Часто задаваемые вопросы о MAM и защите приложений

В этой статье приведены ответы на некоторые часто задаваемые вопросы о Intune управлении мобильными приложениями (MAM) и защите приложений Intune.

Основные сведения о MAM

Что такое MAM?

Политики защиты приложений

Что такое политики защиты приложений?

Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). Политика может быть либо правилом, которое применяется, когда пользователь пытается получить доступ или переместить корпоративные данные, либо набором действий, которые запрещено выполнять или которые отслеживаются, когда пользователь работает с приложением.

Каковы примеры политик защиты приложений?

Подробные сведения о каждом параметре политики защиты приложений см. в разделе Параметры политики защиты приложений Android и параметры политики защиты приложений iOS/iPadOS .

Можно ли одновременно применять политики MDM и MAM к одному и тому же пользователю для разных устройств? Например, если пользователь может получить доступ к своим рабочим ресурсам с собственного компьютера с поддержкой MAM, но также приступить к работе и использовать устройство, управляемое Intune MDM. Есть ли какие-либо предостережения для этой идеи?

Если применить политику MAM к пользователю без настройки состояния управления устройством, он получит политику MAM как на устройстве BYOD, так и на устройстве, управляемом Intune. Вы также можете применить политику MAM на основе состояния управления устройствами. Поэтому при создании политики защиты приложений рядом с полем Целевые приложения на всех типах устройств выберите Нет. Затем выполните одно из следующих действий:

  • Примените менее строгую политику MAM к устройствам под управлением Intune и более строгую политику MAM к устройствам, не зарегистрированным в MDM.
  • Применяйте не менее строгую политику MAM к Intune управляемым устройствам, а не к сторонним управляемым устройствам.
  • Примените политику MAM только к незарегистрированным устройствам.

Дополнительные сведения см. в разделе Мониторинг политик защиты приложений.

Приложения, которыми можно управлять с помощью политик защиты приложений

Какими приложениями можно управлять с помощью политик защиты приложений?

Любым приложением, интегрированным с пакетом SDK для приложений Intune или упакованным Intune App Wrapping Tool, можно управлять с помощью политик защиты приложений Intune. См. официальный список приложений, управляемых Intune, для общего пользования.

Каковы базовые требования к использованию политик защиты приложений в приложении, управляемом Intune?

Что делать, если я хочу включить приложение с защитой приложений Intune, но оно не использует поддерживаемую платформу разработки приложений?

Команда разработчиков пакета SDK для Intune активно тестирует и обеспечивает поддержку приложений, созданных с помощью платформ Android, iOS и iPadOS (Obj-C, Swift), Xamarin и Xamarin.Forms. Хотя некоторым клиентам удалось интегрировать пакет SDK для Intune с другими платформами, такими как React Native и NativeScript, мы не предоставляем конкретных рекомендаций и не предлагаем подключаемых модулей для неподдерживаемых нами платформ разработки.

Поддерживает ли пакет SDK Intune APP библиотеку проверки подлинности Майкрософт (MSAL)?

Пакет SDK для приложений Intune может использовать библиотеку проверки подлинности Майкрософт для сценариев проверки подлинности и условного запуска. Он также использует MSAL для регистрации удостоверения пользователя в службе MAM для управления без регистрации устройств.

Каковы дополнительные требования для использования мобильного приложения Outlook?

Каковы дополнительные требования к использованию приложений Word, Excel и PowerPoint?

  • У пользователя должна быть лицензия на Microsoft 365 для бизнеса или предприятий, связанная с его учетной записью Azure Active Directory. Подписка должна включать приложения Office на мобильных устройствах и может включать облачную учетную запись хранения с поддержкой OneDrive для бизнеса. Лицензии Microsoft 365 можно назначить в центре администрирования Microsoft 365, следуя этим инструкциям.

  • Пользователь должен настроить управляемое расположение с помощью функции настраиваемого сохранения в параметре политики защиты приложения "Сохранение копий корпоративных данных". Например, если управляемое расположение — OneDrive, приложение OneDrive должно быть настроено в приложении Word пользователя, Excel или PowerPoint.

  • Если управляемое расположение — OneDrive, на приложение должна распространяться политика защиты, развернутая для пользователя.

    Примечание.

    Мобильные приложения Office сейчас поддерживают только SharePoint Online, но не локальное приложение SharePoint.

Почему для Office требуется управляемое расположение (например, OneDrive)?

