Параметры политик для защиты приложений в iOS

В этой статье описываются параметры политики защиты приложений на устройствах iOS/iPadOS. Эти параметры можно настроить при создании новой политики в области Параметры на портале.

Существует три категории параметров политики: перемещение данных, требования доступа и условный запуск. В этой статье термин управляемые политикой приложения означает приложения, которые настроены с помощью политик защиты приложений.

Важно!

Intune Managed Browser больше не поддерживается. Используйте Microsoft Edge для взаимодействия с защищенным браузером в Intune.

Защита данных

Передача данных

Setting Применение Значение по умолчанию
Резервное копирование данных организации в iTunes и iCloud Выберите Блокировать, чтобы запретить этому приложению выполнять резервное копирование рабочих или учебных данных в iTunes и iCloud. Выберите Разрешить, чтобы разрешить этому приложению выполнять резервное копирование рабочих или учебных данных в iTunes и iCloud. Allow
Отправлять данные организации в другие приложения Укажите, какие приложения могут получать данные от этого приложения:
  • Все приложения: разрешить передачу в любое приложение. Принимающее приложение будет иметь возможность читать и изменять данные.
  • Нет: запретить передачу данных в любое приложение, включая другие приложения, управляемые политикой. Если пользователь выполняет управляемую функцию "Открыть в" и передает документ, то данные будут зашифрованы и нечитаемы.
  • Приложения, управляемые политикой: разрешить передачу только в другие приложения, управляемые политикой.

    Примечание: Пользователи могут передавать содержимое через расширения "Открыть в" или "Общий доступ" незарегистрированным приложениям на незарегистрированных или зарегистрированных устройствах, которые разрешают общий доступ к неуправляемым приложениям. Переданные данные шифруются Intune и нечитаемы неуправляемыми приложениями.

  • Приложения, управляемые политикой, с общим доступом к ОС: разрешить передачу данных только в другие приложения, управляемые политикой, а также передачу файлов в другие приложения, управляемые MDM, на зарегистрированных устройствах.

    Примечание. Значение Приложения, управляемые политикой, с общим доступом к ОС применимо только к устройствам, зарегистрированным в MDM. Если этот параметр предназначен для пользователя на незарегистрированном устройстве, применяется поведение значения Приложения, управляемые политикой. Пользователи смогут передавать незашифрованный контент через расширения "Открыть в" или "Поделиться" в любое приложение, разрешенное параметром allowOpenFromManagedtoUnmanaged iOS MDM, при условии, что в отправляющем приложении настроен IntuneMAMUPN и IntuneMAMOID. Дополнительные сведения см. в разделе Как управлять передачей данных между приложениями iOS в Microsoft Intune. См. https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf для получения дополнительных сведений об этом параметре MDM для iOS и iPadOS.

  • Приложения, управляемые политикой, с фильтром "Открыть в/Общий доступ": разрешить передачу данных только в другие приложения, управляемые политикой, и фильтровать диалоговые окна "Открыть в/Общий доступ" для отображения только приложений, управляемых политикой. Чтобы настроить фильтрацию в диалоговом окне Открыть в/Общий доступ, требуется, чтобы оба приложения, выступающие в качестве источника и приемника файла или документа, использовали пакет SDK Intune для iOS версии 8.1.1 или более поздней.

    Примечание. Пользователи могут передавать содержимое через расширения "Открыть в" или "Поделиться" неуправляемым приложениям, если приложение поддерживает частный тип данных Intune. Переданные данные шифруются Intune и нечитаемы неуправляемыми приложениями.


Кроме того, если задано значение Приложения, управляемые политикой или Нет, функция поиска Spotlight (для поиска данных в приложениях) и быстрые команды Siri в iOS блокируются.

Эту политику также можно применять к универсальным ссылкам iOS/iPadOS. Общие веб-ссылки управляются параметром политики Открывать ссылки из приложений в Intune Managed Browser.

Среди приложений и служб существует несколько исключений, в которых Intune может разрешить передачу данных по умолчанию. Кроме того, вы можете создавать собственные исключения, если хотите разрешить передачу данных в приложение, не поддерживающее Intune. Дополнительные сведения см. в статье Исключения передачи данных.

Все приложения
    Выбрать исключаемые приложения
Этот параметр доступен, если для предыдущего параметра выбрано значение Приложения, управляемые политикой.
    Выбрать универсальные ссылки для исключения
Укажите, какие универсальные ссылки iOS/iPadOS должны открываться в указанном неуправляемом приложении, а не в защищенном браузере, указанном в параметре Ограничить обмен веб-содержимым с другими приложениями. Необходимо связаться с разработчиком приложений, чтобы определить правильный универсальный формат ссылок для каждого приложения.
    Выбрать управляемые универсальные ссылки
Укажите, какие универсальные ссылки iOS/iPadOS должны открываться в указанном управляемом приложении, а не в защищенном браузере, указанном в параметре Ограничить обмен веб-содержимым с другими приложениями. Необходимо связаться с разработчиком приложений, чтобы определить правильный универсальный формат ссылок для каждого приложения.
    Сохранять копии данных организации
Выберите Блокировать, чтобы отключить возможность выбора команды "Сохранить как" в этом приложении. Выберите Разрешить, если хотите разрешить использование команды Сохранить как. Если выбрано значение Блокировать, можно настроить параметр Разрешить пользователю сохранять копии в выбранных службах.

