Gyakori kérdések a MAM-ról és az alkalmazásvédelemről

Ez a cikk választ ad Intune mobilalkalmazás-kezeléssel (MAM) és Intune alkalmazásvédelemmel kapcsolatos gyakori kérdésekre.

A MAM alapjai

Mi az a MAM?

A MAM áttekintése

Alkalmazásvédelmi szabályzatok

Mik azok az alkalmazásvédelmi házirendek?

Alkalmazásvédelem szabályzatok olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságban legyenek vagy egy felügyelt alkalmazásban legyenek tárolva. A szabályzat olyan szabály, amelyet Intune érvényesíteni, amikor a felhasználó megpróbál hozzáférni vagy áthelyezni a "vállalati" adatokat. Olyan műveleteket is meghatározhat, amelyek Intune blokkolják vagy figyelik a felhasználót az alkalmazásban.

Mik az alkalmazásvédelmi szabályzatok példái?

Az egyes alkalmazásvédelmi házirend-beállításokkal kapcsolatos részletekért lásd: Az Android alkalmazásvédelmi szabályzatának beállításai és az iOS/iPadOS alkalmazásvédelmi szabályzatbeállításai.

Lehetséges, hogy az MDM- és MAM-szabályzatok egyszerre vannak alkalmazva ugyanarra a felhasználóra, különböző eszközökre?

Ha a felhasználóra az eszközfelügyeleti állapot beállítása nélkül alkalmaz MAM-szabályzatot, akkor a felhasználó a személyes eszközön is megkapja a MAM-szabályzatot, más néven a saját eszközökre (BYOD) és a Intune által felügyelt eszközre. Mam-szabályzatot az eszközfelügyeleti állapot alapján is alkalmazhat. Így amikor alkalmazásvédelmi szabályzatot hoz létre, a Target to apps on all device types (Célalkalmazások az összes eszköztípuson) elem mellett válassza a Nem lehetőséget. Ezután válasszon az alábbi lehetőségek közül:

• Alkalmazzon kevésbé szigorú MAM-szabályzatot Intune felügyelt eszközökre, és alkalmazzon szigorúbb MAM-szabályzatot a nem MDM-ben regisztrált eszközökre.
• Egyformán szigorú MAM-szabályzat alkalmazása Intune felügyelt eszközökre és a nem Microsoft által felügyelt eszközökre.
• Mam-szabályzat alkalmazása csak a nem regisztrált eszközökre.

További információ: Alkalmazásvédelmi szabályzatok monitorozása.

Alkalmazásvédelmi szabályzatokkal kezelhető alkalmazások

Mely alkalmazásokat lehet alkalmazásvédelmi szabályzatokkal kezelni?

A Intune App SDK-val integrált vagy a Intune App Wrapping Tool által burkolt alkalmazások Intune alkalmazásvédelmi szabályzatokkal kezelhetők. Tekintse meg a nyilvánosan elérhető Intune által felügyelt alkalmazások hivatalos listáját.

Mik az alkalmazásvédelmi szabályzatok Intune által felügyelt alkalmazásokon való használatának alapkövetelményei?

• A végfelhasználónak rendelkeznie kell egy Microsoft Entra fiókkal. A Intune felhasználók Microsoft Entra ID való létrehozásáról további információt a Felhasználók hozzáadása és rendszergazdai engedély megadása Intune című témakörben talál.

• A végfelhasználónak rendelkeznie kell Microsoft Intune Microsoft Entra-fiókjához rendelt licenccel. A Intune licencek végfelhasználókhoz való hozzárendeléséről további információt a Intune licencek kezelése című témakörben talál.

• A végfelhasználónak egy alkalmazásvédelmi szabályzattal megcélzott biztonsági csoporthoz kell tartoznia. Ugyanannak az alkalmazásvédelmi szabályzatnak a használt alkalmazást kell céloznia. Alkalmazásvédelem házirendek az Microsoft Intune Felügyeleti központban hozhatók létre és helyezhetők üzembe. A biztonsági csoportok jelenleg a Microsoft 365 Felügyeleti központ hozhatók létre.

• A végfelhasználónak a Microsoft Entra fiókjával kell bejelentkeznie az alkalmazásba.

Mi a teendő, ha engedélyezni szeretnék egy alkalmazást az Intune App Protection használatával, de nem támogatott alkalmazásfejlesztési platformot használ?

A Intune SDK fejlesztői csapata aktívan teszteli és támogatja a natív Android, iOS/iPadOS (Obj-C, Swift), Xamarin és Xamarin.Forms platformokkal készült alkalmazásokat. Egyes ügyfelek sikeresen integrálják a Intune SDK-t más platformokkal, például a React Native és a NativeScripttel. A Microsoft azonban nem nyújt útmutatást vagy beépülő modulokat a támogatott platformokon kívül.

Támogatja a Intune APP SDK a Microsoft Authentication Libraryt (MSAL)?

A Intune App SDK használhatja a Microsoft Authentication Libraryt a hitelesítéshez és a feltételes indítási forgatókönyvekhez. Arra is támaszkodik, hogy az MSAL regisztrálja a felhasználói identitást a MAM szolgáltatásban az eszközregisztrációs forgatókönyvek nélküli felügyelethez.

Milyen egyéb követelmények vonatkoznak az Outlook mobilapp használatára?

• A végfelhasználónak telepítve kell lennie az Outlook mobilappnak az eszközén.

• A végfelhasználónak microsoftos 365 Exchange Online postaládával és licenccel kell rendelkeznie a Microsoft Entra-fiókjához.

  Megjegyzés:

  Az Outlook mobilalkalmazás jelenleg csak a hibrid modern hitelesítéssel rendelkező Microsoft Exchange Online és Exchange Server Intune App Protectiont támogatja, és nem támogatja az Exchange-et Office 365 Dedikált verzióban.

Milyen egyéb követelmények vonatkoznak a Word, az Excel és a PowerPoint alkalmazás használatára?

• A végfelhasználónak rendelkeznie kell a Microsoft Entra-fiókjához társított licenccel Üzleti Microsoft 365-alkalmazások vagy vállalat számára. Az előfizetésnek tartalmaznia kell az Office-alkalmazásokat a mobileszközökön, és tartalmaznia kell egy felhőalapú tárfiókot a OneDrive felhőalapú tárhelyével és a vállalati fájlmegosztással. A Microsoft 365-licencek az alábbi utasításokMicrosoft 365 Felügyeleti központ rendelhetők hozzá.

• A végfelhasználónak rendelkeznie kell egy felügyelt hellyel, amely a részletes mentés másként funkcióval van konfigurálva a "Szervezeti adatok másolatainak mentése" alkalmazásvédelmi házirend-beállításban. Ha például a felügyelt hely a OneDrive, a OneDrive alkalmazást a végfelhasználó Word, Excelben vagy PowerPoint-appban kell konfigurálni.

• Ha a felügyelt hely a OneDrive, az alkalmazást a végfelhasználó számára telepített alkalmazásvédelmi szabályzatnak kell céloznia.

  Megjegyzés:

  Az Office-mobilappok jelenleg csak a SharePoint Online-t támogatják, a helyszíni SharePointot nem.

Miért van szükség felügyelt helyre (azaz OneDrive-ra) az Office-hoz?

Intune az alkalmazásban lévő összes adatot "vállalati" vagy "személyes" megjelölésűként jelöli meg. Az adatok akkor minősülnek "vállalatinak", ha üzleti helyről származnak. Az Office-alkalmazások esetében Intune a levelezést (Exchange) és a felhőbeli tárhelyet (OneDrive) üzleti helyként kezeli.

Milyen egyéb követelmények vonatkoznak a Skype Vállalati verzió használatára?

Lásd: Skype Vállalati verzió licenckövetelmények. A Skype Vállalati verzió (SfB) hibrid és helyszíni konfigurációkkal kapcsolatban lásd: Hibrid modern hitelesítés az SfB-hez és az Exchange általánosan elérhető általánosan elérhető, a helyszíni SfB modern hitelesítése pedig Microsoft Entra ID.

Alkalmazásvédelem funkciók

Mi a többszörös identitás támogatása?

A többszörös identitás támogatása lehetővé teszi, hogy a Intune App SDK csak az alkalmazásba bejelentkezett munkahelyi vagy iskolai fiókra alkalmazza az alkalmazásvédelmi szabályzatokat. Ha egy személyes fiók be van jelentkezve az alkalmazásba, az adatok érintetlenek lesznek.