Intune помечает все данные в приложении как корпоративные или личные. Данные считаются корпоративными, если они по исходят из расположения компании. При работе с приложениями Office в Intune корпоративными считаются такие расположения: электронная почта (Exchange) или облачное хранилище (приложение OneDrive с учетной записью OneDrive для бизнеса).

Каковы дополнительные требования к использованию Skype для бизнеса?

Функции защиты приложений

Что такое поддержка нескольких удостоверений?

Поддержка нескольких удостоверений позволяет пакету SDK для приложений Intune применять политики защиты приложений только к рабочей или учебной учетной записи, вошедшего в приложение. Если вход в приложение выполнен с помощью личной учетной записи, данные останутся без изменений.

Какова цель поддержки нескольких удостоверений?

Поддержка нескольких удостоверений позволяет общедоступно выпускать приложения с "корпоративной" и потребительской аудиторией (т. е. приложения Office) с Intune возможностями защиты приложений для "корпоративных" учетных записей.

Как насчет Outlook и нескольких удостоверений?

Так как outlook имеет объединенное представление электронной почты как личных, так и "корпоративных" сообщений электронной почты, приложение Outlook запрашивает Intune ПИН-код при запуске.

Что такое ПИН-код приложения Intune?

Персональный идентификационный номер (ПИН-код) — это секретный код, который используется для проверки прав пользователя на доступ к корпоративным данным в приложении.

Когда пользователю предлагается ввести СВОЙ ПИН-код?

Intune запрашивает ПИН-код для приложения, когда пользователь пытается получить доступ к корпоративным данным. В приложениях с несколькими удостоверениями, таких как Word,Excel/PowerPoint, при попытке открыть "корпоративный" документ или файл пользователю будет предложено ввести ПИН-код. В приложениях с одним удостоверением, таких как бизнес-приложения, управляемые с помощью Intune App Wrapping Tool, ПИН-код запрашивается при запуске, так как пакет SDK для приложений Intune знает, что взаимодействие пользователя в приложении всегда является корпоративным.

Как часто пользователю будет предложено ввести ПИН-код Intune?

ИТ-администратор может определить параметр политики защиты приложений Intune "Перепроверить требования к доступу через (минуты)" в Центре администрирования Microsoft Intune. Этот параметр указывает время, в течение которых на устройстве будут проверены требования к доступу, а экран ПИН-кода приложения снова отображается. Ниже приведены важные сведения о ПИН-коде, которые влияют на то, как часто пользователь будет получать запрос на ввод ПИН-кода:

  • ПИН-код совместно используется приложениями одного издателя для повышения удобства использования: В iOS/iPadOS один ПИН-код приложения используется для всех приложений одного издателя. В Android один ПИН-код используется во всех приложениях.
  • Поведение "Повторная проверка требований доступа после (в минутах)" после перезагрузки устройства: Таймер ПИН-кода отслеживает количество минут бездействия, которое определяет, когда следует отображать ПИН-код Intune приложения. В iOS/iPadOS таймер ПИН-кода не влияет на перезагрузку устройства. Таким образом, перезапуск устройства не влияет на количество минут, в течение которых пользователь был неактивен в приложении iOS/iPadOS с политикой Intune ПИН-кода. В Android таймер ПИН-кода сбрасывается при перезагрузке устройства. Таким образом, приложения Android с политикой INTUNE ПИН-кода, скорее всего, будут запрашивать ПИН-код приложения независимо от значения параметра "Перепроверить требования к доступу после (в минутах)" после перезагрузки устройства.
  • Характер последовательности таймера, связанного с ПИН-кодом: После ввода ПИН-кода для доступа к приложению (приложение A), а приложение покидает передний план (main фокус ввода) на устройстве, таймер ПИН-кода сбрасывается для этого ПИН-кода. Любое другое приложение (приложение B), использующее этот ПИН-код, не будет отправлять пользователю запрос на ввод ПИН-кода, так как таймер сброшен. Запрос появится снова, когда будет достигнуто значение параметра "Проверять требования доступа повторно через (мин)".

Для устройств iOS/iPadOS, даже если ПИН-код является общим для приложений различных издателей, запрос появится снова при достижении значения Перепроверять требования доступа через (мин) для приложения, у которого нет основного фокуса ввода. Например, у пользователя есть приложение A издателя X и приложение B издателя Y, и эти два приложения совместно используют один и тот же ПИН-код. Пользователь работает с приложением A (на переднем плане); приложение B находится в свернутом состоянии. После достижения значения Перепроверять требования доступа через (мин), когда пользователь перейдет к приложению B, потребуется ввести ПИН-код.

