Edytuj

Często zadawane pytania dotyczące zarządzania aplikacjami mobilnymi i ochrony aplikacji

  • Często zadawane pytania

Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące zarządzania aplikacjami mobilnymi (MAM) usługi Intune i ochrony aplikacji usługi Intune.

Podstawy zarządzania aplikacjami mobilnymi

Co to jest mam?

Omówienie zarządzania aplikacjami mobilnymi

zasady Ochrona aplikacji

Jakie są zasady ochrony aplikacji?

Ochrona aplikacji zasady to reguły, które zapewniają, że dane organizacji pozostają bezpieczne lub zawarte w zarządzanej aplikacji. Zasady mogą być regułą wymuszaną, gdy użytkownik próbuje uzyskać dostęp do danych firmowych lub przenieść je, lub zestawem akcji, które są zabronione lub monitorowane, gdy użytkownik znajduje się w aplikacji.

Jakie są przykłady zasad ochrony aplikacji?

Aby uzyskać szczegółowe informacje na temat każdego ustawienia zasad ochrony aplikacji, zobacz Ustawienia zasad ochrony aplikacji systemu Android i ustawienia zasad ochrony aplikacji systemu iOS/iPadOS .

Czy w przypadku różnych urządzeń możliwe jest jednoczesne zastosowanie zasad zarządzania urządzeniami przenośnymi i zarządzania aplikacjami mobilnymi do tego samego użytkownika? Jeśli na przykład użytkownik może mieć dostęp do swoich zasobów służbowych z własnej maszyny z obsługą zarządzania aplikacjami mobilnymi, ale także pracować i korzystać z urządzenia zarządzanego przez rozwiązanie MDM usługi Intune. Czy są jakieś zastrzeżenia do tego pomysłu?

Jeśli zastosujesz zasady zarządzania aplikacjami mobilnymi do użytkownika bez ustawiania stanu zarządzania urządzeniami, użytkownik pobierze zasady zarządzania aplikacjami mobilnymi zarówno na urządzeniu BYOD, jak i na urządzeniu zarządzanym przez usługę Intune. Można również zastosować zasady zarządzania aplikacjami mobilnymi na podstawie stanu zarządzania urządzeniami. Dlatego podczas tworzenia zasad ochrony aplikacji obok pozycji Target to apps on all device types (Kierowanie do aplikacji na wszystkich typach urządzeń) wybierz pozycję Nie. Następnie wykonaj dowolną z następujących czynności:

  • Zastosuj mniej rygorystyczne zasady zarządzania aplikacjami mobilnymi do urządzeń zarządzanych przez usługę Intune i zastosuj bardziej restrykcyjne zasady zarządzania aplikacjami mobilnymi do urządzeń zarejestrowanych w rozwiązaniu MDM.
  • Zastosuj równie rygorystyczne zasady zarządzania aplikacjami mobilnymi do urządzeń zarządzanych przez usługę Intune co do urządzeń zarządzanych przez inne firmy.
  • Zastosuj zasady zarządzania aplikacjami mobilnymi tylko do niezarejestrowanych urządzeń.

Aby uzyskać więcej informacji, zobacz Jak monitorować zasady ochrony aplikacji.

Aplikacje, które można zarządzać przy użyciu zasad ochrony aplikacji

Którymi aplikacjami można zarządzać za pomocą zasad ochrony aplikacji?

Każdą aplikacją zintegrowaną z zestawem SDK aplikacji usługi Intune lub opakowaną przez App Wrapping Tool usługi Intune można zarządzać przy użyciu zasad ochrony aplikacji usługi Intune. Zobacz oficjalną listę aplikacji zarządzanych przez usługę Intune dostępnych do użytku publicznego.

Jakie są wymagania punktu odniesienia dotyczące korzystania z zasad ochrony aplikacji w aplikacji zarządzanej przez usługę Intune?

Co zrobić, jeśli chcę włączyć aplikację z usługą Intune App Protection, ale nie korzysta ona z obsługiwanej platformy tworzenia aplikacji?

Zespół deweloperów zestawu SDK usługi Intune aktywnie testuje i utrzymuje obsługę aplikacji utworzonych przy użyciu natywnych platform Android, iOS/iPadOS (Obj-C, Swift), Xamarin i Xamarin.Forms. Niektórzy klienci odniesieli sukces dzięki integracji zestawu SDK usługi Intune z innymi platformami, takimi jak React Native i NativeScript, ale nie udostępniamy wyraźnych wskazówek ani wtyczek dla deweloperów aplikacji korzystających z niczego innego niż obsługiwane platformy.

