Udostępnij przez

Ustawienia zasad ochrony aplikacji systemu Android w Microsoft Intune

W tym artykule opisano ustawienia zasad ochrony aplikacji dla urządzeń z systemem Android. Opisane ustawienia zasad można skonfigurować dla zasad ochrony aplikacji w okienku Ustawienia w portalu. Istnieją trzy kategorie ustawień zasad: ustawienia ochrony danych, wymagania dotyczące dostępu i uruchamianie warunkowe. W tym artykule termin aplikacje zarządzane przez zasady odnosi się do aplikacji skonfigurowanych przy użyciu zasad ochrony aplikacji.

Ważna

Intune — Portal firmy jest wymagana na urządzeniu do odbierania zasad ochrony aplikacji dla urządzeń z systemem Android.

Ochrona danych

Transfer danych

Ustawienie Sposób użycia Wartość domyślna
Tworzenie kopii zapasowych danych organizacji w usługach tworzenia kopii zapasowych systemu Android Wybierz pozycję Blokuj , aby uniemożliwić tej aplikacji tworzenie kopii zapasowych danych służbowych w usłudze Kopia zapasowa systemu Android.

Wybierz pozycję Zezwalaj, aby zezwolić tej aplikacji na tworzenie kopii zapasowych danych służbowych.		 Zezwalaj
Wysyłanie danych organizacji do innych aplikacji Określ, które aplikacje mogą odbierać dane z tej aplikacji:
  • Aplikacje zarządzane przez zasady: zezwalaj na transfer tylko do innych aplikacji zarządzanych przez zasady.
  • Wszystkie aplikacje: zezwalaj na transfer do dowolnej aplikacji.
  • Brak: nie zezwalaj na przesyłanie danych do żadnej aplikacji, w tym do innych aplikacji zarządzanych przez zasady.

Istnieją pewne wykluczone aplikacje i usługi, do których Intune mogą domyślnie zezwalać na transfer danych. Ponadto możesz utworzyć własne wykluczenia, jeśli chcesz zezwolić na przesyłanie danych do aplikacji, która nie obsługuje Intune APP. Aby uzyskać więcej informacji, zobacz Wykluczenia z transferu danych.

Te zasady mogą również dotyczyć linków aplikacji systemu Android.

Uwaga

Intune obecnie nie obsługuje funkcji aplikacji błyskawicznych systemu Android. Intune blokuje dowolne połączenie danych z aplikacją lub z niej. Aby uzyskać więcej informacji, zobacz Aplikacje błyskawiczne dla systemu Android w dokumentacji dewelopera systemu Android.

Jeśli ustawienie Wyślij dane organizacji do innych aplikacji jest skonfigurowane w obszarze Wszystkie aplikacje, dane tekstowe nadal mogą być przesyłane za pośrednictwem udostępniania systemu operacyjnego do schowka.

 Wszystkie aplikacje
    Wybieranie aplikacji do wykluczenia
 Ta opcja jest dostępna po wybraniu pozycji Aplikacje zarządzane przez zasady dla poprzedniej opcji.
    Zapisywanie kopii danych organizacji
 Wybierz pozycję Blokuj , aby wyłączyć korzystanie z opcji Zapisz jako w tej aplikacji. Wybierz pozycję Zezwalaj , jeśli chcesz zezwolić na korzystanie z opcji Zapisz jako. Po ustawieniu opcji Blokuj można skonfigurować ustawienie Zezwalaj użytkownikowi na zapisywanie kopii w wybranych usługach.

