Upravit

Sdílet prostřednictvím


Nejčastější dotazy k MAM a ochraně aplikací

Tento článek obsahuje odpovědi na některé nejčastější dotazy týkající se správy mobilních aplikací (MAM) a Intune ochrany aplikací Intune.

Základy MAM

Co je MAM?

Zásady ochrany aplikací

Co jsou zásady ochrany aplikací?

Ochrana aplikací zásady jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci. Zásadou může být pravidlo, které se vynucuje, když se uživatel pokusí získat přístup k podnikovým datům nebo je přesunout, nebo sada akcí, které jsou zakázané nebo monitorované, když se uživatel nachází v aplikaci.

Jaké jsou příklady zásad ochrany aplikací?

Je možné, aby se zásady MDM a MAM použily pro stejného uživatele současně pro různá zařízení?

Pokud pro uživatele použijete zásadu MAM bez nastavení stavu správy zařízení, uživatel získá zásady MAM na zařízení BYOD i na zařízení spravovaném Intune. Můžete také použít zásady MAM na základě stavu správy zařízení. Takže když vytvoříte zásadu ochrany aplikací, vedle možnosti Cílit na aplikace na všech typech zařízení vyberete Ne. Pak udělejte některou z těchto věcí:

  • Na Intune spravovaná zařízení použijte méně přísné zásady MAM a na zařízení, která nejsou zaregistrovaná v MDM, použijte přísnější zásady MAM.
  • Použijte stejně přísné zásady MAM pro Intune spravovaná zařízení jako na zařízení spravovaná třetími stranami.
  • Použijte zásadu MAM jenom na nezaregistrovaná zařízení.

Další informace najdete v tématu Jak monitorovat zásady ochrany aplikací.

Aplikace, které můžete spravovat pomocí zásad ochrany aplikací

Které aplikace je možné spravovat pomocí zásad ochrany aplikací?

Všechny aplikace, které jsou integrované se sadou Intune App SDK nebo zabalené Intune App Wrapping Tool, je možné spravovat pomocí zásad ochrany aplikací Intune. Podívejte se na oficiální seznam aplikací spravovaných Intune, které jsou dostupné pro veřejné použití.

Jaké jsou základní požadavky na použití zásad ochrany aplikací v aplikaci spravované Intune?

  • Koncový uživatel musí mít účet Microsoft Entra. Informace o vytváření Intune uživatelů v Microsoft Entra ID najdete v tématu Přidání uživatelů a udělení oprávnění správce Intune.

  • Koncový uživatel musí mít k účtu Microsoft Entra přiřazenou licenci na Microsoft Intune. Informace o přiřazení licencí Intune koncovým uživatelům najdete v tématu Správa licencí Intune.

  • Koncový uživatel musí patřit do skupiny zabezpečení, na kterou cílí zásady ochrany aplikací. Stejné zásady ochrany aplikací musí cílit na konkrétní aplikaci, která se používá. Ochrana aplikací zásady je možné vytvořit a nasadit v Centru pro správu Microsoft Intune. Skupiny zabezpečení je aktuálně možné vytvářet v Centrum pro správu Microsoftu 365.

  • Koncový uživatel se musí k aplikaci přihlásit pomocí svého účtu Microsoft Entra.

Co když chci povolit aplikaci s Intune App Protection, ale nepoužívá podporovanou platformu pro vývoj aplikací?

Vývojový tým sady Intune SDK aktivně testuje a udržuje podporu aplikací vytvořených pomocí nativních platforem Android, iOS/iPadOS (Obj-C, Swift), Xamarin a Xamarin.Forms. I když někteří zákazníci dosáhli úspěchu s integrací sady INTUNE SDK s jinými platformami, jako jsou React Native a NativeScript, neposkytujeme vývojářům aplikací explicitní pokyny ani moduly plug-in, které používají jiné než naše podporované platformy.

Podporuje sada INTUNE APP SDK knihovnu Microsoft Authentication Library (MSAL)?

Sada Intune App SDK může používat knihovnu Microsoft Authentication Library pro scénáře ověřování a podmíněného spuštění. Při správě bez registrace zařízení spoléhá také na MSAL, který zaregistruje identitu uživatele ve službě MAM.

