Sdílet prostřednictvím


Vytvoření a přiřazení zásad ochrany aplikací

Zjistěte, jak vytvářet a přiřazovat zásady ochrany aplikací (APP) v Microsoft Intune pro uživatele ve vaší organizaci. Tento článek také popisuje, jak provádět změny stávajících zásad.

Než začnete

Zásady ochrany aplikací se můžou vztahovat na aplikace spuštěné na zařízeních, která můžou nebo nemusí být spravovaná službou Intune. Podrobnější popis toho, jak zásady ochrany aplikací fungují, a scénáře podporované zásadami ochrany aplikací Intune najdete v tématu Přehled zásad ochrany aplikací.

Možnosti dostupné v zásadách ochrany aplikací (APP) umožňují organizacím přizpůsobit ochranu jejich konkrétním potřebám. U některých nemusí být zřejmé, která nastavení zásad jsou nutná k implementaci kompletního scénáře. Microsoft zavedl taxonomii pro svoji architekturu ochrany dat APP pro správu mobilních aplikací pro správu mobilních aplikací pro iOS a Android, aby organizacím pomohl prioritizovat posílení zabezpečení koncových bodů mobilních klientů.

Architektura ochrany dat APP je uspořádaná do tří různých úrovní konfigurace, přičemž každá úroveň vychází z předchozí úrovně:

  • Základní ochrana podnikových dat (úroveň 1) zajišťuje, že aplikace jsou chráněné kódem PIN a šifrované, a provádí operace selektivního vymazání. U zařízení s Androidem tato úroveň ověřuje ověření identity zařízení s Androidem. Jedná se o konfiguraci základní úrovně, která poskytuje podobné řízení ochrany dat v zásadách poštovních schránek Exchange Online a zavádí IT a populaci uživatelů do APP.
  • Rozšířená ochrana podnikových dat (úroveň 2) zavádí mechanismy ochrany dat APP a minimální požadavky na operační systém. Toto je konfigurace, která se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.
  • Vysoká ochrana podnikových dat (úroveň 3) zavádí pokročilé mechanismy ochrany dat, vylepšenou konfiguraci PIN kódu a ochranu před mobilními hrozbami pro APP. Tato konfigurace je žádoucí pro uživatele, kteří přistupují k vysoce rizikovým datům.

Pokud chcete zobrazit konkrétní doporučení pro jednotlivé úrovně konfigurace a minimální počet aplikací, které je potřeba chránit, přečtěte si téma Architektura ochrany dat pomocí zásad ochrany aplikací.

Pokud hledáte seznam aplikací, které integrovaly sadu Intune SDK, přečtěte si téma Aplikace chráněné microsoft intune.

Informace o přidání obchodních aplikací vaší organizace do Microsoft Intune za účelem přípravy na zásady ochrany aplikací najdete v tématu Přidání aplikací do Microsoft Intune.

Zásady ochrany aplikací pro aplikace pro iOS/iPadOS a Android

Když vytváříte zásady ochrany aplikací pro aplikace pro iOS/iPadOS a Android, budete postupovat podle moderního toku procesu Intune, který má za následek nové zásady ochrany aplikací. Informace o vytváření zásad ochrany aplikací pro aplikace pro Windows najdete v tématu Nastavení zásad ochrany aplikací pro Windows.

Vytvoření zásad ochrany aplikací pro iOS/iPadOS nebo Android

  1. Přihlaste se k Centru pro správu Microsoft 365.
  2. Vyberte Aplikace>Zásady ochrany aplikací. Tato volba otevře podrobnosti o zásadách ochrany aplikací , kde můžete vytvářet nové zásady a upravovat stávající zásady.
  3. Vyberte Vytvořit zásadu a vyberte iOS/iPadOS nebo Android. Zobrazí se podokno Vytvořit zásadu .
  4. Na stránce Základy přidejte následující hodnoty:
Hodnota Popis
Name (Název) Název této zásady ochrany aplikací.
Popis [Volitelné] Popis této zásady ochrany aplikací

Snímek obrazovky se stránkou Základy v podokně Vytvořit zásadu

  1. Kliknutím na Další zobrazte stránku Aplikace .
    Na stránce Aplikace můžete zvolit, na které aplikace má tato zásada cílit. Musíte přidat aspoň jednu aplikaci.