Примечание.
  • Этот параметр поддерживается для Microsoft Excel, OneNote, Outlook, PowerPoint и Word. Он также может поддерживаться сторонними приложениями и бизнес-приложениями.
  • Этот параметр можно настроить, только если для параметра Отправлять данные организации в другие приложения задано значение Приложения, управляемые политикой, Приложения, управляемые политикой, с общим доступом к ОС или Приложения, управляемые политикой, с фильтрацией "Открыть в"/"Поделиться".
  • Этот параметр будет иметь значение "Разрешить", если для параметра Отправлять данные организации в другие приложения установлено значение Все приложения.
  • Этот параметр будет иметь значение "Заблокировать" без допустимых расположений служб, если для параметра Отправлять данные организации в другие приложения установлено значение Нет.
Allow
      Разрешить пользователю сохранять копии в выбранных службах
Пользователи могут сохранять данные в выбранных службах (OneDrive для бизнеса, SharePoint, библиотека фотографий и локальное хранилище). Все остальные службы блокируются. OneDrive для бизнеса: вы можете сохранять файлы в OneDrive для бизнеса и SharePoint Online. SharePoint: вы можете сохранять файлы в локальной среде SharePoint. Библиотека фотографий: вы можете сохранять файлы в библиотеке фотографий локально. Локальное хранилище: управляемые приложения могут сохранять копии данных организации локально. Это НЕ включает сохранение файлов в локальные неуправляемые расположения, такие как приложение "Файлы" на устройстве. Выбрано: 0
    Transfer telecommunication data to (Перенос телекоммуникационных данных в)
Как правило, когда пользователь выбирает гиперссылку с номером телефона в приложении, открывается набиратель номера с предварительно заполненным номером, готовый к вызову. С помощью этого параметра можно указать способ обработки такой передачи содержимого, когда она запускается из управляемого политикой приложения.
  • Нет, не переносить эти данные между приложениями. Не переносить данные связи при обнаружении номера телефона.
  • Определенное приложение для набора номера. Разрешить определенному приложению для набора номера инициировать контакт при обнаружении номера телефона.
  • Любое приложение для набора номера. Разрешить использование любого приложения для набора номера для установления контакта при обнаружении номера телефона.

Примечание. Для этого параметра требуется пакет SDK для Intune 12.7.0 или более поздней версии. Если приложения полагаются на функции телефона и не используют правильную версию пакета SDK для Intune в качестве временного решения, рассмотрите возможность добавления "tel;telprompt" в качестве исключения для передачи данных. Как только приложения будут поддерживать правильную версию пакета SDK для Intune, исключение можно будет удалить.

Любое приложение для набора номера
      Схема URL-адресов приложения для набора номера
Когда выбрано конкретное приложение для набора номера, необходимо указать схему его URL-адреса, которая используется для запуска приложения для набора номера на устройствах iOS. Дополнительные сведения см. в документации Apple о телефонных ссылках. Blank
Получать данные из других приложений Укажите, какие приложения могут передавать данные в это приложение:
  • Все приложения: разрешить передачу данных из любого приложения.
  • Нет: запретить передачу данных из любого приложения, включая другие приложения, управляемые политикой.
  • Приложения, управляемые политикой: разрешить передачу только из других приложений, управляемых политикой.
  • Все приложения с входящими данными организации: разрешить передачу данных из любого приложения. Считайте все входящие данные без удостоверения пользователя данными из вашей организации. Данные будут помечены удостоверением пользователя, зарегистрированным в MDM, в соответствии с параметром IntuneMAMUPN.

    Примечание. Значение Все приложения с входящими данными организации применимо только к устройствам, зарегистрированным в MDM. Если этот параметр предназначен для пользователя на незарегистрированном устройстве, применяется поведение значения Любые приложения.

Если для этого параметра задано значение Нет или Приложения, управляемые политикой, приложения с поддержкой множественной идентификации MAM будут пытаться переключиться на неуправляемую учетную запись при получении неуправляемых данных. Если для приложения нет неуправляемой учетной записи или ему не удается переключиться, входящие данные будут заблокированы.

Все приложения
    Открывать данные в документах организации
Выберите Блокировать, чтобы отключить использование параметра Открыть или других параметров для обмена данными между учетными записями в этом приложении. Выберите Разрешить, если хотите разрешить использование параметра Открыть.

При выборе значения Блокировать можно настроить параметр Разрешить пользователю открывать данные из выбранных служб, указав службы, которым разрешен доступ к расположениям данных организации.

