Параметры политики защиты приложений Android в Microsoft Intune

  • Статья

В этой статье описаны параметры политики защиты приложений для устройств Android. Описанные параметры политики можно настроить для политики защиты приложений на панели Параметры на портале. Существует три категории параметров политики: параметры защиты данных, требования к доступу и условный запуск. В этой статье термин управляемые политикой приложения означает приложения, которые настроены с помощью политик защиты приложений.

Важно!

Для получения политик защиты приложений для устройств Android требуется Корпоративный портал Intune.

Intune Managed Browser больше не поддерживается. Используйте Microsoft Edge для взаимодействия с защищенным браузером в Intune.

Защита данных

Передача данных

Setting Применение Значение по умолчанию
Резервное копирование данных организации в службы резервного копирования Android Выберите Блокировать, чтобы запретить этому приложению резервное копирование рабочих или учебных данных в службу архивации Android.

Выберите Разрешить, чтобы разрешить этому приложению создавать резервные копии рабочих или учебных данных.		 Allow
Отправка данных организации в другие приложения Укажите, какие приложения могут получать данные от этого приложения:
  • Приложения, управляемые политикой: разрешить передачу только в другие приложения, управляемые политикой.
  • Все приложения: разрешить передачу в любое приложение.
  • Нет. Не разрешайте передачу данных в любое приложение, включая другие приложения, управляемые политикой.

Среди приложений и служб существует несколько исключений, в которых Intune может разрешить передачу данных по умолчанию. Кроме того, вы можете создавать собственные исключения, если хотите разрешить передачу данных в приложение, не поддерживающее Intune. Дополнительные сведения см. в разделе Исключения передачи данных.

Эта политика также может применяться к ссылкам на приложения Android. Общие веб-ссылки управляются параметром политики Открывать ссылки из приложений в Intune Managed Browser.

Примечание.

Intune в настоящее время не поддерживает функцию мгновенных приложений Android. Intune заблокируют любое подключение к приложению или из приложения. Дополнительные сведения см. в разделе Мгновенные приложения Android в документации для разработчиков Android.

Если отправка данных организации в другие приложения настроена для всех приложений, текстовые данные по-прежнему могут передаваться через общий доступ ОС в буфер обмена.

 Все приложения
    Выбрать исключаемые приложения
 Этот параметр доступен, если для предыдущего параметра выбрано значение Приложения, управляемые политикой.
    Сохранять копии данных организации
 Выберите Блокировать, чтобы отключить возможность выбора команды "Сохранить как" в этом приложении. Выберите Разрешить, если хотите разрешить использование команды Сохранить как. Если выбрано значение Блокировать, можно настроить параметр Разрешить пользователю сохранять копии в выбранных службах.

Примечание.
  • Этот параметр поддерживается для Microsoft Excel, OneNote, PowerPoint, Word и Edge. Он также может поддерживаться сторонними и бизнес-приложениями.
  • Этот параметр можно настроить только в том случае, если для параметра Отправка данных организации в другие приложения задано значение Приложения, управляемые политикой.
  • Этот параметр будет иметь значение "Разрешить", если для параметра Отправлять данные организации в другие приложения установлено значение Все приложения.
  • Этот параметр будет иметь значение "Заблокировать" без допустимых расположений служб, если для параметра Отправлять данные организации в другие приложения установлено значение Нет.
Allow
      Разрешить пользователю сохранять копии в выбранных службах
 Пользователи могут сохранять файлы в выбранных службах (OneDrive для бизнеса, SharePoint, библиотека фотографий, Box и локальное хранилище). Все остальные службы будут заблокированы. Выбрано: 0
    Передача телекоммуникационных данных в
 Как правило, когда пользователь выбирает гиперссылку с номером телефона в приложении, открывается набиратель номера с предварительно заполненным номером, готовый к вызову. Для этого параметра выберите, как обрабатывать этот тип передачи содержимого, когда он инициируется из приложения, управляемого политикой:
  • Нет, не передавайте эти данные между приложениями. Не передавать данные связи при обнаружении номера телефона.
  • Определенное приложение для набора номера. Разрешить определенному приложению для набора номера инициировать контакт при обнаружении номера телефона.
  • Любое приложение, управляемое политикой. Разрешить любому приложению, управляемому политикой, инициировать контакт при обнаружении номера телефона.
  • Любое приложение для набора номера. Разрешить использование любого приложения для набора номера для установления контакта при обнаружении номера телефона.
 Любое приложение для набора номера
      Идентификатор пакета приложения dialer
 Если выбрано определенное приложение для набора номера, необходимо указать идентификатор пакета приложения. Blank
      Имя приложения абонента
 Если выбрано определенное приложение для набора номера, необходимо указать имя этого приложения. Blank
    Передача данных сообщений в
 Как правило, когда пользователь выбирает гиперссылку с номером телефона в приложении, открывается набиратель номера с предварительно заполненным номером, готовый к вызову. Для этого параметра выберите, как обрабатывать этот тип передачи содержимого, когда он инициируется из приложения, управляемого политикой. Для этого параметра выберите, как обрабатывать этот тип передачи содержимого, когда он инициируется из приложения, управляемого политикой:
  • Нет, не передавайте эти данные между приложениями. Не передавать данные связи при обнаружении номера телефона.
  • Определенное приложение для обмена сообщениями. Разрешите использовать определенное приложение для обмена сообщениями для инициирования контакта при обнаружении номера телефона.
  • Любое приложение для обмена сообщениями, управляемое политикой. Разрешить использовать любое приложение для обмена сообщениями, управляемое политикой, для инициации контакта при обнаружении номера телефона.
  • Любое приложение для обмена сообщениями. Разрешить использовать любое приложение для обмена сообщениями для инициирования контакта при обнаружении номера телефона.
 Любое приложение для обмена сообщениями
      Идентификатор пакета приложения для обмена сообщениями
 Если выбрано определенное приложение для обмена сообщениями, необходимо указать идентификатор пакета приложения. Blank
      Имя приложения для обмена сообщениями
 Если выбрано определенное приложение для обмена сообщениями, необходимо указать имя приложения для обмена сообщениями. Blank
Получать данные из других приложений Укажите, какие приложения могут передавать данные в это приложение:
  • Приложения, управляемые политикой: разрешить передачу только из других приложений, управляемых политикой.
  • Все приложения: разрешить передачу данных из любого приложения.
  • Нет. Не разрешайте передачу данных из любого приложения, включая другие приложения, управляемые политикой.

