Rozwiązywanie problemów z wdrażaniem zasad ochrony aplikacji w usłudze IntuneTroubleshooting app protection policy deployment in Intune

WprowadzenieIntroduction

Ten artykuł ułatwia zrozumienie i rozwiązanie problemów związanych z zastosowaniem zasad ochrony aplikacji w usłudze Microsoft Intune.This article helps you understand and troubleshoot problems when you apply app protection policies in Microsoft Intune. Postępuj zgodnie z sekcjami, które dotyczą Twojej sytuacji.Follow the sections that apply to your situation.

Podstawowe krokiBasic steps

Zbieranie danych początkowychCollect initial data

Przed rozpoczęciem rozwiązywania problemu należy zebrać pewne podstawowe informacje, które mogą pomóc w lepszym zrozumieniu problemu i skróceniu czasu poszukiwania rozwiązania.Before you begin troubleshooting, you should collect some basic information that can help you better understand the problem and reduce the time to find a resolution.

Zbierz wymienione poniżej informacje.Collect the following information:

  • Jakie ustawienie zasad nie jest stosowane?What policy setting isn't applied? Czy są stosowane jakieś zasady?Is any policy applied?
  • Jakie jest środowisko użytkownika?What is the user experience? Czy użytkownicy mają zainstalowaną i uruchomioną aplikację docelową?Have users installed and started the targeted app?
  • Kiedy problem zaczął występować?When did the problem start? Czy ochrona aplikacji kiedykolwiek działała?Has app protection ever worked?
  • Której platformy (system Android lub iOS) dotyczy problem?Which platform (Android or iOS) has the problem?
  • Ilu użytkowników dotyczy błąd?How many users are affected? Czy problem dotyczy wszystkich urządzeń, czy tylko niektórych?Are all devices or only some devices affected?
  • Na ilu urządzeniach występuje problem?How many devices are affected? Czy problem dotyczy wszystkich urządzeń, czy tylko niektórych?Are all devices or only some devices affected?
  • Mimo że zasady ochrony aplikacji w usłudze Intune nie wymagają usługi zarządzania urządzeniami przenośnymi (MDM, mobile device management), czy użytkownicy doświadczający problemu korzystają z usługi Intune lub rozwiązań zarządzania mobilnością w przedsiębiorstwie innych firm?Although Intune app protection policy doesn't require a mobile device management (MDM) service, are affected users using Intune or a third-party EMM?
  • Czy problem dotyczy wszystkich aplikacji zarządzanych, czy tylko określonych aplikacji?Are all managed apps or only specific apps affected? Na przykład problem może dotyczyć aplikacji biznesowych z zestawem Intune App SDK, ale nie dotyczyć aplikacji ze sklepu.For example, are LOB apps that have Intune App SDK affected but store apps are not?

Teraz możesz rozpocząć rozwiązywanie problemów na podstawie odpowiedzi na te pytania.Now, you can start troubleshooting based on the answers to these questions.

Weryfikacja wymagań wstępnychVerify prerequisites

Następny krok rozwiązywania problemów polega na sprawdzeniu, czy zostały spełnione wszystkie wymagania wstępne.The next step in troubleshooting is to check whether all prerequisites are met.

Chociaż można używać zasad ochrony aplikacji usługi Intune niezależnie od wszelkich rozwiązań MDM, należy spełnić następujące wymagania wstępne:Although you can use Intune app protection policies independent of any MDM solution, the following prerequisites must be met:

  • Użytkownik musi mieć przypisaną licencję usługi Intune.The user must have an Intune license assigned.

  • Użytkownik musi należeć do grupy zabezpieczeń objętej zasadami ochrony aplikacji.The user must belong to a security group that is targeted by an app protection policy. Te same zasady ochrony aplikacji muszą obejmować określoną używaną aplikację.The same app protection policy must target the specific app that's used.

  • W przypadku urządzeń z systemem Android aplikacja Portal firmy jest wymagana do otrzymywania zasad ochrony aplikacji.For Android devices, the Company Portal app is required to receive app protection policies.

