Часто задаваемые вопросы о MAM и защите приложений

Обзор MAM

Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). Политика может быть либо правилом, которое применяется, когда пользователь пытается получить доступ или переместить корпоративные данные, либо набором действий, которые запрещено выполнять или которые отслеживаются, когда пользователь работает с приложением.

Подробные сведения о каждом параметре политики защиты приложений см. в разделе Параметры политики защиты приложений Android и параметры политики защиты приложений iOS/iPadOS .

Если вы применяете политику MAM к пользователю без настройки состояния управления устройством, пользователь получает политику MAM как на устройстве BYOD, так и на устройстве, управляемом Intune. Вы также можете применить политику MAM на основе состояния управления устройствами. Поэтому при создании политики защиты приложений рядом с полем Целевые приложения на всех типах устройств выберите Нет. Затем выполните одно из следующих действий:

• Примените менее строгую политику MAM к устройствам под управлением Intune и более строгую политику MAM к устройствам, не зарегистрированным в MDM.
• Применяйте не менее строгую политику MAM к управляемым устройствам Intune и к сторонним управляемым устройствам.
• Примените политику MAM только к незарегистрированным устройствам.

Дополнительные сведения см. в разделе Мониторинг политик защиты приложений.

Любым приложением, интегрированным с пакетом SDK для приложений Intune или упакованным с помощью App Wrapping Tool Intune, можно управлять с помощью политик защиты приложений Intune. См. официальный список приложений, управляемых Intune, для общего пользования.

• У конечного пользователя должна быть учетная запись Microsoft Entra. Сведения о создании пользователей Intune в Microsoft Entra ID см. в статье Добавление пользователей и предоставление административных разрешений в Intune.

• У пользователя должна быть лицензия на Microsoft Intune, назначенная учетной записи Microsoft Entra. Дополнительные сведения о назначении лицензий Intune пользователям см. в статье Назначение лицензий Intune учетным записям пользователей.

• участие в группе безопасности, на которую нацелена политика защиты приложений. Та же политика защиты приложений применяется к определенному приложению, которое используется. защита приложений политики можно создавать и развертывать в Центре администрирования Microsoft Intune. Сейчас группы безопасности можно создавать в Центре администрирования Microsoft 365.

• Пользователь должен войти в приложение с помощью учетной записи Microsoft Entra.

Команда разработчиков пакета SDK для Intune активно тестирует и обеспечивает поддержку приложений, созданных с помощью платформ Android, iOS и iPadOS (Obj-C, Swift), Xamarin и Xamarin.Forms. Хотя некоторые клиенты успешно интегрируют пакет SDK для Intune с другими платформами, такими как React Native и NativeScript, мы не предоставляем явных рекомендаций или подключаемых модулей для разработчиков приложений, использующих что-либо, кроме поддерживаемых платформ.

Пакет SDK для приложений Intune может использовать библиотеку проверки подлинности Майкрософт для сценариев проверки подлинности и условного запуска. Он также использует MSAL для регистрации удостоверения пользователя в службе MAM для управления без регистрации устройств.

• На устройстве пользователя должно быть установлено мобильное приложение Outlook .

• У конечного пользователя должен быть почтовый ящик microsoft 365 Exchange Online и лицензия, связанная с учетной записью Microsoft Entra.

  Примечание.

  В настоящее время мобильное приложение Outlook поддерживает защиту приложений Intune только для Microsoft Exchange Online и Exchange Server с гибридной современной проверкой подлинности и не поддерживает Exchange в Office 365 Dedicated.

• У конечного пользователя должна быть лицензия на Приложения Microsoft 365 для бизнеса или предприятие, связанное с его Microsoft Entra учетной записью. Подписка должна включать приложения Office на мобильных устройствах и может включать облачную учетную запись хранения с поддержкой OneDrive для бизнеса. Лицензии Microsoft 365 можно назначить в центре администрирования Microsoft 365, следуя этим инструкциям.

• Пользователь должен настроить управляемое расположение с помощью функции настраиваемого сохранения в параметре политики защиты приложения "Сохранение копий корпоративных данных". Например, если управляемое расположение — OneDrive, приложение OneDrive должно быть настроено в приложении Word пользователя, Excel или PowerPoint.

• Если управляемое расположение — OneDrive, на приложение должна распространяться политика защиты, развернутая для пользователя.

  Примечание.

  Мобильные приложения Office сейчас поддерживают только SharePoint Online, но не локальное приложение SharePoint.

Intune помечает все данные в приложении как корпоративные или личные. Данные считаются корпоративными, если они по исходят из расположения компании. При работе с приложениями Office в Intune корпоративными считаются такие расположения: электронная почта (Exchange) или облачное хранилище (приложение OneDrive с учетной записью OneDrive для бизнеса).

