Gyakori kérdések a MAM-ról és az alkalmazásvédelemről

A MAM áttekintése

Alkalmazásvédelem szabályzatok olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságban legyenek vagy egy felügyelt alkalmazásban legyenek tárolva. A szabályzatok lehetnek olyan szabályok, amelyek akkor lépnek érvénybe, amikor a felhasználó "vállalati" adatokhoz próbál hozzáférni vagy áthelyezni, vagy olyan műveletek halmaza, amelyeket a felhasználó az alkalmazáson belül tilt vagy figyel.

Az egyes alkalmazásvédelmi szabályzatokkal kapcsolatos részletes információkért tekintse meg az Android alkalmazásvédelmi szabályzatbeállításai és az iOS/iPadOS alkalmazásvédelmi szabályzatbeállításai című témakört.

Ha az eszközfelügyeleti állapot beállítása nélkül alkalmaz MAM-szabályzatot a felhasználóra, a FELHASZNÁLÓ a BYOD-eszközön és a Intune által felügyelt eszközön is megkapja a MAM-szabályzatot. Mam-szabályzatot az eszközfelügyeleti állapot alapján is alkalmazhat. Így amikor alkalmazásvédelmi szabályzatot hoz létre, a Target to apps on all device types (Célalkalmazások az összes eszköztípuson) elem mellett válassza a Nem lehetőséget. Ezután hajtsa végre az alábbi műveletek egyikét:

• Alkalmazzon kevésbé szigorú MAM-szabályzatot Intune felügyelt eszközökre, és alkalmazzon szigorúbb MAM-szabályzatot a nem MDM-ben regisztrált eszközökre.
• Hasonlóan szigorú MAM-szabályzatot alkalmazhat Intune felügyelt eszközökre, mint a harmadik fél által felügyelt eszközökre.
• Mam-szabályzat alkalmazása csak a nem regisztrált eszközökre.

További információ: Alkalmazásvédelmi szabályzatok monitorozása.

Az Intune App SDK-val integrált vagy a Intune App Wrapping Tool burkolt alkalmazások Intune alkalmazásvédelmi szabályzatokkal kezelhetők. Tekintse meg a nyilvánosan elérhető Intune által felügyelt alkalmazások hivatalos listáját.

• A végfelhasználónak rendelkeznie kell egy Microsoft Entra fiókkal. A Felhasználók hozzáadása és rendszergazdai engedély megadása Intune című cikkből megtudhatja, hogyan hozhat létre Intune felhasználókat Microsoft Entra ID.

• A végfelhasználónak rendelkeznie kell Microsoft Intune Microsoft Entra-fiókjához rendelt licenccel. A Intune licencek végfelhasználókhoz rendeléséről a Intune licencek kezelése című témakörben olvashat.

• A végfelhasználónak egy alkalmazásvédelmi szabályzat által megcélzott biztonsági csoporthoz kell tartoznia. Ugyanannak az alkalmazásvédelmi szabályzatnak a használt alkalmazást kell céloznia. Alkalmazásvédelem házirendek az Microsoft Intune Felügyeleti központban hozhatók létre és helyezhetők üzembe. A biztonsági csoportok jelenleg a Microsoft 365 Felügyeleti központ hozhatók létre.

• A végfelhasználónak a Microsoft Entra fiókjával kell bejelentkeznie az alkalmazásba.

A Intune SDK fejlesztői csapata aktívan teszteli és támogatja a natív Android, iOS/iPadOS (Obj-C, Swift), Xamarin és Xamarin.Forms platformokkal készült alkalmazásokat. Bár egyes ügyfelek sikeresen integrálták Intune SDK-t más platformokkal, például a React Native és a NativeScripttel, nem biztosítunk explicit útmutatást vagy beépülő modulokat a támogatott platformokon kívül bármilyen más platformot használó alkalmazásfejlesztők számára.

A Intune App SDK használhatja a Microsoft Authentication Libraryt a hitelesítéshez és a feltételes indítási forgatókönyvekhez. Arra is támaszkodik, hogy az MSAL regisztrálja a felhasználói identitást a MAM szolgáltatásban az eszközregisztrációs forgatókönyvek nélküli felügyelethez.

• A végfelhasználónak telepítve kell lennie az Outlook mobilappnak az eszközén.