    Hodnota/možnost Popis
    Zacílit zásadu na V rozevíracím seznamu Cílová zásada na vyberte, jestli chcete zásady ochrany aplikací cílit na Všechny aplikace, Microsoft Apps nebo Základní aplikace Microsoftu.

    • Všechny aplikace zahrnují všechny aplikace microsoftu a partnerů, které integrovaly sadu Intune SDK.
    • Microsoft Apps zahrnuje všechny aplikace Microsoftu, které mají integrovanou sadu Intune SDK.
    • Základní aplikace Microsoft Zahrnují následující aplikace: Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do a Word.

    Dále můžete vybrat Zobrazit seznam aplikací, na které se budou cílit , a zobrazit seznam aplikací, které budou touto zásadou ovlivněny.
    Veřejné aplikace Pokud nechcete vybrat některou z předdefinovaných skupin aplikací, můžete se rozhodnout cílit na jednotlivé aplikace tak, že v rozevíracím seznamu Cílová zásada dovyberete Vybrané aplikace. Klikněte na Vybrat veřejné aplikace a vyberte veřejné aplikace, na které chcete cílit.
    Vlastní aplikace Pokud nechcete vybrat některou z předdefinovaných skupin aplikací, můžete se rozhodnout cílit na jednotlivé aplikace tak, že v rozevíracím seznamu Cílová zásada dovyberete Vybrané aplikace. Klikněte na Vybrat vlastní aplikace a vyberte vlastní aplikace, na které chcete cílit na základě ID sady. Při cílení na všechny veřejné aplikace ve stejné zásadě nemůžete zvolit vlastní aplikaci.

    Vybrané aplikace se zobrazí v seznamu veřejných a vlastních aplikací.

    Poznámka

    Veřejné aplikace jsou podporované aplikace od Microsoftu a partnerů, které se běžně používají s Microsoft Intune. Tyto aplikace chráněné službou Intune jsou povolené s bohatou sadou podpory zásad ochrany mobilních aplikací. Další informace najdete v tématu Chráněné aplikace Microsoft Intune. Vlastní aplikace jsou obchodní aplikace, které jsou integrované se sadou Intune SDK nebo zabalené nástrojem Intune App Wrapping Tool. Další informace najdete v tématech Přehled sady Microsoft Intune App SDK a Příprava obchodních aplikací na zásady ochrany aplikací.

  2. Kliknutím na Další zobrazíte stránku Ochrana dat .
    Tato stránka obsahuje nastavení pro ovládací prvky ochrany před únikem informací, včetně omezení vyjmutí, kopírování, vložení a uložení jako. Tato nastavení určují, jak uživatelé pracují s daty v aplikacích, na které se tato zásada ochrany aplikací vztahuje.

    Nastavení ochrany dat:

  3. Kliknutím na Další zobrazte stránku Požadavky na přístup .
    Tato stránka obsahuje nastavení, která vám umožní nakonfigurovat požadavky na PIN kód a přihlašovací údaje, které uživatelé musí splňovat, aby mohli přistupovat k aplikacím v pracovním kontextu.

    Nastavení požadavků na přístup:

  4. Kliknutím na Další zobrazte stránku Podmíněné spuštění .
    Tato stránka obsahuje nastavení pro nastavení požadavků na zabezpečení přihlašování pro zásady ochrany aplikací. Vyberte Nastavení a zadejte hodnotu , kterou uživatelé musí splnit, aby se mohli přihlásit k aplikaci vaší společnosti. Pak vyberte akci , kterou chcete provést, pokud uživatelé nesplňují vaše požadavky. V některých případech je možné pro jedno nastavení nakonfigurovat více akcí.

    Nastavení podmíněného spuštění:

  5. Kliknutím na Další zobrazte stránkuNastavení.
    Stránka Přiřazení umožňuje přiřadit zásady ochrany aplikací skupinám uživatelů. Aby se zásady projevily, musíte je použít na skupinu uživatelů.

  6. Kliknutím na Další: Zkontrolovat a vytvořit zkontrolujte hodnoty a nastavení, které jste zadali pro tuto zásadu ochrany aplikací.

  7. Až budete hotovi, klikněte na Vytvořit a vytvořte zásadu ochrany aplikací v Intune.

    Tip

    Tato nastavení zásad se vynucují jenom při použití aplikací v pracovním kontextu. Když koncoví uživatelé používají aplikaci k provedení osobního úkolu, tyto zásady na nich nebudou mít vliv. Všimněte si, že když vytvoříte nový soubor, považuje se za osobní soubor.