Uwaga:
  • To ustawienie jest obsługiwane w programach Microsoft Excel, OneNote, PowerPoint, Word i Microsoft Edge. Może być również obsługiwana przez aplikacje inne niż Microsoft i lob.
  • To ustawienie można skonfigurować tylko wtedy, gdy ustawienie Wyślij dane organizacji do innych aplikacji ma wartość Aplikacje zarządzane przez zasady.
  • To ustawienie ma wartość "Zezwalaj", gdy ustawienie Wyślij dane organizacji do innych aplikacji ma wartość Wszystkie aplikacje.
  • To ustawienie to "Blokuj" bez dozwolonych lokalizacji usług, gdy ustawienie Wyślij dane organizacji do innych aplikacji jest ustawione na **Brak".
  • To ustawienie zapisuje pliki jako zaszyfrowane, jeśli wartość Szyfruj dane organizacji jest ustawiona na **Wymagaj".
Zezwalaj
      Zezwalanie użytkownikowi na zapisywanie kopii w wybranych usługach
 Użytkownicy mogą zapisywać w wybranych usługach (OneDrive, SharePoint, Photo Library, Box, iManage, Egnyte i Local Storage). Wszystkie inne usługi są blokowane. Wybrano 0
    Transfer danych telekomunikacyjnych do
 Zazwyczaj gdy użytkownik wybierze hiperłączy numer telefonu w aplikacji, zostanie otwarta aplikacja wybierania numerów z numerem telefonu wypełnionym wstępnie i gotowym do połączenia. W tym ustawieniu wybierz sposób obsługi tego typu transferu zawartości, gdy jest inicjowany z aplikacji zarządzanej przez zasady:
  • Brak, nie przesyłaj tych danych między aplikacjami: nie przesyłaj danych komunikacyjnych po wykryciu numeru telefonu.
  • Określona aplikacja wybierania numerów: Zezwalaj określonej aplikacji wybierania numerów na inicjowanie kontaktu po wykryciu numeru telefonu.
  • Dowolna aplikacja wybierania numerów zarządzana przez zasady: Zezwalaj dowolnej aplikacji dialer zarządzanej przez zasady na inicjowanie kontaktu po wykryciu numeru telefonu.
  • Dowolna aplikacja wybierania numerów: zezwala na używanie dowolnej aplikacji wybierania numerów do inicjowania kontaktu po wykryciu numeru telefonu.
 Dowolna aplikacja wybierania numerów
      Identyfikator pakietu aplikacji wybierania numerów
 Po wybraniu określonej aplikacji wybierania numerów należy podać identyfikator pakietu aplikacji. Puste
      Nazwa aplikacji wybierania numerów
 Po wybraniu określonej aplikacji wybierania numerów należy podać nazwę aplikacji wybierania numerów. Puste
    Transferowanie danych komunikatów do
 Gdy użytkownik wybierze hiperłączy numer telefonu dla aplikacji do obsługi wiadomości w aplikacji, zostanie otwarta aplikacja do obsługi wiadomości z numerem telefonu wypełnionym wstępnie i gotowym do wysłania wiadomości. W tym ustawieniu wybierz sposób obsługi tego typu transferu zawartości, gdy jest inicjowany z aplikacji zarządzanej przez zasady:
  • Brak, nie przesyłaj tych danych między aplikacjami: nie przesyłaj danych komunikacyjnych po wykryciu numeru telefonu.
  • Określona aplikacja do obsługi wiadomości: zezwalaj na użycie określonej aplikacji do obsługi wiadomości w celu zainicjowania kontaktu po wykryciu numeru telefonu.
  • Dowolna aplikacja do obsługi komunikatów zarządzana przez zasady: zezwala na używanie dowolnej aplikacji do obsługi komunikatów zarządzanych przez zasady do inicjowania kontaktu po wykryciu numeru telefonu.
  • Dowolna aplikacja do obsługi wiadomości: zezwalaj na użycie dowolnej aplikacji do obsługi wiadomości w celu zainicjowania kontaktu po wykryciu numeru telefonu.
 Dowolna aplikacja do obsługi komunikatów
      Identyfikator pakietu aplikacji do obsługi komunikatów
 Po wybraniu określonej aplikacji do obsługi komunikatów musisz podać identyfikator pakietu aplikacji. Puste
      Nazwa aplikacji do obsługi komunikatów
 Po wybraniu określonej aplikacji do obsługi komunikatów należy podać nazwę aplikacji do obsługi komunikatów. Puste
Odbieranie danych z innych aplikacji Określ, które aplikacje mogą przesyłać dane do tej aplikacji:
  • Aplikacje zarządzane przez zasady: zezwalaj na transfer tylko z innych aplikacji zarządzanych przez zasady.
  • Wszystkie aplikacje: zezwalaj na transfer danych z dowolnej aplikacji.
  • Brak: nie zezwalaj na transfer danych z żadnej aplikacji, w tym z innych aplikacji zarządzanych przez zasady.

Istnieją pewne wykluczone aplikacje i usługi, z których Intune mogą zezwalać na transfer danych. Aby uzyskać pełną listę aplikacji i usług, zobacz Wykluczenia z transferu danych .

 Wszystkie aplikacje
    Otwieranie danych w dokumentach organizacji
 Wybierz pozycję Blokuj , aby wyłączyć korzystanie z opcji Otwórz lub innych opcji do udostępniania danych między kontami w tej aplikacji. Wybierz pozycję Zezwalaj , jeśli chcesz zezwolić na korzystanie z opcji Otwórz.

Po ustawieniu opcji Blokuj można skonfigurować opcję Zezwalaj użytkownikowi na otwieranie danych z wybranych usług , aby określić, które usługi są dozwolone dla lokalizacji danych organizacji.

Uwaga:
  • To ustawienie można skonfigurować tylko wtedy, gdy ustawienie Odbierz dane z innych aplikacji jest ustawione na aplikacje zarządzane przez zasady.
  • To ustawienie ma wartość "Zezwalaj", gdy ustawienie Odbierz dane z innych aplikacji ma wartość Wszystkie aplikacje.
  • To ustawienie to "Blokuj" bez dozwolonych lokalizacji usług, gdy ustawienie Odbieranie danych z innych aplikacji ma wartość Brak.
  • Następujące aplikacje obsługują to ustawienie:
    • OneDrive 6.14.1 lub nowsza.
    • Program Outlook dla systemu Android 4.2039.2 lub nowszego.
    • Teams dla systemu Android 1416/1.0.0.2021173701 lub nowszego.

Zezwalaj
      Zezwalaj użytkownikom na otwieranie danych z wybranych usług
 Wybierz usługi magazynu aplikacji, z których użytkownicy mogą otwierać dane. Wszystkie inne usługi są blokowane. Wybranie żadnej usługi nie uniemożliwia użytkownikom otwierania danych.