• A végfelhasználónak microsoftos 365 Exchange Online postaládával és licenccel kell rendelkeznie a Microsoft Entra-fiókjához.

  Megjegyzés:

  Az Outlook mobilalkalmazás jelenleg csak a hibrid modern hitelesítéssel rendelkező Microsoft Exchange Online és Exchange Server Intune App Protectiont támogatja, és nem támogatja az Exchange-et Office 365 Dedikált verzióban.

• A végfelhasználónak rendelkeznie kell a Microsoft Entra-fiókjához társított licenccel Üzleti Microsoft 365-alkalmazások vagy vállalat számára. Az előfizetésnek tartalmaznia kell az Office-alkalmazásokat a mobileszközökön, és tartalmaznia kell egy felhőalapú tárfiókot OneDrive Vállalati verzió. A Microsoft 365-licencek az alábbi utasításokMicrosoft 365 Felügyeleti központ rendelhetők hozzá.

• A végfelhasználónak rendelkeznie kell egy felügyelt hellyel, amely a részletes mentés másként funkcióval van konfigurálva a "Szervezeti adatok másolatainak mentése" alkalmazásvédelmi házirend-beállításban. Ha például a felügyelt hely a OneDrive, a OneDrive alkalmazást a végfelhasználó Word, Excelben vagy PowerPoint-appban kell konfigurálni.

• Ha a felügyelt hely a OneDrive, az alkalmazást a végfelhasználó számára telepített alkalmazásvédelmi szabályzatnak kell céloznia.

  Megjegyzés:

  Az Office-mobilappok jelenleg csak a SharePoint Online-t támogatják, a helyszíni SharePointot nem.

Intune az alkalmazásban lévő összes adatot "vállalati" vagy "személyes" megjelölésűként jelöli meg. Az adatok akkor minősülnek "vállalatinak", ha üzleti helyről származnak. Az Office-appok esetében a Intune a következőket tekintik vállalati helynek: e-mail (Exchange) vagy felhőalapú tárhely (OneDrive Vállalati verzió fiókkal rendelkező OneDrive alkalmazás).

Lásd: Skype Vállalati verzió licenckövetelmények. A Skype Vállalati verzió (SfB) hibrid és helyszíni konfigurációkkal kapcsolatban lásd: Hibrid modern hitelesítés az SfB-hez és az Exchange általánosan elérhető általánosan elérhető, a helyszíni SfB modern hitelesítése pedig Microsoft Entra ID.

A többszörös identitás támogatása lehetővé teszi, hogy a Intune App SDK csak az alkalmazásba bejelentkezett munkahelyi vagy iskolai fiókra alkalmazza az alkalmazásvédelmi szabályzatokat. Ha egy személyes fiók be van jelentkezve az alkalmazásba, az adatok érintetlenek lesznek.

A többszörös identitás támogatása lehetővé teszi a "vállalati" és a fogyasztói célközönséggel (azaz az Office-alkalmazásokkal) rendelkező alkalmazások nyilvános kiadását a "vállalati" fiókok Intune alkalmazásvédelmi képességeivel.

Mivel az Outlook a személyes és a "vállalati" e-maileket is tartalmazza, az Outlook app indításkor kéri a Intune PIN-kód megadását.

A személyes azonosítószám (PIN-kód) annak ellenőrzésére szolgál, hogy a megfelelő felhasználó hozzáfér-e a szervezet adataihoz egy alkalmazásban.

Intune a felhasználó alkalmazás PIN-kódjának megadását kéri, amikor a felhasználó a "vállalati" adatokhoz való hozzáférésre készül. A több identitást használó alkalmazásokban, például a Word/Excelben/PowerPointban a rendszer a felhasználótól kéri a PIN-kód megadását, amikor megpróbál megnyitni egy "vállalati" dokumentumot vagy fájlt. Az egyszeres identitást használó alkalmazásokban, például a Intune App Wrapping Tool felügyelt üzletági alkalmazásokban a rendszer indításkor kéri a PIN-kódot, mert a Intune App SDK tudja, hogy a felhasználói élmény az alkalmazásban mindig "vállalati".