Примечание.

Чтобы проверять требования к пользовательскому доступу чаще (отображать запрос на ввод ПИН-кода), особенно для часто используемых приложений, рекомендуется уменьшить значение параметра "Проверять требования доступа повторно через (мин)".

Как ПИН-код Intune работает со встроенными ПИН-кодами приложения для Outlook и OneDrive?

ПИН-код Intune работает на основе таймера на основе бездействия (значение "Повторная проверка требований к доступу после (в минутах)"). Таким образом, функция ПИН-кода Intune является независимой от запросов ПИН-кода встроенных приложений для Outlook и OneDrive, которые часто по умолчанию привязаны к запуску приложения. Если пользователь одновременно получает оба запроса на ввод ПИН-кода, ПИН-код Intune должен иметь приоритет.

Является ли ПИН-код безопасным?

ПИН-код предоставляет доступ к корпоративным данным только пользователям с соответствующими полномочиями. Следовательно, чтобы настроить или сбросить ПИН-код для приложения Intune, пользователь должен войти с использованием своей рабочей или учебной учетной записи. Эта проверка подлинности обрабатывается Azure Active Directory через безопасный обмен маркерами и не является прозрачной для пакета SDK для Intune приложений. Из соображений безопасности рекомендуется шифровать корпоративные или учебные данные. Шифрование не связано с ПИН-кодом для приложения; это отдельная политика защиты приложений.

Как Intune защитить ПИН-код от атак методом подбора?

В рамках политики использования ПИН-кода для приложения ИТ-администратор может настроить максимальное число попыток пользователя выполнить проверку подлинности с использованием ПИН-кода, прежде чем приложение будет заблокировано. После выполнения количества попыток пакет SDK для Intune приложения может очистить "корпоративные" данные в приложении.

Почему нужно дважды устанавливать ПИН-код для приложений от одного издателя?

MAM (в iOS/iPadOS) в настоящее время позволяет использовать ПИН-код на уровне приложения с буквенно-цифровыми и специальными символами (называемыми секретным кодом), что требует участия приложений (например, WXP, Outlook, Managed Browser, Yammer) для интеграции пакета SDK Intune APP для iOS/iPadOS. Без этих приложений параметры секретного кода неправильно применяются к целевым приложениям. Эта функция была выпущена в пакете SDK для Intune для iOS/iPadOS версии 7.1.12.

Для поддержки этого компонента и обеспечения обратной совместимости с предыдущими версиями пакета SDK Intune для iOS/iPadOS все PIN-коды (и числовые, и секретные коды) в версиях позднее 7.1.12 обрабатываются отдельно от числового PIN-кода в предыдущих версиях пакета SDK. Таким образом, если на устройстве есть приложения с пакетом SDK Intune для iOS/iPadOS версий до версии 7.1.12 И после версии 7.1.12 от одного издателя, ей придется настроить два ПИН-кодов.

При этом два ПИН-кода (для каждого приложения) никак не связаны, т. е. они должны соответствовать политике защиты приложений, применяемой к приложению. Например, пользователь может задать один и тот же PIN-код дважды, только если для приложений A и B настроены одинаковые политики (касающиеся PIN-кода).

Это поведение относится только к PIN-кодам в приложениях iOS/iPadOS с поддержкой управления мобильными приложениями Intune. Со временем, по мере внедрения в приложения более поздних версий пакета SDK Intune для iOS/iPadOS, двукратная установка PIN-кодов станет менее проблематичной. Ниже приведен пример.

Примечание.

Например, если приложение A создается с версией до 7.1.12, а приложение B — с версией, большей или равной 7.1.12 от того же издателя, пользователю потребуется отдельно настроить ПИН-коды для A и B, если они установлены на устройстве iOS/iPadOS.

Если на устройстве установлено приложение C с пакетом SDK версии 7.1.9, оно будет использовать тот же ПИН-код, что и приложение A.

Приложение D, созданное с 7.1.14, будет использовать тот же ПИН-код, что и приложение B.

Если приложения A и C установлены на одном устройстве, необходимо задать только один PIN-код. То же касается приложений B и D, установленных на одном устройстве.

Как насчет шифрования?

