Udostępnij za pośrednictwem


Jak tworzyć i przypisywać zasady ochrony aplikacji

Dowiedz się, jak tworzyć i przypisywać zasady ochrony aplikacji (APP) usługi Microsoft Intune dla użytkowników w organizacji. W tym artykule opisano również sposób wprowadzania zmian w istniejących zasadach.

Przed rozpoczęciem

Zasady ochrony aplikacji mogą mieć zastosowanie do aplikacji uruchomionych na urządzeniach, które mogą być zarządzane przez usługę Intune. Aby uzyskać bardziej szczegółowy opis sposobu działania zasad ochrony aplikacji i scenariuszy obsługiwanych przez zasady ochrony aplikacji usługi Intune, zobacz Omówienie zasad ochrony aplikacji.

Opcje dostępne w zasadach ochrony aplikacji (APP) umożliwiają organizacjom dostosowanie ochrony do ich konkretnych potrzeb. Dla niektórych może nie być oczywiste, które ustawienia zasad są wymagane do wdrożenia pełnego scenariusza. Aby ułatwić organizacjom ustalanie priorytetów zabezpieczeń punktów końcowych klientów na urządzeniach przenośnych, firma Microsoft wprowadziła taksonomię dla struktury ochrony danych aplikacji na potrzeby zarządzania aplikacjami na urządzeniach przenośnych dla systemów iOS i Android.

Struktura ochrony danych zasad APP jest podzielona na trzy różne poziomy konfiguracji, przy czym każdy poziom opiera się na poziomie poprzednim:

  • Podstawowa ochrona danych w przedsiębiorstwie (poziom 1) zapewnia, że aplikacje są chronione przy użyciu kodu PIN i szyfrowane, a także wykonuje selektywne operacje czyszczenia. W przypadku urządzeń z systemem Android ten poziom weryfikuje zaświadczanie urządzenia z systemem Android. Jest to konfiguracja na poziomie podstawowym, która zapewnia podobną kontrolę ochrony danych w zasadach skrzynek pocztowych usługi Exchange Online oraz wprowadza specjalistów IT i populację użytkowników do aplikacji.
  • Rozszerzona ochrona danych w przedsiębiorstwie (poziom 2) wprowadza mechanizmy zapobiegania wyciekom danych aplikacji i minimalne wymagania dotyczące systemu operacyjnego. Jest to konfiguracja, która ma zastosowanie w przypadku większości użytkowników na urządzeniach przenośnych uzyskujących dostęp do danych służbowych.
  • Wysoka ochrona danych w przedsiębiorstwie (poziom 3) wprowadza zaawansowane mechanizmy ochrony danych, rozszerzoną konfigurację kodu PIN i zasady APP dotyczące obrony przed zagrożeniami mobilnymi. Ta konfiguracja jest pożądana dla użytkowników uzyskujących dostęp do danych wysokiego ryzyka.

Aby zobaczyć specyficzne zalecenia dotyczące każdego poziomu konfiguracji i minimalną liczbę aplikacji, które muszą być chronione, zapoznaj się z artykułem Struktura ochrony danych przy użyciu zasad ochrony aplikacji.

Jeśli szukasz listy aplikacji, które zintegrowały zestaw SDK usługi Intune, zobacz Aplikacje chronione przez usługę Microsoft Intune.

Aby uzyskać informacje na temat dodawania aplikacji biznesowych organizacji do usługi Microsoft Intune w celu przygotowania do zasad ochrony aplikacji, zobacz Dodawanie aplikacji do usługi Microsoft Intune.

Zasady ochrony aplikacji dla aplikacji dla systemów iOS/iPadOS i Android

Podczas tworzenia zasad ochrony aplikacji dla aplikacji dla systemów iOS/iPadOS i Android stosujesz nowoczesny przepływ procesu usługi Intune, który powoduje utworzenie nowych zasad ochrony aplikacji. Aby uzyskać informacje na temat tworzenia zasad ochrony aplikacji dla aplikacji systemu Windows, zobacz Ustawienia zasad ochrony aplikacji dla systemu Windows.