Mi a több identitás támogatásának célja?

A többszörös identitás támogatása lehetővé teszi a "vállalati" és a fogyasztói célközönséggel (azaz az Office-alkalmazásokkal) rendelkező alkalmazások nyilvános kiadását a "vállalati" fiókok Intune alkalmazásvédelmi képességeivel.

Mi a helyzet az Outlook és a többszörös identitás használatával?

Mivel az Outlook a személyes és a "vállalati" e-maileket is tartalmazza, az Outlook app indításkor kéri a Intune PIN-kód megadását.

Mi az Intune alkalmazás PIN-kódja?

A személyes azonosítószám (PIN-kód) annak ellenőrzésére szolgál, hogy a megfelelő felhasználó hozzáfér-e a szervezet adataihoz egy alkalmazásban.

Mikor kéri a felhasználó a PIN-kód megadását?

Intune a felhasználó alkalmazás PIN-kódjának megadását kéri, amikor a felhasználó a "vállalati" adatokhoz való hozzáférésre készül. A több identitást használó alkalmazásokban, például a Word/Excelben/PowerPointban a rendszer a felhasználótól kéri a PIN-kód megadását, amikor megpróbál megnyitni egy "vállalati" dokumentumot vagy fájlt. Az egyszeres identitást használó alkalmazásokban, például a Intune App Wrapping Tool felügyelt üzletági alkalmazásokban a rendszer indításkor kéri a PIN-kódot, mert a Intune App SDK tudja, hogy a felhasználói élmény az alkalmazásban mindig "vállalati".

Milyen gyakran kéri a rendszer a felhasználóktól a Intune PIN-kód megadását?

A rendszergazda a Microsoft Intune Felügyeleti központban megadhatja a Intune alkalmazásvédelmi szabályzat "A hozzáférési követelmények ismételt ellenőrzése ennyi perc után" beállítását. Ez a beállítás határozza meg, hogy mennyi idő után ellenőrizze a hozzáférési követelményeket az eszközön, és ismét megjelenik az alkalmazás PIN-kódjának képernyője. A PIN-kód fontos részletei azonban befolyásolják, hogy a rendszer milyen gyakran kéri a felhasználókat:

• A PIN-kód meg van osztva ugyanazon közzétevő alkalmazásai között a használhatóság javítása érdekében: iOS/iPadOS rendszeren egyetlen alkalmazás PIN-kódja van megosztva ugyanazon alkalmazás-közzétevő összes alkalmazása között. Androidon egy alkalmazás PIN-kódja van megosztva az összes alkalmazás között.
• A "Hozzáférési követelmények ismételt ellenőrzése (perc) után" viselkedés az eszköz újraindítása után: A "PIN-kód időzítője" nyomon követi az inaktivitás perceinek számát, amelyek meghatározzák, hogy mikor jelenjen meg a Intune alkalmazás PIN-kódja. iOS/iPadOS rendszeren az eszköz újraindítása nem érinti a PIN-kód időzítőt. Így az eszköz újraindítása nincs hatással arra, hogy a felhasználó hány percig inaktív egy Intune PIN-kód-szabályzattal rendelkező iOS-/iPadOS-alkalmazásból. Android rendszeren a PIN-kód időzítője alaphelyzetbe áll az eszköz újraindításakor. Ezért az Intune PIN-kóddal rendelkező Android-alkalmazások valószínűleg kérni fogják az alkalmazás PIN-kódját, függetlenül attól, hogy az eszköz újraindítása után "A hozzáférési követelmények újraellenőrzése (perc) után".
• A PIN-kódhoz társított időzítő működés közbeni jellege: Miután beírt egy PIN-kódot egy alkalmazás (A alkalmazás) eléréséhez, és az alkalmazás elhagyja az előteret (a fő bemeneti fókuszt) az eszközön, a PIN-kód időzítője alaphelyzetbe áll az adott PIN-kódhoz. A PIN-kódot megosztó alkalmazások (B alkalmazás) nem kérik a felhasználótól a PIN-kód megadását, mert az időzítő alaphelyzetbe áll. A parancssor újra megjelenik, ha a "Hozzáférési követelmények újraellenőrzése ennyi perc után" érték ismét teljesül.

Az iOS-/iPadOS-eszközökön a különböző közzétevőktől származó alkalmazások ugyanazt a PIN-kódot használhatják. Ha azonban eléri a hozzáférési követelmények újraellenőrzése ennyi perc után értéket, Intune pin-kódot kér a felhasználótól, ha nem az alkalmazás volt a fő bemeneti fókusz. Egy felhasználó például rendelkezik az X kiadó A és B alkalmazásával az Y közzétevőtől, és ez a két alkalmazás ugyanazt a PIN-kódot használja. A felhasználó az A alkalmazásra (előtér) összpontosít, és a B alkalmazás kis méretűre van állítva. Miután a hozzáférési követelmények ismételt ellenőrzése (perc) után teljesült, és a felhasználó átváltott a B alkalmazásra, a PIN-kódra lesz szükség.

Megjegyzés:

A felhasználói hozzáférési követelmények gyakoribb ellenőrzéséhez (azaz PIN-kód kérése) különösen a gyakran használt alkalmazások esetében csökkentse a "Hozzáférési követelmények újbóli ellenőrzése ennyi perc után (perc)" beállítás értékét.

Hogyan működik a Intune PIN-kód az Outlookhoz és a OneDrive-hoz készült beépített alkalmazás-PIN-kódokkal?

A Intune PIN-kód egy inaktivitás-alapú időzítőn alapul (a "Hozzáférési követelmények újbóli ellenőrzése ennyi idő után (perc)" érték). Így Intune PIN-kódra vonatkozó kérések az Outlook és a OneDrive beépített PIN-kód-kéréseitől függetlenül jelennek meg, amelyek gyakran alapértelmezés szerint az alkalmazások indításához kapcsolódnak. Ha a felhasználó egyidejűleg mindkét PIN-kódot kéri, a várt viselkedés az, hogy a Intune PIN-kód elsőbbséget élvez.

Biztonságos a PIN-kód?

A PIN-kód arra szolgál, hogy csak a megfelelő felhasználó férhessen hozzá a szervezet adataihoz az alkalmazásban. Ezért a végfelhasználónak be kell jelentkeznie a munkahelyi vagy iskolai fiókjával, mielőtt beállíthatja vagy alaphelyzetbe állíthatja Intune alkalmazás PIN-kódját. Microsoft Entra ID biztonságos jogkivonatcserén keresztül kezeli ezt a hitelesítést, és nem átlátható a Intune App SDK számára. Biztonsági szempontból a munkahelyi vagy iskolai adatok védelmének legjobb módja az adatok titkosítása. A titkosítás nem az alkalmazás PIN-kódjával kapcsolatos, hanem a saját alkalmazásvédelmi szabályzata.

Hogyan védi Intune a PIN-kódot a találgatásos támadásokkal szemben?

Az alkalmazás PIN-kód-szabályzatának részeként a rendszergazda beállíthatja, hogy a felhasználó legfeljebb hányszor próbálja meg hitelesíteni a PIN-kódját az alkalmazás zárolása előtt. A kísérletek száma után a Intune App SDK törölheti az alkalmazás "vállalati" adatait.

Miért kell kétszer pin-kódot beállítani az ugyanazon közzétevőtől származó alkalmazásokhoz?

Az iOS/iPadOS-alapú MAM támogatja az alkalmazásszintű PIN-kódokat alfanumerikus és speciális karakterekkel (úgynevezett PIN-kód). A pin-kód beállításainak érvényesítéséhez az olyan alkalmazásoknak, mint az Word, az Excel, a PowerPoint, az Outlook, a Managed Browser és a Yammer, integrálniuk kell az iOS/iPadOS rendszerhez készült Intune App SDK-t. Az integráció nélkül Intune nem tudja kikényszeríteni az alkalmazások pin-kódbeállításait. Intune bevezette ezt a funkciót az IOS/iPadOS SDK 7.1.12-es verziójában.

A funkció támogatása és az iOS/iPadOS Intune SDK korábbi verzióival való kompatibilitás fenntartása érdekében a 7.1.12-es és újabb verziók az összes PIN-kódot (numerikus vagy PIN-kódot) a korábbi verziókban használt numerikus PIN-kódtól függetlenül kezelik. Ezért ha egy eszköz Intune SDK-val rendelkező alkalmazásokat használ az iOS/iPadOS verzióhoz a 7.1.12-es verzió előtt és 7.1.12 után ugyanabból a közzétevőből, két PIN-elemet kell beállítania.