Существуют некоторые исключенные приложения и службы, из которых Intune может разрешить передачу данных. Полный список приложений и служб см. в разделе Исключения передачи данных.

 Все приложения
    Открывать данные в документах организации
 Выберите Блокировать, чтобы отключить использование параметра Открыть или других параметров для обмена данными между учетными записями в этом приложении. Выберите Разрешить, если хотите разрешить использование параметра Открыть.

При выборе значения Блокировать можно настроить параметр Разрешить пользователю открывать данные из выбранных служб, указав службы, которым разрешен доступ к расположениям данных организации.

Примечание.
  • Этот параметр можно настроить, только если для параметра Получать данные из других приложений установлено значение Приложения, управляемые политикой.
  • Этот параметр будет иметь значение "Разрешить", если для параметра Получение данных из других приложений задано значение Все приложения.
  • Этот параметр будет иметь значение "Заблокировать" без допустимых расположений служб, если для параметра Получать данные из других приложений установлено значение Нет.
  • Этот параметр поддерживают следующие приложения.
    • OneDrive 6.14.1 или более поздней версии.
    • Outlook для Android 4.2039.2 или более поздней версии.
    • Teams для Android 1416/1.0.0.2021173701 или более поздней версии.

Allow
      Разрешить пользователям открывать данные из выбранных служб
 Выберите службы хранилища приложений, из которых пользователи могут открывать данные. Все остальные службы блокируются. Если не выбрать службы, пользователи не смогут открывать данные.

Поддерживаемые службы:
  • OneDrive для бизнеса
  • SharePoint Online
  • Камера
  • Библиотека фотографий
Примечание: Камера не включает доступ "Фотографии" или "Фотоальбом". При выборе библиотеки фотографий (включая средство выбора фотографий Android) в параметре Разрешить пользователям открывать данные из выбранных служб в Intune можно разрешить управляемым учетным записям разрешать входящие изображения и видео из локального хранилища устройства в управляемые приложения.		 Все выбранные
Ограничить вырезание, копирование и вставку данных между приложениями Укажите, когда можно использовать операции вырезания, копирования и вставки для этого приложения. Варианты:
  • Заблокировано. Не разрешайте действия вырезать, копировать и вставлять между этим приложением и любым другим приложением.
  • Приложения, управляемые политикой: операции вырезания, копирования и вставки разрешены только между этим и другими приложениями, управляемыми политикой.
  • Приложения, управляемые политикой, с добавлением из буфера: разрешить операции вырезания и копирования между этим и другими приложениями, управляемыми политикой. Разрешить вставку данных из любого приложения в это приложение.
  • Любое приложение: не ограничивать операции вырезания, копирования и вставки данных в это приложение и из него.
 Любое приложение
    Ограничение на количество символов для копирования и вставки в любом приложении
 Укажите количество символов, которые могут быть вырезаны или скопированы из данных организации и учетных записей. Это позволит совместно использовать указанное количество символов, если в противном случае оно будет заблокировано параметром "Ограничение вырезания, копирования и вставки с помощью других приложений".

Значение по умолчанию — 0

Примечание. Требуется Корпоративный портал Intune версии 5.0.4364.0 или более поздней.

 0
Снимок экрана и Google Assistant Выберите Блокировать, чтобы заблокировать захват экрана и заблокировать Google Assistant доступ к данным организации на устройстве при использовании этого приложения. При выборе параметра Блокировать изображение предварительного просмотра переключателя приложений также будет размыто при использовании этого приложения с рабочей или учебной учетной записью.

Примечание. Google Assistant может быть доступен для пользователей в сценариях, которые не получают доступ к данным организации.

 Блокировка
Утвержденные клавиатуры Выберите Требовать , а затем укажите список утвержденных клавиатур для этой политики.

Пользователи, которые не используют утвержденную клавиатуру, получают запрос на скачивание и установку утвержденной клавиатуры, прежде чем они смогут использовать защищенное приложение. Для этого параметра приложение должно иметь пакет SDK для Intune для Android версии 6.2.0 или более поздней.

