Alkalmazásvédelmi szabályzatok áttekintése

Intune alkalmazásvédelmi szabályzatok biztosítják, hogy a szervezet adatai biztonságosak vagy felügyelt alkalmazásokban legyenek tárolva. Ezek a szabályzatok lehetővé teszik az adatok mobileszközökön futó alkalmazások általi elérésének és megosztásának szabályozását. A szabályzatok kikényszeríthetik a szabályokat, amikor a felhasználó "vállalati" adatokhoz próbál hozzáférni vagy áthelyezni. Emellett letilthatja vagy figyelheti a műveleteket, ha a felhasználó az alkalmazásban tartózkodik. A Intune felügyelt alkalmazása olyan védett alkalmazás, amelyben Intune alkalmazásvédelmi szabályzatokat alkalmaz, és kezeli az alkalmazást.

Intune alkalmazásvédelmi szabályzatok számos előnnyel járnak. Ezek az előnyök magukban foglalják a vállalati adatok védelmét a mobileszközökön anélkül, hogy eszközregisztrációra van szükség, és szabályozni kellene, hogy az alkalmazások hogyan férnek hozzá és osztják meg az adatokat a mobileszközökön.

Az alkalmazásvédelmi szabályzatok Microsoft Intune például a következők:

  • PIN-kód vagy ujjlenyomat megkövetelése a vállalati e-mailek mobileszközön való eléréséhez
  • A felhasználók nem másolhatják és illeszthetik be a vállalati adatokat a személyes alkalmazásokba
  • A vállalati adatokhoz való hozzáférés korlátozása csak jóváhagyott alkalmazásokra

Intune MAM számos hatékonyságnövelő alkalmazást kezel, például a Microsoft 365 (Office) alkalmazásokat. Tekintse meg a nyilvánosan elérhető Microsoft Intune védett alkalmazások hivatalos listáját.

Hogyan védheti meg az alkalmazásadatokat?

Az alkalmazottak a személyes és a munkahelyi feladatokhoz is mobileszközöket használnak. Az alkalmazottak hatékonyságának biztosítása mellett megelőzheti az adatvesztést. Ez a szándékos és a nem szándékos adatvesztést is magában foglalja. A nem Ön által felügyelt eszközökről elért vállalati adatok védelme is.

Az Intune alkalmazásvédelmi szabályzatokat a mobileszköz-felügyeleti (MDM) megoldásoktól függetlenül is használhatja. Ez a függetlenség segít megvédeni cége adatait az eszközök eszközfelügyeleti megoldásban való regisztrálásával vagy anélkül. Az alkalmazásszintű szabályzatok implementálásával korlátozhatja a vállalati erőforrásokhoz való hozzáférést, és az adatokat az informatikai részleg hatáskörén belül tarthatja.

Megjegyzés:

A szabályzatok kényszerítéséhez használja a feltételes hozzáférést Intune alkalmazásvédelmi szabályzatokkal együtt.

Alkalmazásvédelem szabályzatok az eszközökön

Alkalmazásvédelmi szabályzatok konfigurálása olyan eszközökön futó alkalmazásokhoz, amelyek a következők:

  • Regisztrálva a Microsoft Intune: Ezek az eszközök általában vállalati tulajdonban vannak.

  • Nem Microsoft mobileszköz-kezelési (MDM) megoldásban regisztrálva: Ezek az eszközök általában vállalati tulajdonban vannak.

    Megjegyzés:

    A mobilalkalmazás-felügyeleti szabályzatok nem használhatók nem Microsoft-alapú mobilalkalmazás-kezeléssel vagy biztonságos tárolómegoldásokkal.

  • Nincs regisztrálva egyetlen mobileszköz-kezelési megoldásban sem: Ezek az eszközök általában alkalmazottak tulajdonában lévő eszközök, amelyek nincsenek felügyelve vagy regisztrálva Intune vagy más MDM-megoldásokban.

Fontos

Mobilalkalmazás-kezelési házirendek létrehozása a Microsoft 365-szolgáltatásokhoz csatlakozó Office-mobilalkalmazásokhoz. Emellett a helyszíni Exchange-postaládákhoz való hozzáférés védelméhez hozzon létre Intune alkalmazásvédelmi szabályzatokat az iOS/iPadOS és androidos Outlookhoz, amelyek hibrid modern hitelesítéssel engedélyezve lesznek. A funkció használata előtt győződjön meg arról, hogy megfelel az iOS/iPadOS és az Android Outlook követelményeinek. A helyszíni Exchange- vagy SharePoint-szolgáltatásokhoz csatlakozó egyéb alkalmazások nem támogatják az alkalmazásvédelmi szabályzatokat.

Az alkalmazásvédelmi szabályzatok használatának előnyei

Az alkalmazásvédelmi szabályzatok használatának legfontosabb előnyei a következők:

  • A vállalati adatok védelme az alkalmazás szintjén. Mivel a mobilalkalmazás-felügyelethez nincs szükség eszközfelügyeletre, a felügyelt és a nem felügyelt eszközökön is védeni kell a vállalati adatokat. A felügyelet a felhasználói identitásra van kapcsolva, ami megszünteti az eszközfelügyelet követelményét.

  • A felhasználók termelékenységére nincs hatással, és a szabályzatok nem vonatkoznak az alkalmazás személyes környezetben való használatakor. Intune csak munkahelyi környezetben alkalmazza a szabályzatokat, így a személyes adatok érintése nélkül védheti a vállalati adatokat.

  • Alkalmazásvédelem szabályzatok biztosítják az alkalmazásréteg védelmét. Például:

    • PIN-kód megkövetelése egy alkalmazás munkahelyi környezetben való megnyitásához
    • Az adatok alkalmazások közötti megosztásának szabályozása
    • A vállalati alkalmazásadatok személyes tárhelyre való mentésének megakadályozása

  • A MAM-tal rendelkező MDM biztosítja az eszköz védelmét. Például pin-kód szükséges az eszköz eléréséhez, vagy felügyelt alkalmazások üzembe helyezése az eszközön. Emellett az MDM-megoldáson keresztül telepíthet alkalmazásokat az eszközökre, hogy nagyobb felügyeletet biztosítson az alkalmazáskezelés felett.

Az MDM alkalmazásvédelmi szabályzatokkal való használatának több előnye is van, és a vállalatok alkalmazásvédelmi szabályzatokat használhatnak MDM-ekkel és anélkül is. Vegyünk például egy olyan alkalmazottat, aki a vállalat által kiadott telefont és a saját személyes táblagépét is használja. A vállalati telefon regisztrálva van az MDM-ben, és alkalmazásvédelmi szabályzatok védik. A személyes eszközt csak alkalmazásvédelmi szabályzatok védik.

Ha az eszközállapot beállítása nélkül alkalmaz MAM-szabályzatot a felhasználóra, akkor a felhasználó a BYOD-on (saját eszköz használata) és a Intune által felügyelt eszközön is megkapja a MAM-szabályzatot. Mam-szabályzatokat is alkalmazhat az eszközfelügyeleti állapot alapján. További információ: Az eszközfelügyeleti állapoton alapuló alkalmazásvédelmi szabályzatok megcélzása. Alkalmazásvédelmi szabályzat létrehozásakor válassza a Nem lehetőséget a Cél minden alkalmazástípus mellett. Ezután tegye a következők egyikét:

  • Alkalmazzon kevésbé szigorú MAM-szabályzatot Intune felügyelt eszközökre, és alkalmazzon szigorúbb MAM-szabályzatot a nem MDM-ben regisztrált eszközökre.
  • Mam-szabályzat alkalmazása csak a nem regisztrált eszközökre.

