Jak tworzyć i przypisywać zasady ochrony aplikacji

Dowiedz się, jak tworzyć i przypisywać Microsoft Intune zasad ochrony aplikacji (APP) dla użytkowników w organizacji. W tym temacie opisano również sposób wprowadzania zmian w istniejących zasadach.

Przed rozpoczęciem

Ochrona aplikacji zasady mogą mieć zastosowanie do aplikacji uruchomionych na urządzeniach, które mogą być zarządzane przez Intune. Aby uzyskać bardziej szczegółowy opis działania zasad ochrony aplikacji i scenariuszy obsługiwanych przez Intune zasad ochrony aplikacji, zobacz omówienie zasad Ochrona aplikacji.

Opcje dostępne w zasadach ochrony aplikacji (APP) umożliwiają organizacjom dostosowanie ochrony do ich konkretnych potrzeb. Dla niektórych może nie być oczywiste, które ustawienia zasad są wymagane do zaimplementowania kompletnego scenariusza. Aby ułatwić organizacjom ustalanie priorytetów zabezpieczeń punktów końcowych klientów mobilnych, Microsoft wprowadziła taksonomię dla struktury ochrony danych aplikacji na potrzeby zarządzania aplikacjami mobilnymi dla systemów iOS i Android.

Struktura ochrony danych aplikacji jest zorganizowana na trzy różne poziomy konfiguracji, a każdy poziom jest kompilowany na poprzednim poziomie:

  • Podstawowa ochrona danych w przedsiębiorstwie (poziom 1) zapewnia, że aplikacje są chronione przy użyciu numeru PIN i szyfrowane oraz wykonują selektywne operacje czyszczenia. W przypadku urządzeń z systemem Android ten poziom sprawdza poprawność zaświadczania urządzeń z systemem Android. Jest to konfiguracja na poziomie podstawowym, która zapewnia podobną kontrolę ochrony danych w Exchange Online zasad skrzynki pocztowej i wprowadza dział IT i populację użytkowników do aplikacji.
  • Ulepszona ochrona danych w przedsiębiorstwie (poziom 2) wprowadza mechanizmy zapobiegania wyciekom danych aplikacji i minimalne wymagania dotyczące systemu operacyjnego. Jest to konfiguracja, która ma zastosowanie do większości użytkowników mobilnych uzyskujących dostęp do danych służbowych.
  • Wysoka ochrona danych w przedsiębiorstwie (poziom 3) wprowadza zaawansowane mechanizmy ochrony danych, ulepszoną konfigurację numeru PIN i usługę APP Mobile Threat Defense. Ta konfiguracja jest pożądana dla użytkowników uzyskujących dostęp do danych wysokiego ryzyka.

Aby wyświetlić konkretne zalecenia dotyczące każdego poziomu konfiguracji i minimalnych aplikacji, które muszą być chronione, zapoznaj się z artykułem Struktura ochrony danych przy użyciu zasad ochrony aplikacji.

Jeśli szukasz listy aplikacji, które zintegrowały zestaw Intune SDK, zobacz Microsoft Intune chronione aplikacje.

Aby uzyskać informacje na temat dodawania aplikacji biznesowych (LOB) organizacji do Microsoft Intune w celu przygotowania się do zasad ochrony aplikacji, zobacz Dodawanie aplikacji do Microsoft Intune.

zasady Ochrona aplikacji dla aplikacji dla systemów iOS/iPadOS i Android

Podczas tworzenia zasad ochrony aplikacji dla aplikacji dla systemów iOS/iPadOS i Android należy postępować zgodnie z nowoczesnym przepływem procesu Intune, który powoduje utworzenie nowych zasad ochrony aplikacji. Aby uzyskać informacje na temat tworzenia zasad ochrony aplikacji dla aplikacji systemu Windows, zobacz Tworzenie i wdrażanie zasad systemu Windows Information Protection (WIP) przy użyciu Intune.

Tworzenie zasad ochrony aplikacji systemu iOS/iPadOS lub Android

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.

  2. Wybierz pozycję Aplikacje>Ochrona aplikacji zasady. Ten wybór powoduje otwarcie szczegółów zasad Ochrona aplikacji, w których można tworzyć nowe zasady i edytować istniejące zasady.

  3. Wybierz pozycję Utwórz zasady i wybierz pozycję iOS/iPadOS lub Android. Zostanie wyświetlone okienko Tworzenie zasad .

