Как создать и назначить политики защиты приложений

Узнайте, как создавать и назначать политики защиты приложений (APP) Microsoft Intune для пользователей вашей организации. В этой статье также описывается внесение изменений в существующие политики.

Подготовка к работе

Политики защиты приложений могут применяться к приложениям, работающим на устройствах, которые могут управляться Intune или не могут управляться ими. Более подробное описание принципов работы политик защиты приложений и сценариев, поддерживаемых политиками защиты приложений Intune, см. в статье Общие сведения о политиках защиты приложений.

При настройке политик защиты приложений (APP) доступны различные параметры, которые позволяют организациям адаптировать систему безопасности в соответствии с конкретными потребностями. Однако они могут затруднить выбор параметров политик, необходимых для реализации полного сценария. Чтобы помочь организациям расставить приоритеты в отношении защиты клиентских конечных точек, корпорация Майкрософт представила новую таксономию для платформы защиты данных с APP для управления мобильными приложениями iOS и Android.

Платформа защиты данных c APP разделена на три разных уровня конфигурации, где каждый следующий уровень строится на предыдущем.

• Базовая защита корпоративных данных (уровень 1) обеспечивает защиту приложений с помощью ПИН-кода и шифрования и выполняет операции выборочной очистки. На устройствах Android этот уровень используется для проверки аттестации устройств. Это минимальная конфигурация, которая обеспечивает аналогичное управление защитой данных в политиках почтовых ящиков Exchange Online и предлагает ИТ-специалистам и пользователям возможности APP.
• Расширенная защита корпоративных данных (уровень 2) предоставляет механизмы APP для защиты от утечки данных и поддерживает минимальные требования к ОС. Эта конфигурация подходит большинству пользователей мобильных устройств, обращающихся к рабочим или учебным данным.
• Высокий уровень защиты корпоративных данных (уровень 3) предоставляет механизмы для расширенной защиты данных, улучшенную конфигурацию ПИН-кодов и политики защиты от угроз на мобильных устройствах. Эта конфигурация является рекомендуемой для пользователей, работающих с данными с высоким уровнем риска.

Конкретные рекомендации для каждого уровня конфигурации и минимальный список приложений, защиту которых необходимо обеспечить, см. в статье Использование политик защиты приложений на платформе защиты данных.

Если вам нужен список приложений, интегрированных с пакетом SDK для Intune, см. статью Защищенные приложения Microsoft Intune.

Сведения о добавлении бизнес-приложений организации (LOB) в Microsoft Intune для подготовки к политикам защиты приложений см. в статье Добавление приложений в Microsoft Intune.

Политики защиты приложений для приложений iOS/iPadOS и Android

При создании политики защиты приложений для приложений iOS/iPadOS и Android вы следуете современному процессу Intune, который приводит к созданию новой политики защиты приложений. Сведения о создании политик защиты приложений для приложений Windows см. в статье Параметры политики защиты приложений для Windows.

Создание политики защиты приложений iOS,iPadOS или Android

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Политики>Политики защиты приложений. Этот параметр открывает сведения о политиках защиты приложений , где вы создаете новые политики и редактируете существующие политики.

3. Выберите Создать политику и нажмите iOS/iPadOS или Android. Отобразится панель Создать политику.

4. На странице Основные добавьте следующие значения.

   Значение	Описание
   Имя	Имя этой политики защиты приложений.
   Описание	[Необязательно] Описание этой политики защиты приложений.

   Значение Платформа устанавливается на основе вашего предыдущего выбора.

   

5. Нажмите кнопку Далее , чтобы отобразить страницу Приложения .
   На странице Приложения можно выбрать приложения, которые должны быть целевыми для этой политики. Необходимо добавить не менее одного приложения.

