Өзгерту

Бөлісу құралы:


Часто задаваемые вопросы о MAM и защите приложений

В этой статье приведены ответы на некоторые часто задаваемые вопросы о Intune управлении мобильными приложениями (MAM) и защите приложений Intune.

Основные сведения о MAM

Что такое MAM?

Политики защиты приложений

Что такое политики защиты приложений?

Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). Политика может быть либо правилом, которое применяется, когда пользователь пытается получить доступ или переместить корпоративные данные, либо набором действий, которые запрещено выполнять или которые отслеживаются, когда пользователь работает с приложением.

Каковы примеры политик защиты приложений?

Подробные сведения о каждом параметре политики защиты приложений см. в разделе Параметры политики защиты приложений Android и параметры политики защиты приложений iOS/iPadOS .

Можно ли одновременно применять политики MDM и MAM к одному и тому же пользователю для разных устройств?

Если вы применяете политику MAM к пользователю без настройки состояния управления устройством, пользователь получает политику MAM как на устройстве BYOD, так и на устройстве, управляемом Intune. Вы также можете применить политику MAM на основе состояния управления устройствами. Поэтому при создании политики защиты приложений рядом с полем Целевые приложения на всех типах устройств выберите Нет. Затем выполните одно из следующих действий:

  • Примените менее строгую политику MAM к устройствам под управлением Intune и более строгую политику MAM к устройствам, не зарегистрированным в MDM.
  • Применяйте не менее строгую политику MAM к Intune управляемым устройствам, а не к сторонним управляемым устройствам.
  • Примените политику MAM только к незарегистрированным устройствам.

Дополнительные сведения см. в разделе Мониторинг политик защиты приложений.

Приложения, которыми можно управлять с помощью политик защиты приложений

Какими приложениями можно управлять с помощью политик защиты приложений?

Любым приложением, интегрированным с пакетом SDK для приложений Intune или упакованным Intune App Wrapping Tool, можно управлять с помощью политик защиты приложений Intune. См. официальный список приложений, управляемых Intune, для общего пользования.

Каковы базовые требования к использованию политик защиты приложений в приложении, управляемом Intune?

Что делать, если я хочу включить приложение с Intune Защиты приложений, но оно не использует поддерживаемую платформу разработки приложений?

Команда разработчиков пакета SDK для Intune активно тестирует и обеспечивает поддержку приложений, созданных с помощью платформ Android, iOS и iPadOS (Obj-C, Swift), Xamarin и Xamarin.Forms. Хотя некоторые клиенты успешно работали с интеграцией пакета SDK для Intune с другими платформами, такими как React Native и NativeScript, мы не предоставляем явных рекомендаций или подключаемых модулей для разработчиков приложений, использующих другие поддерживаемые платформы.

Поддерживает ли пакет SDK Intune APP библиотеку проверки подлинности Майкрософт (MSAL)?

Пакет SDK для приложений Intune может использовать библиотеку проверки подлинности Майкрософт для сценариев проверки подлинности и условного запуска. Он также использует MSAL для регистрации удостоверения пользователя в службе MAM для управления без регистрации устройств.

Каковы дополнительные требования для использования мобильного приложения Outlook?

Каковы дополнительные требования к использованию приложений Word, Excel и PowerPoint?

  • У конечного пользователя должна быть лицензия на Приложения Microsoft 365 для бизнеса или предприятие, связанное с его Microsoft Entra учетной записью. Подписка должна включать приложения Office на мобильных устройствах и может включать облачную учетную запись хранения с поддержкой OneDrive для бизнеса. Лицензии Microsoft 365 можно назначить в центре администрирования Microsoft 365, следуя этим инструкциям.

  • Пользователь должен настроить управляемое расположение с помощью функции настраиваемого сохранения в параметре политики защиты приложения "Сохранение копий корпоративных данных". Например, если управляемое расположение — OneDrive, приложение OneDrive должно быть настроено в приложении Word пользователя, Excel или PowerPoint.

  • Если управляемое расположение — OneDrive, на приложение должна распространяться политика защиты, развернутая для пользователя.

    Примечание.

    Мобильные приложения Office сейчас поддерживают только SharePoint Online, но не локальное приложение SharePoint.

Почему для Office требуется управляемое расположение (например, OneDrive)?

Intune помечает все данные в приложении как корпоративные или личные. Данные считаются корпоративными, если они по исходят из расположения компании. При работе с приложениями Office в Intune корпоративными считаются такие расположения: электронная почта (Exchange) или облачное хранилище (приложение OneDrive с учетной записью OneDrive для бизнеса).