ИТ-администраторы могут развернуть политику защиты приложений, в соответствии с которой данные приложения должны шифроваться. В рамках политики ИТ-администратор также может определить, когда содержимое должно быть зашифровано.

Как Intune шифровать данные?

Дополнительные сведения о параметрах шифрования в политике защиты приложений см. в статьях Параметры политики защиты мобильных приложений для Android и Параметры политики защиты мобильных приложений для iOS/iPadOS.

Что шифруется?

В соответствии с политикой защиты приложений, определенной ИТ-администратором, шифруются только те данные, которые отмечены как корпоративные. Данные считаются корпоративными, если они созданы в корпоративном расположении. При работе с приложениями Office в Intune корпоративными считаются такие расположения: электронная почта (Exchange) или облачное хранилище (приложение OneDrive с учетной записью OneDrive для бизнеса). Для бизнес-приложений, управляемых Intune App Wrapping Tool, все данные приложений считаются корпоративными.

Как Intune удаленно очищать данные?

Intune может очищать данные приложения тремя разными способами: полной очисткой устройства, выборочной очисткой для MDM и выборочной очисткой MAM. Дополнительные сведения об удаленной очистке для MDM см. в статье Удаление устройств путем очистки или прекращения использования. Дополнительные сведения о выборочной очистке с использованием MAM см. в разделе Действие "Прекратить использование" и статье Очистка только корпоративных данных в приложениях, управляемых с помощью Intune.

Что такое очистка?

Очистка удаляет все пользовательские данные и параметры с устройства путем восстановления устройства до заводских параметров по умолчанию. Устройство удаляется из Intune.

Примечание.

Очистка может быть выполнена только на устройствах, зарегистрированных в Intune управления мобильными устройствами (MDM).

Что такое выборочная очистка для MDM?

Сведения об удалении данных организации см. в статье Удаление устройств — прекращение поддержки.

Что такое выборочная очистка для MAM?

При выборочной очистке для управления мобильными приложениями данные приложений компании просто удаляются из приложений. Запрос инициируется с помощью центра администрирования Microsoft Intune. Сведения об инициации запроса на очистку см. в статье Очистка только корпоративных данных в приложениях, управляемых с помощью Intune.

Как быстро выполняется выборочная очистка для MAM?

Если пользователь использует приложение при инициации выборочной очистки, пакет SDK для приложений Intune каждые 30 минут проверяет запрос на выборочную очистку от службы Intune MAM. Проверка запросов на выборочную очистку также выполняется, когда пользователь впервые запускает приложение и входит с помощью своей рабочей или учебной учетной записи.

Почему локальные (локальные) службы не работают с Intune защищенными приложениями?

Intune защита приложений зависит от удостоверения пользователя, согласованного между приложением и пакетом SDK для Intune приложений. Единственный способ обеспечить это — использовать современные средства проверки подлинности. Есть сценарии, в которых приложения могут работать с локальной конфигурацией, но в таких случаях согласованность не гарантируется.

Существует ли безопасный способ открытия веб-ссылок из управляемых приложений?

Конечно! ИТ-администратор может развернуть и настроить политику защиты приложений для приложения Microsoft Edge. ИТ-администратор может требовать, чтобы все веб-ссылки в приложениях, управляемых Intune, открывались с помощью приложения Microsoft Edge.

Взаимодействие с приложениями на Android

Почему приложение Корпоративный портал необходимо для Intune защиты приложений на устройствах Android?

Как несколько параметров доступа Intune защиты приложений, настроенных для одного и того же набора приложений и пользователей, работают в Android?

Intune политики защиты приложений для доступа будут применяться в определенном порядке на устройствах конечных пользователей при попытке получить доступ к целевому приложению из своей корпоративной учетной записи. Как правило, блок имеет приоритет, а затем предупреждение о пренебрежимом. Например, в случае конкретного пользователя или приложения параметр минимальной версии исправления Android, который предупреждает пользователя о необходимости выполнить обновление, будет применен после параметра минимальной версии исправления Android, который блокирует доступ. В этом сценарии, когда ИТ-администратор настраивает минимальную версию исправления Android 2018-03-01, а минимальную версию исправления с предупреждением — 2018-02-01, и устройство пытается получить доступ к приложению, имея версию исправления 2018-01-01, конечный пользователь будет заблокирован в соответствии с более строгим параметром минимальной версии исправления Android.