  • Jeśli używasz aplikacji Word, Excel lub PowerPoint, muszą zostać spełnione następujące wymagania dodatkowe:If you use Word, Excel, or PowerPoint apps, the following additional requirements must be met:

    • Użytkownik musi mieć licencję aplikacji platformy Microsoft 365 dla firm lub przedsiębiorstw przypisaną do swojego konta usługi Azure Active Directory (Azure AD).The user must have a license for Microsoft 365 Apps for business or enterprise linked to the user's Azure Active Directory (Azure AD) account. Subskrypcja musi obejmować aplikacje pakietu Office na urządzeniach przenośnych i może uwzględniać konto magazynu w chmurze w ramach usługi OneDrive dla Firm.The subscription must include the Office apps on mobile devices and can include a cloud storage account with OneDrive for Business. Licencje platformy Microsoft 365 można przypisać w centrum administracyjnym platformy Microsoft 365, wykonując te instrukcje.Microsoft 365 licenses can be assigned in the Microsoft 365 admin center by following these instructions.
    • Użytkownik musi mieć zarządzaną lokalizację, która jest konfigurowana przy użyciu szczegółowej funkcji Zapisz jako.The user must have a managed location that's configured by using the granular Save as functionality. To polecenie znajduje się w obszarze ustawienia zasad ochrony aplikacji Zapisz kopie danych organizacji.This command is located under the Save Copies of Org Data application protection policy setting. Jeśli na przykład zarządzana lokalizacja to OneDrive, aplikację OneDrive należy skonfigurować w aplikacji Word, Excel lub PowerPoint użytkownika.For example, if the managed location is OneDrive, the OneDrive app should be configured in the user's Word, Excel, or PowerPoint app.
    • Jeśli zarządzana lokalizacja to OneDrive, aplikacja musi być objęta zasadami ochrony aplikacji wdrożonymi dla użytkownika.If the managed location is OneDrive, the app must be targeted by the app protection policy that's deployed to the user.

    Uwaga

    Aplikacje mobilne pakietu Office obsługują obecnie tylko usługę SharePoint Online, a nie lokalny program SharePoint.The Office mobile apps currently support only SharePoint Online and not SharePoint on-premises.

  • Jeśli używasz zasad ochrony aplikacji usługi Intune z zasobami lokalnymi (Microsoft Skype dla firm i Microsoft Exchange Server), musisz włączyć nowoczesne uwierzytelnianie hybrydowe dla programów Skype dla firm i Exchange.If you use Intune app protection policies together with on-premises resources (Microsoft Skype for Business and Microsoft Exchange Server), you must enable Hybrid Modern Authentication (HMA) for Skype for Business and Exchange.

Zasady ochrony aplikacji usługi Intune wymagają, aby tożsamość użytkownika była spójna w aplikacji i zestawie Intune App SDK.Intune app protection policies require that the identity of the user is consistent between the app and Intune App SDK. Spójność można zagwarantować tylko przez nowoczesne uwierzytelnianie.The only way to guarantee this consistency is through modern authentication. Istnieją scenariusze, w których aplikacje mogą współpracować z konfiguracją lokalną bez nowoczesnego uwierzytelniania.There are scenarios in which apps may work in an on-premises configuration without modern authentication. Wyniki nie są jednak spójne ani gwarantowane.However, the outcomes are not consistent or guaranteed.

Aby uzyskać więcej informacji na temat włączania nowoczesnego uwierzytelniania hybrydowego dla konfiguracji hybrydowych i lokalnych programu Skype dla firm, zobacz następujące artykuły:For more information about how to enable HMA for Skype for Business hybrid and on-premises configurations, see the following articles:

Sprawdzanie stanu zasad ochrony aplikacjiCheck app protection policy status

Aby sprawdzić stan ochrony aplikacji, wykonaj następujące kroki:To check your app protection status, follow these steps:

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.
  2. Wybierz kolejno pozycje Aplikacje > Monitorowanie > Stan ochrony aplikacji, a następnie wybierz kafelek Przypisani użytkownicy.Select Apps > Monitor > App protection status, and then select the Assigned users tile.
  3. Na stronie Zgłaszanie aplikacji wybierz pozycję Wybierz użytkownika, aby wyświetlić listę użytkowników i grup.On the App reporting page, select Select user to bring up a list of users and groups.
  4. Wyszukaj i wybierz użytkownika z listy, a następnie wybierz pozycję Wybierz użytkownika.Search for and select one of the affected users from the list, then select Select user. W górnej części strony Zgłaszanie aplikacji widoczna jest informacja, czy użytkownik ma licencję na ochronę aplikacji i licencję na platformę Microsoft 365.At the top of the App reporting pane, you can see whether the user is licensed for app protection and has a license for Microsoft 365. Można także zobaczyć stan aplikacji dla wszystkich urządzeń użytkownika.You can also see the app status for all the user's devices.
  5. Zanotuj takie ważne informacje jak aplikacje, typy urządzeń, zasady, stan meldowania urządzenia i czas ostatniej synchronizacji.Make a note of such important information as the targeted apps, device types, policies, device check-in status, and last sync time.