A rendszergazda a Microsoft Intune Felügyeleti központban megadhatja a Intune alkalmazásvédelmi szabályzat "A hozzáférési követelmények ismételt ellenőrzése ennyi perc után" beállítását. Ez a beállítás határozza meg, hogy mennyi idő után ellenőrizze a hozzáférési követelményeket az eszközön, és ismét megjelenik az alkalmazás PIN-kódjának képernyője. A PIN-kód fontos részletei azonban befolyásolják, hogy a rendszer milyen gyakran kéri a felhasználót:

• A PIN-kód meg van osztva ugyanazon közzétevő alkalmazásai között a használhatóság javítása érdekében: iOS/iPadOS rendszeren egyetlen alkalmazás PIN-kódja van megosztva az ugyanazon alkalmazás-közzétevő összes alkalmazása között. Androidon egy alkalmazás PIN-kódja minden alkalmazás között meg van osztva.
• A "Hozzáférési követelmények ismételt ellenőrzése (perc) után" viselkedés az eszköz újraindítása után: A "PIN-kód időzítője" nyomon követi az inaktivitás perceinek számát, amelyek meghatározzák, hogy mikor jelenjen meg a Intune alkalmazás PIN-kódja. iOS/iPadOS rendszeren az eszköz újraindítása nem érinti a PIN-kód időzítőt. Így az eszköz újraindítása nincs hatással arra, hogy a felhasználó hány percet inaktív egy Intune PIN-kód-szabályzattal rendelkező iOS-/iPadOS-alkalmazásból. Android rendszeren a PIN-kód időzítője alaphelyzetbe áll az eszköz újraindításakor. Ezért az Intune PIN-kóddal rendelkező Android-alkalmazások valószínűleg kérni fogják az alkalmazás PIN-kódját, függetlenül attól, hogy az eszköz újraindítása után "A hozzáférési követelmények újraellenőrzése (perc) után".
• A PIN-kódhoz társított időzítő működés közbeni jellege: Miután beírt egy PIN-kódot egy alkalmazás (A alkalmazás) eléréséhez, és az alkalmazás elhagyja az előteret (a fő bemeneti fókuszt) az eszközön, a PIN-kód időzítője alaphelyzetbe áll az adott PIN-kódhoz. A PIN-kódot használó alkalmazások (B alkalmazás) nem kérik a felhasználótól a PIN-kód megadását, mert az időzítő alaphelyzetbe áll. A parancssor újra megjelenik, ha a "Hozzáférési követelmények újraellenőrzése ennyi perc után" érték ismét teljesül.

iOS-/iPadOS-eszközök esetén, még ha a PIN-kód meg is van osztva a különböző közzétevőktől származó alkalmazások között, a rendszer akkor is újra megjelenik, ha a hozzáférési követelmények ismételt ellenőrzése ennyi perc után érték ismét teljesül a nem a fő beviteli fókuszban lévő alkalmazás esetében. Egy felhasználó például rendelkezik az X kiadó A és B alkalmazásával az Y közzétevőtől, és ez a két alkalmazás ugyanazt a PIN-kódot használja. A felhasználó az A alkalmazásra (előtér) összpontosít, és a B alkalmazás kis méretűre van állítva. Miután a hozzáférési követelmények ismételt ellenőrzése (perc) után teljesült, és a felhasználó átváltott a B alkalmazásra, a PIN-kódra lesz szükség.

A Intune PIN-kód egy inaktivitás-alapú időzítőn alapul (a "Hozzáférési követelmények újbóli ellenőrzése ennyi idő után (perc)" érték). Így Intune PIN-kódra vonatkozó kérések az Outlook és a OneDrive beépített PIN-kód-kéréseitől függetlenül jelennek meg, amelyek gyakran alapértelmezés szerint az alkalmazások indításához kapcsolódnak. Ha a felhasználó egyidejűleg mindkét PIN-kódot kéri, a várt viselkedés az, hogy a Intune PIN-kód elsőbbséget élvez.

A PIN-kód arra szolgál, hogy csak a megfelelő felhasználó férhessen hozzá a szervezet adataihoz az alkalmazásban. Ezért a végfelhasználónak be kell jelentkeznie a munkahelyi vagy iskolai fiókjával, mielőtt beállíthatja vagy alaphelyzetbe állíthatja Intune alkalmazás PIN-kódját. Ezt a hitelesítést a Microsoft Entra ID kezeli biztonságos jogkivonat-cserével, és nem átlátható a Intune App SDK számára. Biztonsági szempontból a munkahelyi vagy iskolai adatok védelmének legjobb módja az adatok titkosítása. A titkosítás nem az alkalmazás PIN-kódjával kapcsolatos, hanem a saját alkalmazásvédelmi szabályzata.