Jaké jsou další požadavky na používání mobilní aplikace Outlook?

Jaké jsou další požadavky na používání aplikací Word, Excel a PowerPoint?

  • Koncový uživatel musí mít licenci pro Microsoft 365 Apps pro firmy nebo podnik propojenou se svým účtem Microsoft Entra. Předplatné musí obsahovat aplikace Office na mobilních zařízeních a může obsahovat účet cloudového úložiště s OneDrive pro firmy. Licence Microsoft 365 je možné přiřadit v Centrum pro správu Microsoftu 365 podle těchto pokynů.

  • Koncový uživatel musí mít spravované umístění nakonfigurované pomocí podrobné funkce Uložit jako v nastavení zásad ochrany aplikací "Ukládat kopie dat organizace". Pokud je například spravovaným umístěním OneDrive, měla by být aplikace OneDrive nakonfigurovaná v Word, Excelu nebo PowerPointu koncového uživatele.

  • Pokud je spravovaným umístěním OneDrive, musí na aplikaci cílit zásady ochrany aplikací nasazené pro koncového uživatele.

    Poznámka

    Mobilní aplikace Office v současné době podporují jenom SharePoint Online, a ne místní SharePoint.

Proč je pro Office potřeba spravované umístění (tj. OneDrive)?

Intune označí všechna data v aplikaci jako firemní nebo osobní. Data se považují za podniková, pokud pocházejí z obchodního umístění. U aplikací Office Intune považuje za obchodní umístění následující: e-mail (Exchange) nebo cloudové úložiště (aplikace OneDrive s účtem OneDrive pro firmy).

Jaké jsou další požadavky na použití Skype pro firmy?

Viz Skype pro firmy licenční požadavky. Informace o hybridních a místních konfiguracích Skype pro firmy (SfB) najdete v tématu Hybridní moderní ověřování pro SfB a Exchange jde o ga a moderní ověřování pro místní SfB s Microsoft Entra ID.

funkce Ochrana aplikací

Co je podpora více identit?

Podpora více identit je schopnost sady Intune App SDK použít zásady ochrany aplikací jenom na pracovní nebo školní účet přihlášený k aplikaci. Pokud je k aplikaci přihlášený osobní účet, data se nedotknou.

Jaký je účel podpory více identit?

Podpora více identit umožňuje veřejně vydávat aplikace s "firemními" i spotřebitelskými cílovými skupinami (tj. aplikace Office) s možnostmi ochrany Intune aplikací pro podnikové účty.

A co Outlook a více identit?

Vzhledem k tomu, že Outlook obsahuje kombinované e-mailové zobrazení osobních i "firemních" e-mailů, zobrazí aplikace Outlook při spuštění výzvu k zadání Intune PIN kódu.

Jaký je PIN kód aplikace Intune?

Osobní identifikační číslo (PIN) je heslo, které slouží k ověření, že správný uživatel přistupuje k datům organizace v aplikaci.

Kdy se uživateli zobrazí výzva k zadání PIN kódu?

Intune zobrazí výzvu k zadání PIN kódu aplikace uživatele, když se uživatel chystá získat přístup k podnikovým datům. V aplikacích s více identitou, jako je Word, Excel nebo PowerPoint, se uživateli při pokusu o otevření podnikového dokumentu nebo souboru zobrazí výzva k zadání KÓDU PIN. V aplikacích s jednou identitou, jako jsou obchodní aplikace spravované pomocí Intune App Wrapping Tool, se pin kód zobrazí při spuštění, protože sada Intune App SDK ví, že uživatelské prostředí v aplikaci je vždy podnikové.

Jak často se uživateli bude zobrazovat výzva k zadání Intune PIN kódu?