Uwaga

Zasady ochrony aplikacji są stosowane wyłącznie podczas korzystania z aplikacji w kontekście służbowym.App protection policies are applied only when apps are used in the work context. Na przykład czas, w którym użytkownik uzyskuje dostęp do aplikacji przy użyciu konta służbowego.For example, when the user is accessing apps by using a work account.

Aby uzyskać więcej informacji, zobacz Sposób walidacji ustawień zasad ochrony aplikacji w usłudze Microsoft Intune.For more information, see How to validate your app protection policy setup in Microsoft Intune.

Sprawdzanie, czy tożsamość użytkownika jest spójna w aplikacji i zestawie Intune App SDKVerify that user identity is consistent between app and Intune App SDK

W większości scenariuszy użytkownicy logują się do swoich kont przy użyciu głównej nazwy użytkownika (UPN, user principal name).In most scenarios, users log in to their accounts by using their user principal name (UPN). Jednak w niektórych środowiskach (np. w scenariuszach lokalnych) użytkownicy mogą korzystać z innej formy poświadczeń logowania.However, in some environments (such as on-premises scenarios), users might use some other form of sign-in credentials. W takich przypadkach może się okazać, że nazwa UPN używana w aplikacji nie jest zgodna z obiektem UPN w usłudze Azure AD.In these cases, you might find that the UPN that's used in the app doesn't match the UPN object in Azure AD. W przypadku wystąpienia tego problemu zasady ochrony aplikacji nie są stosowane zgodnie z oczekiwaniami.When this issue occurs, app protection policies aren't applied as expected.

Zalecane najlepsze rozwiązania firmy Microsoft to dopasowanie nazwy UPN do podstawowego adresu SMTP.Microsoft's recommended best practices are to match the UPN to the primary SMTP address. Dzięki temu użytkownicy mogą logować się do zarządzanych aplikacji, ochrony aplikacji usługi Intune i innych zasobów w usłudze Azure AD, ponieważ posiadają spójną tożsamość.This practice enables users to log in to managed apps, Intune app protection, and other Azure AD resources by having a consistent identity. Aby uzyskać więcej informacji, zobacz Wypełnianie atrybutu UserPrincipalName w usłudze Azure AD.For more information, see Azure AD UserPrincipalName population.

Jeśli środowisko wymaga alternatywnych metod logowania, zapoznaj się z tematem Konfigurowanie alternatywnego identyfikatora logowania, zwłaszcza z sekcją dotyczącą nowoczesnego uwierzytelniania hybrydowego przy użyciu identyfikatora alternatywnego.If your environment requires alternative sign-in methods, see Configuring Alternate Login ID, specifically Hybrid Modern Authentication with Alternate-ID.

Sprawdzanie, czy użytkownik jest objęty zasadamiVerify that the user is targeted

Zasady ochrony aplikacji usługi Intune muszą być kierowane do użytkowników.Intune app protection policies must be targeted to users. Jeśli nie przypiszesz zasad ochrony aplikacji do użytkownika lub grupy użytkowników, zasady nie są stosowane.If you don't assign an app protection policy to a user or user group, the policy isn't applied.

Aby sprawdzić, czy zasady są stosowane do użytkownika, wykonaj następujące kroki:To verify that the policy is applied to the targeted user, follow these steps:

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.
  2. Wybierz pozycję Aplikacje > Monitorowanie > Stan ochrony aplikacji, a następnie wybierz kafelek Stan użytkownika (w oparciu o platformę systemu operacyjnego urządzenia).Select Apps > Monitor > App protection status, and then select the User status tile (based on device OS platform). W otwartym okienku Zgłaszanie aplikacji wybierz pozycję Wybierz użytkownika, aby wyszukać użytkownika.On the App reporting pane that opens, select Select user to search for a user.
  3. Wybierz użytkownika z listy.Select the user from the list. Zostaną wyświetlone szczegółowe informacje o tym użytkowniku.You can see the details for that user.

