Поделиться через


Параметры политик для защиты приложений в iOS

В этой статье описываются параметры политики защиты приложений на устройствах iOS/iPadOS. Эти параметры можно настроить при создании новой политики в области Параметры на портале.

Существует три категории параметров политики: перемещение данных, требования доступа и условный запуск. В этой статье термин приложения, управляемые политикой , относится к приложениям, настроенным с помощью политик защиты приложений.

Важно!

Intune Managed Browser прекращена. Используйте Microsoft Edge для взаимодействия с защищенным браузером в Intune.

Защита данных

Важно!

Для приложений, обновленных до версии 19.7.6 или более поздней версии для Xcode 15 и версии 20.2.1 или более поздней версии для Xcode 16 пакета SDK, если вы настроили параметр Отправить данные организации в другие приложения со значением, отличающимся от Всех приложений, блок захвата экрана применяется в следующих сценариях:

  • Снимки экрана
  • Запись экрана на устройстве
  • Демонстрация экрана с помощью приложений на устройстве, таких как Teams и Zoom mobile
  • Зеркальное отображение экрана на другом устройстве с помощью AirPlay
  • Зеркальное отображение или запись экрана с помощью QuickTime на подключенном компьютере Mac

Вы можете настроить параметр com.microsoft.intune.mam.screencapturecontrol = Disabled политики конфигурации приложений, чтобы разрешить захват экрана для устройств iOS. Этот параметр доступен в Intune, выбравКонфигурация>приложений>Создать управляемые>приложения. На шаге Параметры выберите Общие параметры конфигурации.

Чтобы она вступила в силу, приложения должны быть перезапущены после получения обновленной политики конфигурации приложений.

Передача данных

Setting Применение Значение по умолчанию
Резервное копирование данных организации в iTunes и iCloud Выберите Блокировать, чтобы запретить этому приложению выполнять резервное копирование рабочих или учебных данных в iTunes и iCloud. Выберите Разрешить, чтобы разрешить этому приложению выполнять резервное копирование рабочих или учебных данных в iTunes и iCloud. Allow
Отправлять данные организации в другие приложения Укажите, какие приложения могут получать данные от этого приложения:
  • Все приложения: разрешить передачу в любое приложение. Принимающее приложение имеет возможность чтения и редактирования данных.
  • Нет. Не разрешайте передачу данных в любое приложение, включая другие приложения, управляемые политикой. Если пользователь выполняет управляемую функцию open-in и передает документ, данные шифруются и не читаются.
  • Приложения, управляемые политикой: разрешить передачу только в другие приложения, управляемые политикой.

    Примечание.Пользователи могут передавать содержимое с помощью расширений Open-in или Share в неуправляемые приложения на незарегистрированных устройствах или зарегистрированных устройствах, которые разрешают общий доступ к неуправляемым приложениям. Intune шифрует передаваемые данные, поэтому неуправляемые приложения не могут читать их.

  • Приложения, управляемые политикой, с общим доступом к ОС. Разрешает передачу данных только другим приложениям, управляемым политикой, и передачу файлов другим управляемым приложениям MDM на зарегистрированных устройствах.

    Заметка: Значение приложения, управляемые политикой, с общим доступом к ОС применимо только к зарегистрированным устройствам MDM. Если этот параметр предназначен для пользователя на незарегистрированном устройстве, применяется поведение значения приложений, управляемых политикой. На незарегистрированных устройствах, когда действует значение Приложения, управляемые политикой, фильтрация "Открыть в/поделиться" гарантирует, что только другие приложения, управляемые политикой, могут принимать передачу данных. Если пользователь пытается передать содержимое в неуправляемое приложение (например, через расширение пользовательского общего ресурса), данные шифруются Intune и нечитаются, если принимающее приложение не поддерживает частный тип данных Intune. Пользователи могут передавать незашифрованное содержимое с помощью расширений Open-in или Share в любое приложение, разрешенное параметром MDM allowOpenFromManagedtoUnmanaged для iOS, при условии, что приложение-отправляющее приложение имеет и IntuneMAMOID настроеноIntuneMAMUPN. Дополнительные сведения см. в статье Управление передачей данных между приложениями iOS в Microsoft Intune. Дополнительные сведения об этом параметре MDM для iOS/iPadOS смhttps://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf. в этой статье.

  • Приложения, управляемые политикой, с фильтром "Открыть в/Общий доступ": разрешить передачу данных только в другие приложения, управляемые политикой, и фильтровать диалоговые окна "Открыть в/Общий доступ" для отображения только приложений, управляемых политикой. Чтобы настроить фильтрацию в диалоговом окне Открыть в/Общий доступ, требуется, чтобы оба приложения, выступающие в качестве источника и приемника файла или документа, использовали пакет SDK Intune для iOS версии 8.1.1 или более поздней.

    Примечание.Пользователи могут передавать содержимое с помощью расширений "Открыть в" или "Общий доступ" в неуправляемые приложения, если приложение поддерживает Intune частный тип данных. Intune шифрует передаваемые данные, чтобы неуправляемые приложения не могли их прочитать.


Поиск в центре внимания (позволяет выполнять поиск данных в приложениях) и сочетания клавиш Siri блокируются, если не задано значение Все приложения.

Эту политику также можно применять к универсальным ссылкам iOS/iPadOS.

Существуют некоторые приложения и службы, в которые Intune могут разрешать передачу данных по умолчанию. Кроме того, вы можете создавать собственные исключения, если хотите разрешить передачу данных в приложение, не поддерживающее Intune. Дополнительные сведения см. в статье Исключения передачи данных.