Az alkalmazásvédelmi szabályzatok támogatott platformjai

Intune számos képességet kínál, amelyek segítenek a szükséges alkalmazások beszerzésében azokon az eszközökön, amelyeken futtatni szeretné őket. További információ: Alkalmazáskezelési képességek platform szerint.

Intune alkalmazásvédelmi szabályzatok platformtámogatása igazodik az Office mobilalkalmazás-platform androidos és iOS/iPadOS-eszközökhöz nyújtott támogatásához. Részletekért lásd az Office rendszerkövetelményeinekMobilalkalmazások szakaszát.

Emellett alkalmazásvédelmi szabályzatokat is létrehozhat Windows-eszközökhöz. Részletekért lásd: Alkalmazásvédelem windowsos eszközök használata.

Fontos

Az androidos alkalmazásvédelmi szabályzatok fogadásához az Intune Céges portál szükséges az eszközön.

Alkalmazásvédelem szabályzat adatvédelmi keretrendszere

Az alkalmazásvédelmi szabályzatokban elérhető választási lehetőségek lehetővé teszik a szervezetek számára, hogy a védelmet az igényeiknek megfelelően alakítsák. Előfordulhat, hogy egyes esetekben nem egyértelmű, hogy mely szabályzatbeállítások szükségesek egy teljes forgatókönyv implementálásához. Annak érdekében, hogy a szervezetek előnyben részesítsék a mobilügyfél-végpontok megerősítését, a Microsoft bevezeti az alkalmazásvédelmi szabályzatok adatvédelmi keretrendszerének osztályozását az iOS- és Android-mobilalkalmazás-felügyelethez.

Az alkalmazásvédelmi szabályzatok adatvédelmi keretrendszere három különböző konfigurációs szintbe van rendezve, és mindegyik szint az előző szintből épül fel:

  • Az alapszintű nagyvállalati adatvédelem (1. szint) biztosítja, hogy az alkalmazások PIN-kóddal legyenek védve, titkosítva legyenek, és szelektív adattörlési műveleteket hajtsanak végre. Android-eszközök esetén ez a szint ellenőrzi az Android-eszközök hitelesítését. Az 1. szintű konfiguráció egy bejegyzésszintű konfiguráció, amely hasonló adatvédelmi vezérlést biztosít Exchange Online postaláda-házirendekben, és bevezeti az informatikai és a felhasználói populációt az APP-ban.
  • A nagyvállalati továbbfejlesztett adatvédelem (2. szint) alkalmazásvédelmi szabályzatok adatszivárgás-megelőzési mechanizmusokat és minimális operációsrendszer-követelményeket vezet be. A 2. szintű konfiguráció a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére vonatkozik.
  • A nagyvállalati magas szintű adatvédelem (3. szint) fejlett adatvédelmi mechanizmusokat, továbbfejlesztett PIN-konfigurációt és alkalmazásvédelmi szabályzatokat vezet be a Mobile Threat Defenseben. A 3. szintű konfiguráció olyan felhasználók számára kívánatos, amelyek magas kockázatú adatokhoz férnek hozzá.

Az egyes konfigurációs szintekre vonatkozó konkrét javaslatok és a minimális mennyiségű védelemre szoruló alkalmazások megtekintéséhez tekintse át az Alkalmazásvédelmi házirendeket használó adatvédelmi keretrendszert ismertető cikket.

Hogyan védik az alkalmazásvédelmi szabályzatok az alkalmazásadatokat?

Alkalmazásvédelmi szabályzatok nélküli alkalmazások

Ha korlátozás nélkül használ alkalmazásokat, a vállalati és a személyes adatok nem lesznek korlátozva. A vállalati adatok olyan helyekre kerülhetnek, mint a személyes tárhely, vagy a purview-t meghaladó alkalmazásokba továbbíthatók, és adatvesztést okozhatnak. Az alábbi ábrán látható nyilak a vállalati és a személyes alkalmazások, valamint a tárolási helyek közötti korlátlan adatáthelyezési lehetőségeket mutatják be.

Fogalmi kép a szabályzatok nélküli alkalmazások közötti adatáthelyezési folyamathoz

Adatvédelem alkalmazásvédelmi szabályzatokkal

A Alkalmazásvédelem szabályzatokkal megakadályozhatja, hogy a vállalati adatok az eszköz helyi tárhelyére kerüljenek (lásd az alábbi képet).) Korlátozhatja az adatáthelyezési elemet más olyan alkalmazásokra is, amelyeket nem védenek Alkalmazásvédelem szabályzatok. Alkalmazásvédelem házirend-beállítások a következők:

  • Adatáthelyezési szabályzatok, például Szervezeti adatok másolatainak mentése és Kivágás, másolás és beillesztés korlátozása.
  • Hozzáférési szabályzat beállításai, például Egyszerű PIN-kód megkövetelése a hozzáféréshez és Felügyelt alkalmazások futtatásának letiltása feltört vagy feltört eszközökön.

Fogalmi kép, amely a szabályzatok által védett vállalati adatokat mutatja be

Adatvédelem alkalmazással az MDM-megoldás által felügyelt eszközökön

Az alábbi ábra az MDM- és Alkalmazásvédelem-szabályzatok által együtt kínált védelmi rétegeket mutatja be.

A Alkalmazásvédelem szabályzatok BYOD-eszközökön való működését bemutató kép

Az MDM-megoldás az alábbiak megadásával ad értéket:

  • Regisztrálja az eszközt
  • Az alkalmazások központi telepítése az eszközön
  • Folyamatos eszközmegfelelést és -felügyeletet biztosít

A Alkalmazásvédelem szabályzatok az alábbiak megadásával adnak értéket:

  • A vállalati adatok fogyasztói alkalmazásokba és szolgáltatásokba való kiszivárgásának védelme
  • Korlátozások, például mentés másként, vágólap vagy PIN-kód alkalmazása az ügyfélalkalmazásokra
  • Ha szükséges, törölje a vállalati adatokat az alkalmazásokból anélkül, hogy eltávolítaná ezeket az alkalmazásokat az eszközről

Adatvédelem appal regisztráció nélküli eszközökhöz

Az alábbi ábra bemutatja, hogyan működnek az adatvédelmi szabályzatok az alkalmazás szintjén MDM nélkül.

A Alkalmazásvédelem szabályzatok regisztráció nélküli (nem felügyelt) eszközökön való működését bemutató kép

Az MDM-megoldásban nem regisztrált BYOD-eszközök esetében Alkalmazásvédelem szabályzatok segíthetnek a vállalati adatok alkalmazásszintű védelmében. Vannak azonban olyan korlátozások, amelyeket érdemes figyelembe venni, például:

  • Az alkalmazások nincsenek üzembe helyezve az eszközön. A felhasználó lekéri az alkalmazásokat az áruházból.
  • A tanúsítványprofilok nincsenek kiépítve ezeken az eszközökön.
  • A vállalati Wi-Fi és VPN-beállítások nincsenek kiépítve ezeken az eszközökön.

Alkalmazásvédelmi szabályzatokkal kezelhető alkalmazások

Az Intune SDK-val integrálható vagy a Intune App Wrapping Tool által burkolt alkalmazások Intune alkalmazásvédelmi szabályzatokkal kezelhetők. Tekintse meg azon Microsoft Intune védett alkalmazások hivatalos listáját, amelyek ezeket az eszközöket használják, és nyilvánosan elérhetők.

A Intune SDK fejlesztői csapata aktívan teszteli és támogatja a natív Android és iOS/iPadOS (Obj-C, Swift) platformokon készült alkalmazásokat. Bár egyes ügyfelek sikeresen integrálták Intune SDK-t más platformokkal, például a React Native és a NativeScripttel, a támogatott platformoktól eltérő platformokat használó alkalmazásfejlesztők nem kapnak explicit útmutatást vagy beépülő modulokat.