Po przypisaniu zasad do grupy użytkowników upewnij się, że użytkownik należy do grupy użytkowników.When you assign the policy to a user group, make sure that the user is in the user group. W tym celu wykonaj następujące czynności:To do this, follow these steps:

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.
  2. Wybierz pozycję Grupy > Wszystkie grupy, a następnie wyszukaj i wybierz grupę, która jest używana do przypisania zasad ochrony aplikacji.Select Groups > All groups, and then search for and select the group that's used for your app protection policy assignment.
  3. W sekcji Zarządzanie wybierz pozycję Członkowie.Under the Manage section, select Members.
  4. Jeśli dany użytkownik nie znajduje się na liście, zapoznaj się z tematem Zarządzanie dostępem do aplikacji i zasobów przy użyciu grup usługi Azure Active Directory oraz regułami członkostwa w grupach.If the affected user isn't listed, review Manage app and resource access using Azure Active Directory groups and your group membership rules. Upewnij się, że dany użytkownik jest uwzględniony w grupie.Make sure that the affected user is included in the group.
  5. Upewnij się, że dany użytkownik nie znajduje się w żadnej z grup wykluczonych dla zasad.Make sure that the affected user isn't in any of the excluded groups for the policy.

Ważne

  • Zasady ochrony aplikacji usługi Intune muszą być przypisane do grup użytkowników, a nie grup urządzeń.The Intune app protection policy must be assigned to user groups and not device groups.
  • Jeśli objęte urządzenie korzysta z programu Apple Device Enrollment Program (DEP), upewnij się, że opcja Koligacja użytkownika jest włączona.If the affected device uses Apple Device Enrollment Program (DEP), make sure that User Affinity is enabled. Koligacja użytkownika jest wymagana dla każdej aplikacji, która wymaga uwierzytelniania użytkownika w ramach programu DEP.User Affinity is required for any app that requires user authentication under DEP.
  • Jeśli dane urządzenie korzysta z rozwiązania Android Enterprise, tylko profile służbowe będą obsługiwały zasady ochrony aplikacji.If the affected device uses Android Enterprise, only work profiles will support app protection policies.

Sprawdzanie, czy aplikacja zarządzana jest celem zasadVerify that the managed app is targeted

Podczas konfigurowania zasad ochrony aplikacji usługi Intune aplikacje docelowe muszą używać zestawu Intune App SDK.When you configure Intune app protection policies, the targeted apps must use Intune App SDK. W przeciwnym razie zasady ochrony aplikacji mogą nie funkcjonować prawidłowo.Otherwise, app protection policies may not work correctly.

Upewnij się, że aplikacja docelowa jest wymieniona na liście chronionych aplikacji w usłudze Microsoft Intune.Make sure that the targeted app is listed in Microsoft Intune protected apps. W przypadku aplikacji biznesowych lub niestandardowych upewnij się, że aplikacje używają najnowszej wersji zestawu Intune App SDK.For LOB or custom apps, verify that the apps use the latest version of Intune App SDK. . Weź pod uwagę następujące kwestie:Note the following:

W przypadku systemu iOS to podejście jest ważne, ponieważ każda wersja zawiera poprawki, które mają wpływ na sposób stosowania tych zasad i ich działania.For iOS, this practice is important because each version contains fixes that affect how these policies are applied and how they function. Aby uzyskać więcej informacji, zobacz Wersje zestawu Intune App SDK dla systemu iOS.For more information, see Intune App SDK iOS releases. W przypadku systemu Android to działanie nie jest tak ważne.For Android, this practice isn't as important. Jednak użytkownicy muszą mieć zainstalowaną najnowszą wersję aplikacji Portal firmy, ponieważ aplikacja Portal firmy działa jako agent brokera zasad.However, users must have the latest version of the Company Portal app installed because the Company Portal app works as the policy broker agent.

Uwaga

Od września 2019 r. usługa Intune będzie obsługiwać aplikacje dla systemu iOS korzystające z zestawu Intune App SDK w wersji 8.1.1 lub nowszej.Starting in September 2019, Intune will move to support iOS apps that have Intune App SDK 8.1.1 and later versions. Aplikacje utworzone przy użyciu wersji zestawu SDK starszej niż 8.1.1 nie będą już obsługiwane.Apps built by using SDK versions that are earlier than 8.1.1 will no longer be supported.

