Beginning with Intune 1703 version, you have the option to generally add LOB apps into Intune when creating a new app protection policy. Umożliwia to definiowanie zasad ochrony aplikacji biznesowych przy użyciu zestawu SDK MAM bez konieczności żądania pełnych uprawnień do wdrażania aplikacji.This gives you the option to define app protection policies for LOB apps using the MAM SDK without requiring full app deployment permissions. /intune/app-sdk-get-started/intune/app-sdk-get-started

Porada

Aplikacje biznesowe możesz również dodawać do usługi Intune podczas realizacji przepływu pracy zestawu SDK aplikacji usługi Intune.You can also add LOB apps into Intune when going through the Intune App SDK work-flow.

Ważne

Jeśli użytkownicy mają tylko określone uprawnienia do wdrażania aplikacji MAM, a nie pełne uprawnienia, które umożliwiałyby im wdrożenie dowolnej aplikacji w usłudze Intune, nie mogą realizować przepływu pracy zestawu SDK usługi Intune, ale wciąż mogą dodawać swoje aplikacje biznesowe za pomocą przepływu pracy tworzenia zasad ochrony aplikacji MAM.If users only have specific permissions for deploying MAM apps and not full app deployment permissions, which would allow them to deploy any apps in Intune, they won’t be able to go through the Intune SDK work-flow, but they can still add their LOB apps through the MAM app protection policy creation work-flow.

Aby dodać aplikacje biznesowe (iOS i Android)To add LOB apps (iOS and Android)

  1. W bloku Dodawanie zasad wybierz pozycję Aplikacje, aby otworzyć blok Aplikacje.On the Add a policy blade, choose Configure Apps to open the Apps blade.

    Blok Dodawanie zasad MAM

  2. Kliknij pozycję Więcej aplikacji, wprowadź identyfikator pakietu (dla systemu iOS), identyfikator pakietu (dla systemu Android), a następnie kliknij pozycję Wybierz, aby dodać aplikacje biznesowe.Click More apps, then enter the Bundle ID (for iOS), package ID (for Android), then click Select to add your LOB apps.

    Blok Więcej aplikacji MAM

Aby dodać aplikacje biznesowe (Windows)To add LOB apps (Windows)

Ważne

Podczas tworzenia nowych zasad ochrony aplikacji musisz z listy rozwijanej platform wybrać system Windows 10.You need to select Windows 10 from the platform drop-down list when creating a new app protection policy.

  1. W bloku Dodawanie zasad wybierz pozycję Aplikacje dozwolone lub Aplikacje wykluczone, aby otworzyć blok Aplikacje dozwolone lub Aplikacje wykluczone.On the Add a policy blade, choose Allowed apps or Exempt apps to open the Allowed or Exempt apps blade.

    Uwaga
    • Aplikacje dozwolone: są to aplikacje, które muszą stosować się do tych zasad.Allowed apps: These are the apps that need to adhere to this policy.
    • Aplikacje wykluczone: te aplikacje nie podlegają tym zasadom i mogą uzyskiwać dostęp do danych firmowych bez ograniczeń.Exempt apps: These apps are exempt from this policy and can access corporate data without restrictions.
  2. W bloku Aplikacje dozwolone lub Aplikacje wykluczone kliknij pozycję Dodaj aplikacje.On Allowed or Exempt apps blade, click Add apps. Możesz dodać zalecane aplikacje firmy Microsoft, aplikacje ze sklepu lub aplikacje klasyczne.You can add recommended Microsoft apps, add store or desktop apps.

    a.a. Aplikacje zalecane: wstępnie wypełniona lista aplikacji (przede wszystkim pakietu Office), które pozwalamy administratorom łatwo importować do zasad.Recommended apps: a pre-populated list of (mostly Office) apps that we let admins easily import into policy.

    b.b. Aplikacje ze sklepu: administrator może dodać do zasad dowolną aplikację ze sklepu Windows.Store apps: Admin can add any app from the Windows store to policy.

    c.c. Aplikacje klasyczne systemu Windows: administrator może dodać do zasad dowolne aplikacje klasyczne systemu Windows (np. plik exe, dll itd.).Windows desktop apps: Admin can add any traditional Windows desktop apps to the policy (e.g. exe, dll, etc.)

Wdrażanie zasad dla użytkownikówDeploy a policy to users

  1. W bloku Zasady wybierz pozycję Grupy użytkowników, co spowoduje otwarcie bloku Grupy użytkowników.In the Policy blade, choose User groups, which opens the User groups blade. Wybierz pozycję Dodaj grupę użytkowników w bloku Grupy użytkowników, aby otworzyć blok Dodawanie grupy użytkowników.Choose Add user group in the User groups blade to open the Add user group blade.

    Zrzut ekranu przedstawiający blok Grupy użytkowników z podświetloną opcją menu Dodaj grupę użytkowników

  2. W bloku Dodawanie grupy użytkowników zostanie wyświetlona lista grup użytkowników.A list of user groups is displayed on the Add user group blade. Jest to lista wszystkich grup zabezpieczeń w usłudze Azure Active Directory.This is a list of all the security groups in your Azure Active Directory. Wybierz grupy użytkowników, których mają dotyczyć te zasady, a następnie wybierz pozycję Wybierz.Select the user groups you want this policy to apply to, and then choose Select. Wybranie pozycji Wybierz wdraża zasady dla użytkowników.Choosing Select, deploys the policy to users.

    Zrzut ekranu przedstawiający blok Dodaj grupę użytkowników z listą użytkowników usługi Azure Active Directory

    Zasady zostały utworzone i wdrożone dla użytkowników.You have now created a policy and deployed it to users.