Az alkalmazásvédelmi szabályzatok használatára vonatkozó felhasználói követelmények

Az alábbi lista az alkalmazásvédelmi szabályzatok Intune által felügyelt alkalmazásokra vonatkozó felhasználói követelményeket tartalmazza:

  • A felhasználónak Microsoft Entra fiókkal kell rendelkeznie. A Felhasználók hozzáadása és rendszergazdai engedély megadása Intune című cikkből megtudhatja, hogyan hozhat létre Intune felhasználókat Microsoft Entra ID.

  • A felhasználónak rendelkeznie kell Microsoft Intune Microsoft Entra-fiókjához rendelt licenccel. A Intune licencek felhasználókhoz rendeléséről a Intune licencek kezelése című témakörben olvashat.

  • A felhasználónak egy alkalmazásvédelmi szabályzattal megcélzott biztonsági csoporthoz kell tartoznia. Ugyanannak az alkalmazásvédelmi szabályzatnak a használt alkalmazást kell céloznia. Alkalmazásvédelem házirendek az Microsoft Intune Felügyeleti központban hozhatók létre és helyezhetők üzembe. A biztonsági csoportok jelenleg a Microsoft 365 Felügyeleti központ hozhatók létre.

  • A felhasználónak be kell jelentkeznie az alkalmazásba a Microsoft Entra fiókjával.

szabályzatok Alkalmazásvédelem Microsoft 365-alkalmazásokhoz

A Alkalmazásvédelem-szabályzatok Microsoft 365-ös (Office-) alkalmazásokkal való használatakor figyelembe kell vennie néhány további követelményt.

Fontos

Intune mobilalkalmazás-kezelést (MAM) Androidon Microsoft Entra ID Eszközregisztráció szükséges a Microsoft 365-alkalmazásokhoz. A biztonság javítása érdekében az Android-eszközöket regisztrálni kell az Microsoft Entra ID-ben, hogy továbbra is megkapják a Microsoft 365-alkalmazások MAM-szabályzatát.

Mam-szabályzattal megcélzott Microsoft 365-alkalmazások elérésekor a rendszer kérheti a felhasználók hitelesítését, ha az eszköz még nincs regisztrálva a Microsoft Entra ID. A felhasználóknak be kell fejezniük a hitelesítési és regisztrációs folyamatot a Microsoft 365 MAM-kompatibilis alkalmazásaik eléréséhez.

Képernyőkép az eszköz Intune való regisztrálásáról.

Ha engedélyezve vannak a feltételes hozzáférési szabályzatok vagy a többtényezős hitelesítés, az eszközöknek már regisztrálva kell lenniük, és a felhasználók nem fognak változást tapasztalni.

A regisztrált eszközök megtekintéséhez navigáljon a Microsoft Entra felügyeleti központ>> EszközökMinden eszköz jelentéshez, szűrjön operációs rendszer szerint, és rendezze a Regisztráltak szerint. További információ: Eszközidentitások kezelése az Microsoft Entra felügyeleti központ használatával.

Outlook mobilapp

Az Outlook mobilapp használatához a következőkre van szükség:

  • A felhasználónak telepítve kell lennie az Outlook mobilappnak az eszközén.

  • A felhasználónak rendelkeznie kell egy Microsoft 365 Exchange Online postaládával és licenccel, amely a Microsoft Entra-fiókjához van társítva.

    Megjegyzés:

    Az Outlook mobilalkalmazás jelenleg csak a hibrid modern hitelesítéssel rendelkező Microsoft Exchange Online és Exchange Server Intune App Protectiont támogatja, és nem támogatja az Exchange-et Office 365 Dedikált verzióban.

Word, Excel és PowerPoint

A Word, az Excel és a PowerPoint alkalmazás használatának követelményei a következők:

  • A felhasználónak rendelkeznie kell a Microsoft Entra-fiókjához társított licenccel Üzleti Microsoft 365-alkalmazások vagy nagyvállalati licenccel. Az előfizetésnek tartalmaznia kell a mobileszközökön futó Microsoft 365-alkalmazásokat, és tartalmazhat felhőalapú tárfiókot a Microsoft OneDrive-val. A Microsoft 365-licencek az alábbi utasításokMicrosoft 365 Felügyeleti központ rendelhetők hozzá.

  • A felhasználónak rendelkeznie kell egy felügyelt hellyel, amely a részletes Mentés másként funkcióval van konfigurálva a "Szervezeti adatok másolatainak mentése" alkalmazásvédelmi házirend-beállításban. Ha például a felügyelt hely a OneDrive, a OneDrive alkalmazást a felhasználó Word, Excelben vagy PowerPoint-appban kell konfigurálni.

  • Ha a felügyelt hely a OneDrive, az alkalmazást a felhasználó számára telepített alkalmazásvédelmi szabályzatnak kell céloznia.

    Megjegyzés:

    Az Office-mobilappok jelenleg csak a SharePoint Online-t támogatják, a helyszíni SharePointot nem.

Az Office-hoz szükséges felügyelt hely

Az Office-hoz felügyelt helyre (vagyis OneDrive-ra) van szükség. Intune az alkalmazásban lévő összes adatot "vállalati" vagy "személyes" megjelölésűként jelöli meg. Az adatok akkor minősülnek "vállalatinak", ha üzleti helyről származnak. A Microsoft 365-alkalmazások esetében a Intune a következőket tekintik üzleti helynek: e-mail -cím (Exchange) vagy felhőtárhely (OneDrive alkalmazás OneDrive munkahelyi vagy iskolai fiókkal).

Skype Vállalati verzió

A Skype Vállalati verzió használatának további követelményei vannak. Lásd: Skype Vállalati verzió licenckövetelmények. A Skype Vállalati verzió (SfB) hibrid és helyszíni konfigurációkkal kapcsolatban lásd: Hibrid modern hitelesítés az SfB-hez és az Exchange általánosan elérhető általánosan elérhető, a helyszíni SfB modern hitelesítése pedig Microsoft Entra ID.

Alkalmazásvédelem globális szabályzat

Ha egy OneDrive-rendszergazda megtekinti az admin.onedrive.com és kiválasztja az Eszközhozzáférés lehetőséget, beállíthatja a Mobilalkalmazás-felügyeleti vezérlőket a OneDrive- és SharePoint-ügyfélalkalmazásokra.

A OneDrive Rendszergazda konzolján elérhető beállítások egy speciális Intune alkalmazásvédelmi szabályzatot konfigurálnak, amelyet globális szabályzatnak neveznek. Ez a globális szabályzat a bérlő összes felhasználójára vonatkozik, és nem szabályozhatja a szabályzatok célzását.

Az engedélyezést követően az iOS/iPadOS és Android rendszerhez készült OneDrive- és SharePoint-alkalmazások alapértelmezés szerint a kiválasztott beállításokkal vannak védve. Az informatikai szakemberek szerkeszthetik ezt a házirendet a Microsoft Intune Felügyeleti központban, hogy több célzott alkalmazást vegyenek fel, és módosíthassák a házirend-beállításokat.

Alapértelmezés szerint bérlőnként csak egy globális szabályzat lehet. A Intune Graph API-k használatával azonban bérlőnként további globális szabályzatokat hozhat létre, de ez nem ajánlott. Az extra globális szabályzatok létrehozása nem ajánlott, mert egy ilyen szabályzat végrehajtásának hibaelhárítása bonyolulttá válhat.

Bár a globális szabályzat a bérlő összes felhasználójára vonatkozik, minden szabványos Intune alkalmazásvédelmi szabályzat felülbírálja ezeket a beállításokat.