См. требования к лицензии Skype для бизнеса. Сведения о гибридных и локальных конфигурациях Skype для бизнеса (SfB) см. в статье Гибридная современная проверка подлинности для SfB и Exchange предоставляет общедоступную и современную проверку подлинности для локальной среды SfB с Microsoft Entra ID соответственно.

Поддержка нескольких удостоверений позволяет пакету SDK для приложений Intune применять политики защиты приложений только к рабочей или учебной учетной записи, вошедшего в приложение. Если вход в приложение выполнен с помощью личной учетной записи, данные останутся без изменений.

Поддержка нескольких удостоверений позволяет общедоступно выпускать приложения с "корпоративной" и потребительской аудиторией (т. е. приложения Office) с возможностями защиты приложений Intune для "корпоративных" учетных записей.

Так как Outlook имеет объединенное представление электронной почты как личных, так и "корпоративных" сообщений электронной почты, приложение Outlook запрашивает ПИН-код Intune при запуске.

Персональный идентификационный номер (ПИН-код) — это секретный код, который используется для проверки прав пользователя на доступ к корпоративным данным в приложении.

Intune запрашивает ПИН-код для приложения, когда пользователь пытается получить доступ к корпоративным данным. В приложениях с несколькими удостоверениями, таких как Word,Excel/PowerPoint, при попытке открыть "корпоративный" документ или файл пользователю будет предложено ввести ПИН-код. В приложениях с одним удостоверением, таких как бизнес-приложения, управляемые с помощью App Wrapping Tool Intune, пин-код запрашивается при запуске, так как пакет SDK для приложений Intune знает, что взаимодействие пользователя в приложении всегда является корпоративным.

ИТ-администратор может определить параметр политики защиты приложений Intune "Повторно проверить требования к доступу через (минуты)" в Центре администрирования Microsoft Intune. Этот параметр указывает время, в течение которых на устройстве будут проверены требования к доступу, а экран ПИН-кода приложения снова отображается. Ниже приведены важные сведения о ПИН-коде, которые влияют на то, как часто пользователь будет получать запрос на ввод ПИН-кода:

• ПИН-код совместно используется приложениями одного издателя для повышения удобства использования: В iOS/iPadOS один ПИН-код приложения используется для всех приложений одного издателя. В Android один ПИН-код используется во всех приложениях.
• Поведение "Повторная проверка требований доступа после (в минутах)" после перезагрузки устройства: Таймер ПИН-кода отслеживает количество минут бездействия, которое определяет, когда следует отображать ПИН-код приложения Intune. В iOS/iPadOS таймер ПИН-кода не влияет на перезагрузку устройства. Таким образом, перезапуск устройства не влияет на количество минут, в течение которых пользователь был неактивен в приложении iOS/iPadOS с политикой ПИН-кода Intune. В Android таймер ПИН-кода сбрасывается при перезагрузке устройства. Таким образом, приложения Android с политикой ПИН-кода Intune, скорее всего, будут запрашивать ПИН-код приложения независимо от значения параметра "Повторная проверка требований доступа после (в минутах)" после перезагрузки устройства.
• Характер последовательности таймера, связанного с ПИН-кодом: После ввода ПИН-кода для доступа к приложению (приложение A), а приложение покидает передний план (main фокус ввода) на устройстве, таймер ПИН-кода сбрасывается для этого ПИН-кода. Любое приложение (приложение B), которое использует этот ПИН-код, не запрашивает у пользователя ввод ПИН-кода, так как таймер сброшен. Запрос появится снова, когда будет достигнуто значение параметра "Проверять требования доступа повторно через (мин)".

Для устройств iOS/iPadOS, даже если ПИН-код совместно используется приложениями от разных издателей, запрос будет снова отображаться при повторной проверки требований к доступу после того, как (в минутах) снова будет выполнено значение для приложения, которое не является main фокусом ввода. Например, у пользователя есть приложение A издателя X и приложение B издателя Y, и эти два приложения совместно используют один и тот же ПИН-код. Пользователь работает с приложением A (на переднем плане); приложение B находится в свернутом состоянии. После достижения значения Перепроверять требования доступа через (мин), когда пользователь перейдет к приложению B, потребуется ввести ПИН-код.

ПИН-код Intune работает на основе таймера на основе бездействия (значение "Перепроверить требования к доступу после (в минутах)"). Таким образом, функция ПИН-кода Intune является независимой от запросов ПИН-кода встроенных приложений для Outlook и OneDrive, которые часто по умолчанию привязаны к запуску приложения. Если пользователь одновременно получает оба запроса на ввод ПИН-кода, ПИН-код Intune должен иметь приоритет.