Примечание.
  • Этот параметр можно настроить, только если для параметра Получать данные из других приложений установлено значение Приложения, управляемые политикой.
  • Этот параметр будет иметь значение "Разрешить", если параметр Получать данные из других приложений имеет значение Все приложения или Все приложения с входящими корпоративными данными.
  • Этот параметр будет иметь значение "Заблокировать" без допустимых расположений служб, если для параметра Получать данные из других приложений установлено значение Нет.
  • Этот параметр поддерживают следующие приложения.
    • OneDrive 11.45.3 или более поздней версии.
    • Outlook для iOS 4.60.0 или более поздней версии.
    • Teams для iOS 3.17.0 или более поздней версии.
Allow
      Разрешить пользователям открывать данные из выбранных служб
Выберите службы хранилища приложений, из которых пользователи могут открывать данные. Все остальные службы блокируются. Если вы не выберете службы, пользователи не смогут открывать данные во внешних расположениях.

Поддерживаемые службы:
  • OneDrive для бизнеса
  • SharePoint Online
  • Камера
  • Библиотека фотографий
Примечание. Камера не предусматривает доступ к приложениям "Фотографии" или "Фотоальбом". Выбрав Библиотеку фотографий в параметре Разрешить пользователям открывать данные из выбранных служб в Intune, вы можете разрешить управляемым учетным записям входящие данные из библиотеки фотографий устройства в управляемые приложения.
Все выбранные
Ограничить вырезание, копирование и вставку данных между приложениями Укажите, когда можно использовать операции вырезания, копирования и вставки для этого приложения. Выберите один из следующий вариантов.
  • Заблокировано: операции вырезания, копирования и вставки данных между этим и любым другим приложениями запрещены.
  • Приложения, управляемые политикой: операции вырезания, копирования и вставки разрешены только между этим и другими приложениями, управляемыми политикой.
  • Приложения, управляемые политикой, с добавлением из буфера: разрешить операции вырезания и копирования между этим и другими приложениями, управляемыми политикой. Разрешить вставку данных из любого приложения в это приложение.
  • Любое приложение: не ограничивать операции вырезания, копирования и вставки данных в это приложение и из него.
Любое приложение
    Ограничение на количество символов для копирования и вставки в любом приложении
Укажите количество символов для копирования и вырезания из данных и учетных записей организации. Указанное количество символов будет общим для любого приложения независимо от параметра Ограничить операции "вырезать", "копировать" и "вставить" с другими приложениями.

Значение по умолчанию — 0

Примечание. Приложение должно иметь пакет SDK для Intune версии 9.0.14 или более поздней.

0
Сторонние клавиатуры Выберите Блокировать, чтобы предотвратить использование сторонних клавиатур в управляемых приложениях.

Если этот параметр включен, пользователь получает один раз сообщение о том, что использование сторонних клавиатур заблокировано. Это сообщение появляется в первый раз, когда пользователь взаимодействует с данными организации, которые требуют использования клавиатуры. При использовании управляемых приложений доступна только стандартная клавиатура iOS/iPadOS, а все остальные клавиатуры отключаются. Этот параметр повлияет на корпоративные и личные учетные записи приложений с несколькими удостоверениями. Этот параметр не влияет на использование сторонних клавиатур в неуправляемых приложениях.

Примечание. Для этой функции требуется, чтобы приложение использовало пакет SDK Intune версии 12.0.16 или более поздней версии. Если используются версии пакета SDK от 8.0.14 до 12.0.15 (включительно), эта функция не будет правильно применяться для приложений с несколькими удостоверениями. Дополнительные сведения см. в статье Известная проблема: клавиатуры сторонних производителей не блокируются в iOS/iPadOS для личных учетных записей.

Allow

Примечание

Для управляемых устройств требуется политика защиты приложений с IntuneMAMUPN. Это относится и к любому параметру, для которого также требуются зарегистрированные устройства.

Шифрование

Setting Применение Значение по умолчанию
Шифрование данных организации Выберите "Требуется", чтобы включить шифрование рабочих или учебных данных в этом приложении. Intune осуществляет шифрование на уровне устройства iOS/iPadOS, чтобы обеспечить защиту данных приложений во время блокировки устройств. Кроме того, при необходимости приложения могут шифровать свои данные с помощью шифрования пакета SDK Intune APP. Пакет SDK для приложений Intune использует методы шифрования iOS/iPadOS для применения 256-разрядного шифрования AES к данным приложения.

Если этот параметр включен, пользователю может потребоваться настроить ПИН-код устройства и использовать его для доступа к устройству. Если ПИН-код отсутствует и требуется шифрование, после вывода сообщения "Ваша организация требует, чтобы вы сначала настроили ПИН-код для доступа к этому приложению" пользователю будет предложено задать ПИН-код.

Сведения о том, какие модули шифрования iOS/iPadOS соответствуют стандарту FIPS 140-2, см. в официальной документации Apple.
Обязательность

функциональность.

Setting Применение Значение по умолчанию
Синхронизация данных в собственных и управляемых политикой приложениях или надстройках Выберите "Блокировать", чтобы запретить приложениям, управляемым политикой, сохранять данные в собственных приложениях устройства (контакты, календарь и мини-приложения) и запретить использование надстроек в приложениях, управляемых политикой. Приложения могут предоставлять дополнительные элементы управления для настройки поведения синхронизации данных для конкретных собственных приложений или не учитывать этот элемент управления.

