Nejčastější dotazy k MAM a ochraně aplikací

Přehled MAM

Ochrana aplikací zásady jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci. Zásadou může být pravidlo, které se vynucuje, když se uživatel pokusí získat přístup k podnikovým datům nebo je přesunout, nebo sada akcí, které jsou zakázané nebo monitorované, když se uživatel nachází v aplikaci.

Podrobné informace o jednotlivých nastaveních zásad ochrany aplikací najdete v tématu Nastavení zásad ochranyaplikací pro Android a Nastavení zásad ochrany aplikací pro iOS/iPadOS .

Pokud na uživatele použijete zásadu MAM bez nastavení stavu správy zařízení, uživatel získá zásady MAM na zařízení BYOD i na zařízení spravovaném v Intune. Můžete také použít zásady MAM na základě stavu správy zařízení. Takže když vytvoříte zásadu ochrany aplikací, vedle možnosti Cílit na aplikace na všech typech zařízení vyberete Ne. Pak udělejte některou z těchto věcí:

• Na zařízení spravovaná přes Intune použijte méně přísné zásady MAM a na zařízení, která nejsou zaregistrovaná v MDM, použijte přísnější zásadu MAM.
• Na zařízení spravovaná v Intune použijte stejně přísné zásady MAM jako na zařízení spravovaná třetí stranou.
• Použijte zásadu MAM jenom na nezaregistrovaná zařízení.

Další informace najdete v tématu Jak monitorovat zásady ochrany aplikací.

Všechny aplikace, které jsou integrované se sadou Intune App SDK nebo zabalené App Wrapping Tool Intune, je možné spravovat pomocí zásad ochrany aplikací Intune. Podívejte se na oficiální seznam aplikací spravovaných přes Intune, které jsou dostupné pro veřejné použití.

• Koncový uživatel musí mít účet Microsoft Entra. Informace o tom, jak vytvářet uživatele Intune v Microsoft Entra ID, najdete v tématu Přidání uživatelů a udělení oprávnění správce Intune.

• Koncový uživatel musí mít k účtu Microsoft Entra přiřazenou licenci na Microsoft Intune. Informace o přiřazování licencí Intune koncovým uživatelům najdete v tématu Správa licencí Intune.

• Koncový uživatel musí patřit do skupiny zabezpečení, na kterou cílí zásady ochrany aplikací. Stejné zásady ochrany aplikací musí cílit na konkrétní aplikaci, která se používá. Ochrana aplikací zásady je možné vytvořit a nasadit v Centru pro správu Microsoft Intune. Skupiny zabezpečení je aktuálně možné vytvářet v Centrum pro správu Microsoftu 365.

• Koncový uživatel se musí k aplikaci přihlásit pomocí svého účtu Microsoft Entra.

Vývojový tým sady Intune SDK aktivně testuje a udržuje podporu aplikací vytvořených pomocí nativních platforem Android, iOS/iPadOS (Obj-C, Swift), Xamarin a Xamarin.Forms. I když někteří zákazníci úspěšně integrovali sadu Intune SDK s jinými platformami, jako jsou React Native a NativeScript, neposkytujeme vývojářům aplikací, kteří používají jiné než naše podporované platformy, explicitní pokyny ani moduly plug-in.

Intune App SDK může ke svým scénářům ověřování a podmíněného spuštění používat knihovnu Microsoft Authentication Library. Při správě bez registrace zařízení spoléhá také na MSAL, který zaregistruje identitu uživatele ve službě MAM.

• Koncový uživatel musí mít na svém zařízení nainstalovanou mobilní aplikaci Outlook .

• Koncový uživatel musí mít poštovní schránku a licenci microsoftu 365 Exchange Online propojenou se svým Microsoft Entra účtem.

  Poznámka

  Mobilní aplikace Outlook v současné době podporuje jenom Intune App Protection pro Microsoft Exchange Online a Exchange Server s hybridním moderním ověřováním a nepodporuje Exchange ve službě Office 365 Dedicated.

• Koncový uživatel musí mít licenci pro Microsoft 365 Apps pro firmy nebo podnik propojenou se svým účtem Microsoft Entra. Předplatné musí obsahovat aplikace Office na mobilních zařízeních a může obsahovat účet cloudového úložiště s OneDrive pro firmy. Licence Microsoft 365 je možné přiřadit v Centrum pro správu Microsoftu 365 podle těchto pokynů.

