Gyakori kérdések a MAM-ról és az alkalmazásvédelemről

Ez a cikk az Intune mobilalkalmazás-kezeléssel (MAM) és az Intune alkalmazásvédelemmel kapcsolatos gyakori kérdésekre ad választ.

A MAM alapjai

Mi az a MAM?

szabályzatok Alkalmazásvédelem

Mik azok az alkalmazásvédelmi házirendek?

Alkalmazásvédelem szabályzatok olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságban legyenek vagy egy felügyelt alkalmazásban legyenek tárolva. A szabályzatok lehetnek olyan szabályok, amelyek akkor lépnek érvénybe, amikor a felhasználó "vállalati" adatokhoz próbál hozzáférni vagy áthelyezni, vagy olyan műveletek halmaza, amelyeket a felhasználó az alkalmazáson belül tilt vagy figyel.

Mik az alkalmazásvédelmi szabályzatok példái?

Az egyes alkalmazásvédelmi szabályzatokkal kapcsolatos részletes információkért tekintse meg az Android alkalmazásvédelmi szabályzatbeállításai és az iOS/iPadOS alkalmazásvédelmi szabályzatbeállításai című témakört.

Lehetséges, hogy az MDM- és MAM-szabályzatok egyszerre vannak alkalmazva ugyanarra a felhasználóra, különböző eszközökre? Például ha egy felhasználó hozzáférhet a munkahelyi erőforrásaihoz a saját MAM-kompatibilis gépéről, de egy Intune MDM által felügyelt eszközt is használhat. Van valami kikötés erre az ötletre?

Ha a felhasználóra az eszközfelügyeleti állapot beállítása nélkül alkalmaz MAM-szabályzatot, akkor a felhasználó a BYOD-eszközön és az Intune által felügyelt eszközön is megkapja a MAM-szabályzatot. Mam-szabályzatot az eszközfelügyeleti állapot alapján is alkalmazhat. Így amikor alkalmazásvédelmi szabályzatot hoz létre, a Target to apps on all device types (Célalkalmazások az összes eszköztípuson) elem mellett válassza a Nem lehetőséget. Ezután hajtsa végre az alábbi műveletek egyikét:

  • Alkalmazzon kevésbé szigorú MAM-szabályzatot az Intune által felügyelt eszközökre, és alkalmazzon szigorúbb MAM-szabályzatot a nem MDM-ben regisztrált eszközökre.
  • Ugyanolyan szigorú MAM-szabályzatot alkalmazhat az Intune által felügyelt eszközökre, mint a harmadik fél által felügyelt eszközökre.
  • Mam-szabályzat alkalmazása csak a nem regisztrált eszközökre.

További információ: Alkalmazásvédelmi szabályzatok monitorozása.

Alkalmazásvédelmi szabályzatokkal kezelhető alkalmazások

Mely alkalmazásokat lehet alkalmazásvédelmi szabályzatokkal kezelni?

Az Intune App SDK-val integrált vagy az Intune App Wrapping Tool burkolt alkalmazások integrálhatók az Intune alkalmazásvédelmi szabályzataival. Tekintse meg a nyilvánosan használható , Intune által felügyelt alkalmazások hivatalos listáját.

Mik az alkalmazásvédelmi szabályzatok Intune által felügyelt alkalmazásokon való használatának alapkövetelményei?

Mi a teendő, ha engedélyezni szeretnék egy alkalmazást az Intune App Protectionben, de nem támogatott alkalmazásfejlesztési platformot használ?

Az Intune SDK fejlesztői csapata aktívan teszteli és támogatja a natív Android, iOS/iPadOS (Obj-C, Swift), Xamarin és Xamarin.Forms platformokkal készült alkalmazásokat. Bár egyes ügyfelek sikeresen integrálták az Intune SDK-t más platformokkal, például a React Native és a NativeScripttel, nem biztosítunk explicit útmutatást vagy beépülő modulokat az alkalmazásfejlesztőknek, amelyek a támogatott platformokon kívül mást is használnak.

Támogatja az Intune APP SDK a Microsoft Authentication Libraryt (MSAL)?

Az Intune App SDK használhatja a Microsoft Authentication Libraryt a hitelesítéshez és a feltételes indítási forgatókönyvekhez. Arra is támaszkodik, hogy az MSAL regisztrálja a felhasználói identitást a MAM szolgáltatásban az eszközregisztrációs forgatókönyvek nélküli felügyelethez.

Milyen további követelmények vonatkoznak az Outlook mobilapp használatára?