Все приложения
    Выбрать исключаемые приложения
Этот параметр доступен, если для предыдущего параметра выбрано значение Приложения, управляемые политикой.
    Выбрать универсальные ссылки для исключения
Укажите, какие универсальные ссылки iOS/iPadOS должны открываться в указанном неуправляемом приложении, а не в защищенном браузере, указанном в параметре Ограничить обмен веб-содержимым с другими приложениями. Необходимо связаться с разработчиком приложений, чтобы определить правильный универсальный формат ссылок для каждого приложения.
    Выбрать управляемые универсальные ссылки
Укажите, какие универсальные ссылки iOS/iPadOS должны открываться в указанном управляемом приложении, а не в защищенном браузере, указанном в параметре Ограничить обмен веб-содержимым с другими приложениями. Необходимо связаться с разработчиком приложений, чтобы определить правильный универсальный формат ссылок для каждого приложения.
    Сохранять копии данных организации
Выберите Блокировать, чтобы отключить возможность выбора команды "Сохранить как" в этом приложении. Выберите Разрешить, если хотите разрешить использование команды Сохранить как. Если выбрано значение Блокировать, можно настроить параметр Разрешить пользователю сохранять копии в выбранных службах.

Примечание.
  • Этот параметр поддерживается для Microsoft Excel, OneNote, Outlook, PowerPoint, Word и Microsoft Edge. Кроме того, его поддерживают приложения сторонних разработчиков и бизнес-приложения.
  • Этот параметр можно настроить, только если для параметра Отправлять данные организации в другие приложения задано значение Приложения, управляемые политикой, Приложения, управляемые политикой, с общим доступом к ОС или Приложения, управляемые политикой, с фильтрацией "Открыть в"/"Поделиться".
  • Этот параметр имеет значение "Разрешить", если для параметра Отправка данных организации в другие приложения задано значение Все приложения.
  • Этот параметр имеет значение "Блокировать" без разрешенных расположений служб, если для параметра Отправка данных организации в другие приложения задано значение Нет.
Allow
      Разрешить пользователю сохранять копии в выбранных службах
Пользователи могут сохранять файлы в выбранных службах: Microsoft OneDrive, SharePoint, Box, фототеке, iManage, Egnyte и локальном хранилище. Все остальные службы блокируются. OneDrive для работы или учебы. Вы можете сохранять файлы в OneDrive для работы или учебы, а также в SharePoint. SharePoint: вы можете сохранять файлы в локальной среде SharePoint. Библиотека фотографий: вы можете сохранять файлы в библиотеке фотографий локально. Локальное хранилище: управляемые приложения могут сохранять копии данных организации локально. Это НЕ включает сохранение файлов в локальные неуправляемые расположения, такие как приложение "Файлы" на устройстве. Выбрано: 0
    Transfer telecommunication data to (Перенос телекоммуникационных данных в)
Как правило, когда пользователь выбирает в приложении номер телефона с гиперссылкой, открывается приложение для набора номера с предварительно заполненным и готовым к звонку номером телефона. Для этого параметра выберите, как обрабатывать этот тип передачи содержимого, когда он инициируется из приложения, управляемого политикой:
  • Нет, не передавайте эти данные между приложениями. Не передавать данные связи при обнаружении номера телефона.
  • Определенное приложение для набора номера. Разрешите определенному управляемому приложению абонента инициировать контакт при обнаружении номера телефона.
  • Любое приложение для набора номера. Разрешите использовать любое управляемое приложение абонента для инициирования контакта при обнаружении номера телефона.

Примечание.Этот параметр требует Intune пакета SDK 12.7.0 и более поздних версий. Если ваши приложения используют функции абонентского номера и не используют правильную версию пакета SDK для Intune, в качестве обходного решения рекомендуется добавить "tel; telprompt" в качестве исключения для передачи данных. После того как приложения поддерживают правильную версию пакета SDK для Intune, исключение можно удалить.

Любое приложение для набора номера
      Схема URL-адресов приложения для набора номера
Если выбрано определенное приложение для набора номера, необходимо указать схему URL-адреса приложения для набора номера, которая используется для запуска приложения на устройствах iOS. Дополнительные сведения см. в документации Apple о телефонных ссылках. Blank
    Передача данных сообщений в
Как правило, когда пользователь выбирает гиперссылку для обмена сообщениями в приложении, откроется приложение для обмена сообщениями с номером телефона, предварительно заполненным и готовым к отправке. Для этого параметра выберите, как обрабатывать этот тип передачи содержимого, когда он инициируется из приложения, управляемого политикой. Чтобы этот параметр мог действовать, могут потребоваться дополнительные действия. Сначала убедитесь, что sms удалено из списка Выбор приложений для исключения. Затем убедитесь, что приложение использует более новую версию пакета SDK для Intune (версия > 19.0.0). Для этого параметра выберите, как обрабатывать этот тип передачи содержимого, когда он инициируется из приложения, управляемого политикой:
  • Нет, не передавайте эти данные между приложениями. Не передавать данные связи при обнаружении номера телефона.
  • Определенное приложение для обмена сообщениями. Разрешите определенному управляемому приложению для обмена сообщениями инициировать контакт при обнаружении номера телефона.
  • Любое приложение для обмена сообщениями. Разрешите использовать любое управляемое приложение для обмена сообщениями для инициирования контакта при обнаружении номера телефона.

Примечание. Этот параметр требует Intune пакета SDK 19.0.0 и более поздних версий.

Любое приложение для обмена сообщениями
      Схема URL-адреса приложения для обмена сообщениями
Если выбрано определенное приложение для обмена сообщениями, необходимо указать схему URL-адреса приложения для обмена сообщениями, которая используется для запуска приложения для обмена сообщениями на устройствах iOS. Дополнительные сведения см. в документации Apple о телефонных ссылках. Blank
Получать данные из других приложений Укажите, какие приложения могут передавать данные в это приложение:
  • Все приложения: разрешить передачу данных из любого приложения.
  • Нет. Не разрешайте передачу данных из любого приложения, включая другие приложения, управляемые политикой.
  • Приложения, управляемые политикой: разрешить передачу только из других приложений, управляемых политикой.
  • Все приложения с входящими данными организации: разрешить передачу данных из любого приложения. Считайте все входящие данные без удостоверения пользователя данными из вашей организации. Данные помечаются удостоверением зарегистрированного пользователя MDM, как определено параметром IntuneMAMUPN .