   Значение/параметр	Описание
   Нацеливать политику на	В раскрывающемся списке Целевая политика для выберите для политики защиты приложений все приложения, приложения Майкрософт или Основные приложения Майкрософт. Все приложения включают все приложения Майкрософт и партнерские приложения, интегрированные с пакетом SDK для Intune. Microsoft Apps включает все приложения Майкрософт, интегрированные с пакетом SDK для Intune. Основные приложения Майкрософт включают следующие приложения: Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do и Word. Затем можно выбрать Просмотр списка приложений, которые будут целевыми , чтобы просмотреть список приложений, на которые будет влиять эта политика.
   Общедоступные приложения	Если вы не хотите выбирать одну из предопределенных групп приложений, вы можете выбрать целевые отдельные приложения, выбрав Выбранные приложения в раскрывающемся списке Целевая политика для. Щелкните Выбрать общедоступные приложения, чтобы выбрать общедоступные приложения для целевого назначения.
   Пользовательские приложения	Если вы не хотите выбирать одну из предопределенных групп приложений, вы можете выбрать целевые отдельные приложения, выбрав Выбранные приложения в раскрывающемся списке Целевая политика для. Щелкните Выбрать пользовательские приложения, чтобы выбрать пользовательские приложения для целевого назначения на основе идентификатора пакета. Вы не можете выбрать пользовательское приложение при выборе всех общедоступных приложений в одной политике.

   Выбранные приложения будут отображаться в списке общедоступных и настраиваемых приложений.

   Примечание.

   Общедоступные приложения поддерживаются приложениями корпорации Майкрософт и партнерами, которые обычно используются в Microsoft Intune. Эти защищенные приложения Intune включены с широким набором поддержки политик защиты мобильных приложений. Дополнительные сведения см. в статье Защищенные приложения Microsoft Intune. Пользовательские приложения — это бизнес-приложения, интегрированные с пакетом SDK для Intune или упакованные средством упаковки приложений Intune. Дополнительные сведения см . в разделах Обзор пакета SDK для приложений Microsoft Intune и Подготовка бизнес-приложений для политик защиты приложений.

6. Нажмите кнопку Далее , чтобы отобразить страницу Защита данных .
   На этой странице представлены параметры элементов управления защитой от потери данных (DLP), включая ограничения на такие действия, как «вырезать», «копировать», «вставить» и «сохранить как». Эти параметры определяют порядок работы пользователей с данными в приложениях, к которым применяется политика защиты приложений.

   Параметры защиты данных:

   • Защита данных iOS/iPadOS . Дополнительные сведения см. в разделе Параметры политики защиты приложений iOS/iPadOS — защита данных.
   • Защита данных Android . Дополнительные сведения см. в разделе Параметры политики защиты приложений Android — защита данных.

7. Нажмите кнопку Далее , чтобы открыть страницу Требования к доступу .
   На этой странице представлены параметры, позволяющие настроить ПИН-код и требования к учетным данным, которым должны соответствовать пользователи для доступа к приложениям в рабочих целях.

   Параметры требований к доступу:

   • Требования к доступу iOS/iPadOS . Сведения см. в разделе Параметры политики защиты приложений iOS/iPadOS — требования к доступу.
   • Требования к доступу Android . Дополнительные сведения см. в разделе Параметры политики защиты приложений Android — требования к доступу.

8. Нажмите кнопку Далее , чтобы отобразить страницу условного запуска .
   На этой странице представлены параметры для установки требований безопасности входа в систему для политики защиты приложения. Нажмите Параметр и введите Значение, которому пользователи должны соответствовать, чтобы войти в корпоративное приложение. Затем выберите действие , которое нужно выполнить, если пользователи не соответствуют вашим требованиям. В некоторых случаях для одного параметра можно настроить несколько действий.

   Параметры условного запуска:

   • Условный запуск iOS/iPadOS . Сведения см. в разделе Параметры политики защиты приложений iOS/iPadOS — условный запуск.
   • Условный запуск Android . Сведения см. в разделе Параметры политики защиты приложений Android — условный запуск.

9. Нажмите кнопку Далее , чтобы отобразить страницу Назначения .
   Страница Назначения позволяет назначить политику защиты приложений группам пользователей. Чтобы политика вступила в силу, необходимо применить политику к группе пользователей.

10. Нажмите кнопку Далее: Просмотр и создание , чтобы просмотреть значения и параметры, введенные для этой политики защиты приложений.

11. По завершении нажмите кнопку Создать , чтобы создать политику защиты приложений в Intune.