Ennek ellenére a két PIN-szám (minden alkalmazáshoz) semmilyen módon nem kapcsolódik egymáshoz. Meg kell felelniük az alkalmazásra alkalmazott alkalmazásvédelmi szabályzatnak. Így a felhasználó csak akkor állíthatja be kétszer ugyanazt a PIN-kódot, ha az A és a B alkalmazásra ugyanazok a szabályzatok vonatkoznak (a PIN-kódra vonatkozóan).

Ez a viselkedés az Intune Mobile App Managementtel engedélyezett iOS-/iPadOS-alkalmazások PIN-kódjára jellemző. Idővel, amikor az alkalmazások az iOS/iPadOS rendszerhez készült Intune SDK újabb verzióit vezetik be, az ugyanabból a közzétevőből származó alkalmazásokon kétszer kell pin-kódot beállítania, kisebb problémát jelent.

Megjegyzés:

Az alkalmazásverziók határozzák meg, hogy lehetséges-e megosztott PIN-kód. Ha például az A alkalmazás a 7.1.12-esnél korábbi SDK-verziót, a B alkalmazás pedig a 7.1.12-es vagy újabb verziót használja, a felhasználónak minden alkalmazáshoz külön PIN-kódot kell beállítania – még akkor is, ha ugyanabból a közzétevőből származik. Ha azonban az A és a C alkalmazás egyaránt a 7.1.12 előtti verziót használja, akkor pin-kódot osztanak meg. Hasonlóképpen, a B és a D alkalmazás is rendelkezik PIN-kóddal, ha mindkettő az SDK 7.1.12-s vagy újabb verzióját használja.

Mi a helyzet a titkosítással?

A rendszergazdák olyan alkalmazásvédelmi szabályzatot telepíthetnek, amely megköveteli az alkalmazásadatok titkosítását. A szabályzat részeként a rendszergazda azt is megadhatja, hogy mikor legyen titkosítva a tartalom.

Hogyan titkosítja Intune az adatokat?

Intune titkosítja az adatokat az alkalmazásvédelmi szabályzat titkosítási beállításainak megfelelően. Részletekért lásd: Android-alkalmazásvédelmi szabályzat beállításai és iOS/iPadOS alkalmazásvédelmi szabályzat beállításai.

Mi lesz titkosítva?

Csak a "vállalatiként" megjelölt adatok vannak titkosítva a rendszergazda alkalmazásvédelmi szabályzatának megfelelően. Az adatok akkor minősülnek "vállalatinak", ha üzleti helyről származnak. Az Office-alkalmazások esetében Intune a levelezést (Exchange) és a felhőbeli tárhelyet (OneDrive) üzleti helyként kezeli. A Intune App Wrapping Tool által felügyelt üzletági alkalmazások esetében az összes alkalmazásadat "vállalatinak" minősül.

Hogyan Intune távolról törölni az adatokat?

Intune az alkalmazásadatok három különböző módon törölhetők: teljes eszköztörlés, az MDM szelektív törlése és a MAM szelektív törlése. Az MDM távoli törlésével kapcsolatos további információkért lásd: Eszközök eltávolítása törléssel vagy kivonással. A MAM használatával végzett szelektív törlésről további információt a Kivonás művelet és a Csak a vállalati adatok törlése alkalmazásokból című cikkben talál.

Mi az a törlés?

A törlés eltávolítja az összes felhasználói adatot és beállítást az eszközről az eszköz gyári alapértelmezett beállításainak visszaállításával. Az eszköz el lesz távolítva a Intune.

Megjegyzés:

A törlés csak az Intune mobileszköz-felügyelettel (MDM) regisztrált eszközökön érhető el.

Mi az MDM szelektív törlése?

Az MDM szelektív törlése csak a vállalati adatokat távolítja el az eszközről a személyes adatok befolyásolása nélkül. További információ: Eszközök eltávolítása – kivonás.

Mi a mam szelektív törlése?

A MAM szelektív törlése egyszerűen eltávolítja a vállalati alkalmazásadatokat egy alkalmazásból. A kérés a Microsoft Intune Felügyeleti központban kezdeményezhető. A törlési kérés kezdeményezéséről a Csak a vállalati adatok törlése alkalmazásokból című témakörben olvashat.

Milyen gyorsan történik a MAM szelektív törlése?

Ha a felhasználó szelektív törlés kezdeményezésekor használja az alkalmazást, a Intune App SDK 30 percenként ellenőrzi, hogy van-e szelektív törlési kérés a Intune MAM szolgáltatásból. A szelektív törlést is ellenőrzi, amikor a felhasználó első alkalommal indítja el az alkalmazást, és bejelentkezik a munkahelyi vagy iskolai fiókjával.

Miért nem működnek a helyszíni szolgáltatások Intune védett alkalmazásokkal?

Intune alkalmazásvédelem a felhasználó identitásától függ, hogy konzisztens legyen az alkalmazás és a Intune App SDK között. Ezt csak a modern hitelesítéssel garantálhatja. Vannak olyan forgatókönyvek, amelyekben az alkalmazások együttműködhetnek egy helyszíni konfigurációval, de nem konzisztensek vagy garantáltak.

Van biztonságos módja annak, hogy webes hivatkozásokat nyisson meg a felügyelt alkalmazásokból?

Igen! A rendszergazda alkalmazásvédelmi szabályzatot telepíthet és állíthat be a Microsoft Edge alkalmazáshoz. A rendszergazda megkövetelheti, hogy a Intune által felügyelt alkalmazások összes webes hivatkozása a Microsoft Edge alkalmazással nyíljon meg.

Alkalmazásélmény Androidon

Miért van szükség a Céges portál alkalmazásra ahhoz, hogy Intune alkalmazásvédelem működjön Android-eszközökön?

Céges portál alkalmazás- és Intune-alkalmazásvédelem

Hogyan működik több Intune alkalmazásvédelmi hozzáférési beállítás, amely ugyanarra az alkalmazáskészletre és felhasználóra van konfigurálva Androidon?

Intune hozzáférésre vonatkozó alkalmazásvédelmi szabályzatokat a rendszer meghatározott sorrendben alkalmazza a végfelhasználói eszközökön, amikor megpróbálnak hozzáférni egy célzott alkalmazáshoz a vállalati fiókjukból. A blokkok általában elsőbbséget élveznek, majd egy bezárható figyelmeztetést. Ha például az adott felhasználóra/alkalmazásra vonatkozik, a rendszer egy minimális Android-javításverzió-beállítást alkalmaz, amely figyelmezteti a felhasználót a javításfrissítésre, miután a felhasználó hozzáférését letiltó minimális Android-javításverzió-beállítás életbe lép. Tehát abban a forgatókönyvben, amikor a rendszergazda a minimális Android-javítási verziót 2018-03-01-es verzióra és az Android minimális javításverzióját (csak figyelmeztetés) 2018-02-01-es verzióra konfigurálja, míg az alkalmazáshoz hozzáférni próbáló eszköz a 2018-01-01-es frissítési verzión volt, a végfelhasználót a rendszer a minimális Android-javítási verzió korlátozóbb beállítása alapján letiltja, amely letiltja a hozzáférést.

A különböző típusú beállítások kezelésekor az alkalmazásverzióra vonatkozó követelmények elsőbbséget élveznek, amelyet az Android operációs rendszer verziókövetelménye és az Android-javítások verziókövetelménye követ. Ezután az ugyanabban a sorrendben található összes beállításra vonatkozó figyelmeztetéseket ellenőrzi a rendszer.

Intune alkalmazásvédelmi szabályzatok lehetővé teszik a rendszergazdák számára, hogy megkövetelje a végfelhasználói eszközöktől a Google Play eszközintegritási ellenőrzésének átadását androidos eszközökön. Milyen gyakran küld egy új Google Play-eszközintegritás-ellenőrzési eredményt a szolgáltatásnak?