Megjegyzés:

A OneDrive Rendszergazda Center házirend-beállításai már nem frissülnek. Microsoft Intune használható helyette. További információt a Funkciókhoz való hozzáférés szabályozása a OneDrive- és SharePoint-mobilalkalmazásokban című témakörben talál.

Alkalmazásvédelem funkciók

Többszörös identitás

A többszörös identitás támogatása lehetővé teszi, hogy egy alkalmazás több célközönséget is támogatjon. Ezek a célközönségek "vállalati" és "személyes" felhasználók is. A "vállalati" célközönségek munkahelyi és iskolai fiókokat használnak, míg a fogyasztói célközönségek, például a Microsoft 365 (Office) felhasználói személyes fiókokat használnak. A többszörös identitást támogató alkalmazások nyilvánosan is kiadhatók, ahol az alkalmazásvédelmi szabályzatok csak akkor érvényesek, ha az alkalmazást munkahelyi és iskolai ("vállalati") környezetben használják. A többszörös identitástámogatás az Intune SDK-val csak az alkalmazásba bejelentkezett munkahelyi vagy iskolai fiókra alkalmazza az alkalmazásvédelmi szabályzatokat. Ha egy személyes fiók be van jelentkezve az alkalmazásba, az adatok érintetlenek lesznek. Alkalmazásvédelem szabályzatokkal megakadályozhatja a munkahelyi vagy iskolai fiókadatok átvitelét a több identitást használó alkalmazáson belüli személyes fiókokba, más alkalmazásokban lévő személyes fiókokba vagy személyes alkalmazásokba.

Fontos

Függetlenül attól, hogy egy alkalmazás támogatja-e a többszörös identitást, csak egyetlen "vállalati" identitás rendelkezhet Intune alkalmazásvédelmi szabályzattal.

A "személyes" környezetre példaként tekintsünk egy olyan felhasználóra, aki új dokumentumot indít el Word, ez személyes környezetnek minősül, így Intune App Protection-szabályzatok nem lesznek alkalmazva. Miután a dokumentumot a "vállalati" OneDrive-fiókba mentette, a rendszer "vállalati" környezetnek tekinti, és Intune alkalmazásvédelmi szabályzatokat alkalmaz.

Tekintse meg az alábbi példákat a munkahelyi vagy a "vállalati" környezethez:

  • Egy felhasználó a munkahelyi fiókjával indítja el a OneDrive alkalmazást. A munkahelyi környezetben nem helyezhetnek át fájlokat személyes tárhelyre. Később, amikor a OneDrive-ot a személyes fiókjával együtt használják, korlátozás nélkül másolhatják és áthelyezhetik az adatokat a személyes OneDrive-jukról.
  • A felhasználók elkezdenek e-maileket piszkozatokat készíteni az Outlook alkalmazásban. A tárgy vagy az üzenettörzs feltöltése után a felhasználó nem tudja a FROM címet a munkahelyi környezetről a személyes környezetre váltani, mivel a tárgyat és az üzenettörzset az alkalmazásvédelmi szabályzat védi.

Megjegyzés:

Az Outlook a "személyes" és a "vállalati" e-maileket is tartalmazza. Ebben az esetben az Outlook app indításkor kéri a Intune PIN-kód megadását.

Fontos

Bár az Edge "vállalati" környezetben van, a felhasználók szándékosan áthelyezhetik a OneDrive "vállalati" környezeti fájljait egy ismeretlen személyes felhőtárhelyre. Ennek elkerülése érdekében lásd: Webhelyek kezelése fájlok feltöltésének engedélyezéséhez és az Edge engedélyezett/letiltott webhelylistájának konfigurálásához.

alkalmazás PIN-kód Intune

A személyes azonosítószám (PIN-kód) annak ellenőrzésére szolgál, hogy a megfelelő felhasználó hozzáfér-e a szervezet adataihoz egy alkalmazásban.

PIN-kód kérése
Intune a felhasználó alkalmazás PIN-kódjának megadását kéri, amikor a felhasználó a "vállalati" adatokhoz való hozzáférésre készül. Az olyan több identitást használó alkalmazásokban, mint a Word, az Excel vagy a PowerPoint, a felhasználónak pin-kódot kell kérnie, amikor megpróbál megnyitni egy "vállalati" dokumentumot vagy fájlt. Az egyszeres identitást használó alkalmazások, például a Intune App Wrapping Tool által felügyelt üzletági alkalmazások esetén a RENDSZER indításkor kéri a PIN-kódot, mert a Intune SDK tudja, hogy a felhasználói élmény az alkalmazásban mindig "vállalati".

PIN-kód kérése vagy vállalati hitelesítő adatok kérése, gyakoriság
A rendszergazda definiálhatja az Intune alkalmazásvédelmi szabályzat beállítását A hozzáférési követelmények ismételt ellenőrzése (perc) után a Microsoft Intune Felügyeleti központban. Ez a beállítás határozza meg, hogy mennyi idő után ellenőrizze a hozzáférési követelményeket az eszközön, és az alkalmazás PIN-kódjának képernyője vagy a vállalati hitelesítő adatok kérése ismét megjelenik. A PIN-kód fontos részletei azonban befolyásolják, hogy a rendszer milyen gyakran kéri a felhasználót:

  • A PIN-kód meg van osztva ugyanazon közzétevő alkalmazásai között a használhatóság javítása érdekében:
    iOS/iPadOS rendszeren egyetlen alkalmazás PIN-kódja van megosztva ugyanazon alkalmazás-közzétevő összes alkalmazása között. Például minden Microsoft-alkalmazás ugyanazt a PIN-kódot használja. Androidon egy alkalmazás PIN-kódja van megosztva az összes alkalmazás között.
  • Az eszköz újraindítása után ellenőrizze újra a hozzáférési követelményeket (percek) után:
    Az időzítő nyomon követi az inaktivitás perceinek számát, amelyek meghatározzák, hogy mikor jelenjen meg a Intune alkalmazás PIN-kódja vagy a vállalati hitelesítő adatokra vonatkozó kérés. iOS/iPadOS rendszeren az eszköz újraindítása nem befolyásolja az időzítőt. Így az eszköz újraindítása nincs hatással arra, hogy a felhasználó hány percig inaktív marad egy olyan iOS/iPadOS-alkalmazásból, amely Intune PIN-kódra (vagy vállalati hitelesítő adatokra) vonatkozó szabályzatot céloz meg. Android rendszeren az időzítő alaphelyzetbe áll az eszköz újraindításakor. Ezért a Intune PIN-kóddal (vagy vállalati hitelesítő adatokkal) rendelkező Android-alkalmazások valószínűleg egy alkalmazás PIN-kódját vagy vállalati hitelesítőadat-kérést kérnek, függetlenül attól, hogy az eszköz újraindítása után "A hozzáférési követelmények újraellenőrzése (perc) után".
  • A PIN-kódhoz társított időzítő működés közbeni jellege:
    Miután megadta a PIN-kódot egy alkalmazás (A alkalmazás) eléréséhez, és az alkalmazás elhagyja az előteret (a fő bemeneti fókuszt) az eszközön, az időzítő alaphelyzetbe áll az adott PIN-kódhoz. A PIN-kódot használó alkalmazások (B alkalmazás) nem kérik a felhasználótól a PIN-kód megadását, mert az időzítő alaphelyzetbe áll. A parancssor újra megjelenik, ha a "Hozzáférési követelmények újbóli ellenőrzése ennyi perc után", ismét teljesül.

iOS-/iPadOS-eszközök esetén, még ha a PIN-kód meg is van osztva a különböző közzétevőktől származó alkalmazások között, a rendszer akkor is újra megjelenik, ha a hozzáférési követelmények ismételt ellenőrzése ennyi perc után érték ismét teljesül a nem a fő beviteli fókuszban lévő alkalmazás esetében. Egy felhasználó például rendelkezik az X kiadó A és B alkalmazásával az Y közzétevőtől, és ez a két alkalmazás ugyanazt a PIN-kódot használja. A felhasználó az A alkalmazásra (előtér) összpontosít, és a B alkalmazás kis méretűre van állítva. Miután a hozzáférési követelmények újraellenőrzése (perc) érték teljesült, és a felhasználó átvált a B alkalmazásra, a PIN-kód megadása kötelező.

