Ochrona danych aplikacji przy użyciu zasad ochrony aplikacji w usłudze Microsoft IntuneProtect app data using app protection policies with Microsoft Intune

Dotyczy: usługa Intune w konsoli klasycznejApplies to: Intune in the classic console
Szukasz dokumentacji dotyczącej usługi Intune na platformie Azure?Looking for documentation about Intune on Azure? Przejdź tutaj.Go here.

Jak możesz chronić dane aplikacjiHow you can protect app data

Pracownicy używają urządzeń przenośnych zarówno do celów służbowych, jak i prywatnych.Your employees use mobile devices for both personal and work tasks. Umożliwiając pracownikom wydajną pracę, warto jednocześnie zapobiegać nieumyślnej lub umyślnej utracie danych.While you're making sure your employees can be productive, you also want to prevent data loss—intentional and unintentional. Dobrze też mieć możliwość ochrony danych firmowych, do których pracownicy uzyskują dostęp za pomocą urządzeń, którymi nie zarządzamy.In addition, you want to have the ability to protect company data that employees access by using devices that you don't manage.

Aby lepiej chronić dane firmy, możesz skorzystać z zasad ochrony aplikacji w usłudze Intune.You can use Intune app protection policies to help protect your company’s data. Ponieważ zasady ochrony aplikacji w usłudze Intune są niezależne od wszelkich rozwiązań do zarządzania urządzeniami przenośnymi (MDM, mobile device management), możesz użyć zasad zarządzania aplikacjami mobilnymi (MAM, mobile application management) do ochrony danych firmy bez względu na to, czy urządzenia zostały zarejestrowane w rozwiązaniach do zarządzania urządzeniami.Because Intune App protection policies can be used independent of any mobile device management (MDM) solution, you can use MAM to protect your company’s data with or without enrolling devices in a device management solution. Wdrażając zasady na poziomie aplikacji, można ograniczyć dostęp do zasobów firmy i objęcia danych kontrolą działu IT.By implementing app-level policies, you can restrict access to company resources and keep data within the purview of your IT department.

Zasady ochrony aplikacji można skonfigurować dla aplikacji uruchomionej na urządzeniach, które są:You can configure app protection policies for apps running on devices that are:

  • Zarejestrowane w usłudze Microsoft Intune: urządzenia w tej kategorii są przeważnie urządzeniami należącymi do firmy.Enrolled in Microsoft Intune: The devices in this category are typically corporate-owned devices.

  • Zarejestrowane w rozwiązaniu do zarządzania urządzeniami przenośnymi (MDM) innej firmy: urządzenia w tej kategorii są przeważnie urządzeniami należącymi do firmy.Enrolled in a third-party MDM solution: The devices in this category are typically corporate-owned devices.

    Uwaga

    Nie zaleca się stosowania zasad ochrony aplikacji w połączeniu z rozwiązaniami do zarządzania aplikacjami mobilnymi lub rozwiązań z bezpiecznym kontenerem innych firm.We don't recommend using app protection policies with third-party mobile application management or secure container solutions.

  • Niezarejestrowane w żadnym rozwiązaniu do zarządzania urządzeniami przenośnymi: urządzenia w tej kategorii są zazwyczaj urządzeniami należącymi do pracowników, które nie są zarządzane lub nie zostały zarejestrowane w usłudze Intune ani innych rozwiązaniach MDM.Not enrolled in any MDM solution: The devices in this category are typically employee-owned devices that are not managed or enrolled in Intune or other MDM solutions.

Ważne

Możesz tworzyć zasady ochrony aplikacji dla aplikacji mobilnych pakietu Office łączących się z usługą Office 365.You can create app protection policies for Office mobile apps that connect to Office 365 services. Zasady ochrony aplikacji nie są obsługiwane w przypadku aplikacji łączących się z lokalnymi usługami Exchange, Skype dla firm lub SharePoint.App protection policies are not supported for apps that connect to on-premises Exchange, Skype for Business, or SharePoint services.

Zalety stosowania zasad ochrony aplikacjiBenefits of using app protection policies

  • Pomagają chronić dane firmy na poziomie aplikacji.They help protect your company data at the app level. Ponieważ zarządzanie aplikacjami mobilnymi nie wymaga zarządzania urządzeniami, dane firmy można chronić zarówno na urządzeniach zarządzanych, jak i niezarządzanych.Because mobile application management doesn't require device management, you can protect company data on both managed and unmanaged devices. Zarządzanie skupia się na tożsamości użytkownika, co eliminuje konieczność zarządzania urządzeniem.The management is centered on the user identity, which removes the requirement for device management.

  • Zasady nie mają wpływu na produktywność użytkownika i nie są stosowane podczas korzystania z aplikacji w kontekście prywatnym.User productivity is not impacted, and the policies aren't applied when you're using the app in a personal context. Zasady są stosowane wyłącznie w kontekście służbowym, co daje możliwość ochrony danych firmowych bez ingerowania w dane prywatne.The policies are applied only in a work context, which gives you the ability to protect company data without touching personal data.