    Примечание.Все приложения со значением входящих данных организации применимы только к зарегистрированным устройствам MDM. Если этот параметр предназначен для пользователя на незарегистрированном устройстве, применяется поведение значения "Любые приложения".

Приложения с поддержкой MAM с несколькими удостоверениями пытаются переключиться на неуправляемую учетную запись при получении неуправляемых данных, если для этого параметра настроено значение Нет или Приложения, управляемые политикой. Если неуправляемая учетная запись отсутствует или приложение не может переключиться, входящие данные блокируются.

Все приложения
    Открывать данные в документах организации
Выберите Блокировать, чтобы отключить использование параметра Открыть или других параметров для обмена данными между учетными записями в этом приложении. Выберите Разрешить, если хотите разрешить использование параметра Открыть.

Если задано значение Блокировать , можно настроить параметр Разрешить пользователю открывать данные из выбранных служб , чтобы указать, какие службы разрешены для расположений данных организации.

Примечание.
  • Этот параметр можно настроить, только если для параметра Получать данные из других приложений установлено значение Приложения, управляемые политикой.
  • Этот параметр имеет значение "Разрешить", если для параметра Получение данных из других приложений задано значение Все приложения или Все приложения с входящими данными организации.
  • Этот параметр имеет значение "Блокировать" без разрешенных расположений служб, если для параметра Получение данных из других приложений задано значение Нет.
  • Этот параметр поддерживают следующие приложения.
    • OneDrive 11.45.3 или более поздней версии.
    • Outlook для iOS 4.60.0 или более поздней версии.
    • Teams для iOS 3.17.0 или более поздней версии.
Allow
      Разрешить пользователям открывать данные из выбранных служб
Выберите службы хранилища приложений, из которых пользователи могут открывать данные. Все остальные службы блокируются. Если нет служб, пользователи не могут открывать данные из внешних расположений.
Заметка: Этот элемент управления предназначен для работы с данными, которые находятся за пределами корпоративного контейнера.

Поддерживаемые службы:
  • OneDrive
  • SharePoint;
  • Камера
  • Библиотека фотографий
Заметка: Камера не включает доступ "Фотографии" или "Фотоальбом". Выбрав Библиотеку фотографий в параметре Разрешить пользователям открывать данные из выбранных служб в Intune, вы можете разрешить управляемым учетным записям входящие данные из библиотеки фотографий устройства в управляемые приложения.
Все выбранные
Ограничить вырезание, копирование и вставку данных между приложениями Укажите, когда можно использовать операции вырезания, копирования и вставки для этого приложения. Выберите один из следующий вариантов.
  • Заблокировано. Не разрешайте действия вырезать, копировать и вставлять между этим приложением и любым другим приложением.
  • Приложения, управляемые политикой: операции вырезания, копирования и вставки разрешены только между этим и другими приложениями, управляемыми политикой.
  • Приложения, управляемые политикой, с добавлением из буфера: разрешить операции вырезания и копирования между этим и другими приложениями, управляемыми политикой. Разрешить вставку данных из любого приложения в это приложение.
  • Любое приложение: не ограничивать операции вырезания, копирования и вставки данных в это приложение и из него.
Любое приложение
    Ограничение на количество символов для копирования и вставки в любом приложении
Укажите количество символов, которые могут быть вырезаны или скопированы из данных и учетных записей организации. Это позволяет совместно использовать указанное количество символов для любого приложения, включая неуправляемые приложения, независимо от параметра Ограничить вырезание, копирование и вставку с другими приложениями .

Значение по умолчанию — 0

Примечание. Приложение должно иметь пакет SDK для Intune версии 9.0.14 или более поздней.

0
Снимок экрана Выберите Блокировать, чтобы запретить захват с экрана рабочих или учебных данных. Если оставить значение по умолчанию "Разрешить", пользователи смогут записывать все данные организации и предоставлять общий доступ без ограничений.

Заметка: Дополнительные сведения о поддерживаемых сценариях захвата экрана см. в разделе Защита данных.

Allow

Примечание.

Для управляемых устройств требуется политика защиты приложений с IntuneMAMUPN. Это относится к любому параметру, которому также требуются зарегистрированные устройства.

Шифрование

Setting Применение Значение по умолчанию
Шифрование данных организации Выберите "Требуется", чтобы включить шифрование рабочих или учебных данных в этом приложении. Intune применяет шифрование на уровне устройства iOS/iPadOS для защиты данных приложения, пока устройство заблокировано. Кроме того, приложения могут при необходимости шифровать данные приложения с помощью Intune шифрования пакета SDK для приложений. Пакет SDK для приложений Intune использует методы шифрования iOS/iPadOS для применения 256-разрядного шифрования AES к данным приложения.

При включении этого параметра пользователю может потребоваться настроить и использовать ПИН-код устройства для доступа к устройству. Если ПИН-код отсутствует и требуется шифрование, после вывода сообщения "Ваша организация требует, чтобы вы сначала настроили ПИН-код для доступа к этому приложению" пользователю будет предложено задать ПИН-код.

Ознакомьтесь с официальной документацией Apple , чтобы узнать больше о классах защиты данных в рамках безопасности платформы Apple.
Обязательность

функциональность.