Megjegyzés:

Ha gyakrabban szeretné ellenőrizni a felhasználó hozzáférési követelményeit (azaz PIN-kódot kér), különösen a gyakran használt alkalmazások esetében, csökkentse a "Hozzáférési követelmények ismételt ellenőrzése ennyi perc után (perc)" beállítás értékét.

Beépített app PIN-jei az Outlookhoz és a OneDrive-hoz
A Intune PIN-kód egy inaktivitásalapú időzítő alapján működik (a hozzáférési követelmények ismételt ellenőrzése ennyi idő után (perc)). Így Intune PIN-kódra vonatkozó kérések az Outlook és a OneDrive beépített PIN-kód-kéréseitől függetlenül jelennek meg, amelyek gyakran alapértelmezés szerint az alkalmazások indításához kapcsolódnak. Ha a felhasználó egyidejűleg mindkét PIN-kódot kéri, a várt viselkedés az, hogy a Intune PIN-kód elsőbbséget élvez.

PIN-kód biztonságának Intune
A PIN-kód arra szolgál, hogy csak a megfelelő felhasználó férhessen hozzá a szervezet adataihoz az alkalmazásban. Ezért a felhasználónak be kell jelentkeznie a munkahelyi vagy iskolai fiókjával, mielőtt beállíthatja vagy alaphelyzetbe állíthatja Intune alkalmazás PIN-kódját. Microsoft Entra ID biztonságos jogkivonatcserén keresztül kezeli ezt a hitelesítést, és a Intune SDK nem látja. Biztonsági szempontból a munkahelyi vagy iskolai adatok védelmének legjobb módja az adatok titkosítása. A titkosítás nem az alkalmazás PIN-kódjával kapcsolatos, hanem a saját alkalmazásvédelmi szabályzata.

A találgatásos támadásokkal és a Intune PIN-kóddal szembeni védelem
Az alkalmazás PIN-kód-szabályzatának részeként a rendszergazda beállíthatja, hogy a felhasználó legfeljebb hányszor próbálja meg hitelesíteni a PIN-kódját az alkalmazás zárolása előtt. A kísérletek száma után a Intune SDK törölheti az alkalmazás "vállalati" adatait.

PIN-kód Intune és szelektív törlés
iOS/iPadOS rendszeren az alkalmazásszintű PIN-kód adatai abban a kulcskarikában tárolódnak, amelyet ugyanazzal a közzétevővel rendelkező alkalmazások, például az összes belső Microsoft-alkalmazás között osztanak meg. Ezek a PIN-kódok egy felhasználói fiókhoz is kapcsolódnak. Egy alkalmazás szelektív törlése nincs hatással egy másik alkalmazásra.

A bejelentkezett felhasználó outlookos PIN-kódkészletét például egy megosztott kulcslánc tárolja. Amikor a felhasználó bejelentkezik a OneDrive-ba (amelyet szintén a Microsoft tett közzé), ugyanazt a PIN-kódot látja, mint az Outlook, mivel ugyanazt a megosztott kulcsláncot használja. Ha kijelentkezik az Outlookból, vagy törli a felhasználói adatokat az Outlookban, a Intune SDK nem törli a kulcskarikát, mert a OneDrive továbbra is használhatja ezt a PIN-kódot. Emiatt a szelektív törlés nem törli a megosztott kulcskarikát, beleértve a PIN-kódot sem. Ez a viselkedés akkor is ugyanaz marad, ha egy közzétevő csak egy alkalmazása létezik az eszközön.

Mivel a PIN-kódot ugyanazzal a közzétevővel rendelkező alkalmazások között osztják meg, ha a törlés egyetlen alkalmazásba kerül, a Intune SDK nem tudja, hogy vannak-e más alkalmazások az eszközön ugyanazzal a közzétevővel. Így a Intune SDK nem törli a PIN-kódot, mivel továbbra is használható más alkalmazásokhoz. Az elvárás az, hogy az alkalmazás PIN-kódja törlődik, amikor a közzétevő utolsó alkalmazását végül eltávolítják az operációs rendszer bizonyos karbantartása során.

Ha azt tapasztalja, hogy egyes eszközökön a PIN-kód törlődik, a következő viselkedés történik: Mivel a PIN-kód egy identitáshoz van kötve, ha a felhasználó a törlés után egy másik fiókkal jelentkezik be, a rendszer új PIN-kód megadását kéri. Ha azonban egy korábban már meglévő fiókkal jelentkeznek be, a kulcskarikán tárolt PIN-kód használható a bejelentkezéshez.

Kétszer állít be PIN-kódot ugyanabból a közzétevőből származó alkalmazásokra?
A MAM (iOS/iPadOS rendszeren) jelenleg lehetővé teszi az alkalmazásszintű PIN-kódot alfanumerikus és speciális karakterekkel (úgynevezett "PIN-kód"), amelyhez az alkalmazások (azaz WXP, Outlook, Viva Engage) részvétele szükséges az iOS-hez készült Intune SDK integrálásához. Enélkül a pin-kód beállításai nem lesznek megfelelően kikényszerítve a megcélzott alkalmazásokhoz. Ez a funkció az iOS Intune SDK 7.1.12-s verzióban jelent meg.

A funkció támogatásához és az iOS/iPadOS-hez készült Intune SDK korábbi verzióival való kompatibilitás biztosítása érdekében a 7.1.12- vagy újabb verziókban az összes PIN-kód (numerikus vagy pin-kód) külön lesz kezelve az SDK korábbi verzióiban használt numerikus PIN-kódtól. Az iOS Intune 14.6.0-s verziójához készült SDK-ban egy másik változás jelent meg, amely miatt a 14.6.0-s vagy újabb verziókban az összes PIN-elemet külön kell kezelni az SDK korábbi verzióiban használt PIN-kódoktól.

Ezért ha egy eszköz Intune iOS-es verziójú, 7.1.12-es és 7.1.12-es verziót követő alkalmazásokkal rendelkezik ugyanabból a közzétevőből (vagy a 14.6.0-s és a 14.6.0-s verziót követő verziókból), két PIN-elemet kell beállítania. A két PIN-szám (minden alkalmazáshoz) semmilyen módon nem kapcsolódik (vagyis meg kell felelnie az alkalmazásra alkalmazott alkalmazásvédelmi szabályzatnak). Így ha az A és a B alkalmazásra ugyanazok a szabályzatok vonatkoznak (a PIN-kódra vonatkozóan), a felhasználó kétszer állíthatja be ugyanazt a PIN-kódot.

Ez a viselkedés az Intune Mobile App Managementtel engedélyezett iOS-/iPadOS-alkalmazások PIN-kódjára jellemző. Idővel, amikor az alkalmazások az iOS/iPadOS rendszerhez készült Intune SDK újabb verzióit vezetik be, az ugyanabból a közzétevőből származó alkalmazásokon kétszer kell pin-kódot beállítania, kisebb problémát jelent.

Megjegyzés:

Ha például az A alkalmazás 7.1.12-es (vagy 14.6.0-s) előtti verzióval készült, és a B alkalmazás 7.1.12-nél (vagy 14.6.0-nál) régebbi verzióval készült ugyanabból a közzétevőből, a felhasználónak külön kell beállítania a PIN-kódokat az A és a B számára, ha mindkettő iOS/iPadOS-eszközön van telepítve.