Stosowanie rozwiązań MDM jednocześnie z zasadami ochrony aplikacji jest możliwe i daje dodatkowe korzyści. Firmy mogą równocześnie korzystać z zasad MAM z rozwiązaniem MDM lub bez niego.There are additional benefits to using MDM with app protection policies, and companies can use MAM with and without MDM at the same time. Na przykład pracownik może korzystać z telefonu otrzymanego od firmy oraz z prywatnego tabletu.For example, an employee might use a company-issued phone, as well as a personal tablet. W takiej sytuacji telefon firmowy jest zarejestrowany w rozwiązaniu MDM i chroniony przez zasady ochrony aplikacji, natomiast urządzenie prywatne jest chronione tylko przez zasady ochrony aplikacji.In this case, the company phone is enrolled in MDM and protected by app protection policies, and the personal device is protected by app protection policies only.

  • Rozwiązanie MDM zapewnia ochronę urządzenia.MDM makes sure that the device is protected. Możesz na przykład zastosować zabezpieczenie dostępu do urządzenia numerem PIN lub wdrożyć na urządzeniu aplikacje zarządzane.For example, you can require a PIN to access the device, or you can deploy managed apps to the device. Możesz również wdrażać aplikacje na urządzeniach za pośrednictwem rozwiązania MDM, aby mieć lepszą kontrolę nad zarządzaniem aplikacjami.You can also deploy apps to devices through your MDM solution to give you more control over app management.

  • Zasady ochrony aplikacji zapewniają ochronę warstwy aplikacji.App protection policies make sure that the app-layer protections are in place. Na przykład możesz mieć zasadę, która wymaga zastosowania numeru PIN w celu otwarcia aplikacji w kontekście służbowym, chroni dane przed udostępnieniem innym aplikacjom i uniemożliwia zapisywanie firmowych danych aplikacji w prywatnej lokalizacji magazynu.For example, you can have a policy that requires a PIN to open an app in a work context, prevents data from being shared between apps, and prevents company app data from being saved to a personal storage location.

Urządzenia, które obsługują zasady MAMDevices that support MAM

Zasady ochrony aplikacji są obecnie obsługiwane w następujących systemach operacyjnych:App protection policies are currently supported on:

  • System iOS 8.1 lub nowszyiOS 8.1 or later
  • System Android 4 lub nowszyAndroid 4 or later
Uwaga

Urządzenia z systemem Windows nie są obsługiwane w rozwiązaniu do zarządzania aplikacjami mobilnymi bez scenariusza rejestracji.Windows devices are not supported in the MAM without enrollment scenario. Jednak podczas rejestrowania urządzeń z systemem Windows 10 w usłudze Intune możesz użyć rozwiązania Windows Information Protection, które oferuje podobne funkcje.However, when you enroll Windows 10 devices with Intune, you can use Windows Information Protection, which offers similar functionality. Aby uzyskać szczegółowe informacje, zobacz Protect your enterprise data using Windows Information Protection (Chronienie danych przedsiębiorstwa przy użyciu rozwiązania Windows Information Protection).For details, see Protect your enterprise data using Windows Information Protection (WIP).

W jaki sposób zasady ochrony aplikacji chronią dane aplikacjiHow app protection policies protect app data

Aplikacje bez zasad ochrony aplikacjiApps without app protection policies

Obraz pokazujący, że dane mogą swobodnie przemieszczać się między aplikacjami, jeśli nie wdrożono zasad ochrony aplikacji

Jeśli korzystasz z aplikacji bez ograniczeń, dane firmowe i prywatne mogą ulec wymieszaniu.When you use apps without restrictions, company and personal data can get intermingled. Dane firmowe mogą więc trafić na przykład do magazynu osobistego lub zostać przesłane do aplikacji pozostających poza Twoją kontrolą, co może grozić utratą danych.Company data might end up in locations like personal storage or might be transferred to apps outside of your purview, which could result in data loss. Strzałki na rysunku oznaczają nieograniczone przemieszczanie się danych między aplikacjami (firmowymi i prywatnymi) oraz do lokalizacji magazynu.The arrows in the diagram show unrestricted data movement between apps (corporate and personal) and to storage locations.