Czy zestaw SDK aplikacji usługi Intune obsługuje bibliotekę uwierzytelniania firmy Microsoft (MSAL)?

Zestaw SDK aplikacji usługi Intune może używać biblioteki uwierzytelniania firmy Microsoft na potrzeby scenariuszy uwierzytelniania i uruchamiania warunkowego. Ponadto usługa MSAL służy do rejestrowania tożsamości użytkownika w usłudze MAM na potrzeby zarządzania bez scenariuszy rejestracji urządzeń.

Jakie są dodatkowe wymagania dotyczące korzystania z aplikacji mobilnej Outlook?

Jakie są dodatkowe wymagania dotyczące korzystania z aplikacji Word, Excel i PowerPoint?

  • Użytkownik końcowy musi mieć licencję dla Aplikacje Microsoft 365 dla firm lub przedsiębiorstwa połączoną ze swoim kontem Microsoft Entra. Subskrypcja musi zawierać aplikacje pakietu Office na urządzeniach przenośnych i może zawierać konto magazynu w chmurze z OneDrive dla Firm. Licencje platformy Microsoft 365 można przypisać w Centrum administracyjne platformy Microsoft 365 zgodnie z tymi instrukcjami.

  • Użytkownik końcowy musi mieć skonfigurowaną lokalizację zarządzaną przy użyciu funkcji szczegółowego zapisywania jako w ramach ustawienia zasad ochrony aplikacji "Zapisz kopie danych organizacji". Jeśli na przykład lokalizacja zarządzana to OneDrive, aplikacja OneDrive powinna zostać skonfigurowana w aplikacji Word, Excel lub PowerPoint użytkownika końcowego.

  • Jeśli lokalizacja zarządzana to OneDrive, aplikacja musi być objęta zasadami ochrony aplikacji wdrożoną dla użytkownika końcowego.

    Uwaga

    Aplikacje mobilne pakietu Office obecnie obsługują tylko usługę SharePoint Online, a nie lokalny program SharePoint.

Dlaczego lokalizacja zarządzana (tj. OneDrive) jest potrzebna dla pakietu Office?

Usługa Intune oznacza wszystkie dane w aplikacji jako "firmowe" lub "osobiste". Dane są uznawane za "firmowe", gdy pochodzą z lokalizacji biznesowej. W przypadku aplikacji pakietu Office usługa Intune traktuje następujące lokalizacje biznesowe: pocztę e-mail (Exchange) lub magazyn w chmurze (aplikacja OneDrive z kontem OneDrive dla Firm).

Jakie są dodatkowe wymagania dotyczące używania Skype dla firm?

Zobacz wymagania dotyczące licencji Skype dla firm. Aby uzyskać Skype dla firm (SfB) konfiguracji hybrydowych i lokalnych, zobacz Hybrydowy nowoczesny uwierzytelnianie dla SfB i Exchange idzie ga i nowoczesne uwierzytelnianie dla SfB lokalnie z Tożsamość Microsoft Entra, odpowiednio.

funkcje Ochrona aplikacji

Co to jest obsługa wielu tożsamości?

Obsługa wielu tożsamości umożliwia zestawowi SDK aplikacji usługi Intune stosowanie zasad ochrony aplikacji tylko do konta służbowego zalogowanego do aplikacji. Jeśli konto osobiste jest zalogowane do aplikacji, dane są nietknięte.

Jaki jest cel obsługi wielu tożsamości?

Obsługa wielu tożsamości umożliwia publiczne wyświetlanie aplikacji z grupami odbiorców "firmowych" i odbiorców (tj. aplikacji pakietu Office) przy użyciu funkcji ochrony aplikacji usługi Intune dla kont "firmowych".

Co z programem Outlook i wieloma tożsamościami?

Ponieważ program Outlook ma połączony widok poczty e-mail zarówno osobistych, jak i "firmowych" wiadomości e-mail, aplikacja Outlook monituje o podanie numeru PIN usługi Intune podczas uruchamiania.

Co to jest numer PIN aplikacji usługi Intune?

Osobisty numer identyfikacyjny (PIN) to kod dostępu używany do sprawdzania, czy prawidłowy użytkownik uzyskuje dostęp do danych organizacji w aplikacji.

Kiedy użytkownik jest monitowany o wprowadzenie numeru PIN?