При обработке параметров различных типов требование к версии приложения имеет приоритет, далее следует требование к версии операционной системы Android и требование к версии исправления Android. Далее проверяются предупреждения для всех типов параметров в том же порядке.

политики защиты приложений Intune позволяют администраторам требовать от устройств конечных пользователей прохождения аттестации SafetyNet Google для устройств Android. Как часто в службу отправляется новый результат аттестации SafetyNet?

Служба Intune свяжется с Google Play через ненастраиваемый интервал, определенный загрузкой службы. Любое действие, настроенное ИТ-администратором для параметра аттестации SafetyNet Google, будет выполняться на основе последнего результата, отправленного в службу Intune во время условного запуска. Если результат аттестации Google SafetyNet соответствует требованиям, никаких действий не предпринимается. Если результат аттестации Google SafetyNet не соответствует требованиям, действие, настроенное ИТ-администратором, будет предпринято немедленно. Если запрос к аттестации Google SafetyNet по какой-либо причине завершается ошибкой, кэшированный результат предыдущего запроса будет использоваться в течение 24 часов или при следующем перезапуске устройства, который когда-либо приходит первым. В это время Intune политики защиты приложений будут блокировать доступ до получения текущего результата.

Intune политики защиты приложений предоставляют администраторам возможность требовать от устройств конечных пользователей отправки сигналов через API проверки приложений Google для устройств Android. Как пользователь может включить проверку приложения, чтобы не заблокировать доступ из-за этого?

Инструкции по выполнению этой задачи могут слегка различаться в зависимости от используемого устройства. Общий процесс включает в себя переход в Google Play Store, затем щелчок "Мои приложения & игры", щелкнув результат последней проверки приложения, который приведет вас в меню Play Protect. Переключатель Проверять устройство на наличие угроз безопасности должен быть переведен в положение "Вкл".

Что на самом деле проверка API аттестации SafetyNet Google на устройствах Android? В чем разница между настраиваемыми значениями "Проверить базовую целостность" и "Проверить базовую целостность & сертифицированных устройств"?

Intune использует API-интерфейсы SafetyNet Google Play Защита для более тщательной проверки предоставления административных прав на незарегистрированных устройствах. Корпорация Google разработала и поддерживает этот набор API для приложений Android на случай, если запускать приложения на устройствах с административным доступом не требуется. Эта возможность реализована, к примеру, в приложениях Android Pay. Хотя Google не распространяет информацию о всех выполняемых проверках предоставления административных прав, ожидается, что эти API-интерфейсы будут обнаруживать пользователей, которые настроили на своих устройствах административный доступ. Таким пользователям можно будет запрещать доступ либо можно будет удалять их корпоративные учетные записи из приложений с действующими политиками. В разделе "Проверка базовой целостности" рассказывается об общей целостности устройства. Проверку базовой целостности не проходят устройства с root-доступом, эмуляторы, виртуальные устройства и устройства с признаками несанкционированного доступа. "Проверка базовых сертифицированных устройств целостности & " рассказывает о совместимости устройства со службами Google. Эту проверку могут пройти только неизмененные устройства, сертифицированные корпорацией Google. К устройствам, которые не смогут пройти проверку, относятся следующие:

  • устройства, которые не прошли проверку базовой целостности;
  • устройства с разблокированным загрузчиком;
  • устройства с пользовательским образом системы или диском;
  • устройства, для которых производитель не подал заявку на сертификацию или которые не прошли сертификацию Google;
  • устройства с образом системы, созданным непосредственно из исходных файлов программы Android с открытым исходным кодом;
  • устройства с образом системы для предварительной бета-версии или версии для разработчиков.

Технические сведения см. в документации Google по аттестации SafetyNet.

Существует две аналогичные проверки в разделе Условный запуск при создании политики защиты приложений Intune для устройств Android. Должен ли мне требоваться параметр "Аттестация устройств SafetyNet" или параметр "устройства со снятой защитой или корневым доступом"?

API-интерфейсы SafetyNet Google Защита требуют, чтобы пользователь был подключен к сети по крайней мере в течение времени выполнения циклического прохождения для определения результатов аттестации. Если конечный пользователь находится в автономном режиме, ИТ-администратор по-прежнему может ожидать принудительного применения результата из параметра "устройства со снятой защитой или корневым доступом". При этом, если конечный пользователь находится в автономном режиме слишком долго, вступает в игру значение "Автономный льготный период", и весь доступ к рабочим или учебным данным блокируется после достижения этого значения таймера до тех пор, пока не будет доступен доступ к сети. Включение обоих параметров обеспечивает многоуровневый подход к поддержанию работоспособности устройств конечных пользователей, что важно, когда конечные пользователи получают доступ к рабочим или учебным данным на мобильных устройствах.