Setting Применение Значение по умолчанию
Синхронизация данных в собственных и управляемых политикой приложениях или надстройках Выберите Блокировать, чтобы запретить приложениям, управляемым политикой, сохранять данные в собственных приложениях устройства (контакты, календарь и мини-приложения), а также запретить использование надстроек в приложениях, управляемых политикой. Если приложение не поддерживает, сохранение данных в собственных приложениях и использование надстроек будет разрешено.

Если выбран параметр "Разрешить", управляемое политикой приложение может сохранять данные в собственных приложениях или использовать надстройки, если эти функции поддерживаются и включены в управляемом политикой приложении.

Приложения могут предоставлять дополнительные элементы управления для настройки поведения синхронизации данных для конкретных собственных приложений или не учитывать этот элемент управления.

Примечание. При выборочной очистке для удаления рабочих или учебных данных из приложения данные, синхронизируемые непосредственно из приложения, управляемого политикой, удаляются. Все данные, синхронизированные из собственного приложения с другим внешним источником, не очищаются.

Примечание. Следующие приложения поддерживают эту функцию:
Allow
Печать данных организации Выберите Блокировать, чтобы запретить приложению распечатывать рабочие или учебные данные. Если оставить этот параметр разрешить( значение по умолчанию), пользователи смогут экспортировать и печатать все данные организации. Allow
Ограничить обмен веб-содержимым с другими приложениями Укажите способ открытия веб-содержимого (ссылок http/https) из приложений, управляемых политиками. Варианты:
  • Любое приложение: разрешить веб-ссылки в любом приложении.
  • Microsoft Edge: разрешить открывать веб-содержимое только в Microsoft Edge. Этот браузер является браузером, управляемым политикой.
  • Неуправляемый браузер. Разрешите открывать веб-содержимое только в неуправляемом браузере, указанном с помощью параметра Протокол неуправляемого браузера. Веб-содержимое неуправляемо в целевом браузере.
    Приложение. Приложение должно иметь пакет SDK для Intune версии 11.0.9 или более поздней.
Если вы используете Intune для управления устройствами, см. статью Управление доступом в Интернет с помощью политик управляемого браузера в Microsoft Intune.

Если браузер, управляемый политикой, является обязательным, но не установлен, пользователям появляется запрос на установку Microsoft Edge.

Если требуется браузер, управляемый политикой, универсальные ссылки iOS/iPadOS управляются параметром политики Отправка данных организации в другие приложения .

Регистрация устройств в Intune
Если вы используете Intune для управления устройствами, см. статью Управление доступом в Интернет с помощью политик управляемого браузера в Microsoft Intune.

Браузер Microsoft Edge, управляемый политикой
Браузер Microsoft Edge для мобильных устройств (iOS/iPadOS и Android) поддерживает политики защиты приложений Intune. Пользователи, которые входят с помощью корпоративных учетных записей Microsoft Entra в браузерном приложении Microsoft Edge, защищены Intune. Браузер Microsoft Edge интегрирует пакет SDK для Intune и поддерживает все политики защиты данных, за исключением предотвращения следующих действий:

  • Сохранить как. Браузер Microsoft Edge не позволяет пользователю добавлять прямые подключения из приложения к поставщикам облачных хранилищ (например, OneDrive).
  • Синхронизация контактов. Браузер Microsoft Edge не сохраняет данные в собственных списках контактов.

Примечание. Пакет SDK для Intune не может определить, является ли целевое приложение браузером. На устройствах iOS/iPadOS другие управляемые браузерные приложения не допускаются.
Не настроено
    Протокол неуправляемого браузера
Введите протокол для одного неуправляемого браузера. Веб-содержимое (http/https-ссылки) из приложений, управляемых политикой, открывается в любом приложении, поддерживающем этот протокол. Веб-содержимое неуправляемо в целевом браузере.

Используйте эту функцию только в том случае, если необходимо предоставить общий доступ к защищенному содержимому в определенном браузере, который Intune политики защиты приложений не включено. Свяжитесь с поставщиком браузера, чтобы определить протокол, поддерживаемый необходимым браузером.

Примечание.Включите только префикс протокола. Если браузеру требуются ссылки в форме mybrowser://www.microsoft.com, введите mybrowser.
Ссылки переводятся как:
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
Blank
Уведомления о данных организации Укажите способ передачи корпоративных данных через уведомления ОС для учетных записей организации. Этот параметр политики влияет на локальное устройство и все подключенные устройства, такие как носимые устройства и интеллектуальные динамики. Приложения могут предоставлять дополнительные элементы управления для настройки поведения уведомлений или не учитывать все значения. Выберите один из следующий вариантов.
  • Заблокировано: не предоставлять общий доступ к уведомлениям.
    • Если приложение не поддерживает, уведомления разрешены.
  • Блокировать данные организации. Например, не делитесь данными организации в уведомлениях.
    • "У вас есть новая почта"; "У вас есть собрание".
    • Если приложение не поддерживает, уведомления разрешены.
  • Разрешить: показывать в уведомлениях корпоративные данные.

Примечание.
Для этого параметра требуется поддержка следующих приложений:

  • Outlook для iOS 4.34.0 или более поздней версии
  • Teams для iOS 2.0.22 или более поздней версии
  • Microsoft 365 (Office) для iOS 2.72 или более поздней версии
Allow

Примечание.

Ни один из параметров защиты данных не управляет функцией открытия в режиме управления Apple на устройствах iOS/iPadOS. Для использования функции "Открыть с помощью" Apple см. раздел Управление передачей данных между приложениями iOS/iPadOS в Microsoft Intune.

Исключения передачи данных

Существуют некоторые исключенные приложения и службы платформы, которые Intune политика защиты приложений может разрешать передачу данных в и из них в определенных сценариях. Этот список может измениться. В нем представлены полезные службы и приложения для безопасной работы.