Каковы дополнительные требования к использованию Skype для бизнеса?

См. требования к лицензии Skype для бизнеса. Сведения о гибридных и локальных конфигурациях Skype для бизнеса (SfB) см. в статье Гибридная современная проверка подлинности для SfB и Exchange предоставляет общедоступную и современную проверку подлинности для локальной среды SfB с Microsoft Entra ID соответственно.

Функции защиты приложений

Что такое поддержка нескольких удостоверений?

Поддержка нескольких удостоверений позволяет пакету SDK для приложений Intune применять политики защиты приложений только к рабочей или учебной учетной записи, вошедшего в приложение. Если вход в приложение выполнен с помощью личной учетной записи, данные останутся без изменений.

Какова цель поддержки нескольких удостоверений?

Поддержка нескольких удостоверений позволяет общедоступно выпускать приложения с "корпоративной" и потребительской аудиторией (т. е. приложения Office) с Intune возможностями защиты приложений для "корпоративных" учетных записей.

Как насчет Outlook и нескольких удостоверений?

Так как outlook имеет объединенное представление электронной почты как личных, так и "корпоративных" сообщений электронной почты, приложение Outlook запрашивает Intune ПИН-код при запуске.

Что такое ПИН-код приложения Intune?

Персональный идентификационный номер (ПИН-код) — это секретный код, который используется для проверки прав пользователя на доступ к корпоративным данным в приложении.

Когда пользователю предлагается ввести СВОЙ ПИН-код?

Intune запрашивает ПИН-код для приложения, когда пользователь пытается получить доступ к корпоративным данным. В приложениях с несколькими удостоверениями, таких как Word,Excel/PowerPoint, при попытке открыть "корпоративный" документ или файл пользователю будет предложено ввести ПИН-код. В приложениях с одним удостоверением, таких как бизнес-приложения, управляемые с помощью Intune App Wrapping Tool, ПИН-код запрашивается при запуске, так как пакет SDK для приложений Intune знает, что взаимодействие пользователя в приложении всегда является корпоративным.

Как часто пользователю будет предложено ввести ПИН-код Intune?

ИТ-администратор может определить параметр политики защиты приложений Intune "Перепроверить требования к доступу через (минуты)" в Центре администрирования Microsoft Intune. Этот параметр указывает время, в течение которых на устройстве будут проверены требования к доступу, а экран ПИН-кода приложения снова отображается. Ниже приведены важные сведения о ПИН-коде, которые влияют на то, как часто пользователь будет получать запрос на ввод ПИН-кода:

  • ПИН-код совместно используется приложениями одного издателя для повышения удобства использования: В iOS/iPadOS один ПИН-код приложения используется для всех приложений одного издателя. В Android один ПИН-код используется во всех приложениях.
  • Поведение "Повторная проверка требований доступа после (в минутах)" после перезагрузки устройства: Таймер ПИН-кода отслеживает количество минут бездействия, которое определяет, когда следует отображать ПИН-код Intune приложения. В iOS/iPadOS таймер ПИН-кода не влияет на перезагрузку устройства. Таким образом, перезапуск устройства не влияет на количество минут, в течение которых пользователь был неактивен в приложении iOS/iPadOS с политикой Intune ПИН-кода. В Android таймер ПИН-кода сбрасывается при перезагрузке устройства. Таким образом, приложения Android с политикой INTUNE ПИН-кода, скорее всего, будут запрашивать ПИН-код приложения независимо от значения параметра "Перепроверить требования к доступу после (в минутах)" после перезагрузки устройства.
  • Характер последовательности таймера, связанного с ПИН-кодом: После ввода ПИН-кода для доступа к приложению (приложение A), а приложение покидает передний план (main фокус ввода) на устройстве, таймер ПИН-кода сбрасывается для этого ПИН-кода. Любое приложение (приложение B), которое использует этот ПИН-код, не запрашивает у пользователя ввод ПИН-кода, так как таймер сброшен. Запрос появится снова, когда будет достигнуто значение параметра "Проверять требования доступа повторно через (мин)".

