Udostępnij za pośrednictwem


Ustawienia zasad ochrony aplikacji systemu Android w Microsoft Intune

W tym artykule opisano ustawienia zasad ochrony aplikacji dla urządzeń z systemem Android. Opisane ustawienia zasad można skonfigurować dla zasad ochrony aplikacji w okienku Ustawienia w portalu. Istnieją trzy kategorie ustawień zasad: ustawienia ochrony danych, wymagania dotyczące dostępu i uruchamianie warunkowe. W tym artykule termin aplikacje zarządzane przez zasady odnosi się do aplikacji skonfigurowanych przy użyciu zasad ochrony aplikacji.

Ważna

Intune — Portal firmy jest wymagana na urządzeniu do odbierania zasad ochrony aplikacji dla urządzeń z systemem Android.

Intune Managed Browser został wycofany. Użyj przeglądarki Microsoft Edge, aby korzystać z chronionego środowiska przeglądarki Intune.

Ochrona danych

Transfer danych

Ustawienie Sposób użycia Wartość domyślna
Tworzenie kopii zapasowych danych organizacji w usługach tworzenia kopii zapasowych systemu Android Wybierz pozycję Blokuj , aby uniemożliwić tej aplikacji tworzenie kopii zapasowych danych służbowych w usłudze Kopia zapasowa systemu Android.

Wybierz pozycję Zezwalaj, aby zezwolić tej aplikacji na tworzenie kopii zapasowych danych służbowych.
Zezwalaj
Wysyłanie danych organizacji do innych aplikacji Określ, które aplikacje mogą odbierać dane z tej aplikacji:
  • Aplikacje zarządzane przez zasady: zezwalaj na transfer tylko do innych aplikacji zarządzanych przez zasady.
  • Wszystkie aplikacje: zezwalaj na transfer do dowolnej aplikacji.
  • Brak: nie zezwalaj na przesyłanie danych do żadnej aplikacji, w tym do innych aplikacji zarządzanych przez zasady.

Istnieją pewne wykluczone aplikacje i usługi, do których Intune domyślnie mogą zezwalać na transfer danych. Ponadto możesz utworzyć własne wykluczenia, jeśli chcesz zezwolić na przesyłanie danych do aplikacji, która nie obsługuje Intune APP. Aby uzyskać więcej informacji, zobacz Wykluczenia z transferu danych.

Te zasady mogą również dotyczyć linków aplikacji systemu Android. Ogólne linki internetowe są zarządzane za pomocą linków Otwórz aplikację w Intune Managed Browser ustawieniu zasad.

Uwaga

Intune obecnie nie obsługuje funkcji aplikacji błyskawicznych systemu Android. Intune zablokuje wszelkie połączenia danych z aplikacją lub z niej. Aby uzyskać więcej informacji, zobacz Aplikacje błyskawiczne dla systemu Android w dokumentacji dewelopera systemu Android.

Jeśli ustawienie Wyślij dane organizacji do innych aplikacji jest skonfigurowane w obszarze Wszystkie aplikacje, dane tekstowe mogą być nadal przesyłane za pośrednictwem udostępniania systemu operacyjnego do schowka.

Wszystkie aplikacje
    Wybieranie aplikacji do wykluczenia
Ta opcja jest dostępna po wybraniu pozycji Aplikacje zarządzane przez zasady dla poprzedniej opcji.
    Zapisywanie kopii danych organizacji
Wybierz pozycję Blokuj , aby wyłączyć korzystanie z opcji Zapisz jako w tej aplikacji. Wybierz pozycję Zezwalaj , jeśli chcesz zezwolić na korzystanie z opcji Zapisz jako. Po ustawieniu opcji Blokuj można skonfigurować ustawienie Zezwalaj użytkownikowi na zapisywanie kopii w wybranych usługach.

Uwaga:
  • To ustawienie jest obsługiwane w programach Microsoft Excel, OneNote, PowerPoint, Word i Edge. Może być również obsługiwana przez aplikacje innych firm i lob.
  • To ustawienie można skonfigurować tylko wtedy, gdy ustawienie Wyślij dane organizacji do innych aplikacji ma wartość Aplikacje zarządzane przez zasady.
  • To ustawienie będzie mieć wartość "Zezwalaj", gdy ustawienie Wyślij dane organizacji do innych aplikacji ma wartość Wszystkie aplikacje.
  • To ustawienie będzie mieć wartość "Blokuj" bez dozwolonych lokalizacji usług, gdy ustawienie Wyślij dane organizacji do innych aplikacji ma wartość Brak.
  • To ustawienie spowoduje zapisanie plików jako zaszyfrowanych, jeśli wartość Szyfruj dane organizacji ma wartość Wymagaj.
Zezwalaj
      Zezwalanie użytkownikowi na zapisywanie kopii w wybranych usługach
Użytkownicy mogą zapisywać w wybranych usługach (OneDrive dla Firm, SharePoint, Photo Library, Box i Local Storage). Wszystkie inne usługi zostaną zablokowane. Wybrano 0
    Transfer danych telekomunikacyjnych do
Zazwyczaj gdy użytkownik wybierze hiperłączy numer telefonu w aplikacji, zostanie otwarta aplikacja wybierania numerów z numerem telefonu wypełnionym wstępnie i gotowym do połączenia. W tym ustawieniu wybierz sposób obsługi tego typu transferu zawartości, gdy jest inicjowany z aplikacji zarządzanej przez zasady:
  • Brak, nie przesyłaj tych danych między aplikacjami: nie przesyłaj danych komunikacyjnych po wykryciu numeru telefonu.
  • Określona aplikacja wybierania numerów: Zezwalaj określonej aplikacji wybierania numerów na inicjowanie kontaktu po wykryciu numeru telefonu.
  • Dowolna aplikacja wybierania numerów zarządzana przez zasady: Zezwalaj dowolnej aplikacji dialer zarządzanej przez zasady na inicjowanie kontaktu po wykryciu numeru telefonu.
  • Dowolna aplikacja wybierania numerów: zezwala na używanie dowolnej aplikacji wybierania numerów do inicjowania kontaktu po wykryciu numeru telefonu.
Dowolna aplikacja wybierania numerów
      Identyfikator pakietu aplikacji wybierania numerów
Po wybraniu określonej aplikacji wybierania numerów należy podać identyfikator pakietu aplikacji. Pusty
      Nazwa aplikacji wybierania numerów
Po wybraniu określonej aplikacji wybierania numerów należy podać nazwę aplikacji wybierania numerów. Pusty
    Transferowanie danych komunikatów do
Zazwyczaj gdy użytkownik wybierze hiperłączy numer telefonu w aplikacji, zostanie otwarta aplikacja wybierania numerów z numerem telefonu wypełnionym wstępnie i gotowym do połączenia. W tym ustawieniu wybierz sposób obsługi tego typu transferu zawartości, gdy jest inicjowany z aplikacji zarządzanej przez zasady. W tym ustawieniu wybierz sposób obsługi tego typu transferu zawartości, gdy jest inicjowany z aplikacji zarządzanej przez zasady:
  • Brak, nie przesyłaj tych danych między aplikacjami: nie przesyłaj danych komunikacyjnych po wykryciu numeru telefonu.
  • Określona aplikacja do obsługi wiadomości: zezwalaj na użycie określonej aplikacji do obsługi wiadomości w celu zainicjowania kontaktu po wykryciu numeru telefonu.
  • Dowolna aplikacja do obsługi komunikatów zarządzana przez zasady: zezwala na używanie dowolnej aplikacji do obsługi komunikatów zarządzanych przez zasady do inicjowania kontaktu po wykryciu numeru telefonu.
  • Dowolna aplikacja do obsługi wiadomości: zezwalaj na użycie dowolnej aplikacji do obsługi wiadomości w celu zainicjowania kontaktu po wykryciu numeru telefonu.
Dowolna aplikacja do obsługi komunikatów
      Identyfikator pakietu aplikacji do obsługi komunikatów
Po wybraniu określonej aplikacji do obsługi komunikatów musisz podać identyfikator pakietu aplikacji. Pusty
      Nazwa aplikacji do obsługi komunikatów
Po wybraniu określonej aplikacji do obsługi komunikatów należy podać nazwę aplikacji do obsługi komunikatów. Pusty
Odbieranie danych z innych aplikacji Określ, które aplikacje mogą przesyłać dane do tej aplikacji:
  • Aplikacje zarządzane przez zasady: zezwalaj na transfer tylko z innych aplikacji zarządzanych przez zasady.
  • Wszystkie aplikacje: zezwalaj na transfer danych z dowolnej aplikacji.
  • Brak: nie zezwalaj na transfer danych z żadnej aplikacji, w tym z innych aplikacji zarządzanych przez zasady.