 Не требуется
    Выбор клавиатуры для утверждения
 Этот параметр доступен при выборе параметра Требовать для предыдущего параметра. Выберите Выбрать , чтобы управлять списком клавиатур и методов ввода, которые можно использовать с приложениями, защищенными этой политикой. Вы можете добавить в список дополнительные клавиатуры и удалить любой из параметров по умолчанию. Для сохранения параметра требуется по крайней мере одна утвержденная клавиатура. Со временем корпорация Майкрософт может добавить в список дополнительные клавиатуры для новых политик защиты приложений, что потребует от администраторов проверки и обновления существующих политик по мере необходимости.

Чтобы добавить клавиатуру, укажите:

  • Имя: понятное имя, которое идентифицирует клавиатуру и отображается пользователю.
  • Идентификатор пакета. Идентификатор пакета приложения в магазине Google Play. Например, если URL-адрес приложения в магазине Play — https://play.google.com/store/details?id=com.contoskeyboard.android.prod, то идентификатор пакета — com.contosokeyboard.android.prod. Этот идентификатор пакета представляется пользователю в виде простой ссылки для скачивания клавиатуры из Google Play.

Примечание: Пользователю, назначаемому нескольким политикам защиты приложений, будет разрешено использовать только утвержденные клавиатуры, общие для всех политик.

Шифрование

Setting Применение Значение по умолчанию
Шифрование данных организации Выберите Требовать, чтобы включить шифрование рабочих или учебных данных в этом приложении. Intune использует 256-разрядную схему шифрования AES wolfSSL вместе с системой Хранилища ключей Android для безопасного шифрования данных приложения. Данные шифруются синхронно во время задач файлового ввода-вывода. Содержимое в хранилище устройства всегда шифруется. Новые файлы будут зашифрованы с помощью 256-разрядных ключей. Существующие 128-разрядные зашифрованные файлы будут перенесены на 256-разрядные ключи, но этот процесс не гарантируется. Файлы, зашифрованные с помощью 128-разрядных ключей, останутся читаемыми.

Проверяется метод шифрования FIPS 140-2; Дополнительные сведения см. в разделах wolfCrypt FIPS 140-2 и FIPS 140-3.		 Обязательность
    Шифрование данных организации на зарегистрированных устройствах
 Выберите Требовать, чтобы принудительно шифровать данные организации с помощью шифрования на уровне приложений Intune на всех устройствах. Выберите Не требуется, чтобы не принудительно шифровать данные организации с помощью шифрования на уровне приложений Intune на зарегистрированных устройствах. Обязательность

функциональность.

Setting Применение Значение по умолчанию
Синхронизация данных в собственных и управляемых политикой приложениях или надстройках Выберите Блокировать, чтобы запретить приложениям, управляемым политикой, сохранять данные в собственных приложениях устройства (контакты, календарь и мини-приложения), а также запретить использование надстроек в приложениях, управляемых политикой. Если приложение не поддерживает, сохранение данных в собственных приложениях и использование надстроек будет разрешено.

Если выбран параметр "Разрешить", управляемое политикой приложение может сохранять данные в собственных приложениях или использовать надстройки, если эти функции поддерживаются и включены в управляемом политикой приложении.

Приложения могут предоставлять дополнительные элементы управления для настройки поведения синхронизации данных для конкретных собственных приложений или не учитывать этот элемент управления.

Примечание. При выборочной очистке для удаления рабочих или учебных данных из приложения данные, синхронизируемые непосредственно из приложения, управляемого политикой, удаляются. Все данные, синхронизированные из собственного приложения с другим внешним источником, не будут очищаться.

Примечание. Следующие приложения поддерживают эту функцию:		 Allow
Печать данных организации Выберите Блокировать, чтобы запретить приложению печатать рабочие или учебные данные. Если для этого параметра оставить заданное по умолчанию значение Разрешить, пользователи смогут экспортировать и печатать все данные организации. Allow
Ограничить обмен веб-содержимым с другими приложениями Укажите способ открытия веб-содержимого (ссылок http/https) из приложений, управляемых политиками. Варианты:
  • Любое приложение: разрешить веб-ссылки в любом приложении.
  • Intune Managed Browser: разрешить открывать веб-содержимое только в Intune Managed Browser. Этот браузер является браузером, управляемым политикой.
  • Microsoft Edge: разрешить открывать веб-содержимое только в Microsoft Edge. Этот браузер является браузером, управляемым политикой.
  • Неуправляемый браузер. Разрешите открывать веб-содержимое только в неуправляемом браузере, указанном с помощью параметра Протокол неуправляемого браузера. Веб-содержимое в целевом браузере будет неуправляемым.
    Примечание. Требуется Корпоративный портал Intune версии 5.0.4415.0 или более поздней.


    • Браузеры, управляемые политикой
    В Android пользователи могут выбирать другие приложения, управляемые политикой, которые поддерживают ссылки http/https, если ни Intune Managed Browser, ни Microsoft Edge не установлены.

    Если браузер, управляемый политикой, требуется, но не установлен, конечным пользователям будет предложено установить Microsoft Edge.

    Если требуется браузер, управляемый политикой, ссылки на приложения Android управляются параметром политики Разрешить приложению передавать данные в другие приложения .

    Регистрация устройств в Intune
    Если вы используете Intune для управления устройствами, см. статью Управление доступом к Интернету с помощью политик управляемого браузера с помощью Microsoft Intune.