Если выбран параметр "Разрешить", управляемое политикой приложение может сохранять данные в собственных приложениях или использовать надстройки, если эти функции поддерживаются и включены в управляемом политикой приложении.

При выборочной очистке в целях удаления рабочих или учебных данных из приложения контактные данные, синхронизированные напрямую из приложения со встроенным приложением "Контакты", удаляются. Контактные данные, синхронизированные из собственного приложения "Контакты" в другой внешний источник, нельзя очистить. В настоящее время это относится только к приложению Outlook для iOS. Дополнительные сведения см. в статье Развертывание параметров конфигурации приложения Outlook для iOS и Android.

Примечание. Эта функция поддерживается в следующих приложениях:
  • Outlook для iOS
Allow
Печать данных организации Выберите Блокировать, чтобы запретить приложению распечатывать рабочие или учебные данные. Если для этого параметра оставить заданное по умолчанию значение Разрешить, пользователи смогут экспортировать и печатать все данные организации. Allow
Ограничить обмен веб-содержимым с другими приложениями Укажите способ открытия веб-содержимого (ссылок http/https) из приложений, управляемых политиками. Варианты:
  • Любое приложение: разрешить веб-ссылки в любом приложении.
  • Intune Managed Browser: разрешить открывать веб-содержимое только в Intune Managed Browser. Этот браузер является браузером, управляемым политикой.
  • Microsoft Edge: разрешить открывать веб-содержимое только в Microsoft Edge. Этот браузер является браузером, управляемым политикой.
  • Неуправляемый браузер. Разрешите открывать веб-содержимое только в неуправляемом браузере, указанном с помощью параметра Протокол неуправляемого браузера. Веб-содержимое в целевом браузере будет неуправляемым.
    Приложение. Приложение должно иметь пакет SDK для Intune версии 11.0.9 или более поздней.
Если вы используете Intune для управления устройствами, см. статью Управление доступом в Интернет с помощью политик управляемого браузера в Microsoft Intune.

Если браузер, управляемый политикой, требуется, но не установлен, конечным пользователям будет предложено установить Microsoft Edge.

Если требуется браузер, управляемый политикой, универсальные ссылки iOS/iPadOS управляются параметром политики Разрешить приложению передавать данные в другие приложения.

Регистрация устройств в Intune
Если вы используете Intune для управления устройствами, см. статью "Управление доступом в Интернет с помощью политик управляемого браузера в Microsoft Intune".

Браузер Microsoft Edge, управляемый политикой
Браузер Microsoft Edge для мобильных устройств (iOS/iPadOS и Android) поддерживает политики защиты приложений Intune. Пользователи, которые используют корпоративные учетные записи Azure AD для входа в браузер Microsoft Edge, будут защищены Intune. Браузер Microsoft Edge интегрируется с пакетом SDK для Intune и поддерживает все его политики защиты данных, кроме следующих.

  • Сохранить как. Браузер Microsoft Edge не позволяет пользователю добавлять прямые подключения в приложении к поставщикам услуг облачного хранения (таким как OneDrive).
  • Синхронизация контактов. Браузер Microsoft Edge не позволяет сохранять данные в собственных списках контактов.

Примечание. Пакет SDK для Intune не может определить, является ли целевое приложение браузером. На устройствах iOS и iPadOS использование других управляемых приложений браузера запрещено.
Не настроено
    Протокол неуправляемого браузера
Введите протокол для одного неуправляемого браузера. Веб-содержимое (по ссылкам http или https) из управляемых политиками приложений будет открываться в любой приложении, которое поддерживает этот протокол. Веб-содержимое в целевом браузере будет неуправляемым.

Эту функцию следует использовать, только если вы хотите делиться защищенным содержимым в определенном браузере, в котором нельзя использовать политики защиты приложений Intune. Свяжитесь с поставщиком браузера, чтобы определить протокол, поддерживаемый необходимым браузером.

Примечание. Включите только префикс протокола. Если браузеру требуются ссылки в форме mybrowser://www.microsoft.com, введите mybrowser.
Ссылки будут переведены следующим образом:
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
Blank
Уведомления о данных организации Укажите способ передачи корпоративных данных через уведомления ОС для учетных записей организации. Этот параметр политики влияет на локальное устройство и все подключенные устройства, такие как переносные устройства и умные колонки. Приложения могут иметь дополнительные элементы управления для настройки поведения уведомлений или могут не учитывать все значения. Выберите один из следующий вариантов.
  • Заблокировано: не выводить уведомления.
    • Если приложение это не поддерживает, уведомления разрешаются.
  • Блокировать корпоративные данные: не показывать в уведомлениях корпоративные данные. Например:
    • "У вас новое сообщение"; "У вас скоро встреча".
    • Если приложение это не поддерживает, уведомления разрешаются.
  • Разрешить: показывать в уведомлениях корпоративные данные.

Примечание. Для этого параметра требуется поддержка приложений:

  • Outlook для iOS 4.34.0 или более поздней версии
  • Teams для iOS 2.0.22 или более поздней версии.
Allow

Примечание

Ни один из параметров защиты данных не управляет функцией открытия в режиме управления Apple на устройствах iOS/iPadOS. Для использования функции "Открыть с помощью" Apple см. раздел Управление передачей данных между приложениями iOS/iPadOS в Microsoft Intune.