Usługa Intune monituje o podanie numeru PIN aplikacji użytkownika, gdy użytkownik ma zamiar uzyskać dostęp do danych "firmowych". W aplikacjach z wieloma tożsamościami, takich jak Word/Excel/PowerPoint, podczas próby otwarcia dokumentu lub pliku "firmowego" użytkownik otrzymuje monit o podanie numeru PIN. W aplikacjach z jedną tożsamością, takich jak aplikacje biznesowe zarządzane przy użyciu App Wrapping Tool usługi Intune, podczas uruchamiania jest wyświetlany monit o podanie numeru PIN, ponieważ zestaw SDK aplikacji usługi Intune wie, że środowisko użytkownika w aplikacji jest zawsze "firmowe".

Jak często użytkownik będzie monitowany o podanie numeru PIN usługi Intune?

Administrator IT może zdefiniować ustawienie zasad ochrony aplikacji usługi Intune "Sprawdź ponownie wymagania dostępu po (minutach)" w centrum administracyjnym Microsoft Intune. To ustawienie określa czas, przez który wymagania dostępu zostaną sprawdzone na urządzeniu, a ekran numeru PIN aplikacji zostanie ponownie wyświetlony. Jednak ważne szczegóły dotyczące numeru PIN, które wpływają na częstotliwość monitowania użytkownika:

  • Numer PIN jest udostępniany aplikacjom tego samego wydawcy w celu zwiększenia użyteczności: W systemie iOS/iPadOS jeden numer PIN aplikacji jest udostępniany we wszystkich aplikacjach tego samego wydawcy aplikacji. W systemie Android jeden numer PIN aplikacji jest udostępniany we wszystkich aplikacjach.
  • Zachowanie "Sprawdź ponownie wymagania dostępu po (minutach)" po ponownym uruchomieniu urządzenia: "Czasomierz numeru PIN" śledzi liczbę minut braku aktywności, które określają, kiedy wyświetlić numer PIN aplikacji usługi Intune. W systemie iOS/iPadOS czasomierz numeru PIN nie ma wpływu na ponowne uruchomienie urządzenia. W związku z tym ponowne uruchomienie urządzenia nie ma wpływu na liczbę minut, przez które użytkownik był nieaktywny w aplikacji systemu iOS/iPadOS z zasadami numeru PIN usługi Intune. W systemie Android czasomierz numeru PIN jest resetowany podczas ponownego uruchamiania urządzenia. W związku z tym aplikacje systemu Android z zasadami numeru PIN usługi Intune prawdopodobnie będą monitować o podanie numeru PIN aplikacji niezależnie od wartości ustawienia "Sprawdź ponownie wymagania dostępu po (minutach)" po ponownym uruchomieniu urządzenia.
  • Stopniowy charakter czasomierza skojarzonego z numerem PIN: Po wprowadzeniu numeru PIN w celu uzyskania dostępu do aplikacji (aplikacji A), a aplikacja opuści pierwszy plan (główny fokus wejściowy) na urządzeniu, czasomierz numeru PIN zostanie zresetowany dla tego numeru PIN. Każda aplikacja (aplikacja B), która udostępnia ten numer PIN, nie będzie monitować użytkownika o wprowadzenie numeru PIN, ponieważ czasomierz został zresetowany. Monit pojawi się ponownie po ponownym spełnieniu wartości "Sprawdź ponownie wymagania dostępu po (minutach)".

W przypadku urządzeń z systemem iOS/iPadOS, nawet jeśli numer PIN jest współużytkowany między aplikacjami od różnych wydawców, monit zostanie wyświetlony ponownie, gdy ponownie zostanie spełniona wartość Sprawdź ponownie wymagania dostępu po (minutach) dla aplikacji, która nie jest głównym celem wejściowym. Na przykład użytkownik ma aplikację A od wydawcy X i aplikację B od wydawcy Y, a te dwie aplikacje mają ten sam numer PIN. Użytkownik koncentruje się na aplikacji A (na pierwszym planie), a aplikacja B jest zminimalizowana. Po spełnieniu wartości Recheck the access requirements after (minutes) (Ponowne sprawdzanie wymagań dostępu po (minutach) i przełączeniu użytkownika do aplikacji B będzie wymagany numer PIN.

Uwaga

Aby częściej weryfikować wymagania dotyczące dostępu użytkownika (tj. monit o podanie numeru PIN), szczególnie w przypadku często używanej aplikacji, zaleca się zmniejszenie wartości ustawienia "Sprawdź ponownie wymagania dostępu po (minutach)".

Jak kod PIN usługi Intune działa z wbudowanymi numerami PIN aplikacji dla programu Outlook i usługi OneDrive?