  4. Na stronie Podstawy dodaj następujące wartości:

    Value Opis
    Name (Nazwa) Nazwa tych zasad ochrony aplikacji.
    Opis [Opcjonalnie] Opis tych zasad ochrony aplikacji.

    Wartość Platforma jest ustawiana na podstawie powyższego wyboru.

    Zrzut ekranu przedstawiający stronę Podstawy okienka Tworzenie zasad

  5. Kliknij przycisk Dalej , aby wyświetlić stronę Aplikacje .
    Strona Aplikacje umożliwia wybranie sposobu zastosowania zasad do aplikacji na różnych urządzeniach. Musisz dodać co najmniej jedną aplikację.

    Wartość/opcja Opis
    Target to apps on all devices types (Kierowanie do aplikacji na wszystkich typach urządzeń) Ta opcja służy do kierowania zasad do aplikacji na urządzeniach o dowolnym stanie zarządzania. Wybierz pozycję Nie , aby kierować aplikacje do określonych typów urządzeń. Aby uzyskać informacje, zobacz Target app protection policies based on device management state (Docelowe zasady ochrony aplikacji na podstawie stanu zarządzania urządzeniami).
    Typy urządzeń Użyj tej opcji, aby określić, czy te zasady mają zastosowanie do urządzeń zarządzanych przez rozwiązanie MDM, czy urządzeń niezarządzanych. W przypadku zasad aplikacji systemu iOS/iPadOS wybierz pozycję Urządzenia niezarządzane i zarządzane . W przypadku zasad aplikacji systemu Android wybierz pozycje Niezarządzane, Administrator urządzeń z systemem Android i Android Enterprise.
    Zasady docelowe do W polu listy rozwijanej Zasady docelowe wybierz opcję kierowania zasad ochrony aplikacji do pozycji Wszystkie aplikacje, Microsoft Apps lub Podstawowe Microsoft Apps.

    • Wszystkie aplikacje obejmują wszystkie Microsoft i aplikacje partnerskie, które zintegrowały zestaw Intune SDK.
    • Microsoft Apps obejmuje wszystkie aplikacje Microsoft, które zintegrowały zestaw Intune SDK.
    • Podstawowe Microsoft Apps obejmują następujące aplikacje: Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do i Word.

    Następnie możesz wybrać pozycję Wyświetl listę aplikacji, które będą przeznaczone do wyświetlania listy aplikacji, których dotyczą te zasady.
    Aplikacje publiczne Jeśli nie chcesz wybierać jednej ze wstępnie zdefiniowanych grup aplikacji, możesz wybrać opcję docelową poszczególnych aplikacji, wybierając pozycję Wybrane aplikacje w polu listy rozwijanej Zasady docelowe . Kliknij pozycję Wybierz aplikacje publiczne , aby wybrać aplikacje publiczne do docelowego miejsca docelowego.
    Aplikacje niestandardowe Jeśli nie chcesz wybierać jednej ze wstępnie zdefiniowanych grup aplikacji, możesz wybrać opcję docelową poszczególnych aplikacji, wybierając pozycję Wybrane aplikacje w polu listy rozwijanej Zasady docelowe . Kliknij pozycję Wybierz aplikacje niestandardowe , aby wybrać aplikacje niestandardowe do lokalizacji docelowej na podstawie identyfikatora pakietu. Nie można wybrać aplikacji niestandardowej w przypadku określania wartości docelowej dla wszystkich aplikacji publicznych w tych samych zasadach.

    Wybrane aplikacje zostaną wyświetlone na liście aplikacji publicznych i niestandardowych.

    Uwaga

    Aplikacje publiczne są obsługiwane przez aplikacje Microsoft i partnerów, które są często używane z Microsoft Intune. Te Intune chronione aplikacje są włączone z rozbudowanym zestawem obsługi zasad ochrony aplikacji mobilnych. Aby uzyskać więcej informacji, zobacz Microsoft Intune chronione aplikacje. Aplikacje niestandardowe to aplikacje biznesowe zintegrowane z zestawem Intune SDK lub opakowane przez Intune App Wrapping Tool. Aby uzyskać więcej informacji, zobacz Microsoft Intune App SDK Overview and Prepare line-of-business apps for app protection policies (Omówienie zestawu SDK aplikacji Microsoft Intune) i Prepare line-of-business apps for app protection policies (Przygotowywanie aplikacji biznesowych do zasad ochrony aplikacji).