Tworzenie zasad ochrony aplikacji systemu iOS/iPadOS lub Android

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
  2. Wybierz pozycję Aplikacje>Zasady ochrony aplikacji. Ten wybór powoduje otwarcie szczegółów zasad ochrony aplikacji , w których można tworzyć nowe zasady i edytować istniejące zasady.
  3. Wybierz pozycję Utwórz zasady i wybierz pozycję iOS/iPadOS lub Android. Zostanie wyświetlone okienko Tworzenie zasad .
  4. Na stronie Podstawy dodaj następujące wartości:
Value Opis
Name (Nazwa) Nazwa tych zasad ochrony aplikacji.
Opis [Opcjonalnie] Opis tych zasad ochrony aplikacji.

Zrzut ekranu przedstawiający stronę Podstawy okienka Tworzenie zasad

  1. Kliknij przycisk Dalej , aby wyświetlić stronę Aplikacje .
    Strona Aplikacje umożliwia wybranie aplikacji, które mają być objęte tymi zasadami. Musisz dodać co najmniej jedną aplikację.

    Wartość/opcja Opis
    Zasady docelowe do W polu listy rozwijanej Zasady docelowe wybierz opcję kierowania zasad ochrony aplikacji do pozycji Wszystkie aplikacje, AplikacjeMicrosoft lub Podstawowe aplikacje firmy Microsoft.

    • Wszystkie aplikacje obejmują wszystkie aplikacje firmy Microsoft i partnerów, które zintegrowały zestaw SDK usługi Intune.
    • Usługa Microsoft Apps obejmuje wszystkie aplikacje firmy Microsoft, które zintegrowały zestaw SDK usługi Intune.
    • Podstawowe aplikacje firmy Microsoft obejmują następujące aplikacje: Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do i Word.

    Następnie możesz wybrać pozycję Wyświetl listę aplikacji, które będą przeznaczone do wyświetlania listy aplikacji, których dotyczą te zasady.
    Aplikacje publiczne Jeśli nie chcesz wybierać jednej ze wstępnie zdefiniowanych grup aplikacji, możesz wybrać opcję docelową poszczególnych aplikacji, wybierając pozycję Wybrane aplikacje w polu listy rozwijanej Zasady docelowe . Kliknij pozycję Wybierz aplikacje publiczne , aby wybrać aplikacje publiczne do docelowego miejsca docelowego.
    Aplikacje niestandardowe Jeśli nie chcesz wybierać jednej ze wstępnie zdefiniowanych grup aplikacji, możesz wybrać opcję docelową poszczególnych aplikacji, wybierając pozycję Wybrane aplikacje w polu listy rozwijanej Zasady docelowe . Kliknij pozycję Wybierz aplikacje niestandardowe , aby wybrać aplikacje niestandardowe do lokalizacji docelowej na podstawie identyfikatora pakietu. Nie można wybrać aplikacji niestandardowej w przypadku określania wartości docelowej dla wszystkich aplikacji publicznych w tych samych zasadach.

    Wybrane aplikacje zostaną wyświetlone na liście aplikacji publicznych i niestandardowych.

    Uwaga

    Aplikacje publiczne są obsługiwane przez firmę Microsoft i partnerów, które są często używane w usłudze Microsoft Intune. Te aplikacje chronione przez usługę Intune są włączone z rozbudowanym zestawem obsługi zasad ochrony aplikacji mobilnych. Aby uzyskać więcej informacji, zobacz Aplikacje chronione przez usługę Microsoft Intune. Aplikacje niestandardowe to aplikacje biznesowe zintegrowane z zestawem SDK usługi Intune lub opakowane przez narzędzie opakowujące aplikacje usługi Intune. Aby uzyskać więcej informacji, zobacz Omówienie zestawu SDK aplikacji usługi Microsoft Intune i Przygotowywanie aplikacji biznesowych na potrzeby zasad ochrony aplikacji.

  2. Kliknij przycisk Dalej , aby wyświetlić stronę Ochrona danych .
    Ta strona zawiera ustawienia mechanizmów kontroli ochrony przed utratą danych (DLP), w tym ograniczenia wycinania, kopiowania, wklejania i zapisywania jako. Te ustawienia określają sposób interakcji użytkowników z danymi w aplikacjach stosowanych przez te zasady ochrony aplikacji.