Numer PIN usługi Intune działa na podstawie czasomierza opartego na braku aktywności (wartość "Sprawdź ponownie wymagania dostępu po (minutach)"). W związku z tym monity o podanie numeru PIN usługi Intune są wyświetlane niezależnie od wbudowanych monitów o podanie numeru PIN aplikacji dla programu Outlook i usługi OneDrive, które często są domyślnie powiązane z uruchamianiem aplikacji. Jeśli użytkownik otrzyma jednocześnie oba monity o podanie numeru PIN, oczekiwanym zachowaniem powinno być to, że numer PIN usługi Intune ma pierwszeństwo.

Czy numer PIN jest bezpieczny?

Numer PIN umożliwia tylko prawidłowemu użytkownikowi dostęp do danych organizacji w aplikacji. W związku z tym użytkownik końcowy musi zalogować się przy użyciu konta służbowego, zanim będzie mógł ustawić lub zresetować numer PIN aplikacji usługi Intune. To uwierzytelnianie jest obsługiwane przez Tożsamość Microsoft Entra za pośrednictwem bezpiecznej wymiany tokenów i nie jest niewidoczne dla zestawu SDK aplikacji usługi Intune. Z punktu widzenia bezpieczeństwa najlepszym sposobem ochrony danych służbowych jest ich szyfrowanie. Szyfrowanie nie jest powiązane z numerem PIN aplikacji, ale jest jego własnymi zasadami ochrony aplikacji.

Jak usługa Intune chroni numer PIN przed atakami siłowymi?

W ramach zasad numeru PIN aplikacji administrator IT może ustawić maksymalną liczbę prób uwierzytelnienia numeru PIN przez użytkownika przed zablokowaniem aplikacji. Po wykonaniu liczby prób zestaw SDK aplikacji usługi Intune może wyczyścić dane "firmowe" w aplikacji.

Dlaczego muszę dwukrotnie ustawić numer PIN w aplikacjach od tego samego wydawcy?

Funkcja MAM (w systemie iOS/iPadOS) umożliwia obecnie numer PIN na poziomie aplikacji z znakami alfanumerycznymi i specjalnymi (nazywanymi "kodem dostępu"), który wymaga udziału aplikacji (np. WXP, Outlook, Managed Browser, Yammer) w celu zintegrowania zestawu SDK aplikacji usługi Intune dla systemu iOS/iPadOS. Bez tego ustawienia kodu dostępu nie są prawidłowo wymuszane dla aplikacji docelowych. Była to funkcja wydana w zestawie SDK usługi Intune dla systemu iOS/iPadOS w wersji 7.1.12.

W celu obsługi tej funkcji i zapewnienia zgodności z poprzednimi wersjami zestawu SDK usługi Intune dla systemu iOS/iPadOS wszystkie numeryczne (numeryczne lub kod dostępu) w wersji 7.1.12 lub nowszej są obsługiwane niezależnie od numeru PIN w poprzednich wersjach zestawu SDK. Dlatego jeśli urządzenie ma aplikacje z zestawem Intune SDK dla systemu iOS/iPadOS w wersji przed 7.1.12 i po wersji 7.1.12 od tego samego wydawcy, będą musieli skonfigurować dwa numery PIN.

Mimo to dwa numery PIN (dla każdej aplikacji) nie są w żaden sposób powiązane, tj. muszą przestrzegać zasad ochrony aplikacji stosowanych do aplikacji. W związku z tym tylko wtedy, gdy aplikacje A i B mają te same zasady stosowane (w odniesieniu do numeru PIN), użytkownik może dwukrotnie skonfigurować ten sam numer PIN.

To zachowanie jest specyficzne dla numeru PIN w aplikacjach systemu iOS/iPadOS, które są włączone w usłudze Intune Mobile App Management. Z biegiem czasu, gdy aplikacje przyjmują nowsze wersje zestawu SDK usługi Intune dla systemu iOS/iPadOS, konieczność dwukrotnego ustawienia numeru PIN w aplikacjach tego samego wydawcy staje się mniejszym problemem. Zobacz poniższą notatkę, aby uzyskać przykład.

Uwaga

Jeśli na przykład aplikacja A jest kompilowana z wersją wcześniejszą niż 7.1.12, a aplikacja B jest kompilowana z wersją większą lub równą 7.1.12 od tego samego wydawcy, użytkownik końcowy będzie musiał skonfigurować numery PIN oddzielnie dla usług A i B, jeśli oba są zainstalowane na urządzeniu z systemem iOS/iPadOS.

Jeśli na urządzeniu jest zainstalowana aplikacja C z zestawem SDK w wersji 7.1.9, będzie ona udostępniać ten sam numer PIN co aplikacja A.