Więcej informacjiMore information

Specjalne wymagania dotyczące urządzeń zarządzanych przez rozwiązanie MDM w usłudze IntuneSpecial requirements for Intune MDM-managed devices

Podczas tworzenia zasad ochrony aplikacji można kierować je do wszystkich typów aplikacji lub do następujących typów aplikacji:When you create an app protection policy, you can target it to all app types or to the following app types:

  • Aplikacje na urządzeniach niezarządzanychApps on unmanaged devices
  • Aplikacje na urządzeniach zarządzanych przez usługę IntuneApps on Intune-managed devices
  • Aplikacje w profilu służbowym systemu AndroidApps in the Android Work Profile

Uwaga

Aby określić typy aplikacji, ustaw opcję Dotyczy wszystkich typów aplikacji na Nie, a następnie wybierz pozycję z listy Typy aplikacji.To specify the app types, set Target to all app types to No, and then select from the App types list.

W przypadku systemu iOS wymagane są dodatkowe ustawienia konfiguracji aplikacji przeznaczone dla ustawień zasad ochrony aplikacji na urządzeniach zarejestrowanych w usłudze Intune:For iOS, the following additional app configuration settings are required to target app protection policy (APP) settings to apps on Intune-enrolled devices:

  • Ustawienie IntuneMAMUPN musi być skonfigurowane dla wszystkich aplikacji zarządzanych przez usługę MDM (Intune lub zewnętrzne rozwiązanie zarządzania mobilnością w przedsiębiorstwie innej firmy).IntuneMAMUPN must be configured for all MDM (Intune or a third-party EMM)-managed applications. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawienia nazwy UPN użytkownika dla usługi Microsoft Intune lub rozwiązania zarządzania mobilnością w przedsiębiorstwie innej firmy.For more information, see Configure user UPN setting for Microsoft Intune or third-party EMM.
  • Ustawienie IntuneMAMDeviceID musi być skonfigurowane dla wszystkich aplikacji innych firm lub aplikacji biznesowych zarządzanych przez rozwiązanie MDM.IntuneMAMDeviceID must be configured for all third-party and LOB MDM-managed applications.
  • Ustawienie IntuneMAMDeviceID musi być skonfigurowane jako token identyfikatora urządzenia.IntuneMAMDeviceID must be configured as the device ID token. Na przykład klucz = IntuneMAMDeviceID, wartość = {{deviceID}}.For example, key=IntuneMAMDeviceID, value={{deviceID}}. Aby uzyskać więcej informacji, zobacz Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem iOS.For more information, see Add app configuration policies for managed iOS devices.
  • Jeśli skonfigurowane zostanie tylko ustawienie IntuneMAMDeviceID, zasady ochrony aplikacji usługi Intune uznają urządzenie za niezarządzane.If only the IntuneMAMDeviceID value is configured, Intune APP will consider the device as unmanaged.

Scenariusz: Zmiany zasad nie działająScenario: Policy changes are not working

Zestaw Intune App SDK regularnie sprawdza, czy zostały wprowadzone zmiany zasad.The Intune App SDK checks regularly for policy changes. Jednak ten proces może być opóźniony z jednego z następujących powodów:However, this process may be delayed for any of the following reasons:

  • Aplikacja nie zameldowała się w usłudze.The app hasn't checked in with the service.
  • Aplikacja Portal firmy została usunięta z urządzenia.The Company Portal app has been removed from the device.

Zasady ochrony aplikacji usługi Intune opierają się na tożsamości użytkownika.Intune app protection policy relies on user identity. W związku z tym wymagane jest prawidłowe logowanie z wykorzystaniem konta służbowego i spójne połączenie z usługą.Therefore, a valid login that uses a work or school account to the app and a consistent connection to the service are required. Jeśli użytkownik nie zalogował się do aplikacji lub aplikacja Portal firmy została usunięta z urządzenia, aktualizacje zasad nie będą miały zastosowania.If the user hasn't signed in to the app, or the Company Portal app has been removed from the device, policies updates won't apply.

Ponadto zastosowanie zmian i aktualizacji zasad ochrony aplikacji może potrwać nawet 8 godzin.Additionally, changes and updates to app protection policy can take up to 8 hours to apply. Jeśli ma to zastosowanie, zamknięcie wszystkich aplikacji i ponowne uruchomienie urządzenia zazwyczaj wymusza wcześniejsze zastosowanie aktualizacji zasad.If applicable, closing all apps and restarting the device usually forces the policy update to apply sooner.