    Důležité

    Než se zásady ochrany aplikací použijí na stávající zařízení, může to nějakou dobu trvat. Koncovým uživatelům se na zařízení zobrazí oznámení, když se použijí zásady ochrany aplikací. Před použitím pravidel pro vlastní přístup použijte zásady ochrany aplikací na zařízení.

Koncoví uživatelé si můžou aplikace stáhnout z App Storu nebo Google Play. Další informace najdete tady:

Změna existujících zásad

Můžete upravit existující zásadu a použít ji u cílových uživatelů. Další informace o načasování doručení zásad najdete v tématu Vysvětlení načasování doručení zásad ochrany aplikací.

Změna seznamu aplikací přidružených k zásadám

  1. V podokně Zásady ochrany aplikací vyberte zásadu, kterou chcete změnit.

  2. V podokně Intune App Protection vyberte Vlastnosti.

  3. Vedle oddílu s názvem Aplikace vyberte Upravit.

  4. Na stránce Aplikace můžete zvolit, na které aplikace má tato zásada cílit. Musíte přidat aspoň jednu aplikaci.

    Hodnota/možnost Popis
    Veřejné aplikace V rozevíracím seznamu Cílová zásada do vyberte, jestli chcete zásady ochrany aplikací cílit na Všechny veřejné aplikace, Microsoft Apps nebo Základní aplikace Microsoftu. Dále můžete vybrat Zobrazit seznam aplikací, na které se budou cílit , a zobrazit seznam aplikací, které budou touto zásadou ovlivněny.

    V případě potřeby se můžete rozhodnout cílit na jednotlivé aplikace kliknutím na Vybrat veřejné aplikace.

    Vlastní aplikace Klikněte na Vybrat vlastní aplikace a vyberte vlastní aplikace, na které chcete cílit na základě ID sady.

    Vybrané aplikace se zobrazí v seznamu veřejných a vlastních aplikací.

  5. Kliknutím na Zkontrolovat a vytvořit zkontrolujte aplikace vybrané pro tuto zásadu.

  6. Až budete hotovi, klikněte na Uložit a aktualizujte zásady ochrany aplikací.

Změna seznamu skupin uživatelů

  1. V podokně Zásady ochrany aplikací vyberte zásadu, kterou chcete změnit.

  2. V podokně Intune App Protection vyberte Vlastnosti.

  3. Vedle oddílu s názvem Zadání vyberte Upravit.

  4. Pokud chcete do zásady přidat novou skupinu uživatelů, na kartě Zahrnout zvolte Vybrat skupiny, které chcete zahrnout, a vyberte skupinu uživatelů. Zvolte Vybrat a přidejte skupinu.

  5. Pokud chcete vyloučit skupinu uživatelů, na kartě Vyloučit zvolte Vybrat skupiny k vyloučení a vyberte skupinu uživatelů. Zvolte Vybrat a odeberte skupinu uživatelů.

  6. Pokud chcete odstranit dříve přidané skupiny, vyberte na kartách Zahrnout nebo Vyloučit tři tečky (...) a pak vyberte Odstranit.

  7. Kliknutím na Zkontrolovat a vytvořit zkontrolujte skupiny uživatelů vybrané pro tuto zásadu.

  8. Po dokončení změn přiřazení vyberte Uložit a uložte konfiguraci a nasaďte zásady pro novou sadu uživatelů. Pokud před uložením konfigurace vyberete Zrušit , zahodíte všechny změny, které jste udělali na kartách Zahrnout a Vyloučit .

Změna nastavení zásad

  1. V podokně Zásady ochrany aplikací vyberte zásadu, kterou chcete změnit.

  2. V podokně Intune App Protection vyberte Vlastnosti.

  3. Vedle oddílu odpovídajícího nastavení, které chcete změnit, vyberte Upravit. Pak změňte nastavení na nové hodnoty.

  4. Kliknutím na Zkontrolovat a vytvořit zkontrolujte aktualizovaná nastavení pro tuto zásadu.

  5. Výběrem možnosti Uložit uložte provedené změny. Opakováním postupu vyberte oblast nastavení a upravte a pak uložte změny, dokud se všechny změny neskončí. Podokno Intune App Protection – Vlastnosti pak můžete zavřít.