ПИН-код предоставляет доступ к корпоративным данным только пользователям с соответствующими полномочиями. Следовательно, чтобы настроить или сбросить ПИН-код для приложения Intune, пользователь должен войти с использованием своей рабочей или учебной учетной записи. Эта проверка подлинности обрабатывается Microsoft Entra ID с помощью безопасного обмена маркерами и не является прозрачной для пакета SDK для приложений Intune. Из соображений безопасности рекомендуется шифровать корпоративные или учебные данные. Шифрование не связано с ПИН-кодом приложения, но является собственной политикой защиты приложений.

В рамках политики использования ПИН-кода для приложения ИТ-администратор может настроить максимальное число попыток пользователя выполнить проверку подлинности с использованием ПИН-кода, прежде чем приложение будет заблокировано. После выполнения количества попыток пакет SDK для приложений Intune может очистить "корпоративные" данные в приложении.

MAM (в iOS/iPadOS) в настоящее время позволяет использовать ПИН-код на уровне приложения с буквенно-цифровыми и специальными символами (называемыми секретным кодом), что требует участия приложений (например, WXP, Outlook, Managed Browser, Yammer) для интеграции пакета SDK для приложений Intune для iOS/iPadOS. Без этого параметры секретного кода не применяются должным образом для целевых приложений. Эта функция была выпущена в пакете SDK для Intune для iOS/iPadOS версии 7.1.12.

Для поддержки этого компонента и обеспечения обратной совместимости с предыдущими версиями пакета SDK Intune для iOS/iPadOS все PIN-коды (и числовые, и секретные коды) в версиях позднее 7.1.12 обрабатываются отдельно от числового PIN-кода в предыдущих версиях пакета SDK. Таким образом, если на устройстве есть приложения с пакетом SDK Для Intune для iOS/iPadOS версий до 7.1.12 И после версии 7.1.12 от одного издателя, ей придется настроить два ПИН-кодов.

При этом два ПИН-кода (для каждого приложения) никак не связаны, т. е. они должны соответствовать политике защиты приложений, применяемой к приложению. Например, пользователь может задать один и тот же PIN-код дважды, только если для приложений A и B настроены одинаковые политики (касающиеся PIN-кода).

Это поведение относится только к PIN-кодам в приложениях iOS/iPadOS с поддержкой управления мобильными приложениями Intune. Со временем, по мере внедрения в приложения более поздних версий пакета SDK Intune для iOS/iPadOS, двукратная установка PIN-кодов станет менее проблематичной. Ниже приведен пример.

ИТ-администраторы могут развернуть политику защиты приложений, в соответствии с которой данные приложения должны шифроваться. В рамках политики ИТ-администратор также может определить, когда содержимое должно быть зашифровано.

Дополнительные сведения о параметрах шифрования в политике защиты приложений см. в статьях Параметры политики защиты мобильных приложений для Android и Параметры политики защиты мобильных приложений для iOS/iPadOS.

В соответствии с политикой защиты приложений, определенной ИТ-администратором, шифруются только те данные, которые отмечены как корпоративные. Данные считаются корпоративными, если они созданы в корпоративном расположении. При работе с приложениями Office в Intune корпоративными считаются такие расположения: электронная почта (Exchange) или облачное хранилище (приложение OneDrive с учетной записью OneDrive для бизнеса). Для бизнес-приложений, управляемых App Wrapping Tool Intune, все данные приложений считаются корпоративными.

Intune может очищать данные приложения тремя разными способами: полная очистка устройства, выборочная очистка для MDM и выборочная очистка MAM. Дополнительные сведения об удаленной очистке для MDM см. в статье Удаление устройств путем очистки или прекращения использования. Дополнительные сведения о выборочной очистке с использованием MAM см. в разделе Действие "Прекратить использование" и статье Очистка только корпоративных данных в приложениях, управляемых с помощью Intune.

Очистка удаляет все пользовательские данные и параметры с устройства путем восстановления устройства до заводских параметров по умолчанию. Устройство удаляется из Intune.

Сведения об удалении данных организации см. в статье Удаление устройств — прекращение поддержки.

При выборочной очистке для управления мобильными приложениями данные приложений компании просто удаляются из приложений. Запрос инициируется с помощью центра администрирования Microsoft Intune. Сведения об инициации запроса на очистку см. в статье Очистка только корпоративных данных в приложениях, управляемых с помощью Intune.

