Как создать и назначить политики защиты приложений

Узнайте, как создавать и назначать Microsoft Intune политики защиты приложений (APP) для пользователей вашей организации. В этой статье также описывается внесение изменений в существующие политики.

Перед началом работы

защита приложений политики могут применяться к приложениям, работающим на устройствах, которые могут управляться Intune. Более подробное описание принципов работы политик защиты приложений и сценариев, поддерживаемых политиками защиты приложений Intune, см. в статье Общие сведения о политиках защита приложений.

При настройке политик защиты приложений (APP) доступны различные параметры, которые позволяют организациям адаптировать систему безопасности в соответствии с конкретными потребностями. Однако они могут затруднить выбор параметров политик, необходимых для реализации полного сценария. Чтобы помочь организациям расставить приоритеты в отношении защиты клиентских конечных точек, корпорация Майкрософт представила новую таксономию для платформы защиты данных с APP для управления мобильными приложениями iOS и Android.

Платформа защиты данных c APP разделена на три разных уровня конфигурации, где каждый следующий уровень строится на предыдущем.

• Базовая защита корпоративных данных (уровень 1) обеспечивает защиту приложений с помощью ПИН-кода и шифрования и выполняет операции выборочной очистки. На устройствах Android этот уровень используется для проверки аттестации устройств. Это минимальная конфигурация, которая обеспечивает аналогичное управление защитой данных в политиках почтовых ящиков Exchange Online и предлагает ИТ-специалистам и пользователям возможности APP.
• Расширенная защита корпоративных данных (уровень 2) предоставляет механизмы APP для защиты от утечки данных и поддерживает минимальные требования к ОС. Эта конфигурация подходит большинству пользователей мобильных устройств, обращающихся к рабочим или учебным данным.
• Высокий уровень защиты корпоративных данных (уровень 3) предоставляет механизмы для расширенной защиты данных, улучшенную конфигурацию ПИН-кодов и политики защиты от угроз на мобильных устройствах. Эта конфигурация является рекомендуемой для пользователей, работающих с данными с высоким уровнем риска.

Конкретные рекомендации для каждого уровня конфигурации и минимальный список приложений, защиту которых необходимо обеспечить, см. в статье Использование политик защиты приложений на платформе защиты данных.

Если вам нужен список приложений, интегрированных с пакетом SDK для Intune, см. статью Microsoft Intune защищенных приложений.

Сведения о добавлении бизнес-приложений организации в Microsoft Intune для подготовки к политикам защиты приложений см. в статье Добавление приложений в Microsoft Intune.

политики защита приложений для приложений iOS/iPadOS и Android

При создании политики защиты приложений для приложений iOS/iPadOS и Android вы следуете современному процессу Intune, который приводит к созданию новой политики защиты приложений. Сведения о создании политик защиты приложений для приложений Windows см. в разделе параметры политики защита приложений для Windows.

Создание политики защиты приложений iOS,iPadOS или Android

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Политики>Политики защиты приложений. При этом откроется защита приложений сведений о политиках, где вы создаете новые политики и редактируете существующие политики.

3. Выберите Создать политику и нажмите iOS/iPadOS или Android. Отобразится панель Создать политику.

4. На странице Основные добавьте следующие значения.

   Значение	Описание
   Имя	Имя этой политики защиты приложений.
   Описание	[Необязательно] Описание этой политики защиты приложений.

   Значение Платформа устанавливается на основе вашего предыдущего выбора.

   

5. Нажмите кнопку Далее , чтобы отобразить страницу Приложения .
   На странице Приложения можно выбрать приложения, которые должны быть целевыми для этой политики. Необходимо добавить не менее одного приложения.