Istnieją pewne wykluczone aplikacje i usługi, z których Intune mogą zezwalać na transfer danych. Aby uzyskać pełną listę aplikacji i usług, zobacz Wykluczenia z transferu danych .

Wszystkie aplikacje
    Otwieranie danych w dokumentach organizacji
Wybierz pozycję Blokuj , aby wyłączyć korzystanie z opcji Otwórz lub innych opcji do udostępniania danych między kontami w tej aplikacji. Wybierz pozycję Zezwalaj , jeśli chcesz zezwolić na korzystanie z opcji Otwórz.

Po ustawieniu opcji Blokuj można skonfigurować opcję Zezwalaj użytkownikowi na otwieranie danych z wybranych usług , aby określić, które usługi są dozwolone dla lokalizacji danych organizacji.

Uwaga:
  • To ustawienie można skonfigurować tylko wtedy, gdy ustawienie Odbierz dane z innych aplikacji jest ustawione na aplikacje zarządzane przez zasady.
  • To ustawienie będzie mieć wartość "Zezwalaj", gdy ustawienie Odbierz dane z innych aplikacji zostanie ustawione na wartość Wszystkie aplikacje.
  • To ustawienie będzie mieć wartość "Blokuj" bez dozwolonych lokalizacji usług, gdy ustawienie Odbierz dane z innych aplikacji ma wartość Brak.
  • Następujące aplikacje obsługują to ustawienie:
    • OneDrive 6.14.1 lub nowsza.
    • Program Outlook dla systemu Android 4.2039.2 lub nowszego.
    • Teams dla systemu Android 1416/1.0.0.2021173701 lub nowszego.


Zezwalaj
      Zezwalaj użytkownikom na otwieranie danych z wybranych usług
Wybierz usługi magazynu aplikacji, z których użytkownicy mogą otwierać dane. Wszystkie inne usługi są blokowane. Wybranie żadnych usług uniemożliwi użytkownikom otwieranie danych.

Obsługiwane usługi:
  • OneDrive dla Firm
  • SharePoint Online
  • Aparat
  • Biblioteka zdjęć
Nuta: Aparat nie obejmuje dostępu do zdjęć ani galerii zdjęć. Wybierając pozycję Biblioteka zdjęć (w tym narzędzie selektora zdjęć systemu Android) w ustawieniu Zezwalaj użytkownikom na otwieranie danych z wybranych usług w ramach Intune, możesz zezwolić zarządzanym kontom na zezwalanie na przychodzące obrazy/wideo z lokalnego magazynu urządzenia do zarządzanych aplikacji.
Wszystkie wybrane
Ograniczanie wycinania, kopiowania i wklejania między innymi aplikacjami Określ, kiedy można używać akcji wycinania, kopiowania i wklejania z tą aplikacją. Wybierz jedną z następujących opcji:
  • Zablokowane: nie zezwalaj na akcje wycinania, kopiowania i wklejania między tą aplikacją a inną aplikacją.
  • Aplikacje zarządzane przez zasady: zezwalaj na akcje wycinania, kopiowania i wklejania między tą aplikacją a innymi aplikacjami zarządzanymi przez zasady.
  • Zasady zarządzane za pomocą wklejania: zezwalaj na wycinanie lub kopiowanie między tą aplikacją a innymi aplikacjami zarządzanymi przez zasady. Zezwalaj na wklejanie danych z dowolnej aplikacji do tej aplikacji.
  • Dowolna aplikacja: brak ograniczeń dotyczących wycinania, kopiowania i wklejania do i z tej aplikacji.
Dowolna aplikacja
    Limit znaków wycinania i kopiowania dla dowolnej aplikacji
Określ liczbę znaków, które mogą być wycinane lub kopiowane z danych organizacji i kont. Umożliwi to udostępnianie określonej liczby znaków, gdy w przeciwnym razie zostanie ona zablokowana przez ustawienie "Ogranicz wycinanie, kopiowanie i wklejanie w innych aplikacjach".

Wartość domyślna = 0

Uwaga: wymaga Intune — Portal firmy wersji 5.0.4364.0 lub nowszej.

0
Przechwytywanie ekranu i Asystent Google Wybierz pozycję Blokuj , aby zablokować przechwytywanie ekranu, zablokować opcję Circle to Search i zablokowaćAsystentowi Google dostęp do danych organizacji na urządzeniu podczas korzystania z tej aplikacji. Wybranie pozycji Blokuj spowoduje również rozmycie obrazu podglądu przełącznika aplikacji podczas korzystania z tej aplikacji z kontem służbowym.

Uwaga: Asystent Google może być dostępny dla użytkowników w scenariuszach, które nie uzyskują dostępu do danych organizacji.

Blokuj
Zatwierdzone klawiatury Wybierz pozycję Wymagaj , a następnie określ listę zatwierdzonych klawiatur dla tych zasad.

Użytkownicy, którzy nie korzystają z zatwierdzonej klawiatury, otrzymają monit o pobranie i zainstalowanie zatwierdzonej klawiatury, zanim będą mogli korzystać z chronionej aplikacji. To ustawienie wymaga, aby aplikacja miała zestaw Intune SDK dla systemu Android w wersji 6.2.0 lub nowszej.