  6. Kliknij przycisk Dalej , aby wyświetlić stronę Ochrona danych .
    Ta strona zawiera ustawienia mechanizmów kontroli ochrony przed utratą danych (DLP), w tym ograniczenia wycinania, kopiowania, wklejania i zapisywania jako. Te ustawienia określają sposób interakcji użytkowników z danymi w aplikacjach stosowanych przez te zasady ochrony aplikacji.

    Ustawienia ochrony danych:

  7. Kliknij przycisk Dalej , aby wyświetlić stronę Wymagania dotyczące dostępu .
    Ta strona zawiera ustawienia umożliwiające skonfigurowanie wymagań dotyczących numeru PIN i poświadczeń, które użytkownicy muszą spełnić, aby uzyskać dostęp do aplikacji w kontekście służbowym.

    Ustawienia wymagań dotyczących dostępu:

  8. Kliknij przycisk Dalej , aby wyświetlić stronę Uruchamianie warunkowe .
    Ta strona zawiera ustawienia umożliwiające ustawienie wymagań dotyczących zabezpieczeń logowania dla zasad ochrony aplikacji. Wybierz ustawienie i wprowadź wartość , którą użytkownicy muszą spełnić, aby zalogować się do aplikacji firmowej. Następnie wybierz akcję , którą chcesz wykonać, jeśli użytkownicy nie spełniają Twoich wymagań. W niektórych przypadkach można skonfigurować wiele akcji dla jednego ustawienia.

    Ustawienia uruchamiania warunkowego:

  9. Kliknij przycisk Dalej , aby wyświetlić stronę Przypisania .
    Strona Przypisania umożliwia przypisanie zasad ochrony aplikacji do grup użytkowników. Aby zasady zostały zastosowane, należy zastosować je do grupy użytkowników.

  10. Kliknij przycisk Dalej: Przejrzyj i utwórz , aby przejrzeć wartości i ustawienia wprowadzone dla tych zasad ochrony aplikacji.

  11. Po zakończeniu kliknij pozycję Utwórz, aby utworzyć zasady ochrony aplikacji w Intune.

    Porada

    Te ustawienia zasad są wymuszane tylko w przypadku korzystania z aplikacji w kontekście służbowym. Gdy użytkownicy końcowi używają aplikacji do wykonywania zadań osobistych, te zasady nie mają na nie wpływu. Pamiętaj, że podczas tworzenia nowego pliku jest on traktowany jako plik osobisty.

    Ważna

    Zastosowanie zasad ochrony aplikacji do istniejących urządzeń może zająć trochę czasu. Użytkownicy końcowi będą widzieć powiadomienie na urządzeniu po zastosowaniu zasad ochrony aplikacji. Przed zastosowaniem reguł dostępu warunkowego zastosuj zasady ochrony aplikacji do urządzeń.

Użytkownicy końcowi mogą pobierać aplikacje ze sklepu App Store lub Google Play. Więcej informacji można znaleźć w następujących artykułach:

Zmienianie istniejących zasad

Istniejące zasady można edytować i stosować do użytkowników docelowych. Jednak po zmianie istniejących zasad użytkownicy, którzy są już zalogowani do aplikacji, nie będą widzieć zmian przez okres ośmiu godzin.

Aby natychmiast zobaczyć efekt zmian, użytkownik końcowy musi wylogować się z aplikacji, a następnie zalogować się ponownie.

Aby zmienić listę aplikacji skojarzonych z zasadami

  1. W okienku zasad Ochrona aplikacji wybierz zasady, które chcesz zmienić.

  2. W okienku Intune App Protection wybierz pozycję Właściwości.

  3. Obok sekcji zatytułowanej Aplikacje wybierz pozycję Edytuj.

  4. Strona Aplikacje umożliwia wybranie sposobu zastosowania zasad do aplikacji na różnych urządzeniach. Musisz dodać co najmniej jedną aplikację.