    Браузер Microsoft Edge, управляемый политикой
    Браузер Microsoft Edge для мобильных устройств (iOS/iPadOS и Android) поддерживает политики защиты приложений Intune. Пользователи, которые выполняют вход с помощью корпоративных Microsoft Entra учетных записей в браузерном приложении Microsoft Edge, будут защищены Intune. Браузер Microsoft Edge интегрирует пакет SDK для приложений и поддерживает все политики защиты данных, за исключением предотвращения следующих действий:

    • Сохранить как. Браузер Microsoft Edge не позволяет пользователю добавлять прямые подключения из приложения к поставщикам облачных хранилищ (например, OneDrive).
    • Синхронизация контактов. Браузер Microsoft Edge не сохраняет данные в собственных списках контактов.
    Примечание.Пакет SDK для приложений не может определить, является ли целевое приложение браузером. На устройствах Android разрешены другие управляемые браузерные приложения, поддерживающие намерение http/https.
 Не настроено
    Неуправляемый идентификатор браузера
 Введите идентификатор приложения для одного браузера. Веб-содержимое (http/https-ссылки) из приложений, управляемых политикой, откроется в указанном браузере. Веб-содержимое в целевом браузере будет неуправляемым. Blank
    Имя неуправляемого браузера
 Введите имя приложения для браузера, связанного с идентификатором неуправляемого браузера. Это имя будет отображаться пользователям, если указанный браузер не установлен. Blank
Уведомления о данных организации Укажите, сколько данных организации передается с помощью уведомлений ОС для учетных записей организации. Этот параметр политики влияет на локальное устройство и все подключенные устройства, такие как переносные устройства и умные колонки. Приложения могут иметь дополнительные элементы управления для настройки поведения уведомлений или могут не учитывать все значения. Выберите один из следующий вариантов.
  • Блокировать: не предоставлять общий доступ к уведомлениям.
    • Если приложение это не поддерживает, уведомления разрешаются.
  • Блокировать данные организации. Не делитесь данными организации в уведомлениях. Например, "У вас есть новая почта"; "У вас есть собрание".
    • Если приложение это не поддерживает, уведомления блокируются.
  • Разрешить: предоставление доступа к данным организации в уведомлениях

Примечание. Для этого параметра требуется поддержка приложений:

  • Outlook для Android 4.0.95 или более поздней версии
  • Teams для Android 1416/1.0.0.2020092202 или более поздней версии.
 Allow

Исключения передачи данных

Существуют некоторые исключенные приложения и службы платформ, которые Intune политики защиты приложений разрешают передачу данных в и из них. Например, все приложения, управляемые Intune на Android, должны иметь возможность передавать данные в google Text-to-speech и из нее, чтобы текст с экрана мобильного устройства мог читаться вслух. Этот список может измениться. В нем представлены полезные службы и приложения для безопасной работы.

Полные исключения

Эти приложения и службы полностью разрешены для передачи данных в приложения, управляемые Intune, и из них.

Имя приложения или службы Описание
com.android.phone Собственное приложение для телефона
com.android.vending Магазин Google Play
com.google.android.webview WebView, который необходим для многих приложений, включая Outlook.
com.android.webview Веб-представление, необходимое для многих приложений, включая Outlook.
com.google.android.tts Преобразование текста в речь в Google
com.android.providers.settings Параметры системы Android
com.android.settings Параметры системы Android
com.azure.authenticator Приложение Azure Authenticator, которое требуется для успешной проверки подлинности во многих сценариях.
com.microsoft.windowsintune.companyportal Корпоративный портал Intune

Условные исключения

Эти приложения и службы разрешены только для передачи данных в приложения, управляемые Intune, и из них только при определенных условиях.

Имя приложения или службы Описание Условие исключения
com.android.chrome Браузер Google Chrome Chrome используется для некоторых компонентов WebView в Android 7.0 и более поздних версий и никогда не скрывается от просмотра. Однако поток данных в приложение и из нее всегда ограничен.
com.skype.raider Skype Приложение Skype разрешено только для определенных действий, которые приводят к телефонным звонкам.
com.android.providers.media Поставщик содержимого мультимедиа Android Поставщик содержимого мультимедиа разрешен только для действия выбора мелодии звонка.
com.google.android.gms; com.google.android.gsf Пакеты служб Google Play Эти пакеты разрешены для действий Google Cloud Messaging, таких как push-уведомления.
com.google.android.apps.maps Google Maps Адреса разрешены для навигации.
com.android.documentsui Средство выбора документов Android Разрешено при открытии или создании файла.
com.google.android.documentsui Средство выбора документов Android (Android 10 и более поздних версий) Разрешено при открытии или создании файла.

Дополнительные сведения см. в разделе Исключения политики передачи данных для приложений.

Требования к доступу

Setting Применение
ПИН-код для доступа Выберите Требуется, чтобы для использования этого приложения требовалось вводить ПИН-код. Пользователю предлагается настроить ПИН-код при первом запуске приложения в рабочем или учебном контексте.

Значение по умолчанию = Требовать

Вы можете настроить надежность PIN-кода, используя параметры, доступные в разделе ПИН-код для доступа.

Примечание: Пользователи, которым разрешен доступ к приложению, могут сбросить ПИН-код приложения. В некоторых случаях этот параметр может не отображаться на устройствах Android. На устройствах Android доступно максимальное ограничение — четыре доступных сочетания клавиш. После достижения максимального значения пользователь должен удалить все персонализированные сочетания клавиш (или получить доступ к ярлыку из другого управляемого представления приложения), чтобы просмотреть ярлык сброса ПИН-кода приложения. Кроме того, пользователь может закрепить ярлык на своей домашней странице.