    Ustawienia ochrony danych:

  3. Kliknij przycisk Dalej , aby wyświetlić stronę Wymagania dotyczące dostępu .
    Ta strona zawiera ustawienia umożliwiające skonfigurowanie wymagań dotyczących numeru PIN i poświadczeń, które użytkownicy muszą spełnić, aby uzyskać dostęp do aplikacji w kontekście służbowym.

    Ustawienia wymagań dotyczących dostępu:

  4. Kliknij przycisk Dalej , aby wyświetlić stronę Uruchamianie warunkowe .
    Ta strona zawiera ustawienia umożliwiające ustawienie wymagań dotyczących zabezpieczeń logowania dla zasad ochrony aplikacji. Wybierz ustawienie i wprowadź wartość , którą użytkownicy muszą spełnić, aby zalogować się do aplikacji firmowej. Następnie wybierz akcję , którą chcesz wykonać, jeśli użytkownicy nie spełniają Twoich wymagań. W niektórych przypadkach można skonfigurować wiele akcji dla jednego ustawienia.

    Ustawienia uruchamiania warunkowego:

  5. Kliknij przycisk Dalej, aby wyświetlić stronę Przypisania.
    Strona Przypisania umożliwia przypisanie zasad ochrony aplikacji do grup użytkowników. Aby zasady zostały zastosowane, należy zastosować je do grupy użytkowników.

  6. Kliknij przycisk Dalej: Przejrzyj i utwórz , aby przejrzeć wartości i ustawienia wprowadzone dla tych zasad ochrony aplikacji.

  7. Po zakończeniu kliknij pozycję Utwórz , aby utworzyć zasady ochrony aplikacji w usłudze Intune.

    Porada

    Te ustawienia zasad są wymuszane tylko w przypadku korzystania z aplikacji w kontekście służbowym. Gdy użytkownicy końcowi używają aplikacji do wykonywania zadań osobistych, te zasady nie mają na nie wpływu. Pamiętaj, że podczas tworzenia nowego pliku jest on traktowany jako plik osobisty.

    Ważna

    Zastosowanie zasad ochrony aplikacji do istniejących urządzeń może zająć trochę czasu. Użytkownicy końcowi będą widzieć powiadomienie na urządzeniu po zastosowaniu zasad ochrony aplikacji. Przed zastosowaniem reguł dostępu warunkowego zastosuj zasady ochrony aplikacji do urządzeń.

Użytkownicy końcowi mogą pobierać aplikacje ze sklepu App Store lub Google Play. Więcej informacji można znaleźć w następujących artykułach:

Zmienianie istniejących zasad

Istniejące zasady można edytować i stosować do użytkowników docelowych. Aby uzyskać więcej informacji na temat czasu dostarczania zasad, zobacz Omówienie czasu dostarczania zasad ochrony aplikacji.

Aby zmienić listę aplikacji skojarzonych z zasadami

  1. W okienku Zasady ochrony aplikacji wybierz zasady, które chcesz zmienić.

  2. W okienku Ochrona aplikacji usługi Intune wybierz pozycję Właściwości.

  3. Obok sekcji zatytułowanej Aplikacje wybierz pozycję Edytuj.

  4. Strona Aplikacje umożliwia wybranie aplikacji, które mają być objęte tymi zasadami. Musisz dodać co najmniej jedną aplikację.

    Wartość/opcja Opis
    Aplikacje publiczne W polu listy rozwijanej Zasady docelowe wybierz opcję kierowania zasad ochrony aplikacji do wszystkich aplikacji publicznych, aplikacji firmy Microsoft lub podstawowych aplikacji firmy Microsoft. Następnie możesz wybrać pozycję Wyświetl listę aplikacji, które będą przeznaczone do wyświetlania listy aplikacji, których dotyczą te zasady.

    W razie potrzeby możesz wybrać opcję docelową poszczególnych aplikacji, klikając pozycję Wybierz aplikacje publiczne.