Obsługiwane usługi:
  • OneDrive dla Firm
  • SharePoint Online
  • Aparat
  • Biblioteka zdjęć
Uwaga: Aparat nie obejmuje dostępu do zdjęć ani galerii zdjęć. Wybierając pozycję Biblioteka zdjęć (w tym narzędzie selektora zdjęć systemu Android) w ustawieniu Zezwalaj użytkownikom na otwieranie danych z wybranych usług w ramach Intune, możesz zezwolić zarządzanym kontom na zezwalanie na przychodzące obrazy/wideo z lokalnego magazynu urządzenia do zarządzanych aplikacji.		 Wszystkie wybrane
Ograniczanie wycinania, kopiowania i wklejania między innymi aplikacjami Określ, kiedy można używać akcji wycinania, kopiowania i wklejania z tą aplikacją. Wybierz jedną z następujących opcji:
  • Zablokowane: nie zezwalaj na akcje wycinania, kopiowania i wklejania między tą aplikacją a inną aplikacją.
  • Aplikacje zarządzane przez zasady: zezwalaj na akcje wycinania, kopiowania i wklejania między tą aplikacją a innymi aplikacjami zarządzanymi przez zasady.
  • Zasady zarządzane za pomocą wklejania: zezwalaj na wycinanie lub kopiowanie między tą aplikacją a innymi aplikacjami zarządzanymi przez zasady. Zezwalaj na wklejanie danych z dowolnej aplikacji do tej aplikacji.
  • Dowolna aplikacja: brak ograniczeń dotyczących wycinania, kopiowania i wklejania do i z tej aplikacji.
Uwaga:
  • W przypadku korzystania z klawiatur innych firm użytkownicy mogą zobaczyć komunikat "Nie można wkleić tutaj danych twojej organizacji" w podglądzie schowka klawiatury podczas akcji kopiowania. Dzieje się tak, jeśli aplikacja klawiatury nie jest zintegrowana z Intune i dlatego nie może odszyfrować zakodowanego tekstu schowka. Użytkownicy nadal mogą kopiować i wklejać dane zgodnie z oczekiwaniami, korzystając z akcji wklejania tekstu w zarządzanych aplikacjach, jeśli jest to dozwolone przez organizację.
  • Niektóre klawiatury innych firm udostępniają własne funkcje schowka lub sugestii tekstowych, które mogą wstawiać tekst bezpośrednio do aplikacji. W takim przypadku aplikacja odbiera tekst jako standardowe dane wejściowe użytkownika, a ograniczenia wklejania nie mają zastosowania do tych wstawień inicjowanych za pomocą klawiatury.
 Dowolna aplikacja
    Limit znaków wycinania i kopiowania dla dowolnej aplikacji
 Określ liczbę znaków, które można wyciąć lub skopiować z danych organizacji i kont. Umożliwia to udostępnianie określonej liczby znaków dowolnej aplikacji, w tym aplikacjom niezarządzanym, gdy w przeciwnym razie zostałoby zablokowane przez ustawienie "Ogranicz wycinanie, kopiowanie i wklejanie z innymi aplikacjami".

Wartość domyślna = 0

Uwaga: wymaga Intune — Portal firmy wersji 5.0.4364.0 lub nowszej.

 0
Przechwytywanie ekranu i Asystent Google Wybierz pozycję Blokuj , aby zablokować przechwytywanie ekranu, zablokować opcję Circle to Search i zablokowaćAsystentowi Google dostęp do danych organizacji na urządzeniu podczas korzystania z tej aplikacji. Wybranie pozycji Blokuj powoduje również rozmycie obrazu podglądu przełącznika aplikacji podczas korzystania z tej aplikacji z kontem służbowym.

Uwaga: Asystent Google może być dostępny dla użytkowników w scenariuszach, które nie uzyskują dostępu do danych organizacji.

 Zezwalaj
Zatwierdzone klawiatury Wybierz pozycję Wymagaj , a następnie określ listę zatwierdzonych klawiatur dla tych zasad.

Użytkownicy, którzy nie korzystają z zatwierdzonej klawiatury, otrzymają monit o pobranie i zainstalowanie zatwierdzonej klawiatury, zanim będą mogli korzystać z chronionej aplikacji. To ustawienie wymaga, aby aplikacja miała zestaw Intune SDK dla systemu Android w wersji 6.2.0 lub nowszej.

 Nie jest wymagane
    Wybieranie klawiatur do zatwierdzenia
 Ta opcja jest dostępna po wybraniu opcji Wymagaj dla poprzedniej opcji. Wybierz pozycję Wybierz , aby zarządzać listą klawiatur i metod wejściowych, które mogą być używane z aplikacjami chronionymi przez te zasady. Możesz dodać więcej klawiatur do listy i usunąć dowolną z opcji domyślnych. Aby zapisać to ustawienie, musisz mieć co najmniej jedną zatwierdzoną klawiaturę. Z biegiem czasu firma Microsoft może dodać więcej klawiatur do listy nowych zasad ochrony aplikacji, co wymaga od administratorów przeglądania i aktualizowania istniejących zasad w razie potrzeby.

Aby dodać klawiaturę, określ:

  • Nazwa: przyjazna nazwa, która identyfikuje klawiaturę i jest widoczna dla użytkownika.
  • Identyfikator pakietu: identyfikator pakietu aplikacji w sklepie Google Play. Jeśli na przykład adres URL aplikacji w sklepie Play to https://play.google.com/store/details?id=com.contoskeyboard.android.prod, identyfikator pakietu to com.contosokeyboard.android.prod. Ten identyfikator pakietu jest przedstawiany użytkownikowi jako prosty link umożliwiający pobranie klawiatury z sklepu Google Play.

Uwaga: Użytkownik, do którego przypisano wiele zasad ochrony aplikacji, może używać tylko zatwierdzonych klawiatur wspólnych dla wszystkich zasad.

Szyfrowanie

Ustawienie Sposób użycia Wartość domyślna
Szyfrowanie danych organizacji Wybierz pozycję Wymagaj , aby włączyć szyfrowanie danych służbowych w tej aplikacji. Intune używa 256-bitowego schematu szyfrowania AES wolfSSL wraz z systemem Android Keystore do bezpiecznego szyfrowania danych aplikacji. Dane są szyfrowane synchronicznie podczas zadań we/wy plików. Zawartość w magazynie urządzeń jest zawsze szyfrowana i może być otwierana tylko przez aplikacje obsługujące zasady ochrony aplikacji Intune i przypisane zasady. Nowe pliki są szyfrowane przy użyciu kluczy 256-bitowych. Istniejące 128-bitowe zaszyfrowane pliki są poddawane próbie migracji do kluczy 256-bitowych, ale proces nie jest gwarantowany. Pliki zaszyfrowane za pomocą kluczy 128-bitowych pozostają czytelne.