Správce IT může v Centru pro správu Microsoft Intune definovat nastavení zásad ochrany aplikací Intune Znovu zkontrolovat požadavky na přístup po (minutách). Toto nastavení určuje dobu, po kterou se na zařízení zkontrolují požadavky na přístup a znovu se zobrazí obrazovka PIN kódu aplikace. Důležité podrobnosti o PIN kódu, které ovlivňují, jak často se uživateli budou zobrazovat výzvy, jsou:

  • Pin kód se sdílí mezi aplikacemi stejného vydavatele, aby se zlepšila použitelnost: V iOS/iPadOS se jeden PIN kód aplikace sdílí mezi všemi aplikacemi stejného vydavatele. Na Androidu se jeden PIN kód aplikace sdílí mezi všemi aplikacemi.
  • Chování Znovu zkontrolovat požadavky na přístup po (minutách) po restartování zařízení: Časovač PIN kódu sleduje počet minut nečinnosti, které určují, kdy se má Intune PIN kód aplikace zobrazit příště. Na iOS/iPadOS není časovač PIN kódu ovlivněn restartováním zařízení. Restartování zařízení proto nemá žádný vliv na počet minut, po které byl uživatel neaktivní z aplikace pro iOS/iPadOS se zásadami Intune PIN kódu. V Androidu se časovač KÓDU PIN resetuje při restartování zařízení. Aplikace pro Android se zásadami Intune PIN kódu proto pravděpodobně vyzvou k zadání PIN kódu aplikace bez ohledu na hodnotu nastavení Znovu zkontrolovat požadavky na přístup po (minutách) po restartování zařízení.
  • Klouzavý charakter časovače přidruženého k PIN kódu: Jakmile zadáte PIN kód pro přístup k aplikaci (aplikaci A) a aplikace opustí popředí (hlavní fokus na vstupu) na zařízení, časovač PIN kódu se pro tento PIN kód resetuje. Žádná aplikace (aplikace B), která sdílí tento PIN kód, nebude uživatele vyzvat k zadání PIN kódu, protože časovač se resetoval. Výzva se znovu zobrazí, jakmile se znovu splní hodnota Znovu zkontrolovat požadavky na přístup po (minutách).

U zařízení s iOS/iPadOS se výzva znovu zobrazí, i když se PIN kód sdílí mezi aplikacemi od různých vydavatelů, když u aplikace, která není hlavním vstupním fokusem, znovu splní hodnotu Znovu zkontrolovat požadavky na přístup po (minutách ). Takže uživatel má například aplikaci A od vydavatele X a aplikaci B od vydavatele Y a tyto dvě aplikace sdílejí stejný PIN kód. Uživatel se zaměřuje na aplikaci A (popředí) a aplikace B je minimalizovaná. Jakmile je splněna hodnota Znovu zkontrolovat požadavky na přístup po (minutách) a uživatel přepne do aplikace B, bude se pin kód vyžadovat.

Poznámka

Pokud chcete požadavky uživatele na přístup ověřovat častěji (tj. výzvu k zadání KÓDU PIN), zejména u často používaných aplikací, doporučujeme snížit hodnotu nastavení Znovu zkontrolovat požadavky na přístup po (minutách).

Jak funguje pin kód Intune s integrovanými PIN kódy aplikací pro Outlook a OneDrive?

Intune PIN kód funguje na základě časovače založeného na nečinnosti (hodnota "Znovu zkontrolovat požadavky na přístup po (minuty)"). Výzvy k Intune PIN kódu se proto zobrazují nezávisle na výzvách k zadání kódu PIN integrované aplikace pro Outlook a OneDrive, které jsou ve výchozím nastavení často svázané se spuštěním aplikace. Pokud se uživateli zobrazí obě výzvy k zadání PIN kódu současně, mělo by se očekávat, že bude mít přednost Intune PIN.

Je PIN kód zabezpečený?

PIN kód umožňuje přístup k datům organizace v aplikaci jenom správnému uživateli. Proto se koncový uživatel musí přihlásit pomocí svého pracovního nebo školního účtu, aby mohl nastavit nebo resetovat PIN Intune aplikace. Toto ověřování zpracovává Microsoft Entra ID prostřednictvím zabezpečené výměny tokenů a není transparentní pro sadu Intune App SDK. Z hlediska zabezpečení je nejlepším způsobem, jak chránit pracovní nebo školní data, jejich šifrování. Šifrování nesouvisí s PIN kódem aplikace, ale vlastními zásadami ochrany aplikací.

Jak Intune chránit PIN kód před útoky hrubou silou?

V rámci zásad PIN kódu aplikace může správce IT nastavit maximální počet pokusů uživatele o ověření PIN kódu před uzamčením aplikace. Po splnění počtu pokusů může sada Intune App SDK vymazat "podniková" data v aplikaci.