A Intune szolgáltatás a Szolgáltatás terhelése által meghatározott, nem konfigurálható időközönként lép kapcsolatba a Google Play szolgáltatással. A Google Play eszközintegritás-ellenőrzési beállításához konfigurált összes rendszergazdai művelet a feltételes indításkor az Intune szolgáltatásnak küldött utolsó jelentett eredmény alapján lesz végrehajtva. Ha a Google eszközintegritási eredménye megfelelő, a rendszer nem hajt végre semmilyen műveletet. Ha a Google eszközintegritási eredménye nem megfelelő, a rendszergazda által konfigurált művelet azonnal meg lesz állítva. Ha a Google Play eszközintegritási ellenőrzésére irányuló kérés bármilyen okból meghiúsul, a rendszer az előző kérés gyorsítótárazott eredményét legfeljebb 24 órán keresztül, vagy a következő eszköz-újraindítást fogja használni, amely valaha is az első lesz. Ekkor Intune alkalmazásvédelmi szabályzatok letiltják a hozzáférést, amíg az aktuális eredmény nem lesz elérhető.

Intune Alkalmazásvédelmi szabályzatok lehetővé teszik a rendszergazdák számára, hogy megköveteljék a végfelhasználóktól, hogy jeleket küldjenek a Google Verify Apps API-ján keresztül Android-eszközökhöz. Hogyan kapcsolhatja be a végfelhasználó az alkalmazásvizsgálatot, hogy emiatt ne legyen hozzáférése letiltva?

Ennek módjára vonatkozó utasítások eszközönként kissé eltérőek. Az általános folyamat része a Google Play Áruház megnyitása, majd a Saját alkalmazások & játékok elemre kattintva az utolsó alkalmazásvizsgálat eredményére kattintva, amely a Védelem lejátszása menübe kerül. Győződjön meg arról, hogy az Eszköz biztonsági fenyegetések keresése kapcsoló be van kapcsolva.

Mit ellenőriz valójában a Google Play Integrity API androidos eszközökön? Mi a különbség az "Alapszintű integritás ellenőrzése" és az "Alapszintű integritás ellenőrzése & hitelesített eszközök" konfigurálható értékei között?

Intune Google Play Integrity API-kat alkalmaz, hogy hozzáadja a meglévő gyökérészlelési ellenőrzéseinkhez a nem regisztrált eszközöket. A Google kifejlesztette és fenntartotta ezt az API-készletet az Android-alkalmazások számára, ha nem szeretnék, hogy az alkalmazásaik rootolt eszközökön fussanak. Az Android Pay alkalmazás például ezt építette be. Bár a Google nem osztja meg nyilvánosan az elvégzett gyökérészlelési ellenőrzések teljes egészét, elvárjuk, hogy ezek az API-k észleljék az eszközeiket gyökerező felhasználókat. Ezeket a felhasználókat ezután letilthatja a hozzáférésük, vagy a vállalati fiókjuk törölhető a szabályzatot engedélyező alkalmazásaikból. Az "Alapvető integritás ellenőrzése" az eszköz általános integritásáról tájékoztat. A feltört eszközök, emulátorok, virtuális eszközök és illetéktelen módosításra utaló jeleket tartalmazó eszközök alapvető integritása meghiúsul. Az "Alapszintű integritás ellenőrzése & hitelesített eszközök" című cikkből megtudhatja, hogy az eszköz kompatibilis-e a Google szolgáltatásaival. Ezt az ellenőrzést csak a Google által hitelesített, nem módosított eszközök tudják átadni. A sikertelen eszközök közé tartoznak a következők:

• Alapszintű integritást nem használó eszközök
• Zárolt rendszertöltővel rendelkező eszközök
• Egyéni rendszerképpel/ROM-tal rendelkező eszközök
• Olyan eszközök, amelyeket a gyártó nem igényelt, illetve nem adott át Google-minősítést
• Közvetlenül az Android nyílt forráskódú program forrásfájljaiból létrehozott rendszerképpel rendelkező eszközök
• Bétaverziós/fejlesztői előzetes verziójú rendszerképpel rendelkező eszközök

Technikai részletekért tekintse meg a Google Play Integrity API-val kapcsolatos dokumentációját .

Az Android-eszközökhöz készült Intune Alkalmazásvédelmi szabályzat létrehozásakor a Feltételes indítás szakaszban két hasonló ellenőrzés található. Megkövetelhetem a "Play integrity verdict" vagy a "jailbreakelt/rooted devices" beállítást?

A Google Play Integrity API-ellenőrzésekhez a végfelhasználónak online állapotra van szüksége az igazolási eredmények meghatározásához szükséges "roundtrip" végrehajtásakor. Ha a végfelhasználó offline állapotban van, a rendszergazda továbbra is számíthat arra, hogy a rendszer kikényszeríti az eredményt a "jailbreakelt/rootolt eszközök" beállításból. Ez azt jelenti, hogy ha a végfelhasználó túl hosszú ideig volt offline, az "Offline türelmi időszak" érték lép életbe, és a munkahelyi vagy iskolai adatokhoz való minden hozzáférés le lesz tiltva az időzítő értékének elérése után, amíg a hálózati hozzáférés elérhetővé nem válik. Mindkét beállítás bekapcsolása lehetővé teszi a végfelhasználói eszközök kifogástalan állapotának megőrzését szolgáló rétegzett megközelítést, ami akkor fontos, ha a végfelhasználók mobileszközökön férnek hozzá a munkahelyi vagy iskolai adatokhoz.

A Google Play Protect API-kat alkalmazó alkalmazásvédelmi szabályzat beállításainak működéséhez a Google Play Services szükséges. Mi a teendő, ha a Google Play-szolgáltatások nem engedélyezettek azon a helyen, ahol a végfelhasználó lehet?

A "Play integrity verdict" és a "Threat scan on apps" (Fenyegetésvizsgálat az alkalmazásokon) beállításokhoz is szükség van a Google Play-szolgáltatások Google által meghatározott verziójára a megfelelő működéshez. Mivel ezek a beállítások a biztonság területére esnek, a rendszer letiltja a végfelhasználót, ha ezeket a beállításokat használja, és nem felel meg a Google Play Services megfelelő verziójának, vagy nem rendelkezik hozzáféréssel a Google Play Szolgáltatásokhoz.

Alkalmazásélmény iOS rendszeren

Mi történik, ha ujjlenyomatot vagy arcot adok hozzá vagy távolítok el az eszközömről?

Intune alkalmazásvédelmi szabályzatok csak a Intune licenccel rendelkező felhasználó számára engedélyezik az alkalmazás-hozzáférés vezérlését. Az alkalmazáshoz való hozzáférés szabályozásának egyik módja, ha az Apple Touch ID vagy Face ID azonosítóját igényli a támogatott eszközökön. Intune olyan viselkedést valósít meg, amelyben az eszköz biometrikus adatbázisának módosítása esetén Intune pin-kódot kér a felhasználótól, amikor a következő tétlenségi időtúllépési érték teljesül. A biometrikus adatok változásai közé tartozik az ujjlenyomat vagy az arc hozzáadása vagy eltávolítása. Ha a Intune felhasználó nem rendelkezik PIN-kóddal, a rendszer egy Intune PIN-kódot állít be.

Ennek az a célja, hogy továbbra is biztonságosan és az alkalmazás szintjén védve tartsa a szervezet adatait az alkalmazásban. Ez a funkció csak iOS/iPadOS rendszeren érhető el, és az iOS/iPadOS Intune APP SDK 9.0.1-es vagy újabb verzióját integráló alkalmazások részvételére van szükség. Az SDK integrációjára azért van szükség, hogy a viselkedés kényszeríthető legyen a megcélzott alkalmazásokon. Ez az integráció gördülő alapon történik, és az adott alkalmazáscsapatoktól függ. A programban részt vevő alkalmazások közé tartozik például a WXP, az Outlook, a Managed Browser és a Yammer.

Az iOS megosztási bővítményével megnyithatom a munkahelyi vagy iskolai adatokat nem felügyelt alkalmazásokban, még akkor is, ha az adatátviteli szabályzat "csak felügyelt alkalmazások" vagy "nincs alkalmazás" értékre van állítva. Nem szivárognak ki az adatok?

Intune alkalmazásvédelmi szabályzat nem tudja vezérelni az iOS-megosztási bővítményt az eszköz kezelése nélkül. Ezért Intune titkosítja a "vállalati" adatokat, mielőtt megosztanák azokat az alkalmazáson kívül. Ezt úgy ellenőrizheti, hogy megpróbálja megnyitni a "vállalati" fájlt a felügyelt alkalmazáson kívül. A fájlnak titkosítva kell lennie, és nem nyitható meg a felügyelt alkalmazáson kívül.