• Koncový uživatel musí mít spravované umístění nakonfigurované pomocí podrobné funkce Uložit jako v nastavení zásad ochrany aplikací "Ukládat kopie dat organizace". Pokud je například spravovaným umístěním OneDrive, měla by být aplikace OneDrive nakonfigurovaná v Word, Excelu nebo PowerPointu koncového uživatele.

• Pokud je spravovaným umístěním OneDrive, musí na aplikaci cílit zásady ochrany aplikací nasazené pro koncového uživatele.

  Poznámka

  Mobilní aplikace Office v současné době podporují jenom SharePoint Online, a ne místní SharePoint.

Intune označí všechna data v aplikaci jako firemní nebo osobní. Data se považují za podniková, pokud pocházejí z obchodního umístění. V případě aplikací Office intune považuje za obchodní umístění následující: e-mail (Exchange) nebo cloudové úložiště (aplikace OneDrive s OneDrive pro firmy účtem).

Viz Skype pro firmy licenční požadavky. Informace o hybridních a místních konfiguracích Skype pro firmy (SfB) najdete v tématu Hybridní moderní ověřování pro SfB a Exchange jde o ga a moderní ověřování pro místní SfB s Microsoft Entra ID.

Podpora více identit je schopnost sady Intune App SDK použít zásady ochrany aplikací jenom na pracovní nebo školní účet přihlášený k aplikaci. Pokud je k aplikaci přihlášený osobní účet, data se nedotknou.

Podpora více identit umožňuje veřejně vydávat aplikace s "firemními" i spotřebitelskými cílovými skupinami (tj. aplikace Office) s možnostmi ochrany aplikací Intune pro "podnikové" účty.

Vzhledem k tomu, že Outlook obsahuje kombinované e-mailové zobrazení osobních i "firemních" e-mailů, zobrazí aplikace Outlook při spuštění výzvu k zadání PIN kódu Intune.

Osobní identifikační číslo (PIN) je heslo, které slouží k ověření, že správný uživatel přistupuje k datům organizace v aplikaci.

Intune vyzve uživatele k zadání KÓDU PIN aplikace, když se uživatel chystá získat přístup k podnikovým datům. V aplikacích s více identitou, jako je Word, Excel nebo PowerPoint, se uživateli při pokusu o otevření podnikového dokumentu nebo souboru zobrazí výzva k zadání KÓDU PIN. V aplikacích s jednou identitou, jako jsou obchodní aplikace spravované pomocí App Wrapping Tool Intune, se pin kód zobrazí při spuštění, protože Intune App SDK ví, že uživatelské prostředí v aplikaci je vždy podnikové.

Správce IT může v Centru pro správu Microsoft Intune definovat nastavení zásad ochrany aplikací Intune Znovu zkontrolovat požadavky na přístup po (minutách). Toto nastavení určuje dobu, po kterou se na zařízení zkontrolují požadavky na přístup a znovu se zobrazí obrazovka PIN kódu aplikace. Důležité podrobnosti o PIN kódu, které ovlivňují, jak často se uživateli budou zobrazovat výzvy, jsou:

• Pin kód se sdílí mezi aplikacemi stejného vydavatele, aby se zlepšila použitelnost: V iOS/iPadOS se jeden PIN kód aplikace sdílí mezi všemi aplikacemi stejného vydavatele. Na Androidu se jeden PIN kód aplikace sdílí mezi všemi aplikacemi.
• Chování Znovu zkontrolovat požadavky na přístup po (minutách) po restartování zařízení: Časovač PIN kódu sleduje počet minut nečinnosti, které určují, kdy se má PIN kód aplikace Intune zobrazit jako další. Na iOS/iPadOS není časovač PIN kódu ovlivněn restartováním zařízení. Restartování zařízení proto nemá žádný vliv na počet minut, po které byl uživatel neaktivní z aplikace pro iOS/iPadOS se zásadami pin kódu Intune. V Androidu se časovač KÓDU PIN resetuje při restartování zařízení. Aplikace pro Android se zásadami PIN kódu Intune proto budou pravděpodobně zobrazovat výzvu k zadání PIN kódu aplikace bez ohledu na hodnotu nastavení Znovu zkontrolovat požadavky na přístup po (minutách) po restartování zařízení.
• Klouzavý charakter časovače přidruženého k PIN kódu: Jakmile zadáte PIN kód pro přístup k aplikaci (aplikaci A) a aplikace opustí popředí (hlavní fokus na vstupu) na zařízení, časovač PIN kódu se pro tento PIN kód resetuje. Žádná aplikace (aplikace B), která sdílí tento PIN kód, nebude uživatele vyzvat k zadání PIN kódu, protože časovač se resetoval. Výzva se znovu zobrazí, jakmile se znovu splní hodnota Znovu zkontrolovat požadavky na přístup po (minutách).