Aplikacja D utworzona przy użyciu wersji 7.1.14 będzie udostępniać ten sam numer PIN co aplikacja B.

Jeśli na urządzeniu są zainstalowane tylko aplikacje A i C, należy ustawić jeden numer PIN. To samo dotyczy, jeśli na urządzeniu są zainstalowane tylko aplikacje B i D.

A co z szyfrowaniem?

Administratorzy IT mogą wdrożyć zasady ochrony aplikacji, które wymagają szyfrowania danych aplikacji. W ramach zasad administrator IT może również określić, kiedy zawartość jest szyfrowana.

Jak usługa Intune szyfruje dane?

Zobacz ustawienia zasad ochrony aplikacji systemu Android i ustawienia zasad ochrony aplikacji systemu iOS/iPadOS , aby uzyskać szczegółowe informacje na temat ustawienia zasad ochrony aplikacji szyfrowania.

Co jest szyfrowane?

Tylko dane oznaczone jako "firmowe" są szyfrowane zgodnie z zasadami ochrony aplikacji administratora IT. Dane są uznawane za "firmowe", gdy pochodzą z lokalizacji biznesowej. W przypadku aplikacji pakietu Office usługa Intune traktuje następujące lokalizacje biznesowe: pocztę e-mail (Exchange) lub magazyn w chmurze (aplikacja OneDrive z kontem OneDrive dla Firm). W przypadku aplikacji biznesowych zarządzanych przez App Wrapping Tool usługi Intune wszystkie dane aplikacji są uważane za "firmowe".

Jak usługa Intune zdalnie czyści dane?

Usługa Intune może czyścić dane aplikacji na trzy różne sposoby: pełne czyszczenie urządzenia, selektywne czyszczenie na potrzeby zarządzania urządzeniami przenośnymi i selektywne czyszczenie funkcji MAM. Aby uzyskać więcej informacji na temat zdalnego czyszczenia na potrzeby zarządzania urządzeniami przenośnymi, zobacz Usuwanie urządzeń przy użyciu czyszczenia lub wycofywania. Aby uzyskać więcej informacji na temat selektywnego czyszczenia przy użyciu funkcji ZARZĄDZANIA aplikacjami mobilnymi, zobacz Akcja Wycofaj i Jak wyczyścić tylko dane firmowe z aplikacji.

Co to jest czyszczenie?

Wyczyść usuwa wszystkie dane użytkownika i ustawienia z urządzenia , przywracając urządzenie do ustawień domyślnych fabrycznych. Urządzenie zostanie usunięte z usługi Intune.

Uwaga

Czyszczenie można przeprowadzić tylko na urządzeniach zarejestrowanych w usłudze Intune do zarządzania urządzeniami przenośnymi (MDM).

Co to jest selektywne czyszczenie na potrzeby zarządzania urządzeniami przenośnymi?

Zobacz Usuwanie urządzeń — wycofywanie, aby przeczytać o usuwaniu danych firmowych.

Co to jest selektywne czyszczenie danych na potrzeby zarządzania aplikacjami mobilnymi?

Selektywne czyszczenie na potrzeby zarządzania aplikacjami mobilnymi po prostu usuwa dane aplikacji firmowych z aplikacji. Żądanie jest inicjowane przy użyciu centrum administracyjnego Microsoft Intune. Aby dowiedzieć się, jak zainicjować żądanie czyszczenia, zobacz Jak wyczyścić tylko dane firmowe z aplikacji.

Jak szybko odbywa się selektywne czyszczenie pod kątem zarządzania aplikacjami mobilnymi?

Jeśli użytkownik korzysta z aplikacji podczas inicjowania selektywnego czyszczenia, zestaw SDK aplikacji usługi Intune sprawdza co 30 minut selektywne żądanie czyszczenia z usługi Zarządzania aplikacjami mobilnymi usługi Intune. Sprawdza również selektywne czyszczenie, gdy użytkownik uruchamia aplikację po raz pierwszy i loguje się przy użyciu konta służbowego.

Dlaczego usługi lokalne (lokalne) nie działają z aplikacjami chronionymi przez usługę Intune?

Ochrona aplikacji w usłudze Intune zależy od tego, czy tożsamość użytkownika jest spójna między aplikacją a zestawem SDK aplikacji usługi Intune. Jedynym sposobem zagwarantowania tego jest nowoczesne uwierzytelnianie. Istnieją scenariusze, w których aplikacje mogą współdziałać z konfiguracją lokalną, ale nie są one ani spójne, ani gwarantowane.