Az alkalmazás PIN-kód-szabályzatának részeként a rendszergazda beállíthatja, hogy a felhasználó legfeljebb hányszor próbálja meg hitelesíteni a PIN-kódját az alkalmazás zárolása előtt. A kísérletek száma után a Intune App SDK törölheti az alkalmazásban lévő "vállalati" adatokat.

A MAM (iOS/iPadOS rendszeren) jelenleg alfanumerikus és speciális karakterekkel (pin-kód) rendelkező alkalmazásszintű PIN-kódot engedélyez, amelyhez az alkalmazások (pl. WXP, Outlook, Managed Browser, Yammer) részvétele szükséges az iOS/iPadOS rendszerhez készült Intune APP SDK integrálásához. Enélkül a pin-kód beállításai nem lesznek megfelelően kikényszerítve a megcélzott alkalmazásokhoz. Ez a funkció az iOS/iPadOS Intune SDK 7.1.12-s verzióban jelent meg.

A funkció támogatásához és az iOS/iPadOS-hez készült Intune SDK korábbi verzióival való kompatibilitás biztosítása érdekében a 7.1.12- vagy újabb verziókban az összes PIN-kódot (numerikus vagy pin-kód) az SDK korábbi verzióiban használt numerikus PIN-kódtól elkülönítve kezeli. Ezért ha egy eszköz Intune SDK-val rendelkező alkalmazásokat használ az iOS/iPadOS verzióhoz a 7.1.12-es verzió előtt és 7.1.12 után ugyanabból a közzétevőből, két PIN-elemet kell beállítania.

Ennek ellenére a két PIN-szám (minden alkalmazáshoz) semmilyen módon nem kapcsolódik, azaz be kell tartaniuk az alkalmazásra alkalmazott alkalmazásvédelmi szabályzatot. Így a felhasználó csak akkor állíthatja be kétszer ugyanazt a PIN-kódot, ha az A és a B alkalmazásra ugyanazok a szabályzatok vonatkoznak (a PIN-kódra vonatkozóan).

Ez a viselkedés az Intune Mobile App Managementtel engedélyezett iOS-/iPadOS-alkalmazások PIN-kódjára jellemző. Idővel, amikor az alkalmazások az iOS/iPadOS rendszerhez készült Intune SDK újabb verzióit vezetik be, az ugyanabból a közzétevőből származó alkalmazásokon kétszer kell pin-kódot beállítania, kisebb problémát jelent. Példaként tekintse meg az alábbi megjegyzést.

A rendszergazdák olyan alkalmazásvédelmi szabályzatot telepíthetnek, amely megköveteli az alkalmazásadatok titkosítását. A szabályzat részeként a rendszergazda azt is megadhatja, hogy mikor legyen titkosítva a tartalom.

A titkosítási alkalmazásvédelmi szabályzat beállításával kapcsolatos részletes információkért tekintse meg az Android alkalmazásvédelmi szabályzatának beállításait és az iOS/iPadOS alkalmazásvédelmi házirend-beállításait .

Csak a "vállalatiként" megjelölt adatok vannak titkosítva a rendszergazda alkalmazásvédelmi szabályzatának megfelelően. Az adatok akkor minősülnek "vállalatinak", ha üzleti helyről származnak. Az Office-appok esetében a Intune a következőket tekintik vállalati helynek: e-mail (Exchange) vagy felhőalapú tárhely (OneDrive Vállalati verzió fiókkal rendelkező OneDrive alkalmazás). A Intune App Wrapping Tool által felügyelt üzletági alkalmazások esetében az összes alkalmazásadat "vállalatinak" minősül.

Intune az alkalmazásadatok három különböző módon törölhetők: teljes eszköztörlés, az MDM szelektív törlése és a MAM szelektív törlése. Az MDM távoli törlésével kapcsolatos további információkért lásd: Eszközök eltávolítása törléssel vagy kivonással. A MAM használatával végzett szelektív törlésről további információt a Kivonás művelet és a Csak a vállalati adatok törlése alkalmazásokból című cikkben talál.

A törlés eltávolítja az összes felhasználói adatot és beállítást az eszközről az eszköz gyári alapértelmezett beállításainak visszaállításával. Az eszköz el lesz távolítva a Intune.