Nie jest wymagane
    Wybieranie klawiatur do zatwierdzenia
Ta opcja jest dostępna po wybraniu opcji Wymagaj dla poprzedniej opcji. Wybierz pozycję Wybierz , aby zarządzać listą klawiatur i metod wejściowych, które mogą być używane z aplikacjami chronionymi przez te zasady. Możesz dodać dodatkowe klawiatury do listy i usunąć dowolną z opcji domyślnych. Aby zapisać to ustawienie, musisz mieć co najmniej jedną zatwierdzoną klawiaturę. W miarę upływu czasu firma Microsoft może dodawać dodatkowe klawiatury do listy nowych zasad ochrony aplikacji, które będą wymagać od administratorów przeglądania i aktualizowania istniejących zasad w razie potrzeby.

Aby dodać klawiaturę, określ:

  • Nazwa: przyjazna nazwa, która identyfikuje klawiaturę i jest widoczna dla użytkownika.
  • Identyfikator pakietu: identyfikator pakietu aplikacji w sklepie Google Play. Jeśli na przykład adres URL aplikacji w sklepie Play to https://play.google.com/store/details?id=com.contoskeyboard.android.prod, identyfikator pakietu to com.contosokeyboard.android.prod. Ten identyfikator pakietu jest przedstawiany użytkownikowi jako prosty link umożliwiający pobranie klawiatury z sklepu Google Play.

Nuta: Użytkownik przypisany do wielu zasad ochrony aplikacji będzie mógł używać tylko zatwierdzonych klawiatur wspólnych dla wszystkich zasad.

Szyfrowanie

Ustawienie Sposób użycia Wartość domyślna
Szyfrowanie danych organizacji Wybierz pozycję Wymagaj , aby włączyć szyfrowanie danych służbowych w tej aplikacji. Intune używa 256-bitowego schematu szyfrowania AES wolfSSL wraz z systemem Android Keystore do bezpiecznego szyfrowania danych aplikacji. Dane są szyfrowane synchronicznie podczas zadań we/wy plików. Zawartość w magazynie urządzeń jest zawsze szyfrowana i może być otwierana tylko przez aplikacje obsługujące zasady ochrony aplikacji Intune i przypisane zasady. Nowe pliki będą szyfrowane przy użyciu kluczy 256-bitowych. Istniejące 128-bitowe zaszyfrowane pliki zostaną poddane próbie migracji kluczy 256-bitowych, ale proces nie jest gwarantowany. Pliki zaszyfrowane przy użyciu kluczy 128-bitowych pozostaną czytelne.

Metoda szyfrowania to FIPS 140-2 zweryfikowana; Aby uzyskać więcej informacji, zobacz wolfCrypt FIPS 140-2 i FIPS 140-3.
Wymagać
    Szyfrowanie danych organizacji na zarejestrowanych urządzeniach
Wybierz pozycję Wymagaj, aby wymusić szyfrowanie danych organizacji za pomocą Intune szyfrowania warstwy aplikacji na wszystkich urządzeniach. Wybierz pozycję Nie jest wymagane, aby nie wymuszać szyfrowania danych organizacji za pomocą szyfrowania Intune warstwy aplikacji na zarejestrowanych urządzeniach. Wymagać

Funkcjonalność

Ustawienie Sposób użycia Wartość domyślna
Synchronizowanie danych aplikacji zarządzanych przez zasady z aplikacjami natywnymi lub dodatkami Wybierz pozycję Blokuj, aby uniemożliwić aplikacjom zarządzanym przez zasady zapisywanie danych w aplikacjach natywnych urządzenia (kontakty, kalendarz i widżety) oraz uniemożliwić korzystanie z dodatków w aplikacjach zarządzanych przez zasady. Jeśli aplikacja nie jest obsługiwana, zapisywanie danych w aplikacjach natywnych i korzystanie z dodatków będzie dozwolone.

Jeśli wybierzesz pozycję Zezwalaj, aplikacja zarządzana przez zasady może zapisywać dane w aplikacjach natywnych lub korzystać z dodatków, jeśli te funkcje są obsługiwane i włączone w aplikacji zarządzanej przez zasady.

Aplikacje mogą udostępniać dodatkowe kontrolki, aby dostosować zachowanie synchronizacji danych do określonych aplikacji natywnych lub nie uwzględniać tej kontrolki.

Uwaga: Podczas selektywnego czyszczenia danych w celu usunięcia danych służbowych z aplikacji dane synchronizowane bezpośrednio z aplikacji zarządzanej przez zasady z aplikacją natywną są usuwane. Żadne dane zsynchronizowane z aplikacji natywnej z innym źródłem zewnętrznym nie zostaną wyczyszczone.

Uwaga: następujące aplikacje obsługują tę funkcję:
Zezwalaj
Drukowanie danych organizacji Wybierz pozycję Blokuj , aby uniemożliwić aplikacji drukowanie danych służbowych. Jeśli pozostawisz to ustawienie na wartość Zezwalaj, wartość domyślna użytkownicy będą mogli eksportować i drukować wszystkie dane organizacji. Zezwalaj
Ograniczanie transferu zawartości internetowej za pomocą innych aplikacji Określ sposób, w jaki zawartość internetowa (linki http/https) jest otwierana z aplikacji zarządzanych przez zasady. Wybierz jedną z następujących opcji:
  • Dowolna aplikacja: zezwalaj na linki internetowe w dowolnej aplikacji.
  • Intune Managed Browser: zezwalaj na otwieranie zawartości internetowej tylko w Intune Managed Browser. Ta przeglądarka jest przeglądarką zarządzaną przez zasady.
  • Microsoft Edge: zezwalaj na otwieranie zawartości internetowej tylko w przeglądarce Microsoft Edge. Ta przeglądarka jest przeglądarką zarządzaną przez zasady.
  • Przeglądarka niezarządzana: zezwalaj na otwieranie zawartości internetowej tylko w niezarządzanej przeglądarce zdefiniowanej przez ustawienie protokołu przeglądarki niezarządzanej . Zawartość internetowa będzie niezarządzana w przeglądarce docelowej.
    Uwaga: wymaga Intune — Portal firmy wersji 5.0.4415.0 lub nowszej.


  • Przeglądarki zarządzane przez zasady
    W systemie Android użytkownicy końcowi mogą wybierać spośród innych aplikacji zarządzanych przez zasady, które obsługują linki http/https, jeśli nie zainstalowano ani Intune Managed Browser, ani przeglądarki Microsoft Edge.

    Jeśli przeglądarka zarządzana przez zasady jest wymagana, ale nie jest zainstalowana, użytkownicy końcowi otrzymają monit o zainstalowanie przeglądarki Microsoft Edge.

    Jeśli wymagana jest przeglądarka zarządzana przez zasady, linki aplikacji systemu Android są zarządzane przez ustawienie zasad Zezwalaj aplikacji na przesyłanie danych do innych aplikacji .

    rejestrowanie urządzeń Intune
    Jeśli używasz Intune do zarządzania urządzeniami, zobacz Zarządzanie dostępem do Internetu przy użyciu zasad przeglądarki zarządzanej z Microsoft Intune.