Tak! Administrator IT może wdrożyć i ustawić zasady ochrony aplikacji dla aplikacji Microsoft Edge. Administrator IT może wymagać otwarcia wszystkich linków internetowych w aplikacjach zarządzanych przez usługę Intune przy użyciu aplikacji Microsoft Edge.

Środowisko aplikacji w systemie Android

Dlaczego aplikacja Portal firmy jest potrzebna do działania ochrony aplikacji usługi Intune na urządzeniach z systemem Android?

ochrona aplikacji Portal firmy i usługi Intune

Jak wiele ustawień dostępu ochrony aplikacji usługi Intune skonfigurowanych dla tego samego zestawu aplikacji i użytkowników działa w systemie Android?

Zasady ochrony aplikacji usługi Intune dotyczące dostępu będą stosowane w określonej kolejności na urządzeniach użytkowników końcowych podczas próby uzyskania dostępu do aplikacji docelowej z poziomu konta firmowego. Ogólnie rzecz biorąc, pierwszeństwo ma blok, a następnie ostrzeżenie, które można odrzucić. Jeśli na przykład dotyczy konkretnego użytkownika/aplikacji, po ustawieniu minimalnej wersji poprawki systemu Android, które blokuje dostęp użytkownika do uaktualnienia poprawki, zostanie zastosowane ustawienie minimalnej wersji poprawki systemu Android, które blokuje dostęp użytkownika. Tak więc w scenariuszu, w którym administrator IT konfiguruje minimalną wersję poprawki systemu Android do wersji 2018-03-01 i minimalną wersję poprawki systemu Android (tylko ostrzeżenie) do wersji 2018-02-01, podczas gdy urządzenie próbujące uzyskać dostęp do aplikacji było w wersji poprawki 2018-01-01, użytkownik końcowy zostanie zablokowany na podstawie bardziej restrykcyjnego ustawienia minimalnej wersji poprawki systemu Android, która powoduje zablokowanie dostępu.

W przypadku obsługi różnych typów ustawień pierwszeństwo ma wymaganie dotyczące wersji aplikacji, a następnie wymaganie dotyczące wersji systemu operacyjnego Android i wymagania dotyczące wersji poprawki systemu Android. Następnie są sprawdzane wszelkie ostrzeżenia dla wszystkich typów ustawień w tej samej kolejności.

Zasady ochrony aplikacji usługi Intune umożliwiają administratorom wymaganie od użytkowników końcowych przekazania kontroli integralności urządzeń z systemem Android w sklepie Google Play. Jak często do usługi jest wysyłany nowy wynik sprawdzania integralności urządzenia w sklepie Google Play?

Usługa Intune skontaktuje się z sklepem Google Play w niekonfigurowalnym interwale określonym na podstawie obciążenia usługi. Każda akcja skonfigurowana przez administratora IT dla ustawienia sprawdzania integralności urządzenia w sklepie Google Play zostanie podjęta na podstawie ostatniego zgłoszonego wyniku dla usługi Intune w momencie uruchomienia warunkowego. Jeśli wynik integralności urządzenia firmy Google jest zgodny, nie są podejmowane żadne działania. Jeśli wynik integralności urządzenia firmy Google jest niezgodny, skonfigurowana przez administratora IT akcja zostanie podjęta natychmiast. Jeśli żądanie sprawdzenia integralności urządzenia w sklepie Google Play nie powiedzie się z jakiegoś powodu, buforowany wynik z poprzedniego żądania będzie używany przez maksymalnie 24 godziny lub następne ponowne uruchomienie urządzenia, które kiedykolwiek nastąpi jako pierwsze. W tym czasie zasady ochrony aplikacji usługi Intune będą blokować dostęp do momentu uzyskania bieżącego wyniku.

Zasady ochrony aplikacji usługi Intune umożliwiają administratorom wymaganie od urządzeń użytkowników końcowych wysyłania sygnałów za pośrednictwem interfejsu API weryfikacji aplikacji firmy Google dla urządzeń z systemem Android. Jak użytkownik końcowy może włączyć skanowanie aplikacji, aby nie zablokować dostępu z tego powodu?

Instrukcje dotyczące tego, jak to zrobić, różnią się nieznacznie w zależności od urządzenia. Ogólny proces obejmuje przejście do Sklepu Google Play, a następnie kliknięcie pozycji Moje aplikacje & gry, kliknięcie wyniku ostatniego skanowania aplikacji, które spowoduje przejście do menu Play Protect. Upewnij się, że przełącznik skanuj urządzenie pod kątem zagrożeń bezpieczeństwa jest włączony.

