Udostępnij za pośrednictwem


Ustawienia zasad ochrony aplikacji systemu iOS

W tym artykule opisano ustawienia zasad ochrony aplikacji dla urządzeń z systemem iOS/iPadOS. Opisane ustawienia zasad można skonfigurować dla zasad ochrony aplikacji w okienku Ustawienia w portalu podczas tworzenia nowych zasad.

Istnieją trzy kategorie ustawień zasad: relokacja danych, wymagania dotyczące dostępu i uruchamianie warunkowe. W tym artykule termin aplikacje zarządzane przez zasady odnosi się do aplikacji skonfigurowanych przy użyciu zasad ochrony aplikacji.

Ważna

Intune Managed Browser został wycofany. Użyj przeglądarki Microsoft Edge, aby korzystać z chronionego środowiska przeglądarki Intune.

Ochrona danych

Transfer danych

Ustawienie Sposób użycia Wartość domyślna
Tworzenie kopii zapasowych danych organizacji w programach iTunes i kopiach zapasowych w usłudze iCloud Wybierz pozycję Blokuj , aby uniemożliwić tej aplikacji tworzenie kopii zapasowych danych służbowych w programach iTunes i iCloud. Wybierz pozycję Zezwalaj, aby zezwolić tej aplikacji na tworzenie kopii zapasowych danych służbowych w programach iTunes i iCloud. Zezwalaj
Wysyłanie danych organizacji do innych aplikacji Określ, które aplikacje mogą odbierać dane z tej aplikacji:
  • Wszystkie aplikacje: zezwalaj na transfer do dowolnej aplikacji. Aplikacja odbierająca będzie mogła odczytywać i edytować dane.
  • Brak: nie zezwalaj na przesyłanie danych do żadnej aplikacji, w tym do innych aplikacji zarządzanych przez zasady. Jeśli użytkownik wykonuje zarządzaną funkcję otwierania i przesyła dokument, dane zostaną zaszyfrowane i nieczytelne.
  • Aplikacje zarządzane przez zasady: zezwalaj na transfer tylko do innych aplikacji zarządzanych przez zasady.

    Uwaga:użytkownicy mogą być w stanie przesyłać zawartość za pośrednictwem rozszerzeń Otwórz w lub Udostępnij do niezarządzanych aplikacji na niezarejestrowanych urządzeniach lub zarejestrowanych urządzeniach, które umożliwiają udostępnianie niezarządzanych aplikacji. Przesyłane dane są szyfrowane przez Intune i nieczytelne przez aplikacje niezarządzane.

  • Aplikacje zarządzane przez zasady z udostępnianiem systemu operacyjnego: zezwalaj na przesyłanie danych tylko do innych aplikacji zarządzanych przez zasady, a także transfery plików do innych aplikacji zarządzanych przez rozwiązanie MDM na zarejestrowanych urządzeniach.

    Uwaga:wartość Aplikacje zarządzane przez zasady z udostępnianiem systemu operacyjnego ma zastosowanie tylko do urządzeń zarejestrowanych w rozwiązaniu MDM. Jeśli to ustawienie jest przeznaczone dla użytkownika na niezarejestrowanych urządzeniach, zastosowanie ma zachowanie wartości Aplikacje zarządzane przez zasady. Użytkownicy będą mogli przesyłać niezaszyfrowane zawartość za pośrednictwem rozszerzeń Otwórz w lub Udostępnij do dowolnej aplikacji dozwolonej przez ustawienie allowOpenFromManagedtoUnmanaged w systemie iOS MDM przy założeniu, że aplikacja wysyłająca ma skonfigurowane ustawienia IntuneMAMUPN i IntuneMAMOID; Aby uzyskać więcej informacji, zobacz Jak zarządzać transferem danych między aplikacjami systemu iOS w Microsoft Intune. Zobaczhttps://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf, aby uzyskać więcej informacji na temat tego ustawienia mdm systemu iOS/iPadOS.

  • Aplikacje zarządzane przez zasady z filtrowaniem otwórz w/udostępnij: zezwalaj na transfer tylko do innych aplikacji zarządzanych przez zasady i filtruj okna dialogowe Otwieranie w/Udostępnianie systemu operacyjnego, aby wyświetlać tylko aplikacje zarządzane przez zasady. Aby skonfigurować filtrowanie okna dialogowego Otwieranie w/Udostępnianie, wymagane są zarówno aplikacje działające jako źródło plików/dokumentów, jak i aplikacje, które mogą otworzyć ten plik/dokument, aby mieć zestaw SDK Intune dla systemu iOS w wersji 8.1.1 lub nowszej.

    Uwaga:użytkownicy mogą być w stanie przesyłać zawartość za pośrednictwem rozszerzeń Open-in lub Share do aplikacji niezarządzanych, jeśli Intune typ danych prywatnych jest obsługiwany przez aplikację. Przesyłane dane są szyfrowane przez Intune i nieczytelne przez niezarządzane aplikacje.


Wyszukiwanie w centrum uwagi (umożliwia wyszukiwanie danych w aplikacjach) i skróty Siri są blokowane, chyba że ustawiono opcję Wszystkie aplikacje.

Te zasady mogą również dotyczyć linków uniwersalnych systemu iOS/iPadOS. Ogólne linki internetowe są zarządzane za pomocą linków Otwórz aplikację w Intune Managed Browser ustawieniu zasad.

Istnieją pewne wykluczone aplikacje i usługi, do których Intune domyślnie mogą zezwalać na transfer danych. Ponadto możesz utworzyć własne wykluczenia, jeśli chcesz zezwolić na przesyłanie danych do aplikacji, która nie obsługuje Intune APP. Aby uzyskać więcej informacji , zobacz wykluczenia z transferu danych .

Wszystkie aplikacje
    Wybieranie aplikacji do wykluczenia
Ta opcja jest dostępna po wybraniu pozycji Aplikacje zarządzane przez zasady dla poprzedniej opcji.
    Wybieranie linków uniwersalnych do wykluczenia
Określ, które uniwersalne łącza systemu iOS/iPadOS mają być otwierane w określonej aplikacji niezarządzanej , a nie w chronionej przeglądarce określonej przez ustawienie Ogranicz transfer zawartości internetowej za pomocą innych aplikacji . Aby określić poprawny format łącza uniwersalnego dla każdej aplikacji, musisz skontaktować się z deweloperem aplikacji.
    Wybieranie zarządzanych łączy uniwersalnych
Określ, które uniwersalne linki systemu iOS/iPadOS mają być otwierane w określonej aplikacji zarządzanej , a nie w chronionej przeglądarce określonej przez ustawienie Ogranicz transfer zawartości internetowej za pomocą innych aplikacji . Aby określić poprawny format łącza uniwersalnego dla każdej aplikacji, musisz skontaktować się z deweloperem aplikacji.
    Zapisywanie kopii danych organizacji
Wybierz pozycję Blokuj , aby wyłączyć korzystanie z opcji Zapisz jako w tej aplikacji. Wybierz pozycję Zezwalaj , jeśli chcesz zezwolić na korzystanie z opcji Zapisz jako. Po ustawieniu opcji Blokuj można skonfigurować ustawienie Zezwalaj użytkownikowi na zapisywanie kopii w wybranych usługach.