U zařízení s iOS/iPadOS se výzva znovu zobrazí, i když se PIN kód sdílí mezi aplikacemi od různých vydavatelů, když u aplikace, která není hlavním vstupním fokusem, znovu splní hodnotu Znovu zkontrolovat požadavky na přístup po (minutách ). Takže uživatel má například aplikaci A od vydavatele X a aplikaci B od vydavatele Y a tyto dvě aplikace sdílejí stejný PIN kód. Uživatel se zaměřuje na aplikaci A (popředí) a aplikace B je minimalizovaná. Jakmile je splněna hodnota Znovu zkontrolovat požadavky na přístup po (minutách) a uživatel přepne do aplikace B, bude se pin kód vyžadovat.

PIN kód Intune funguje na základě časovače založeného na nečinnosti (hodnota "Znovu zkontrolovat požadavky na přístup po (minuty)"). Výzvy k zadání pin kódu Intune se proto zobrazují nezávisle na předdefinovaných výzev k zadání PIN kódu aplikace pro Outlook a OneDrive, které jsou ve výchozím nastavení často svázané se spuštěním aplikace. Pokud se uživateli zobrazí obě výzvy k zadání PIN kódu současně, mělo by se očekávat, že pin kód Intune bude mít přednost.

PIN kód umožňuje přístup k datům organizace v aplikaci jenom správnému uživateli. Proto se koncový uživatel musí přihlásit pomocí svého pracovního nebo školního účtu, aby mohl nastavit nebo resetovat PIN kód aplikace Intune. Toto ověřování zpracovává Microsoft Entra ID prostřednictvím zabezpečené výměny tokenů a není transparentní pro sadu Intune App SDK. Z hlediska zabezpečení je nejlepším způsobem, jak chránit pracovní nebo školní data, jejich šifrování. Šifrování nesouvisí s PIN kódem aplikace, ale vlastními zásadami ochrany aplikací.

V rámci zásad PIN kódu aplikace může správce IT nastavit maximální počet pokusů uživatele o ověření PIN kódu před uzamčením aplikace. Po splnění počtu pokusů může sada Intune App SDK vymazat "podniková" data v aplikaci.

MAM (v iOS/iPadOS) v současné době umožňuje pin kód na úrovni aplikace s alfanumerickými a speciálními znaky (označovaný jako "heslo")), který vyžaduje účast aplikací (např. WXP, Outlook, Managed Browser, Yammer) k integraci sady Intune APP SDK pro iOS/iPadOS. Bez toho se nastavení hesla pro cílové aplikace správně nevynucuje. Toto byla funkce vydaná v sadě Intune SDK pro iOS/iPadOS verze 7.1.12.

Aby bylo možné tuto funkci podporovat a zajistit zpětnou kompatibilitu s předchozími verzemi sady Intune SDK pro iOS/iPadOS, všechny PIN kódy (číselné nebo heslo) ve verzi 7.1.12 nebo novější se zpracovávají odděleně od číselného PIN kódu v předchozích verzích sady SDK. Proto pokud má zařízení aplikace se sadou Intune SDK pro iOS/iPadOS verze starší než 7.1.12 a po 7.1.12 od stejného vydavatele, bude muset nastavit dva PIN kódy.

Tyto dva PIN kódy (pro každou aplikaci) spolu nijak nesouvisejí, tj. musí dodržovat zásady ochrany aplikací, které se na aplikaci vztahují. Jenom v případě , že aplikace A a B mají stejné zásady (pokud jde o PIN kód), může uživatel nastavit stejný PIN dvakrát.