A céges adatok eltávolításáról az Eszközök eltávolítása – kivonás című témakörben olvashat.

A MAM szelektív törlése egyszerűen eltávolítja a vállalati alkalmazásadatokat egy alkalmazásból. A kérés a Microsoft Intune Felügyeleti központban kezdeményezhető. A törlési kérés kezdeményezéséről a Csak a vállalati adatok törlése alkalmazásokból című témakörben olvashat.

Ha a felhasználó szelektív törlés kezdeményezésekor használja az alkalmazást, a Intune App SDK 30 percenként ellenőrzi, hogy van-e szelektív törlési kérés a Intune MAM szolgáltatásból. A szelektív törlést is ellenőrzi, amikor a felhasználó első alkalommal indítja el az alkalmazást, és bejelentkezik a munkahelyi vagy iskolai fiókjával.

Intune alkalmazásvédelem a felhasználó identitásától függ, hogy konzisztens legyen az alkalmazás és a Intune App SDK között. Ezt csak a modern hitelesítéssel garantálhatja. Vannak olyan forgatókönyvek, amelyekben az alkalmazások együttműködhetnek egy helyszíni konfigurációval, de nem konzisztensek és nem garantáltak.

Igen! A rendszergazda alkalmazásvédelmi szabályzatot telepíthet és állíthat be a Microsoft Edge alkalmazáshoz. A rendszergazda megkövetelheti, hogy a Intune által felügyelt alkalmazások összes webes hivatkozása a Microsoft Edge alkalmazással nyíljon meg.

Céges portál alkalmazás- és Intune-alkalmazásvédelem

Intune hozzáférésre vonatkozó alkalmazásvédelmi szabályzatok adott sorrendben lesznek alkalmazva a végfelhasználói eszközökön, amikor megpróbálnak hozzáférni egy célzott alkalmazáshoz a vállalati fiókjukból. A blokkok általában elsőbbséget élveznek, majd egy bezárható figyelmeztetést. Ha például az adott felhasználóra/alkalmazásra vonatkozik, a rendszer egy minimális Android-javításverzió-beállítást alkalmaz, amely figyelmezteti a felhasználót a javításfrissítésre, miután a felhasználó hozzáférését letiltó minimális Android-javításverzió-beállítás életbe lép. Tehát abban a forgatókönyvben, amikor a rendszergazda a minimális Android-javítási verziót 2018-03-01-es verzióra és az Android minimális javításverzióját (csak figyelmeztetés) 2018-02-01-es verzióra konfigurálja, míg az alkalmazáshoz hozzáférni próbáló eszköz a 2018-01-01-es frissítési verzión volt, a végfelhasználót a rendszer a minimális Android-javítási verzió korlátozóbb beállítása alapján letiltja, amely letiltja a hozzáférést.

A különböző típusú beállítások kezelésekor az alkalmazásverzióra vonatkozó követelmények elsőbbséget élveznek, amelyet az Android operációs rendszer verziókövetelménye és az Android-javítások verziókövetelménye követ. Ezután az ugyanabban a sorrendben található összes beállításra vonatkozó figyelmeztetéseket ellenőrzi a rendszer.

A Intune szolgáltatás a szolgáltatás terhelése által meghatározott nem konfigurálható időközönként kapcsolatba lép a Google Play szolgáltatással. A Google Play eszközintegritás-ellenőrzési beállításához konfigurált összes rendszergazdai művelet a feltételes indításkor az Intune szolgáltatásnak küldött utolsó jelentett eredmény alapján lesz végrehajtva. Ha a Google eszközintegritási eredménye megfelelő, a rendszer nem hajt végre semmilyen műveletet. Ha a Google eszközintegritási eredménye nem megfelelő, a rendszergazda által konfigurált művelet azonnal meg lesz állítva. Ha a Google Play eszközintegritási ellenőrzésére irányuló kérés bármilyen okból meghiúsul, a rendszer az előző kérés gyorsítótárazott eredményét legfeljebb 24 órán keresztül, vagy a következő eszköz-újraindítást fogja használni, amely valaha is az első lesz. Ekkor Intune alkalmazásvédelmi szabályzatok letiltják a hozzáférést, amíg az aktuális eredmény nem lesz elérhető.