Исключения передачи данных

Среди приложений и служб платформ существует несколько исключений, в которых политика защиты приложений Intune может в некоторых случаях разрешить передачу данных. Этот список может измениться. В нем представлены полезные службы и приложения для безопасной работы.

Сторонние неуправляемые приложения можно добавить в список исключений, чтобы разрешить передачу данных. Дополнительные сведения см. в разделе Как создать исключения для политики передачи данных решения "Защита приложений Intune" (APP). Разрешенные неуправляемые приложения должны вызываться по протоколу URL-адреса iOS. Например, если для неуправляемого приложения добавляется исключение для передачи данных, пользователи не смогут выполнять операции вырезания, копирования и вставки, если это ограничено политикой. Этот тип исключения также по-прежнему запрещает пользователям использовать операцию Открыть в в управляемом приложении для обмена и хранения данных в разрешенном исключением приложении, так как для этого используется не протокол URL-адреса iOS. Дополнительные сведения о действии Открыть в см. в разделе Использование защиты приложений для приложений iOS.

Имя (имена) службы или приложения Описание
skype Skype
app-settings Параметры устройства
itms; itmss; itms-apps; itms-appss; itms-services Магазин App Store
calshow Встроенный календарь

Важно!

Политики защиты приложений, созданные до 15 июня 2020 года, включают схему URL-адресов tel и telprompt в рамах исключений при передаче данных по умолчанию. Эти схемы URL-адресов позволяют управляемым приложениям инициировать набиратель номера. Эту функцию заменил параметр политики защиты приложений Перенос телекоммуникационных данных в. Администраторы должны удалить tel;telprompt; из исключений при передаче данных и использовать этот параметр политики защиты приложений, при условии, что управляемые приложения, инициирующие набиратель номера, включают пакет SDK для Intune 12.7.0 или более поздней версии.

Важно!

В пакете SDK Intune 14.5.0 или более поздней версии включение схем URL-адресов sms и mailto в исключениях при переносе данных также разрешает совместное использование данных организации с контроллерами представления MFMessageCompose (для sms) и MFMailCompose (для mailto) в приложениях, управляемых политикой.

Универсальные ссылки позволяют пользователю напрямую запускать приложение, связанное со ссылкой, вместо защищенного браузера, указанного в параметре Ограничить обмен веб-содержимым с другими приложениями. Необходимо связаться с разработчиком приложений, чтобы определить правильный универсальный формат ссылок для каждого приложения.

Добавив универсальные ссылки в неуправляемые приложения, можно запустить указанное приложение. Чтобы добавить приложение, необходимо добавить ссылку в список исключений.

Внимание!

Целевые приложения для этих универсальных ссылок неуправляемы, и добавление исключения может привести к утечке данных.

Исключения для универсальных ссылок для приложений по умолчанию:

Универсальная ссылка приложения Описание
http://maps.apple.com; https://maps.apple.com Приложение "Карты"
http://facetime.apple.com; https://facetime.apple.com Приложение FaceTime

Если вы не хотите разрешать исключения для универсальных ссылок по умолчанию, их можно удалить. Можно также добавить универсальные ссылки для сторонних приложений или бизнес-приложений. Исключения для универсальных ссылок позволяют использовать подстановочные знаки, такие как http://*.sharepoint-df.com/*.

Добавив универсальные ссылки в управляемые приложения, можно безопасно запустить указанное приложение. Чтобы добавить приложение, необходимо добавить ссылку в управляемый список. Если к целевому приложению применена политика защиты приложений, при выборе ссылки приложение запустится. Если к целевому приложению не применена политика защиты приложений, при выборе ссылки будет запущен защищенный браузер.

По умолчанию используются следующие управляемые универсальные ссылки:

Универсальная ссылка для управляемого приложения Описание
http://*.onedrive.com/*; https://*.onedrive.com/*; OneDrive
http://*.appsplatform.us/*; http://*.powerapps.cn/*; http://*.powerapps.com/*; http://*.powerapps.us/*; https://*.powerbi.com/*; https://app.powerbi.cn/*; https://app.powerbigov.us/*; https://app.powerbi.de/*; PowerApps
http://*.powerbi.com/*; http://app.powerbi.cn/*; http://app.powerbigov.us/*; http://app.powerbi.de/*; https://*.appsplatform.us/*; https://*.powerapps.cn/*; https://*.powerapps.com/*; https://*.powerapps.us/*; Power BI
http://*.service-now.com/*; https://*.service-now.com/*; ServiceNow
http://*.sharepoint.com/*; http://*.sharepoint-df.com/*; https://*.sharepoint.com/*; https://*.sharepoint-df.com/*; SharePoint
http://web.microsoftstream.com/video/*; http://msit.microsoftstream.com/video/*; https://web.microsoftstream.com/video/*; https://msit.microsoftstream.com/video/*; Stream
http://*teams.microsoft.com/l/*; http://*devspaces.skype.com/l/*; http://*teams.live.com/l/*; http://*collab.apps.mil/l/*; http://*teams.microsoft.us/l/*; http://*teams-fl.microsoft.com/l/*; https://*teams.microsoft.com/l/*; https://*devspaces.skype.com/l/*; https://*teams.live.com/l/*; https://*collab.apps.mil/l/*; https://*teams.microsoft.us/l/*; https://*teams-fl.microsoft.com/l/*; Teams
http://tasks.office.com/*; https://tasks.office.com/*; http://to-do.microsoft.com/sharing*; https://to-do.microsoft.com/sharing*; Список задач
http://*.yammer.com/*; https://*.yammer.com/*; Yammer
http://*.zoom.us/*; https://*.zoom.us/*; Масштабирование