  • A végfelhasználónak telepítve kell lennie az Outlook mobilappnak az eszközén.

  • A végfelhasználónak microsoftos 365 Exchange Online postaládával és licenccel kell rendelkeznie a Microsoft Entra-fiókjához.

    Megjegyzés:

    Az Outlook mobilalkalmazás jelenleg csak az Intune App Protectiont támogatja a hibrid modern hitelesítéssel rendelkező Microsoft Exchange Online és Exchange Server esetében, és nem támogatja az Exchange-et a dedikált Office 365.

Milyen további követelmények vonatkoznak a Word, az Excel és a PowerPoint alkalmazás használatára?

  • A végfelhasználónak rendelkeznie kell a Microsoft Entra-fiókjához társított licenccel Üzleti Microsoft 365-alkalmazások vagy vállalat számára. Az előfizetésnek tartalmaznia kell az Office-alkalmazásokat a mobileszközökön, és tartalmaznia kell egy felhőalapú tárfiókot OneDrive Vállalati verzió. A Microsoft 365-licencek az alábbi utasításokMicrosoft 365 Felügyeleti központ rendelhetők hozzá.

  • A végfelhasználónak rendelkeznie kell egy felügyelt hellyel, amely a részletes mentés másként funkcióval van konfigurálva a "Szervezeti adatok másolatainak mentése" alkalmazásvédelmi házirend-beállításban. Ha például a felügyelt hely a OneDrive, a OneDrive alkalmazást a végfelhasználó Word, Excelben vagy PowerPoint-appban kell konfigurálni.

  • Ha a felügyelt hely a OneDrive, az alkalmazást a végfelhasználó számára telepített alkalmazásvédelmi szabályzatnak kell céloznia.

    Megjegyzés:

    Az Office-mobilappok jelenleg csak a SharePoint Online-t támogatják, a helyszíni SharePointot nem.

Miért van szükség felügyelt helyre (azaz OneDrive-ra) az Office-hoz?

Az Intune az alkalmazásban lévő összes adatot "vállalati" vagy "személyes" megjelölésűként jelöli meg. Az adatok akkor minősülnek "vállalatinak", ha üzleti helyről származnak. Az Office-appok esetében az Intune a következőket tekinti üzleti helynek: levelezés (Exchange) vagy felhőalapú tárhely (OneDrive Vállalati verzió fiókkal rendelkező OneDrive alkalmazás).

Milyen további követelmények vonatkoznak a Skype Vállalati verzió használatára?

Lásd: Skype Vállalati verzió licenckövetelmények. A Skype Vállalati verzió (SfB) hibrid és helyszíni konfigurációkkal kapcsolatban lásd: Hibrid modern hitelesítés az SfB-hez és az Exchange általánosan elérhető általánosan elérhető, a helyszíni SfB modern hitelesítése pedig Microsoft Entra ID.

Alkalmazásvédelem funkciók

Mi a többszörös identitás támogatása?

A többszörös identitás támogatása lehetővé teszi, hogy az Intune App SDK csak az alkalmazásba bejelentkezett munkahelyi vagy iskolai fiókra alkalmazza az alkalmazásvédelmi szabályzatokat. Ha egy személyes fiók be van jelentkezve az alkalmazásba, az adatok érintetlenek lesznek.

Mi a több identitás támogatásának célja?

A többszörös identitás támogatása lehetővé teszi a "vállalati" és a fogyasztói célközönséggel (azaz az Office-alkalmazásokkal) rendelkező alkalmazások nyilvános kiadását az Intune alkalmazásvédelmi képességeivel a "vállalati" fiókokhoz.

Mi a helyzet az Outlook és a többszörös identitás használatával?

Mivel az Outlook a személyes és a "vállalati" e-maileket is tartalmazza, az Outlook app indításkor kéri az Intune PIN-kódját.

Mi az Intune-alkalmazás PIN-kódja?

A személyes azonosítószám (PIN-kód) annak ellenőrzésére szolgál, hogy a megfelelő felhasználó hozzáfér-e a szervezet adataihoz egy alkalmazásban.

Mikor kéri a felhasználó a PIN-kód megadását?