Toto chování je specifické pro PIN kód v aplikacích pro iOS/iPadOS, které mají povolenou správu mobilních aplikací Intune. S tím, jak aplikace postupně přecházejí na novější verze sady Intune SDK pro iOS/iPadOS, je potřeba u aplikací od stejného vydavatele nastavit PIN kód méně. Příklad najdete v následující poznámce.

Správci IT můžou nasadit zásady ochrany aplikací, které vyžadují šifrování dat aplikací. V rámci zásad může správce IT také určit, kdy se obsah zašifruje.

Podrobné informace o nastavení zásad ochrany aplikací pro iOS/iPadOS najdete v tématu Nastavení zásad ochrany aplikací pro Android a Nastavení zásad ochrany aplikací pro iOS/iPadOS .

Podle zásad ochrany aplikací správce IT se šifrují jenom data označená jako podniková. Data se považují za podniková, pokud pocházejí z obchodního umístění. V případě aplikací Office intune považuje za obchodní umístění následující: e-mail (Exchange) nebo cloudové úložiště (aplikace OneDrive s OneDrive pro firmy účtem). U obchodních aplikací spravovaných službou Intune App Wrapping Tool se všechna data aplikací považují za podniková.

Intune může vymazat data aplikací třemi různými způsoby: úplným vymazáním zařízení, selektivním vymazáním pro MDM a selektivním vymazáním MAM. Další informace o vzdáleném vymazání pro MDM najdete v tématu Odebrání zařízení pomocí vymazání nebo vyřazení. Další informace o selektivním vymazání pomocí MAM najdete v akcích Vyřazení a Jak z aplikací vymazat jenom podniková data.

Vymazání odebere všechna uživatelská data a nastavení ze zařízení obnovením výchozího továrního nastavení. Zařízení se odebere z Intune.

Informace o odebrání firemních dat najdete v tématu Odebrání zařízení – vyřazení .

Selektivní vymazání pro MAM jednoduše odebere data aplikace společnosti z aplikace. Žádost se inicializovala pomocí Centra pro správu Microsoft Intune. Informace o tom, jak zahájit žádost o vymazání, najdete v tématu Jak z aplikací vymazat jenom podniková data.

Pokud uživatel používá aplikaci při zahájení selektivního vymazání, sada Intune App SDK každých 30 minut kontroluje požadavek na selektivní vymazání ze služby Intune MAM. Kontroluje také selektivní vymazání, když uživatel poprvé spustí aplikaci a přihlásí se pomocí svého pracovního nebo školního účtu.

Ochrana aplikací Intune závisí na tom, jestli je identita uživatele konzistentní mezi aplikací a sadou Intune App SDK. Jediný způsob, jak to zajistit, je prostřednictvím moderního ověřování. Existují scénáře, ve kterých můžou aplikace pracovat s místní konfigurací, ale nejsou konzistentní ani zaručené.

Ano! Správce IT může nasadit a nastavit zásady ochrany aplikací pro aplikaci Microsoft Edge. Správce IT může vyžadovat, aby se všechny webové odkazy v aplikacích spravovaných přes Intune otevíraly pomocí aplikace Microsoft Edge.

Portál společnosti aplikace a ochrana aplikací Intune

Zásady ochrany aplikací Intune pro přístup se na zařízeních koncových uživatelů použijí v určitém pořadí, když se pokusí získat přístup k cílové aplikaci ze svého podnikového účtu. Obecně platí, že přednost bude mít blok a pak upozornění na zákaz. Pokud se například použije pro konkrétního uživatele nebo aplikaci, po nastavení minimální verze oprav Androidu, které uživateli zablokuje přístup, použije nastavení minimální verze opravy Androidu, které uživatele upozorní, aby provedl upgrade opravy. Takže ve scénáři, kdy správce IT nakonfiguruje minimální verzi opravy Androidu na 2018-03-01 a minimální verzi opravy Androidu (jenom upozornění) na 2018-02-01, zatímco zařízení, které se pokouší o přístup k aplikaci, mělo verzi opravy 2018-01-01, by byl koncový uživatel zablokovaný na základě restriktivnějšího nastavení pro minimální verzi opravy Androidu, které má za následek zablokování přístupu.