Для правильной работы параметров политики защиты приложений, использующих API-интерфейсы Google Play Защита, требуются Сервисы Google Play. Что делать, если службы Google Play не разрешены в расположении, где может находиться конечный пользователь?

Параметры "Аттестация устройств SafetyNet" и "Проверка угроз в приложениях" требуют правильной работы определенной Google версией Служб Google Play. Так как эти параметры имеют отношение к обеспечению безопасности, конечный пользователь будет заблокирован, если он использует эти параметры и у него отсутствует соответствующая версия Сервисов Google Play или доступ к Сервисам Google Play.

Взаимодействие с приложениями в iOS

Что произойдет, если добавить или удалить отпечатки пальцев или лицо на устройстве?

Политики защиты приложений Intune позволяют контролировать доступ к приложениям только лицензированным пользователям Intune. Одним из способов управления доступом к приложениям является запрос Apple Touch ID или Face ID на поддерживаемых устройствах. В Intune реализована процедура запроса ПИН-кода, если вносилось изменение в базу биометрических данных устройства, по истечении заданного времени ожидания для периода бездействия. К изменениям биометрических данных относится добавление или удаление отпечатка пальца или изображения лица. Если пользователь Intune не устанавливал ПИН-код, ему будет предложено установить ПИН-код Intune.

Цель этого заключается в том, чтобы сохранить данные вашей организации в приложении безопасными и защищенными на уровне приложения. Эта функция доступна только для iOS/iPadOS и требует участия приложений, которые интегрируют пакет SDK Intune для приложений для iOS/iPadOS версии 9.0.1 или более поздней. Интеграция пакета SDK нужна для того, чтобы принудительно применить это поведение для целевых приложений. Такая интеграция происходит регулярно и зависит от сотрудничества команд конкретных приложений. Например, интеграция настроена для таких приложений, как WXP, Outlook, Managed Browser и Yammer.

Я могу использовать расширение общего доступа iOS для открытия рабочих или учебных данных в неуправляемых приложениях, даже если для политики передачи данных задано значение "только управляемые приложения" или "нет приложений". Разве это не утечка данных?

Intune политика защиты приложений не может управлять расширением общего ресурса iOS без управления устройством. Следовательно, Intune зашифровывает корпоративные данные, прежде чем они будут использоваться за пределами приложения. Это можно проверить, попытаясь открыть корпоративный файл за пределами управляемого приложения. Такой файл должен быть зашифрован, и его не удастся открыть за пределами управляемого приложения.

Как несколько параметров доступа Intune защиты приложений, настроенных для одного и того же набора приложений и пользователей, работают в iOS?

Intune политики защиты приложений для доступа будут применяться в определенном порядке на устройствах конечных пользователей при попытке получить доступ к целевому приложению из своей корпоративной учетной записи. Как правило, приоритет будет иметь очистка, за которой следует блок, а затем предупреждение о пренебрежимом. Например, в случае конкретного пользователя или приложения параметр минимальной версии операционной системы iOS/iPadOS, который предупреждает пользователя о необходимости обновить версию iOS/iPadOS, будет применен после параметра минимальной версии операционной системы iOS/iPadOS, который блокирует доступ. Таким образом, в сценарии, когда ИТ-администратор настраивает минимальную операционную систему iOS/iPadOS на 11.0.0.0, а минимальную операционную систему iOS/iPadOS (только предупреждение) — на 11.1.0.0, В то время как устройство, пытающееся получить доступ к приложению, было в iOS/iPadOS 10, конечный пользователь будет заблокирован на основе более строгого параметра для версии операционной системы iOS/iPadOS min, что приводит к блокировке доступа.

При работе с различными типами параметров приоритет будет иметь требование к версии пакета SDK для Intune приложений, а затем требование к версии приложения, за которым следует требование к версии операционной системы iOS/iPadOS. Далее проверяются предупреждения для всех типов параметров в том же порядке. Мы рекомендуем настроить требование к версии пакета SDK для приложений для Intune только в соответствии с рекомендациями команды разработчиков Intune продукта для основных сценариев блокировки.