Metoda szyfrowania to FIPS 140-2 zweryfikowana; Aby uzyskać więcej informacji, zobacz wolfCrypt FIPS 140-2 i FIPS 140-3.		 Wymagają
    Szyfrowanie danych organizacji na zarejestrowanych urządzeniach
 Wybierz pozycję Wymagaj, aby wymusić szyfrowanie danych organizacji za pomocą Intune szyfrowania warstwy aplikacji na wszystkich urządzeniach. Wybierz pozycję Nie jest wymagane, aby nie wymuszać szyfrowania danych organizacji za pomocą szyfrowania Intune warstwy aplikacji na zarejestrowanych urządzeniach. Wymagają

Funkcjonalność

Ustawienie Sposób użycia Wartość domyślna
Synchronizowanie danych aplikacji zarządzanych przez zasady z aplikacjami natywnymi lub dodatkami Wybierz pozycję Blokuj, aby uniemożliwić aplikacjom zarządzanym przez zasady zapisywanie danych w natywnych aplikacjach urządzenia (kontakty, kalendarz i widżety) oraz uniemożliwić korzystanie z dodatków w aplikacjach zarządzanych przez zasady. Jeśli aplikacja nie jest obsługiwana, zapisywanie danych w aplikacjach natywnych i korzystanie z dodatków jest dozwolone.

Jeśli wybierzesz pozycję Zezwalaj, aplikacja zarządzana przez zasady może zapisywać dane w aplikacjach natywnych lub korzystać z dodatków, jeśli te funkcje są obsługiwane i włączone w aplikacji zarządzanej przez zasady.

Aplikacje mogą udostępniać dodatkowe mechanizmy kontroli, aby dostosować zachowanie synchronizacji danych do określonych aplikacji natywnych lub nie uwzględniać tej kontrolki.

Uwaga: Podczas selektywnego czyszczenia danych w celu usunięcia danych służbowych z aplikacji dane synchronizowane bezpośrednio z aplikacji zarządzanej przez zasady z aplikacją natywną są usuwane. Żadne dane zsynchronizowane z aplikacji natywnej z innym źródłem zewnętrznym nie zostaną wyczyszczone.

Uwaga: następujące aplikacje obsługują tę funkcję: 		Zezwalaj
Drukowanie danych organizacji Wybierz pozycję Blokuj , aby uniemożliwić aplikacji drukowanie danych służbowych. Jeśli pozostawisz to ustawienie na wartość Zezwalaj, wartość domyślna użytkownicy będą mogli eksportować i drukować wszystkie dane organizacji. Zezwalaj
Ograniczanie transferu zawartości internetowej za pomocą innych aplikacji Określ sposób, w jaki zawartość internetowa (linki http/https) jest otwierana z aplikacji zarządzanych przez zasady. Wybierz jedną z następujących opcji:
  • Dowolna aplikacja: zezwalaj na linki internetowe w dowolnej aplikacji.
  • Microsoft Edge: zezwalaj na otwieranie zawartości internetowej tylko w przeglądarce Microsoft Edge. Ta przeglądarka jest przeglądarką zarządzaną przez zasady.
  • Przeglądarka niezarządzana: zezwalaj na otwieranie zawartości internetowej tylko w niezarządzanej przeglądarce zdefiniowanej przez ustawienie protokołu przeglądarki niezarządzanej . Zawartość internetowa jest niezarządzana w przeglądarce docelowej.
    Uwaga: wymaga Intune — Portal firmy wersji 5.0.4415.0 lub nowszej.

    • Linki aplikacji systemu Android są zarządzane przez ustawienie zasad Zezwalaj aplikacji na przesyłanie danych do innych aplikacji .

    rejestrowanie urządzeń Intune
    Jeśli używasz Intune do zarządzania urządzeniami, zobacz Manage Internet access using managed browser policies with Microsoft Intune (Zarządzanie dostępem do Internetu przy użyciu zasad przeglądarki zarządzanej z Microsoft Intune).

    Microsoft Edge zarządzany przez zasady
    Przeglądarka Microsoft Edge dla urządzeń przenośnych (iOS/iPadOS i Android) obsługuje zasady ochrony aplikacji Intune. Użytkownicy, którzy logują się przy użyciu firmowych kont Microsoft Entra w aplikacji przeglądarki Microsoft Edge, są chronieni przez Intune. Przeglądarka Microsoft Edge integruje zestaw SDK aplikacji i obsługuje wszystkie zasady ochrony danych, z wyjątkiem zapobiegania:

    • Zapisz jako: przeglądarka Microsoft Edge nie zezwala użytkownikowi na dodawanie bezpośrednich połączeń w aplikacji do dostawców magazynu w chmurze (takich jak OneDrive).
    • Synchronizacja kontaktów: przeglądarka Microsoft Edge nie zapisuje na natywnych list kontaktów.
    Uwaga:Zestaw SDK aplikacji nie może określić, czy aplikacja docelowa jest przeglądarką. Na urządzeniach z systemem Android dozwolone są inne aplikacje przeglądarki zarządzanej obsługujące intencję http/https.
 Nie skonfigurowano
    Identyfikator przeglądarki niezarządzanej
 Wprowadź identyfikator aplikacji dla jednej przeglądarki. Zawartość sieci Web (linki http/https) z aplikacji zarządzanych przez zasady zostanie otwarta w określonej przeglądarce. Zawartość internetowa jest niezarządzana w przeglądarce docelowej. Puste
    Nazwa przeglądarki niezarządzanej
 Wprowadź nazwę aplikacji dla przeglądarki skojarzonej z identyfikatorem przeglądarki niezarządzanej. Ta nazwa jest wyświetlana użytkownikom, jeśli określona przeglądarka nie jest zainstalowana. Puste
Powiadomienia o danych organizacji Określ, ile danych organizacji jest udostępnianych za pośrednictwem powiadomień systemu operacyjnego dla kont organizacji. To ustawienie zasad ma wpływ na urządzenie lokalne i wszystkie podłączone urządzenia, takie jak urządzenia do noszenia i inteligentne głośniki. Aplikacje mogą udostępniać dodatkowe kontrolki w celu dostosowania zachowania powiadomień lub mogą nie uwzględniać wszystkich wartości. Wybierz pozycję z:
  • Blokuj: nie udostępniaj powiadomień.
    • Jeśli aplikacja nie jest obsługiwana, powiadomienia są dozwolone.
  • Blokuj dane organizacji: nie udostępniaj danych organizacji w powiadomieniach. Na przykład "Masz nową pocztę"; "Masz spotkanie"
    • Jeśli aplikacja nie jest obsługiwana, powiadomienia są blokowane.
  • Zezwalaj: udostępnia dane organizacji w powiadomieniach

Uwaga: to ustawienie wymaga obsługi aplikacji:

  • Program Outlook dla systemu Android 4.0.95 lub nowszego
  • Teams for Android 1416/1.0.0.2020092202 lub nowszy.
 Zezwalaj

Wykluczenia z transferu danych

Istnieją pewne wykluczone aplikacje i usługi platformy, które Intune zasady ochrony aplikacji zezwalają na transfer danych do i z. Na przykład wszystkie aplikacje zarządzane Intune w systemie Android muszą mieć możliwość przesyłania danych do i z usługi Google Text-to-speech, aby tekst z ekranu urządzenia przenośnego mógł być odczytywany na głos. Ta lista może ulec zmianie i odzwierciedla usługi i aplikacje uważane za przydatne w celu zapewnienia bezpiecznej produktywności.

Pełne wykluczenia

Te aplikacje i usługi są w pełni dozwolone do transferu danych do i z aplikacji zarządzanych przez Intune.

Nazwa aplikacji/usługi Opis
com.android.phone Natywna aplikacja na telefon
com.android.vending Sklep Google Play
com.google.android.webview WebView, który jest niezbędny dla wielu aplikacji, w tym programu Outlook.
com.android.webview Widok internetowy, który jest niezbędny dla wielu aplikacji, w tym programu Outlook.
com.google.android.tts Google Text-to-speech
com.android.providers.settings Ustawienia systemu Android
com.android.settings Ustawienia systemu Android
com.azure.authenticator Azure aplikacji Authenticator, która jest wymagana do pomyślnego uwierzytelniania w wielu scenariuszach.
com.microsoft.windowsintune.companyportal Intune — Portal firmy
com.android.providers.contacts Natywna aplikacja kontaktów
com.samsung.android.providers.contacts Dostawca kontaktów firmy Samsung. Dozwolone dla urządzeń Firmy Samsung.
com.android.providers.blockednumber Dostawca numeru bloku systemu Android. Dozwolone dla urządzeń z systemem Android.

Wykluczenia warunkowe

Te aplikacje i usługi mogą przesyłać dane tylko do i z aplikacji zarządzanych przez Intune pod pewnymi warunkami.

Nazwa aplikacji/usługi Opis Warunek wykluczenia
com.android.chrome Przeglądarka Google Chrome Przeglądarka Chrome jest używana w przypadku niektórych składników WebView w systemie Android 7.0 lub nowszym i nigdy nie jest ukryta w widoku. Przepływ danych do i z aplikacji jest jednak zawsze ograniczony.
com.skype.raider Skype Aplikacja Skype jest dozwolona tylko w przypadku niektórych akcji, które powodują połączenie telefoniczne.
com.android.providers.media Dostawca zawartości multimedialnej systemu Android Dostawca zawartości multimediów może używać tylko akcji wyboru dzwonka.
com.google.android.gms; com.google.android.gsf Pakiety usług Google Play Te pakiety są dozwolone w przypadku akcji Google Cloud Messaging, takich jak powiadomienia wypychane.
com.google.android.apps.maps Mapy Google Adresy są dozwolone do nawigacji.
com.android.documentsui Selektor dokumentów systemu Android Dozwolone podczas otwierania lub tworzenia pliku.
com.google.android.documentsui Selektor dokumentów systemu Android (Android 10+) Dozwolone podczas otwierania lub tworzenia pliku.

Aby uzyskać więcej informacji, zobacz Wyjątki zasad transferu danych dla aplikacji.

Wymagania dotyczące dostępu

Ustawienie Sposób użycia
Numer PIN dostępu Wybierz pozycję Wymagaj , aby wymagać numeru PIN do korzystania z tej aplikacji. Użytkownik jest monitowany o skonfigurowanie tego numeru PIN przy pierwszym uruchomieniu aplikacji w kontekście służbowym.

Wartość domyślna = Wymagaj

Siłę numeru PIN można skonfigurować przy użyciu ustawień dostępnych w sekcji Numer PIN dla dostępu.