Az Intune rákérdez a felhasználó alkalmazásÁNAK PIN-kódjára, amikor a felhasználó a "vállalati" adatokhoz való hozzáférésre készül. A több identitást használó alkalmazásokban, például a Word/Excelben/PowerPointban a rendszer a felhasználótól kéri a PIN-kód megadását, amikor megpróbál megnyitni egy "vállalati" dokumentumot vagy fájlt. Az egy identitással rendelkező alkalmazásokban, például az Intune App Wrapping Tool felügyelt üzletági alkalmazásokban a rendszer indításkor kéri a PIN-kódot, mert az Intune App SDK tudja, hogy az alkalmazás felhasználói élménye mindig "vállalati".

Milyen gyakran kéri a rendszer a felhasználótól az Intune PIN-kódjának megadását?

A rendszergazda a Microsoft Intune Felügyeleti központban definiálhatja az Intune alkalmazásvédelmi szabályzatának "A hozzáférési követelmények ismételt ellenőrzése ennyi perc után" beállítását. Ez a beállítás határozza meg, hogy mennyi idő után ellenőrizze a hozzáférési követelményeket az eszközön, és ismét megjelenik az alkalmazás PIN-kódjának képernyője. A PIN-kód fontos részletei azonban befolyásolják, hogy a rendszer milyen gyakran kéri a felhasználót:

  • A PIN-kód meg van osztva ugyanazon közzétevő alkalmazásai között a használhatóság javítása érdekében: iOS/iPadOS rendszeren egyetlen alkalmazás PIN-kódja van megosztva az ugyanazon alkalmazás-közzétevő összes alkalmazása között. Androidon egy alkalmazás PIN-kódja minden alkalmazás között meg van osztva.
  • A "Hozzáférési követelmények ismételt ellenőrzése (perc) után" viselkedés az eszköz újraindítása után: A PIN-kód időzítője nyomon követi, hogy hány perc inaktivitás után jelenjen meg az Intune-alkalmazás PIN-kódja. iOS/iPadOS rendszeren az eszköz újraindítása nem érinti a PIN-kód időzítőt. Így az eszköz újraindítása nincs hatással arra, hogy a felhasználó hány percet inaktív egy Intune PIN-kód-szabályzattal rendelkező iOS-/iPadOS-alkalmazásból. Android rendszeren a PIN-kód időzítője alaphelyzetbe áll az eszköz újraindításakor. Ezért az Intune PIN-kód-szabályzattal rendelkező Android-alkalmazások valószínűleg kérni fogják az alkalmazás PIN-kódját, függetlenül attól, hogy az eszköz újraindítása után "A hozzáférési követelmények újraellenőrzése (perc) után".
  • A PIN-kódhoz társított időzítő működés közbeni jellege: Miután beírt egy PIN-kódot egy alkalmazás (A alkalmazás) eléréséhez, és az alkalmazás elhagyja az előteret (a fő bemeneti fókuszt) az eszközön, a PIN-kód időzítője alaphelyzetbe áll az adott PIN-kódhoz. A PIN-kódot használó alkalmazások (B alkalmazás) nem kérik a felhasználótól a PIN-kód megadását, mert az időzítő alaphelyzetbe áll. A parancssor újra megjelenik, ha a "Hozzáférési követelmények újraellenőrzése ennyi perc után" érték ismét teljesül.

iOS-/iPadOS-eszközök esetén, még ha a PIN-kód meg is van osztva a különböző közzétevőktől származó alkalmazások között, a rendszer akkor is újra megjelenik, ha a hozzáférési követelmények ismételt ellenőrzése ennyi perc után érték ismét teljesül a nem a fő beviteli fókuszban lévő alkalmazás esetében. Egy felhasználó például rendelkezik az X kiadó A és B alkalmazásával az Y közzétevőtől, és ez a két alkalmazás ugyanazt a PIN-kódot használja. A felhasználó az A alkalmazásra (előtér) összpontosít, és a B alkalmazás kis méretűre van állítva. Miután a hozzáférési követelmények ismételt ellenőrzése (perc) után teljesült, és a felhasználó átváltott a B alkalmazásra, a PIN-kódra lesz szükség.

Megjegyzés:

A felhasználó hozzáférési követelményeinek gyakoribb ellenőrzése (azaz PIN-kód kérése) érdekében, különösen egy gyakran használt alkalmazás esetében ajánlott csökkenteni a "Hozzáférési követelmények újbóli ellenőrzése ennyi perc után" beállítás értékét.

Hogyan működik az Intune PIN-kódja az Outlookhoz és a OneDrive-hoz készült beépített alkalmazás-PIN-kódokkal?