Для устройств iOS/iPadOS, даже если ПИН-код совместно используется приложениями от разных издателей, запрос будет снова отображаться при повторной проверки требований к доступу после того, как (в минутах) снова будет выполнено значение для приложения, которое не является main фокусом ввода. Например, у пользователя есть приложение A издателя X и приложение B издателя Y, и эти два приложения совместно используют один и тот же ПИН-код. Пользователь работает с приложением A (на переднем плане); приложение B находится в свернутом состоянии. После достижения значения Перепроверять требования доступа через (мин), когда пользователь перейдет к приложению B, потребуется ввести ПИН-код.

Примечание.

Чтобы чаще проверять требования пользователя к доступу (например, запрос НА ПИН-код), особенно для часто используемых приложений, рекомендуется уменьшить значение параметра "Перепроверить требования к доступу после (минут)".

Как ПИН-код Intune работает со встроенными ПИН-кодами приложения для Outlook и OneDrive?

ПИН-код Intune работает на основе таймера на основе бездействия (значение "Повторная проверка требований к доступу после (в минутах)"). Таким образом, функция ПИН-кода Intune является независимой от запросов ПИН-кода встроенных приложений для Outlook и OneDrive, которые часто по умолчанию привязаны к запуску приложения. Если пользователь одновременно получает оба запроса на ввод ПИН-кода, ПИН-код Intune должен иметь приоритет.

Является ли ПИН-код безопасным?

ПИН-код предоставляет доступ к корпоративным данным только пользователям с соответствующими полномочиями. Следовательно, чтобы настроить или сбросить ПИН-код для приложения Intune, пользователь должен войти с использованием своей рабочей или учебной учетной записи. Эта проверка подлинности обрабатывается Microsoft Entra ID с помощью безопасного обмена маркерами и не является прозрачной для пакета SDK для приложений Intune. Из соображений безопасности рекомендуется шифровать корпоративные или учебные данные. Шифрование не связано с ПИН-кодом приложения, но является собственной политикой защиты приложений.

Как Intune защитить ПИН-код от атак методом подбора?

В рамках политики использования ПИН-кода для приложения ИТ-администратор может настроить максимальное число попыток пользователя выполнить проверку подлинности с использованием ПИН-кода, прежде чем приложение будет заблокировано. После выполнения количества попыток пакет SDK для Intune приложения может очистить "корпоративные" данные в приложении.

Почему нужно дважды устанавливать ПИН-код для приложений от одного издателя?

MAM (в iOS/iPadOS) в настоящее время позволяет использовать ПИН-код на уровне приложения с буквенно-цифровыми и специальными символами (называемыми секретным кодом), что требует участия приложений (например, WXP, Outlook, Managed Browser, Yammer) для интеграции пакета SDK Intune APP для iOS/iPadOS. Без этого параметры секретного кода не применяются должным образом для целевых приложений. Эта функция была выпущена в пакете SDK для Intune для iOS/iPadOS версии 7.1.12.

Для поддержки этого компонента и обеспечения обратной совместимости с предыдущими версиями пакета SDK Intune для iOS/iPadOS все PIN-коды (и числовые, и секретные коды) в версиях позднее 7.1.12 обрабатываются отдельно от числового PIN-кода в предыдущих версиях пакета SDK. Таким образом, если на устройстве есть приложения с пакетом SDK для Intune для iOS/iPadOS версий до 7.1.12 И после версии 7.1.12 от одного издателя, ей придется настроить два ПИН-кодов.

При этом два ПИН-кода (для каждого приложения) никак не связаны, т. е. они должны соответствовать политике защиты приложений, применяемой к приложению. Например, пользователь может задать один и тот же PIN-код дважды, только если для приложений A и B настроены одинаковые политики (касающиеся PIN-кода).

Это поведение относится только к PIN-кодам в приложениях iOS/iPadOS с поддержкой управления мобильными приложениями Intune. Со временем, по мере внедрения в приложения более поздних версий пакета SDK Intune для iOS/iPadOS, двукратная установка PIN-кодов станет менее проблематичной. Ниже приведен пример.

Примечание.

Например, если приложение A создается с версией до 7.1.12, а приложение B — с версией, большей или равной 7.1.12 от того же издателя, пользователю потребуется отдельно настроить ПИН-коды для A и B, если они установлены на устройстве iOS/iPadOS.

Если на устройстве установлено приложение C с пакетом SDK версии 7.1.9, оно будет использовать тот же ПИН-код, что и приложение A.

Приложение D, созданное с 7.1.14, будет использовать тот же ПИН-код, что и приложение B.