Uwaga: Użytkownicy końcowi, którzy mogą uzyskiwać dostęp do aplikacji, mogą zresetować numer PIN aplikacji. To ustawienie może nie być widoczne w niektórych przypadkach na urządzeniach z systemem Android. Urządzenia z systemem Android mają maksymalnie cztery dostępne skróty. Po osiągnięciu maksymalnej wartości użytkownik końcowy musi usunąć wszelkie spersonalizowane skróty (lub uzyskać dostęp do skrótu z innego widoku aplikacji zarządzanej), aby wyświetlić skrót resetowania numeru PIN aplikacji. Alternatywnie użytkownik końcowy może przypiąć skrót do swojej strony głównej.

    Typ numeru PIN
 Przed uzyskaniem dostępu do aplikacji z zastosowanymi zasadami ochrony aplikacji ustaw wymaganie dotyczące numerów pinów lub kodów dostępu. Wymagania liczbowe obejmują tylko liczby, natomiast kod dostępu można zdefiniować przy użyciu co najmniej 1 litery alfabetycznej lub co najmniej 1 znaku specjalnego.

Wartość domyślna = numeryczna

Uwaga: Dozwolone znaki specjalne obejmują znaki specjalne i symbole na klawiaturze języka angielskiego systemu Android.
    Prosty numer PIN
 Wybierz pozycję Zezwalaj , aby umożliwić użytkownikom używanie prostych sekwencji numerów PIN, takich jak 1234, 1111, abcd lub aaaa. Wybierz pozycję Bloki , aby uniemożliwić im używanie prostych sekwencji. Proste sekwencje są zaewidencjonowane w 3-znakowych oknach przesuwnych. Jeśli ustawienie Blokuj jest skonfigurowane, numer 1235 lub 1112 nie zostanie zaakceptowany jako numer PIN ustawiony przez użytkownika końcowego, ale numer 1122 będzie dozwolony.

Wartość domyślna = Zezwalaj

Uwaga: Jeśli skonfigurowano kod PIN typu Kod dostępu, a prosty numer PIN jest ustawiony na wartość Zezwalaj, użytkownik potrzebuje co najmniej jednej litery lub co najmniej jednego znaku specjalnego w numerze PIN. Jeśli skonfigurowano kod PIN typu Kod dostępu, a prosty numer PIN jest ustawiony na wartość Blokuj, użytkownik potrzebuje co najmniej jednej liczby i jednej litery oraz co najmniej jednego znaku specjalnego w numerze PIN.
    Wybierz minimalną długość numeru PIN
 Określ minimalną liczbę cyfr w sekwencji numeru PIN.

Wartość domyślna = 4
    Biometria zamiast numeru PIN na potrzeby dostępu
 Wybierz pozycję Zezwalaj , aby zezwolić użytkownikowi na używanie danych biometrycznych do uwierzytelniania użytkowników na urządzeniach z systemem Android. Jeśli jest to dozwolone, dane biometryczne są używane do uzyskiwania dostępu do aplikacji na urządzeniach z systemem Android 10 lub nowszym.
    Zastąp dane biometryczne numerem PIN po przekroczeniu limitu czasu
 Aby użyć tego ustawienia, wybierz pozycję Wymagaj , a następnie skonfiguruj limit czasu braku aktywności.

Wartość domyślna = Wymagaj
      Limit czasu (minuty braku aktywności)
 Określ czas w minutach, po którym kod dostępu lub numeryczny (zgodnie z konfiguracją) numer PIN zastępuje użycie danych biometrycznych. Ta wartość limitu czasu powinna być większa niż wartość określona w obszarze "Sprawdź ponownie wymagania dostępu po (minutach braku aktywności)".

Wartość domyślna = 30
    Biometria klasy 3 (Android 9.0+)
 Wybierz pozycję Wymagaj , aby wymagać od użytkownika zalogowania się przy użyciu biometrii klasy 3. Aby uzyskać więcej informacji na temat biometrii klasy 3, zobacz Biometria w dokumentacji firmy Google.
    Zastąp dane biometryczne numerem PIN po aktualizacjach biometrycznych
 Wybierz pozycję Wymagaj , aby zastąpić użycie danych biometrycznych przy użyciu numeru PIN po wykryciu zmiany biometrii.

UWAGA:
To ustawienie jest stosowane tylko po użyciu danych biometrycznych w celu uzyskania dostępu do aplikacji. W zależności od producenta urządzenia z systemem Android nie wszystkie formy biometrii mogą być obsługiwane w przypadku operacji kryptograficznych. Obecnie operacje kryptograficzne są obsługiwane dla dowolnej biometrii (na przykład odcisku palca, tęczówki lub twarzy) na urządzeniu, które spełnia lub przekracza wymagania dotyczące biometrii klasy 3, zgodnie z definicją w dokumentacji systemu Android. Zobacz stałą BIOMETRIC_STRONG interfejsu BiometricManager.Authenticators i authenticate metodę klasy BiometricPrompt . Może być konieczne skontaktowanie się z producentem urządzenia, aby zrozumieć ograniczenia specyficzne dla urządzenia.
    Resetowanie numeru PIN po liczbie dni
 Wybierz pozycję Tak , aby wymagać od użytkowników zmiany numeru PIN aplikacji po upływie określonego czasu w dniach.

Po ustawieniu wartości Tak należy skonfigurować liczbę dni przed koniecznością zresetowania numeru PIN.

Wartość domyślna = Nie
      Liczba dni
 Skonfiguruj liczbę dni, po których wymagane jest zresetowanie numeru PIN.