Při práci s různými typy nastavení bude mít přednost požadavek na verzi aplikace následovaný požadavkem na verzi operačního systému Android a požadavkem na verzi opravy Androidu. Pak se zkontrolují všechna upozornění pro všechny typy nastavení ve stejném pořadí.

Služba Intune bude kontaktovat Google Play v nekonfigurovatelném intervalu určeném zatížením služby. Všechny akce nakonfigurované správcem IT pro nastavení kontroly integrity zařízení Google Play se provedou na základě posledního výsledku nahlášeného službě Intune v době podmíněného spuštění. Pokud je výsledek integrity zařízení společnosti Google kompatibilní, neprovedou se žádné akce. Pokud je výsledek integrity zařízení společnosti Google nevyhovující předpisům, provede se okamžitě nakonfigurovaná akce správce IT. Pokud se žádost o kontrolu integrity zařízení google play z nějakého důvodu nezdaří, výsledek předchozího požadavku uložený v mezipaměti se použije po dobu až 24 hodin nebo při dalším restartování zařízení, které je na prvním místě. V té době budou zásady intune App Protection blokovat přístup, dokud nebude možné získat aktuální výsledek.

Pokyny, jak to udělat, se mírně liší podle zařízení. Obecný proces zahrnuje přechod do Obchodu Google Play, poté kliknutím na Moje aplikace & hry a kliknutím na výsledek poslední kontroly aplikace, která vás přemístí do nabídky Play Protect. Ujistěte se, že je přepínač Prohledat zařízení z hlediska bezpečnostních hrozeb zapnutý.

Intune využívá rozhraní API pro integritu Google Play k přidání do stávajících kontrol detekce kořenových adresářů nezaregistrovaných zařízení. Společnost Google vyvinula a udržovala tuto sadu rozhraní API pro aplikace pro Android, která je přijímá, pokud nechce, aby jejich aplikace běžely na zařízeních s rootem. Například aplikace Android Pay tuto aplikaci začlenila. I když Google veřejně nesdílí celou kontrolu detekce rootů, ke kterým dochází, očekáváme, že tato rozhraní API budou zjišťovat uživatele, kteří mají zařízení root. Těmto uživatelům pak může být zablokovaný přístup nebo může být jejich firemní účty vymazány z aplikací s povolenými zásadami. "Kontrola základní integrity" informuje o obecné integritě zařízení. Rootovaná zařízení, emulátory, virtuální zařízení a zařízení se známkami manipulace selhávají v základní integritě. "Kontrola základní integrity & certifikovaných zařízení" vás informuje o kompatibilitě zařízení se službami Společnosti Google. Touto kontrolou můžou projít jenom neupravená zařízení certifikovaná společností Google. Mezi zařízení, která selžou, patří:

• Zařízení se selháním základní integrity
• Zařízení s odemknutým bootloaderem
• Zařízení s vlastní bitovou kopií systému nebo rom
• Zařízení, pro která výrobce nepožádal o certifikaci Google nebo pro ně neprošel
• Zařízení se systémovou imagí vytvořenou přímo ze zdrojových souborů open source programu Android
• Zařízení s imagí systému beta nebo vývojářské verze Preview

Technické podrobnosti najdete v dokumentaci Společnosti Google k rozhraní PLAY Integrity API .

Kontroly rozhraní API integrity služby Google Play vyžadují, aby byl koncový uživatel online, a to alespoň po dobu trvání doby, kdy se provede "zpáteční cesta" pro určení výsledků ověření identity. Pokud je koncový uživatel offline, může správce IT přesto očekávat vynucení výsledku z nastavení zařízení s jailbreakem nebo rootem. Pokud je koncový uživatel offline příliš dlouho, vstupuje do hry hodnota Období odkladu offline a veškerý přístup k pracovním nebo školním datům se po dosažení této hodnoty časovače zablokuje, dokud nebude přístup k síti dostupný. Zapnutí obou nastavení umožňuje vícevrstvé přístupy k udržování zařízení koncových uživatelů v dobrém stavu, což je důležité, když koncoví uživatelé přistupují k pracovním nebo školním datům na mobilních zařízeních.