Uwaga:
  • To ustawienie jest obsługiwane w programach Microsoft Excel, OneNote, Outlook, PowerPoint, Word i Microsoft Edge. Może być również obsługiwany przez aplikacje innych firm i lob.
  • To ustawienie można skonfigurować tylko wtedy, gdy ustawienie Wyślij dane organizacji do innych aplikacji jest ustawione na aplikacje zarządzane przez zasady, aplikacje zarządzane przez zasady z udostępnianiem systemu operacyjnego lub aplikacje zarządzane przez zasady z filtrowaniem Otwórz w/Udostępnij.
  • To ustawienie będzie mieć wartość "Zezwalaj", gdy ustawienie Wyślij dane organizacji do innych aplikacji ma wartość Wszystkie aplikacje.
  • To ustawienie będzie mieć wartość "Blokuj" bez dozwolonych lokalizacji usług, gdy ustawienie Wyślij dane organizacji do innych aplikacji ma wartość Brak.
Zezwalaj
      Zezwalanie użytkownikowi na zapisywanie kopii w wybranych usługach
Użytkownicy mogą zapisywać w wybranych usługach (OneDrive dla Firm, SharePoint, Photo Library i Local Storage). Wszystkie inne usługi są blokowane. OneDrive dla Firm: możesz zapisywać pliki w OneDrive dla Firm i usłudze SharePoint Online. SharePoint: możesz zapisywać pliki w lokalnym programie SharePoint. Biblioteka zdjęć: pliki można zapisywać lokalnie w bibliotece zdjęć. Magazyn lokalny: aplikacje zarządzane mogą zapisywać kopie danych organizacji lokalnie. Nie obejmuje to zapisywania plików w lokalnych lokalizacjach niezarządzanych, takich jak aplikacja Pliki na urządzeniu. Wybrano 0
    Transfer danych telekomunikacyjnych do
Zazwyczaj gdy użytkownik wybierze hiperłączy numer telefonu w aplikacji, zostanie otwarta aplikacja wybierania numerów z numerem telefonu wypełnionym wstępnie i gotowym do połączenia. W tym ustawieniu wybierz sposób obsługi tego typu transferu zawartości, gdy jest inicjowany z aplikacji zarządzanej przez zasady:
  • Brak, nie przesyłaj tych danych między aplikacjami: nie przesyłaj danych komunikacyjnych po wykryciu numeru telefonu.
  • Określona aplikacja wybierania numerów: umożliwia konkretnej aplikacji zarządzanej wybierania numerów inicjowanie kontaktu po wykryciu numeru telefonu.
  • Dowolna aplikacja wybierania numerów: zezwala na używanie dowolnej zarządzanej aplikacji wybierania numerów do inicjowania kontaktu po wykryciu numeru telefonu.

Uwaga: to ustawienie wymaga zestawu Intune SDK 12.7.0 lub nowszego. Jeśli aplikacje korzystają z funkcji wybierania numerów i nie używają poprawnej wersji zestawu SDK Intune, jako obejście rozważ dodanie opcji "tel; telprompt" jako wykluczenie transferu danych. Gdy aplikacje obsługują poprawną wersję zestawu SDK Intune, można usunąć wykluczenie.

Dowolna aplikacja wybierania numerów
      Schemat adresu URL aplikacji wybierania numerów
Po wybraniu określonej aplikacji wybierania numerów należy podać schemat adresu URL aplikacji wybierania numerów używany do uruchamiania aplikacji wybierania numerów na urządzeniach z systemem iOS. Aby uzyskać więcej informacji, zobacz dokumentację firmy Apple dotyczącą linków telefonicznych. Pusty
    Transferowanie danych komunikatów do
Zazwyczaj gdy użytkownik wybierze hiperłącza link do wiadomości w aplikacji, zostanie otwarta aplikacja do obsługi komunikatów z numerem telefonu wypełnionym wstępnie i gotowym do wysłania. W tym ustawieniu wybierz sposób obsługi tego typu transferu zawartości, gdy jest inicjowany z aplikacji zarządzanej przez zasady. Aby to ustawienie mogło zostać zastosowane, mogą być konieczne dodatkowe kroki. Najpierw sprawdź, czy wiadomość SMS została usunięta z listy Wybierz aplikacje do wykluczenia. Następnie upewnij się, że aplikacja używa nowszej wersji zestawu Intune SDK (wersja > 19.0.0). W tym ustawieniu wybierz sposób obsługi tego typu transferu zawartości, gdy jest inicjowany z aplikacji zarządzanej przez zasady:
  • Brak, nie przesyłaj tych danych między aplikacjami: nie przesyłaj danych komunikacyjnych po wykryciu numeru telefonu.
  • Określona aplikacja do obsługi komunikatów: Zezwalaj określonej zarządzanej aplikacji do obsługi wiadomości na inicjowanie kontaktu po wykryciu numeru telefonu.
  • Dowolna aplikacja do obsługi wiadomości: zezwala na używanie dowolnej zarządzanej aplikacji do obsługi wiadomości w celu zainicjowania kontaktu po wykryciu numeru telefonu.

Uwaga: to ustawienie wymaga zestawu Intune SDK 19.0.0 lub nowszego.

Dowolna aplikacja do obsługi komunikatów
      Schemat adresu URL aplikacji do obsługi komunikatów
Po wybraniu określonej aplikacji do obsługi komunikatów należy podać schemat adresu URL aplikacji do obsługi komunikatów, który jest używany do uruchamiania aplikacji do obsługi komunikatów na urządzeniach z systemem iOS. Aby uzyskać więcej informacji, zobacz dokumentację firmy Apple dotyczącą linków telefonicznych. Pusty
Odbieranie danych z innych aplikacji Określ, które aplikacje mogą przesyłać dane do tej aplikacji:
  • Wszystkie aplikacje: zezwalaj na transfer danych z dowolnej aplikacji.
  • Brak: nie zezwalaj na transfer danych z żadnej aplikacji, w tym z innych aplikacji zarządzanych przez zasady.
  • Aplikacje zarządzane przez zasady: zezwalaj na transfer tylko z innych aplikacji zarządzanych przez zasady.
  • Wszystkie aplikacje z przychodzącymi danymi organizacji: zezwalaj na transfer danych z dowolnej aplikacji. Traktuj wszystkie dane przychodzące bez tożsamości użytkownika jako dane z organizacji. Dane zostaną oznaczone tożsamością użytkownika zarejestrowanego w rozwiązaniu MDM zgodnie z definicją w ustawieniu IntuneMAMUPN .

    Uwaga:Wartość Wszystkie aplikacje z przychodzącymi danymi organizacji ma zastosowanie tylko do urządzeń zarejestrowanych w rozwiązaniu MDM. Jeśli to ustawienie jest przeznaczone dla użytkownika na niezarejestrowanych urządzeniach, zastosowanie ma zachowanie wartości Dowolne aplikacje.

Aplikacje obsługujące zarządzanie aplikacjami mobilnymi z obsługą wielu tożsamości będą próbowały przełączyć się na konto niezarządzane podczas odbierania danych niezarządzanych, jeśli to ustawienie jest skonfigurowane na wartość Brak lub Aplikacje zarządzane przez zasady. Jeśli w aplikacji nie jest zalogowane żadne konto niezarządzane lub aplikacja nie może się przełączyć, dane przychodzące zostaną zablokowane.