Вы можете добавить неуправляемые приложения сторонних разработчиков в список исключений, чтобы разрешить исключения для передачи данных. Дополнительные сведения см. в статье Создание исключений для политики передачи данных Intune политики защиты приложений (APP). Разрешенные неуправляемые приложения должны вызываться по протоколу URL-адреса iOS. Например, если для неуправляемого приложения добавляется исключение для передачи данных, пользователи не смогут выполнять операции вырезания, копирования и вставки, если это ограничено политикой. Этот тип исключения также по-прежнему не позволит пользователям использовать действие Open-in в управляемом приложении для совместного использования или сохранения данных для исключения приложения, так как оно не основано на протоколе URL-адреса iOS. Дополнительные сведения о действии Открыть в см. в разделе Использование защиты приложений для приложений iOS.

Имя (имена) службы или приложения Описание
skype Skype
app-settings Параметры устройства
itms; itmss; itms-apps; itms-appss; itms-services Магазин App Store
calshow Встроенный календарь

Важно!

Политики защиты приложений, созданные до 15 июня 2020 года, включают схему URL-адресов tel и telprompt в рамах исключений при передаче данных по умолчанию. Эти схемы URL-адресов позволяют управляемым приложениям инициировать набиратель номера. Эта функция заменена параметром политики "Защита приложений" Передача данных телекоммуникационных данных . Администраторы должны удалить tel;telprompt; из исключений при передаче данных и использовать этот параметр политики защиты приложений, при условии, что управляемые приложения, инициирующие набиратель номера, включают пакет SDK для Intune 12.7.0 или более поздней версии.

Важно!

В пакете SDK Intune версии 14.5.0 или более поздней версии, включая схемы SMS и URL-адреса mailto в исключениях передачи данных, можно предоставлять общий доступ к данным организации контроллерам представлений MFMessageCompose (для sms) и MFMailCompose (для mailto) в приложениях, управляемых политикой.

Универсальные ссылки позволяют пользователю напрямую запускать приложение, связанное со ссылкой, вместо защищенного браузера, указанного в параметре Ограничить обмен веб-содержимым с другими приложениями. Необходимо связаться с разработчиком приложений, чтобы определить правильный универсальный формат ссылок для каждого приложения.

Универсальная политика ссылок также управляет ссылками app Clip по умолчанию.

Добавив универсальные ссылки в неуправляемые приложения, можно запустить указанное приложение. Чтобы добавить приложение, необходимо добавить ссылку в список исключений.

Предостережение

Целевые приложения для этих универсальных ссылок неуправляемы, и добавление исключения может привести к утечке данных безопасности.

Исключения универсального канала для приложений по умолчанию включают следующие приложения:

Универсальная ссылка приложения Описание
http://maps.apple.com; https://maps.apple.com Приложение "Карты"
http://facetime.apple.com; https://facetime.apple.com Приложение FaceTime

Если вы не хотите разрешать исключения для универсальных ссылок по умолчанию, их можно удалить. Вы также можете добавить универсальные ссылки для приложений сторонних разработчиков или бизнес-приложений. Исключения для универсальных ссылок позволяют использовать подстановочные знаки, такие как http://*.sharepoint-df.com/*.

Добавив универсальные ссылки в управляемые приложения, можно безопасно запустить указанное приложение. Чтобы добавить приложение, необходимо добавить универсальную ссылку приложения в управляемый список. Если целевое приложение поддерживает политику защиты приложений Intune, при выборе ссылки будет предпринята попытка запустить приложение. Если приложение не может открыться, ссылка открывается в защищенном браузере. Если целевое приложение не интегрирует пакет SDK для Intune, при выборе ссылки запускается защищенный браузер.

По умолчанию используются следующие управляемые универсальные ссылки:

Универсальная ссылка для управляемого приложения Описание
http://*.onedrive.com/*; https://*.onedrive.com/*; OneDrive
http://*.appsplatform.us/*; http://*.powerapps.cn/*; http://*.powerapps.com/*; http://*.powerapps.us/*; https://*.powerbi.com/*; https://app.powerbi.cn/*; https://app.powerbigov.us/*; https://app.powerbi.de/*; PowerApps
http://*.powerbi.com/*; http://app.powerbi.cn/*; http://app.powerbigov.us/*; http://app.powerbi.de/*; https://*.appsplatform.us/*; https://*.powerapps.cn/*; https://*.powerapps.com/*; https://*.powerapps.us/*; Power BI
http://*.service-now.com/*; https://*.service-now.com/*; ServiceNow
http://*.sharepoint.com/*; http://*.sharepoint-df.com/*; https://*.sharepoint.com/*; https://*.sharepoint-df.com/*; SharePoint
http://web.microsoftstream.com/video/*; http://msit.microsoftstream.com/video/*; https://web.microsoftstream.com/video/*; https://msit.microsoftstream.com/video/*; Поток
http://*teams.microsoft.com/l/*; http://*devspaces.skype.com/l/*; http://*teams.live.com/l/*; http://*collab.apps.mil/l/*; http://*teams.microsoft.us/l/*; http://*teams-fl.microsoft.com/l/*; https://*teams.microsoft.com/l/*; https://*devspaces.skype.com/l/*; https://*teams.live.com/l/*; https://*collab.apps.mil/l/*; https://*teams.microsoft.us/l/*; https://*teams-fl.microsoft.com/l/*; Teams
http://tasks.office.com/*; https://tasks.office.com/*; http://to-do.microsoft.com/sharing*; https://to-do.microsoft.com/sharing*; Список задач
http://*.yammer.com/*; https://*.yammer.com/*; Viva Engage
http://*.zoom.us/*; https://*.zoom.us/*; Масштабирование

Если вы не хотите разрешать исключения для универсальных ссылок по умолчанию, их можно удалить. Вы также можете добавить универсальные ссылки для приложений сторонних разработчиков или бизнес-приложений.