Az Intune PIN-kódja inaktivitás-alapú időzítőn alapul (a "Hozzáférési követelmények újbóli ellenőrzése ennyi idő után (perc)" érték). Így az Intune PIN-kód-kérései az Outlook és a OneDrive beépített PIN-kód-kéréseitől függetlenül jelennek meg, amelyek gyakran alapértelmezés szerint az alkalmazások indításához kapcsolódnak. Ha a felhasználó egyidejűleg mindkét PIN-kódot kéri, a várt viselkedés az, hogy az Intune PIN-kódja elsőbbséget élvez.

Biztonságos a PIN-kód?

A PIN-kód arra szolgál, hogy csak a megfelelő felhasználó férhessen hozzá a szervezet adataihoz az alkalmazásban. Ezért a végfelhasználónak be kell jelentkeznie a munkahelyi vagy iskolai fiókjával, mielőtt beállíthatja vagy alaphelyzetbe állíthatja az Intune-alkalmazás PIN-kódját. Ezt a hitelesítést az Microsoft Entra ID kezeli biztonságos jogkivonat-cserével, és nem átlátható az Intune App SDK számára. Biztonsági szempontból a munkahelyi vagy iskolai adatok védelmének legjobb módja az adatok titkosítása. A titkosítás nem az alkalmazás PIN-kódjával kapcsolatos, hanem a saját alkalmazásvédelmi szabályzata.

Hogyan védi az Intune a PIN-kódot a találgatásos támadásokkal szemben?

Az alkalmazás PIN-kód-szabályzatának részeként a rendszergazda beállíthatja, hogy a felhasználó legfeljebb hányszor próbálja meg hitelesíteni a PIN-kódját az alkalmazás zárolása előtt. A kísérletek száma után az Intune App SDK törölheti az alkalmazásban lévő "vállalati" adatokat.

Miért kell kétszer pin-kódot beállítani az ugyanazon közzétevőtől származó alkalmazásokhoz?

A MAM (iOS/iPadOS rendszeren) jelenleg alfanumerikus és speciális karakterekkel (pin-kód) rendelkező alkalmazásszintű PIN-kódot engedélyez, amelyhez az alkalmazások (pl. WXP, Outlook, Managed Browser, Yammer) részvétele szükséges az iOS/iPadOS-hez készült Intune APP SDK integrálásához. Enélkül a pin-kód beállításai nem lesznek megfelelően kikényszerítve a megcélzott alkalmazásokhoz. Ez a funkció az Intune SDK for iOS/iPadOS v. 7.1.12-ben jelent meg.

Ennek a funkciónak a támogatása és az iOS/iPadOS-hez készült Intune SDK korábbi verzióival való kompatibilitás biztosítása érdekében a 7.1.12+-os vagy újabb verziókban az összes PIN-kód (numerikus vagy pin-kód) az SDK korábbi verzióiban használt numerikus PIN-kódtól elkülönítve lesz kezelve. Ezért ha egy eszközön az iOS/iPadOS-verziókhoz készült Intune SDK-val rendelkező alkalmazások a 7.1.12-es verzió előtt és 7.1.12-es verzió után ugyanabból a közzétevőből származnak, két PIN-elemet kell beállítaniuk.

Ennek ellenére a két PIN-szám (minden alkalmazáshoz) semmilyen módon nem kapcsolódik, azaz be kell tartaniuk az alkalmazásra alkalmazott alkalmazásvédelmi szabályzatot. Így a felhasználó csak akkor állíthatja be kétszer ugyanazt a PIN-kódot, ha az A és a B alkalmazásra ugyanazok a szabályzatok vonatkoznak (a PIN-kódra vonatkozóan).

Ez a viselkedés az Intune Mobile App Managementtel engedélyezett iOS-/iPadOS-alkalmazások PIN-kódjára jellemző. Idővel, amikor az alkalmazások az iOS/iPadOS-hez készült Intune SDK újabb verzióit vezetik be, az ugyanabból a közzétevőből származó alkalmazásokon kétszer kell pin-kódot beállítani, kevésbé lesz probléma. Példaként tekintse meg az alábbi megjegyzést.

Megjegyzés:

Ha például az A alkalmazás a 7.1.12-esnél korábbi verzióval készült, és a B alkalmazás 7.1.12-nél nagyobb vagy azzal egyenlő verzióval készült ugyanabból a közzétevőből, a végfelhasználónak külön kell beállítania a PIN-kódokat az A és a B rendszerhez, ha mindkettő iOS/iPadOS-eszközön van telepítve.