Если вы не хотите разрешать использование управляемых универсальных ссылок по умолчанию, их можно удалить. Можно также добавить универсальные ссылки для сторонних приложений или бизнес-приложений.

Требования к доступу

Setting Применение Значение по умолчанию
ПИН-код для доступа Выберите Требуется, чтобы для использования этого приложения требовалось вводить ПИН-код. Пользователю предлагается настроить ПИН-код при первом запуске приложения в рабочем или учебном контексте. ПИН-код применяется при работе как в сети, так и автономно.

Вы можете настроить надежность PIN-кода, используя параметры, доступные в разделе ПИН-код для доступа.
Обязательность
    Тип ПИН-кода
Укажите тип ПИН-кода (цифровой или секретный код), который необходимо ввести для доступа к приложению с примененными политиками защиты. Цифровой ПИН-код состоит только из цифр, а секретный код должен включать в себя по крайней мере одну букву или специальный символ.

Примечание. Чтобы настроить тип секретного кода, для приложения требуется пакет SDK для Intune версии 7.1.12 или более поздней. Числовой тип не имеет ограничений версии пакета SDK для Intune. Разрешенные специальные знаки включают специальные символы и символы на английской клавиатуре iOS и iPadOS.
Числовой
    Простой ПИН-код
Выберите Разрешить, чтобы разрешить пользователям применять простые ПИН-коды, например 1234, 1111, abcd или aaaa. Выберите Блокировать, чтобы запретить простые последовательности. Простые значения проверяются с помощью скользящих окон размером в три символа. Если выбрано Блокировать, такие комбинации для ПИН-кода, как 1235 или 1112 задать будет нельзя, а 1122 — можно.

**Примечание.**Если настроен ПИН-код типа "Секретный код", а параметр "Разрешить простой ПИН-код" имеет значение "Да", в ПИН-коде должна быть по крайней мере одна буква или один специальный знак. Если настроен ПИН-код типа пароля, а для параметра Разрешить простой ПИН задано значение Нет, пользователю потребуется как минимум 1 цифра и 1 буква и как минимум 1 специальный знак в своем ПИН-коде.
Allow
    Выбрать минимальную длину ПИН-кода
Укажите минимальное число цифр в ПИН-коде. 4
    Touch ID вместо ПИН-кода для доступа (iOS 8+)
Выберите Разрешить, чтобы разрешить использовать Touch ID вместо ПИН-кода для доступа к приложению. Allow
      Переопределить Touch ID ПИН-кодом после времени ожидания
Чтобы использовать этот параметр, выберите Требуется и настройте период бездействия. Обязательность
        Время ожидания (в минутах бездействия)
Укажите время в минутах, по истечении которого вместо отпечатка пальца или распознавания лиц потребуется использовать секретный код или числовой ПИН-код (в зависимости от настройки) в качестве метода доступа. Это значение должно быть больше, чем значение параметра "Перепроверять требования доступа через (минуты бездействия)". 30
      Face ID вместо ПИН-кода для доступа (iOS 11+)
Выберите Разрешить, чтобы разрешить пользователю использовать технологию распознавания лиц для прохождения проверки подлинности на устройствах iOS/iPadOS. Если разрешено, для доступа к приложению должна использоваться технология Face ID при условии, что она поддерживается устройством. Allow
    Смена ПИН-кода после количества дней
Выберите Да, чтобы пользователи должны были менять ПИН-код приложения через определенный период времени в днях.

Если выбрано значение Да, необходимо настроить количество дней, по истечении которого ПИН-код необходимо сменить.
Нет
      Количество дней
Настройте количество дней, по истечении которого ПИН-код необходимо сменить. 90
    ПИН-код приложения при задании ПИН-кода устройства
Выберите Отключить, чтобы отключать ПИН-код приложения при обнаружении блокировки устройства на зарегистрированном устройстве, где настроен Корпоративный портал.

Примечание. Приложение должно иметь Intune SDK версии 7.0.1 или более поздней. Параметр IntuneMAMUPN должен быть настроен, чтобы приложения определяли состояние регистрации.

На устройствах с iOS/iPadOS можно разрешить пользователю подтверждать свою личность, используя Touch ID или Face ID вместо ПИН-кода. Для проверки подлинности пользователей с помощью Touch ID и Face ID служба Intune использует API LocalAuthentication. Дополнительные сведения о Touch ID и Face ID см. в руководстве по безопасности iOS.