    Microsoft Edge zarządzany przez zasady
    Przeglądarka Microsoft Edge dla urządzeń przenośnych (iOS/iPadOS i Android) obsługuje zasady ochrony aplikacji Intune. Użytkownicy, którzy logują się przy użyciu firmowych kont Microsoft Entra w aplikacji przeglądarki Microsoft Edge, będą chronieni przez Intune. Przeglądarka Microsoft Edge integruje zestaw SDK aplikacji i obsługuje wszystkie zasady ochrony danych, z wyjątkiem zapobiegania:

    • Zapisz jako: przeglądarka Microsoft Edge nie zezwala użytkownikowi na dodawanie bezpośrednich połączeń w aplikacji do dostawców magazynu w chmurze (takich jak OneDrive).
    • Synchronizacja kontaktów: przeglądarka Microsoft Edge nie zapisuje na natywnych list kontaktów.
    Uwaga:zestaw SDK aplikacji nie może określić, czy aplikacja docelowa jest przeglądarką. Na urządzeniach z systemem Android dozwolone są inne aplikacje przeglądarki zarządzanej obsługujące intencję http/https.
Nie skonfigurowano
    Identyfikator przeglądarki niezarządzanej
Wprowadź identyfikator aplikacji dla jednej przeglądarki. Zawartość sieci Web (linki http/https) z aplikacji zarządzanych przez zasady zostanie otwarta w określonej przeglądarce. Zawartość internetowa będzie niezarządzana w przeglądarce docelowej. Pusty
    Nazwa przeglądarki niezarządzanej
Wprowadź nazwę aplikacji dla przeglądarki skojarzonej z identyfikatorem przeglądarki niezarządzanej. Ta nazwa będzie wyświetlana użytkownikom, jeśli określona przeglądarka nie jest zainstalowana. Pusty
Powiadomienia o danych organizacji Określ, ile danych organizacji jest udostępnianych za pośrednictwem powiadomień systemu operacyjnego dla kont organizacji. To ustawienie zasad będzie miało wpływ na urządzenie lokalne i wszystkie podłączone urządzenia, takie jak urządzenia do noszenia i inteligentne głośniki. Aplikacje mogą udostępniać dodatkowe kontrolki w celu dostosowania zachowania powiadomień lub mogą nie uwzględniać wszystkich wartości. Wybierz pozycję z:
  • Blokuj: nie udostępniaj powiadomień.
    • Jeśli aplikacja nie jest obsługiwana, powiadomienia będą dozwolone.
  • Blokuj dane organizacji: nie udostępniaj danych organizacji w powiadomieniach. Na przykład "Masz nową pocztę"; "Masz spotkanie".
    • Jeśli aplikacja nie jest obsługiwana, powiadomienia zostaną zablokowane.
  • Zezwalaj: udostępnia dane organizacji w powiadomieniach

Uwaga: to ustawienie wymaga obsługi aplikacji:

  • Program Outlook dla systemu Android 4.0.95 lub nowszego
  • Teams for Android 1416/1.0.0.2020092202 lub nowszy.
Zezwalaj

Wykluczenia z transferu danych

Istnieją pewne wykluczone aplikacje i usługi platformy, które Intune zasady ochrony aplikacji zezwalają na transfer danych do i z. Na przykład wszystkie aplikacje zarządzane Intune w systemie Android muszą mieć możliwość przesyłania danych do i z usługi Google Text-to-speech, aby tekst z ekranu urządzenia przenośnego mógł być odczytywany na głos. Ta lista może ulec zmianie i odzwierciedla usługi i aplikacje uważane za przydatne w celu zapewnienia bezpiecznej produktywności.

Pełne wykluczenia

Te aplikacje i usługi są w pełni dozwolone do transferu danych do i z aplikacji zarządzanych przez Intune.

Nazwa aplikacji/usługi Opis
com.android.phone Natywna aplikacja na telefon
com.android.vending Sklep Google Play
com.google.android.webview WebView, który jest niezbędny dla wielu aplikacji, w tym programu Outlook.
com.android.webview Widok internetowy, który jest niezbędny dla wielu aplikacji, w tym programu Outlook.
com.google.android.tts Google Text-to-speech
com.android.providers.settings Ustawienia systemu Android
com.android.settings Ustawienia systemu Android
com.azure.authenticator Aplikacja Azure Authenticator, która jest wymagana do pomyślnego uwierzytelniania w wielu scenariuszach.
com.microsoft.windowsintune.companyportal Intune — Portal firmy
com.android.providers.contacts Natywna aplikacja kontaktów

Wykluczenia warunkowe

Te aplikacje i usługi mogą przesyłać dane tylko do i z aplikacji zarządzanych przez Intune pod pewnymi warunkami.

Nazwa aplikacji/usługi Opis Warunek wykluczenia
com.android.chrome Przeglądarka Google Chrome Przeglądarka Chrome jest używana w przypadku niektórych składników WebView w systemie Android 7.0 lub nowszym i nigdy nie jest ukryta w widoku. Przepływ danych do i z aplikacji jest jednak zawsze ograniczony.
com.skype.raider Skype Aplikacja Skype jest dozwolona tylko w przypadku niektórych akcji, które powodują połączenie telefoniczne.
com.android.providers.media Dostawca zawartości multimedialnej systemu Android Dostawca zawartości multimediów może używać tylko akcji wyboru dzwonka.
com.google.android.gms; com.google.android.gsf Pakiety usług Google Play Te pakiety są dozwolone w przypadku akcji Google Cloud Messaging, takich jak powiadomienia wypychane.
com.google.android.apps.maps Mapy Google Adresy są dozwolone do nawigacji.
com.android.documentsui Selektor dokumentów systemu Android Dozwolone podczas otwierania lub tworzenia pliku.
com.google.android.documentsui Selektor dokumentów systemu Android (Android 10+) Dozwolone podczas otwierania lub tworzenia pliku.

Aby uzyskać więcej informacji, zobacz Wyjątki zasad transferu danych dla aplikacji.

Wymagania dotyczące dostępu

Ustawienie Sposób użycia
Numer PIN dostępu Wybierz pozycję Wymagaj , aby wymagać numeru PIN do korzystania z tej aplikacji. Użytkownik jest monitowany o skonfigurowanie tego numeru PIN przy pierwszym uruchomieniu aplikacji w kontekście służbowym.

Wartość domyślna = Wymagaj

Siłę numeru PIN można skonfigurować przy użyciu ustawień dostępnych w sekcji Numer PIN dla dostępu.

Nuta: Użytkownicy końcowi, którzy mogą uzyskiwać dostęp do aplikacji, mogą zresetować numer PIN aplikacji. To ustawienie może nie być widoczne w niektórych przypadkach na urządzeniach z systemem Android. Urządzenia z systemem Android mają maksymalnie cztery dostępne skróty. Po osiągnięciu maksymalnej wartości użytkownik końcowy musi usunąć wszelkie spersonalizowane skróty (lub uzyskać dostęp do skrótu z innego widoku aplikacji zarządzanej), aby wyświetlić skrót resetowania numeru PIN aplikacji. Alternatywnie użytkownik końcowy może przypiąć skrót do swojej strony głównej.

    Typ numeru PIN
Przed uzyskaniem dostępu do aplikacji z zastosowanymi zasadami ochrony aplikacji ustaw wymaganie dotyczące numerów pinów lub kodów dostępu. Wymagania liczbowe obejmują tylko liczby, natomiast kod dostępu można zdefiniować przy użyciu co najmniej 1 litery alfabetycznej lub co najmniej 1 znaku specjalnego.