Если пользователь использует приложение при инициации выборочной очистки, пакет SDK для приложений Intune каждые 30 минут проверяет запрос на выборочную очистку от службы Intune MAM. Проверка запросов на выборочную очистку также выполняется, когда пользователь впервые запускает приложение и входит с помощью своей рабочей или учебной учетной записи.

Защита приложений Intune зависит от удостоверения пользователя, который должен быть согласован между приложением и пакетом SDK для приложений Intune. Единственный способ обеспечить это — использовать современные средства проверки подлинности. Существуют сценарии, в которых приложения могут работать с локальной конфигурацией, но они не являются ни согласованными, ни гарантированными.

Конечно! ИТ-администратор может развернуть и настроить политику защиты приложений для приложения Microsoft Edge. ИТ-администратор может потребовать, чтобы все веб-ссылки в приложениях, управляемых Intune, открывались с помощью приложения Microsoft Edge.

Приложение "Корпоративный портал" и защита приложений Intune

Политики защиты приложений Intune для доступа будут применяться в определенном порядке на устройствах конечных пользователей при попытке получить доступ к целевому приложению из своей корпоративной учетной записи. Как правило, блок имеет приоритет, а затем предупреждение о пренебрежимом. Например, в случае конкретного пользователя или приложения параметр минимальной версии исправления Android, который предупреждает пользователя о необходимости выполнить обновление, будет применен после параметра минимальной версии исправления Android, который блокирует доступ. В этом сценарии, когда ИТ-администратор настраивает минимальную версию исправления Android 2018-03-01, а минимальную версию исправления с предупреждением — 2018-02-01, и устройство пытается получить доступ к приложению, имея версию исправления 2018-01-01, конечный пользователь будет заблокирован в соответствии с более строгим параметром минимальной версии исправления Android.

При обработке параметров различных типов требование к версии приложения имеет приоритет, далее следует требование к версии операционной системы Android и требование к версии исправления Android. Далее проверяются предупреждения для всех типов параметров в том же порядке.

Служба Intune свяжется с Google Play через ненастраиваемый интервал, определенный загрузкой службы. Любое действие, настроенное ИТ-администратором для целостности устройства Google Play, проверка параметр будет приниматься на основе последнего результата, сообщаемого службе Intune во время условного запуска. Если результат целостности устройства Google соответствует требованиям, никаких действий не предпринимается. Если результат целостности устройства Google не соответствует требованиям, действие, настроенное ИТ-администратором, будет предпринят немедленно. Если по какой-либо причине проверка сбой запроса к целостности устройства Google Play, кэшированный результат предыдущего запроса будет использоваться в течение 24 часов или при следующем перезапуске устройства, который когда-либо появится первым. В это время политики защиты приложений Intune будут блокировать доступ до получения текущего результата.

Инструкции по этому способу немного различаются в зависимости от устройства. Общий процесс состоит из следующих шагов: переход в Магазин Google Play, выбор элемента Мои приложения и игры, выбор результата последнего сканирования приложения и последующее переключение в меню Google Play Защита. Переключатель Проверять устройство на наличие угроз безопасности должен быть переведен в положение "Вкл".

Intune использует API целостности Google Play для добавления в существующие проверки обнаружения корней для незарегистрированных устройств. Компания Google разработала и поддерживала этот набор API для приложений Android, которые будут применяться, если они не хотят, чтобы их приложения запускались на устройствах с привилегированным доступом. Эта возможность реализована, к примеру, в приложениях Android Pay. Хотя Google не делится всей информацией о проверках обнаружения корней, которые происходят, мы ожидаем, что эти API-интерфейсы будут обнаруживать пользователей, которые укореняют свои устройства. Таким пользователям можно будет запрещать доступ либо можно будет удалять их корпоративные учетные записи из приложений с действующими политиками. В разделе "Проверка базовой целостности" рассказывается об общей целостности устройства. Проверку базовой целостности не проходят устройства с root-доступом, эмуляторы, виртуальные устройства и устройства с признаками несанкционированного доступа. "Проверка базовой целостности & сертифицированных устройств" рассказывает о совместимости устройства со службами Google. Эту проверку могут пройти только неизмененные устройства, сертифицированные корпорацией Google. К устройствам, которые не смогут пройти проверку, относятся следующие:

• устройства, которые не прошли проверку базовой целостности;
• устройства с разблокированным загрузчиком;
• устройства с пользовательским образом системы или диском;
• устройства, для которых производитель не подал заявку на сертификацию или которые не прошли сертификацию Google;
• устройства с образом системы, созданным непосредственно из исходных файлов программы Android с открытым исходным кодом;
• устройства с образом системы для предварительной бета-версии или версии для разработчиков.