    Тип ПИН-кода
 Укажите тип ПИН-кода (цифровой или секретный код), который необходимо ввести для доступа к приложению с примененными политиками защиты. Цифровой ПИН-код состоит только из цифр, а секретный код должен включать в себя по крайней мере одну букву или специальный символ.

Значение по умолчанию = числовое значение

Примечание: Разрешенные специальные символы включают специальные символы и символы на клавиатуре Android на английском языке.
    Простой ПИН-код
 Выберите Разрешить, чтобы разрешить пользователям использовать простые последовательности ПИН-кода, такие как 1234, 1111, abcd или aaaa. Выберите Блоки , чтобы запретить использование простых последовательностей. Простые значения проверяются с помощью скользящих окон размером в три символа. Если параметр Блокировать настроен, 1235 или 1112 не будут приниматься в качестве ПИН-кода, установленного конечным пользователем, но 1122 будет разрешено.

Значение по умолчанию = Разрешить

Примечание: Если настроен ПИН-код типа секретного кода, а для простого ПИН-кода задано значение Разрешить, пользователю потребуется по крайней мере одна буква или хотя бы один специальный символ в ПИН-коде. Если пин-код типа секретного кода настроен, а для простого ПИН-кода задано значение Блокировать, пользователю потребуется по крайней мере одна цифра , одна буква и по крайней мере один специальный символ в ПИН-коде.
    Выберите минимальную длину ПИН-кода
 Укажите минимальное число цифр в ПИН-коде.

Значение по умолчанию = 4
    Биометрия вместо ПИН-кода для доступа
 Выберите Разрешить, чтобы разрешить пользователю использовать биометрические данные для проверки подлинности пользователей на устройствах Android. Если это разрешено, биометрия используется для доступа к приложению на устройствах Android 10 или более поздних версий.
    Переопределение биометрии с помощью ПИН-кода после истечения времени ожидания
 Чтобы использовать этот параметр, выберите Требуется и настройте период бездействия.

Значение по умолчанию = Требовать
      Время ожидания (минуты бездействия)
 Укажите время в минутах, по истечении которого секретный код или числовой (настроенный) ПИН-код переопределит использование биометрии. Это значение должно быть больше, чем значение параметра "Перепроверять требования доступа через (минуты бездействия)".

Значение по умолчанию = 30
    Биометрия класса 3 (Android 9.0 и более поздних версий)
 Выберите Требовать, чтобы требовать от пользователя входа с биометрическими данными класса 3. Дополнительные сведения о биометрии класса 3 см. в разделе Биометрия в документации Google.
    Переопределение биометрии с помощью ПИН-кода после биометрических обновлений
 Выберите Требовать, чтобы переопределить использование биометрии с ПИН-кодом при обнаружении изменения биометрии.

ЗАМЕТКА.
Этот параметр вступает в силу только после использования биометрических данных для доступа к приложению. В зависимости от производителя устройства Android не все формы биометрии могут поддерживаться для криптографических операций. В настоящее время криптографические операции поддерживаются для любых биометрических данных (например, отпечатков пальцев, радужной оболочки глаза или лица) на устройстве, которое соответствует или превышает требования к биометрии класса 3, как определено в документации Android. Просмотрите константу BIOMETRIC_STRONG интерфейса BiometricManager.Authenticators и authenticate метод класса BiometricPrompt . Возможно, вам потребуется обратиться к производителю устройства, чтобы понять ограничения, связанные с устройством.
    Смена ПИН-кода после количества дней
 Выберите Да, чтобы пользователи должны были менять ПИН-код приложения через определенный период времени в днях.

Если выбрано значение Да, необходимо настроить количество дней, по истечении которого ПИН-код необходимо сменить.

Значение по умолчанию = Нет
      Количество дней
 Настройте количество дней, по истечении которого ПИН-код необходимо сменить.

Значение по умолчанию = 90
    Выбор количества предыдущих значений ПИН-кода для сохранения
 Этот параметр указывает количество предыдущих ПИН-кодов, которые будут поддерживаться Intune. Все новые ПИН-коды должны отличаться от тех, которые Intune поддерживает.

Значение по умолчанию = 0
    ПИН-код приложения при задании ПИН-кода устройства
 Выберите Не требуется, чтобы отключить ПИН-код приложения при обнаружении блокировки устройства на зарегистрированном устройстве с настроенным Корпоративный портал.

Значение по умолчанию = Требовать.
Данные рабочей или учебной учетной записи для доступа Выберите Требовать, чтобы пользователь вход с помощью рабочей или учебной учетной записи вместо ввода ПИН-кода для доступа к приложению. Если задано значение Требовать, а ПИН-код или биометрические запросы включены, отображаются как корпоративные учетные данные, так и ПИН-код или биометрические запросы.

Значение по умолчанию = не требуется
Перепроверять требования доступа через (минут бездействия) Настройте следующий параметр:
  • Время ожидания. Это количество минут до повторного проверки требований к доступу (определенных ранее в политике). Например, если администратор включил ПИН-код и запретил устройства с административным доступом в политике, при открытии управляемого приложения Intune пользователь должен ввести ПИН-код и использовать приложение на устройстве без административного доступа. При использовании этого параметра пользователю не придется вводить ПИН-код или проходить другую проверка корневого обнаружения в любом приложении, управляемом Intune, в течение периода времени, равного настроенному значению.

    Этот формат параметра политики поддерживает положительное целое число.