Wartość domyślna = numeryczna

Nuta: Dozwolone znaki specjalne obejmują znaki specjalne i symbole na klawiaturze języka angielskiego systemu Android.
    Prosty numer PIN
Wybierz pozycję Zezwalaj , aby umożliwić użytkownikom używanie prostych sekwencji numerów PIN, takich jak 1234, 1111, abcd lub aaaa. Wybierz pozycję Bloki , aby uniemożliwić im używanie prostych sekwencji. Proste sekwencje są zaewidencjonowane w 3-znakowych oknach przesuwnych. Jeśli ustawienie Blokuj jest skonfigurowane, numer 1235 lub 1112 nie zostanie zaakceptowany jako numer PIN ustawiony przez użytkownika końcowego, ale numer 1122 będzie dozwolony.

Wartość domyślna = Zezwalaj

Nuta: Jeśli skonfigurowano kod PIN typu Kod dostępu, a prosty numer PIN jest ustawiony na wartość Zezwalaj, użytkownik potrzebuje co najmniej jednej litery lub co najmniej jednego znaku specjalnego w numerze PIN. Jeśli skonfigurowano kod PIN typu Kod dostępu, a prosty numer PIN jest ustawiony na wartość Blokuj, użytkownik potrzebuje co najmniej jednej liczby i jednej litery oraz co najmniej jednego znaku specjalnego w numerze PIN.
    Wybierz minimalną długość numeru PIN
Określ minimalną liczbę cyfr w sekwencji numeru PIN.

Wartość domyślna = 4
    Biometria zamiast numeru PIN na potrzeby dostępu
Wybierz pozycję Zezwalaj , aby zezwolić użytkownikowi na używanie danych biometrycznych do uwierzytelniania użytkowników na urządzeniach z systemem Android. Jeśli jest to dozwolone, dane biometryczne są używane do uzyskiwania dostępu do aplikacji na urządzeniach z systemem Android 10 lub nowszym.
    Zastąp dane biometryczne numerem PIN po przekroczeniu limitu czasu
Aby użyć tego ustawienia, wybierz pozycję Wymagaj , a następnie skonfiguruj limit czasu braku aktywności.

Wartość domyślna = Wymagaj
      Limit czasu (minuty braku aktywności)
Określ czas w minutach, po którym kod dostępu lub numeryczny (zgodnie z konfiguracją) numer PIN zastąpi użycie danych biometrycznych. Ta wartość limitu czasu powinna być większa niż wartość określona w obszarze "Sprawdź ponownie wymagania dostępu po (minutach braku aktywności)".

Wartość domyślna = 30
    Biometria klasy 3 (Android 9.0+)
Wybierz pozycję Wymagaj , aby wymagać od użytkownika zalogowania się przy użyciu biometrii klasy 3. Aby uzyskać więcej informacji na temat biometrii klasy 3, zobacz Biometria w dokumentacji firmy Google.
    Zastąp dane biometryczne numerem PIN po aktualizacjach biometrycznych
Wybierz pozycję Wymagaj , aby zastąpić użycie danych biometrycznych przy użyciu numeru PIN po wykryciu zmiany biometrii.

UWAGA:
To ustawienie jest stosowane tylko po użyciu danych biometrycznych w celu uzyskania dostępu do aplikacji. W zależności od producenta urządzenia z systemem Android nie wszystkie formy biometrii mogą być obsługiwane w przypadku operacji kryptograficznych. Obecnie operacje kryptograficzne są obsługiwane dla wszystkich danych biometrycznych (np. odcisków palców, tęczówek lub twarzy) na urządzeniu, które spełnia lub przekracza wymagania dotyczące biometrii klasy 3, zgodnie z definicją w dokumentacji systemu Android. Zobacz stałą BIOMETRIC_STRONG interfejsu BiometricManager.Authenticators i authenticate metodę klasy BiometricPrompt . Może być konieczne skontaktowanie się z producentem urządzenia, aby zrozumieć ograniczenia specyficzne dla urządzenia.

    Resetowanie numeru PIN po liczbie dni
Wybierz pozycję Tak , aby wymagać od użytkowników zmiany numeru PIN aplikacji po upływie określonego czasu w dniach.

Po ustawieniu wartości Tak należy skonfigurować liczbę dni przed koniecznością zresetowania numeru PIN.

Wartość domyślna = Nie
      Liczba dni
Skonfiguruj liczbę dni, po których wymagane jest zresetowanie numeru PIN.

Wartość domyślna = 90
    Wybierz liczbę poprzednich wartości numeru PIN do utrzymania
To ustawienie określa liczbę poprzednich numerów PIN, które Intune będą zachowywane. Wszelkie nowe numery PIN muszą różnić się od tych, które Intune utrzymuje.

Wartość domyślna = 0
    Numer PIN aplikacji po ustawieniu numeru PIN urządzenia
Wybierz pozycję Nie jest wymagane, aby wyłączyć numer PIN aplikacji po wykryciu blokady urządzenia na zarejestrowanym urządzeniu z skonfigurowaną Portal firmy.

Wartość domyślna = Wymagaj.
Poświadczenia konta służbowego na potrzeby dostępu Wybierz pozycję Wymagaj , aby wymagać od użytkownika zalogowania się przy użyciu konta służbowego zamiast wprowadzania numeru PIN w celu uzyskania dostępu do aplikacji. Po ustawieniu opcji Wymagaj i włączeniu numeru PIN lub monitów biometrycznych są wyświetlane zarówno poświadczenia firmowe, jak i numer PIN lub monity biometryczne.

Wartość domyślna = Nie jest wymagana
Sprawdź ponownie wymagania dostępu po (w minutach braku aktywności) Skonfiguruj następujące ustawienie:
  • Limit czasu: jest to liczba minut przed ponownym sprawdzeniem wymagań dostępu (zdefiniowanych wcześniej w zasadach). Na przykład administrator włącza numer PIN i blokuje urządzenia z odblokowanym dostępem do konta w zasadach, użytkownik otwiera aplikację zarządzaną przez Intune, musi wprowadzić numer PIN i musi używać aplikacji na urządzeniu bez dostępu do konta root. W przypadku korzystania z tego ustawienia użytkownik nie będzie musiał wprowadzać numeru PIN ani przechodzić kolejnej kontroli wykrywania root w żadnej aplikacji zarządzanej przez Intune przez okres równy skonfigurowanej wartości.

    Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.

    Wartość domyślna = 30 minut

    Nuta: W systemie Android numer PIN jest udostępniany wszystkim aplikacjom zarządzanym przez Intune. Czasomierz numeru PIN jest resetowany, gdy aplikacja opuści pierwszy plan na urządzeniu. Użytkownik nie będzie musiał wprowadzać numeru PIN w żadnej aplikacji zarządzanej Intune, która udostępnia swój numer PIN przez czas trwania limitu czasu zdefiniowanego w tym ustawieniu.

Uwaga

Aby dowiedzieć się więcej na temat sposobu działania wielu Intune ustawień ochrony aplikacji skonfigurowanych w sekcji Dostęp do tego samego zestawu aplikacji i użytkowników w systemie Android, zobacz Intune MAM — często zadawane pytania i Selektywne czyszczenie danych przy użyciu akcji dostępu do zasad ochrony aplikacji w Intune.