Ha az eszközön telepítve van egy 7.1.9-es (vagy 14.5.0-s) SDK-verziójú C alkalmazás, ugyanazzal a PIN-kóddal rendelkezik, mint az A alkalmazás.

A 7.1.14-zel (vagy 14.6.2-vel) készült D alkalmazás ugyanazt a PIN-kódot használja, mint a B alkalmazás.

Ha az A és a C alkalmazás telepítve van egy eszközön, akkor egy PIN-kódot kell beállítani. Ugyanez vonatkozik arra az esetre, ha a B és a D alkalmazás telepítve van egy eszközön.

Alkalmazásadatok titkosítása

A rendszergazdák olyan alkalmazásvédelmi szabályzatot telepíthetnek, amely megköveteli az alkalmazásadatok titkosítását. A szabályzat részeként a rendszergazda azt is megadhatja, hogy mikor legyen titkosítva a tartalom.

Hogyan Intune adattitkosítási folyamat?
A titkosítási alkalmazásvédelmi szabályzat beállításával kapcsolatos részletes információkért tekintse meg az Android alkalmazásvédelmi szabályzatának beállításait és az iOS/iPadOS alkalmazásvédelmi házirend-beállításait .

Titkosított adatok
Csak a "vállalatiként" megjelölt adatok vannak titkosítva a rendszergazda alkalmazásvédelmi szabályzatának megfelelően. Az adatok akkor minősülnek "vállalatinak", ha üzleti helyről származnak. A Microsoft 365-alkalmazások esetében Intune a következőket tekintik üzleti helyeknek:

  • Email (Exchange)
  • Felhőtárhely (OneDrive app munkahelyi vagy iskolai OneDrive-fiókkal)

A Intune App Wrapping Tool által felügyelt üzletági alkalmazások esetében az összes alkalmazásadat "vállalatinak" minősül.

Szelektív törlés

Adatok távoli törlése
Intune az alkalmazásadatok három különböző módon törölhetők:

  • Teljes eszköztörlés
  • Szelektív törlés az MDM-hez
  • MAM szelektív törlése

Az MDM távoli törlésével kapcsolatos további információkért lásd: Eszközök eltávolítása törléssel vagy kivonással. A MAM használatával végzett szelektív törlésről további információt a Kivonás művelet és a Csak a vállalati adatok törlése alkalmazásokból című cikkben talál.

Az eszköz teljes törlése eltávolítja az összes felhasználói adatot és beállítást az eszköz gyári alapértelmezett beállításainak visszaállításával. Az eszköz el lesz távolítva a Intune.

Megjegyzés:

A teljes eszköztörlés és az MDM szelektív törlése csak az Intune mobileszköz-felügyelettel (MDM) regisztrált eszközökön érhető el.

Szelektív törlés az MDM-hez
A céges adatok eltávolításáról az Eszközök eltávolítása – kivonás című témakörben olvashat.

Szelektív törlés MAM esetén
A MAM szelektív törlése eltávolítja a vállalati alkalmazásadatokat egy alkalmazásból. A kérés a Intune használatával kezdeményezhető. A törlési kérés kezdeményezéséről a Csak a vállalati adatok törlése alkalmazásokból című témakörben olvashat.

Ha a felhasználó szelektív törlés kezdeményezésekor használja az alkalmazást, a Intune SDK 30 percenként ellenőrzi a Intune MAM szolgáltatás szelektív törlési kérését. A szelektív törlést is ellenőrzi, amikor a felhasználó első alkalommal indítja el az alkalmazást, és bejelentkezik a munkahelyi vagy iskolai fiókjával.

Ha a helyszíni (helyszíni) szolgáltatások nem működnek Intune védett alkalmazásokkal
Intune alkalmazásvédelem a felhasználó identitásától függ, hogy konzisztens legyen az alkalmazás és a Intune SDK között. Ezt csak a modern hitelesítéssel garantálhatja. Vannak olyan forgatókönyvek, amelyekben az alkalmazások együttműködhetnek egy helyszíni konfigurációval, de nem konzisztensek vagy garantáltak.

Webes hivatkozások biztonságos megnyitása felügyelt alkalmazásokból
A rendszergazda alkalmazásvédelmi szabályzatot telepíthet és állíthat be a Microsoft Edge böngészőhöz, amely könnyen kezelhető Intune. A rendszergazda megkövetelheti, hogy a Intune által felügyelt alkalmazások összes webes hivatkozása a Microsoft Edge használatával nyíljon meg.

iOS-eszközök Alkalmazásvédelem felülete

Eszköz ujjlenyomata vagy arcazonosítója

Intune alkalmazásvédelmi szabályzatok csak a Intune licenccel rendelkező felhasználó számára engedélyezik az alkalmazás-hozzáférés vezérlését. Az alkalmazáshoz való hozzáférés szabályozásának egyik módja, ha az Apple Touch ID vagy Face ID azonosítóját igényli a támogatott eszközökön. Intune olyan viselkedést valósít meg, amelyben az eszköz biometrikus adatbázisának módosítása esetén Intune pin-kódot kér a felhasználótól, amikor a következő tétlenségi időtúllépési érték teljesül. A biometrikus adatok változásai közé tartozik az ujjlenyomat vagy az arc hozzáadása vagy eltávolítása. Ha a Intune felhasználó nem rendelkezik PIN-kóddal, a rendszer egy Intune PIN-kódot állít be.

Ennek a folyamatnak az a célja, hogy továbbra is biztonságosan és az alkalmazás szintjén védve tartsa a szervezet adatait az alkalmazásban. Ez a funkció csak iOS/iPadOS rendszeren érhető el, és az iOS/iPadOS Intune SDK 9.0.1-es vagy újabb verzióját integráló alkalmazások részvételét igényli. Az SDK integrációjára azért van szükség, hogy a viselkedés kényszeríthető legyen a megcélzott alkalmazásokon. Ez az integráció gördülő alapon történik, és az adott alkalmazáscsapatoktól függ. A programban részt vevő alkalmazások közé tartozik például a WXP, az Outlook és a Viva Engage.

iOS-megosztási bővítmény

Az iOS/iPadOS megosztási bővítmény használatával megnyithatja a munkahelyi vagy iskolai adatokat nem felügyelt alkalmazásokban, még akkor is, ha az adatátviteli szabályzat csak felügyelt alkalmazásokra van beállítva, vagy nem. Intune alkalmazásvédelmi szabályzat nem tudja vezérelni az iOS/iPadOS megosztási bővítményt az eszköz kezelése nélkül. Ezért Intune titkosítja a "vállalati" adatokat, mielőtt megosztanák azokat az alkalmazáson kívül. Ellenőrizze ezt a titkosítási viselkedést úgy, hogy megpróbál megnyitni egy "vállalati" fájlt a felügyelt alkalmazáson kívül. A fájlnak titkosítva kell lennie, és nem nyitható meg a felügyelt alkalmazáson kívül.

Alapértelmezés szerint Intune alkalmazásvédelmi szabályzatok megakadályozzák a jogosulatlan alkalmazástartalmakhoz való hozzáférést. Az iOS/iPadOS rendszerben bizonyos tartalmakat vagy alkalmazásokat univerzális hivatkozások használatával nyithat meg.

A felhasználók letilthatják az alkalmazások univerzális hivatkozásait, ha felkeresik őket a Safariban, és a Megnyitás új lapon vagy a Megnyitás lehetőséget választják. Az univerzális hivatkozások Intune alkalmazásvédelmi szabályzatokkal való használatához fontos újra engedélyezni az univerzális hivatkozásokat. A felhasználónak meg kell nyitnia az<alkalmazás nevét> a Safariban, miután hosszú ideig lenyomta a megfelelő hivatkozást. Ez arra kéri a védett alkalmazásokat, hogy az összes univerzális hivatkozást az eszközön lévő védett alkalmazáshoz irányítják.