Hogyan használható több Intune alkalmazásvédelmi hozzáférési beállítás, amely ugyanarra az alkalmazáskészletre és felhasználóra van konfigurálva az iOS-en?

Intune hozzáférésre vonatkozó alkalmazásvédelmi szabályzatok adott sorrendben lesznek alkalmazva a végfelhasználói eszközökön, amikor megpróbálnak hozzáférni egy célzott alkalmazáshoz a vállalati fiókjukból. Általánosságban elmondható, hogy a törlés elsőbbséget élvez, amelyet egy blokk követ, majd egy bezárható figyelmeztetés. Ha például az adott felhasználóra/alkalmazásra vonatkozik, a rendszer egy minimális iOS/iPadOS operációsrendszer-beállítást alkalmaz, amely arra figyelmezteti a felhasználót, hogy frissítse az iOS/iPadOS-verziót, miután a felhasználó hozzáférését letiltó minimális iOS/iPadOS operációs rendszerbeállítást alkalmazta. Tehát abban a forgatókönyvben, amikor a rendszergazda a minimális iOS/iPadOS operációs rendszert 11.0.0.0-ra, a minimális iOS/iPadOS operációs rendszert (csak figyelmeztetés) a 11.1.0.0-ra konfigurálja, amíg az alkalmazáshoz hozzáférni próbáló eszköz iOS/iPadOS 10 rendszeren volt, a rendszer letiltja a végfelhasználót a minimális iOS/iPadOS operációsrendszer-verzió szigorúbb beállítása alapján, amely letiltja a hozzáférést.

A különböző típusú beállítások kezelésekor a Intune App SDK verziókövetelménye elsőbbséget élvez, majd egy alkalmazásverzióra vonatkozó követelmény, amelyet az iOS/iPadOS operációs rendszer verziókövetelménye követ. Ezután az ugyanabban a sorrendben található összes beállításra vonatkozó figyelmeztetéseket ellenőrzi a rendszer. Azt javasoljuk, hogy a Intune App SDK verziókövetelményét csak a Intune termékcsapatának útmutatása alapján konfigurálja az alapvető blokkolási forgatókönyvekhez.

Lásd még

• Intune üzembe helyezése
• Bevezetési terv létrehozása
• Androidos mobilalkalmazás-felügyeleti szabályzat beállításai a Microsoft Intune
• iOS/iPadOS mobilalkalmazás-felügyeleti szabályzat beállításai
• szabályzatfrissítés Alkalmazásvédelem
• Az alkalmazásvédelmi szabályzatok ellenőrzése
• Alkalmazáskonfigurációs szabályzatok hozzáadása eszközregisztráció nélküli felügyelt alkalmazásokhoz
• Támogatás kérése Microsoft Intune

Ez a cikk választ ad Intune mobilalkalmazás-kezeléssel (MAM) és Intune alkalmazásvédelemmel kapcsolatos gyakori kérdésekre.

A MAM áttekintése

Alkalmazásvédelem szabályzatok olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságban legyenek vagy egy felügyelt alkalmazásban legyenek tárolva. A szabályzat olyan szabály, amelyet Intune érvényesíteni, amikor a felhasználó megpróbál hozzáférni vagy áthelyezni a "vállalati" adatokat. Olyan műveleteket is meghatározhat, amelyek Intune blokkolják vagy figyelik a felhasználót az alkalmazásban.

Az egyes alkalmazásvédelmi házirend-beállításokkal kapcsolatos részletekért lásd: Az Android alkalmazásvédelmi szabályzatának beállításai és az iOS/iPadOS alkalmazásvédelmi szabályzatbeállításai.

Ha a felhasználóra az eszközfelügyeleti állapot beállítása nélkül alkalmaz MAM-szabályzatot, akkor a felhasználó a személyes eszközön is megkapja a MAM-szabályzatot, más néven a saját eszközökre (BYOD) és a Intune által felügyelt eszközre. Mam-szabályzatot az eszközfelügyeleti állapot alapján is alkalmazhat. Így amikor alkalmazásvédelmi szabályzatot hoz létre, a Target to apps on all device types (Célalkalmazások az összes eszköztípuson) elem mellett válassza a Nem lehetőséget. Ezután válasszon az alábbi lehetőségek közül:

• Alkalmazzon kevésbé szigorú MAM-szabályzatot Intune felügyelt eszközökre, és alkalmazzon szigorúbb MAM-szabályzatot a nem MDM-ben regisztrált eszközökre.
• Egyformán szigorú MAM-szabályzat alkalmazása Intune felügyelt eszközökre és a nem Microsoft által felügyelt eszközökre.
• Mam-szabályzat alkalmazása csak a nem regisztrált eszközökre.

További információ: Alkalmazásvédelmi szabályzatok monitorozása.

A Intune App SDK-val integrált vagy a Intune App Wrapping Tool által burkolt alkalmazások Intune alkalmazásvédelmi szabályzatokkal kezelhetők. Tekintse meg a nyilvánosan elérhető Intune által felügyelt alkalmazások hivatalos listáját.

• A végfelhasználónak rendelkeznie kell egy Microsoft Entra fiókkal. A Intune felhasználók Microsoft Entra ID való létrehozásáról további információt a Felhasználók hozzáadása és rendszergazdai engedély megadása Intune című témakörben talál.

• A végfelhasználónak rendelkeznie kell Microsoft Intune Microsoft Entra-fiókjához rendelt licenccel. A Intune licencek végfelhasználókhoz való hozzárendeléséről további információt a Intune licencek kezelése című témakörben talál.

• A végfelhasználónak egy alkalmazásvédelmi szabályzattal megcélzott biztonsági csoporthoz kell tartoznia. Ugyanannak az alkalmazásvédelmi szabályzatnak a használt alkalmazást kell céloznia. Alkalmazásvédelem házirendek az Microsoft Intune Felügyeleti központban hozhatók létre és helyezhetők üzembe. A biztonsági csoportok jelenleg a Microsoft 365 Felügyeleti központ hozhatók létre.

• A végfelhasználónak a Microsoft Entra fiókjával kell bejelentkeznie az alkalmazásba.

A Intune SDK fejlesztői csapata aktívan teszteli és támogatja a natív Android, iOS/iPadOS (Obj-C, Swift), Xamarin és Xamarin.Forms platformokkal készült alkalmazásokat. Egyes ügyfelek sikeresen integrálják a Intune SDK-t más platformokkal, például a React Native és a NativeScripttel. A Microsoft azonban nem nyújt útmutatást vagy beépülő modulokat a támogatott platformokon kívül.

A Intune App SDK használhatja a Microsoft Authentication Libraryt a hitelesítéshez és a feltételes indítási forgatókönyvekhez. Arra is támaszkodik, hogy az MSAL regisztrálja a felhasználói identitást a MAM szolgáltatásban az eszközregisztrációs forgatókönyvek nélküli felügyelethez.

• A végfelhasználónak telepítve kell lennie az Outlook mobilappnak az eszközén.

• A végfelhasználónak microsoftos 365 Exchange Online postaládával és licenccel kell rendelkeznie a Microsoft Entra-fiókjához.

  Megjegyzés:

  Az Outlook mobilalkalmazás jelenleg csak a hibrid modern hitelesítéssel rendelkező Microsoft Exchange Online és Exchange Server Intune App Protectiont támogatja, és nem támogatja az Exchange-et Office 365 Dedikált verzióban.

• A végfelhasználónak rendelkeznie kell a Microsoft Entra-fiókjához társított licenccel Üzleti Microsoft 365-alkalmazások vagy vállalat számára. Az előfizetésnek tartalmaznia kell az Office-alkalmazásokat a mobileszközökön, és tartalmaznia kell egy felhőalapú tárfiókot a OneDrive felhőalapú tárhelyével és a vállalati fájlmegosztással. A Microsoft 365-licencek az alábbi utasításokMicrosoft 365 Felügyeleti központ rendelhetők hozzá.

• A végfelhasználónak rendelkeznie kell egy felügyelt hellyel, amely a részletes mentés másként funkcióval van konfigurálva a "Szervezeti adatok másolatainak mentése" alkalmazásvédelmi házirend-beállításban. Ha például a felügyelt hely a OneDrive, a OneDrive alkalmazást a végfelhasználó Word, Excelben vagy PowerPoint-appban kell konfigurálni.

• Ha a felügyelt hely a OneDrive, az alkalmazást a végfelhasználó számára telepített alkalmazásvédelmi szabályzatnak kell céloznia.

