nastavení zásad Ochrana aplikací pro Windows

Tento článek popisuje nastavení zásad ochrany aplikací (APP) pro Windows. Popsaná nastavení zásad se dají nakonfigurovat pro zásady ochrany aplikací v podokně Nastavení v Centru pro správu Intune, když vytvoříte novou zásadu.

Chráněný přístup MAM k datům organizace můžete povolit přes Microsoft Edge na osobních zařízeních s Windows. Tato funkce se označuje jako Windows MAM a poskytuje funkce pomocí zásad konfigurace aplikací Intune (ACP), zásad intune Application Protection (APP), ochrany klientů Zabezpečení Windows Center před hrozbami a podmíněného přístupu ochrany aplikací. Další informace o Windows MAM najdete v tématech Ochrana dat pro Windows MAM, Vytvoření zásad ochrany aplikací MTD pro Windows a Konfigurace Microsoft Edge pro Windows s Intune.

Existují dvě kategorie nastavení zásad ochrany aplikací pro Windows:

• Ochrana dat
• Kontroly stavu

Důležité

Intune MAM ve Windows podporuje nespravovaná zařízení. Pokud je zařízení už spravované, registrace Intune MAM se zablokuje a nastavení APLIKACE se nepoužije. Pokud se zařízení po registraci MAM stane spravovaným, nastavení aplikace se už nepoužije.

Ochrana dat

Nastavení ochrany dat ovlivňuje data a kontext organizace. Jako správce můžete řídit přesun dat do a z kontextu ochrany organizace. Kontext organizace je definován dokumenty, službami a weby, ke které přistupuje zadaný účet organizace. Následující nastavení zásad pomáhají řídit externí data přijatá do kontextu organizace a data organizace odesílaná z kontextu organizace.

Přenos dat

Nastavení	Jak se používá	Výchozí hodnota
Příjem dat z	Vyberte jednu z následujících možností a určete zdroje, ze které můžou uživatelé organizace přijímat data: Všechny zdroje: Uživatelé organizace můžou otevřít data z libovolného účtu, dokumentu, umístění nebo aplikace do kontextu organizace. Žádné zdroje: Uživatelé organizace nemohou otevřít data z externích účtů, dokumentů, umístění nebo aplikací v kontextu organizace. POZNÁMKA: V prohlížeči Microsoft Edge žádný zdroj řídí chování při nahrávání souborů přetažením nebo dialogovým oknem otevření souboru. Místní prohlížení souborů a sdílení souborů mezi weby nebo kartami se zablokuje.	Všechny zdroje
Odeslání dat organizace na adresu	Vyberte jednu z následujících možností a určete cíle, kam můžou uživatelé organizace odesílat data: Všechny cíle: Uživatelé organizace můžou odesílat data organizace do libovolného účtu, dokumentu, umístění nebo aplikace. Žádné cíle: Uživatelé organizace nemohou odesílat data organizace do externích účtů, dokumentů, umístění nebo aplikací z kontextu organizace. POZNÁMKA: Pro Microsoft Edge neblokuje stahování souborů žádné cíle . To znamená, že sdílení souborů mezi weby nebo kartami bude zablokováno.	Všechny cíle
Povolit vyjmutí, kopírování a vložení pro	Vyberte jednu z následujících možností a určete zdroje a cíle, které můžou uživatelé organizace vyjmout nebo kopírovat nebo vkládat data organizace: Jakýkoli cíl a jakýkoli zdroj: Uživatelé organizace mohou vkládat data z libovolného účtu, dokumentu, umístění nebo aplikace a vyjmout nebo kopírovat data. Žádný cíl ani zdroj: Uživatelé organizace nemůžou vyjmout, kopírovat nebo vkládat data do nebo z externích účtů, dokumentů, umístění nebo aplikací z kontextu organizace nebo do kontextu organizace. POZNÁMKA: Pro Microsoft Edge , Žádné cílové nebo zdrojové bloky chování vyjmutí, kopírování a vkládání pouze v rámci webového obsahu. Funkce Vyjmutí, kopírování a vkládání jsou zakázány u veškerého webového obsahu, ale ne ovládací prvky aplikace, včetně adresního řádku.	Jakýkoli cíl a jakýkoli zdroj