Nastavení "Play integrity verdict" i "Threat scan on apps" (Kontrola hrozeb v aplikacích) vyžadují, aby správně fungovala verze služeb Google Play určená Googlem. Vzhledem k tomu, že se jedná o nastavení, která spadají do oblasti zabezpečení, bude koncový uživatel zablokován, pokud se na ně tato nastavení zaměřují a nesplňují odpovídající verzi služeb Google Play nebo nemají přístup ke službám Google Play.

Zásady ochrany aplikací Intune umožňují řídit přístup k aplikacím jenom licencovaným uživatelům Intune. Jedním ze způsobů, jak řídit přístup k aplikaci, je vyžadovat na podporovaných zařízeních Touch ID nebo Face ID od Apple. Intune implementuje chování, kdy pokud dojde ke změně biometrické databáze zařízení, vyzve Intune uživatele k zadání PIN kódu při splnění další hodnoty časového limitu nečinnosti. Změny biometrických údajů zahrnují přidání nebo odebrání otisku prstu nebo obličeje. Pokud uživatel Intune nemá nastavený PIN kód, je veden k nastavení PIN kódu Intune.

Záměrem je i nadále udržovat data vaší organizace v aplikaci zabezpečená a chráněná na úrovni aplikace. Tato funkce je dostupná jenom pro iOS/iPadOS a vyžaduje účast aplikací, které integrují sadu Intune APP SDK pro iOS/iPadOS verze 9.0.1 nebo novější. Integrace sady SDK je nezbytná, aby bylo možné vynutit chování cílových aplikací. Tato integrace probíhá průběžně a závisí na konkrétních týmech aplikací. Mezi aplikace, které se účastní, patří WXP, Outlook, Managed Browser a Yammer.

Zásady ochrany aplikací Intune nemůžou řídit rozšíření sdílené složky iOS bez správy zařízení. Proto Intune před sdílením mimo aplikaci zašifruje "podniková" data. Můžete to ověřit tak, že se pokusíte otevřít "podnikový" soubor mimo spravovanou aplikaci. Soubor by měl být zašifrovaný a neměl by se otevřít mimo spravovanou aplikaci.

Zásady ochrany aplikací Intune pro přístup se na zařízeních koncových uživatelů použijí v určitém pořadí, když se pokusí získat přístup k cílové aplikaci ze svého podnikového účtu. Obecně platí, že má přednost vymazání, následované blokem a pak upozorněním, které je přípustné. Pokud se například použije pro konkrétního uživatele nebo aplikaci, po nastavení minimálního operačního systému iOS/iPadOS, které uživatele upozorní, aby aktualizoval jeho verzi iOS/iPadOS, se použije po nastavení minimálního operačního systému iOS/iPadOS, které uživateli blokuje přístup. Takže ve scénáři, kdy správce IT nakonfiguruje minimální operační systém iOS/iPadOS na 11.0.0.0 a minimální operační systém iOS/iPadOS (pouze upozornění) na 11.1.0.0, Zařízení, které se pokouší o přístup k aplikaci, bylo v systému iOS/iPadOS 10, ale koncový uživatel by byl zablokovaný na základě přísnějšího nastavení pro minimální verzi operačního systému iOS/iPadOS, které vede k zablokování přístupu.

Při práci s různými typy nastavení by měl přednost požadavek na verzi sady Intune App SDK a potom požadavek na verzi aplikace následovaný požadavkem na verzi operačního systému iOS/iPadOS. Pak se zkontrolují všechna upozornění pro všechny typy nastavení ve stejném pořadí. Požadavek na verzi sady Intune App SDK doporučujeme nakonfigurovat jenom na základě pokynů od produktového týmu Intune pro základní scénáře blokování.

Viz také

• Nasazení Intune
• Vytvoření plánu zavedení
• Nastavení zásad správy mobilních aplikací pro Android v Microsoft Intune
• Nastavení zásad správy mobilních aplikací pro iOS/iPadOS
• aktualizace zásad Ochrana aplikací
• Ověření zásad ochrany aplikací
• Přidání zásad konfigurace aplikací pro spravované aplikace bez registrace zařízení
• Jak získat podporu v Microsoft Intune