Uruchamianie warunkowe

Skonfiguruj ustawienia uruchamiania warunkowego, aby ustawić wymagania dotyczące zabezpieczeń logowania dla zasad ochrony aplikacji.

Domyślnie dostępnych jest kilka ustawień ze wstępnie skonfigurowanymi wartościami i akcjami. Możesz usunąć niektóre ustawienia, takie jak minimalna wersja systemu operacyjnego. Możesz również wybrać dodatkowe ustawienia z listy rozwijanej Wybierz jeden .

Warunki aplikacji

Ustawienie Sposób użycia
Maksymalna liczba prób numeru PIN Określ liczbę prób pomyślnego wprowadzenia numeru PIN przez użytkownika przed podjęciem skonfigurowanej akcji. Jeśli użytkownik nie może pomyślnie wprowadzić numeru PIN po maksymalnej próbie podania numeru PIN, użytkownik musi zresetować numer PIN po pomyślnym zalogowaniu się na koncie i ukończeniu zadania uwierzytelniania wieloskładnikowego (MFA, Multi-Factor Authentication), jeśli jest to wymagane. Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.

Akcje obejmują:

  • Resetuj numer PIN — użytkownik musi zresetować swój numer PIN.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Wartość domyślna = 5
Okres prolongaty w trybie offline Liczba minut, przez które aplikacje zarządzane mogą działać w trybie offline. Określ czas (w minutach) przed ponownym sprawdzeniem wymagań dostępu dla aplikacji.

Akcje obejmują:

  • Blokuj dostęp (w minutach) — liczba minut, przez które aplikacje zarządzane mogą działać w trybie offline. Określ czas (w minutach) przed ponownym sprawdzeniem wymagań dostępu dla aplikacji. Po upływie tego okresu aplikacja wymaga uwierzytelniania użytkownika, aby Tożsamość Microsoft Entra, aby aplikacja mogła nadal działać.

    Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.

    Wartość domyślna = 1440 minut (24 godziny)

    Nuta: Skonfigurowanie czasomierza okresu prolongaty w trybie offline w celu zablokowania dostępu do wartości mniejszej niż wartość domyślna może spowodować częstsze przerwy użytkowników podczas odświeżania zasad. Wybranie wartości mniejszej niż 30 minut nie jest zalecane, ponieważ może to spowodować przerwy użytkowników podczas każdego uruchomienia lub wznowienia aplikacji.
  • Czyszczenie danych (dni) — po tylu dniach (zdefiniowanych przez administratora) uruchamiania w trybie offline aplikacja będzie wymagać od użytkownika nawiązania połączenia z siecią i ponownego uwierzytelnienia. Jeśli użytkownik pomyślnie uwierzytelnia się, może nadal uzyskiwać dostęp do swoich danych, a interwał w trybie offline zostanie zresetowany. Jeśli uwierzytelnienie użytkownika nie powiedzie się, aplikacja przeprowadzi selektywne czyszczenie konta i danych użytkownika. Aby uzyskać więcej informacji, zobacz How to wipe only corporate data from Intune-managed apps (Jak czyścić tylko dane firmowe z aplikacji zarządzanych przez Intune). Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.

    Wartość domyślna = 90 dni
Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję.
Minimalna wersja aplikacji Określ wartość minimalnej wartości wersji aplikacji.

Akcje obejmują:

  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli wersja aplikacji na urządzeniu nie spełnia wymagań. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika jest blokowany, jeśli wersja aplikacji na urządzeniu nie spełnia wymagań.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Ponieważ aplikacje często mają różne schematy przechowywania wersji, utwórz zasady z jedną minimalną wersją aplikacji przeznaczoną dla jednej aplikacji (na przykład zasad wersji programu Outlook).

Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję.

Ten format ustawienia zasad obsługuje pliki major.minor, major.minor.build, major.minor.build.build.

Ponadto można skonfigurować miejsce, w którym użytkownicy końcowi mogą uzyskać zaktualizowaną wersję aplikacji biznesowych. Użytkownicy końcowi zobaczą to w oknie dialogowym uruchamiania warunkowego minimalnej wersji aplikacji , co spowoduje wyświetlenie monitu dla użytkowników końcowych o zaktualizowanie do minimalnej wersji aplikacji LOB. W systemie Android ta funkcja używa Portal firmy. Aby skonfigurować lokalizację, w której użytkownik końcowy powinien zaktualizować aplikację lob, aplikacja musi wysłać do niej zasady konfiguracji aplikacji zarządzanej z kluczem com.microsoft.intune.myappstore. Wysłana wartość zdefiniuje, z którego magazynu użytkownik końcowy pobierze aplikację. Jeśli aplikacja jest wdrażana za pośrednictwem Portal firmy, wartość musi mieć wartość CompanyPortal. W przypadku dowolnego innego magazynu należy wprowadzić pełny adres URL.
Wyłączone konto Nie ma wartości do ustawienia dla tego ustawienia.

Akcje obejmują:

  • Blokuj dostęp — dostęp użytkownika jest zablokowany, ponieważ jego konto zostało wyłączone.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Czas braku pracy Nie ma wartości do ustawienia dla tego ustawienia.

Akcje obejmują:

  • Blokuj dostęp — dostęp użytkownika jest blokowany, ponieważ konto użytkownika skojarzone z aplikacją jest w czasie niedziałającym.
  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli konto użytkownika skojarzone z aplikacją znajduje się w czasie braku pracy. Powiadomienie można odrzucić.
Uwaga: to ustawienie należy skonfigurować tylko wtedy, gdy dzierżawa została zintegrowana z interfejsem API czasu pracy. Aby uzyskać więcej informacji na temat integracji tego ustawienia z interfejsem API czasu pracy, zobacz Ograniczanie dostępu do usługi Microsoft Teams, gdy pracownicy pierwszej linii są poza zmianą. Skonfigurowanie tego ustawienia bez integracji z interfejsem API czasu pracy może spowodować zablokowanie kont z powodu braku stanu czasu pracy dla konta zarządzanego skojarzonego z aplikacją.

