Jak monitorować zasady ochrony aplikacji

Możesz monitorować stan zasad ochrony aplikacji stosowanych do użytkowników z okienka ochrony aplikacji Intune w Intune. Ponadto można znaleźć informacje na temat użytkowników, których dotyczą zasady ochrony aplikacji, stanu zgodności zasad i wszelkich problemów, które mogą wystąpić dla użytkowników.

Istnieją trzy różne miejsca do monitorowania zasad ochrony aplikacji:

  • Widok podsumowania
  • Widok szczegółowy
  • Widok raportowania

Ochrona aplikacji dane są przechowywane przez co najmniej 90 dni. Wszystkie wystąpienia aplikacji, które zostały zaewidencjonowane w usłudze Intune w ciągu ostatnich 90 dni, są uwzględniane w raporcie o stanie ochrony aplikacji. Wystąpienie aplikacji to unikatowy użytkownik i aplikacja + urządzenie.

Widok podsumowania

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.
  2. Wybierz pozycję Monitor > aplikacji > Ochrona aplikacji stan.

Poniższa lista zawiera szczegółowe informacje o stanie ochrony aplikacji:

  • Przypisani użytkownicy: całkowita liczba przypisanych użytkowników w firmie, którzy korzystają z aplikacji skojarzonej z zasadami w kontekście służbowym i są chronieni i licencjonowani, a także przypisanych użytkowników, którzy nie są chronieni i nielicencjonowani.

  • Oflagowani użytkownicy: liczba użytkowników, którzy mają problemy ze swoimi urządzeniami. Urządzenia ze zdjętymi zabezpieczeniami systemu (iOS/iPadOS) i urządzeniami z dostępem do konta root (Android) są zgłaszane w obszarze Oflagowani użytkownicy. Ponadto użytkownicy z urządzeniami oflagowanymi przez kontrolę zaświadczania urządzenia Google SafetyNet (jeśli są włączone przez administratora IT) są tutaj zgłaszani.

  • Użytkownicy z potencjalnie szkodliwymi aplikacjami: liczba użytkowników, którzy mogą mieć szkodliwą aplikację na swoim urządzeniu Android wykrytą przez Google Play Protect.

  • Stan użytkownika dla iOS i stan użytkownika dla Android: liczba użytkowników, którzy korzystali z aplikacji, którzy mają przypisane do nich zasady w kontekście służbowym powiązanej platformy. Te informacje pokazują liczbę użytkowników zarządzanych przez zasady, a także liczbę użytkowników korzystających z aplikacji, która nie jest objęta żadnymi zasadami w kontekście służbowym. Możesz rozważyć dodanie tych użytkowników do zasad.

  • Top Protected iOS/iPadOS Apps and Top Protected Android Apps: w oparciu o najczęściej używane aplikacje iOS/iPadOS i Android, te informacje pokazują liczbę chronionych i niechronionych aplikacji według platformy.

  • Top Configured iOS/iPadOS Apps without Enrollment and Top Configured Android Apps without Enrollment(Aplikacje iOS/iPadOS bez rejestracji) i Top Configured Android Apps without Enrollment (Aplikacje bez rejestracji): w oparciu o najczęściej używane aplikacje iOS/iPadOS i Android dla niezarejestrowanych urządzeń te informacje pokazują liczbę skonfigurowanych aplikacji według platformy (podobnie jak w przypadku korzystania z zasad konfiguracji aplikacji).

    Uwaga

    Jeśli masz wiele zasad na platformę, użytkownik jest traktowany jako zarządzany przez zasady, gdy mają przypisane co najmniej jedną zasadę.

Widok szczegółowy

Aby uzyskać szczegółowy widok podsumowania, wybierz kafelek Oflagowani użytkownicy i kafelek Użytkownicy z potencjalnie szkodliwymi aplikacjami .