Funkce

Nastavení	Jak se používá	Výchozí hodnota
Tisk dat organizace	Pokud chcete zabránit tisku dat organizace, vyberte Blokovat . Pokud chcete povolit tisk dat organizace, vyberte Povolit . Osobní nebo nespravovaná data nejsou ovlivněna.	Povolit

Kontroly stavu

Nastavte podmínky kontroly stavu pro zásady ochrany aplikací. Vyberte Nastavení a zadejte hodnotu , kterou uživatelé musí splňovat, aby mohli přistupovat k datům organizace. Pak vyberte akci , kterou chcete provést, pokud uživatelé nesplňují vaše podmínky. V některých případech je možné pro jedno nastavení nakonfigurovat více akcí. Další informace najdete v tématu Akce kontroly stavu.

Podmínky aplikace

Nakonfigurujte následující nastavení kontroly stavu, abyste ověřili konfiguraci aplikace před povolením přístupu k účtům a datům organizace.

Poznámka

Termín aplikace spravovaná zásadami označuje aplikace, které jsou nakonfigurované pomocí zásad ochrany aplikací.

Nastavení	Jak se používá	Výchozí hodnota
Období odkladu offline	Počet minut, po které může aplikace spravovaná zásadami běžet offline. Zadejte čas (v minutách) před opětovnou kontrolou požadavků na přístup k aplikaci. Mezi akce patří: Blokovat přístup (minuty): Počet minut, po které můžou aplikace spravované zásadami běžet offline. Zadejte čas (v minutách) před opětovnou kontrolou požadavků na přístup k aplikaci. Po uplynutí nakonfigurovaného období aplikace zablokuje přístup k pracovním nebo školním datům, dokud nebude přístup k síti dostupný. Časovač období odkladu offline pro blokování přístupu k datům se počítá na základě posledního přihlášení se službou Intune. Tento formát nastavení zásad podporuje kladné celé číslo. Vymazání dat (dny): Po uplynutí tohoto počtu dnů (definovaných správcem) offline bude aplikace vyžadovat, aby se uživatel připojil k síti a znovu provedl ověření. Pokud se uživatel úspěšně ověří, může dál přistupovat ke svým datům a interval offline se resetuje. Pokud se uživateli nepodaří ověřit, aplikace provede selektivní vymazání uživatelských účtů a dat. Další informace o tom, jaká data se selektivním vymazáním odeberou, najdete v tématu Jak vymazat jenom podniková data z aplikací spravovaných přes Intune . Časovač období odkladu offline pro vymazání dat vypočítá aplikace na základě posledního přihlášení se službou Intune. Tento formát nastavení zásad podporuje kladné celé číslo. Tato položka se může zobrazit vícekrát, přičemž každá instance podporuje jinou akci.	Blokování přístupu (minuty): 720 minut (12 hodin) Vymazání dat (dny): 90 dnů
Minimální verze aplikace	Zadejte hodnotu minimální verze aplikace. Mezi akce patří: Upozornit – uživateli se zobrazí oznámení, pokud verze aplikace na zařízení nesplňuje požadavek. Toto oznámení je možné zavřít. Blokovat přístup – uživateli se zablokuje přístup, pokud verze aplikace na zařízení nesplňuje požadavek. Vymazání dat – uživatelský účet přidružený k aplikaci se ze zařízení vymaže. Vzhledem k tomu, že aplikace často mají různá schémata verzí, vytvořte zásadu s minimální verzí aplikace, která bude cílit na jednu aplikaci. Tato položka se může zobrazit vícekrát, přičemž každá instance podporuje jinou akci. Toto nastavení zásad podporuje odpovídající formáty verzí sady aplikací pro Windows (major.minor nebo major.minor.patch).	Žádná výchozí hodnota
Minimální verze sady SDK	Zadejte minimální hodnotu pro verzi sady Intune SDK. Mezi akce patří: Blokovat přístup – Uživateli se zablokuje přístup, pokud verze sady SDK zásad ochrany aplikací Intune nesplňuje tento požadavek. Vymazání dat – uživatelský účet přidružený k aplikaci se ze zařízení vymaže. Tato položka se může zobrazit vícekrát, přičemž každá instance podporuje jinou akci.	Žádná výchozí hodnota
Zakázaný účet	Pokud je účet Microsoft Entra pro uživatele zakázaný, zadejte automatizovanou akci. Správa může zadat pouze jednu akci. Pro toto nastavení není k dispozici žádná hodnota, kterou by bylo potřeba nastavit. Mezi akce patří: Blokovat přístup – když ověříme, že uživatel je zakázaný v Microsoft Entra ID, aplikace zablokuje přístup k pracovním nebo školním datům. Vymazání dat – Jakmile ověříme, že uživatel byl zakázán v id Microsoft Entra, aplikace provede selektivní vymazání uživatelského účtu a dat. POZNÁMKA: Pokud se stav uživatele nedá ověřit z důvodu připojení, ověřování nebo z jakéhokoli jiného důvodu, tyto akce (Blokovat přístup a Vymazat data) se nevynutí.	Žádná výchozí hodnota