Następujące aplikacje obsługują tę funkcję w Portal firmy wersji 5.0.5849.0 lub nowszej:

  • Teams for Android v1416/1.0.0.2023226005 (2023226050) lub nowszy
  • Przeglądarka Edge dla systemu Android w wersji 125.0.2535.96 lub nowszej

Warunki urządzenia

Ustawienie Sposób użycia
Urządzenia ze zdjętymi zabezpieczeniami systemu /urządzeniami z dostępem do konta root Określ, czy zablokować dostęp do urządzenia, czy wyczyścić dane urządzenia ze zdjętymi zabezpieczeniami systemu lub urządzeniami z odblokowanym dostępem. Akcje obejmują:
  • Blokuj dostęp — uniemożliwia działanie tej aplikacji na urządzeniach ze zdjętymi zabezpieczeniami systemu lub urządzeniami z odblokowanym dostępem do konta root. Użytkownik nadal może używać tej aplikacji do zadań osobistych, ale będzie musiał użyć innego urządzenia, aby uzyskać dostęp do danych służbowych w tej aplikacji.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Minimalna wersja systemu operacyjnego Określ minimalny system operacyjny Android wymagany do korzystania z tej aplikacji. Akcje będą wyzwalane w wersjach systemu operacyjnego poniżej określonej minimalnej wersji systemu operacyjnego . Akcje obejmują:
  • Ostrzegaj — jeśli wersja systemu Android na urządzeniu nie spełnia wymagań, użytkownik zobaczy powiadomienie. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika zostanie zablokowany, jeśli wersja systemu Android na urządzeniu nie spełnia tego wymagania.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Ten format ustawienia zasad obsługuje pliki major.minor, major.minor.build, major.minor.build.build.
Maksymalna wersja systemu operacyjnego Określ maksymalny system operacyjny Android wymagany do korzystania z tej aplikacji. Akcje będą wyzwalane w wersjach systemu operacyjnego poniżej określonej maksymalnej wersji systemu operacyjnego . Akcje obejmują:
  • Ostrzegaj — jeśli wersja systemu Android na urządzeniu nie spełnia wymagań, użytkownik zobaczy powiadomienie. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika zostanie zablokowany, jeśli wersja systemu Android na urządzeniu nie spełnia tego wymagania.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Ten format ustawienia zasad obsługuje pliki major.minor, major.minor.build, major.minor.build.build.
Minimalna wersja poprawki Wymagaj, aby urządzenia miały minimalną poprawkę zabezpieczeń systemu Android wydaną przez firmę Google.
  • Ostrzegaj — jeśli wersja systemu Android na urządzeniu nie spełnia wymagań, użytkownik zobaczy powiadomienie. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika zostanie zablokowany, jeśli wersja systemu Android na urządzeniu nie spełnia tego wymagania.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
To ustawienie zasad obsługuje format daty RRRR-MM-DD.
Producenci urządzeń Określ listę producentów rozdzieloną średnikami. Te wartości nie uwzględniają wielkości liter. Akcje obejmują:
  • Zezwalaj na określone (blokuj nieokreślone) — z aplikacji mogą korzystać tylko urządzenia zgodne z określonym producentem. Wszystkie inne urządzenia są zablokowane.
  • Zezwalaj na określone (wyczyść nieokreślone) — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Aby uzyskać więcej informacji na temat korzystania z tego ustawienia, zobacz Akcje uruchamiania warunkowego.
Werdykt integralności odtwarzania zasady Ochrona aplikacji obsługują niektóre interfejsy API integralności sklepu Google Play. To ustawienie w szczególności konfiguruje sprawdzanie integralności sklepu Google Play na urządzeniach użytkowników końcowych w celu zweryfikowania integralności tych urządzeń. Określ integralność podstawową lub podstawową integralność i integralność urządzenia.

Podstawowa integralność informuje o ogólnej integralności urządzenia. Urządzenia z odblokowanym dostępem, emulatory, urządzenia wirtualne i urządzenia z oznakami naruszenia nie mają podstawowej integralności. Podstawowa integralność & certyfikowanych urządzeń informuje o zgodności urządzenia z usługami Firmy Google. Tylko niezmodyfikowane urządzenia, które zostały certyfikowane przez firmę Google, mogą przejść tę kontrolę.

Jeśli wybierzesz werdykt integralności odtwarzania zgodnie z wymaganiami dla uruchamiania warunkowego, możesz określić, że jako typ oceny jest używany test silnej integralności. Obecność silnego sprawdzania integralności jako typu oceny będzie wskazywać większą integralność urządzenia. Urządzenia, które nie obsługują kontroli silnej integralności, zostaną zablokowane przez zasady zarządzania aplikacjami mobilnymi, jeśli zostaną objęte tym ustawieniem. Sprawdzanie silnej integralności zapewnia bardziej niezawodne wykrywanie główne w odpowiedzi na nowsze typy narzędzi i metod rootingu, które nie zawsze mogą być niezawodnie wykrywane przez rozwiązanie tylko oprogramowanie. W ramach aplikacji zaświadczanie sprzętowe zostanie włączone przez ustawienie typu oceny werdyktu integralności odtwarzania na wartość Sprawdź silną integralność po skonfigurowaniu werdyktu integralności odtwarzania , a wymagany typ oceny SafetyNet na silną integralność po skonfigurowaniu sprawdzania integralności urządzenia . Zaświadczanie oparte na sprzęcie wykorzystuje składnik sprzętowy dostarczany z urządzeniami zainstalowanymi z systemem Android 8.1 lub nowszym. Urządzenia, które zostały uaktualnione ze starszej wersji systemu Android do systemu Android 8.1, prawdopodobnie nie będą miały składników sprzętowych niezbędnych do zaświadczania opartego na sprzęcie. Chociaż to ustawienie powinno być szeroko obsługiwane, począwszy od urządzeń dostarczanych z systemem Android 8.1, firma Microsoft zdecydowanie zaleca testowanie urządzeń indywidualnie przed szerokim włączeniem tego ustawienia zasad.

Ważny: Urządzenia, które nie obsługują tego typu oceny, zostaną zablokowane lub wyczyszczone na podstawie akcji sprawdzania integralności urządzenia. Organizacje, które chcą korzystać z tej funkcji, muszą upewnić się, że użytkownicy mają obsługiwane urządzenia. Aby uzyskać więcej informacji na temat zalecanych urządzeń firmy Google, zobacz Wymagania zalecane dla systemu Android Enterprise.

Akcje obejmują:

  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli urządzenie nie spełnia warunków sprawdzania integralności urządzenia firmy Google na podstawie skonfigurowanej wartości. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika jest blokowany, jeśli urządzenie nie spełnia warunków sprawdzania integralności urządzenia firmy Google na podstawie skonfigurowanej wartości.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Aby uzyskać często zadawane pytania związane z tym ustawieniem, zobacz Często zadawane pytania dotyczące zarządzania aplikacjami mobilnymi i ochrony aplikacji.
Wymagaj skanowania pod kątem zagrożeń w aplikacjach zasady Ochrona aplikacji obsługują niektóre interfejsy API usługi Google Play Protect. To ustawienie w szczególności gwarantuje, że skanowanie weryfikujące aplikacje firmy Google jest włączone dla urządzeń użytkowników końcowych. Jeśli zostanie skonfigurowany, użytkownik końcowy będzie miał zablokowany dostęp do momentu włączenia skanowania aplikacji Google na urządzeniu z systemem Android. Akcje obejmują:
  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli skanowanie weryfikujące aplikacje firmy Google na urządzeniu nie jest włączone. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika jest blokowany, jeśli skanowanie weryfikuje aplikacje google na urządzeniu nie jest włączone.
Wyniki skanowania weryfikuj aplikacje firmy Google są dostępne w raporcie Potencjalnie szkodliwe aplikacje w konsoli programu .
Wymagany typ oceny safetynetu Zaświadczanie ze sprzętem rozszerza istniejącą kontrolę usługi zaświadczania SafetyNet. Po ustawieniu zaświadczania urządzenia SafteyNet można ustawić wartość Klucz oparty na sprzęcie.
Wymagaj blokady urządzenia To ustawienie określa, czy urządzenie z systemem Android ma numer PIN urządzenia spełniający minimalne wymagania dotyczące hasła. Zasady Ochrona aplikacji mogą podjąć działania, jeśli blokada urządzenia nie spełnia minimalnego wymagania dotyczącego hasła.