Если приложения A и C установлены на одном устройстве, необходимо задать только один PIN-код. То же касается приложений B и D, установленных на одном устройстве.

Как насчет шифрования?

ИТ-администраторы могут развернуть политику защиты приложений, в соответствии с которой данные приложения должны шифроваться. В рамках политики ИТ-администратор также может определить, когда содержимое должно быть зашифровано.

Как Intune шифровать данные?

Дополнительные сведения о параметрах шифрования в политике защиты приложений см. в статьях Параметры политики защиты мобильных приложений для Android и Параметры политики защиты мобильных приложений для iOS/iPadOS.

Что шифруется?

В соответствии с политикой защиты приложений, определенной ИТ-администратором, шифруются только те данные, которые отмечены как корпоративные. Данные считаются корпоративными, если они созданы в корпоративном расположении. При работе с приложениями Office в Intune корпоративными считаются такие расположения: электронная почта (Exchange) или облачное хранилище (приложение OneDrive с учетной записью OneDrive для бизнеса). Для бизнес-приложений, управляемых Intune App Wrapping Tool, все данные приложений считаются корпоративными.

Как Intune удаленно очищать данные?

Intune может очищать данные приложения тремя разными способами: полной очисткой устройства, выборочной очисткой для MDM и выборочной очисткой MAM. Дополнительные сведения об удаленной очистке для MDM см. в статье Удаление устройств путем очистки или прекращения использования. Дополнительные сведения о выборочной очистке с использованием MAM см. в разделе Действие "Прекратить использование" и статье Очистка только корпоративных данных в приложениях, управляемых с помощью Intune.

Что такое очистка?

Очистка удаляет все пользовательские данные и параметры с устройства путем восстановления устройства до заводских параметров по умолчанию. Устройство удаляется из Intune.

Примечание.

Очистка может быть выполнена только на устройствах, зарегистрированных в Intune управления мобильными устройствами (MDM).

Что такое выборочная очистка для MDM?

Сведения об удалении данных организации см. в статье Удаление устройств — прекращение поддержки.

Что такое выборочная очистка для MAM?

При выборочной очистке для управления мобильными приложениями данные приложений компании просто удаляются из приложений. Запрос инициируется с помощью центра администрирования Microsoft Intune. Сведения об инициации запроса на очистку см. в статье Очистка только корпоративных данных в приложениях, управляемых с помощью Intune.

Как быстро выполняется выборочная очистка для MAM?

Если пользователь использует приложение при инициации выборочной очистки, пакет SDK для приложений Intune каждые 30 минут проверяет запрос на выборочную очистку от службы Intune MAM. Проверка запросов на выборочную очистку также выполняется, когда пользователь впервые запускает приложение и входит с помощью своей рабочей или учебной учетной записи.

Почему локальные (локальные) службы не работают с Intune защищенными приложениями?

Intune защита приложений зависит от удостоверения пользователя, согласованного между приложением и пакетом SDK для Intune приложений. Единственный способ обеспечить это — использовать современные средства проверки подлинности. Существуют сценарии, в которых приложения могут работать с локальной конфигурацией, но они не являются ни согласованными, ни гарантированными.

Существует ли безопасный способ открытия веб-ссылок из управляемых приложений?

Конечно! ИТ-администратор может развернуть и настроить политику защиты приложений для приложения Microsoft Edge. ИТ-администратор может требовать, чтобы все веб-ссылки в приложениях, управляемых Intune, открывались с помощью приложения Microsoft Edge.

Взаимодействие с приложениями на Android

Почему приложение Корпоративный портал необходимо для Intune защиты приложений на устройствах Android?

Как несколько параметров доступа Intune защиты приложений, настроенных для одного и того же набора приложений и пользователей, работают в Android?

Intune политики защиты приложений для доступа будут применяться в определенном порядке на устройствах конечных пользователей при попытке получить доступ к целевому приложению из своей корпоративной учетной записи. Как правило, блок имеет приоритет, а затем предупреждение о пренебрежимом. Например, в случае конкретного пользователя или приложения параметр минимальной версии исправления Android, который предупреждает пользователя о необходимости выполнить обновление, будет применен после параметра минимальной версии исправления Android, который блокирует доступ. В этом сценарии, когда ИТ-администратор настраивает минимальную версию исправления Android 2018-03-01, а минимальную версию исправления с предупреждением — 2018-02-01, и устройство пытается получить доступ к приложению, имея версию исправления 2018-01-01, конечный пользователь будет заблокирован в соответствии с более строгим параметром минимальной версии исправления Android.