    Совет

    Эти параметры политики применяются только при использовании приложений в рабочем контексте. Когда конечные пользователи используют приложение для выполнения личной задачи, на них не влияют эти политики. Обратите внимание, что при создании нового файла он считается личным файлом.

    Важно!

    Применение политик защиты приложений к существующим устройствам может занять время. При применении политики защиты приложений конечные пользователи увидят уведомление на устройстве. Применяйте политики защиты приложений к устройствам, прежде чем применять правила условного доступа.

Пользователи могут скачать приложения из App Store или Google Play. Дополнительные сведения см. в разделе:

• Где найти приложения для работы или учебного заведения для iOS/iPadOS
• Где найти приложения для работы или учебного заведения для Android

Изменение существующих политик

Вы можете изменить существующую политику и применить ее к целевым пользователям. Дополнительные сведения о сроках доставки политики см. в статье Общие сведения о сроках доставки политики защиты приложений.

Изменение списка приложений, связанных с политикой

1. В области Политики защиты приложений выберите политику, которую нужно изменить.

2. В области Защита приложений Intune выберите Свойства.

3. Рядом с разделом Приложения выберите Изменить.

4. На странице Приложения можно выбрать приложения, которые должны быть целевыми для этой политики. Необходимо добавить не менее одного приложения.

   Значение/параметр	Описание
   Общедоступные приложения	В раскрывающемся списке Целевая политика для выберите для политики защиты приложений все общедоступные приложения, приложения Майкрософт или Основные приложения Майкрософт. Затем можно выбрать Просмотр списка приложений, которые будут целевыми , чтобы просмотреть список приложений, на которые будет влиять эта политика. При необходимости можно выбрать назначение отдельных приложений, щелкнув Выбрать общедоступные приложения.
   Пользовательские приложения	Щелкните Выбрать пользовательские приложения, чтобы выбрать пользовательские приложения для целевого назначения на основе идентификатора пакета.

   Выбранные приложения будут отображаться в списке общедоступных и настраиваемых приложений.

5. Щелкните Проверить и создать , чтобы просмотреть приложения, выбранные для этой политики.

6. По завершении нажмите кнопку Сохранить , чтобы обновить политику защиты приложений.

Изменение списка групп пользователей

1. В области Политики защиты приложений выберите политику, которую нужно изменить.

2. В области Защита приложений Intune выберите Свойства.

3. Рядом с разделом "Назначения" выберите Изменить.

4. Чтобы добавить новую группу пользователей в политику, на вкладке Включить выберите Выберите группы для включения и выберите группу пользователей. Нажмите кнопку Выбрать , чтобы добавить группу.

5. Чтобы исключить группу пользователей, на вкладке Исключить выберите Выберите группы для исключения и выберите группу пользователей. Выберите Выбрать , чтобы удалить группу пользователей.

6. Чтобы удалить группы, которые были добавлены ранее, на вкладках Включить или Исключить выберите многоточие (...) и нажмите кнопку Удалить.

7. Щелкните Проверить и создать , чтобы просмотреть группы пользователей, выбранные для этой политики.

8. Когда изменения в назначения будут готовы, нажмите кнопку Сохранить , чтобы сохранить конфигурацию и развернуть политику для нового набора пользователей. Если нажать кнопку Отмена перед сохранением конфигурации, все изменения, внесенные на вкладки Включить и Исключить , будут отменены.

Изменение параметров политики

1. В области Политики защиты приложений выберите политику, которую нужно изменить.

2. В области Защита приложений Intune выберите Свойства.

3. Рядом с разделом, соответствующим параметрам, которые вы хотите изменить, выберите Изменить. Затем измените параметры на новые значения.

4. Нажмите кнопку Проверить и создать , чтобы просмотреть обновленные параметры для этой политики.

5. Выберите Сохранить , чтобы сохранить изменения. Повторите процесс, чтобы выбрать область параметров, а затем изменить, а затем сохранить изменения, пока все изменения не будут завершены. Затем можно закрыть панель "Защита приложений Intune — свойства ".

Целевые политики защиты приложений на основе состояния управления устройствами

Во многих организациях пользователи часто могут использовать управляемые устройства Intune Mobile Device Management (MDM), например корпоративные устройства, и неуправляемые устройства, защищенные только политиками защиты приложений Intune. Неуправляемые устройства часто называются переносом собственных устройств (BYOD).