Ochrona danych za pomocą zasad ochrony aplikacjiData protection with app protection policies

Obraz pokazujący sposób ochrony danych firmowych po zastosowaniu zasad ochrony aplikacji

Zasady ochrony aplikacji umożliwiają zapobieganie zapisywaniu danych firmy w lokalnym magazynie urządzenia i ograniczanie ruchu danych do innych aplikacji, które nie są chronione przy użyciu zasad ochrony aplikacji.You can use app protection policies to prevent company data from saving to the local storage of the device, and to restrict data movement to other apps that aren't protected by app protection policies. Ustawienia zasad ochrony aplikacji obejmują:App protection policy settings include:

  • Zasady przenoszenia danych, takie jak Nie zezwalaj na używanie polecenia Zapisz jako i Ogranicz wycinanie, kopiowanie i wklejanie.Data relocation policies like Prevent Save As and Restrict cut, copy, and paste.
  • Ustawienia zasad dostępu, takie jak Wymagaj prostego numeru PIN w celu udzielenia dostępu i Blokuj uruchamianie aplikacji zarządzanych na urządzeniach ze zdjętymi zabezpieczeniami systemu lub odblokowanym dostępem do konta administratora.Access policy settings like Require simple PIN for access and Block managed apps from running on jailbroken or rooted devices.

Ochrona danych za pomocą zasad ochrony aplikacji na urządzeniach zarządzanych przez rozwiązanie MDMData protection with app protection on devices that are managed by a MDM solution

Obraz pokazujący sposób działania zasad ochrony aplikacji na urządzeniach BYOD

Dla urządzeń przenośnych zarejestrowanych w rozwiązaniu MDM: na powyższym diagramie przedstawiono warstwy ochrony oferowane łącznie przez rozwiązanie do zarządzania urządzeniami przenośnymi i zasady ochrony aplikacji.For devices enrolled in an MDM solution: The preceding diagram shows the layers of protection that MDM and app protection policies offer together.

Rozwiązanie MDM:The MDM solution:

  • Rejestruje urządzenie.Enrolls the device.

  • Wdraża aplikacje na urządzeniu.Deploys apps to the device.

  • Na bieżąco zapewnia zgodność urządzenia i zarządzanie nim.Provides ongoing device compliance and management.

Korzyści wynikające ze stosowania zasad ochrony aplikacji:App protection policies add value because they:

  • Wspomagają ochronę danych firmy przed wyciekiem do aplikacji i usług dla konsumentów.Help protect company data from leaking to consumer apps and services.

  • Stosują ograniczenia (zapisz jako, schowek, numer PIN itp.) do aplikacji mobilnych.Apply restrictions (save-as, clipboard, PIN, etc.) to mobile apps.

  • Wymazują dane firmowe z aplikacji, nie usuwając tych aplikacji z urządzenia.Wipe company data from apps without removing those apps from the device.

Ochrona danych za pomocą zasad ochrony aplikacji dla urządzeń bez rejestracjiData protection with app protection policies for devices without enrollment

Obraz pokazujący sposób działania zasad ochrony aplikacji na urządzeniach zarządzanych

Kolejny rysunek przedstawia sposób działania zasad ochrony danych na poziomie aplikacji bez rozwiązania MDM.The preceding diagram illustrates how data protection policies work at the app level without MDM.

W przypadku urządzeń BYOD niezarejestrowanych w żadnym rozwiązaniu MDM zasady ochrony aplikacji mogą pomóc w ochronie danych firmowych na poziomie aplikacji.For BYOD devices that aren't enrolled in any MDM solution, app protection policies can help protect company data at the app level.

Należy jednak wziąć pod uwagę następujące ograniczenia:However, there are some limitations to be aware of:

  • Na urządzeniach nie można wdrażać aplikacji.You can't deploy apps to the device. Użytkownik musi uzyskać aplikacje ze sklepu.The user has to get the apps from the store.

  • Na urządzeniach nie można dostarczać profili certyfikatów.You can't provision certificate profiles on these devices.

  • Na urządzeniach nie można wprowadzać ustawień firmowych sieci Wi-Fi i VPN.You can't set up company Wi-Fi and VPN settings on these devices.

Wiele tożsamościMulti-identity

Aplikacje, które obsługują wiele tożsamości, umożliwiają uzyskiwanie dostępu do tych samych aplikacji przy użyciu różnych kont (służbowych i osobistych), podczas gdy zasady ochrony aplikacji są stosowane tylko wtedy, gdy aplikacje są używane w kontekście służbowym.Apps that support multi-identity let you use different accounts (work and personal) to access the same apps, while app protection policies are applied only when the apps are used in the work context.

Jeśli na przykład użytkownik uruchamia aplikację OneDrive przy użyciu konta służbowego, nie może przenieść plików do lokalizacji magazynu osobistego.For example, when a user starts the OneDrive app by using their work account, they can't move the files to a personal storage location. Jeśli jednak użytkownik korzysta z usługi OneDrive przy użyciu konta osobistego, może bez ograniczeń kopiować i przenosić dane z usługi OneDrive w wersji do użytku osobistego.However, when they use OneDrive with their personal account, they can copy and move data from their personal OneDrive without restrictions.

Następne krokiNext steps

Aby przesłać opinię na temat produktu, przejdź na stronę Intune Feedback