Wszystkie aplikacje
    Otwieranie danych w dokumentach organizacji
Wybierz pozycję Blokuj , aby wyłączyć korzystanie z opcji Otwórz lub innych opcji do udostępniania danych między kontami w tej aplikacji. Wybierz pozycję Zezwalaj , jeśli chcesz zezwolić na korzystanie z opcji Otwórz.

Po ustawieniu opcji Blokuj można skonfigurować opcję Zezwalaj użytkownikowi na otwieranie danych z wybranych usług , aby określić, które usługi są dozwolone dla lokalizacji danych organizacji.

Uwaga:
  • To ustawienie można skonfigurować tylko wtedy, gdy ustawienie Odbierz dane z innych aplikacji jest ustawione na aplikacje zarządzane przez zasady.
  • To ustawienie będzie mieć wartość "Zezwalaj", gdy ustawienie Odbierz dane z innych aplikacji zostanie ustawione na wartość Wszystkie aplikacje lub Wszystkie aplikacje z przychodzącymi danymi organizacji.
  • To ustawienie będzie mieć wartość "Blokuj" bez dozwolonych lokalizacji usług, gdy ustawienie Odbierz dane z innych aplikacji ma wartość Brak.
  • Następujące aplikacje obsługują to ustawienie:
    • OneDrive 11.45.3 lub nowsza.
    • Program Outlook dla systemu iOS w wersji 4.60.0 lub nowszej.
    • Teams dla systemu iOS 3.17.0 lub nowszego.
Zezwalaj
      Zezwalaj użytkownikom na otwieranie danych z wybranych usług
Wybierz usługi magazynu aplikacji, z których użytkownicy mogą otwierać dane. Wszystkie inne usługi są blokowane. Wybranie żadnych usług uniemożliwi użytkownikom otwieranie danych z lokalizacji zewnętrznych.
Nuta: Ta kontrolka jest przeznaczona do pracy na danych spoza kontenera firmowego.

Obsługiwane usługi:
  • OneDrive dla Firm
  • SharePoint Online
  • Aparat
  • Biblioteka zdjęć
Nuta: Aparat nie obejmuje dostępu do zdjęć ani galerii zdjęć. Wybierając pozycję Biblioteka zdjęć w ustawieniu Zezwalaj użytkownikom na otwieranie danych z wybranych usług w ramach Intune, możesz zezwolić zarządzanym kontom na zezwalanie na przychodzące dane z biblioteki zdjęć urządzenia do zarządzanych aplikacji.
Wszystkie wybrane
Ograniczanie wycinania, kopiowania i wklejania między innymi aplikacjami Określ, kiedy można używać akcji wycinania, kopiowania i wklejania z tą aplikacją. Wybierz pozycję z:
  • Zablokowane: nie zezwalaj na akcje wycinania, kopiowania i wklejania między tą aplikacją a inną aplikacją.
  • Aplikacje zarządzane przez zasady: zezwalaj na akcje wycinania, kopiowania i wklejania między tą aplikacją a innymi aplikacjami zarządzanymi przez zasady.
  • Zasady zarządzane za pomocą wklejania: zezwalaj na wycinanie lub kopiowanie między tą aplikacją a innymi aplikacjami zarządzanymi przez zasady. Zezwalaj na wklejanie danych z dowolnej aplikacji do tej aplikacji.
  • Dowolna aplikacja: brak ograniczeń dotyczących wycinania, kopiowania i wklejania do i z tej aplikacji.
Dowolna aplikacja
    Limit znaków wycinania i kopiowania dla dowolnej aplikacji
Określ liczbę znaków, które mogą być wycinane lub kopiowane z danych i kont organizacji. Umożliwi to udostępnianie określonej liczby znaków dowolnej aplikacji, niezależnie od ustawienia Ogranicz wycinanie, kopiowanie i wklejanie z innymi aplikacjami .

Wartość domyślna = 0

Uwaga: wymaga, aby aplikacja miała zestaw Intune SDK w wersji 9.0.14 lub nowszej.

0
Klawiatury innych firm Wybierz pozycję Blokuj , aby uniemożliwić korzystanie z klawiatur innych firm w aplikacjach zarządzanych.

Po włączeniu tego ustawienia użytkownik otrzymuje jednorazowy komunikat informujący o zablokowaniu korzystania z klawiatur innych firm. Ten komunikat pojawia się po raz pierwszy, gdy użytkownik wchodzi w interakcję z danymi organizacyjnymi, które wymagają użycia klawiatury. Tylko standardowa klawiatura systemu iOS/iPadOS jest dostępna podczas korzystania z aplikacji zarządzanych, a wszystkie inne opcje klawiatury są wyłączone. To ustawienie będzie miało wpływ zarówno na konta organizacji, jak i konta osobiste aplikacji obsługujących wiele tożsamości. To ustawienie nie ma wpływu na korzystanie z klawiatur innych firm w aplikacjach niezarządzanych.

Nuta: Ta funkcja wymaga, aby aplikacja używała zestawu Intune SDK w wersji 12.0.16 lub nowszej. Aplikacje z zestawem SDK w wersji od 8.0.14 do wersji 12.0.15 włącznie nie będą mieć tej funkcji poprawnie stosowanej w przypadku aplikacji z wieloma tożsamościami. Aby uzyskać więcej informacji, zobacz Znany problem: Klawiatury innych firm nie są blokowane w systemie iOS/iPadOS dla kont osobistych.

Zezwalaj

Uwaga

Zasady ochrony aplikacji są wymagane w usłudze IntuneMAMUPN dla urządzeń zarządzanych. Dotyczy to również wszystkich ustawień, które wymagają zarejestrowanych urządzeń.

Szyfrowanie

Ustawienie Sposób użycia Wartość domyślna
Szyfrowanie danych organizacji Wybierz pozycję Wymagaj, aby włączyć szyfrowanie danych służbowych w tej aplikacji. Intune wymusza szyfrowanie na poziomie urządzenia z systemem iOS/iPadOS w celu ochrony danych aplikacji, gdy urządzenie jest zablokowane. Ponadto aplikacje mogą opcjonalnie szyfrować dane aplikacji przy użyciu Intune szyfrowania zestawu SDK aplikacji. Intune zestaw SDK aplikacji używa metod kryptograficznych systemu iOS/iPadOS do stosowania 256-bitowego szyfrowania AES do danych aplikacji.

Po włączeniu tego ustawienia użytkownik może być zobowiązany do skonfigurowania i użycia numeru PIN urządzenia w celu uzyskania dostępu do urządzenia. Jeśli nie ma numeru PIN urządzenia i szyfrowanie jest wymagane, użytkownik jest monitowany o ustawienie numeru PIN z komunikatem "Twoja organizacja wymaga najpierw włączenia numeru PIN urządzenia w celu uzyskania dostępu do tej aplikacji".

Przejdź do oficjalnej dokumentacji firmy Apple , aby dowiedzieć się więcej o klasach ochrony danych w ramach zabezpieczeń platformy Apple.
Wymagać

Funkcjonalność

Ustawienie Sposób użycia Wartość domyślna
Synchronizowanie danych aplikacji zarządzanych przez zasady z aplikacjami natywnymi lub dodatkami Wybierz pozycję Blokuj, aby uniemożliwić aplikacjom zarządzanym przez zasady zapisywanie danych w aplikacjach natywnych urządzenia (kontakty, kalendarz i widżety) oraz uniemożliwić korzystanie z dodatków w aplikacjach zarządzanych przez zasady. Jeśli aplikacja nie jest obsługiwana, zapisywanie danych w aplikacjach natywnych i korzystanie z dodatków będzie dozwolone.