Требования к доступу

Setting Применение Значение по умолчанию
ПИН-код для доступа Выберите Требуется, чтобы для использования этого приложения требовалось вводить ПИН-код. Пользователю предлагается настроить ПИН-код при первом запуске приложения в рабочем или учебном контексте. ПИН-код применяется при работе как в сети, так и автономно.

Вы можете настроить надежность PIN-кода, используя параметры, доступные в разделе ПИН-код для доступа.

Заметка: Пользователи, которым разрешен доступ к приложению, могут сбросить ПИН-код приложения. В некоторых случаях этот параметр может не отображаться на устройствах iOS. Устройства iOS имеют максимальное ограничение в четыре доступных сочетания клавиш. Чтобы просмотреть ярлык сброса ПИН-кода приложения, пользователю может потребоваться доступ к ярлыку из другого управляемого приложения.
Обязательность
    Тип ПИН-кода
Укажите тип ПИН-кода (цифровой или секретный код), который необходимо ввести для доступа к приложению с примененными политиками защиты. Цифровой ПИН-код состоит только из цифр, а секретный код должен включать в себя по крайней мере одну букву или специальный символ.

Примечание.Чтобы настроить тип секретного кода, требуется, чтобы приложение Intune sdk версии 7.1.12 или более поздней. Числовой тип не имеет ограничения версии пакета SDK для Intune. Разрешенные специальные символы включают специальные символы и символы на клавиатуре английского языка iOS/iPadOS.
Числовой
    Простой ПИН-код
Выберите Разрешить, чтобы разрешить пользователям применять простые ПИН-коды, например 1234, 1111, abcd или aaaa. Выберите Блокировать, чтобы запретить простые последовательности. Простые последовательности проверяются в трех символьных скользящих окнах. Если параметр Блокировать настроен, 1235 или 1112 не будут приниматься в качестве ПИН-кода, установленного конечным пользователем, но 1122 будет разрешено.

Примечание. Если настроен ПИН-код типа "Секретный код", а параметр "Разрешить простой ПИН-код" имеет значение "Да", в ПИН-коде должна быть по крайней мере одна буква или один специальный знак. Если настроен ПИН-код типа пароля, а для параметра Разрешить простой ПИН задано значение Нет, пользователю потребуется как минимум 1 цифра и 1 буква и как минимум 1 специальный знак в своем ПИН-коде.
Allow
    Выбрать минимальную длину ПИН-кода
Укажите минимальное число цифр в ПИН-коде. 4
    Touch ID вместо ПИН-кода для доступа (iOS 8+)
Выберите Разрешить, чтобы разрешить использовать Touch ID вместо ПИН-кода для доступа к приложению. Allow
      Переопределить Touch ID ПИН-кодом после времени ожидания
Чтобы использовать этот параметр, выберите Требуется и настройте период бездействия. Обязательность
        Время ожидания (в минутах бездействия)
Укажите время в минутах, по истечении которого секретный код или числовой (настроенный) ПИН-код переопределяет использование отпечатка пальца или лица в качестве метода доступа. Это значение должно быть больше, чем значение параметра "Перепроверять требования доступа через (минуты бездействия)". 30
      Face ID вместо ПИН-кода для доступа (iOS 11+)
Выберите Разрешить, чтобы разрешить пользователю использовать технологию распознавания лиц для прохождения проверки подлинности на устройствах iOS/iPadOS. Если разрешено, для доступа к приложению должна использоваться технология Face ID при условии, что она поддерживается устройством. Allow
    Смена ПИН-кода после количества дней
Выберите Да, чтобы пользователи должны были менять ПИН-код приложения через определенный период времени в днях.

Если выбрано значение Да, необходимо настроить количество дней, по истечении которого ПИН-код необходимо сменить.
Нет
      Количество дней
Настройте количество дней, по истечении которого ПИН-код необходимо сменить. 90
    ПИН-код приложения при задании ПИН-кода устройства
Выберите Отключить, чтобы отключать ПИН-код приложения при обнаружении блокировки устройства на зарегистрированном устройстве, где настроен Корпоративный портал.

Примечание.Требуется, чтобы приложение Intune sdk версии 7.0.1 или более поздней. Параметр IntuneMAMUPN необходимо настроить, чтобы приложения обнаруживли состояние регистрации.

На устройствах с iOS/iPadOS можно разрешить пользователю подтверждать свою личность, используя Touch ID или Face ID вместо ПИН-кода. Для проверки подлинности пользователей с помощью Touch ID и Face ID служба Intune использует API LocalAuthentication. Дополнительные сведения о Touch ID и Face ID см. в руководстве по безопасности iOS.

Когда пользователь пытается использовать это приложение с помощью своей рабочей или учебной учетной записи, ему будет предложено проверить отпечаток пальца или сканировать лицо вместо ввода ПИН-кода. Если этот параметр включен, изображение предварительного просмотра переключателя приложений размыто при использовании рабочей или учебной учетной записи. Если в биометрической базе данных устройства есть какие-либо изменения, Intune запрашивает у пользователя ПИН-код при достижении следующего значения времени ожидания бездействия. Изменения биометрических данных включают добавление или удаление отпечатка пальца или лица для проверки подлинности. Если у пользователя Intune нет ПИН-кода, он должен настроить ПИН-код Intune.
Enable
Данные рабочей или учебной учетной записи для доступа Выберите Требовать, чтобы пользователь вход с помощью рабочей или учебной учетной записи вместо использования ПИН-кода для доступа к приложению. Если для этого параметра задано значение Требовать и включены ПИН-коды или биометрические запросы, пользователь увидит запрос корпоративных учетных данных и ПИН-код или биометрический запрос. Не требуется
Перепроверять требования доступа через (минут бездействия) Настройте количество минут бездействия, которое должно пройти, прежде чем приложение запросит повторную проверку требований доступа.