Több Intune alkalmazásvédelmi hozzáférési beállítás ugyanazon alkalmazás- és felhasználókészlethez

Intune hozzáférésre vonatkozó alkalmazásvédelmi szabályzatok adott sorrendben lesznek alkalmazva a felhasználói eszközökön, amikor a vállalati fiókjukból próbálnak elérni egy célzott alkalmazást. Általánosságban elmondható, hogy a törlés elsőbbséget élvez, amelyet egy blokk, majd egy elutasítható figyelmeztetés követ. Ha például az adott felhasználóra/alkalmazásra vonatkozik, egy minimális iOS/iPadOS operációsrendszer-beállítás lép érvénybe, amely arra figyelmezteti a felhasználót, hogy frissítse az iOS/iPadOS-verziót a felhasználó hozzáférését letiltó minimális iOS/iPadOS operációsrendszer-beállítás után. Tehát abban a forgatókönyvben, amikor a rendszergazda a minimális iOS operációs rendszert 11.0.0.0-ra, a minimális iOS operációs rendszert (csak figyelmeztetés) pedig 11.1.0.0-ra konfigurálja, miközben az alkalmazáshoz hozzáférni próbáló eszköz iOS 10-en volt, a felhasználó a minimális iOS operációsrendszer-verzió korlátozóbb beállítása alapján lesz letiltva, amely letiltotta a hozzáférést.

A különböző típusú beállítások kezelésekor az SDK-verzióra vonatkozó Intune követelmények elsőbbséget élveznek, majd egy alkalmazásverzióra vonatkozó követelmény, amelyet az iOS/iPadOS operációs rendszer verziókövetelménye követ. Ezután az ugyanabban a sorrendben található összes beállításra vonatkozó figyelmeztetéseket ellenőrzi a rendszer. A Intune SDK-verzióra vonatkozó követelményt csak az Intune termékcsapatának útmutatása alapján konfigurálja az alapvető blokkolási forgatókönyvekhez.

androidos eszközök Alkalmazásvédelem élménye

Megjegyzés:

Alkalmazásvédelem szabályzatok nem támogatottak Intune felügyelt, dedikált Android Enterprise-eszközökön, megosztott eszköz mód nélkül. Ezeken az eszközökön Céges portál telepítésre van szükség ahhoz, hogy az alkalmazásvédelmi szabályzatok letiltsa a szabályzatot a felhasználóra gyakorolt hatás nélkül. Alkalmazásvédelem szabályzatok támogatottak Intune felügyelt Android Enterprise dedikált eszközökön megosztott eszköz módban, valamint a megosztott eszköz módot használó, felhasználó nélküli AOSP-eszközökön. Bár Alkalmazásvédelem szabályzatok támogatottak megosztott eszköz módban, kivételt képeznek, ha az androidos Alkalmazásvédelem házirend az alábbi beállítások valamelyikét kényszeríti ki:

  • PIN-kód a hozzáféréshez
  • Munkahelyi vagy iskolai fiók hitelesítő adatai a hozzáféréshez

Ebben az esetben, ha egy felhasználó le van tiltva a PIN-kód alaphelyzetbe állítási folyamata során, a fiók eltávolítása gombbal kell feloldania a tiltást.

Microsoft Teams Android-eszközök

A Microsoft Teams Android-eszközökön futó Teams alkalmazás nem támogatja az alkalmazásvédelmi szabályzatokat (nem kapja meg a szabályzatot az Céges portál alkalmazáson keresztül). Ez azt jelenti, hogy az alkalmazásvédelmi szabályzat beállításai nem lesznek alkalmazva a Teamsre a Microsoft Teams Android-eszközökön. Ha ezekhez az eszközökhöz alkalmazásvédelmi szabályzatok vannak konfigurálva, fontolja meg a Teams-eszközfelhasználók egy csoportjának létrehozását, és zárja ki ezt a csoportot a kapcsolódó alkalmazásvédelmi szabályzatokból. Emellett érdemes lehet módosítani a Intune regisztrációs házirendet, a feltételes hozzáférési szabályzatokat és a Intune megfelelőségi szabályzatokat, hogy azok tartalmazzák a támogatott beállításokat. Ha nem tudja módosítani a meglévő szabályzatokat, konfigurálnia kell (kizárási) eszközszűrőket. Ellenőrizze az egyes beállításokat a meglévő feltételes hozzáférési konfigurációban, és Intune megfelelőségi szabályzatot, hogy megtudja, nem támogatott beállításokat tartalmaz-e. További információ: Támogatott feltételes hozzáférés és Intune eszközmegfelelési szabályzatok Microsoft Teams Konferencia és Teams Android-eszközökhöz. A Microsoft Teams Konferencia kapcsolatos információkért lásd: Feltételes hozzáférés és Intune megfelelőség Microsoft Teams Konferencia.

Eszköz biometrikus hitelesítése

A biometrikus hitelesítést támogató Android-eszközök esetén a felhasználók az Android-eszközük által támogatottaktól függően használhatják az ujjlenyomatot vagy a Face Unlockt. Konfigurálja, hogy az ujjlenyomaton kívül minden biometrikus típus használható-e a hitelesítéshez. Az Ujjlenyomat- és arcfeloldás csak az ilyen biometrikus típusokat támogató és az Android megfelelő verzióját futtató eszközökhöz érhető el. Az ujjlenyomathoz Android 6 és újabb, az Arcfeloldáshoz pedig Android 10 és újabb verziók szükségesek.

Céges portál alkalmazás- és Intune-alkalmazásvédelem

Az alkalmazásvédelmi funkciók nagy része be van építve az Céges portál alkalmazásba. Az eszközregisztráció nem szükséges* annak ellenére, hogy a Céges portál alkalmazásra mindig szükség van. Mobilalkalmazás-kezelés (MAM) esetén a felhasználónak telepítve kell lennie a Céges portál alkalmazásnak az eszközön.

Több Intune alkalmazásvédelmi hozzáférési beállítás ugyanazon alkalmazás- és felhasználókészlethez

Intune hozzáférésre vonatkozó alkalmazásvédelmi szabályzatok adott sorrendben lesznek alkalmazva a felhasználói eszközökön, amikor a vállalati fiókjukból próbálnak elérni egy célzott alkalmazást. A blokkok általában elsőbbséget élveznek, majd elutasítható figyelmeztetést jelentenek. Ha például az adott felhasználóra/alkalmazásra vonatkozik, akkor a felhasználót a felhasználónak a javításfrissítésre figyelmeztető minimális Android-javításverzió-beállítás alkalmazása a felhasználó hozzáférését letiltó minimális Android-javításverzió-beállítás után lép érvénybe. Tehát abban a forgatókönyvben, amikor a rendszergazda a minimális Android-javításverziót és a minimális Android-javításverziót 2018-03-01 (csak figyelmeztetés) 2018-02-01értékre konfigurálja, miközben az alkalmazást elérni próbáló eszköz egy javítási verzión 2018-01-01volt, a felhasználó a minimális Android-javítás verziójának szigorúbb beállítása alapján lesz letiltva, amely letiltott hozzáférést eredményez.

A különböző típusú beállítások kezelésekor az alkalmazásverzióra vonatkozó követelmények elsőbbséget élveznek, amelyet az Android operációs rendszer verziókövetelménye és az Android-javítások verziókövetelménye követ. Ezután a rendszer minden figyelmeztetést ugyanabban a sorrendben ellenőriz minden beállítástípus esetében.