Jeśli wybierzesz pozycję Zezwalaj, aplikacja zarządzana przez zasady może zapisywać dane w aplikacjach natywnych lub korzystać z dodatków, jeśli te funkcje są obsługiwane i włączone w aplikacji zarządzanej przez zasady.

Aplikacje mogą udostępniać dodatkowe kontrolki, aby dostosować zachowanie synchronizacji danych do określonych aplikacji natywnych lub nie uwzględniać tej kontrolki.

Uwaga: Podczas selektywnego czyszczenia danych w celu usunięcia danych służbowych z aplikacji dane synchronizowane bezpośrednio z aplikacji zarządzanej przez zasady z aplikacją natywną są usuwane. Żadne dane zsynchronizowane z aplikacji natywnej z innym źródłem zewnętrznym nie zostaną wyczyszczone.

Uwaga: następujące aplikacje obsługują tę funkcję:
Zezwalaj
Drukowanie danych organizacji Wybierz pozycję Blokuj , aby uniemożliwić aplikacji drukowanie danych służbowych. Jeśli pozostawisz to ustawienie na wartość Zezwalaj, wartość domyślna użytkownicy będą mogli eksportować i drukować wszystkie dane organizacji. Zezwalaj
Ograniczanie transferu zawartości internetowej za pomocą innych aplikacji Określ sposób, w jaki zawartość internetowa (linki http/https) jest otwierana z aplikacji zarządzanych przez zasady. Wybierz jedną z następujących opcji:
  • Dowolna aplikacja: zezwalaj na linki internetowe w dowolnej aplikacji.
  • Intune Managed Browser: zezwalaj na otwieranie zawartości internetowej tylko w Intune Managed Browser. Ta przeglądarka jest przeglądarką zarządzaną przez zasady.
  • Microsoft Edge: zezwalaj na otwieranie zawartości internetowej tylko w przeglądarce Microsoft Edge. Ta przeglądarka jest przeglądarką zarządzaną przez zasady.
  • Przeglądarka niezarządzana: zezwalaj na otwieranie zawartości internetowej tylko w niezarządzanej przeglądarce zdefiniowanej przez ustawienie protokołu przeglądarki niezarządzanej . Zawartość internetowa będzie niezarządzana w przeglądarce docelowej.
    Uwaga: wymaga, aby aplikacja miała zestaw Intune SDK w wersji 11.0.9 lub nowszej.
Jeśli używasz Intune do zarządzania urządzeniami, zobacz Manage Internet access using managed browser policies with Microsoft Intune (Zarządzanie dostępem do Internetu przy użyciu zasad przeglądarki zarządzanej z Microsoft Intune).

Jeśli przeglądarka zarządzana przez zasady jest wymagana, ale nie jest zainstalowana, użytkownicy końcowi zostaną poproszeni o zainstalowanie przeglądarki Microsoft Edge.

Jeśli wymagana jest przeglądarka zarządzana przez zasady, uniwersalne linki systemu iOS/iPadOS są zarządzane przez ustawienie zasad Wyślij dane organizacji do innych aplikacji .

rejestrowanie urządzeń Intune
Jeśli używasz Intune do zarządzania urządzeniami, zobacz Zarządzanie dostępem do Internetu przy użyciu zasad przeglądarki zarządzanej z Microsoft Intune.

Microsoft Edge zarządzany przez zasady
Przeglądarka Microsoft Edge dla urządzeń przenośnych (iOS/iPadOS i Android) obsługuje zasady ochrony aplikacji Intune. Użytkownicy, którzy logują się przy użyciu firmowych kont Microsoft Entra w aplikacji przeglądarki Microsoft Edge, będą chronieni przez Intune. Przeglądarka Microsoft Edge integruje zestaw Intune SDK i obsługuje wszystkie zasady ochrony danych, z wyjątkiem zapobiegania:

  • Zapisz jako: przeglądarka Microsoft Edge nie zezwala użytkownikowi na dodawanie bezpośrednich połączeń w aplikacji do dostawców magazynu w chmurze (takich jak OneDrive).
  • Synchronizacja kontaktów: przeglądarka Microsoft Edge nie zapisuje na natywnych list kontaktów.

Uwaga: zestaw SDK Intune nie może określić, czy aplikacja docelowa jest przeglądarką. Na urządzeniach z systemem iOS/iPadOS żadne inne aplikacje przeglądarki zarządzanej nie są dozwolone.
Nie skonfigurowano
    Protokół przeglądarki niezarządzanej
Wprowadź protokół dla jednej przeglądarki niezarządzanej. Zawartość sieci Web (linki http/https) z aplikacji zarządzanych przez zasady zostanie otwarta w dowolnej aplikacji, która obsługuje ten protokół. Zawartość internetowa będzie niezarządzana w przeglądarce docelowej.

Ta funkcja powinna być używana tylko wtedy, gdy chcesz udostępniać chronioną zawartość w określonej przeglądarce, która nie jest włączona przy użyciu zasad ochrony aplikacji Intune. Aby określić protokół obsługiwany przez żądaną przeglądarkę, należy skontaktować się z dostawcą przeglądarki.

Uwaga: uwzględnij tylko prefiks protokołu. Jeśli przeglądarka wymaga linków formularzamybrowser://www.microsoft.com, wprowadź .mybrowser
Linki zostaną przetłumaczone jako:
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
Pusty
Powiadomienia o danych organizacji Określ sposób udostępniania danych organizacji za pośrednictwem powiadomień systemu operacyjnego dla kont organizacji. To ustawienie zasad będzie miało wpływ na urządzenie lokalne i wszystkie podłączone urządzenia, takie jak urządzenia do noszenia i inteligentne głośniki. Aplikacje mogą udostępniać dodatkowe kontrolki w celu dostosowania zachowania powiadomień lub mogą nie uwzględniać wszystkich wartości. Wybierz pozycję z:
  • Zablokowane: nie udostępniaj powiadomień.
    • Jeśli aplikacja nie jest obsługiwana, powiadomienia będą dozwolone.
  • Blokuj dane organizacji: na przykład nie udostępniaj danych organizacji w powiadomieniach.
    • "Masz nową pocztę"; "Masz spotkanie".
    • Jeśli aplikacja nie jest obsługiwana, powiadomienia będą dozwolone.
  • Zezwalaj: udostępnia dane organizacji w powiadomieniach.

Uwaga:
To ustawienie wymaga obsługi następującej aplikacji:

  • Outlook dla systemu iOS 4.34.0 lub nowszego
  • Teams dla systemu iOS 2.0.22 lub nowszego
  • Microsoft 365 (Office) dla systemu iOS 2.72 lub nowszego
Zezwalaj

Uwaga

Żadne z ustawień ochrony danych nie kontroluje funkcji otwierania zarządzanego przez firmę Apple na urządzeniach z systemem iOS/iPadOS. Aby korzystać z zarządzania aplikacjami typu open-in firmy Apple, zobacz Zarządzanie transferem danych między aplikacjami systemu iOS/iPadOS przy użyciu Microsoft Intune.

Wykluczenia z transferu danych

Istnieją pewne wykluczone aplikacje i usługi platformy, które Intune zasad ochrony aplikacji mogą zezwalać na transfer danych do i z w niektórych scenariuszach. Ta lista może ulec zmianie i odzwierciedla usługi i aplikacje uważane za przydatne w celu zapewnienia bezpiecznej produktywności.