Технические сведения см . в документации Google по API целостности воспроизведения .

Для проверок API целостности Google Play требуется, чтобы пользователь был подключен к интернету и был готов в течение времени, когда выполняется "обход" для определения результатов аттестации. Если конечный пользователь находится в автономном режиме, ИТ-администратор по-прежнему может ожидать принудительного применения результата из параметра "устройства со снятой защитой или корневым доступом". При этом, если конечный пользователь находится в автономном режиме слишком долго, вступает в игру значение "Автономный льготный период", и весь доступ к рабочим или учебным данным блокируется после достижения этого значения таймера до тех пор, пока не будет доступен доступ к сети. Включение обоих параметров обеспечивает многоуровневый подход к поддержанию работоспособности устройств конечных пользователей, что важно, когда конечные пользователи получают доступ к рабочим или учебным данным на мобильных устройствах.

Параметры "Вердикт о целостности воспроизведения" и "Проверка угроз в приложениях" требуют правильной работы определенной Google версией Служб Google Play. Так как это параметры, которые попадают в область безопасности, конечный пользователь будет заблокирован, если он был ориентирован на эти параметры и не соответствует соответствующей версии Служб Google Play или не имеет доступа к Службам Google Play.

Политики защиты приложений Intune позволяют контролировать доступ к приложениям только лицензированным пользователям Intune. Одним из способов управления доступом к приложениям является запрос Apple Touch ID или Face ID на поддерживаемых устройствах. Intune реализует поведение, в котором при наличии каких-либо изменений в биометрической базе данных устройства Intune запрашивает у пользователя ПИН-код при достижении следующего значения времени ожидания бездействия. К изменениям биометрических данных относится добавление или удаление отпечатка пальца или изображения лица. Если у пользователя Intune нет ПИН-кода, он должен настроить ПИН-код Intune.

Цель этого заключается в том, чтобы сохранить данные вашей организации в приложении безопасными и защищенными на уровне приложения. Эта функция доступна только для iOS/iPadOS и требует участия приложений, которые интегрируют пакет SDK для приложений Intune для iOS/iPadOS версии 9.0.1 или более поздней. Интеграция пакета SDK нужна для того, чтобы принудительно применить это поведение для целевых приложений. Такая интеграция происходит регулярно и зависит от сотрудничества команд конкретных приложений. Например, интеграция настроена для таких приложений, как WXP, Outlook, Managed Browser и Yammer.

Политика защиты приложений Intune не может управлять расширением общего ресурса iOS без управления устройством. Таким образом, Intune шифрует "корпоративные" данные, прежде чем они будут совместно использоваться за пределами приложения. Это можно проверить, попытаясь открыть корпоративный файл за пределами управляемого приложения. Такой файл должен быть зашифрован, и его не удастся открыть за пределами управляемого приложения.

Политики защиты приложений Intune для доступа будут применяться в определенном порядке на устройствах конечных пользователей при попытке получить доступ к целевому приложению из своей корпоративной учетной записи. Как правило, приоритет будет иметь очистка, за которой следует блок, а затем предупреждение о пренебрежимом. Например, в случае конкретного пользователя или приложения параметр минимальной версии операционной системы iOS/iPadOS, который предупреждает пользователя о необходимости обновить версию iOS/iPadOS, будет применен после параметра минимальной версии операционной системы iOS/iPadOS, который блокирует доступ. Таким образом, в сценарии, когда ИТ-администратор настраивает минимальную операционную систему iOS/iPadOS на 11.0.0.0, а минимальную операционную систему iOS/iPadOS (только предупреждение) — на 11.1.0.0, В то время как устройство, пытающееся получить доступ к приложению, было в iOS/iPadOS 10, конечный пользователь будет заблокирован на основе более строгого параметра для версии операционной системы iOS/iPadOS min, что приводит к блокировке доступа.

При работе с различными типами параметров приоритет будет иметь требование к версии пакета SDK для приложений Intune, а затем требование к версии приложения, за которым следует требование к версии операционной системы iOS/iPadOS. Далее проверяются предупреждения для всех типов параметров в том же порядке. Мы рекомендуем настроить требование к версии пакета SDK для приложений Intune только в соответствии с рекомендациями команды разработчиков Intune для основных сценариев блокировки.

См. также

• Развертывание Intune
• Создание плана развертывания
• Параметры политики управления мобильными приложениями Android в Microsoft Intune
• Параметры политики управления мобильными приложениями iOS/iPadOS
• обновление политики защита приложений
• Проверка политик защиты приложений
• Добавление политик конфигурации приложений для управляемых приложений без регистрации устройств
• Как получить поддержку в Microsoft Intune