    Значение по умолчанию = 30 минут

    Примечание: В Android ПИН-код предоставляется всем приложениям, управляемым Intune. Таймер ПИН-кода сбрасывается после того, как приложение покидает передний план на устройстве. Пользователю не придется вводить ПИН-код в любом управляемом Intune приложении, которое использует свой ПИН-код в течение времени ожидания, определенного в этом параметре.

Примечание.

Дополнительные сведения о том, как несколько Intune параметров защиты приложений, настроенных в разделе Доступ к одному и тому же набору приложений и пользователей, работают в Android, см. в статьях часто задаваемые вопросы о Intune MAM и Выборочная очистка данных с помощью действий по доступу к политике защиты приложений в Intune.

Условный запуск

Настройте параметры условного запуска, чтобы задать требования к безопасности входа для политики защиты приложений.

По умолчанию предоставляется несколько параметров с предварительно настроенными значениями и действиями. Вы можете удалить некоторые параметры, например минимальную версию ОС. Вы также можете выбрать дополнительные параметры из раскрывающегося списка Выбрать один элемент.

Условия приложения

Setting Применение
Макс. попыток ввода ПИН-кода Укажите количество попыток, за которое пользователь должен успешно ввести свой ПИН-код до применения настроенного действия. Если пользователю не удается ввести ПИН-код после максимальной попытки ПИН-кода, пользователь должен сбросить пин-код после успешного входа в свою учетную запись и выполнения запроса Многофакторной идентификации (MFA), если это необходимо. Этот формат параметра политики поддерживает положительное целое число.

Действия:

  • Сбросить ПИН-код — пользователь должен сбросить ПИН-код.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Значение по умолчанию — 5
Период отсрочки в автономном режиме Количество минут, в течение которых управляемые приложения могут работать в автономном режиме. Укажите время (в минутах), по истечении которого выполняется повторная проверка требований доступа для приложения.

Действия:

  • Блокировать доступ (в минутах) — количество минут, в течение которых управляемые приложения могут работать в автономном режиме. Укажите время (в минутах), по истечении которого выполняется повторная проверка требований доступа для приложения. По истечении этого периода приложению требуется проверка подлинности пользователя для Microsoft Entra ID, чтобы приложение продолжало работать.

    Этот формат параметра политики поддерживает положительное целое число.

    Значение по умолчанию — 1440 минут (24 часа)

    Примечание: Настройка таймера автономного льготного периода для блокировки доступа меньше значения по умолчанию может привести к более частым прерываниям пользователей при обновлении политики. Выбирать значение менее 30 минут не рекомендуется, так как это может привести к прерыванию работы пользователя при каждом запуске или возобновлении работы приложения.
  • Очистить данные (дни): по истечении указанного количества дней (значение определяется администратором) автономной работы приложение потребует от пользователя подключиться к сети и повторно пройти проверку подлинности. Если пользователь успешно проходит проверку, он может продолжать обращаться к своим данным, а значение периода автономности будет сброшено. Если пользователю не удается пройти проверку подлинности, приложение выполнит выборочную очистку учетной записи и данных пользователя. Дополнительные сведения см. в статье Очистка только корпоративных данных из приложений, управляемых Intune. Этот формат параметра политики поддерживает положительное целое число.

    Значение по умолчанию — 90 дней
Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.
Минимальная версия приложения Укажите значение для минимального номера версии приложения.

Действия:

  • Предупредить — пользователь получит уведомление, если версия приложения на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ — пользователю будет запрещен доступ, если версия приложения на устройстве не соответствует требованиям.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Поскольку приложения часто используют четкую схему управления версиями, следует создать политику для минимальной версии одного целевого приложения (например, Политика управления версиями Outlook).

Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот формат параметра политики поддерживает следующие форматы версий: major.minor, major.minor.build, major.minor.build.revision.

Кроме того, вы можете указать, где пользователи могут получить обновленную версию бизнес-приложения. Пользователи увидят это в диалоговом окне условного запуска Минимальная версия приложения, в котором пользователю будет предложено обновиться до минимальной версии бизнес-приложения. В Android эта функция использует Корпоративный портал. Чтобы настроить место обновления бизнес-приложения пользователем, приложению нужна политика конфигурации управляемого приложения, отправляемая ему с ключом com.microsoft.intune.myappstore. Переданное значение определит, из какого хранилища пользователь скачает приложение. Если приложение развертывается с помощью Корпоративного портала, должно использоваться значение CompanyPortal. Для другого хранилища необходимо ввести полный URL-адрес.
Учетная запись отключена Для этого параметра нельзя указать значение.

Действия:

  • Блокировать доступ . Доступ пользователя заблокирован, так как его учетная запись отключена.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.