    Wartość/opcja Opis
    Target to apps on all devices types (Kierowanie do aplikacji na wszystkich typach urządzeń) Ta opcja służy do kierowania zasad do aplikacji na urządzeniach o dowolnym stanie zarządzania. Wybierz pozycję Nie , aby kierować aplikacje do określonych typów urządzeń. Dla tego ustawienia może być wymagana dodatkowa konfiguracja aplikacji. Aby uzyskać więcej informacji, zobacz Target app protection policies based on device management state (Docelowe zasady ochrony aplikacji na podstawie stanu zarządzania urządzeniami).
    Typy urządzeń Użyj tej opcji, aby określić, czy te zasady mają zastosowanie do urządzeń zarządzanych przez rozwiązanie MDM, czy urządzeń niezarządzanych. W przypadku zasad aplikacji systemu iOS/iPadOS wybierz pozycję Urządzenia niezarządzane i zarządzane . W przypadku zasad aplikacji systemu Android wybierz pozycje Niezarządzane, Administrator urządzeń z systemem Android i Android Enterprise.
    Aplikacje publiczne W polu listy rozwijanej Zasady docelowe wybierz opcję kierowania zasad ochrony aplikacji do pozycji Wszystkie aplikacje publiczne, Microsoft Apps lub Podstawowe Microsoft Apps. Następnie możesz wybrać pozycję Wyświetl listę aplikacji, które będą przeznaczone do wyświetlania listy aplikacji, których dotyczą te zasady.

    W razie potrzeby możesz wybrać opcję docelową poszczególnych aplikacji, klikając pozycję Wybierz aplikacje publiczne.

    Aplikacje niestandardowe Kliknij pozycję Wybierz aplikacje niestandardowe , aby wybrać aplikacje niestandardowe do lokalizacji docelowej na podstawie identyfikatora pakietu.

    Wybrane aplikacje zostaną wyświetlone na liście aplikacji publicznych i niestandardowych.

  5. Kliknij pozycję Przejrzyj i utwórz , aby przejrzeć aplikacje wybrane dla tych zasad.

  6. Po zakończeniu kliknij przycisk Zapisz , aby zaktualizować zasady ochrony aplikacji.

Aby zmienić listę grup użytkowników

  1. W okienku zasad Ochrona aplikacji wybierz zasady, które chcesz zmienić.

  2. W okienku Intune App Protection wybierz pozycję Właściwości.

  3. Obok sekcji zatytułowanej Przypisania wybierz pozycję Edytuj.

  4. Aby dodać nową grupę użytkowników do zasad, na karcie Dołącz wybierz pozycję Wybierz grupy do uwzględnienia i wybierz grupę użytkowników. Wybierz pozycję Wybierz , aby dodać grupę.

  5. Aby wykluczyć grupę użytkowników, na karcie Wyklucz wybierz pozycję Wybierz grupy do wykluczenia i wybierz grupę użytkowników. Wybierz pozycję Wybierz , aby usunąć grupę użytkowników.

  6. Aby usunąć grupy, które zostały dodane wcześniej, na kartach Dołączanie lub Wykluczanie wybierz wielokropek (...) i wybierz pozycję Usuń.

  7. Kliknij pozycję Przejrzyj i utwórz , aby przejrzeć grupy użytkowników wybrane dla tych zasad.

  8. Gdy zmiany przypisań będą gotowe, wybierz pozycję Zapisz , aby zapisać konfigurację i wdrożyć zasady dla nowego zestawu użytkowników. Jeśli wybierzesz pozycję Anuluj przed zapisaniem konfiguracji, odrzucisz wszystkie zmiany wprowadzone na kartach Dołączanie i wykluczanie .

Aby zmienić ustawienia zasad

  1. W okienku zasad Ochrona aplikacji wybierz zasady, które chcesz zmienić.

  2. W okienku Intune App Protection wybierz pozycję Właściwości.

  3. Obok sekcji odpowiadającej ustawieniu, które chcesz zmienić, wybierz pozycję Edytuj. Następnie zmień ustawienia na nowe wartości.

  4. Kliknij pozycję Przejrzyj i utwórz , aby przejrzeć zaktualizowane ustawienia tych zasad.

  5. Wybierz pozycję Zapisz , aby zapisać zmiany. Powtórz proces, aby wybrać obszar ustawień i zmodyfikować, a następnie zapisać zmiany do momentu ukończenia wszystkich zmian. Następnie możesz zamknąć okienko Intune App Protection — właściwości.