Zasady wpływają tylko na użytkowników, którym przypisano licencje usługi Intune.Only users with Intune licenses assigned to them are affected by the policy. Zasady nie wpływają na użytkowników należących do wybranej grupy zabezpieczeń, którym nie przypisano licencji usługi Intune.Users who are in the security group that you selected who don’t have a Intune license assigned to them are not affected.

Ważne

Jeśli używasz usługi Intune z programem Configuration Manager do zarządzania urządzeniami z systemami Android i iOS, zasady są stosowane tylko do użytkowników należących bezpośrednio do wybranej grupy.If you are using Intune with Configuration Manager to manage your iOS and Android devices, the policy is only applied to the users directly in the group that you selected. Nie mają one wpływu na członków grup podrzędnych zagnieżdżonych w wybranej grupie.Members of child groups nested within the group you selected are not affected.

Użytkownicy końcowi mogą pobrać aplikacje ze sklepu App Store lub Google Play.End users can download the apps from the App store or Google Play. Aby uzyskać więcej informacji, zobacz:For more information, see:

Zmiana istniejących zasadChange existing policies

Możesz edytować istniejące zasady i zastosować je do użytkowników docelowych.You can edit an existing policy and apply it to the targeted users. Jednak w przypadku zmiany istniejących zasad użytkownicy zalogowani do aplikacji zobaczą zmiany dopiero po 8 godzinach.However, when you change existing policies, users who are already signed in to the apps won’t see the changes for an 8-hour period.

Aby zobaczyć efekt zmian natychmiast, użytkownik końcowy musi wylogować się z aplikacji i ponownie do niej zalogować.To see the effect of the changes immediately, the end user will have to log out of the app, and sign back in.

Aby zmienić listę aplikacji powiązanych z zasadamiTo change the list of apps associated with the policy

  1. W bloku Zasady aplikacji wybierz zasady, które chcesz zmienić.In the App policy blade, choose the policy you want to change. Spowoduje to otwarcie bloku specyficznego dla właśnie wybranych zasad.This opens a blade specific to the policy you just selected.

    Zrzut ekranu przedstawiający istniejące zasady otwarte w oddzielnym bloku

  2. W bloku zasad wybierz pozycję Aplikacje docelowe, aby otworzyć listę aplikacji.In the policy blade, choose Targeted apps to open the list of apps.

  3. Usuń lub dodaj aplikacje do listy i wybierz pozycję Zapisz, aby zapisać zmiany.Remove or add apps from the list and choose the Save icon to save your changes.

Aby zmienić listę grup użytkownikówTo change the list of user groups

  1. W bloku Zasady aplikacji wybierz zasady, które chcesz zmienić.In the App policy blade, choose the policy you want to change. Spowoduje to otwarcie bloku specyficznego dla wybranych zasad.This opens the blade specific to the policy you selected.

  2. W bloku zasad wybierz pozycję Grupy użytkowników, aby otworzyć blok Grupa użytkowników z listą bieżących grup użytkowników, których dotyczą dane zasady.In the policy blade, choose User groups to open the User group blade that shows the list of current user groups who have this policy.

  3. Aby dodać nową grupę użytkowników do zasad, wybierz pozycję Dodaj grupę użytkowników i wybierz grupę użytkowników.To add a new user group to the policy, choose Add user group, and select the user group. Wybierz pozycję Wybierz, aby wdrożyć zasady dla wybranej grupy.Choose Select to deploy the policy to the group you selected.

    Zrzut ekranu przedstawiający blok Dodaj grupę użytkowników z dwoma wybranymi grupami użytkowników

  4. Aby usunąć grupę użytkowników, wyróżnij grupę użytkowników, którą chcesz usunąć.To delete a user group, highlight the user group you want to remove. Następnie kliknij przycisk wielokropka (...) i wybierz polecenie Usuń, aby usunąć grupę użytkowników.Then choose the ellipses (…), and choose Delete to remove the user group.

    <span data-ttu-id="d4563-227">Zrzut ekranu przedstawiający opcję Usuń</span><span class="sxs-lookup"><span data-stu-id="d4563-227">Screenshot showing Delete option</span></span>

Aby zmienić ustawienia zasadTo change policy settings

  1. W bloku Zasady aplikacji wybierz zasady, które chcesz zmienić.In the App policy blade, choose the policy you want to change. Spowoduje to otwarcie bloku specyficznego dla właśnie wybranych zasad.This opens a blade specific to the policy you just selected.

    <span data-ttu-id="d4563-231">Zrzut ekranu przedstawiający istniejące zasady otwarte w oddzielnym bloku</span><span class="sxs-lookup"><span data-stu-id="d4563-231">Screenshot of an existing policy open in a separate blade</span></span>

  2. Wybierz pozycję Ustawienia zasad, aby otworzyć blok Ustawienia zasad.Choose Policy settings to open the Policy settings blade.

  3. Zmień ustawienia i wybierz ikonę Zapisz, aby zapisać zmiany.Change the settings, and choose the Save icon to save your changes.

    Zrzut ekranu przedstawiający blok Ustawienia zasad z opcją zapisu w menu u góry

Ustawienia zasadPolicy settings

Aby wyświetlić pełną listę ustawień zasad dla systemów iOS i Android, wybierz jeden z następujących elementów:To see a full list of the policy settings for iOS and Android, select one of the following:

Następne krokiNext steps

Monitorowanie zgodności i stanu użytkownikaMonitor compliance and user status

Zobacz takżeSee also

Aby przesłać opinię na temat produktu, przejdź na stronę Intune Feedback