Aplikacje niezarządzane innych firm można dodać do listy wykluczeń, co może zezwalać na wyjątki transferu danych. Aby uzyskać dodatkowe informacje i przykłady, zobacz How to create exceptions to the Intune App Protection Policy (APP) data transfer policy (APP) data transfer policy (How to create exceptions to the Intune App Protection Policy (APP) data transfer policy (APP) (Jak tworzyć wyjątki od zasad transferu danych Intune App Protection Policy). Wykluczona aplikacja niezarządzana musi być wywoływana na podstawie protokołu adresu URL systemu iOS. Na przykład dodanie wykluczenia transferu danych dla niezarządzanej aplikacji nadal uniemożliwia użytkownikom wykonywanie operacji wycinania, kopiowania i wklejania, jeśli są ograniczone przez zasady. Ten typ wykluczenia nadal uniemożliwia użytkownikom korzystanie z akcji Otwieranie w aplikacji zarządzanej do udostępniania lub zapisywania danych w celu wykluczenia aplikacji, ponieważ nie jest ona oparta na protokole adresu URL systemu iOS. Aby uzyskać więcej informacji na temat otwierania, zobacz Korzystanie z ochrony aplikacji w aplikacjach systemu iOS.

Nazwy aplikacji/usługi Opis
skype Skype
app-settings Ustawienia urządzenia
itms; itmss; itms-apps; itms-appss; itms-services App Store
calshow Kalendarz natywny

Ważna

Zasady ochrony aplikacji utworzone przed 15 czerwca 2020 r. obejmują schemat adresów URL tel i telprompt w ramach domyślnych wyłączeń transferu danych. Te schematy adresów URL umożliwiają aplikacjom zarządzanym inicjowanie wybierania numerów. Ustawienie zasad usługi App Protection Transfer danych telekomunikacyjnych do zastąpiło tę funkcję. Administratorzy powinni usunąć tel. telprompt; z wyjątków transferu danych i polegaj na ustawieniu zasad usługi App Protection, pod warunkiem, że aplikacje zarządzane inicjujące funkcje wybierania numerów obejmują zestaw Intune SDK 12.7.0 lub nowszy.

Ważna

W Intune SDK 14.5.0 lub nowszym, w tym schematy adresów URL sms i mailto w wykluczeniach transferu danych, umożliwią również udostępnianie danych organizacji kontrolerom MFMessageCompose (w przypadku wiadomości SMS) i MFMailCompose (dla poczty e-mail) w aplikacjach zarządzanych przez zasady.

Linki uniwersalne umożliwiają użytkownikowi bezpośrednie uruchamianie aplikacji skojarzonej z linkiem zamiast chronionej przeglądarki określonej przez ustawienie Ogranicz transfer zawartości internetowej za pomocą innych aplikacji . Aby określić poprawny format łącza uniwersalnego dla każdej aplikacji, należy skontaktować się z deweloperem aplikacji.

Domyślne linki do klipów aplikacji są również zarządzane przez zasady linków uniwersalnych.

Dodając łącza uniwersalne do aplikacji niezarządzanych , można uruchomić określoną aplikację. Aby dodać aplikację, musisz dodać link do listy wykluczenia.

Uwaga

Aplikacje docelowe dla tych linków uniwersalnych są niezarządzane, a dodanie wykluczenia może spowodować wycieki zabezpieczeń danych.

Domyślne wykluczenia aplikacji Universal Link są następujące:

Link uniwersalny aplikacji Opis
http://maps.apple.com; https://maps.apple.com Aplikacja Maps
http://facetime.apple.com; https://facetime.apple.com Aplikacja FaceTime

Jeśli nie chcesz zezwalać na domyślne wykluczenia usługi Universal Link, możesz je usunąć. Możesz również dodać linki uniwersalne dla aplikacji innych firm lub aplikacji biznesowych. Wykluczone łącza uniwersalne zezwalają na symbole wieloznaczne, takie jak http://*.sharepoint-df.com/*.

Dodając linki uniwersalne do aplikacji zarządzanych , można bezpiecznie uruchomić określoną aplikację. Aby dodać aplikację, musisz dodać link uniwersalny aplikacji do listy zarządzanej. Jeśli aplikacja docelowa obsługuje zasady Intune App Protection, wybranie linku spowoduje próbę uruchomienia aplikacji. Jeśli nie można otworzyć aplikacji, link zostanie otwarty w chronionej przeglądarce. Jeśli aplikacja docelowa nie integruje zestawu Intune SDK, wybranie linku spowoduje uruchomienie chronionej przeglądarki.

Domyślne zarządzane łącza uniwersalne są następujące:

Link uniwersalny aplikacji zarządzanej Opis
http://*.onedrive.com/*; https://*.onedrive.com/*; OneDrive
http://*.appsplatform.us/*; http://*.powerapps.cn/*; http://*.powerapps.com/*; http://*.powerapps.us/*; https://*.powerbi.com/*; https://app.powerbi.cn/*; https://app.powerbigov.us/*; https://app.powerbi.de/*; PowerApps
http://*.powerbi.com/*; http://app.powerbi.cn/*; http://app.powerbigov.us/*; http://app.powerbi.de/*; https://*.appsplatform.us/*; https://*.powerapps.cn/*; https://*.powerapps.com/*; https://*.powerapps.us/*; Power BI
http://*.service-now.com/*; https://*.service-now.com/*; ServiceNow
http://*.sharepoint.com/*; http://*.sharepoint-df.com/*; https://*.sharepoint.com/*; https://*.sharepoint-df.com/*; SharePoint
http://web.microsoftstream.com/video/*; http://msit.microsoftstream.com/video/*; https://web.microsoftstream.com/video/*; https://msit.microsoftstream.com/video/*; Stream
http://*teams.microsoft.com/l/*; http://*devspaces.skype.com/l/*; http://*teams.live.com/l/*; http://*collab.apps.mil/l/*; http://*teams.microsoft.us/l/*; http://*teams-fl.microsoft.com/l/*; https://*teams.microsoft.com/l/*; https://*devspaces.skype.com/l/*; https://*teams.live.com/l/*; https://*collab.apps.mil/l/*; https://*teams.microsoft.us/l/*; https://*teams-fl.microsoft.com/l/*; Teams
http://tasks.office.com/*; https://tasks.office.com/*; http://to-do.microsoft.com/sharing*; https://to-do.microsoft.com/sharing*; ToDo
http://*.yammer.com/*; https://*.yammer.com/*; Viva Engage
http://*.zoom.us/*; https://*.zoom.us/*; Powiększenia

Jeśli nie chcesz zezwalać na domyślne zarządzane łącza uniwersalne, możesz je usunąć. Możesz również dodać linki uniwersalne dla aplikacji innych firm lub aplikacji biznesowych.

Wymagania dotyczące dostępu

Ustawienie Sposób użycia Wartość domyślna
Numer PIN dostępu Wybierz pozycję Wymagaj , aby wymagać numeru PIN do korzystania z tej aplikacji. Użytkownik jest monitowany o skonfigurowanie tego numeru PIN przy pierwszym uruchomieniu aplikacji w kontekście służbowym. Numer PIN jest stosowany podczas pracy w trybie online lub offline.