Ha az eszközön telepítve van az SDK 7.1.9-es verzióját tartalmazó C alkalmazás, ugyanazzal a PIN-kóddal fog osztozni, mint az A alkalmazás.

A 7.1.14-zel készült D alkalmazás ugyanazzal a PIN-kóddal rendelkezik, mint a B alkalmazás.

Ha egy eszközön csak az A és a C alkalmazás van telepítve, akkor egy PIN-kódot kell beállítani. Ugyanez vonatkozik arra az esetre, ha csak a B és a D alkalmazás van telepítve egy eszközön.

Mi a helyzet a titkosítással?

A rendszergazdák olyan alkalmazásvédelmi szabályzatot telepíthetnek, amely megköveteli az alkalmazásadatok titkosítását. A szabályzat részeként a rendszergazda azt is megadhatja, hogy mikor legyen titkosítva a tartalom.

Hogyan titkosítja az Intune az adatokat?

A titkosítási alkalmazásvédelmi szabályzat beállításával kapcsolatos részletes információkért tekintse meg az Android alkalmazásvédelmi szabályzatának beállításait és az iOS/iPadOS alkalmazásvédelmi házirend-beállításait .

Mi lesz titkosítva?

Csak a "vállalatiként" megjelölt adatok vannak titkosítva a rendszergazda alkalmazásvédelmi szabályzatának megfelelően. Az adatok akkor minősülnek "vállalatinak", ha üzleti helyről származnak. Az Office-appok esetében az Intune a következőket tekinti üzleti helynek: levelezés (Exchange) vagy felhőalapú tárhely (OneDrive Vállalati verzió fiókkal rendelkező OneDrive alkalmazás). Az Intune App Wrapping Tool által felügyelt üzletági alkalmazások esetében az összes alkalmazásadat "vállalatinak" minősül.

Hogyan törli távolról az Intune az adatokat?

Az Intune három különböző módon képes törölni az alkalmazásadatokat: teljes eszköztörlés, az MDM szelektív törlése és a MAM szelektív törlése. Az MDM távoli törlésével kapcsolatos további információkért lásd: Eszközök eltávolítása törléssel vagy kivonással. A MAM használatával végzett szelektív törlésről további információt a Kivonás művelet és a Csak a vállalati adatok törlése alkalmazásokból című cikkben talál.

Mi az a törlés?

A törlés eltávolítja az összes felhasználói adatot és beállítást az eszközről az eszköz gyári alapértelmezett beállításainak visszaállításával. Az eszköz el lesz távolítva az Intune-ból.

Megjegyzés:

A törlés csak az Intune mobileszköz-felügyelettel (MDM) regisztrált eszközökön érhető el.

Mi az MDM szelektív törlése?

A céges adatok eltávolításáról az Eszközök eltávolítása – kivonás című témakörben olvashat.

Mi a mam szelektív törlése?

A MAM szelektív törlése egyszerűen eltávolítja a vállalati alkalmazásadatokat egy alkalmazásból. A kérés a Microsoft Intune Felügyeleti központban kezdeményezhető. A törlési kérés kezdeményezéséről a Csak a vállalati adatok törlése alkalmazásokból című témakörben olvashat.

Milyen gyorsan történik a MAM szelektív törlése?

Ha a felhasználó szelektív törlés kezdeményezésekor használja az alkalmazást, az Intune App SDK 30 percenként ellenőrzi, hogy van-e szelektív törlési kérés az Intune MAM szolgáltatásból. A szelektív törlést is ellenőrzi, amikor a felhasználó első alkalommal indítja el az alkalmazást, és bejelentkezik a munkahelyi vagy iskolai fiókjával.

Miért nem működnek a helyszíni (helyszíni) szolgáltatások az Intune által védett alkalmazásokkal?

Az Intune alkalmazásvédelem a felhasználó identitásától függ, hogy konzisztens legyen az alkalmazás és az Intune App SDK között. Ezt csak a modern hitelesítéssel garantálhatja. Vannak olyan forgatókönyvek, amelyekben az alkalmazások együttműködhetnek egy helyszíni konfigurációval, de nem konzisztensek és nem garantáltak.

Van biztonságos módja annak, hogy webes hivatkozásokat nyisson meg a felügyelt alkalmazásokból?

Igen! A rendszergazda alkalmazásvédelmi szabályzatot telepíthet és állíthat be a Microsoft Edge alkalmazáshoz. A rendszergazda megkövetelheti, hogy az Intune által felügyelt alkalmazások összes webes hivatkozása a Microsoft Edge alkalmazással nyíljon meg.