Docelowe zasady ochrony aplikacji na podstawie stanu zarządzania urządzeniami

W wielu organizacjach często użytkownicy końcowi mogą korzystać zarówno z urządzeń zarządzanych Intune Mobile Zarządzanie urządzeniami (MDM), takich jak urządzenia należące do firmy, jak i urządzeń niezarządzanych chronionych tylko Intune zasad ochrony aplikacji. Urządzenia niezarządzane są często nazywane "Przynieś własne urządzenia" (BYOD).

Ponieważ Intune zasad ochrony aplikacji są przeznaczone dla tożsamości użytkownika, ustawienia ochrony użytkownika mogą być stosowane zarówno do zarejestrowanych urządzeń (zarządzanych przez rozwiązanie MDM), jak i niezarejestrowanych (bez zarządzania urządzeniami przenośnymi). W związku z tym można kierować zasady ochrony aplikacji Intune do Intune zarejestrowanych lub wyrejestrowanych urządzeń z systemami iOS/iPadOS i Android. Możesz mieć jedną zasadę ochrony dla urządzeń niezarządzanych, w których obowiązują ścisłe mechanizmy kontroli ochrony przed utratą danych (DLP), oraz oddzielne zasady ochrony dla urządzeń zarządzanych przez rozwiązanie MDM, w których mechanizmy kontroli DLP mogą być nieco bardziej złagodzone. Aby uzyskać więcej informacji o tym, jak to działa na osobistych urządzeniach z systemem Android Enterprise, zobacz zasady Ochrona aplikacji i profile służbowe.

Aby utworzyć te zasady, przejdź do pozycji Aplikacje>Ochrona aplikacji zasady w konsoli Intune, a następnie wybierz pozycję Utwórz zasady. Możesz również edytować istniejące zasady ochrony aplikacji. Aby zasady ochrony aplikacji były stosowane zarówno do urządzeń zarządzanych, jak i niezarządzanych, przejdź do strony Aplikacje i upewnij się, że wartość Docelowa dla aplikacji we wszystkich typach urządzeń jest ustawiona na Wartość tak, wartość domyślna. Jeśli chcesz szczegółowo przypisać stan zarządzania na podstawie stanu zarządzania, ustaw opcję Target na pozycję Aplikacje we wszystkich typach urządzeń nawartość Nie.

Typy urządzeń

  • Niezarządzane: w przypadku urządzeń z systemem iOS/iPadOS urządzenia niezarządzane to wszystkie urządzenia, na których Intune zarządzania urządzeniami przenośnymi lub rozwiązanie MDM/EMM innej firmy nie przekazuje kluczaIntuneMAMUPN. W przypadku urządzeń z systemem Android urządzenia niezarządzane to urządzenia, na których nie wykryto Intune zarządzania urządzeniami przenośnymi. Obejmuje to urządzenia zarządzane przez innych dostawców oprogramowania MDM.
  • Intune zarządzanych urządzeń: zarządzane urządzenia są zarządzane przez Intune mdm.
  • Administrator urządzeń z systemem Android: Intune zarządzanych urządzeń przy użyciu interfejsu API administrowania urządzeniami z systemem Android.
  • Android Enterprise: urządzenia zarządzane Intune przy użyciu profilów służbowych systemu Android Enterprise lub pełnego Zarządzanie urządzeniami systemu Android Enterprise.

W systemie Android na urządzeniach z systemem Android zostanie wyświetlony monit o zainstalowanie aplikacji Intune — Portal firmy niezależnie od wybranego typu urządzenia. Jeśli na przykład wybierzesz pozycję "Android Enterprise", użytkownicy z niezarządzanymi urządzeniami z systemem Android będą nadal monitować.

W przypadku systemu iOS/iPadOS, aby wybór "Typ urządzenia" był wymuszany dla Intune zarządzanych urządzeń, wymagane są dodatkowe ustawienia konfiguracji aplikacji. Te konfiguracje będą komunikować się z usługą APP, że dana aplikacja jest zarządzana — i że ustawienia aplikacji nie będą stosowane:

Uwaga

Aby uzyskać szczegółowe informacje o zasadach ochrony aplikacji w systemie iOS/iPadOS oparte na stanie zarządzania urządzeniami, zobacz Zasady ochrony mam przeznaczone na podstawie stanu zarządzania.

Ustawienia zasad

Aby wyświetlić pełną listę ustawień zasad dla systemów iOS/iPadOS i Android, wybierz jeden z następujących linków:

Następne kroki

Monitorowanie zgodności i stanu użytkownika

Zobacz też