Когда пользователь пытается использовать это приложение с помощью своей рабочей или учебной учетной записи, ему будет предложено проверить отпечаток пальца или сканировать лицо вместо ввода ПИН-кода. Если этот параметр включен, при использовании рабочей учетной записи изображение предварительного просмотра для переключателя приложений будет размыто. Если в биометрическую базу данных устройства вносятся какие-либо изменения, Intune запросит ПИН-код по истечении заданного времени ожидания для периода бездействия. Изменения биометрических данных включают добавление или удаление отпечатка пальца или лица для проверки подлинности. Если пользователь Intune не устанавливал ПИН-код, ему будет предложено установить ПИН-код Intune.
Enable
Данные рабочей или учебной учетной записи для доступа Выберите Требуется, чтобы для доступа к приложению пользователь должен был выполнить вход с помощью своей рабочей или учебной учетной записи вместо ввода ПИН-кода. Если для этого параметра задано значение Требуется и включены биометрические запросы или ПИН-код, отображаются как учетные данные организации, так и биометрические запросы или ПИН-код. Не требуется
Перепроверять требования доступа через (минут бездействия) Настройте количество минут бездействия, которое должно пройти, прежде чем приложение запросит повторную проверку требований доступа.

Например, если администратор включил ПИН-код и запретил устройства с административным доступом в политике, при открытии управляемого приложения Intune пользователь должен ввести ПИН-код и использовать приложение на устройстве без административного доступа. При использовании этого параметра пользователю не нужно вводить ПИН-код или проходить проверку на наличие административного доступа в управляемом приложении Intune в течение заданного периода.

Примечание. В iOS и iPadOS ПИН-код является общим для всех управляемых Intune приложений одного издателя. Таймер ПИН-кода для определенного ПИН-кода сбрасывается, когда приложение становится неактивным на устройстве. Пользователю не нужно будет вводить ПИН-код в другом управляемом Intune приложении, использующем этот ПИН-код, в течение времени ожидания, указанного в этом параметре. Этот формат параметра политики поддерживает положительное целое число.
30

Примечание

Дополнительные сведения о параметрах защиты для приложений Intune, настраиваемых в разделе "Доступ" для набора приложений и пользователей, работающих с iOS/iPadOS, см. в разделах Вопросы и ответы по Intune MAM и Выборочная очистка данных с помощью действий доступа политики защиты приложений в Intune.

Условный запуск

Настройте параметры условного запуска, чтобы задать требования безопасности входа для вашей политики защиты доступа.

По умолчанию предоставляется несколько параметров с предварительно настроенными значениями и действиями. Можно удалить некоторые из них, например Мин. версия ОС. Вы также можете выбрать дополнительные параметры из раскрывающегося списка Выбрать один элемент.

Setting Применение
Максимальная версия ОС Укажите максимальную версию операционной системы iOS/iPadOS, необходимую для использования этого приложения. Действия включают:
  • Предупредить — пользователь получит уведомление, если версия iOS/iPadOS на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ — пользователю будет запрещен доступ, если версия iOS/iPadOS на устройстве не соответствует требованиям.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.

Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот формат параметра политики поддерживает следующие форматы версий: major.minor, major.minor.build, major.minor.build.revision.

**Примечание.**Для приложения требуется пакет SDK для Intune версии 14.4.0 или более поздней.
Минимальная версия ОС Укажите минимальную версию операционной системы iOS/iPadOS, необходимую для использования этого приложения. Действия включают:
  • Предупредить — пользователь получит уведомление, если версия iOS/iPadOS на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ — пользователю будет запрещен доступ, если версия iOS/iPadOS на устройстве не соответствует требованиям.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот формат параметра политики поддерживает следующие форматы версий: major.minor, major.minor.build, major.minor.build.revision.

**Примечание.**Для приложения требуется пакет SDK для Intune версии 7.0.1 или более поздней.
Макс. попыток ввода ПИН-кода Укажите количество попыток, за которое пользователь должен успешно ввести свой ПИН-код до применения настроенного действия. Если пользователь не сможет ввести правильный ПИН-код за максимальное количество попыток, он должен сбросить ПИН-код, войдя в учетную запись и пройдя дополнительную многофакторную проверку подлинности (если потребуется). Этот формат параметра политики поддерживает положительное целое число. Действия:
  • Сбросить ПИН-код — пользователь должен сбросить ПИН-код.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Значение по умолчанию — 5
Период отсрочки в автономном режиме Период, в течение которого приложения, управляемые политикой, могут выполняться автономно, в минутах. Укажите время (в минутах), по истечении которого выполняется повторная проверка требований доступа для приложения. Действия:
  • Блокировать доступ (мин): период, в течение которого приложения, управляемые политикой, могут выполняться автономно, в минутах. Укажите время (в минутах), по истечении которого выполняется повторная проверка требований доступа для приложения. По истечении заданного периода приложение блокирует доступ к рабочим и учебным данным, пока доступ к сети не возобновится. Срок автономного льготного периода для блокировки доступа является общим для всех приложений в цепочке ключей издателя приложения. Этот формат параметра политики поддерживает положительное целое число.