Siłę numeru PIN można skonfigurować przy użyciu ustawień dostępnych w sekcji Numer PIN dla dostępu .

Nuta: Użytkownicy końcowi, którzy mogą uzyskiwać dostęp do aplikacji, mogą zresetować numer PIN aplikacji. To ustawienie może nie być widoczne w niektórych przypadkach na urządzeniach z systemem iOS. Urządzenia z systemem iOS mają maksymalnie cztery dostępne skróty. Aby wyświetlić skrót resetowania numeru PIN aplikacji, użytkownik końcowy może potrzebować dostępu do skrótu z innej zarządzanej aplikacji.
Wymagać
    Typ numeru PIN
Przed uzyskaniem dostępu do aplikacji z zastosowanymi zasadami ochrony aplikacji ustaw wymaganie dotyczące numerów pinów lub kodów dostępu. Wymagania liczbowe obejmują tylko liczby, natomiast kod dostępu można zdefiniować przy użyciu co najmniej 1 litery alfabetycznej lub co najmniej 1 znaku specjalnego.

Uwaga:Aby skonfigurować typ kodu dostępu, aplikacja musi mieć Intune zestawU SDK w wersji 7.1.12 lub nowszej. Typ liczbowy nie ma ograniczeń wersji zestawu SDK Intune. Dozwolone znaki specjalne obejmują znaki specjalne i symbole na klawiaturze języka angielskiego systemu iOS/iPadOS.
Numeryczny
    Prosty numer PIN
Wybierz pozycję Zezwalaj , aby umożliwić użytkownikom używanie prostych sekwencji numerów PIN, takich jak 1234, 1111, abcd lub aaaa. Wybierz pozycję Blokuj , aby uniemożliwić im używanie prostych sekwencji. Proste sekwencje są zaewidencjonowane w 3-znakowych oknach przesuwnych. Jeśli ustawienie Blokuj jest skonfigurowane, numer 1235 lub 1112 nie zostanie zaakceptowany jako numer PIN ustawiony przez użytkownika końcowego, ale numer 1122 będzie dozwolony.

Uwaga: jeśli skonfigurowano kod PIN typu Kod dostępu, a wartość Zezwalaj na prosty numer PIN jest ustawiona na Wartość Tak, użytkownik musi mieć co najmniej 1 literę lub co najmniej 1 znak specjalny w numerze PIN. Jeśli skonfigurowano kod PIN typu Kod dostępu, a wartość Zezwalaj na prosty numer PIN jest ustawiona na wartość Nie, użytkownik musi mieć co najmniej 1 cyfrę i 1 literę oraz co najmniej 1 znak specjalny w numerze PIN.
Zezwalaj
    Wybierz minimalną długość numeru PIN
Określ minimalną liczbę cyfr w sekwencji numeru PIN. 4
    Touch ID zamiast numeru PIN na potrzeby dostępu (iOS 8+)
Wybierz pozycję Zezwalaj , aby zezwolić użytkownikowi na używanie funkcji Touch ID zamiast numeru PIN na potrzeby dostępu do aplikacji. Zezwalaj
      Zastąp funkcję Touch ID numerem PIN po przekroczeniu limitu czasu
Aby użyć tego ustawienia, wybierz pozycję Wymagaj , a następnie skonfiguruj limit czasu braku aktywności. Wymagać
        Limit czasu (minuty braku aktywności)
Określ czas w minutach, po którym kod dostępu lub numeryczny (zgodnie z konfiguracją) numer PIN zastąpi użycie odcisku palca lub twarzy jako metody dostępu. Ta wartość limitu czasu powinna być większa niż wartość określona w obszarze "Sprawdź ponownie wymagania dostępu po (minutach braku aktywności)". 30
      Identyfikator twarzy zamiast numeru PIN na potrzeby dostępu (system iOS 11+)
Wybierz pozycję Zezwalaj , aby zezwolić użytkownikowi na używanie technologii rozpoznawania twarzy do uwierzytelniania użytkowników na urządzeniach z systemem iOS/iPadOS. Jeśli jest to dozwolone, funkcja Face ID musi być używana do uzyskiwania dostępu do aplikacji na urządzeniu z obsługą funkcji Face ID. Zezwalaj
    Resetowanie numeru PIN po liczbie dni
Wybierz pozycję Tak , aby wymagać od użytkowników zmiany numeru PIN aplikacji po upływie określonego czasu w dniach.

Po ustawieniu wartości Tak należy skonfigurować liczbę dni przed koniecznością zresetowania numeru PIN.
Nie
      Liczba dni
Skonfiguruj liczbę dni, po których wymagane jest zresetowanie numeru PIN. 90
    Numer PIN aplikacji po ustawieniu numeru PIN urządzenia
Wybierz pozycję Wyłącz, aby wyłączyć numer PIN aplikacji po wykryciu blokady urządzenia na zarejestrowanym urządzeniu z skonfigurowaną Portal firmy.

Uwaga:Wymaga, aby aplikacja miała zestaw Intune SDK w wersji 7.0.1 lub nowszej. Aby aplikacje wykryły stan rejestracji, należy skonfigurować ustawienie IntuneMAMUPN.

Na urządzeniach z systemem iOS/iPadOS możesz zezwolić użytkownikowi na potwierdzenie swojej tożsamości przy użyciu funkcji Touch ID lub Face ID zamiast numeru PIN. Intune używa interfejsu API uwierzytelniania lokalnego do uwierzytelniania użytkowników przy użyciu funkcji Touch ID i Face ID. Aby dowiedzieć się więcej na temat funkcji Touch ID i Face ID, zobacz Przewodnik po zabezpieczeniach systemu iOS.

Gdy użytkownik spróbuje użyć tej aplikacji ze swoim kontem służbowym, zostanie wyświetlony monit o podanie tożsamości odcisku palca lub tożsamości twarzy zamiast wprowadzania numeru PIN. Po włączeniu tego ustawienia obraz podglądu przełącznika aplikacji zostanie rozmyty podczas korzystania z konta służbowego. Jeśli nastąpiła jakakolwiek zmiana w biometrycznej bazie danych urządzenia, Intune monituje użytkownika o podanie numeru PIN po osiągnięciu następnej wartości limitu czasu braku aktywności. Zmiany danych biometrycznych obejmują dodanie lub usunięcie odcisku palca lub twarzy na potrzeby uwierzytelniania. Jeśli Intune użytkownik nie ma ustawionego numeru PIN, zostanie skonfigurowany numer PIN Intune.
Umożliwiać
Poświadczenia konta służbowego na potrzeby dostępu Wybierz pozycję Wymagaj , aby wymagać od użytkownika zalogowania się przy użyciu konta służbowego zamiast wprowadzania numeru PIN w celu uzyskania dostępu do aplikacji. Jeśli ustawisz wartość Wymagaj, a numer PIN lub monity biometryczne zostaną włączone, zostaną wyświetlone zarówno poświadczenia firmowe, jak i numer PIN lub monity biometryczne. Nie jest wymagane
Sprawdź ponownie wymagania dostępu po (w minutach braku aktywności) Skonfiguruj liczbę minut braku aktywności, która musi minąć, zanim aplikacja będzie wymagać od użytkownika ponownego określenia wymagań dotyczących dostępu.