Oflagowani użytkownicy

Szczegółowy widok przedstawia komunikat o błędzie, aplikację, do których uzyskano dostęp po wystąpieniu błędu, platformę systemu operacyjnego urządzenia, którego dotyczy problem, oraz sygnaturę czasową. Ten błąd występuje zazwyczaj w przypadku urządzeń ze zdjętymi zabezpieczeniami systemu (iOS/iPadOS) lub z odblokowanym dostępem do konta root (Android). Ponadto użytkownicy z urządzeniami oflagowanymi przez test warunkowego uruchamiania "Zaświadczanie urządzenia SafetyNet" są tutaj zgłaszani z przyczyną zgłoszoną przez firmę Google. Aby użytkownik został usunięty z raportu, stan samego urządzenia musi ulec zmianie, co nastąpi po następnym sprawdzaniu wykrywania głównego (lub sprawdzaniu zabezpieczeń systemu/kontroli SafetyNet), który musi zgłosić pozytywny wynik. Jeśli urządzenie jest naprawdę skorygowane, odświeżenie raportu Oflagowani użytkownicy nastąpi po ponownym załadowaniu okienka.

Użytkownicy z potencjalnie szkodliwymi aplikacjami

Użytkownicy z urządzeniami oflagowanymi przez sprawdzanie uruchamiania warunkowego Wymagaj skanowania zagrożeń w aplikacjach są zgłaszani tutaj z kategorią zagrożeń zgłoszoną przez firmę Google. Jeśli w tym raporcie znajdują się aplikacje wdrażane za pośrednictwem Intune, skontaktuj się z deweloperem aplikacji lub usuń przypisanie aplikacji do użytkowników. Szczegółowy widok pokazuje:

  • Użytkownik: nazwa użytkownika.
  • Identyfikator pakietu aplikacji: w ten sposób Android system operacyjny jednoznacznie określa aplikację.
  • Jeśli aplikacja ma włączoną funkcję MAM: czy aplikacja jest wdrażana za pośrednictwem Microsoft Intune.
  • Kategoria zagrożeń: w jakiej kategorii zagrożeń określanej przez Firmę Google należy ta aplikacja.
  • Wiadomość e-mail: wiadomość e-mail użytkownika.
  • Nazwa urządzenia: nazwy wszystkich urządzeń skojarzonych z kontem użytkownika.
  • Sygnatura czasowa: jest to data ostatniej synchronizacji, którą firma Google wykonała z Microsoft Intune w odniesieniu do potencjalnie szkodliwych aplikacji.

Widok raportowania

Te same raporty można znaleźć w górnej części okienka stanu Ochrona aplikacji. Aby wyświetlić te raporty, wybierz pozycję Monitor > aplikacji > Ochrona aplikacji raporty o stanie > . Okienko Raporty zawiera kilka raportów opartych na użytkowniku i aplikacji, w tym następujące:

Raport użytkownika

Możesz wyszukać pojedynczego użytkownika i sprawdzić stan zgodności dla tego użytkownika. Okienko Raportowanie aplikacji zawiera następujące informacje dla wybranego użytkownika:

  • Ikona: wyświetla, czy stan aplikacji jest aktualny.
  • Nazwa aplikacji: nazwa aplikacji.
  • Nazwa urządzenia: urządzenia skojarzone z kontem użytkownika.
  • Typ urządzenia: typ urządzenia lub systemu operacyjnego, na które jest uruchomione urządzenie.
  • Zasady: zasady skojarzone z aplikacją.
  • Stan:
    • Zaewidencjonowane: zasady zostały wdrożone dla użytkownika, a aplikacja była używana w kontekście służbowym co najmniej raz.
    • Nie zaewidencjonowane: zasady zostały wdrożone dla użytkownika, ale od tego czasu aplikacja nie była używana w kontekście służbowym.
  • Ostatnia synchronizacja: kiedy aplikacja została ostatnio zsynchronizowana z Intune.

Uwaga

Kolumna Ostatnia synchronizacja reprezentuje tę samą wartość zarówno w raporcie stanu użytkownika w konsoli, jak i w raporcie .csv eksportowanych zasad ochrony aplikacji. Różnica polega na niewielkim opóźnieniu synchronizacji między wartością w dwóch raportach.