Условия устройства

Setting Применение
Устройства со снятой защитой или административным доступом Укажите, следует ли блокировать доступ к устройству или очищать данные устройства для устройств со снятой защитой или привилегированным доступом. Действия:
  • Блокировать доступ — блокирует запуск этого приложения на устройствах со снятой защитой или с административным доступом. Пользователь по-прежнему может использовать это приложение для личных задач, но для доступа к рабочим или учебным данным в этом приложении придется использовать другое устройство.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Минимальная версия ОС Укажите минимальную операционную систему Android, необходимую для использования этого приложения. Действия активируются для версий ОС ниже указанной минимальной версии ОС . Действия:
  • Предупреждение . Пользователь увидит уведомление, если версия Android на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ . Пользователю будет запрещен доступ, если версия Android на устройстве не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Этот формат параметра политики поддерживает следующие форматы версий: major.minor, major.minor.build, major.minor.build.revision.
Максимальная версия ОС Укажите максимальную операционную систему Android, необходимую для использования этого приложения. Действия будут активироваться для версий ОС ниже указанной максимальной версии ОС . Действия:
  • Предупреждение . Пользователь увидит уведомление, если версия Android на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ . Пользователю будет запрещен доступ, если версия Android на устройстве не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Этот формат параметра политики поддерживает следующие форматы версий: major.minor, major.minor.build, major.minor.build.revision.
Минимальная версия исправления Требовать, чтобы на устройствах было выпущено минимальное исправление для системы безопасности Android, выпущенное Google.
  • Предупреждение . Пользователь увидит уведомление, если версия Android на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ . Пользователю будет запрещен доступ, если версия Android на устройстве не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Этот параметр политики поддерживает формат даты ГГГГ-ММ-ДД.
Производители устройств Укажите список производителей, разделенных точкой с запятой. В значениях регистр не учитывается. Действия:
  • Разрешить задано (блокировать не указано) — приложение могут использовать только устройства, соответствующие указанному производителю. Все остальные устройства блокируются.
  • Разрешить указанные (очистить неуказанные) — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Дополнительные сведения об использовании этого параметра см. в статье Действия условного запуска.
Вердикт о честности игры политики защита приложений поддерживают некоторые API целостности Google Play. Этот параметр, в частности, настраивает google Play Integrity проверка на устройствах конечных пользователей для проверки целостности этих устройств. Укажите базовую целостность или базовую целостность и целостность устройства.

Базовая целостность сообщает о общей целостности устройства. Проверку базовой целостности не проходят устройства с root-доступом, эмуляторы, виртуальные устройства и устройства с признаками несанкционированного доступа. Базовая целостность & сертифицированных устройств сообщает о совместимости устройства со службами Google. Эту проверку могут пройти только неизмененные устройства, сертифицированные корпорацией Google.

Если для условного запуска выбрано решение о целостности воспроизведения, можно указать, что в качестве типа оценки используется проверка строгой целостности. Наличие строгой целостности проверка в качестве типа оценки будет указывать на большую целостность устройства. Устройства, которые не поддерживают строгие проверки целостности, будут заблокированы политикой MAM, если они предназначены для этого параметра. Надежная проверка целостности обеспечивает более надежное обнаружение корней в ответ на более новые типы средств и методов rooting, которые не всегда могут быть надежно обнаружены программным решением. В ПРИЛОЖЕНИИ аттестация оборудования будет включена, задав тип оценки вердикта целостности воспроизведениядля параметра Проверка надежной целостности после настройки вердикта целостности воспроизведения, а тип оценки Required SafetyNet — для надежной целостности проверка после настройки целостности устройства проверка. Аппаратная аттестация использует аппаратный компонент, поставляемый с устройствами, установленными с Android 8.1 и более поздних версий. Устройства, которые были обновлены с предыдущей версии Android до Android 8.1, вряд ли будут иметь аппаратные компоненты, необходимые для аттестации с аппаратной поддержкой. Хотя этот параметр должен широко поддерживаться, начиная с устройств, поставляемых с Android 8.1, корпорация Майкрософт настоятельно рекомендует проверять каждое устройство отдельно, прежде чем широко применять этот параметр политики.

Важно: Устройства, которые не поддерживают этот тип оценки, будут заблокированы или стираются в зависимости от действия проверка целостности устройства. Организациям, которые хотели бы использовать эту функцию, необходимо убедиться, что у пользователей есть поддерживаемые устройства. Дополнительные сведения о рекомендуемых устройствах Google см. в разделе Рекомендуемые требования к Android Enterprise.

Действия:

  • Предупреждение. Пользователь видит уведомление, если устройство не соответствует целостности устройства Google проверка на основе настроенного значения. Это уведомление можно отклонить.
  • Блокировать доступ. Пользователь блокирует доступ, если устройство не соответствует целостности устройства Google проверка на основе настроенного значения.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Часто задаваемые вопросы, связанные с этим параметром, см. в статье Часто задаваемые вопросы о MAM и защите приложений.
Требовать проверку на угрозы в приложениях политики защита приложений поддерживают некоторые API Google Play Protect. Этот параметр, в частности, гарантирует, что Проверка приложений Google включена для устройств конечных пользователей. Если параметр настроен, конечному пользователю будет запрещен доступ до тех пор, пока он не включит проверку приложений Google на своем устройстве Android. Действия:
  • Предупреждать . Пользователь видит уведомление, если проверка Приложений Google на устройстве не включена. Это уведомление можно отклонить.
  • Блокировать доступ — пользователь блокирует доступ, если проверка приложений Google на устройстве не включена.
Результаты проверки Google Проверить приложения отображаются в отчете Потенциально опасные приложения в консоли.
Требуемый тип оценки SafetyNet Аппаратная аттестация улучшает существующую службу аттестации SafetyNet проверка. После установки аттестации устройств SafteyNet можно задать значение Аппаратный ключ.
Требовать блокировку устройства Этот параметр определяет, имеет ли устройство Android ПИН-код устройства, соответствующий минимальному требованию к паролю. Политика защита приложений может принять меры, если блокировка устройства не соответствует минимальным требованиям к паролю.