   Значение/параметр	Описание
   Нацеливать политику на	В раскрывающемся списке Целевая политика выберите для политики защиты приложений все приложения, Microsoft Apps или Core Microsoft Apps. Все приложения включают все приложения Майкрософт и партнерские приложения, интегрированные с пакетом SDK для Intune. Microsoft Apps включает все приложения Майкрософт, интегрированные с пакетом SDK для Intune. Основные Microsoft Apps включают следующие приложения: Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do и Word. Затем можно выбрать Просмотр списка приложений, которые будут целевыми , чтобы просмотреть список приложений, на которые будет влиять эта политика.
   Общедоступные приложения	Если вы не хотите выбирать одну из предопределенных групп приложений, вы можете выбрать целевые отдельные приложения, выбрав Выбранные приложения в раскрывающемся списке Целевая политика для. Щелкните Выбрать общедоступные приложения, чтобы выбрать общедоступные приложения для целевого назначения.
   Пользовательские приложения	Если вы не хотите выбирать одну из предопределенных групп приложений, вы можете выбрать целевые отдельные приложения, выбрав Выбранные приложения в раскрывающемся списке Целевая политика для. Щелкните Выбрать пользовательские приложения, чтобы выбрать пользовательские приложения для целевого назначения на основе идентификатора пакета. Вы не можете выбрать пользовательское приложение при выборе всех общедоступных приложений в одной политике.

   Выбранные приложения будут отображаться в списке общедоступных и настраиваемых приложений.

   Примечание.

   Общедоступные приложения поддерживаются приложениями корпорации Майкрософт и партнерами, которые обычно используются с Microsoft Intune. Эти защищенные приложения Intune включены с широким набором поддержки политик защиты мобильных приложений. Дополнительные сведения см. в разделе Microsoft Intune защищенных приложений. Пользовательские приложения — это бизнес-приложения, интегрированные с пакетом SDK для Intune или упакованные App Wrapping Tool Intune. Дополнительные сведения см. в Microsoft Intune Обзор пакета SDKдля приложений и Подготовка бизнес-приложений для политик защиты приложений.

6. Нажмите кнопку Далее , чтобы отобразить страницу Защита данных .
   На этой странице представлены параметры элементов управления защитой от потери данных (DLP), включая ограничения на такие действия, как «вырезать», «копировать», «вставить» и «сохранить как». Эти параметры определяют порядок работы пользователей с данными в приложениях, к которым применяется политика защиты приложений.

   Параметры защиты данных:

   • Защита данных iOS/iPadOS . Дополнительные сведения см. в разделе Параметры политики защиты приложений iOS/iPadOS — защита данных.
   • Защита данных Android . Дополнительные сведения см. в разделе Параметры политики защиты приложений Android — защита данных.

7. Нажмите кнопку Далее , чтобы открыть страницу Требования к доступу .
   На этой странице представлены параметры, позволяющие настроить ПИН-код и требования к учетным данным, которым должны соответствовать пользователи для доступа к приложениям в рабочих целях.

   Параметры требований к доступу:

   • Требования к доступу iOS/iPadOS . Сведения см. в разделе Параметры политики защиты приложений iOS/iPadOS — требования к доступу.
   • Требования к доступу Android . Дополнительные сведения см. в разделе Параметры политики защиты приложений Android — требования к доступу.

8. Нажмите кнопку Далее , чтобы отобразить страницу условного запуска .
   На этой странице представлены параметры для установки требований безопасности входа в систему для политики защиты приложения. Нажмите Параметр и введите Значение, которому пользователи должны соответствовать, чтобы войти в корпоративное приложение. Затем выберите действие , которое нужно выполнить, если пользователи не соответствуют вашим требованиям. В некоторых случаях для одного параметра можно настроить несколько действий.

   Параметры условного запуска:

   • Условный запуск iOS/iPadOS . Сведения см. в разделе Параметры политики защиты приложений iOS/iPadOS — условный запуск.
   • Условный запуск Android . Сведения см. в разделе Параметры политики защиты приложений Android — условный запуск.

9. Нажмите кнопку Далее , чтобы отобразить страницу Назначения .
   Страница Назначения позволяет назначить политику защиты приложений группам пользователей. Чтобы политика вступила в силу, необходимо применить политику к группе пользователей.

10. Нажмите кнопку Далее: Просмотр и создание , чтобы просмотреть значения и параметры, введенные для этой политики защиты приложений.

11. По завершении нажмите кнопку Создать , чтобы создать политику защиты приложений в Intune.

    Совет

    Эти параметры политики применяются только при использовании приложений в рабочем контексте. Когда конечные пользователи используют приложение для выполнения личной задачи, на них не влияют эти политики. Обратите внимание, что при создании нового файла он считается личным файлом.