Например, администратор включает ПИН-код и блокирует устройства с привилегированным доступом в политике, пользователь открывает приложение, управляемое Intune, должен ввести ПИН-код и должен использовать приложение на устройстве без корня. При использовании этого параметра пользователю не нужно вводить ПИН-код или завершать другой корневой проверка обнаружения в любом приложении, управляемом Intune, за настроенный период времени.

Примечание. В iOS/iPadOS ПИН-код является общим для всех приложений, управляемых Intune одного издателя. Таймер ПИН-кода для определенного ПИН-кода сбрасывается после того, как приложение покидает передний план на устройстве. Пользователю не придется вводить ПИН-код в любом управляемом Intune приложении, которое использует свой ПИН-код в течение времени ожидания, определенного в этом параметре. Этот формат параметров политики поддерживает целое положительное число.
30

Примечание.

Дополнительные сведения о параметрах защиты для приложений Intune, настраиваемых в разделе "Доступ" для набора приложений и пользователей, работающих с iOS/iPadOS, см. в разделах Вопросы и ответы по Intune MAM и Выборочная очистка данных с помощью действий доступа политики защиты приложений в Intune.

Условный запуск

Настройте параметры условного запуска, чтобы задать требования безопасности входа для вашей политики защиты доступа.

По умолчанию предоставляется несколько параметров с предварительно настроенными значениями и действиями. Вы можете удалить некоторые из этих значений, например минимальную версию ОС. Вы также можете выбрать другие параметры в раскрывающемся списке Выбрать один .

Setting Применение
Максимальная версия ОС Укажите максимальную версию операционной системы iOS или iPadOS, разрешенную для использования этого приложения.

Действия:

  • Предупреждение . Пользователь видит уведомление, если версия iOS/iPadOS на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ . Пользователь блокирует доступ, если версия iOS/iPadOS на устройстве не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.

Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот формат параметра политики поддерживает следующие форматы версий: major.minor, major.minor.build, major.minor.build.revision.

Примечание.Требуется, чтобы приложение Intune пакета SDK версии 14.4.0 или более поздней.
Минимальная версия ОС Укажите минимальную версию операционной системы iOS/iPadOS, необходимую для использования этого приложения.

Действия:

  • Предупреждение . Пользователь видит уведомление, если версия iOS/iPadOS на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ . Пользователь блокирует доступ, если версия iOS/iPadOS на устройстве не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот формат параметра политики поддерживает следующие форматы версий: major.minor, major.minor.build, major.minor.build.revision.

Примечание.Требуется, чтобы приложение Intune sdk версии 7.0.1 или более поздней.
Макс. попыток ввода ПИН-кода Укажите количество попыток, за которое пользователь должен успешно ввести свой ПИН-код до применения настроенного действия. Если пользователь не может ввести ПИН-код после максимальной попытки ПИН-кода, пользователь должен сбросить пин-код после успешного входа в свою учетную запись и выполнения запроса многофакторной проверки подлинности (MFA), если это необходимо. Этот формат параметра политики поддерживает положительное целое число.

Действия:

  • Сбросить ПИН-код — пользователь должен сбросить ПИН-код.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Значение по умолчанию — 5
Период отсрочки в автономном режиме Период, в течение которого приложения, управляемые политикой, могут выполняться автономно, в минутах. Укажите время (в минутах), по истечении которого выполняется повторная проверка требований доступа для приложения.

Действия:

  • Блокировать доступ (мин): период, в течение которого приложения, управляемые политикой, могут выполняться автономно, в минутах. Укажите время (в минутах), по истечении которого выполняется повторная проверка требований доступа для приложения. По истечении заданного периода приложение блокирует доступ к рабочим и учебным данным, пока доступ к сети не возобновится. Таймер автономного льготного периода для блокировки доступа к данным вычисляется отдельно для каждого приложения на основе последнего проверка в службе Intune. Этот формат параметра политики поддерживает положительное целое число.

    Значение по умолчанию — 1440 минут (24 часа)

    Заметка: Настройка таймера отсрочки автономного периода для блокировки доступа меньше значения по умолчанию может привести к более частым прерываниям пользователей по мере обновления политики. Выбирать значение менее 30 минут не рекомендуется, так как это может привести к прерыванию работы пользователя при каждом запуске или возобновлении работы приложения.

    Заметка: Остановка обновления политики отсрочки в автономном режиме, включая закрытие или приостановку приложения, приведет к прерыванию работы пользователя при следующем запуске или возобновлении работы приложения.

  • Очистить данные (дни): по истечении указанного количества дней (значение определяется администратором) автономной работы приложение потребует от пользователя подключиться к сети и повторно пройти проверку подлинности. Если пользователь успешно прошел проверку подлинности, он сможет продолжить доступ к своим данным, а автономный интервал будет сброшен. Если пользователю не удается пройти проверку подлинности, приложение выполняет выборочную очистку учетной записи и данных пользователей. Дополнительные сведения о том, какие данные удаляются с помощью выборочной очистки, см. в статье Очистка только корпоративных данных из приложений, управляемых Intune. Срок автономного льготного периода для очистки данных рассчитывается отдельно для каждого приложения с учетом последней синхронизации со службой Intune. Этот формат параметра политики поддерживает положительное целое число.

    Значение по умолчанию — 90 дней
Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.
Устройства со снятой защитой или административным доступом Значение для этого параметра не задано.

Действия:

  • Блокировать доступ — блокирует запуск этого приложения на устройствах со снятой защитой или с административным доступом. Пользователь по-прежнему сможет использовать это приложение в личных целях, однако для доступа к рабочим или учебным данным ему придется использовать другое устройство.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Учетная запись отключена Значение для этого параметра не задано.