Aby sprawdzić stan ochrony aplikacji, wykonaj następujące kroki:To check app protection status, follow these steps:

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.
  2. Wybierz kolejno pozycje Aplikacje > Monitorowanie > Stan ochrony aplikacji, a następnie wybierz kafelek Przypisani użytkownicy.Select Apps > Monitor > App protection status, and then select the Assigned users tile.
  3. Na stronie Zgłaszanie aplikacji wybierz pozycję Wybierz użytkownika, aby otworzyć listę użytkowników i grup.On the App reporting page, select Select user to open a list of users and groups.
  4. Wyszukaj i wybierz użytkownika z listy, a następnie wybierz pozycję Wybierz użytkownika.Search for and select one of the affected users from the list, then select Select user.
  5. Przejrzyj aktualnie stosowane zasady, w tym stan i czas ostatniej synchronizacji.Review the policies that are currently applied, including the status and last sync time.
  6. Jeśli stan to Nie zameldowano lub jeśli ekran wskazuje, że ostatnia synchronizacja była wykonana dawno, sprawdź, czy użytkownik ma spójne połączenie sieciowe.If the status is Not checked in, or if the display indicates that there has not been a recent sync, check whether the user has a consistent network connection. W przypadku użytkowników systemu Android upewnij się, że zainstalowano najnowszą wersję aplikacji Portal firmy.For Android users, make sure that they have the latest version of the Company Portal app installed.

Ważne

Zestaw Intune App SDK przeprowadza sprawdzanie co 30 minut na potrzeby czyszczenia selektywnego.The Intune App SDK checks every 30 minutes for selective wipe. Jednak zmiany w istniejących zasadach dla użytkowników, którzy są już zalogowani, mogą nie być widoczne przez maksymalnie 8 godzin.However, changes to existing policy for users who are already signed in may not appear for up to 8 hours. Aby przyspieszyć ten proces, użytkownik musi wylogować się z aplikacji, a następnie ponownie uruchomić urządzenie.To speed up this process, have the user log out of the app and then log back in or restart their devices.

Zasady ochrony aplikacji usługi Intune zapewniają obsługę wielu tożsamości.Intune app protection policy includes multi-identity support. Usługa Intune może stosować zasady ochrony aplikacji tylko do konta służbowego, które jest zalogowane do aplikacji.Intune can apply app protection policies to only the work or school account that's signed in to the app. Jednak obsługiwane jest tylko jedno konto służbowe na urządzenie.However, only one work or school account per device is supported.

Scenariusz: Zasady są stosowane, ale użytkownicy systemu iOS nadal mogą przesyłać pliki robocze do niezarządzanych aplikacjiScenario: The policy is applied, but iOS users can still transfer work files to unmanaged apps

Zarządzanie funkcją „Otwórz w” (przycisk Otwórz w) dla urządzeń z systemem iOS umożliwia ograniczenie przesyłania plików między aplikacjami wdrożonymi za pośrednictwem kanału zarządzania urządzeniami przenośnymi.The Open-in management ( Open-in button ) feature for iOS devices can limit file transfers between apps that are deployed through the MDM channel. Użytkownik może mieć możliwość transferu plików roboczych z zarządzanych lokalizacji, takich jak OneDrive i Exchange, do niezarządzanych aplikacji lub lokalizacji, w zależności od konfiguracji.The user may be able to transfer work files from managed locations such as OneDrive and Exchange to unmanaged apps or locations, depending on the configuration. Zarządzanie funkcją „Otwórz w” systemu iOS działa poza innymi metodami transferu danych.The iOS Open-in management feature works outside other data transfer methods. W związku z tym nie mają na nią wpływu ustawienia funkcji Zapisz jako ani Kopiuj/wklej.Therefore, it isn't affected by Save as and Copy/Paste settings.