Co faktycznie sprawdza interfejs API integralności Google Play na urządzeniach z systemem Android? Jaka jest różnica między konfigurowalnymi wartościami "Sprawdź integralność podstawową" i "Sprawdź podstawową integralność & certyfikowanych urządzeń"?

Usługa Intune korzysta z interfejsów API integralności sklepu Google Play, aby dodać je do istniejących testów wykrywania root dla niezarejestrowanych urządzeń. Firma Google opracowała i obsługiwała ten zestaw interfejsów API dla aplikacji systemu Android do wdrożenia, jeśli nie chcą, aby ich aplikacje były uruchamiane na urządzeniach z dostępem do konta root. Na przykład aplikacja Android Pay włączyła tę funkcję. Chociaż firma Google nie udostępnia publicznie całości przeprowadzanych kontroli wykrywania rootów, oczekujemy, że te interfejsy API wykryje użytkowników, którzy odblokowali swoje urządzenia. Dostęp do tych użytkowników może zostać zablokowany lub konta firmowe zostaną wyczyszczone z aplikacji z obsługą zasad. Polecenie "Sprawdź podstawową integralność" informuje o ogólnej integralności urządzenia. Urządzenia z odblokowanym dostępem, emulatory, urządzenia wirtualne i urządzenia z oznakami naruszenia nie mają podstawowej integralności. "Sprawdzanie podstawowej integralności & certyfikowanych urządzeń" informuje o zgodności urządzenia z usługami Firmy Google. Tylko niezmodyfikowane urządzenia, które zostały certyfikowane przez firmę Google, mogą przejść tę kontrolę. Urządzenia, które nie powiedzie się, obejmują następujące elementy:

  • Urządzenia, które nie spełniają podstawowej integralności
  • Urządzenia z odblokowanym bootloaderem
  • Urządzenia z niestandardowym obrazem systemowym/ROM
  • Urządzenia, dla których producent nie ubiegał się o certyfikację Google lub nie przeszedł do niej
  • Urządzenia z obrazem systemowym utworzonym bezpośrednio z plików źródłowych programu Open Source programu Android
  • Urządzenia z obrazem systemu w wersji beta/developer (wersja zapoznawcza)

Aby uzyskać szczegółowe informacje techniczne , zobacz dokumentację firmy Google dotyczącą interfejsu API integralności play .

Istnieją dwa podobne kontrole w sekcji Uruchamianie warunkowe podczas tworzenia zasad ochrony aplikacji usługi Intune dla urządzeń z systemem Android. Czy powinienem wymagać ustawienia "Werdykt integralności odtwarzania" lub ustawienia "jailbroken/rooted devices"?

Testy interfejsu API integralności sklepu Google Play wymagają, aby użytkownik końcowy był w trybie online przez cały czas trwania operacji "roundtrip" do określania wyników zaświadczania. Jeśli użytkownik końcowy jest w trybie offline, administrator IT nadal może oczekiwać, że wynik zostanie wymuszony z ustawienia "urządzenia ze zdjętymi zabezpieczeniami systemu/odblokowanym dostępem do konta root". Oznacza to, że jeśli użytkownik końcowy jest zbyt długi w trybie offline, w grę wchodzi wartość "Okres prolongaty offline", a cały dostęp do danych służbowych jest zablokowany po osiągnięciu tej wartości czasomierza, dopóki dostęp do sieci nie będzie dostępny. Włączenie obu ustawień umożliwia warstwowe podejście do utrzymania kondycji urządzeń użytkowników końcowych, co jest ważne, gdy użytkownicy końcowi uzyskują dostęp do danych służbowych na urządzeniach przenośnych.

Ustawienia zasad ochrony aplikacji korzystające z interfejsów API usługi Google Play Protect wymagają działania usług Google Play. Co zrobić, jeśli usługi Google Play nie są dozwolone w lokalizacji, w której może znajdować się użytkownik końcowy?

Zarówno ustawienia "Werdykt integralności odtwarzania", jak i "Skanowanie zagrożeń w aplikacjach" wymagają, aby określona przez Google wersja usług Google Play działała poprawnie. Ponieważ są to ustawienia, które należą do obszaru zabezpieczeń, użytkownik końcowy zostanie zablokowany, jeśli zostały one objęte tymi ustawieniami i nie spełniają odpowiedniej wersji usług Google Play lub nie mają dostępu do usług Google Play.

Środowisko aplikacji w systemie iOS

Co się stanie, jeśli dodasz lub usuniesz odcisk palca lub twarz do urządzenia?