При обработке параметров различных типов требование к версии приложения имеет приоритет, далее следует требование к версии операционной системы Android и требование к версии исправления Android. Далее проверяются предупреждения для всех типов параметров в том же порядке.

политики защиты приложений Intune позволяют администраторам требовать от устройств конечных пользователей передачи проверка целостности устройств Google Play для устройств Android. Как часто в службу отправляется проверка результат целостности нового устройства Google Play?

Служба Intune свяжется с Google Play через ненастраиваемый интервал, определенный загрузкой службы. Любой ИТ-администратор, настроенный для целостности устройства Google Play, проверка параметр будет выполняться на основе последнего результата, сообщаемого службе Intune во время условного запуска. Если результат целостности устройства Google соответствует требованиям, никаких действий не предпринимается. Если результат целостности устройства Google не соответствует требованиям, действие, настроенное ИТ-администратором, будет предпринят немедленно. Если по какой-либо причине проверка сбой запроса к целостности устройства Google Play, кэшированный результат предыдущего запроса будет использоваться в течение 24 часов или при следующем перезапуске устройства, который когда-либо появится первым. В это время Intune политики защиты приложений будут блокировать доступ до получения текущего результата.

Intune политики защиты приложений предоставляют администраторам возможность требовать от устройств конечных пользователей отправки сигналов через API проверки приложений Google для устройств Android. Как пользователь может включить проверку приложения, чтобы не заблокировать доступ из-за этого?

Инструкции по этому способу немного различаются в зависимости от устройства. Общий процесс состоит из следующих шагов: переход в Магазин Google Play, выбор элемента Мои приложения и игры, выбор результата последнего сканирования приложения и последующее переключение в меню Google Play Защита. Переключатель Проверять устройство на наличие угроз безопасности должен быть переведен в положение "Вкл".

Что api Google Play Integrity на самом деле проверка на устройствах Android? В чем разница между настраиваемыми значениями "Проверить базовую целостность" и "Проверить базовую целостность & сертифицированных устройств"?

Intune использует API-интерфейсы целостности Google Play для добавления в существующие проверки обнаружения корней для незарегистрированных устройств. Компания Google разработала и поддерживала этот набор API для приложений Android, которые будут применяться, если они не хотят, чтобы их приложения запускались на устройствах с привилегированным доступом. Эта возможность реализована, к примеру, в приложениях Android Pay. Хотя Google не делится всей информацией о проверках обнаружения корней, которые происходят, мы ожидаем, что эти API-интерфейсы будут обнаруживать пользователей, которые укореняют свои устройства. Таким пользователям можно будет запрещать доступ либо можно будет удалять их корпоративные учетные записи из приложений с действующими политиками. В разделе "Проверка базовой целостности" рассказывается об общей целостности устройства. Проверку базовой целостности не проходят устройства с root-доступом, эмуляторы, виртуальные устройства и устройства с признаками несанкционированного доступа. "Проверка базовой целостности & сертифицированных устройств" рассказывает о совместимости устройства со службами Google. Эту проверку могут пройти только неизмененные устройства, сертифицированные корпорацией Google. К устройствам, которые не смогут пройти проверку, относятся следующие:

  • устройства, которые не прошли проверку базовой целостности;
  • устройства с разблокированным загрузчиком;
  • устройства с пользовательским образом системы или диском;
  • устройства, для которых производитель не подал заявку на сертификацию или которые не прошли сертификацию Google;
  • устройства с образом системы, созданным непосредственно из исходных файлов программы Android с открытым исходным кодом;
  • устройства с образом системы для предварительной бета-версии или версии для разработчиков.

Технические сведения см . в документации Google по API целостности воспроизведения .

Существует две аналогичные проверки в разделе Условный запуск при создании политики защиты приложений Intune для устройств Android. Должен ли я требовать установки "Вердикт о целостности воспроизведения" или параметра "устройства со снятой защитой или корневым доступом"?

Для проверок API целостности Google Play требуется, чтобы пользователь был подключен к интернету и был готов в течение времени, когда выполняется "обход" для определения результатов аттестации. Если конечный пользователь находится в автономном режиме, ИТ-администратор по-прежнему может ожидать принудительного применения результата из параметра "устройства со снятой защитой или корневым доступом". При этом, если конечный пользователь находится в автономном режиме слишком долго, вступает в игру значение "Автономный льготный период", и весь доступ к рабочим или учебным данным блокируется после достижения этого значения таймера до тех пор, пока не будет доступен доступ к сети. Включение обоих параметров обеспечивает многоуровневый подход к поддержанию работоспособности устройств конечных пользователей, что важно, когда конечные пользователи получают доступ к рабочим или учебным данным на мобильных устройствах.