    Aplikacje niestandardowe Kliknij pozycję Wybierz aplikacje niestandardowe , aby wybrać aplikacje niestandardowe do lokalizacji docelowej na podstawie identyfikatora pakietu.

    Wybrane aplikacje zostaną wyświetlone na liście aplikacji publicznych i niestandardowych.

  5. Kliknij pozycję Przejrzyj i utwórz , aby przejrzeć aplikacje wybrane dla tych zasad.

  6. Po zakończeniu kliknij przycisk Zapisz , aby zaktualizować zasady ochrony aplikacji.

Aby zmienić listę grup użytkowników

  1. W okienku Zasady ochrony aplikacji wybierz zasady, które chcesz zmienić.

  2. W okienku Ochrona aplikacji usługi Intune wybierz pozycję Właściwości.

  3. Obok sekcji zatytułowanej Przypisania wybierz pozycję Edytuj.

  4. Aby dodać nową grupę użytkowników do zasad, na karcie Dołącz wybierz pozycję Wybierz grupy do uwzględnienia i wybierz grupę użytkowników. Wybierz pozycję Wybierz , aby dodać grupę.

  5. Aby wykluczyć grupę użytkowników, na karcie Wyklucz wybierz pozycję Wybierz grupy do wykluczenia i wybierz grupę użytkowników. Wybierz pozycję Wybierz , aby usunąć grupę użytkowników.

  6. Aby usunąć grupy, które zostały dodane wcześniej, na kartach Dołączanie lub Wykluczanie wybierz wielokropek (...) i wybierz pozycję Usuń.

  7. Kliknij pozycję Przejrzyj i utwórz , aby przejrzeć grupy użytkowników wybrane dla tych zasad.

  8. Gdy zmiany przypisań będą gotowe, wybierz pozycję Zapisz , aby zapisać konfigurację i wdrożyć zasady dla nowego zestawu użytkowników. Jeśli wybierzesz pozycję Anuluj przed zapisaniem konfiguracji, odrzucisz wszystkie zmiany wprowadzone na kartach Dołączanie i wykluczanie .

Aby zmienić ustawienia zasad

  1. W okienku Zasady ochrony aplikacji wybierz zasady, które chcesz zmienić.

  2. W okienku Ochrona aplikacji usługi Intune wybierz pozycję Właściwości.

  3. Obok sekcji odpowiadającej ustawieniu, które chcesz zmienić, wybierz pozycję Edytuj. Następnie zmień ustawienia na nowe wartości.

  4. Kliknij pozycję Przejrzyj i utwórz , aby przejrzeć zaktualizowane ustawienia tych zasad.

  5. Wybierz pozycję Zapisz , aby zapisać zmiany. Powtórz proces, aby wybrać obszar ustawień i zmodyfikować, a następnie zapisać zmiany do momentu ukończenia wszystkich zmian. Następnie możesz zamknąć okienko Intune App Protection — Właściwości .

Docelowe zasady ochrony aplikacji na podstawie stanu zarządzania urządzeniami

W wielu organizacjach często użytkownicy końcowi mogą korzystać z urządzeń zarządzanych przez usługę Intune do zarządzania urządzeniami przenośnymi (MDM), takich jak urządzenia należące do firmy, oraz urządzeń niezarządzanych chronionych tylko za pomocą zasad ochrony aplikacji usługi Intune. Urządzenia niezarządzane są często nazywane "Przynieś własne urządzenia" (BYOD).

Ponieważ zasady ochrony aplikacji usługi Intune są przeznaczone dla tożsamości użytkownika, ustawienia ochrony użytkownika mogą być stosowane zarówno do urządzeń zarejestrowanych (zarządzanych przez rozwiązanie MDM), jak i niezarejestrowanych (bez zarządzania urządzeniami przenośnymi). W związku z tym zasady ochrony aplikacji usługi Intune można kierować do zarejestrowanych lub niezarejestrowanych urządzeń z systemami iOS/iPadOS i Android w usłudze Intune przy użyciu filtrów. Aby uzyskać więcej informacji na temat tworzenia filtrów, zobacz Używanie filtrów podczas przypisywania zasad . Możesz mieć jedną zasadę ochrony dla urządzeń niezarządzanych, w których obowiązują ścisłe mechanizmy ochrony przed utratą danych (DLP), oraz oddzielne zasady ochrony dla urządzeń zarządzanych przez rozwiązanie MDM, w których mechanizmy kontroli DLP mogą być nieco bardziej złagodzone. Aby uzyskać więcej informacji o tym, jak to działa na osobistych urządzeniach z systemem Android Enterprise, zobacz Zasady ochrony aplikacji i profile służbowe.