Intune alkalmazásvédelmi szabályzatok és a Google Play eszközintegritási ellenőrzése Android-eszközökön

Intune alkalmazásvédelmi szabályzatok lehetővé teszik a rendszergazdák számára, hogy megkövetelje a felhasználói eszközöktől a Google Play eszközintegritási ellenőrzésének átadását androidos eszközök esetén. Az új Google Play-szolgáltatásmeghatározást a rendszer a Intune szolgáltatás által meghatározott időközönként jelenti a rendszergazdának. Milyen gyakran történik a szolgáltatáshívás szabályozása a terhelés miatt, ezért ez az érték belsőleg van fenntartva, és nem konfigurálható. A Google-eszközintegritási beállítás rendszergazda által konfigurált összes művelete a feltételes indításkor az Intune szolgáltatásnak küldött utolsó jelentett eredmény alapján történik. Ha nincsenek adatok, a hozzáférés attól függően engedélyezett, hogy más feltételes indítási ellenőrzések nem hiúsulnak meg, és a Google Play szolgáltatás "roundtrip" az igazolási eredmények meghatározásához a háttérrendszerben kezdődik, és aszinkron módon kéri a felhasználót, ha az eszköz meghibásodik. Ha elavult adatokról van szó, a hozzáférés az utolsó jelentett eredménytől függően le van tiltva vagy engedélyezve van, és ehhez hasonlóan elindul egy Google Play szolgáltatás "roundtrip" az igazolási eredmények meghatározásához, és aszinkron módon kéri a felhasználót, ha az eszköz meghibásodik.

Intune alkalmazásvédelmi szabályzatok és a Google Verify Apps API androidos eszközökhöz

Intune alkalmazásvédelmi szabályzatok lehetővé teszik a rendszergazdák számára, hogy megköveteljék a felhasználói eszközöktől, hogy jeleket küldjenek a Google Verify Apps API-ján keresztül Android-eszközökhöz. Ennek módjára vonatkozó utasítások eszközönként kissé eltérnek. Az általános folyamat része a Google Play Áruház megnyitása, majd a Saját alkalmazások & játékok kiválasztása, majd a legutóbbi alkalmazásvizsgálat eredményeinek kiválasztása, amely a Védelem lejátszása menübe nyitja meg. Győződjön meg arról, hogy az Eszköz biztonsági fenyegetések keresése kapcsoló be van kapcsolva.

A Google Play Integrity API-ja

Intune a Google Play Integrity API-jait használja a regisztráció nélküli eszközök meglévő gyökérészlelési ellenőrzéséhez való hozzáadásához. A Google az Android-alkalmazásokhoz készült API-készletet fejleszti és tartja karban, ha nem szeretné, hogy az alkalmazások rootolt eszközökön fussanak. Az Android Pay alkalmazás például ezt tartalmazza. Bár a Google nem osztja meg nyilvánosan az elvégzett gyökérészlelési ellenőrzések teljes egészét, ezek az API-k észlelik az eszközeiket gyökerező felhasználókat. Ezeket a felhasználókat ezután letilthatja a hozzáférésük, vagy a vállalati fiókjuk törölhető a szabályzatot engedélyező alkalmazásaikból. Az alapvető integritás ellenőrzése tájékoztatja az eszköz általános integritásáról. A feltört eszközök, emulátorok, virtuális eszközök és illetéktelen módosításra utaló jeleket tartalmazó eszközök alapvető integritása meghiúsul. Ellenőrizze az alapvető integritást, & hitelesített eszközök tájékoztatják az eszköz és a Google szolgáltatásainak kompatibilitásáról. Ezt az ellenőrzést csak a Google által hitelesített, nem módosított eszközök tudják átadni. A sikertelen eszközök közé tartoznak a következők:

  • Alapszintű integritást nem használó eszközök
  • Zárolt rendszertöltővel rendelkező eszközök
  • Egyéni rendszerképpel/ROM-tal rendelkező eszközök
  • Azok az eszközök, amelyeket a gyártó nem igényelt vagy nem adott át Google-minősítést
  • Közvetlenül az Android nyílt forráskódú program forrásfájljaiból létrehozott rendszerképpel rendelkező eszközök
  • Bétaverziós/fejlesztői előzetes verziójú rendszerképpel rendelkező eszközök

Technikai részletekért tekintse meg a Google play integrity API-jának dokumentációját .

Az integritási ítélet és a "feltört/rootolt eszközök" beállítás lejátszása

A játékintegritási ítélet megköveteli, hogy a felhasználó online állapotban legyen, legalább abban az időszakban, amikor az igazolási eredmények meghatározásához szükséges "roundtrip" végre lesz hajtva. Ha a felhasználó offline állapotban van, a rendszergazda továbbra is számíthat arra, hogy a rendszer kényszeríti az eredményt a feltört/rootolt eszközök beállításából. Ha azonban a felhasználó túl sokáig marad offline állapotban, az Offline türelmi időszak érték lép életbe, és a munkahelyi vagy iskolai adatokhoz való minden hozzáférés le lesz tiltva az időzítő értékének elérése után, amíg a hálózati hozzáférés elérhetővé nem válik. Mindkét beállítás bekapcsolása lehetővé teszi a felhasználói eszközök kifogástalan állapotának megőrzését szolgáló rétegzett megközelítést, ami akkor fontos, ha a felhasználók mobileszközökön férnek hozzá a munkahelyi vagy iskolai adatokhoz.

Google Play Protect API-k és Google Play-szolgáltatások

A Google Play Protect API-kat használó alkalmazásvédelmi házirend-beállítások működéséhez a Google Play Services szükséges. A Play integritási ítéletének és az alkalmazások fenyegetésvizsgálatának beállításaihoz a Google Play-szolgáltatások Google által meghatározott verziójának megfelelően kell működnie. Mivel ezek a beállítások a biztonság területére esnek, a rendszer letiltja a felhasználót, ha ezekkel a beállításokkal van megcélzva, és nem felel meg a Google Play-szolgáltatások megfelelő verziójának, vagy nem fér hozzá a Google Play Szolgáltatásokhoz.

windowsos eszközök Alkalmazásvédelem felülete

A szabályzatbeállításoknak két kategóriája van: adatvédelem és állapot-ellenőrzések. A szabályzattal felügyelt alkalmazás kifejezés az alkalmazásvédelmi szabályzatokkal konfigurált alkalmazásokra vonatkozik.

Adatvédelem

Az adatvédelmi beállítások hatással vannak a szervezeti adatokra és a környezetre. Rendszergazdaként szabályozhatja, hogy az adatok a szervezet védelmének környezetébe és azon kívülre kerülnek. A szervezeti környezetet a megadott szervezeti fiók által elért dokumentumok, szolgáltatások és webhelyek határozzák meg. Az alábbi szabályzatbeállítások segítenek szabályozni a szervezeti környezetbe érkező külső adatokat és a szervezeti környezetből küldött szervezeti adatokat.

Állapotellenőrzések

Az állapot-ellenőrzések lehetővé teszik a feltételes indítási képességek konfigurálását. Ehhez meg kell adnia az alkalmazásvédelmi szabályzat állapot-ellenőrzési feltételeit. Válasszon ki egy beállítást , és adja meg azt az értéket , amelyet a felhasználóknak meg kell felelniük a szervezeti adatok eléréséhez. Ezután válassza ki azt a műveletet , amelyet akkor szeretne elvégezni, ha a felhasználók nem felelnek meg a feltételes feltételeknek. Bizonyos esetekben több művelet is konfigurálható egyetlen beállításhoz.

Következő lépések

Alkalmazásvédelmi szabályzatok létrehozása és telepítése Microsoft Intune

Androidos alkalmazásvédelmi szabályzatok elérhető beállításai a Microsoft Intune

Az iOS/iPadOS alkalmazásvédelmi szabályzatának elérhető beállításai a Microsoft Intune

  • Last updated on