    Значение по умолчанию — 720 минут (12 часов)
  • Очистить данные (дни): по истечении указанного количества дней (значение определяется администратором) автономной работы приложение потребует от пользователя подключиться к сети и повторно пройти проверку подлинности. Если пользователь успешно проходит проверку, он может продолжать обращаться к своим данным, а значение периода автономности будет сброшено. В случае ошибки проверки подлинности приложение проведет выборочную очистку учетной записи и данных пользователя. Дополнительные сведения о том, какие данные удаляются во время выборочной очистки, см. разделе Очистка только корпоративных данных в приложениях, управляемых с помощью Intune. Срок автономного льготного периода для очистки данных рассчитывается отдельно для каждого приложения с учетом последней синхронизации со службой Intune. Этот формат параметра политики поддерживает положительное целое число.

    Значение по умолчанию — 90 дней
Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.
Устройства со снятой защитой или административным доступом Для этого параметра нельзя указать значение. Действия:
  • Блокировать доступ — блокирует запуск этого приложения на взломанных или рутованных устройствах. Пользователь по-прежнему сможет использовать это приложение в личных целях, однако для доступа к рабочим или учебным данным ему придется использовать другое устройство.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Учетная запись отключена Для этого параметра нельзя указать значение. Действия:
  • Заблокировать доступ — если мы подтвердили, что пользователь был отключен в Azure Active Directory, приложение заблокирует доступ к рабочим или учебным данным.
  • Очистить данные — если мы подтвердили, что пользователь был отключен в Azure Active Directory, приложение выполнит выборочную очистку учетной записи и данных пользователей.
Минимальная версия приложения Укажите значение для минимального номера версии приложения. Действия включают:
  • Предупредить — пользователь получит уведомление, если версия приложения на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ — пользователю будет запрещен доступ, если версия приложения на устройстве не соответствует требованиям.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Поскольку приложения часто используют четкую схему управления версиями, следует создать политику для минимальной версии одного целевого приложения (например, Политика управления версиями Outlook).

Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот формат параметра политики поддерживает следующие форматы версий: major.minor, major.minor.build, major.minor.build.revision.

**Примечание.**Для приложения требуется пакет SDK для Intune версии 7.0.1 или более поздней.

Кроме того, вы можете указать, где пользователи могут получить обновленную версию бизнес-приложения. Пользователи увидят это в диалоговом окне условного запуска Минимальная версия приложения, в котором пользователю будет предложено обновиться до минимальной версии бизнес-приложения. На устройствах iOS/iPadOS для этой функции требуется, чтобы приложение было интегрировано (или помещено в оболочку с помощью соответствующего средства) с пакетом SDK Intune для iOS версии 10.0.7 или более поздней. Чтобы настроить место обновления бизнес-приложения пользователем, приложению нужна политика конфигурации управляемого приложения, отправляемая ему с ключом com.microsoft.intune.myappstore. Переданное значение определит, из какого хранилища пользователь скачает приложение. Если приложение развертывается с помощью Корпоративного портала, должно использоваться значение CompanyPortal. Для другого хранилища необходимо ввести полный URL-адрес.
Минимальная версия пакета SDK Укажите минимальную версию пакета SDK для Intune. Действия включают:
  • Блокировать доступ — пользователю будет запрещен доступ, если версия приложения пакета SDK для политики защиты приложений Intune не соответствует требованиям.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
См. дополнительные сведения о пакете SDK для политики защиты приложений Intune см. в статье Обзор Intune App SDK. Поскольку разные приложения часто используют отдельные версии Intune SDK, следует создать политику для минимальной версии Intune SDK для одного целевого приложения (например, Политика версии Intune SDK для Outlook).

Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.
Модель устройства Укажите список идентификаторов модели, разделенных точкой с запятой. В значениях регистр не учитывается. Действия:
  • Разрешить указанные (блокировать неуказанные) — это приложение могут использовать только устройства указанной модели. Все другие модели устройства блокируются.
  • Разрешить указанные (очистить неуказанные) — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Дополнительные сведения об использовании этого параметра см. в статье Действия условного запуска.
Максимальный допустимый уровень угроз для устройства Политики защиты приложений могут использовать соединитель Intune-MTD. Укажите максимальный уровень угроз, приемлемый для использования этого приложения. Угрозы определяются выбранным приложением-поставщиком защиты мобильных устройств от угроз (MTD) на устройстве конечного пользователя. Укажите Защищенный, Низкий, Средний или Высокий. Защищенный требует отсутствия угроз на устройстве и является наиболее строгим значением из доступных, а Высокий, по сути, требует наличия активного подключения Intune к MTD. Действия:
  • Блокировать доступ — пользователю будет запрещен доступ, если уровень угроз, определяемый приложением выбранного поставщика защиты мобильных устройств (MTD) на устройстве конечного пользователя, не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
**Примечание.**Для приложения требуется пакет SDK для Intune версии 12.0.15 или более поздней.

Дополнительные сведения об использовании этого параметра см. в статье Активация MTD для незарегистрированных устройств.

Подробнее