Действия:

  • Блокировать доступ. Когда мы убедимся, что пользователь отключен в Microsoft Entra ID, приложение блокирует доступ к рабочим или учебным данным.
  • Очистка данных. Когда мы убедимся, что пользователь отключен в Microsoft Entra ID, приложение выполняет выборочную очистку учетной записи и данных пользователей.
Минимальная версия приложения Укажите значение для минимального номера версии приложения.

Действия:

  • Предупредить — пользователь получит уведомление, если версия приложения на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ — пользователю будет запрещен доступ, если версия приложения на устройстве не соответствует требованиям.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Поскольку приложения часто используют четкую схему управления версиями, следует создать политику для минимальной версии одного целевого приложения (например, Политика управления версиями Outlook).

Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот параметр политики поддерживает соответствующие форматы версий пакета приложений iOS (major.minor или major.minor.patch).

Примечание.Требуется, чтобы приложение Intune sdk версии 7.0.1 или более поздней.

Кроме того, вы можете указать, где пользователи могут получить обновленную версию бизнес-приложения. Конечные пользователи видят это в диалоговом окне условного запуска минимальной версии приложения , в котором пользователям будет предложено обновить бизнес-приложение до минимальной версии. В iOS/iPadOS эта функция требует, чтобы приложение было интегрировано (или упаковано с помощью средства упаковки) с пакетом SDK для Intune для iOS версии 10.0.7 или более поздней версии. Чтобы настроить место обновления бизнес-приложения пользователем, приложению нужна политика конфигурации управляемого приложения, отправляемая ему с ключом com.microsoft.intune.myappstore. Отправленное значение определяет, из какого хранилища пользователь скачивает приложение. Если приложение развертывается с помощью Корпоративного портала, должно использоваться значение CompanyPortal. Для другого хранилища необходимо ввести полный URL-адрес.
Минимальная версия пакета SDK Укажите минимальную версию пакета SDK для Intune.

Действия:

  • Блокировать доступ — пользователю будет запрещен доступ, если версия приложения пакета SDK для политики защиты приложений Intune не соответствует требованиям.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
  • Предупреждение . Пользователь видит уведомление, если версия пакета SDK для iOS/iPadOS для приложения не соответствует минимальным требованиям к пакету SDK. Пользователю будет предложено выполнить обновление до последней версии приложения. Это уведомление можно отклонить.
См. дополнительные сведения о пакете SDK для политики защиты приложений Intune см. в статье Обзор Intune App SDK. Так как приложения часто имеют разные версии пакета SDK Intune, создайте политику с минимальной версией пакета SDK Intune, ориентированной на одно приложение (например, Intune политику версии пакета SDK для Outlook).

Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.
Модель устройства Укажите разделенный запятой список идентификаторов модели. Эти значения не чувствительны к регистру.

Действия:

  • Разрешить указанные (блокировать неуказанные) — это приложение могут использовать только устройства указанной модели. Все другие модели устройства блокируются.
  • Разрешить указанные (очистить неуказанные) — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Дополнительные сведения об использовании этого параметра см. в статье Действия условного запуска.
Максимальный допустимый уровень угроз для устройства Политики защиты приложений могут использовать соединитель Intune-MTD. Укажите максимальный уровень угроз, приемлемый для использования этого приложения. Выбранное приложение Mobile Threat Defense (MTD) определяет угрозы на устройстве пользователя. Укажите Защищенный, Низкий, Средний или Высокий. Защищенный требует отсутствия угроз на устройстве и является наиболее строгим значением из доступных, а Высокий, по сути, требует наличия активного подключения Intune к MTD.

Действия:

  • Блокировка доступа . Пользователь блокирует доступ, если уровень угрозы, определенный выбранным приложением поставщика Mobile Threat Defense (MTD) на устройстве конечного пользователя, не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Примечание.Требуется, чтобы приложение Intune пакета SDK версии 12.0.15 или более поздней.

Дополнительные сведения об использовании этого параметра см. в статье Активация MTD для незарегистрированных устройств.
Основная служба MTD Если вы настроили несколько соединителей Intune-MTD, укажите основное приложение поставщика MTD, которое должно использоваться на устройстве конечного пользователя.

Ниже указаны следующие значения :

  • Microsoft Defender для конечной точки — если настроен соединитель MTD, укажите Microsoft Defender для конечной точки предоставляет сведения об уровне угрозы устройства.
  • Mobile Threat Defense (non-Microsoft) — если настроен соединитель MTD, укажите, что MTD не microsoft предоставляет сведения об уровне угрозы устройства.

Чтобы использовать этот параметр, необходимо настроить параметр "Максимальный разрешенный уровень угрозы устройства".

Действия для этого параметра отсутствуют.

Нерабочее время Значение для этого параметра не задано.

Действия:

  • Блокировать доступ . Доступ заблокирован, так как учетная запись пользователя, связанная с приложением, находится в нерабочее время.
  • Предупреждение . Пользователь видит уведомление, если учетная запись пользователя, связанная с приложением, находится в нерабочее время. Уведомление может быть отклонено.
Примечание. Этот параметр необходимо настроить только в том случае, если клиент интегрирован с API рабочего времени. Дополнительные сведения об интеграции этого параметра с API рабочего времени см. в статье Ограничение доступа к Microsoft Teams при отключении рабочих на переднем крае. Если вы настроите этот параметр без интеграции с API рабочего времени, учетная запись, связанная с приложением, может быть заблокирована из-за отсутствия состояния рабочего времени.

Следующие приложения поддерживают эту функцию:

  • Teams для iOS версии 6.9.2 или более поздней версии
  • Microsoft Edge для iOS версии 126.2592.56 или более поздней версии

Подробнее