Aby użyć tych filtrów podczas przypisywania zasad, przejdź do pozycji Aplikacje>Zasady ochrony aplikacji w centrum administracyjnym usługi Intune, a następnie wybierz pozycję Utwórz zasady. Możesz również edytować istniejące zasady ochrony aplikacji. Przejdź do strony Przypisania i wybierz pozycję Edytuj filtr , aby uwzględnić lub wykluczyć filtry dla przypisanej grupy.

Typy zarządzania urządzeniami

Ważna

Usługa Microsoft Intune kończy obsługę zarządzania urządzeniami z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 31 grudnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w usłudze Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

  • Niezarządzane: w przypadku urządzeń z systemem iOS/iPadOS urządzenia niezarządzane to urządzenia, na których zarządzanie urządzeniami przenośnymi w usłudze Intune lub rozwiązanie MDM/EMM innej firmy nie przekazuje klucza IntuneMAMUPN . W przypadku urządzeń z systemem Android urządzenia niezarządzane to urządzenia, na których nie wykryto zarządzania urządzeniami przenośnymi usługi Intune. Obejmuje to urządzenia zarządzane przez innych dostawców oprogramowania MDM.
  • Urządzenia zarządzane przez usługę Intune: urządzenia zarządzane są zarządzane przez usługę Intune MDM.
  • Administrator urządzeń z systemem Android: urządzenia zarządzane przez usługę Intune przy użyciu interfejsu API administrowania urządzeniami z systemem Android.
  • Android Enterprise: urządzenia zarządzane przez usługę Intune przy użyciu profilów służbowych systemu Android Enterprise lub pełnego zarządzania urządzeniami z systemem Android Enterprise.
  • Dedykowane urządzenia z systemem Android Enterprise należące do firmy z udostępnionym trybem urządzenia Microsoft Entra: urządzenia zarządzane przez usługę Intune przy użyciu dedykowanych urządzeń z systemem Android Enterprise z trybem urządzenia udostępnionego.
  • Urządzenia z systemem Android (AOSP) skojarzone z użytkownikiem: urządzenia zarządzane przez usługę Intune przy użyciu zarządzania skojarzonego z użytkownikiem usługi AOSP.
  • Urządzenia bez użytkownika z systemem Android (AOSP): urządzenia zarządzane przez usługę Intune przy użyciu urządzeń bez użytkownika usługi AOSP. Te urządzenia korzystają również z trybu udostępnionego urządzenia Microsoft Entra.

W systemie Android na urządzeniach z systemem Android zostanie wyświetlony monit o zainstalowanie aplikacji Portal firmy usługi Intune niezależnie od wybranego typu zarządzania urządzeniami. Jeśli na przykład wybierzesz pozycję "Android Enterprise", użytkownicy z niezarządzanymi urządzeniami z systemem Android będą nadal monitować.

W przypadku systemu iOS/iPadOS, aby typ zarządzania urządzeniami był wymuszany na urządzeniach zarządzanych przez usługę Intune, wymagane są dodatkowe ustawienia konfiguracji aplikacji. Te ustawienia komunikują się z usługą APP (App Protection Policy), aby wskazać, że aplikacja jest zarządzana. W związku z tym ustawienia aplikacji nie będą stosowane do momentu wdrożenia zasad konfiguracji aplikacji. Poniżej przedstawiono ustawienia konfiguracji aplikacji:

Ustawienia zasad

Aby wyświetlić pełną listę ustawień zasad dla systemów iOS/iPadOS i Android, wybierz jeden z następujących linków:

Następne kroki

Monitorowanie zgodności i stanu użytkownika

Zobacz też