Proč musím v aplikacích od stejného vydavatele nastavovat PIN kód dvakrát?

MAM (v systému iOS/iPadOS) v současné době umožňuje pin kód na úrovni aplikace s alfanumerickými a speciálními znaky (označovaný jako heslo), který vyžaduje účast aplikací (např. WXP, Outlook, Managed Browser, Yammer) k integraci sady Intune APP SDK pro iOS/iPadOS. Bez toho se nastavení hesla pro cílové aplikace správně nevynucuje. Toto byla funkce vydaná v sadě Intune SDK pro iOS/iPadOS verze 7.1.12.

Aby bylo možné tuto funkci podporovat a zajistit zpětnou kompatibilitu s předchozími verzemi sady Intune SDK pro iOS/iPadOS, všechny pin kódy (číselné nebo heslo) ve verzi 7.1.12+ se zpracovávají odděleně od číselného PIN kódu v předchozích verzích sady SDK. Proto pokud má zařízení aplikace s Intune SDK pro iOS/iPadOS verze starší než 7.1.12 a po 7.1.12 od stejného vydavatele, bude muset nastavit dva PIN kódy.

Tyto dva PIN kódy (pro každou aplikaci) spolu nijak nesouvisejí, tj. musí dodržovat zásady ochrany aplikací, které se na aplikaci vztahují. Jenom v případě , že aplikace A a B mají stejné zásady (pokud jde o PIN kód), může uživatel nastavit stejný PIN dvakrát.

Toto chování je specifické pro PIN kód v aplikacích pro iOS/iPadOS, které mají povolenou správu mobilních aplikací Intune. Vzhledem k tomu, že aplikace postupně přecházejí na novější verze sady Intune SDK pro iOS/iPadOS, bude muset u aplikací od stejného vydavatele nastavit pin kód dvakrát, tím menší problém. Příklad najdete v následující poznámce.

Poznámka

Pokud je například aplikace A vytvořená s verzí starší než 7.1.12 a aplikace B je vytvořená s verzí vyšší nebo rovnou 7.1.12 od stejného vydavatele, bude koncový uživatel muset nastavit PIN kódy samostatně pro A a B, pokud jsou obě nainstalované na zařízení s iOS/iPadOS.

Pokud je na zařízení nainstalovaná aplikace C se sadou SDK verze 7.1.9, bude sdílet stejný PIN kód jako aplikace A.

Aplikace D vytvořená pomocí verze 7.1.14 bude sdílet stejný PIN kód jako aplikace B.

Pokud jsou na zařízení nainstalované jenom aplikace A a C, bude potřeba nastavit jeden PIN kód. Totéž platí i v případě, že jsou na zařízení nainstalované jenom aplikace B a D.

A co šifrování?

Správci IT můžou nasadit zásady ochrany aplikací, které vyžadují šifrování dat aplikací. V rámci zásad může správce IT také určit, kdy se obsah zašifruje.

Jak Intune šifrovat data?

Co se zašifruje?

Podle zásad ochrany aplikací správce IT se šifrují jenom data označená jako podniková. Data se považují za podniková, pokud pocházejí z obchodního umístění. U aplikací Office Intune považuje za obchodní umístění následující: e-mail (Exchange) nebo cloudové úložiště (aplikace OneDrive s účtem OneDrive pro firmy). U obchodních aplikací spravovaných Intune App Wrapping Tool se všechna data aplikací považují za podniková.

Jak Intune vzdáleně vymazat data?

Intune můžete vymazat data aplikace třemi různými způsoby: úplným vymazáním zařízení, selektivním vymazáním pro MDM a selektivním vymazáním MAM. Další informace o vzdáleném vymazání pro MDM najdete v tématu Odebrání zařízení pomocí vymazání nebo vyřazení. Další informace o selektivním vymazání pomocí MAM najdete v akcích Vyřazení a Jak z aplikací vymazat jenom podniková data.

Co je vymazání?

Vymazání odebere všechna uživatelská data a nastavení ze zařízení obnovením výchozího továrního nastavení. Zařízení se odebere z Intune.

Poznámka

Vymazání lze provést pouze na zařízeních zaregistrovaných ve správě mobilních zařízení (MDM) Intune.

Co je selektivní vymazání pro MDM?