Для правильной работы параметров политики защиты приложений, использующих API-интерфейсы Google Play Защита, требуются Сервисы Google Play. Что делать, если службы Google Play не разрешены в расположении, где может находиться конечный пользователь?

Параметры "Вердикт о целостности воспроизведения" и "Проверка угроз в приложениях" требуют правильной работы определенной Google версией Служб Google Play. Так как это параметры, которые попадают в область безопасности, конечный пользователь будет заблокирован, если он был ориентирован на эти параметры и не соответствует соответствующей версии Служб Google Play или не имеет доступа к Службам Google Play.

Взаимодействие с приложениями в iOS

Что произойдет, если добавить или удалить отпечатки пальцев или лицо на устройстве?

Политики защиты приложений Intune позволяют контролировать доступ к приложениям только лицензированным пользователям Intune. Одним из способов управления доступом к приложениям является запрос Apple Touch ID или Face ID на поддерживаемых устройствах. Intune реализует поведение, в котором при изменении биометрической базы данных устройства Intune запрашивает у пользователя ПИН-код при достижении следующего значения времени ожидания бездействия. К изменениям биометрических данных относится добавление или удаление отпечатка пальца или изображения лица. Если у пользователя Intune нет ПИН-кода, он должен настроить ПИН-код Intune.

Цель этого заключается в том, чтобы сохранить данные вашей организации в приложении безопасными и защищенными на уровне приложения. Эта функция доступна только для iOS/iPadOS и требует участия приложений, которые интегрируют пакет SDK Intune для приложений для iOS/iPadOS версии 9.0.1 или более поздней. Интеграция пакета SDK нужна для того, чтобы принудительно применить это поведение для целевых приложений. Такая интеграция происходит регулярно и зависит от сотрудничества команд конкретных приложений. Например, интеграция настроена для таких приложений, как WXP, Outlook, Managed Browser и Yammer.

Я могу использовать расширение общего ресурса iOS для открытия рабочих или учебных данных в неуправляемых приложениях, даже если для политики передачи данных задано значение "только управляемые приложения" или "нет приложений". Разве это не утечка данных?

Intune политика защиты приложений не может управлять расширением общего ресурса iOS без управления устройством. Таким образом, Intune шифрует "корпоративные" данные, прежде чем они будут совместно использоваться за пределами приложения. Это можно проверить, попытаясь открыть корпоративный файл за пределами управляемого приложения. Такой файл должен быть зашифрован, и его не удастся открыть за пределами управляемого приложения.

Как несколько параметров доступа Intune защиты приложений, настроенных для одного и того же набора приложений и пользователей, работают в iOS?

Intune политики защиты приложений для доступа будут применяться в определенном порядке на устройствах конечных пользователей при попытке получить доступ к целевому приложению из своей корпоративной учетной записи. Как правило, приоритет будет иметь очистка, за которой следует блок, а затем предупреждение о пренебрежимом. Например, в случае конкретного пользователя или приложения параметр минимальной версии операционной системы iOS/iPadOS, который предупреждает пользователя о необходимости обновить версию iOS/iPadOS, будет применен после параметра минимальной версии операционной системы iOS/iPadOS, который блокирует доступ. Таким образом, в сценарии, когда ИТ-администратор настраивает минимальную операционную систему iOS/iPadOS на 11.0.0.0, а минимальную операционную систему iOS/iPadOS (только предупреждение) — на 11.1.0.0, В то время как устройство, пытающееся получить доступ к приложению, было в iOS/iPadOS 10, конечный пользователь будет заблокирован на основе более строгого параметра для версии операционной системы iOS/iPadOS min, что приводит к блокировке доступа.

При работе с различными типами параметров приоритет будет иметь требование к версии пакета SDK для Intune приложений, а затем требование к версии приложения, за которым следует требование к версии операционной системы iOS/iPadOS. Далее проверяются предупреждения для всех типов параметров в том же порядке. Мы рекомендуем настроить требование к версии пакета SDK для приложений для Intune только в соответствии с рекомендациями команды разработчиков Intune продукта для основных сценариев блокировки.