Cílení zásad ochrany aplikací na základě stavu správy zařízení

V mnoha organizacích je běžné povolit koncovým uživatelům používat jak zařízení spravovaná pomocí správy mobilních zařízení Intune (MDM), jako jsou zařízení vlastněná společností, tak nespravovaná zařízení chráněná jenom zásadami ochrany aplikací Intune. Nespravovaná zařízení se často označují jako přineste si vlastní zařízení (BYOD).

Vzhledem k tomu, že zásady ochrany aplikací Intune cílí na identitu uživatele, nastavení ochrany pro uživatele se může vztahovat jak na zaregistrovaná zařízení (spravovaná MDM), tak i na nezaregistrovaná zařízení (bez MDM). Proto můžete pomocí filtrů zacílit zásady ochrany aplikací Intune na zařízení s iOS/iPadOS a Androidem zaregistrovaná nebo nezaregistrovaná v Intune. Další informace o vytváření filtrů najdete v tématu Použití filtrů při přiřazování zásad . Můžete mít jednu zásadu ochrany pro nespravovaná zařízení, ve kterých jsou zavedeny přísné ovládací prvky ochrany před únikem informací (DLP), a samostatné zásady ochrany pro zařízení spravovaná pomocí MDM, kde mohou být ovládací prvky ochrany před únikem informací o něco uvolněnější. Další informace o tom, jak to funguje na osobních zařízeních s Androidem Enterprise, najdete v tématu Zásady ochrany aplikací a pracovní profily.

Pokud chcete tyto filtry použít při přiřazování zásad, přejděte v Centru pro správu Intune naZásady ochrany aplikací> a pak vyberte Vytvořit zásadu. Můžete také upravit existující zásady ochrany aplikací. Přejděte na stránku Přiřazení a vyberte Upravit filtr , abyste zahrnuli nebo vyloučili filtry pro přiřazenou skupinu.

Typy správy zařízení

Důležité

31. prosince 2024 končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS). Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme před ukončením podpory přepnout na jinou možnost správy Androidu v Intune. Další informace najdete v tématu Ukončení podpory správce zařízení s Androidem na zařízeních GMS.

  • Nespravované: Pro zařízení s iOS/iPadOS jsou nespravovaná zařízení všechna zařízení, u kterých klíč nepředá IntuneMAMUPN správa MDM Intune nebo řešení MDM/EMM třetí strany. U zařízení s Androidem jsou nespravovaná zařízení zařízení, u kterých se nezjistila správa MDM v Intune. To zahrnuje zařízení spravovaná externími dodavateli MDM.
  • Zařízení spravovaná Přes Intune: Spravovaná zařízení spravuje Intune MDM.
  • Správce zařízení s Androidem: Zařízení spravovaná přes Intune pomocí rozhraní API pro správu zařízení s Androidem.
  • Android Enterprise: Zařízení spravovaná přes Intune pomocí pracovních profilů Android Enterprise nebo Úplné správy zařízení Android Enterprise.
  • Vyhrazená zařízení s Androidem Enterprise vlastněná společností s režimem sdíleného zařízení Microsoft Entra: Zařízení spravovaná v Intune pomocí vyhrazených zařízení s Androidem Enterprise s režimem sdíleného zařízení.
  • Zařízení s Androidem (AOSP) přidružená uživatelem: Zařízení spravovaná přes Intune, která používají správu přidruženou k uživateli AOSP.
  • Uživatelská zařízení s Androidem (AOSP): Zařízení spravovaná v Intune pomocí zařízení bez uživatelů AOSP. Tato zařízení také využívají režim sdíleného zařízení Microsoft Entra.

Zařízení s Androidem zobrazí výzvu k instalaci aplikace Portál společnosti Intune bez ohledu na zvolený typ správy zařízení. Pokud například vyberete Android Enterprise, zobrazí se výzva i uživatelům s nespravovanými zařízeními s Androidem.

Pro iOS/iPadOS je pro typ Správy zařízení, který se má vynucovat na zařízeních spravovaných v Intune, potřeba další nastavení konfigurace aplikací. Tato nastavení komunikují se službou APP (App Protection Policy) a označují, že je aplikace spravovaná. Proto se nastavení APLIKACE nepoužije, dokud nenasadíte zásady konfigurace aplikace. Toto jsou nastavení konfigurace aplikace:

Nastavení zásad

Pokud chcete zobrazit úplný seznam nastavení zásad pro iOS/iPadOS a Android, vyberte jeden z následujících odkazů:

Další kroky

Monitorování dodržování předpisů a stavu uživatele

Viz také