Informace o odebrání firemních dat najdete v tématu Odebrání zařízení – vyřazení .

Co je selektivní vymazání pro MAM?

Selektivní vymazání pro MAM jednoduše odebere data aplikace společnosti z aplikace. Žádost se inicializovala pomocí Centra pro správu Microsoft Intune. Informace o tom, jak zahájit žádost o vymazání, najdete v tématu Jak z aplikací vymazat jenom podniková data.

Jak rychle se selektivní vymazání pro MAM provede?

Pokud uživatel používá aplikaci při zahájení selektivního vymazání, sada Intune App SDK každých 30 minut zkontroluje požadavek na selektivní vymazání ze služby Intune MAM. Kontroluje také selektivní vymazání, když uživatel poprvé spustí aplikaci a přihlásí se pomocí svého pracovního nebo školního účtu.

Proč místní služby nefungují s Intune chráněnými aplikacemi?

Intune ochrana aplikací závisí na identitě uživatele, aby byla konzistentní mezi aplikací a sadou Intune App SDK. Jediný způsob, jak to zajistit, je prostřednictvím moderního ověřování. Existují scénáře, ve kterých můžou aplikace pracovat s místní konfigurací, ale nejsou konzistentní ani zaručené.

Existuje bezpečný způsob, jak otevřít webové odkazy ze spravovaných aplikací?

Ano! Správce IT může nasadit a nastavit zásady ochrany aplikací pro aplikaci Microsoft Edge. Správce IT může vyžadovat, aby se všechny webové odkazy ve Intune spravovaných aplikacích otevíraly pomocí aplikace Microsoft Edge.

Prostředí aplikací na Androidu

Proč je aplikace Portál společnosti potřebná k tomu, aby ochrana aplikací Intune fungovala na zařízeních s Androidem?

Jak na Androidu funguje více nastavení přístupu ochrany aplikací Intune nakonfigurovaných pro stejnou sadu aplikací a uživatelů?

Intune zásady ochrany aplikací pro přístup se použijí v určitém pořadí na zařízeních koncových uživatelů při pokusu o přístup k cílové aplikaci ze svého podnikového účtu. Obecně platí, že přednost bude mít blok a pak upozornění na zákaz. Pokud se například použije pro konkrétního uživatele nebo aplikaci, po nastavení minimální verze oprav Androidu, které uživateli zablokuje přístup, použije nastavení minimální verze opravy Androidu, které uživatele upozorní, aby provedl upgrade opravy. Takže ve scénáři, kdy správce IT nakonfiguruje minimální verzi opravy Androidu na 2018-03-01 a minimální verzi opravy Androidu (jenom upozornění) na 2018-02-01, zatímco zařízení, které se pokouší o přístup k aplikaci, mělo verzi opravy 2018-01-01, by byl koncový uživatel zablokovaný na základě restriktivnějšího nastavení pro minimální verzi opravy Androidu, které má za následek zablokování přístupu.

Při práci s různými typy nastavení bude mít přednost požadavek na verzi aplikace následovaný požadavkem na verzi operačního systému Android a požadavkem na verzi opravy Androidu. Pak se zkontrolují všechna upozornění pro všechny typy nastavení ve stejném pořadí.

Intune Zásady ochrany aplikací umožňují správcům vyžadovat, aby zařízení koncových uživatelů prošla kontrolou integrity zařízení Google Play pro zařízení s Androidem. Jak často se do služby odesílá nový výsledek kontroly integrity zařízení Google Play?

Služba Intune bude kontaktovat Google Play v ne konfigurovatelném intervalu určeném zatížením služby. Všechny akce nakonfigurované správcem IT pro nastavení kontroly integrity zařízení Google Play se provedou na základě posledního výsledku nahlášeného službě Intune v době podmíněného spuštění. Pokud je výsledek integrity zařízení společnosti Google kompatibilní, neprovedou se žádné akce. Pokud je výsledek integrity zařízení společnosti Google nevyhovující předpisům, provede se okamžitě nakonfigurovaná akce správce IT. Pokud se žádost o kontrolu integrity zařízení google play z nějakého důvodu nezdaří, výsledek předchozího požadavku uložený v mezipaměti se použije po dobu až 24 hodin nebo při dalším restartování zařízení, které je na prvním místě. V té době Intune zásady ochrany aplikací zablokují přístup, dokud nebude možné získat aktuální výsledek.