    Важно!

    Применение политик защиты приложений к существующим устройствам может занять время. При применении политики защиты приложений конечные пользователи увидят уведомление на устройстве. Применяйте политики защиты приложений к устройствам, прежде чем применять правила условного доступа.

Пользователи могут скачать приложения из App Store или Google Play. Дополнительные сведения см. в разделе:

• Где найти приложения для работы или учебного заведения для iOS/iPadOS
• Где найти приложения для работы или учебного заведения для Android

Изменение существующих политик

Вы можете изменить существующую политику и применить ее к целевым пользователям. Дополнительные сведения о сроках доставки политики см. в статье Общие сведения о сроках доставки политики защиты приложений.

Изменение списка приложений, связанных с политикой

1. В области политики защита приложений выберите политику, которую нужно изменить.

2. В области Защита приложений Intune выберите Свойства.

3. Рядом с разделом Приложения выберите Изменить.

4. На странице Приложения можно выбрать приложения, которые должны быть целевыми для этой политики. Необходимо добавить не менее одного приложения.

   Значение/параметр	Описание
   Общедоступные приложения	В раскрывающемся списке Целевая политика для выберите для политики защиты приложений все общедоступные приложения, Microsoft Apps или Core Microsoft Apps. Затем можно выбрать Просмотр списка приложений, которые будут целевыми , чтобы просмотреть список приложений, на которые будет влиять эта политика. При необходимости можно выбрать назначение отдельных приложений, щелкнув Выбрать общедоступные приложения.
   Пользовательские приложения	Щелкните Выбрать пользовательские приложения, чтобы выбрать пользовательские приложения для целевого назначения на основе идентификатора пакета.

   Выбранные приложения будут отображаться в списке общедоступных и настраиваемых приложений.

5. Щелкните Проверить и создать , чтобы просмотреть приложения, выбранные для этой политики.

6. По завершении нажмите кнопку Сохранить , чтобы обновить политику защиты приложений.

Изменение списка групп пользователей

1. В области политики защита приложений выберите политику, которую нужно изменить.

2. В области Защита приложений Intune выберите Свойства.

3. Рядом с разделом "Назначения" выберите Изменить.

4. Чтобы добавить новую группу пользователей в политику, на вкладке Включить выберите Выберите группы для включения и выберите группу пользователей. Нажмите кнопку Выбрать , чтобы добавить группу.

5. Чтобы исключить группу пользователей, на вкладке Исключить выберите Выберите группы для исключения и выберите группу пользователей. Выберите Выбрать , чтобы удалить группу пользователей.

6. Чтобы удалить группы, которые были добавлены ранее, на вкладках Включить или Исключить выберите многоточие (...) и нажмите кнопку Удалить.

7. Щелкните Проверить и создать , чтобы просмотреть группы пользователей, выбранные для этой политики.

8. Когда изменения в назначения будут готовы, нажмите кнопку Сохранить , чтобы сохранить конфигурацию и развернуть политику для нового набора пользователей. Если нажать кнопку Отмена перед сохранением конфигурации, все изменения, внесенные на вкладки Включить и Исключить , будут отменены.

Изменение параметров политики

1. В области политики защита приложений выберите политику, которую нужно изменить.

2. В области Защита приложений Intune выберите Свойства.

3. Рядом с разделом, соответствующим параметрам, которые вы хотите изменить, выберите Изменить. Затем измените параметры на новые значения.

4. Нажмите кнопку Проверить и создать , чтобы просмотреть обновленные параметры для этой политики.

5. Выберите Сохранить , чтобы сохранить изменения. Повторите процесс, чтобы выбрать область параметров, а затем изменить, а затем сохранить изменения, пока все изменения не будут завершены. Затем можно закрыть панель "Защита приложений Intune — свойства ".

Целевые политики защиты приложений на основе состояния управления устройствами

Во многих организациях пользователи часто могут использовать как устройства Intune Mobile Управление устройствами (MDM), управляемые устройствами, такими как корпоративные устройства, так и неуправляемые устройства, защищенные только политиками защиты приложений Intune. Неуправляемые устройства часто называются переносом собственных устройств (BYOD).