Podmínky zařízení

Nakonfigurujte následující nastavení kontroly stavu, která před povolením přístupu k účtům a datům organizace ověří konfiguraci zařízení. Pro zaregistrovaná zařízení je možné nakonfigurovat podobná nastavení založená na zařízeních. Přečtěte si další informace o konfiguraci nastavení dodržování předpisů zařízením pro zaregistrovaná zařízení.

Nastavení	Jak se používá	Výchozí hodnota
Minimální verze operačního systému	Zadejte minimální operační systém Windows, který má tuto aplikaci používat. Mezi akce patří: Upozornit – uživateli se zobrazí oznámení, pokud verze Windows na zařízení nesplňuje tento požadavek. Toto oznámení je možné zavřít. Blokovat přístup – uživateli se zablokuje přístup, pokud verze Windows na zařízení nesplňuje tento požadavek. Vymazání dat – uživatelský účet přidružený k aplikaci se ze zařízení vymaže. Tato položka se může zobrazit vícekrát, přičemž každá instance podporuje jinou akci. Tento formát nastavení zásad podporuje buď major.minor, major.minor.build, major.minor.build.revision.
Maximální verze operačního systému	Zadejte maximální počet operačních systémů Windows pro použití této aplikace. Mezi akce patří: Upozornit – uživateli se zobrazí oznámení, pokud verze Windows na zařízení nesplňuje tento požadavek. Toto oznámení je možné zavřít. Blokovat přístup – uživateli se zablokuje přístup, pokud verze Windows na zařízení nesplňuje tento požadavek. Vymazání dat – uživatelský účet přidružený k aplikaci se ze zařízení vymaže. Tato položka se může zobrazit vícekrát, přičemž každá instance podporuje jinou akci. Tento formát nastavení zásad podporuje buď major.minor, major.minor.build, major.minor.build.revision.
Maximální povolená úroveň hrozby zařízení	Ochrana aplikací zásady můžou využívat konektor Intune-MTD. Zadejte maximální úroveň hrozby přijatelnou pro použití této aplikace. Hrozby jsou určeny vámi zvolenou aplikací od dodavatele ochrany před mobilními hrozbami (MTD) na zařízení koncového uživatele. Zadejte zabezpečenou, nízkou, střední nebo vysokou. Zabezpečení nevyžaduje na zařízení žádné hrozby a je to nejvíce omezující konfigurovatelná hodnota, zatímco vysoká v podstatě vyžaduje aktivní připojení Intune k MTD. Mezi akce patří: Blokovat přístup – uživateli se přístup zablokuje, pokud úroveň hrozby určená vámi zvolenou aplikací od dodavatele ochrany před mobilními hrozbami (MTD) na zařízení koncového uživatele nesplňuje tento požadavek. Vymazání dat – uživatelský účet přidružený k aplikaci se ze zařízení vymaže. Další informace o použití tohoto nastavení najdete v tématu Povolení MTD pro nezaregistrovaná zařízení.

Další informace

Další informace o aplikaci APP pro zařízení s Windows najdete v následujících zdrojích informací:

• přehled zásad Ochrana aplikací
• Ochrana dat pro Windows MAM
• Vytvoření zásad ochrany aplikací MTD pro Windows
• Přidání zásad konfigurace aplikací pro spravované aplikace na zařízeních s Windows
• Konfigurace Microsoft Edge pro Windows s Intune
• Vyžadování zásad ochrany aplikací na zařízeních s Windows