Intune Zásady ochrany aplikací poskytují správcům možnost vyžadovat, aby zařízení koncových uživatelů odesílala signály prostřednictvím rozhraní API Google Verify Apps pro zařízení s Androidem. Jak může koncový uživatel zapnout kontrolu aplikace, aby kvůli tomu neměl zablokovaný přístup?

Pokyny, jak to udělat, se mírně liší podle zařízení. Obecný proces zahrnuje přechod do Obchodu Google Play, poté kliknutím na Moje aplikace & hry a kliknutím na výsledek poslední kontroly aplikace, která vás přemístí do nabídky Play Protect. Ujistěte se, že je přepínač Prohledat zařízení z hlediska bezpečnostních hrozeb zapnutý.

Co google Play Integrity API skutečně kontroluje na zařízeních s Androidem? Jaký je rozdíl mezi konfigurovatelnými hodnotami "Kontrola základní integrity" a "Kontrola základní integrity & certifikovaných zařízení"?

Intune využívá rozhraní API integrity služby Google Play k přidání do stávajících kontrol detekce kořenových adresářů nezaregistrovaných zařízení. Společnost Google vyvinula a udržovala tuto sadu rozhraní API pro aplikace pro Android, která je přijímá, pokud nechce, aby jejich aplikace běžely na zařízeních s rootem. Například aplikace Android Pay tuto aplikaci začlenila. I když Google veřejně nesdílí celou kontrolu detekce rootů, ke kterým dochází, očekáváme, že tato rozhraní API budou zjišťovat uživatele, kteří mají zařízení root. Těmto uživatelům pak může být zablokovaný přístup nebo může být jejich firemní účty vymazány z aplikací s povolenými zásadami. "Kontrola základní integrity" informuje o obecné integritě zařízení. Rootovaná zařízení, emulátory, virtuální zařízení a zařízení se známkami manipulace selhávají v základní integritě. "Kontrola základní integrity & certifikovaných zařízení" vás informuje o kompatibilitě zařízení se službami Společnosti Google. Touto kontrolou můžou projít jenom neupravená zařízení certifikovaná společností Google. Mezi zařízení, která selžou, patří:

  • Zařízení se selháním základní integrity
  • Zařízení s odemknutým bootloaderem
  • Zařízení s vlastní bitovou kopií systému nebo rom
  • Zařízení, pro která výrobce nepožádal o certifikaci Google nebo pro ně neprošel
  • Zařízení se systémovou imagí vytvořenou přímo ze zdrojových souborů open source programu Android
  • Zařízení s imagí systému beta nebo vývojářské verze Preview

Technické podrobnosti najdete v dokumentaci Společnosti Google k rozhraní PLAY Integrity API .

Při vytváření zásad ochrany aplikací Intune pro zařízení s Androidem jsou v části Podmíněné spuštění dvě podobné kontroly. Mám vyžadovat nastavení "Přehrát verdikt integrity" nebo nastavení zařízení s jailbreakem/rootem?

Kontroly rozhraní API integrity služby Google Play vyžadují, aby byl koncový uživatel online, a to alespoň po dobu trvání doby, kdy se provede "zpáteční cesta" pro určení výsledků ověření identity. Pokud je koncový uživatel offline, může správce IT přesto očekávat vynucení výsledku z nastavení zařízení s jailbreakem nebo rootem. Pokud je koncový uživatel offline příliš dlouho, vstupuje do hry hodnota Období odkladu offline a veškerý přístup k pracovním nebo školním datům se po dosažení této hodnoty časovače zablokuje, dokud nebude přístup k síti dostupný. Zapnutí obou nastavení umožňuje vícevrstvé přístupy k udržování zařízení koncových uživatelů v dobrém stavu, což je důležité, když koncoví uživatelé přistupují k pracovním nebo školním datům na mobilních zařízeních.

Nastavení zásad ochrany aplikací, která využívají rozhraní Google Play Protect API, vyžadují, aby fungovaly služby Google Play. Co když služby Google Play nejsou povolené v umístění, kde se koncový uživatel může nacházet?