Так как политики защиты приложений Intune предназначены для удостоверения пользователя, параметры защиты для пользователя могут применяться как к зарегистрированным (управляемым MDM), так и к незарегистрируемым устройствам (без MDM). Таким образом, вы можете настроить политику защиты приложений Intune на зарегистрированных или незарегистрированных устройствах iOS/iPadOS и Android с помощью фильтров. Дополнительные сведения о создании фильтров см. в статье Использование фильтров при назначении политик . Вы можете использовать одну политику защиты для неуправляемых устройств, в которой применяются строгие элементы управления защитой от потери данных (DLP), и отдельную политику защиты для устройств, управляемых MDM, где элементы управления DLP могут быть немного более спокойными. Дополнительные сведения о том, как это работает на личных устройствах Android Enterprise, см. в разделе Политики защиты приложений и рабочие профили.

Чтобы использовать эти фильтры при назначении политик, перейдите в раздел Приложения>Политики защиты приложений в Центре администрирования Intune и выберите Создать политику. Вы также можете изменить существующую политику защиты приложений. Перейдите на страницу Назначения и выберите Изменить фильтр , чтобы включить или исключить фильтры для назначенной группы.

Типы управления устройствами

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

• Неуправляемые. Для устройств iOS/iPadOS неуправляемые устройства — это любые устройства, на которых управление MDM Intune или стороннее решение MDM/EMM не передает IntuneMAMUPN ключ. Для устройств Android неуправляемые устройства — это устройства, на которых управление MDM Intune не обнаружено. Сюда входят устройства, управляемые сторонними поставщиками MDM.
• Управляемые устройства Intune. Управляемые устройства управляются Intune MDM.
• Администратор устройств Android: устройства, управляемые Intune, с помощью API администрирования устройств Android.
• Android Enterprise: управляемые Intune устройства с помощью рабочих профилей Android Enterprise или Android Enterprise Full Device Management.
• Корпоративные выделенные устройства Android Enterprise с режимом общего устройства Microsoft Entra: устройства, управляемые Intune, использующие выделенные устройства Android Enterprise в режиме общего устройства.
• Устройства Android (AOSP), связанные с пользователями: устройства, управляемые Intune, с помощью управления, связанного с пользователем AOSP.
• Устройства Android (AOSP) без пользователей: устройства, управляемые Intune, использующие устройства без пользователей AOSP. Эти устройства также используют режим общего устройства Microsoft Entra.

На устройствах Android будет предложено установить приложение Корпоративного портала Intune независимо от выбранного типа управления устройствами. Например, если выбрать "Android Enterprise", пользователям с неуправляемыми устройствами Android по-прежнему будет предложено.

Для iOS/iPadOS, чтобы тип управления устройствами применялся к управляемым устройствам Intune, требуются дополнительные параметры конфигурации приложения. Эти конфигурации будут сообщать службе приложений о том, что определенное приложение управляется, и что параметры приложения не будут применяться:

• IntuneMAMUPN и IntuneMAMOID должны быть настроены для всех приложений, управляемых MDM. Дополнительные сведения см . в статье Управление передачей данных между приложениями iOS/iPadOS в Microsoft Intune.
• IntuneMAMDeviceID необходимо настроить для всех сторонних и бизнес-приложений, управляемых MDM. IntuneMAMDeviceID следует настроить для маркера идентификатора устройства. Например, key=IntuneMAMDeviceID, value={{deviceID}}. Дополнительные сведения см. в статье Добавление политик конфигурации приложений для управляемых устройств iOS/iPadOS.
• Если настроен только IntuneMAMDeviceID , приложение Intune будет рассматривать устройство как неуправляемый.

Параметры политики

Чтобы просмотреть полный список параметров политики для iOS/iPadOS и Android, выберите одну из следующих ссылок:

• Политики iOS/iPadOS
• Политики Android

Дальнейшие действия

Мониторинг соответствия требованиям и состояния пользователя

См. также

• Где найти рабочие или учебные приложения для Android (справка пользователя)

• Где найти рабочие или учебные приложения для iOS/iPadOS (справка пользователя)