Zasady ochrony aplikacji usługi Intune umożliwiają kontrolę nad dostępem aplikacji tylko do licencjonowanego użytkownika usługi Intune. Jednym ze sposobów kontrolowania dostępu do aplikacji jest wymaganie identyfikatora Touch ID lub face ID firmy Apple na obsługiwanych urządzeniach. Usługa Intune implementuje zachowanie polegające na tym, że w przypadku zmiany biometrycznej bazy danych urządzenia usługa Intune monituje użytkownika o podanie numeru PIN po osiągnięciu kolejnej wartości limitu czasu braku aktywności. Zmiany danych biometrycznych obejmują dodawanie lub usuwanie odcisku palca lub twarzy. Jeśli użytkownik usługi Intune nie ma ustawionego numeru PIN, zostanie skonfigurowany numer PIN usługi Intune.

Celem tego jest dalsze utrzymywanie bezpieczeństwa i ochrony danych organizacji w aplikacji na poziomie aplikacji. Ta funkcja jest dostępna tylko dla systemu iOS/iPadOS i wymaga udziału aplikacji integrujących zestaw SDK aplikacji usługi Intune dla systemu iOS/iPadOS w wersji 9.0.1 lub nowszej. Integracja zestawu SDK jest niezbędna, aby można było wymusić zachowanie w aplikacjach docelowych. Ta integracja odbywa się stopniowo i zależy od konkretnych zespołów aplikacji. Niektóre aplikacje, które uczestniczą, to WXP, Outlook, Managed Browser i Yammer.

Mogę użyć rozszerzenia udostępniania systemu iOS do otwierania danych służbowych w aplikacjach niezarządzanych, nawet gdy zasady transferu danych są ustawione na "tylko aplikacje zarządzane" lub "brak aplikacji". Czy te dane nie wyciekają?

Zasady ochrony aplikacji usługi Intune nie mogą kontrolować rozszerzenia udostępniania systemu iOS bez zarządzania urządzeniem. W związku z tym usługa Intune szyfruje dane "firmowe" przed udostępnieniem ich poza aplikacją. Można to sprawdzić, próbując otworzyć plik "firmowy" poza aplikacją zarządzanej. Plik powinien być zaszyfrowany i nie można go otworzyć poza aplikacją zarządzaną.

Jak wiele ustawień dostępu ochrony aplikacji usługi Intune skonfigurowanych dla tego samego zestawu aplikacji i użytkowników działa w systemie iOS?

Zasady ochrony aplikacji usługi Intune dotyczące dostępu będą stosowane w określonej kolejności na urządzeniach użytkowników końcowych podczas próby uzyskania dostępu do aplikacji docelowej z poziomu konta firmowego. Ogólnie rzecz biorąc, czyszczenie miałoby pierwszeństwo, a następnie blok, a następnie ostrzeżenie, które można odrzucić. Jeśli na przykład dotyczy konkretnego użytkownika/aplikacji, minimalne ustawienie systemu operacyjnego iOS/iPadOS, które ostrzega użytkownika o aktualizacji wersji systemu iOS/iPadOS, zostanie zastosowane po minimalnym ustawieniu systemu operacyjnego iOS/iPadOS, które blokuje dostęp użytkownika. Dlatego w scenariuszu, w którym administrator IT konfiguruje minimalny system operacyjny iOS/iPadOS na 11.0.0.0 i minimalny system operacyjny iOS/iPadOS (tylko ostrzeżenie) do wersji 11.1.0.0, Podczas gdy urządzenie próbujące uzyskać dostęp do aplikacji znajdowało się w systemie iOS/iPadOS 10, użytkownik końcowy zostałby zablokowany na podstawie bardziej restrykcyjnego ustawienia minimalnej wersji systemu operacyjnego iOS/iPadOS, które powoduje zablokowanie dostępu.

W przypadku obsługi różnych typów ustawień pierwszeństwo ma wymaganie dotyczące wersji zestawu SDK aplikacji usługi Intune, a następnie wymaganie dotyczące wersji aplikacji, a następnie wymaganie dotyczące wersji systemu operacyjnego iOS/iPadOS. Następnie są sprawdzane wszelkie ostrzeżenia dla wszystkich typów ustawień w tej samej kolejności. Zalecamy skonfigurowanie wymagania dotyczącego wersji zestawu SDK aplikacji usługi Intune tylko na podstawie wskazówek zespołu produktu usługi Intune dotyczących podstawowych scenariuszy blokowania.

Zobacz też