Wartość domyślna = 90
    Wybierz liczbę poprzednich wartości numeru PIN do utrzymania
 To ustawienie określa liczbę poprzednich numerów PIN, które Intune utrzymuje. Wszelkie nowe numery PIN muszą różnić się od tych, które Intune utrzymuje.

Wartość domyślna = 0
    Numer PIN aplikacji po ustawieniu numeru PIN urządzenia
 Wybierz pozycję Nie jest wymagane, aby wyłączyć numer PIN aplikacji po wykryciu blokady urządzenia na zarejestrowanym urządzeniu z skonfigurowaną Portal firmy.

Wartość domyślna = Wymagaj.
Poświadczenia konta służbowego na potrzeby dostępu Wybierz pozycję Wymagaj , aby wymagać od użytkownika zalogowania się przy użyciu konta służbowego zamiast wprowadzania numeru PIN w celu uzyskania dostępu do aplikacji. Po ustawieniu opcji Wymagaj i włączeniu numeru PIN lub monitów biometrycznych są wyświetlane zarówno poświadczenia firmowe, jak i numer PIN lub monity biometryczne.

Wartość domyślna = Nie jest wymagana
Sprawdź ponownie wymagania dostępu po (w minutach braku aktywności) Skonfiguruj następujące ustawienie:
  • Limit czasu: to ustawienie jest liczbą minut przed ponownym sprawdzeniem wymagań dostępu (zdefiniowanych wcześniej w zasadach). Na przykład administrator włącza numer PIN i blokuje urządzenia z odblokowanym dostępem do konta w zasadach, użytkownik otwiera aplikację zarządzaną Intune, musi wprowadzić numer PIN i musi używać aplikacji na urządzeniu nieobjętym funkcją. W przypadku korzystania z tego ustawienia użytkownik nie będzie musiał wprowadzać numeru PIN ani przechodzić kolejnej kontroli wykrywania root w żadnej aplikacji zarządzanej przez Intune przez okres równy skonfigurowanej wartości.

    Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.

    Wartość domyślna = 30 minut

    Uwaga: W systemie Android numer PIN jest udostępniany wszystkim aplikacjom zarządzanym przez Intune. Czasomierz numeru PIN jest resetowany, gdy aplikacja opuści pierwszy plan na urządzeniu. Użytkownik nie będzie musiał wprowadzać numeru PIN w żadnej aplikacji zarządzanej Intune, która udostępnia swój numer PIN przez czas trwania limitu czasu zdefiniowanego w tym ustawieniu.

Uwaga

Aby dowiedzieć się więcej na temat sposobu działania wielu Intune ustawień ochrony aplikacji skonfigurowanych w sekcji Dostęp do tego samego zestawu aplikacji i użytkowników w systemie Android, zobacz Intune MAM — często zadawane pytania i Selektywne czyszczenie danych przy użyciu akcji dostępu do zasad ochrony aplikacji w Intune.

Uruchamianie warunkowe

Skonfiguruj ustawienia uruchamiania warunkowego, aby ustawić wymagania dotyczące zabezpieczeń logowania dla zasad ochrony aplikacji.

Domyślnie dostępnych jest kilka ustawień ze wstępnie skonfigurowanymi wartościami i akcjami. Możesz usunąć niektóre ustawienia, takie jak minimalna wersja systemu operacyjnego. Możesz również wybrać więcej ustawień z listy rozwijanej Wybierz jeden .

Warunki aplikacji

Ustawienie Sposób użycia
Maksymalna liczba prób numeru PIN Określ liczbę prób pomyślnego wprowadzenia numeru PIN przez użytkownika przed podjęciem skonfigurowanej akcji. Jeśli użytkownik nie może pomyślnie wprowadzić numeru PIN po maksymalnej próbie podania numeru PIN, użytkownik musi zresetować numer PIN po pomyślnym zalogowaniu się na koncie i ukończeniu wyzwania uwierzytelniania wieloskładnikowego (MFA). Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.

Akcje obejmują:

  • Resetuj numer PIN — użytkownik musi zresetować swój numer PIN.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Wartość domyślna = 5
Okres prolongaty w trybie offline Liczba minut, przez które aplikacje zarządzane mogą działać w trybie offline. Określ czas (w minutach) przed ponownym sprawdzeniem wymagań dostępu dla aplikacji.

Akcje obejmują:

  • Blokuj dostęp (w minutach) — liczba minut, przez które aplikacje zarządzane mogą działać w trybie offline. Określ czas (w minutach) przed ponownym sprawdzeniem wymagań dostępu dla aplikacji. Po upływie tego okresu aplikacja wymaga uwierzytelniania użytkownika, aby Tożsamość Microsoft Entra, aby aplikacja mogła nadal działać.

    Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.

    Wartość domyślna = 1440 minut (24 godziny)

    Uwaga: Skonfigurowanie czasomierza okresu prolongaty w trybie offline w celu zablokowania dostępu do wartości mniejszej niż wartość domyślna może spowodować częstsze przerwy użytkowników podczas odświeżania zasad. Wybranie wartości mniejszej niż 30 minut nie jest zalecane, ponieważ może to spowodować przerwy użytkowników podczas każdego uruchomienia lub wznowienia aplikacji.
  • Czyszczenie danych (dni) — po tylu dniach (zdefiniowanych przez administratora) uruchamiania w trybie offline aplikacja wymaga od użytkownika nawiązania połączenia z siecią i ponownego uwierzytelnienia. Jeśli użytkownik pomyślnie uwierzytelnia się, może nadal uzyskiwać dostęp do swoich danych, a interwał w trybie offline zostanie zresetowany. Jeśli uwierzytelnienie użytkownika nie powiedzie się, aplikacja przeprowadzi selektywne czyszczenie konta i danych użytkownika. Aby uzyskać więcej informacji, zobacz How to wipe only corporate data from Intune-managed apps (Jak czyścić tylko dane firmowe z aplikacji zarządzanych przez Intune). Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.