Na przykład administrator włącza numer PIN i blokuje urządzenia z odblokowanym dostępem do konta w zasadach, użytkownik otwiera aplikację zarządzaną Intune, musi wprowadzić numer PIN i musi używać aplikacji na urządzeniu nieobjętym funkcją. W przypadku korzystania z tego ustawienia użytkownik nie będzie musiał wprowadzać numeru PIN ani przechodzić innego sprawdzania wykrywania root w żadnej aplikacji zarządzanej Intune przez okres równy skonfigurowanej wartości.

Uwaga:w systemie iOS/iPadOS numer PIN jest udostępniany wszystkim aplikacjom zarządzanym przez Intune tego samego wydawcy. Czasomierz numeru PIN dla określonego numeru PIN jest resetowany, gdy aplikacja opuści pierwszy plan na urządzeniu. Użytkownik nie będzie musiał wprowadzać numeru PIN w żadnej aplikacji zarządzanej Intune, która udostępnia swój numer PIN przez czas trwania limitu czasu zdefiniowanego w tym ustawieniu. Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.
30

Uwaga

Aby dowiedzieć się więcej o tym, jak wiele Intune ustawień ochrony aplikacji skonfigurowanych w sekcji Dostęp do tego samego zestawu aplikacji i użytkowników działa w systemie iOS/iPadOS, zobacz Intune MAM często zadawane pytania i Selektywne czyszczenie danych przy użyciu akcji dostępu zasad ochrony aplikacji w Intune.

Uruchamianie warunkowe

Skonfiguruj ustawienia uruchamiania warunkowego, aby ustawić wymagania dotyczące zabezpieczeń logowania dla zasad ochrony dostępu.

Domyślnie dostępnych jest kilka ustawień ze wstępnie skonfigurowanymi wartościami i akcjami. Niektóre z nich można usunąć, na przykład minimalną wersję systemu operacyjnego. Możesz również wybrać dodatkowe ustawienia z listy rozwijanej Wybierz jeden .

Ustawienie Sposób użycia
Maksymalna wersja systemu operacyjnego Określ maksymalny system operacyjny iOS/iPadOS do korzystania z tej aplikacji.

Akcje obejmują:

  • Ostrzeżenie — jeśli wersja systemu iOS/iPadOS na urządzeniu nie spełnia wymagań, zostanie wyświetlone powiadomienie. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika zostanie zablokowany, jeśli wersja systemu iOS/iPadOS na urządzeniu nie spełnia tego wymagania.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.

Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję.

Ten format ustawienia zasad obsługuje pliki major.minor, major.minor.build, major.minor.build.build.

Uwaga:Wymaga, aby aplikacja miała zestaw Intune SDK w wersji 14.4.0 lub nowszej.
Minimalna wersja systemu operacyjnego Określ minimalny system operacyjny iOS/iPadOS do korzystania z tej aplikacji.

Akcje obejmują:

  • Ostrzeżenie — jeśli wersja systemu iOS/iPadOS na urządzeniu nie spełnia wymagań, zostanie wyświetlone powiadomienie. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika zostanie zablokowany, jeśli wersja systemu iOS/iPadOS na urządzeniu nie spełnia tego wymagania.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję.

Ten format ustawienia zasad obsługuje pliki major.minor, major.minor.build, major.minor.build.build.

Uwaga:Wymaga, aby aplikacja miała zestaw Intune SDK w wersji 7.0.1 lub nowszej.
Maksymalna liczba prób numeru PIN Określ liczbę prób pomyślnego wprowadzenia numeru PIN przez użytkownika przed podjęciem skonfigurowanej akcji. Jeśli użytkownik nie może pomyślnie wprowadzić numeru PIN po maksymalnej próbie podania numeru PIN, użytkownik musi zresetować numer PIN po pomyślnym zalogowaniu się na koncie i ukończeniu wyzwania uwierzytelniania wieloskładnikowego (MFA), jeśli jest to wymagane. Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.

Akcje obejmują:

  • Resetuj numer PIN — użytkownik musi zresetować swój numer PIN.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Wartość domyślna = 5
Okres prolongaty w trybie offline Liczba minut, przez które aplikacje zarządzane przez zasady mogą działać w trybie offline. Określ czas (w minutach) przed ponownym sprawdzeniem wymagań dostępu dla aplikacji.

Akcje obejmują:

  • Blokuj dostęp (w minutach) — liczba minut, przez które aplikacje zarządzane przez zasady mogą działać w trybie offline. Określ czas (w minutach) przed ponownym sprawdzeniem wymagań dostępu dla aplikacji. Po upływie skonfigurowanego okresu aplikacja blokuje dostęp do danych służbowych do momentu udostępnienia dostępu do sieci. Czasomierz okresu prolongaty w trybie offline do blokowania dostępu do danych jest obliczany indywidualnie dla każdej aplikacji na podstawie ostatniego zaewidencjonowania w usłudze Intune. Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.

    Wartość domyślna = 1440 minut (24 godziny)

    Nuta: Skonfigurowanie czasomierza okresu prolongaty w trybie offline w celu zablokowania dostępu do wartości mniejszej niż wartość domyślna może spowodować częstsze przerwy użytkowników podczas odświeżania zasad. Wybranie wartości mniejszej niż 30 minut nie jest zalecane, ponieważ może to spowodować przerwy użytkowników podczas każdego uruchomienia lub wznowienia aplikacji.

    Nuta: Zatrzymanie odświeżania zasad okresu prolongaty w trybie offline, w tym zamknięcia lub zawieszenia aplikacji, spowoduje przerwanie działania użytkownika podczas następnego uruchomienia lub wznowienia aplikacji.

  • Czyszczenie danych (dni) — po tylu dniach (zdefiniowanych przez administratora) uruchamiania w trybie offline aplikacja będzie wymagać od użytkownika nawiązania połączenia z siecią i ponownego uwierzytelnienia. Jeśli użytkownik pomyślnie uwierzytelnia się, może nadal uzyskiwać dostęp do swoich danych, a interwał w trybie offline zostanie zresetowany. Jeśli uwierzytelnianie użytkownika nie powiedzie się, aplikacja przeprowadzi selektywne czyszczenie konta i danych użytkowników. Zobacz Jak wyczyścić tylko dane firmowe z aplikacji zarządzanych Intune, aby uzyskać więcej informacji na temat tego, jakie dane są usuwane przy użyciu selektywnego czyszczenia. Czasomierz okresu prolongaty offline do wyczyszczania danych jest obliczany indywidualnie dla każdej aplikacji na podstawie ostatniego zaewidencjonowania w usłudze Intune. Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.

    Wartość domyślna = 90 dni
Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję.
Urządzenia ze zdjętymi zabezpieczeniami systemu /urządzeniami z dostępem do konta root Nie ma wartości do ustawienia dla tego ustawienia.

Akcje obejmują:

  • Blokuj dostęp — uniemożliwia działanie tej aplikacji na urządzeniach ze zdjętymi zabezpieczeniami systemu lub urządzeniami z odblokowanym dostępem do konta root. Użytkownik nadal może używać tej aplikacji do wykonywania zadań osobistych, ale musi korzystać z innego urządzenia w celu uzyskania dostępu do danych służbowych w tej aplikacji.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Wyłączone konto Nie ma wartości do ustawienia dla tego ustawienia.