Ниже указаны следующие значения :

  • Низкая сложность
  • Средняя сложность
  • Высокая сложность

Это значение сложности предназначено для Android 12 и более поздних версий. Для устройств, работающих с Android 11 и более ранних версий, установка значения сложности с низким, средним или высоким значением по умолчанию будет зависеть от ожидаемого поведения при низкой сложности. Дополнительные сведения см. в документации для разработчиков Google getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM и PASSWORD_COMPLEXITY_HIGH.

Действия:

  • Предупреждение . Пользователь видит уведомление, если блокировка устройства не соответствует минимальному требованию к паролю. Уведомление может быть отклонено.
  • Блокировать доступ . Если блокировка устройства не соответствует минимальному требованию к паролю, пользователю будет запрещен доступ.
  • Очистка данных . Учетная запись пользователя, связанная с приложением, очищается с устройства, если блокировка устройства не соответствует минимальным требованиям к паролю.
Минимальная версия Корпоративный портал С помощью минимальной версии Корпоративный портал можно указать определенную минимальную определенную версию Корпоративный портал, которая применяется на устройстве конечного пользователя. Этот параметр условного запуска позволяет задать значения Блокировать доступ, Стирать данные и Предупреждать как возможные действия, если каждое значение не выполнено. Возможные форматы для этого значения соответствуют шаблону [Major].[ Минор], [Майор].[ Дополнительный]. [Сборка], или [Основной].[ Дополнительный]. [Сборка]. [Редакция]. Учитывая, что некоторые конечные пользователи могут не предпочитать принудительное обновление приложений на месте, параметр "предупреждать" может быть идеальным при настройке этого параметра. Google Play Store хорошо отправляет только разностные байты для обновлений приложений, но это может быть большой объем данных, которые пользователь может не использовать, если они находятся в данных во время обновления. Принудительное обновление и тем самым скачивание обновленного приложения может привести к непредвиденным расходам на данные во время обновления. Дополнительные сведения см. в разделе Параметры политики Android.
Максимальный возраст версии Корпоративный портал (в днях) Вы можете задать максимальное количество дней в качестве возраста версии Корпоративный портал (CP) для устройств Android. Этот параметр гарантирует, что конечные пользователи находятся в определенном диапазоне выпусков CP (в днях). Значение должно находиться в диапазоне от 0 до 365 дней. Если параметр для устройств не выполнен, активируется действие для этого параметра. Действия включают блокировку доступа, очистку данных или предупреждение. Дополнительные сведения см. в разделе Параметры политики Android. Примечание: Возраст сборки Корпоративный портал определяется Google Play на устройстве конечного пользователя.
Аттестация устройств Samsung Knox Укажите, требуется ли проверка аттестации устройства Samsung Knox. Только неизмененные устройства, проверенные Samsung, могут пройти этот проверка. Список поддерживаемых устройств см. в разделе samsungknox.com.

Используя этот параметр, Microsoft Intune также проверит обмен данными из Корпоративный портал со службой Intune с работоспособного устройства.

Действия:
  • Предупреждение. Пользователь видит уведомление, если устройство не соответствует аттестации устройства Samsung Knox проверка. Это уведомление можно отклонить.
  • Блокировать доступ. Учетная запись пользователя блокирует доступ, если устройство не соответствует проверка аттестации устройства Samsung Knox.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.

Примечание: Пользователь должен принять условия Samsung Knox, прежде чем можно будет выполнить аттестацию устройства проверка. Если пользователь не принимает условия Samsung Knox, произойдет указанное действие.

Примечание: Этот параметр будет применяться ко всем целевым устройствам. Чтобы применить этот параметр только к устройствам Samsung, можно использовать фильтры назначений "Управляемые приложения". Дополнительные сведения о фильтрах назначений см. в статье Использование фильтров при назначении приложений, политик и профилей в Microsoft Intune.
Максимальный допустимый уровень угроз для устройства Политики защиты приложений могут использовать соединитель Intune-MTD. Укажите максимальный уровень угроз, приемлемый для использования этого приложения. Угрозы определяются выбранным приложением-поставщиком защиты мобильных устройств от угроз (MTD) на устройстве конечного пользователя. Укажите Защищенный, Низкий, Средний или Высокий. Защищенный требует отсутствия угроз на устройстве и является наиболее строгим значением из доступных, а Высокий, по сути, требует наличия активного подключения Intune к MTD.

Действия:

  • Блокировать доступ — пользователю будет запрещен доступ, если уровень угроз, определяемый приложением выбранного поставщика защиты мобильных устройств (MTD) на устройстве конечного пользователя, не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Дополнительные сведения об использовании этого параметра см. в статье Включение соединителя Mobile Threat Defense в Intune для незарегистрированных устройств.
Основная служба MTD Если вы настроили несколько соединителей Intune-MTD, укажите основное приложение поставщика MTD, которое должно использоваться на устройстве конечного пользователя.

Ниже указаны следующие значения :

  • Microsoft Defender для конечной точки — если настроен соединитель MTD, укажите Microsoft Defender для конечной точки предоставит сведения об уровне угрозы устройства.
  • Mobile Threat Defense (non-Microsoft) — если настроен соединитель MTD, укажите, что MTD не microsoft предоставит сведения об уровне угрозы устройства.

Чтобы использовать этот параметр, необходимо настроить параметр "Максимальный разрешенный уровень угрозы устройства".

Действия для этого параметра отсутствуют.