Alkalmazásélmény Androidon

Miért van szükség a Céges portál alkalmazásra ahhoz, hogy az Intune alkalmazásvédelem működjön Android-eszközökön?

Hogyan működnek az Intune alkalmazásvédelmi hozzáférési beállításai, amelyek ugyanarra az alkalmazáskészletre és felhasználóra vannak konfigurálva Androidon?

Az Intune alkalmazásvédelmi hozzáférési szabályzatai adott sorrendben lesznek alkalmazva a végfelhasználói eszközökön, amikor megpróbálnak hozzáférni egy célzott alkalmazáshoz a vállalati fiókjukból. A blokkok általában elsőbbséget élveznek, majd egy bezárható figyelmeztetést. Ha például az adott felhasználóra/alkalmazásra vonatkozik, a rendszer egy minimális Android-javításverzió-beállítást alkalmaz, amely figyelmezteti a felhasználót a javításfrissítésre, miután a felhasználó hozzáférését letiltó minimális Android-javításverzió-beállítás életbe lép. Tehát abban a forgatókönyvben, amikor a rendszergazda a minimális Android-javítási verziót 2018-03-01-es verzióra és az Android minimális javításverzióját (csak figyelmeztetés) 2018-02-01-es verzióra konfigurálja, míg az alkalmazáshoz hozzáférni próbáló eszköz a 2018-01-01-es frissítési verzión volt, a végfelhasználót a rendszer a minimális Android-javítási verzió korlátozóbb beállítása alapján letiltja, amely letiltja a hozzáférést.

A különböző típusú beállítások kezelésekor az alkalmazásverzióra vonatkozó követelmények elsőbbséget élveznek, amelyet az Android operációs rendszer verziókövetelménye és az Android-javítások verziókövetelménye követ. Ezután az ugyanabban a sorrendben található összes beállításra vonatkozó figyelmeztetéseket ellenőrzi a rendszer.

Az Intune alkalmazásvédelmi szabályzatai lehetővé teszik a rendszergazdák számára, hogy megkövetelje a végfelhasználói eszközöktől a Google Play eszközintegritási ellenőrzésének átadását androidos eszközökön. Milyen gyakran küld egy új Google Play-eszközintegritás-ellenőrzési eredményt a szolgáltatásnak?

Az Intune szolgáltatás a szolgáltatás terhelése által meghatározott nem konfigurálható időközönként kapcsolatba lép a Google Play szolgáltatással. A Google Play eszközintegritás-ellenőrzési beállításához konfigurált összes rendszergazdai művelet az Intune szolgáltatásnak a feltételes indításkor jelentett utolsó jelentett eredmény alapján lesz végrehajtva. Ha a Google eszközintegritási eredménye megfelelő, a rendszer nem hajt végre semmilyen műveletet. Ha a Google eszközintegritási eredménye nem megfelelő, a rendszergazda által konfigurált művelet azonnal meg lesz állítva. Ha a Google Play eszközintegritási ellenőrzésére irányuló kérés bármilyen okból meghiúsul, a rendszer az előző kérés gyorsítótárazott eredményét legfeljebb 24 órán keresztül, vagy a következő eszköz-újraindítást fogja használni, amely valaha is az első lesz. Ekkor az Intune alkalmazásvédelmi szabályzatai letiltják a hozzáférést, amíg az aktuális eredmény nem lesz elérhető.

Az Intune alkalmazásvédelmi szabályzatai lehetővé teszik, hogy a rendszergazdák megköveteljék a végfelhasználóktól, hogy jeleket küldjenek a Google Verify Apps API-ján keresztül Android-eszközökhöz. Hogyan kapcsolhatja be a végfelhasználó az alkalmazásvizsgálatot, hogy emiatt ne legyen hozzáférése letiltva?

Ennek módjára vonatkozó utasítások eszközönként kissé eltérőek. Az általános folyamat része a Google Play Áruház megnyitása, majd a Saját alkalmazások & játékok elemre kattintva az utolsó alkalmazásvizsgálat eredményére kattintva, amely a Védelem lejátszása menübe kerül. Győződjön meg arról, hogy az Eszköz biztonsági fenyegetések keresése kapcsoló be van kapcsolva.

Mit ellenőriz valójában a Google Play Integrity API androidos eszközökön? Mi a különbség az "Alapszintű integritás ellenőrzése" és az "Alapszintű integritás ellenőrzése & hitelesített eszközök" konfigurálható értékei között?