  Megjegyzés:

  Az Office-mobilappok jelenleg csak a SharePoint Online-t támogatják, a helyszíni SharePointot nem.

Intune az alkalmazásban lévő összes adatot "vállalati" vagy "személyes" megjelölésűként jelöli meg. Az adatok akkor minősülnek "vállalatinak", ha üzleti helyről származnak. Az Office-alkalmazások esetében Intune a levelezést (Exchange) és a felhőbeli tárhelyet (OneDrive) üzleti helyként kezeli.

Lásd: Skype Vállalati verzió licenckövetelmények. A Skype Vállalati verzió (SfB) hibrid és helyszíni konfigurációkkal kapcsolatban lásd: Hibrid modern hitelesítés az SfB-hez és az Exchange általánosan elérhető általánosan elérhető, a helyszíni SfB modern hitelesítése pedig Microsoft Entra ID.

A többszörös identitás támogatása lehetővé teszi, hogy a Intune App SDK csak az alkalmazásba bejelentkezett munkahelyi vagy iskolai fiókra alkalmazza az alkalmazásvédelmi szabályzatokat. Ha egy személyes fiók be van jelentkezve az alkalmazásba, az adatok érintetlenek lesznek.

A többszörös identitás támogatása lehetővé teszi a "vállalati" és a fogyasztói célközönséggel (azaz az Office-alkalmazásokkal) rendelkező alkalmazások nyilvános kiadását a "vállalati" fiókok Intune alkalmazásvédelmi képességeivel.

Mivel az Outlook a személyes és a "vállalati" e-maileket is tartalmazza, az Outlook app indításkor kéri a Intune PIN-kód megadását.

A személyes azonosítószám (PIN-kód) annak ellenőrzésére szolgál, hogy a megfelelő felhasználó hozzáfér-e a szervezet adataihoz egy alkalmazásban.

Intune a felhasználó alkalmazás PIN-kódjának megadását kéri, amikor a felhasználó a "vállalati" adatokhoz való hozzáférésre készül. A több identitást használó alkalmazásokban, például a Word/Excelben/PowerPointban a rendszer a felhasználótól kéri a PIN-kód megadását, amikor megpróbál megnyitni egy "vállalati" dokumentumot vagy fájlt. Az egyszeres identitást használó alkalmazásokban, például a Intune App Wrapping Tool felügyelt üzletági alkalmazásokban a rendszer indításkor kéri a PIN-kódot, mert a Intune App SDK tudja, hogy a felhasználói élmény az alkalmazásban mindig "vállalati".

A rendszergazda a Microsoft Intune Felügyeleti központban megadhatja a Intune alkalmazásvédelmi szabályzat "A hozzáférési követelmények ismételt ellenőrzése ennyi perc után" beállítását. Ez a beállítás határozza meg, hogy mennyi idő után ellenőrizze a hozzáférési követelményeket az eszközön, és ismét megjelenik az alkalmazás PIN-kódjának képernyője. A PIN-kód fontos részletei azonban befolyásolják, hogy a rendszer milyen gyakran kéri a felhasználókat:

• A PIN-kód meg van osztva ugyanazon közzétevő alkalmazásai között a használhatóság javítása érdekében: iOS/iPadOS rendszeren egyetlen alkalmazás PIN-kódja van megosztva ugyanazon alkalmazás-közzétevő összes alkalmazása között. Androidon egy alkalmazás PIN-kódja van megosztva az összes alkalmazás között.
• A "Hozzáférési követelmények ismételt ellenőrzése (perc) után" viselkedés az eszköz újraindítása után: A "PIN-kód időzítője" nyomon követi az inaktivitás perceinek számát, amelyek meghatározzák, hogy mikor jelenjen meg a Intune alkalmazás PIN-kódja. iOS/iPadOS rendszeren az eszköz újraindítása nem érinti a PIN-kód időzítőt. Így az eszköz újraindítása nincs hatással arra, hogy a felhasználó hány percig inaktív egy Intune PIN-kód-szabályzattal rendelkező iOS-/iPadOS-alkalmazásból. Android rendszeren a PIN-kód időzítője alaphelyzetbe áll az eszköz újraindításakor. Ezért az Intune PIN-kóddal rendelkező Android-alkalmazások valószínűleg kérni fogják az alkalmazás PIN-kódját, függetlenül attól, hogy az eszköz újraindítása után "A hozzáférési követelmények újraellenőrzése (perc) után".
• A PIN-kódhoz társított időzítő működés közbeni jellege: Miután beírt egy PIN-kódot egy alkalmazás (A alkalmazás) eléréséhez, és az alkalmazás elhagyja az előteret (a fő bemeneti fókuszt) az eszközön, a PIN-kód időzítője alaphelyzetbe áll az adott PIN-kódhoz. A PIN-kódot megosztó alkalmazások (B alkalmazás) nem kérik a felhasználótól a PIN-kód megadását, mert az időzítő alaphelyzetbe áll. A parancssor újra megjelenik, ha a "Hozzáférési követelmények újraellenőrzése ennyi perc után" érték ismét teljesül.

Az iOS-/iPadOS-eszközökön a különböző közzétevőktől származó alkalmazások ugyanazt a PIN-kódot használhatják. Ha azonban eléri a hozzáférési követelmények újraellenőrzése ennyi perc után értéket, Intune pin-kódot kér a felhasználótól, ha nem az alkalmazás volt a fő bemeneti fókusz. Egy felhasználó például rendelkezik az X kiadó A és B alkalmazásával az Y közzétevőtől, és ez a két alkalmazás ugyanazt a PIN-kódot használja. A felhasználó az A alkalmazásra (előtér) összpontosít, és a B alkalmazás kis méretűre van állítva. Miután a hozzáférési követelmények ismételt ellenőrzése (perc) után teljesült, és a felhasználó átváltott a B alkalmazásra, a PIN-kódra lesz szükség.

Megjegyzés:

A felhasználói hozzáférési követelmények gyakoribb ellenőrzéséhez (azaz PIN-kód kérése) különösen a gyakran használt alkalmazások esetében csökkentse a "Hozzáférési követelmények újbóli ellenőrzése ennyi perc után (perc)" beállítás értékét.

A Intune PIN-kód egy inaktivitás-alapú időzítőn alapul (a "Hozzáférési követelmények újbóli ellenőrzése ennyi idő után (perc)" érték). Így Intune PIN-kódra vonatkozó kérések az Outlook és a OneDrive beépített PIN-kód-kéréseitől függetlenül jelennek meg, amelyek gyakran alapértelmezés szerint az alkalmazások indításához kapcsolódnak. Ha a felhasználó egyidejűleg mindkét PIN-kódot kéri, a várt viselkedés az, hogy a Intune PIN-kód elsőbbséget élvez.

A PIN-kód arra szolgál, hogy csak a megfelelő felhasználó férhessen hozzá a szervezet adataihoz az alkalmazásban. Ezért a végfelhasználónak be kell jelentkeznie a munkahelyi vagy iskolai fiókjával, mielőtt beállíthatja vagy alaphelyzetbe állíthatja Intune alkalmazás PIN-kódját. Microsoft Entra ID biztonságos jogkivonatcserén keresztül kezeli ezt a hitelesítést, és nem átlátható a Intune App SDK számára. Biztonsági szempontból a munkahelyi vagy iskolai adatok védelmének legjobb módja az adatok titkosítása. A titkosítás nem az alkalmazás PIN-kódjával kapcsolatos, hanem a saját alkalmazásvédelmi szabályzata.

Az alkalmazás PIN-kód-szabályzatának részeként a rendszergazda beállíthatja, hogy a felhasználó legfeljebb hányszor próbálja meg hitelesíteni a PIN-kódját az alkalmazás zárolása előtt. A kísérletek száma után a Intune App SDK törölheti az alkalmazás "vállalati" adatait.

Az iOS/iPadOS-alapú MAM támogatja az alkalmazásszintű PIN-kódokat alfanumerikus és speciális karakterekkel (úgynevezett PIN-kód). A pin-kód beállításainak érvényesítéséhez az olyan alkalmazásoknak, mint az Word, az Excel, a PowerPoint, az Outlook, a Managed Browser és a Yammer, integrálniuk kell az iOS/iPadOS rendszerhez készült Intune App SDK-t. Az integráció nélkül Intune nem tudja kikényszeríteni az alkalmazások pin-kódbeállításait. Intune bevezette ezt a funkciót az IOS/iPadOS SDK 7.1.12-es verziójában.