Wartości obejmują:

  • Niska złożoność
  • Średnia złożoność
  • Wysoka złożoność

Ta wartość złożoności jest przeznaczona dla systemu Android 12 lub nowszego. W przypadku urządzeń działających w systemie Android 11 lub starszym ustawienie wartości złożoności niskiej, średniej lub wysokiej spowoduje domyślne ustawienie oczekiwanego zachowania w przypadku niskiej złożoności. Aby uzyskać więcej informacji, zobacz dokumentację dla deweloperów firmy Google : getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM i PASSWORD_COMPLEXITY_HIGH.

Akcje obejmują:

  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli blokada urządzenia nie spełnia wymagań dotyczących minimalnego hasła. Powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika zostanie zablokowany, jeśli blokada urządzenia nie spełnia minimalnych wymagań dotyczących hasła.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia, jeśli blokada urządzenia nie spełnia minimalnego wymagania dotyczącego hasła.
Minimalna wersja Portal firmy Korzystając z wersji Minimalna Portal firmy, można określić określoną minimalną zdefiniowaną wersję Portal firmy wymuszaną na urządzeniu użytkownika końcowego. To ustawienie uruchamiania warunkowego umożliwia ustawienie wartości Blokuj dostęp, Wyczyść dane i Ostrzegaj jako możliwe akcje, gdy każda wartość nie zostanie spełniony. Możliwe formaty dla tej wartości są zgodne ze wzorcem [Major].[ Pomocniczy], [major].[ Pomocnicze]. [Kompilacja], lub [major].[ Pomocnicze]. [Kompilacja]. [Poprawka]. Biorąc pod uwagę, że niektórzy użytkownicy końcowi mogą nie preferować wymuszonej aktualizacji aplikacji na miejscu, opcja "ostrzegaj" może być idealna podczas konfigurowania tego ustawienia. Sklep Google Play wykonuje dobrą robotę, wysyłając tylko bajty różnicowe dla aktualizacji aplikacji, ale nadal może to być duża ilość danych, których użytkownik może nie chcieć wykorzystać, jeśli korzysta z danych w momencie aktualizacji. Wymuszenie aktualizacji, a tym samym pobranie zaktualizowanej aplikacji, może spowodować nieoczekiwane opłaty za dane w momencie aktualizacji. Aby uzyskać więcej informacji, zobacz Ustawienia zasad systemu Android.
Maksymalny wiek wersji Portal firmy (dni) Możesz ustawić maksymalną liczbę dni jako wiek wersji Portal firmy (CP) dla urządzeń z systemem Android. To ustawienie gwarantuje, że użytkownicy końcowi znajdują się w określonym zakresie wersji cp (w dniach). Wartość musi wynosić od 0 do 365 dni. Jeśli ustawienie dla urządzeń nie zostanie spełnione, zostanie wyzwolona akcja dla tego ustawienia. Akcje obejmują blokowanie dostępu, czyszczenie danych lub ostrzeżenie. Aby uzyskać powiązane informacje, zobacz Ustawienia zasad systemu Android. Nuta: Wiek kompilacji Portal firmy jest określany przez sklep Google Play na urządzeniu użytkownika końcowego.
Zaświadczanie urządzenia Samsung Knox Określ, czy sprawdzanie zaświadczania urządzenia z systemem Samsung Knox jest wymagane. Tylko niezmodyfikowane urządzenia, które zostały zweryfikowane przez firmę Samsung, mogą przejść tę kontrolę. Aby uzyskać listę obsługiwanych urządzeń, zobacz samsungknox.com.

Za pomocą tego ustawienia Microsoft Intune zweryfikuje również komunikację z Portal firmy do usługi Intune została wysłana z urządzenia w dobrej kondycji.

Akcje obejmują:
  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli urządzenie nie spełnia wymagań dotyczących sprawdzania zaświadczania urządzenia Samsung Knox. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp do konta użytkownika jest blokowany, jeśli urządzenie nie spełnia wymagań sprawdzania zaświadczania urządzenia Rozwiązania Knox firmy Samsung.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.

Nuta: Użytkownik musi zaakceptować warunki rozwiązania Samsung Knox, aby można było przeprowadzić sprawdzanie zaświadczania urządzenia. Jeśli użytkownik nie zaakceptuje warunków rozwiązania Samsung Knox, zostanie wykonana określona akcja.

Nuta: To ustawienie będzie miało zastosowanie do wszystkich urządzeń docelowych. Aby zastosować to ustawienie tylko do urządzeń firmy Samsung, możesz użyć filtrów przypisań "Aplikacje zarządzane". Aby uzyskać więcej informacji na temat filtrów przypisania, zobacz Używanie filtrów podczas przypisywania aplikacji, zasad i profilów w Microsoft Intune.

Maksymalny dozwolony poziom zagrożenia urządzenia Ochrona aplikacji zasady mogą korzystać z łącznika Intune-MTD. Określ maksymalny dopuszczalny poziom zagrożenia do korzystania z tej aplikacji. Zagrożenia są określane przez wybraną aplikację dostawcy usługi Mobile Threat Defense (MTD) na urządzeniu użytkownika końcowego. Określ wartości Zabezpieczone, Niskie, Średnie lub Wysokie. Zabezpieczone nie wymaga żadnych zagrożeń na urządzeniu i jest najbardziej restrykcyjną wartością konfigurowalną, podczas gdy wysoka zasadniczo wymaga aktywnego połączenia Intune z usługą MTD.

Akcje obejmują:

  • Blokuj dostęp — dostęp użytkownika zostanie zablokowany, jeśli poziom zagrożenia określony przez wybraną aplikację dostawcy usługi Mobile Threat Defense (MTD) na urządzeniu użytkownika końcowego nie spełnia tego wymagania.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Aby uzyskać więcej informacji na temat korzystania z tego ustawienia, zobacz Włączanie łącznika usługi Mobile Threat Defense w Intune dla niezarejestrowanych urządzeń.
Podstawowa usługa MTD Jeśli skonfigurowano wiele łączników Intune-MTD, określ podstawową aplikację dostawcy USŁUGI MTD, która powinna być używana na urządzeniu użytkownika końcowego.

Wartości obejmują:

  • Ochrona punktu końcowego w usłudze Microsoft Defender — jeśli łącznik MTD jest skonfigurowany, określ, Ochrona punktu końcowego w usłudze Microsoft Defender udostępni informacje o poziomie zagrożenia urządzenia.
  • Mobile Threat Defense (inne niż Microsoft) — jeśli łącznik MTD jest skonfigurowany, określ, że usługa MTD innej firmy niż Microsoft będzie dostarczać informacje o poziomie zagrożenia urządzenia.

Aby użyć tego ustawienia, należy skonfigurować ustawienie "Maksymalny dozwolony poziom zagrożenia urządzenia".

Nie ma żadnych akcji dla tego ustawienia.