Czas, do którego odwołuje się ostatnia synchronizacja, to czas, w którym Intune ostatni raz zobaczył wystąpienie aplikacji. Gdy użytkownik uruchomi aplikację, może powiadomić usługę Intune App Protection o tym czasie uruchamiania, w zależności od tego, kiedy ostatnio została zaewidencjonowana. Zobacz czasy interwału ponawiania dla zaewidencjonowania zasad ochrony aplikacji. Jeśli użytkownik nie użył tej konkretnej aplikacji w ostatnim interwale zaewidencjonowania (zwykle jest to 30 minut dla aktywnego użycia) i uruchamia aplikację, wykonaj następujące czynności:

  • Raport .csv eksportowalnych zasad ochrony aplikacji ma najnowszy czas w ciągu 1 minuty (minimum) do 30 minut (maksimum).
  • Raport o stanie użytkownika ma od razu najnowszy czas.

Rozważmy na przykład użytkownika docelowego i licencjonowanego, który uruchamia chronioną aplikację o godzinie 12:00:

  • Jeśli jest to logowanie po raz pierwszy, oznacza to, że użytkownik został wylogował się wcześniej i nie ma rejestracji wystąpienia aplikacji przy użyciu Intune. Po zalogowaniu się użytkownika użytkownik otrzymuje nową rejestrację wystąpienia aplikacji i może zostać natychmiast zaewidencjonowany (z tymi samymi opóźnieniami czasowymi wymienionymi wcześniej na potrzeby przyszłych zaewidencjonowania). W związku z tym czas ostatniej synchronizacji to 12:00 w raporcie Stan użytkownika i 12:01 (lub najpóźniej do 12:30) w raporcie zasad ochrony aplikacji.
  • Jeśli użytkownik dopiero uruchamia aplikację, raportowany czas ostatniej synchronizacji zależy od tego, kiedy użytkownik ostatnio zaewidencjonował.

Aby wyświetlić raporty dla użytkownika, wykonaj następujące kroki:

  1. Aby wybrać użytkownika, wybierz kafelek Podsumowanie stanu użytkownika .

    Zrzut ekranu przedstawiający kafelek Podsumowanie zarządzania aplikacjami mobilnymi Intune

  2. W okienku Raportowanie aplikacji wybierz pozycję Wybierz użytkownika, aby wyszukać użytkownika Azure Active Directory.

    Zrzut ekranu przedstawiający opcję Wybierz użytkownika w okienku Raportowanie aplikacji

  3. Wybierz użytkownika z listy. Możesz wyświetlić szczegóły stanu zgodności dla tego użytkownika.

Uwaga

Jeśli użytkownicy, których szukasz, nie mają wdrożonych zasad zarządzania aplikacjami mobilnymi, zostanie wyświetlony komunikat informujący o tym, że użytkownik nie jest objęty żadnymi zasadami zarządzania aplikacjami mobilnymi.

Raport aplikacji

Możesz wyszukiwać według platformy i aplikacji, a następnie ten raport będzie zawierać dwa różne stany ochrony aplikacji, które można wybrać przed wygenerowaniem raportu. Stan może być chroniony lub niechroniony.

  • Stan użytkownika dla działania zarządzanego zarządzania aplikacjami mobilnymi (chronione): ten raport przedstawia aktywność każdej zarządzanej aplikacji MAM dla poszczególnych użytkowników. Przedstawia ona wszystkie aplikacje objęte zasadami zarządzania aplikacjami mobilnymi dla każdego użytkownika oraz stan każdej aplikacji zaewidencjonowany przy użyciu zasad zarządzania aplikacjami mobilnymi. Raport zawiera również stan każdej aplikacji, która była objęta zasadami zarządzania aplikacjami mobilnymi, ale nigdy nie została zaewidencjonowana.

  • Stan użytkownika dla niezarządzanego działania zarządzania aplikacjami mobilnymi (niechronione): w tym raporcie przedstawiono działanie aplikacji z obsługą zarządzania aplikacjami mobilnymi, które są obecnie niezarządzane dla poszczególnych użytkowników. Może się to zdarzyć, ponieważ:

    • Te aplikacje są używane przez użytkownika lub aplikację, która nie jest obecnie objęta zasadami zarządzania aplikacjami mobilnymi.
    • Wszystkie aplikacje są zaewidencjonowane, ale nie otrzymują żadnych zasad zarządzania aplikacjami mobilnymi.