Так как политики защиты приложений Intune предназначены для удостоверения пользователя, параметры защиты для пользователя могут применяться как к зарегистрированным (управляемым MDM), так и к незарегистрируемым устройствам (без MDM). Таким образом, вы можете настроить политику защиты приложений Intune на зарегистрированных или незарегистрированных устройствах iOS/iPadOS и Android с помощью фильтров. Дополнительные сведения о создании фильтров см. в статье Использование фильтров при назначении политик . Вы можете использовать одну политику защиты для неуправляемых устройств, в которой применяются строгие элементы управления защитой от потери данных (DLP), и отдельную политику защиты для устройств, управляемых MDM, где элементы управления DLP могут быть немного более спокойными. Дополнительные сведения о том, как это работает на личных устройствах Android Enterprise, см. в разделе политики и рабочие профили защита приложений.

Чтобы использовать эти фильтры при назначении политик, перейдите в раздел Приложения>защита приложений политики в Центре администрирования Intune, а затем выберите Создать политику. Вы также можете изменить существующую политику защиты приложений. Перейдите на страницу Назначения и выберите Изменить фильтр , чтобы включить или исключить фильтры для назначенной группы.

Типы Управление устройствами

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 30 августа 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в статье Прекращение поддержки администратора устройств Android на устройствах GMS.

• Неуправляемые. Для устройств iOS/iPadOS неуправляемые устройства — это любые устройства, на которых управление MDM Intune или стороннее решение MDM/EMM не передает IntuneMAMUPN ключ. Для устройств Android неуправляемые устройства — это устройства, на которых управление MDM Intune не обнаружено. Сюда входят устройства, управляемые сторонними поставщиками MDM.
• Управляемые устройства Intune. Управляемые устройства управляются Intune MDM.
• Администратор устройств Android: устройства, управляемые Intune, с помощью API администрирования устройств Android.
• Android Enterprise: устройства, управляемые Intune с помощью рабочих профилей Android Enterprise или Android Enterprise Full Управление устройствами.
• Корпоративные выделенные устройства Android Enterprise с режимом Microsoft Entra общих устройств. Устройства, управляемые Intune, используют выделенные устройства Android Enterprise в режиме общего устройства.
• Устройства Android (AOSP), связанные с пользователями: устройства, управляемые Intune, с помощью управления, связанного с пользователем AOSP.
• Устройства Android (AOSP) без пользователей: устройства, управляемые Intune, использующие устройства без пользователей AOSP. Эти устройства также используют Microsoft Entra режиме общего устройства.

На устройствах Android будет предложено установить приложение Корпоративный портал Intune независимо от того, какой тип Управление устройствами выбран. Например, если выбрать "Android Enterprise", пользователям с неуправляемыми устройствами Android по-прежнему будет предложено.

Для iOS/iPadOS, чтобы тип Управление устройствами применялся к управляемым устройствам Intune, требуются дополнительные параметры конфигурации приложения. Эти конфигурации будут сообщать службе приложений о том, что определенное приложение управляется, и что параметры приложения не будут применяться:

• IntuneMAMUPN и IntuneMAMOID должны быть настроены для всех приложений, управляемых MDM. Дополнительные сведения см. в статье Управление передачей данных между приложениями iOS/iPadOS в Microsoft Intune.
• IntuneMAMDeviceID необходимо настроить для всех сторонних и бизнес-приложений, управляемых MDM. IntuneMAMDeviceID следует настроить для маркера идентификатора устройства. Например, key=IntuneMAMDeviceID, value={{deviceID}}. Дополнительные сведения см. в статье Добавление политик конфигурации приложений для управляемых устройств iOS/iPadOS.
• Если настроен только IntuneMAMDeviceID , приложение Intune будет рассматривать устройство как неуправляемый.

Параметры политики

Чтобы просмотреть полный список параметров политики для iOS/iPadOS и Android, выберите одну из следующих ссылок:

• Политики iOS/iPadOS
• Политики Android

Дальнейшие действия

Мониторинг соответствия требованиям и состояния пользователя

См. также

• Где найти рабочие или учебные приложения для Android (справка пользователя)

• Где найти рабочие или учебные приложения для iOS/iPadOS (справка пользователя)