Akcje obejmują:

  • Blokuj dostęp — po potwierdzeniu, że użytkownik został wyłączony w Tożsamość Microsoft Entra, aplikacja blokuje dostęp do danych służbowych.
  • Czyszczenie danych — po potwierdzeniu, że użytkownik został wyłączony w Tożsamość Microsoft Entra, aplikacja przeprowadzi selektywne czyszczenie konta i danych użytkowników.
Minimalna wersja aplikacji Określ wartość minimalnej wartości wersji aplikacji.

Akcje obejmują:

  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli wersja aplikacji na urządzeniu nie spełnia wymagań. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika jest blokowany, jeśli wersja aplikacji na urządzeniu nie spełnia wymagań.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Ponieważ aplikacje często mają różne schematy przechowywania wersji, utwórz zasady z jedną minimalną wersją aplikacji przeznaczoną dla jednej aplikacji (na przykład zasad wersji programu Outlook).

Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję.

To ustawienie zasad obsługuje pasujące formaty wersji pakietu aplikacji systemu iOS (major.minor lub major.minor.patch).

Uwaga:Wymaga, aby aplikacja miała zestaw Intune SDK w wersji 7.0.1 lub nowszej.

Ponadto można skonfigurować miejsce, w którym użytkownicy końcowi mogą uzyskać zaktualizowaną wersję aplikacji biznesowych. Użytkownicy końcowi zobaczą to w oknie dialogowym uruchamiania warunkowego minimalnej wersji aplikacji , co spowoduje wyświetlenie monitu dla użytkowników końcowych o zaktualizowanie do minimalnej wersji aplikacji LOB. W systemie iOS/iPadOS ta funkcja wymaga integracji aplikacji (lub opakowania przy użyciu narzędzia opakowującego) przy użyciu zestawu SDK Intune dla systemu iOS w wersji 10.0.7 lub nowszej. Aby skonfigurować lokalizację, w której użytkownik końcowy powinien zaktualizować aplikację lob, aplikacja musi wysłać do niej zasady konfiguracji aplikacji zarządzanej z kluczem com.microsoft.intune.myappstore. Wysłana wartość zdefiniuje, z którego magazynu użytkownik końcowy pobierze aplikację. Jeśli aplikacja jest wdrażana za pośrednictwem Portal firmy, wartość musi mieć wartość CompanyPortal. W przypadku dowolnego innego magazynu należy wprowadzić pełny adres URL.
Minimalna wersja zestawu SDK Określ minimalną wartość dla wersji zestawu Intune SDK.

Akcje obejmują:

  • Blokuj dostęp — dostęp użytkownika jest blokowany, jeśli wersja zestawu SDK zasad ochrony aplikacji Intune aplikacji nie spełnia wymagań.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
  • Ostrzegaj — jeśli wersja zestawu SDK systemu iOS/iPadOS dla aplikacji nie spełnia minimalnych wymagań zestawu SDK, zostanie wyświetlone powiadomienie. Użytkownik zostanie poinstruowany o uaktualnieniu do najnowszej wersji aplikacji. To powiadomienie można odrzucić.
Aby dowiedzieć się więcej na temat zestawu SDK zasad ochrony aplikacji Intune, zobacz omówienie zestawu Intune App SDK. Ponieważ aplikacje często mają między sobą odrębną wersję zestawu SDK Intune, utwórz zasady z jedną minutą Intune wersji zestawu SDK przeznaczoną dla jednej aplikacji (na przykład Intune zasad wersji zestawu SDK dla programu Outlook).

Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję.
Modele urządzeń Określ rozdzielaną średnikami listę identyfikatorów modelu. Te wartości nie uwzględniają wielkości liter.

Akcje obejmują:

  • Zezwalaj na określone (blokuj nieokreślone) — tylko urządzenia zgodne z określonym modelem urządzenia mogą używać aplikacji. Wszystkie inne modele urządzeń są zablokowane.
  • Zezwalaj na określone (wyczyść nieokreślone) — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Aby uzyskać więcej informacji na temat korzystania z tego ustawienia, zobacz Akcje uruchamiania warunkowego.
Maksymalny dozwolony poziom zagrożenia urządzenia Ochrona aplikacji zasady mogą korzystać z łącznika Intune-MTD. Określ maksymalny dopuszczalny poziom zagrożenia do korzystania z tej aplikacji. Zagrożenia są określane przez wybraną aplikację dostawcy usługi Mobile Threat Defense (MTD) na urządzeniu użytkownika końcowego. Określ wartości Zabezpieczone, Niskie, Średnie lub Wysokie. Zabezpieczone nie wymaga żadnych zagrożeń na urządzeniu i jest najbardziej restrykcyjną wartością konfigurowalną, podczas gdy wysoka zasadniczo wymaga aktywnego połączenia Intune z usługą MTD.

Akcje obejmują:

  • Blokuj dostęp — dostęp użytkownika zostanie zablokowany, jeśli poziom zagrożenia określony przez wybraną aplikację dostawcy usługi Mobile Threat Defense (MTD) na urządzeniu użytkownika końcowego nie spełnia tego wymagania.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Uwaga:Wymaga, aby aplikacja miała zestaw Intune SDK w wersji 12.0.15 lub nowszej.

Aby uzyskać więcej informacji na temat korzystania z tego ustawienia, zobacz Włączanie usługi MTD dla niezarejestrowanych urządzeń.
Podstawowa usługa MTD Jeśli skonfigurowano wiele łączników Intune-MTD, określ podstawową aplikację dostawcy USŁUGI MTD, która powinna być używana na urządzeniu użytkownika końcowego.

Wartości obejmują:

  • Ochrona punktu końcowego w usłudze Microsoft Defender — jeśli łącznik MTD jest skonfigurowany, określ, Ochrona punktu końcowego w usłudze Microsoft Defender udostępni informacje o poziomie zagrożenia urządzenia.
  • Mobile Threat Defense (inne niż Microsoft) — jeśli łącznik MTD jest skonfigurowany, określ, że usługa MTD innej firmy niż Microsoft będzie dostarczać informacje o poziomie zagrożenia urządzenia.

Aby użyć tego ustawienia, należy skonfigurować ustawienie "Maksymalny dozwolony poziom zagrożenia urządzenia".

Nie ma żadnych akcji dla tego ustawienia.

Czas braku pracy Nie ma wartości do ustawienia dla tego ustawienia.

Akcje obejmują:

  • Blokuj dostęp — dostęp użytkownika jest blokowany, ponieważ konto użytkownika skojarzone z aplikacją jest w czasie niedziałającym.
  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli konto użytkownika skojarzone z aplikacją znajduje się w czasie braku pracy. Powiadomienie można odrzucić.
Uwaga: to ustawienie należy skonfigurować tylko wtedy, gdy dzierżawa została zintegrowana z interfejsem API czasu pracy. Aby uzyskać więcej informacji na temat integracji tego ustawienia z interfejsem API czasu pracy, zobacz Ograniczanie dostępu do usługi Microsoft Teams, gdy pracownicy pierwszej linii są poza zmianą. Skonfigurowanie tego ustawienia bez integracji z interfejsem API czasu pracy może spowodować zablokowanie kont z powodu braku stanu czasu pracy dla konta zarządzanego skojarzonego z aplikacją.

Następujące aplikacje obsługują tę funkcję:

  • Teams dla systemu iOS w wersji 6.9.2 lub nowszej
  • Przeglądarka Edge dla systemu iOS w wersji 126.2592.56 lub nowszej

Dowiedz się więcej