A funkció támogatása és az iOS/iPadOS Intune SDK korábbi verzióival való kompatibilitás fenntartása érdekében a 7.1.12-es és újabb verziók az összes PIN-kódot (numerikus vagy PIN-kódot) a korábbi verziókban használt numerikus PIN-kódtól függetlenül kezelik. Ezért ha egy eszköz Intune SDK-val rendelkező alkalmazásokat használ az iOS/iPadOS verzióhoz a 7.1.12-es verzió előtt és 7.1.12 után ugyanabból a közzétevőből, két PIN-elemet kell beállítania.

Ennek ellenére a két PIN-szám (minden alkalmazáshoz) semmilyen módon nem kapcsolódik egymáshoz. Meg kell felelniük az alkalmazásra alkalmazott alkalmazásvédelmi szabályzatnak. Így a felhasználó csak akkor állíthatja be kétszer ugyanazt a PIN-kódot, ha az A és a B alkalmazásra ugyanazok a szabályzatok vonatkoznak (a PIN-kódra vonatkozóan).

Ez a viselkedés az Intune Mobile App Managementtel engedélyezett iOS-/iPadOS-alkalmazások PIN-kódjára jellemző. Idővel, amikor az alkalmazások az iOS/iPadOS rendszerhez készült Intune SDK újabb verzióit vezetik be, az ugyanabból a közzétevőből származó alkalmazásokon kétszer kell pin-kódot beállítania, kisebb problémát jelent.

Megjegyzés:

Az alkalmazásverziók határozzák meg, hogy lehetséges-e megosztott PIN-kód. Ha például az A alkalmazás a 7.1.12-esnél korábbi SDK-verziót, a B alkalmazás pedig a 7.1.12-es vagy újabb verziót használja, a felhasználónak minden alkalmazáshoz külön PIN-kódot kell beállítania – még akkor is, ha ugyanabból a közzétevőből származik. Ha azonban az A és a C alkalmazás egyaránt a 7.1.12 előtti verziót használja, akkor pin-kódot osztanak meg. Hasonlóképpen, a B és a D alkalmazás is rendelkezik PIN-kóddal, ha mindkettő az SDK 7.1.12-s vagy újabb verzióját használja.

A rendszergazdák olyan alkalmazásvédelmi szabályzatot telepíthetnek, amely megköveteli az alkalmazásadatok titkosítását. A szabályzat részeként a rendszergazda azt is megadhatja, hogy mikor legyen titkosítva a tartalom.

Intune titkosítja az adatokat az alkalmazásvédelmi szabályzat titkosítási beállításainak megfelelően. Részletekért lásd: Android-alkalmazásvédelmi szabályzat beállításai és iOS/iPadOS alkalmazásvédelmi szabályzat beállításai.

Csak a "vállalatiként" megjelölt adatok vannak titkosítva a rendszergazda alkalmazásvédelmi szabályzatának megfelelően. Az adatok akkor minősülnek "vállalatinak", ha üzleti helyről származnak. Az Office-alkalmazások esetében Intune a levelezést (Exchange) és a felhőbeli tárhelyet (OneDrive) üzleti helyként kezeli. A Intune App Wrapping Tool által felügyelt üzletági alkalmazások esetében az összes alkalmazásadat "vállalatinak" minősül.

Intune az alkalmazásadatok három különböző módon törölhetők: teljes eszköztörlés, az MDM szelektív törlése és a MAM szelektív törlése. Az MDM távoli törlésével kapcsolatos további információkért lásd: Eszközök eltávolítása törléssel vagy kivonással. A MAM használatával végzett szelektív törlésről további információt a Kivonás művelet és a Csak a vállalati adatok törlése alkalmazásokból című cikkben talál.

A törlés eltávolítja az összes felhasználói adatot és beállítást az eszközről az eszköz gyári alapértelmezett beállításainak visszaállításával. Az eszköz el lesz távolítva a Intune.

Megjegyzés:

A törlés csak az Intune mobileszköz-felügyelettel (MDM) regisztrált eszközökön érhető el.

Az MDM szelektív törlése csak a vállalati adatokat távolítja el az eszközről a személyes adatok befolyásolása nélkül. További információ: Eszközök eltávolítása – kivonás.

A MAM szelektív törlése egyszerűen eltávolítja a vállalati alkalmazásadatokat egy alkalmazásból. A kérés a Microsoft Intune Felügyeleti központban kezdeményezhető. A törlési kérés kezdeményezéséről a Csak a vállalati adatok törlése alkalmazásokból című témakörben olvashat.

Ha a felhasználó szelektív törlés kezdeményezésekor használja az alkalmazást, a Intune App SDK 30 percenként ellenőrzi, hogy van-e szelektív törlési kérés a Intune MAM szolgáltatásból. A szelektív törlést is ellenőrzi, amikor a felhasználó első alkalommal indítja el az alkalmazást, és bejelentkezik a munkahelyi vagy iskolai fiókjával.

Intune alkalmazásvédelem a felhasználó identitásától függ, hogy konzisztens legyen az alkalmazás és a Intune App SDK között. Ezt csak a modern hitelesítéssel garantálhatja. Vannak olyan forgatókönyvek, amelyekben az alkalmazások együttműködhetnek egy helyszíni konfigurációval, de nem konzisztensek vagy garantáltak.

Igen! A rendszergazda alkalmazásvédelmi szabályzatot telepíthet és állíthat be a Microsoft Edge alkalmazáshoz. A rendszergazda megkövetelheti, hogy a Intune által felügyelt alkalmazások összes webes hivatkozása a Microsoft Edge alkalmazással nyíljon meg.

Céges portál alkalmazás- és Intune-alkalmazásvédelem

Intune hozzáférésre vonatkozó alkalmazásvédelmi szabályzatokat a rendszer meghatározott sorrendben alkalmazza a végfelhasználói eszközökön, amikor megpróbálnak hozzáférni egy célzott alkalmazáshoz a vállalati fiókjukból. A blokkok általában elsőbbséget élveznek, majd egy bezárható figyelmeztetést. Ha például az adott felhasználóra/alkalmazásra vonatkozik, a rendszer egy minimális Android-javításverzió-beállítást alkalmaz, amely figyelmezteti a felhasználót a javításfrissítésre, miután a felhasználó hozzáférését letiltó minimális Android-javításverzió-beállítás életbe lép. Tehát abban a forgatókönyvben, amikor a rendszergazda a minimális Android-javítási verziót 2018-03-01-es verzióra és az Android minimális javításverzióját (csak figyelmeztetés) 2018-02-01-es verzióra konfigurálja, míg az alkalmazáshoz hozzáférni próbáló eszköz a 2018-01-01-es frissítési verzión volt, a végfelhasználót a rendszer a minimális Android-javítási verzió korlátozóbb beállítása alapján letiltja, amely letiltja a hozzáférést.

A különböző típusú beállítások kezelésekor az alkalmazásverzióra vonatkozó követelmények elsőbbséget élveznek, amelyet az Android operációs rendszer verziókövetelménye és az Android-javítások verziókövetelménye követ. Ezután az ugyanabban a sorrendben található összes beállításra vonatkozó figyelmeztetéseket ellenőrzi a rendszer.

A Intune szolgáltatás a Szolgáltatás terhelése által meghatározott, nem konfigurálható időközönként lép kapcsolatba a Google Play szolgáltatással. A Google Play eszközintegritás-ellenőrzési beállításához konfigurált összes rendszergazdai művelet a feltételes indításkor az Intune szolgáltatásnak küldött utolsó jelentett eredmény alapján lesz végrehajtva. Ha a Google eszközintegritási eredménye megfelelő, a rendszer nem hajt végre semmilyen műveletet. Ha a Google eszközintegritási eredménye nem megfelelő, a rendszergazda által konfigurált művelet azonnal meg lesz állítva. Ha a Google Play eszközintegritási ellenőrzésére irányuló kérés bármilyen okból meghiúsul, a rendszer az előző kérés gyorsítótárazott eredményét legfeljebb 24 órán keresztül, vagy a következő eszköz-újraindítást fogja használni, amely valaha is az első lesz. Ekkor Intune alkalmazásvédelmi szabályzatok letiltják a hozzáférést, amíg az aktuális eredmény nem lesz elérhető.