Ennek módjára vonatkozó utasítások eszközönként kissé eltérőek. Az általános folyamat része a Google Play Áruház megnyitása, majd a Saját alkalmazások & játékok elemre kattintva az utolsó alkalmazásvizsgálat eredményére kattintva, amely a Védelem lejátszása menübe kerül. Győződjön meg arról, hogy az Eszköz biztonsági fenyegetések keresése kapcsoló be van kapcsolva.

Intune a Google Play Integrity API-kkal bővíti meglévő gyökérészlelési ellenőrzéseinket a nem regisztrált eszközök esetében. A Google kifejlesztette és fenntartotta ezt az API-készletet androidos alkalmazások számára, hogy bevezethessék, ha nem szeretnék, hogy az alkalmazásaik rootolt eszközökön fussanak. Az Android Pay alkalmazás beépítette például ezt. Bár a Google nem osztja meg nyilvánosan az elvégzett gyökérészlelési ellenőrzések teljes egészét, elvárjuk, hogy ezek az API-k észleljék az eszközeiket gyökerező felhasználókat. Ezeket a felhasználókat ezután letilthatja a hozzáférésük, vagy a vállalati fiókjuk törölhető a szabályzatot engedélyező alkalmazásaikból. Az "Alapvető integritás ellenőrzése" az eszköz általános integritásáról tájékoztat. A feltört eszközök, emulátorok, virtuális eszközök és illetéktelen módosításra utaló jeleket tartalmazó eszközök alapvető integritása meghiúsul. Az "Alapszintű integritás ellenőrzése & hitelesített eszközök" című cikkből megtudhatja, hogy az eszköz kompatibilis-e a Google szolgáltatásaival. Ezt az ellenőrzést csak a Google által hitelesített, nem módosított eszközök tudják átadni. A sikertelen eszközök közé tartoznak a következők:

• Alapszintű integritást nem használó eszközök
• Zárolt rendszertöltővel rendelkező eszközök
• Egyéni rendszerképpel/ROM-tal rendelkező eszközök
• Olyan eszközök, amelyekhez a gyártó nem igényelt vagy nem adott át Google-minősítést
• Közvetlenül az Android nyílt forráskódú program forrásfájljaiból létrehozott rendszerképpel rendelkező eszközök
• Bétaverziós/fejlesztői előzetes verziójú rendszerképpel rendelkező eszközök

Technikai részletekért tekintse meg a Google Play Integrity API-val kapcsolatos dokumentációját .

A Google Play Integrity API-ellenőrzések megkövetelik, hogy a végfelhasználó online állapotban legyen, legalább arra az időtartamra, amikor a "roundtrip" az igazolási eredmények meghatározásához végre lesz hajtva. Ha a végfelhasználó offline állapotban van, a rendszergazda továbbra is számíthat arra, hogy a rendszer kikényszeríti az eredményt a "jailbreakelt/rootolt eszközök" beállításból. Ez azt jelenti, hogy ha a végfelhasználó túl hosszú ideig volt offline, az "Offline türelmi időszak" érték lép életbe, és a munkahelyi vagy iskolai adatokhoz való minden hozzáférés le lesz tiltva az időzítő értékének elérése után, amíg a hálózati hozzáférés elérhetővé nem válik. Mindkét beállítás bekapcsolása lehetővé teszi a végfelhasználói eszközök kifogástalan állapotának megőrzését szolgáló rétegzett megközelítést, ami akkor fontos, ha a végfelhasználók mobileszközökön férnek hozzá a munkahelyi vagy iskolai adatokhoz.

A "Play integrity verdict" és a "Threat scan on apps" (Veszélyforrás-vizsgálat az alkalmazásokon) beállításokhoz is szükség van a Google Play Services Google által meghatározott verziójára a megfelelő működéshez. Mivel ezek a beállítások a biztonság területére esnek, a rendszer letiltja a végfelhasználót, ha ezeket a beállításokat célozza meg, és nem felel meg a Google Play Services megfelelő verziójának, vagy nem rendelkezik hozzáféréssel a Google Play Szolgáltatásokhoz.