Az Intune a Google Play Integrity API-kat használja a regisztráció nélküli eszközök meglévő gyökérészlelési ellenőrzésének hozzáadásához. A Google kifejlesztette és fenntartotta ezt az API-készletet androidos alkalmazások számára, hogy bevezethessék, ha nem szeretnék, hogy az alkalmazásaik rootolt eszközökön fussanak. Az Android Pay alkalmazás beépítette például ezt. Bár a Google nem osztja meg nyilvánosan az elvégzett gyökérészlelési ellenőrzések teljes egészét, elvárjuk, hogy ezek az API-k észleljék az eszközeiket gyökerező felhasználókat. Ezeket a felhasználókat ezután letilthatja a hozzáférésük, vagy a vállalati fiókjuk törölhető a szabályzatot engedélyező alkalmazásaikból. Az "Alapvető integritás ellenőrzése" az eszköz általános integritásáról tájékoztat. A feltört eszközök, emulátorok, virtuális eszközök és illetéktelen módosításra utaló jeleket tartalmazó eszközök alapvető integritása meghiúsul. Az "Alapszintű integritás ellenőrzése & hitelesített eszközök" című cikkből megtudhatja, hogy az eszköz kompatibilis-e a Google szolgáltatásaival. Ezt az ellenőrzést csak a Google által hitelesített, nem módosított eszközök tudják átadni. A sikertelen eszközök közé tartoznak a következők:

  • Alapszintű integritást nem használó eszközök
  • Zárolt rendszertöltővel rendelkező eszközök
  • Egyéni rendszerképpel/ROM-tal rendelkező eszközök
  • Olyan eszközök, amelyekhez a gyártó nem igényelt vagy nem adott át Google-minősítést
  • Közvetlenül az Android nyílt forráskódú program forrásfájljaiból létrehozott rendszerképpel rendelkező eszközök
  • Bétaverziós/fejlesztői előzetes verziójú rendszerképpel rendelkező eszközök

Technikai részletekért tekintse meg a Google Play Integrity API-val kapcsolatos dokumentációját .

Az Android-eszközökhöz készült Intune alkalmazásvédelmi szabályzat létrehozásakor a Feltételes indítás szakaszban két hasonló ellenőrzés található. Megkövetelhetem a "Play integrity verdict" vagy a "jailbreakelt/rooted devices" beállítást?

A Google Play Integrity API-ellenőrzések megkövetelik, hogy a végfelhasználó online állapotban legyen, legalább arra az időtartamra, amikor a "roundtrip" az igazolási eredmények meghatározásához végre lesz hajtva. Ha a végfelhasználó offline állapotban van, a rendszergazda továbbra is számíthat arra, hogy a rendszer kikényszeríti az eredményt a "jailbreakelt/rootolt eszközök" beállításból. Ez azt jelenti, hogy ha a végfelhasználó túl hosszú ideig volt offline, az "Offline türelmi időszak" érték lép életbe, és a munkahelyi vagy iskolai adatokhoz való minden hozzáférés le lesz tiltva az időzítő értékének elérése után, amíg a hálózati hozzáférés elérhetővé nem válik. Mindkét beállítás bekapcsolása lehetővé teszi a végfelhasználói eszközök kifogástalan állapotának megőrzését szolgáló rétegzett megközelítést, ami akkor fontos, ha a végfelhasználók mobileszközökön férnek hozzá a munkahelyi vagy iskolai adatokhoz.

A Google Play Protect API-kat használó alkalmazásvédelmi szabályzat beállításainak működéséhez a Google Play-szolgáltatásokra van szükség. Mi a teendő, ha a Google Play-szolgáltatások nem engedélyezettek azon a helyen, ahol a végfelhasználó lehet?

A "Play integrity verdict" és a "Threat scan on apps" (Veszélyforrás-vizsgálat az alkalmazásokon) beállításokhoz is szükség van a Google Play Services Google által meghatározott verziójára a megfelelő működéshez. Mivel ezek a beállítások a biztonság területére esnek, a rendszer letiltja a végfelhasználót, ha ezeket a beállításokat célozza meg, és nem felel meg a Google Play Services megfelelő verziójának, vagy nem rendelkezik hozzáféréssel a Google Play Szolgáltatásokhoz.

Alkalmazásélmény iOS rendszeren

Mi történik, ha ujjlenyomatot vagy arcot adok hozzá vagy távolítok el az eszközömről?