Nastavení "Play integrity verdict" i "Threat scan on apps" (Kontrola hrozeb v aplikacích) vyžadují, aby správně fungovala verze služeb Google Play určená Googlem. Vzhledem k tomu, že se jedná o nastavení, která spadají do oblasti zabezpečení, bude koncový uživatel zablokován, pokud se na ně tato nastavení zaměřují a nesplňují odpovídající verzi služeb Google Play nebo nemají přístup ke službám Google Play.

Prostředí aplikací v iOSu

Co se stane, když do zařízení přidám nebo odeberu otisk prstu nebo obličej?

Intune zásady ochrany aplikací umožňují řídit přístup k aplikaci jenom Intune licencovaného uživatele. Jedním ze způsobů, jak řídit přístup k aplikaci, je vyžadovat na podporovaných zařízeních Touch ID nebo Face ID od Apple. Intune implementuje chování, kdy pokud dojde ke změně biometrické databáze zařízení, Intune uživateli při splnění další hodnoty časového limitu nečinnosti vyzve k zadání PIN kódu. Změny biometrických údajů zahrnují přidání nebo odebrání otisku prstu nebo obličeje. Pokud uživatel Intune nemá nastavený PIN kód, je veden k nastavení Intune PIN kódu.

Záměrem je i nadále udržovat data vaší organizace v aplikaci zabezpečená a chráněná na úrovni aplikace. Tato funkce je dostupná jenom pro iOS/iPadOS a vyžaduje účast aplikací, které integrují sadu Intune APP SDK pro iOS/iPadOS verze 9.0.1 nebo novější. Integrace sady SDK je nezbytná, aby bylo možné vynutit chování cílových aplikací. Tato integrace probíhá průběžně a závisí na konkrétních týmech aplikací. Mezi aplikace, které se účastní, patří WXP, Outlook, Managed Browser a Yammer.

Pomocí rozšíření sdílení pro iOS můžu otevřít pracovní nebo školní data v nespravovaných aplikacích, a to i v případě, že jsou zásady přenosu dat nastavené na "pouze spravované aplikace" nebo "žádné aplikace". Nedochází k úniku dat?

Intune zásady ochrany aplikací nemůžou řídit rozšíření sdílené složky iOS bez správy zařízení. Proto Intune "podniková" data před sdílením mimo aplikaci šifruje. Můžete to ověřit tak, že se pokusíte otevřít "podnikový" soubor mimo spravovanou aplikaci. Soubor by měl být zašifrovaný a neměl by se otevřít mimo spravovanou aplikaci.

Jak v iOSu funguje více Intune nastavení přístupu ochrany aplikací nakonfigurovaných pro stejnou sadu aplikací a uživatelů?

Intune zásady ochrany aplikací pro přístup se použijí v určitém pořadí na zařízeních koncových uživatelů při pokusu o přístup k cílové aplikaci ze svého podnikového účtu. Obecně platí, že má přednost vymazání, následované blokem a pak upozorněním, které je přípustné. Pokud se například použije pro konkrétního uživatele nebo aplikaci, po nastavení minimálního operačního systému iOS/iPadOS, které uživatele upozorní, aby aktualizoval jeho verzi iOS/iPadOS, se použije po nastavení minimálního operačního systému iOS/iPadOS, které uživateli blokuje přístup. Takže ve scénáři, kdy správce IT nakonfiguruje minimální operační systém iOS/iPadOS na 11.0.0.0 a minimální operační systém iOS/iPadOS (pouze upozornění) na 11.1.0.0, Zařízení, které se pokouší o přístup k aplikaci, bylo v systému iOS/iPadOS 10, ale koncový uživatel by byl zablokovaný na základě přísnějšího nastavení pro minimální verzi operačního systému iOS/iPadOS, které vede k zablokování přístupu.

Při práci s různými typy nastavení by měl přednost požadavek na verzi sady Intune App SDK a potom požadavek na verzi aplikace následovaný požadavkem na verzi operačního systému iOS/iPadOS. Pak se zkontrolují všechna upozornění pro všechny typy nastavení ve stejném pořadí. Požadavek na verzi sady Intune App SDK doporučujeme nakonfigurovat pouze na základě pokynů od produktového týmu Intune pro základní scénáře blokování.