Intune alkalmazásvédelmi szabályzatok csak a Intune licenccel rendelkező felhasználó számára engedélyezik az alkalmazás-hozzáférés vezérlését. Az alkalmazáshoz való hozzáférés szabályozásának egyik módja, ha az Apple Touch ID vagy Face ID azonosítóját igényli a támogatott eszközökön. Intune olyan viselkedést valósít meg, amelyben az eszköz biometrikus adatbázisának módosítása esetén Intune pin-kódot kér a felhasználótól, amikor a következő tétlenségi időtúllépési érték teljesül. A biometrikus adatok változásai közé tartozik az ujjlenyomat vagy az arc hozzáadása vagy eltávolítása. Ha a Intune felhasználó nem rendelkezik PIN-kóddal, a rendszer egy Intune PIN-kódot állít be.

Ennek az a célja, hogy továbbra is biztonságosan és az alkalmazás szintjén védve tartsa a szervezet adatait az alkalmazásban. Ez a funkció csak iOS/iPadOS rendszeren érhető el, és az iOS/iPadOS Intune APP SDK 9.0.1-es vagy újabb verzióját integráló alkalmazások részvételére van szükség. Az SDK integrációjára azért van szükség, hogy a viselkedés kényszeríthető legyen a megcélzott alkalmazásokon. Ez az integráció gördülő alapon történik, és az adott alkalmazáscsapatoktól függ. A programban részt vevő alkalmazások közé tartozik például a WXP, az Outlook, a Managed Browser és a Yammer.

Intune alkalmazásvédelmi szabályzat nem tudja vezérelni az iOS-megosztási bővítményt az eszköz kezelése nélkül. Ezért Intune titkosítja a "vállalati" adatokat, mielőtt megosztanák azokat az alkalmazáson kívül. Ezt úgy ellenőrizheti, hogy megpróbálja megnyitni a "vállalati" fájlt a felügyelt alkalmazáson kívül. A fájlnak titkosítva kell lennie, és nem nyitható meg a felügyelt alkalmazáson kívül.

Intune hozzáférésre vonatkozó alkalmazásvédelmi szabályzatok adott sorrendben lesznek alkalmazva a végfelhasználói eszközökön, amikor megpróbálnak hozzáférni egy célzott alkalmazáshoz a vállalati fiókjukból. Általánosságban elmondható, hogy a törlés elsőbbséget élvez, amelyet egy blokk követ, majd egy bezárható figyelmeztetés. Ha például az adott felhasználóra/alkalmazásra vonatkozik, a rendszer egy minimális iOS/iPadOS operációsrendszer-beállítást alkalmaz, amely arra figyelmezteti a felhasználót, hogy frissítse az iOS/iPadOS-verziót, miután a felhasználó hozzáférését letiltó minimális iOS/iPadOS operációs rendszerbeállítást alkalmazta. Tehát abban a forgatókönyvben, amikor a rendszergazda a minimális iOS/iPadOS operációs rendszert 11.0.0.0-ra, a minimális iOS/iPadOS operációs rendszert (csak figyelmeztetés) a 11.1.0.0-ra konfigurálja, amíg az alkalmazáshoz hozzáférni próbáló eszköz iOS/iPadOS 10 rendszeren volt, a rendszer letiltja a végfelhasználót a minimális iOS/iPadOS operációsrendszer-verzió szigorúbb beállítása alapján, amely letiltja a hozzáférést.

A különböző típusú beállítások kezelésekor a Intune App SDK verziókövetelménye elsőbbséget élvez, majd egy alkalmazásverzióra vonatkozó követelmény, amelyet az iOS/iPadOS operációs rendszer verziókövetelménye követ. Ezután az ugyanabban a sorrendben található összes beállításra vonatkozó figyelmeztetéseket ellenőrzi a rendszer. Azt javasoljuk, hogy a Intune App SDK verziókövetelményét csak a Intune termékcsapatának útmutatása alapján konfigurálja az alapvető blokkolási forgatókönyvekhez.

Lásd még

• Intune üzembe helyezése
• Bevezetési terv létrehozása
• Androidos mobilalkalmazás-felügyeleti szabályzat beállításai a Microsoft Intune
• iOS/iPadOS mobilalkalmazás-felügyeleti szabályzat beállításai
• szabályzatfrissítés Alkalmazásvédelem
• Az alkalmazásvédelmi szabályzatok ellenőrzése
• Alkalmazáskonfigurációs szabályzatok hozzáadása eszközregisztráció nélküli felügyelt alkalmazásokhoz
• Támogatás kérése Microsoft Intune