    Zrzut ekranu przedstawiający okienko raportowania aplikacji użytkownika ze szczegółowymi informacjami dotyczącymi trzech aplikacji

Raport konfiguracji użytkownika

Na podstawie wybranego użytkownika ten raport zawiera szczegółowe informacje o konfiguracjach aplikacji, które użytkownik otrzymał.

Raport konfiguracji aplikacji

Na podstawie wybranej platformy i aplikacji ten raport zawiera szczegółowe informacje o tym, którzy użytkownicy otrzymali konfiguracje dla wybranej aplikacji.

Raport uczenia aplikacji dla Windows Information Protection

Ten raport pokazuje, które aplikacje próbują przekroczyć granice zasad.

Uczenie się w witrynie internetowej dla Windows Information Protection

Ten raport pokazuje, które witryny internetowe próbują przekroczyć granice zasad.

Eksportowanie działań ochrony aplikacji

Wszystkie działania zasad ochrony aplikacji można wyeksportować do jednego pliku .csv. Może to być przydatne w analizie wszystkich stanów ochrony aplikacji zgłoszonych przez użytkowników. Plik .csv usługi App Protection pokazuje:

  • Użytkownik: nazwa użytkownika.
  • Wiadomość e-mail: wiadomość e-mail użytkownika.
  • Aplikacja: nazwa aplikacji.
  • Wersja aplikacji: wersja aplikacji.
  • Nazwa urządzenia: nazwy wszystkich urządzeń skojarzonych z kontem użytkownika.
  • Producent urządzenia: zawiera listę producentów urządzenia (tylko Android).
  • Model urządzenia: zawiera listę producentów urządzenia (tylko Android).
  • Android wersja poprawki: data ostatniej poprawki zabezpieczeń Android.
  • Identyfikator urządzenia usługi AAD: ta kolumna jest wypełniana, jeśli urządzenie jest przyłączone do usługi AAD.
  • Identyfikator urządzenia MDM: ta kolumna jest wypełniana, jeśli urządzenie jest zarejestrowane Microsoft Intune mdm.
  • Platforma: system operacyjny.
  • Wersja platformy: wersja systemu operacyjnego.
  • Typ zarządzania: typ zarządzania na urządzeniu. Na przykład Android Enterprise, niezarządzane lub MDM.
  • Stan ochrony aplikacji: niechronione lub chronione.
  • Zasady: zasady ochrony aplikacji skojarzone z aplikacją.
  • Ostatnia synchronizacja: kiedy aplikacja została ostatnio zsynchronizowana z Microsoft Intune.
  • Stan zgodności: czy aplikacja na urządzeniu użytkownika jest zgodna z zasadami dostępu warunkowego opartego na aplikacji.

Wykonaj następujące kroki, aby wygenerować plik .csv usługi App Protection lub plik App Configuration .csv:

  1. W okienku zarządzania aplikacjami mobilnymi Intune wybierz pozycję Ochrona aplikacji raportu.

    Zrzut ekranu przedstawiający link do pobierania Ochrona aplikacji

  2. Wybierz pozycję Tak , aby zapisać raport, a następnie wybierz pozycję Zapisz jako. Wybierz folder, w który chcesz zapisać raport.

    Zrzut ekranu przedstawiający pole potwierdzenia Zapisywanie raportu

Uwaga

Intune udostępnia dodatkowe pola raportowania urządzeń, w tym identyfikator rejestracji aplikacji, Android producenta, modelu i wersji poprawek zabezpieczeń, a także model iOS/iPadOS. W Intune dostęp do tych pól można uzyskać, wybierając pozycję Aplikacje > Ochrona aplikacji stan > Raport ochrony aplikacji: iOS/iPadOS, Android. Ponadto te parametry ułatwiają skonfigurowanie listy Zezwalaj dla producenta urządzenia (Android), listy Zezwalaj dla modelu urządzenia (Android i iOS/iPadOS) oraz ustawienia minimalnej Android wersji poprawki zabezpieczeń.

Zobacz też