Ennek módjára vonatkozó utasítások eszközönként kissé eltérőek. Az általános folyamat része a Google Play Áruház megnyitása, majd a Saját alkalmazások & játékok elemre kattintva az utolsó alkalmazásvizsgálat eredményére kattintva, amely a Védelem lejátszása menübe kerül. Győződjön meg arról, hogy az Eszköz biztonsági fenyegetések keresése kapcsoló be van kapcsolva.

Intune Google Play Integrity API-kat alkalmaz, hogy hozzáadja a meglévő gyökérészlelési ellenőrzéseinkhez a nem regisztrált eszközöket. A Google kifejlesztette és fenntartotta ezt az API-készletet az Android-alkalmazások számára, ha nem szeretnék, hogy az alkalmazásaik rootolt eszközökön fussanak. Az Android Pay alkalmazás például ezt építette be. Bár a Google nem osztja meg nyilvánosan az elvégzett gyökérészlelési ellenőrzések teljes egészét, elvárjuk, hogy ezek az API-k észleljék az eszközeiket gyökerező felhasználókat. Ezeket a felhasználókat ezután letilthatja a hozzáférésük, vagy a vállalati fiókjuk törölhető a szabályzatot engedélyező alkalmazásaikból. Az "Alapvető integritás ellenőrzése" az eszköz általános integritásáról tájékoztat. A feltört eszközök, emulátorok, virtuális eszközök és illetéktelen módosításra utaló jeleket tartalmazó eszközök alapvető integritása meghiúsul. Az "Alapszintű integritás ellenőrzése & hitelesített eszközök" című cikkből megtudhatja, hogy az eszköz kompatibilis-e a Google szolgáltatásaival. Ezt az ellenőrzést csak a Google által hitelesített, nem módosított eszközök tudják átadni. A sikertelen eszközök közé tartoznak a következők:

• Alapszintű integritást nem használó eszközök
• Zárolt rendszertöltővel rendelkező eszközök
• Egyéni rendszerképpel/ROM-tal rendelkező eszközök
• Olyan eszközök, amelyeket a gyártó nem igényelt, illetve nem adott át Google-minősítést
• Közvetlenül az Android nyílt forráskódú program forrásfájljaiból létrehozott rendszerképpel rendelkező eszközök
• Bétaverziós/fejlesztői előzetes verziójú rendszerképpel rendelkező eszközök

Technikai részletekért tekintse meg a Google Play Integrity API-val kapcsolatos dokumentációját .

A Google Play Integrity API-ellenőrzésekhez a végfelhasználónak online állapotra van szüksége az igazolási eredmények meghatározásához szükséges "roundtrip" végrehajtásakor. Ha a végfelhasználó offline állapotban van, a rendszergazda továbbra is számíthat arra, hogy a rendszer kikényszeríti az eredményt a "jailbreakelt/rootolt eszközök" beállításból. Ez azt jelenti, hogy ha a végfelhasználó túl hosszú ideig volt offline, az "Offline türelmi időszak" érték lép életbe, és a munkahelyi vagy iskolai adatokhoz való minden hozzáférés le lesz tiltva az időzítő értékének elérése után, amíg a hálózati hozzáférés elérhetővé nem válik. Mindkét beállítás bekapcsolása lehetővé teszi a végfelhasználói eszközök kifogástalan állapotának megőrzését szolgáló rétegzett megközelítést, ami akkor fontos, ha a végfelhasználók mobileszközökön férnek hozzá a munkahelyi vagy iskolai adatokhoz.

A "Play integrity verdict" és a "Threat scan on apps" (Fenyegetésvizsgálat az alkalmazásokon) beállításokhoz is szükség van a Google Play-szolgáltatások Google által meghatározott verziójára a megfelelő működéshez. Mivel ezek a beállítások a biztonság területére esnek, a rendszer letiltja a végfelhasználót, ha ezeket a beállításokat használja, és nem felel meg a Google Play Services megfelelő verziójának, vagy nem rendelkezik hozzáféréssel a Google Play Szolgáltatásokhoz.

Intune alkalmazásvédelmi szabályzatok csak a Intune licenccel rendelkező felhasználó számára engedélyezik az alkalmazás-hozzáférés vezérlését. Az alkalmazáshoz való hozzáférés szabályozásának egyik módja, ha az Apple Touch ID vagy Face ID azonosítóját igényli a támogatott eszközökön. Intune olyan viselkedést valósít meg, amelyben az eszköz biometrikus adatbázisának módosítása esetén Intune pin-kódot kér a felhasználótól, amikor a következő tétlenségi időtúllépési érték teljesül. A biometrikus adatok változásai közé tartozik az ujjlenyomat vagy az arc hozzáadása vagy eltávolítása. Ha a Intune felhasználó nem rendelkezik PIN-kóddal, a rendszer egy Intune PIN-kódot állít be.

Ennek az a célja, hogy továbbra is biztonságosan és az alkalmazás szintjén védve tartsa a szervezet adatait az alkalmazásban. Ez a funkció csak iOS/iPadOS rendszeren érhető el, és az iOS/iPadOS Intune APP SDK 9.0.1-es vagy újabb verzióját integráló alkalmazások részvételére van szükség. Az SDK integrációjára azért van szükség, hogy a viselkedés kényszeríthető legyen a megcélzott alkalmazásokon. Ez az integráció gördülő alapon történik, és az adott alkalmazáscsapatoktól függ. A programban részt vevő alkalmazások közé tartozik például a WXP, az Outlook, a Managed Browser és a Yammer.

Intune alkalmazásvédelmi szabályzat nem tudja vezérelni az iOS-megosztási bővítményt az eszköz kezelése nélkül. Ezért Intune titkosítja a "vállalati" adatokat, mielőtt megosztanák azokat az alkalmazáson kívül. Ezt úgy ellenőrizheti, hogy megpróbálja megnyitni a "vállalati" fájlt a felügyelt alkalmazáson kívül. A fájlnak titkosítva kell lennie, és nem nyitható meg a felügyelt alkalmazáson kívül.

Intune hozzáférésre vonatkozó alkalmazásvédelmi szabályzatok adott sorrendben lesznek alkalmazva a végfelhasználói eszközökön, amikor megpróbálnak hozzáférni egy célzott alkalmazáshoz a vállalati fiókjukból. Általánosságban elmondható, hogy a törlés elsőbbséget élvez, amelyet egy blokk követ, majd egy bezárható figyelmeztetés. Ha például az adott felhasználóra/alkalmazásra vonatkozik, a rendszer egy minimális iOS/iPadOS operációsrendszer-beállítást alkalmaz, amely arra figyelmezteti a felhasználót, hogy frissítse az iOS/iPadOS-verziót, miután a felhasználó hozzáférését letiltó minimális iOS/iPadOS operációs rendszerbeállítást alkalmazta. Tehát abban a forgatókönyvben, amikor a rendszergazda a minimális iOS/iPadOS operációs rendszert 11.0.0.0-ra, a minimális iOS/iPadOS operációs rendszert (csak figyelmeztetés) a 11.1.0.0-ra konfigurálja, amíg az alkalmazáshoz hozzáférni próbáló eszköz iOS/iPadOS 10 rendszeren volt, a rendszer letiltja a végfelhasználót a minimális iOS/iPadOS operációsrendszer-verzió szigorúbb beállítása alapján, amely letiltja a hozzáférést.

A különböző típusú beállítások kezelésekor a Intune App SDK verziókövetelménye elsőbbséget élvez, majd egy alkalmazásverzióra vonatkozó követelmény, amelyet az iOS/iPadOS operációs rendszer verziókövetelménye követ. Ezután az ugyanabban a sorrendben található összes beállításra vonatkozó figyelmeztetéseket ellenőrzi a rendszer. Azt javasoljuk, hogy a Intune App SDK verziókövetelményét csak a Intune termékcsapatának útmutatása alapján konfigurálja az alapvető blokkolási forgatókönyvekhez.

Lásd még

• Intune üzembe helyezése
• Bevezetési terv létrehozása
• Androidos mobilalkalmazás-felügyeleti szabályzat beállításai a Microsoft Intune
• iOS/iPadOS mobilalkalmazás-felügyeleti szabályzat beállításai
• szabályzatfrissítés Alkalmazásvédelem
• Az alkalmazásvédelmi szabályzatok ellenőrzése
• Alkalmazáskonfigurációs szabályzatok hozzáadása eszközregisztráció nélküli felügyelt alkalmazásokhoz
• Támogatás kérése Microsoft Intune