Az Intune alkalmazásvédelmi szabályzatai csak az Intune-licenccel rendelkező felhasználó számára teszik lehetővé az alkalmazás-hozzáférés vezérlését. Az alkalmazáshoz való hozzáférés szabályozásának egyik módja, ha az Apple Touch ID vagy Face ID azonosítóját igényli a támogatott eszközökön. Az Intune olyan viselkedést valósít meg, amelyben az eszköz biometrikus adatbázisának módosítása esetén az Intune PIN-kódot kér a felhasználótól, amikor a következő tétlenségi időtúllépési érték teljesül. A biometrikus adatok változásai közé tartozik az ujjlenyomat vagy az arc hozzáadása vagy eltávolítása. Ha az Intune-felhasználó nem rendelkezik PIN-kóddal, a rendszer intune PIN-kódot állít be.

Ennek az a célja, hogy továbbra is biztonságosan és az alkalmazás szintjén védve tartsa a szervezet adatait az alkalmazásban. Ez a funkció csak iOS/iPadOS rendszeren érhető el, és az iOS-hez/iPadOS-hez készült Intune APP SDK 9.0.1-es vagy újabb verzióját integráló alkalmazások részvételét igényli. Az SDK integrációjára azért van szükség, hogy a viselkedés kényszeríthető legyen a megcélzott alkalmazásokon. Ez az integráció gördülő alapon történik, és az adott alkalmazáscsapatoktól függ. A programban részt vevő alkalmazások közé tartozik például a WXP, az Outlook, a Managed Browser és a Yammer.

Az iOS megosztási bővítményével megnyithatom a munkahelyi vagy iskolai adatokat nem felügyelt alkalmazásokban, még akkor is, ha az adatátviteli szabályzat "csak felügyelt alkalmazások" vagy "nincs alkalmazás" értékre van állítva. Nem szivárognak ki az adatok?

Az Intune alkalmazásvédelmi szabályzata nem tudja vezérelni az iOS-megosztási bővítményt az eszköz kezelése nélkül. Ezért az Intune titkosítja a "vállalati" adatokat, mielőtt megosztanák azokat az alkalmazáson kívül. Ezt úgy ellenőrizheti, hogy megpróbálja megnyitni a "vállalati" fájlt a felügyelt alkalmazáson kívül. A fájlnak titkosítva kell lennie, és nem nyitható meg a felügyelt alkalmazáson kívül.

Hogyan működnek az Intune alkalmazásvédelmi hozzáférési beállításai, amelyek ugyanarra az alkalmazáskészletre és felhasználóra vannak konfigurálva az iOS-en?

Az Intune alkalmazásvédelmi hozzáférési szabályzatai adott sorrendben lesznek alkalmazva a végfelhasználói eszközökön, amikor megpróbálnak hozzáférni egy célzott alkalmazáshoz a vállalati fiókjukból. Általánosságban elmondható, hogy a törlés elsőbbséget élvez, amelyet egy blokk követ, majd egy bezárható figyelmeztetés. Ha például az adott felhasználóra/alkalmazásra vonatkozik, a rendszer egy minimális iOS/iPadOS operációsrendszer-beállítást alkalmaz, amely arra figyelmezteti a felhasználót, hogy frissítse az iOS/iPadOS-verziót, miután a felhasználó hozzáférését letiltó minimális iOS/iPadOS operációs rendszerbeállítást alkalmazta. Tehát abban a forgatókönyvben, amikor a rendszergazda a minimális iOS/iPadOS operációs rendszert 11.0.0.0-ra, a minimális iOS/iPadOS operációs rendszert (csak figyelmeztetés) a 11.1.0.0-ra konfigurálja, amíg az alkalmazáshoz hozzáférni próbáló eszköz iOS/iPadOS 10 rendszeren volt, a rendszer letiltja a végfelhasználót a minimális iOS/iPadOS operációsrendszer-verzió szigorúbb beállítása alapján, amely letiltja a hozzáférést.

A különböző típusú beállítások kezelésekor az Intune App SDK verziókövetelménye elsőbbséget élvez, majd egy alkalmazásverzióra vonatkozó követelmény, amelyet az iOS/iPadOS operációs rendszer verziókövetelménye követ. Ezután az ugyanabban a sorrendben található összes beállításra vonatkozó figyelmeztetéseket ellenőrzi a rendszer. Azt javasoljuk, hogy az Intune App SDK verziókövetelménye csak az Intune termékcsapatának útmutatása alapján legyen konfigurálva az alapvető blokkolási forgatókönyvekhez.