Zasady ochrony aplikacji są używane z zarządzaniem funkcją „Otwórz w” systemu iOS w celu ochrony danych firmy na następujące sposoby:You can use Intune app protection policies together with the iOS Open-in management feature to protect company data in the following manner:

  • Urządzenia pracowników, które nie są zarządzane przez żadne rozwiązanie MDM: można skonfigurować zasady ochrony aplikacji z ustawieniem Allow app to transfer data to only Policy Managed apps (Zezwalaj aplikacji na przesyłanie danych tylko do aplikacji zarządzanych przez zasady).Employee-owned devices that are not managed by an MDM solution: You can set the app protection policy settings to Allow app to transfer data to only Policy Managed apps. W przypadku takiej konfiguracji funkcja Otwórz w w aplikacji zarządzanej przez zasady przedstawia tylko inne aplikacje zarządzane przez zasady jako opcje na potrzeby udostępniania.Configured in this way, the Open-in behavior in a policy-managed app provides only other policy-managed apps as options for sharing. Jeśli na przykład użytkownik próbuje wysłać plik chroniony w formie załącznika z usługi OneDrive przy użyciu natywnej aplikacji poczty, nie można tego pliku odczytać.For example, if a user tries to send a protected file as an attachment from OneDrive in the native mail app, that file is unreadable.

  • Urządzenia zarządzane przez rozwiązania MDM: W przypadku urządzeń zarejestrowanych w usłudze Intune lub w rozwiązaniach MDM innych firm udostępnianie danych między aplikacjami z zasadami ochrony aplikacji a innymi zarządzanymi aplikacjami systemu iOS wdrożonymi za pośrednictwem rozwiązania MDM jest kontrolowane przez zasady ochrony aplikacji usługi Intune i zarządzanie funkcją „Otwórz w” systemu iOS.Devices that are managed by MDM solutions: For devices that are enrolled in Intune or third-party MDM solutions, data sharing between apps by using app protection policies and other managed iOS apps that are deployed through MDM is controlled by Intune APP and by the iOS Open-in management feature.

    Aby zapewnić, że aplikacje, które wdrażasz za pomocą rozwiązania do zarządzania urządzeniami przenośnymi, również będą skojarzone z zasadami ochrony aplikacji usługi Intune, skonfiguruj ustawienie nazwy UPN użytkownika według opisu w sekcji Konfigurowanie ustawienia nazwy UPN użytkownika.To make sure that apps you deploy by using an MDM solution are also associated with your Intune app protection policies, configure the user UPN setting as described in Configure user UPN setting.

    Aby określić sposób zezwalania na transfer danych do innych aplikacji, włącz ustawienie Wyślij dane organizacji do innych aplikacji i wybierz preferowany poziom udostępniania.To specify how you want to allow data transfer to other apps, enable Send Org data to other apps, and then select your preferred level of sharing.

    Aby określić sposób zezwalania na odbieranie przez aplikację danych z innych aplikacji, włącz ustawienie Odbierz dane z innych aplikacji i wybierz preferowany poziom odbierania danych.To specify how you want to allow an app to receive data from other apps, enable Receive data from other apps, and then select your preferred level of receiving data.

Aby uzyskać więcej informacji na temat sposobu odbierania i udostępniania danych aplikacji, zobacz Ustawienia relokacji danych.For more information about how to receive and share app data, see Data relocation settings.

Aby uzyskać więcej informacji, zobacz Jak zarządzać przesyłaniem danych między aplikacjami systemu iOS w usłudze Microsoft Intune.For more information, see How to manage data transfer between iOS apps in Microsoft Intune.

OdwołaniaReferences

Jeśli nadal szukasz rozwiązania powiązanego problemu lub chcesz uzyskać więcej informacji na temat usługi Intune, opublikuj pytanie na forum usługi Microsoft Intune.If you're still looking for a solution to a related problem, or for more information about Intune, post a question in our Microsoft Intune forum. Wielu inżynierów pomocy technicznej, specjalistów MVP i członków naszego zespołu deweloperów odwiedza fora.Many support engineers, MVPs, and members of our development team visit the forums. Dlatego istnieje duża szansa, że znajdziesz kogoś, kto ma potrzebne informacje.So, there's a good chance that you can find someone who has the information that you need.

Aby przesłać wniosek o pomoc techniczną do zespołu pomocy technicznej produktu Microsoft Intune, zobacz Jak uzyskać pomoc techniczną dotyczącą usługi Microsoft Intune.To open a support request for the Microsoft Intune product support team, see How to get support for Microsoft Intune.

Aby uzyskać więcej informacji na temat zasad ochrony aplikacji usługi Intune, zobacz następujące artykuły:For more information about Intune app protection policy, see the following articles:

Wszystkie najnowsze wiadomości, informacje i porady techniczne można znaleźć w naszych oficjalnych blogach:For all the latest news, information, and tech tips, go to our official blogs:

Następne krokiNext steps