    Wartość domyślna = 90 dni
Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję.
Minimalna wersja aplikacji Określ wartość minimalnej wartości wersji aplikacji.

Akcje obejmują:

  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli wersja aplikacji na urządzeniu nie spełnia wymagań. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika jest blokowany, jeśli wersja aplikacji na urządzeniu nie spełnia wymagań.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Ponieważ aplikacje często mają różne schematy przechowywania wersji, utwórz zasady z jedną minimalną wersją aplikacji przeznaczoną dla jednej aplikacji (na przykład zasad wersji programu Outlook).

Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję.

Ten format ustawienia zasad obsługuje pliki major.minor, major.minor.build, major.minor.build.build.

Ponadto można skonfigurować, gdzie użytkownicy końcowi mogą uzyskać zaktualizowaną wersję aplikacji biznesowych (LOB). Użytkownicy końcowi widzą to w oknie dialogowym uruchamiania warunkowego minimalnej wersji aplikacji , które monituje użytkowników końcowych o zaktualizowanie do minimalnej wersji aplikacji LOB. W systemie Android ta funkcja używa Portal firmy. Aby skonfigurować lokalizację, w której użytkownik końcowy powinien zaktualizować aplikację lob, aplikacja musi wysłać do niej zasady konfiguracji aplikacji zarządzanej z kluczem com.microsoft.intune.myappstore. Wysłana wartość określa, z którego magazynu użytkownik końcowy pobiera aplikację. Jeśli aplikacja jest wdrażana za pośrednictwem Portal firmy, wartość musi mieć wartość CompanyPortal. W przypadku dowolnego innego magazynu należy wprowadzić pełny adres URL.
Wyłączone konto Nie ma wartości do ustawienia dla tego ustawienia.

Akcje obejmują:

  • Blokuj dostęp — dostęp użytkownika jest zablokowany, ponieważ jego konto zostało wyłączone.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Czas braku pracy Nie ma wartości do ustawienia dla tego ustawienia.

Akcje obejmują:

  • Blokuj dostęp — dostęp użytkownika jest blokowany, ponieważ konto użytkownika skojarzone z aplikacją jest w czasie bez pracy.
  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli konto użytkownika skojarzone z aplikacją jest w czasie bez pracy. Powiadomienie można odrzucić.
Uwaga: to ustawienie należy skonfigurować tylko wtedy, gdy dzierżawa została zintegrowana z interfejsem API czasu pracy. Aby uzyskać więcej informacji na temat integracji tego ustawienia z interfejsem API czasu pracy, zobacz Ograniczanie dostępu do usługi Microsoft Teams, gdy pracownicy pierwszej linii są poza zmianą. Skonfigurowanie tego ustawienia bez integracji z interfejsem API czasu pracy może spowodować zablokowanie kont z powodu braku stanu czasu pracy dla konta zarządzanego skojarzonego z aplikacją.

Następujące aplikacje obsługują tę funkcję w Portal firmy wersji 5.0.5849.0 lub nowszej:

  • Teams for Android v1416/1.0.0.2023226005 (2023226050) lub nowszy
  • Microsoft Edge dla systemu Android w wersji 125.0.2535.96 lub nowszej

Warunki urządzenia

Ustawienie Sposób użycia
Urządzenia ze zdjętymi zabezpieczeniami systemu /urządzeniami z dostępem do konta root Określ, czy zablokować dostęp do urządzenia, czy wyczyścić dane urządzenia ze zdjętymi zabezpieczeniami systemu lub urządzeniami z odblokowanym dostępem. Akcje obejmują:
  • Blokuj dostęp — uniemożliwia działanie tej aplikacji na urządzeniach ze zdjętymi zabezpieczeniami systemu lub urządzeniami z odblokowanym dostępem do konta root. Użytkownik nadal może używać tej aplikacji do wykonywania zadań osobistych, ale musi używać innego urządzenia do uzyskiwania dostępu do danych służbowych w tej aplikacji.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Minimalna wersja systemu operacyjnego Określ minimalny system operacyjny Android wymagany do korzystania z tej aplikacji. Akcje wyzwalają wersje systemu operacyjnego poniżej określonej minimalnej wersji systemu operacyjnego . Akcje obejmują:
  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli wersja systemu Android na urządzeniu nie spełnia wymagań. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika jest blokowany, jeśli wersja systemu Android na urządzeniu nie spełnia tego wymagania.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Ten format ustawienia zasad obsługuje pliki major.minor, major.minor.build, major.minor.build.build.
Maksymalna wersja systemu operacyjnego Określ maksymalny system operacyjny Android wymagany do korzystania z tej aplikacji. Akcje wyzwalają wersje systemu operacyjnego poniżej określonej maksymalnej wersji systemu operacyjnego . Akcje obejmują:
  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli wersja systemu Android na urządzeniu nie spełnia wymagań. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika jest blokowany, jeśli wersja systemu Android na urządzeniu nie spełnia tego wymagania.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Ten format ustawienia zasad obsługuje pliki major.minor, major.minor.build, major.minor.build.build.
Minimalna wersja poprawki Wymagaj, aby urządzenia miały minimalną poprawkę zabezpieczeń systemu Android wydaną przez firmę Google.
  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli wersja systemu Android na urządzeniu nie spełnia wymagań. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika jest blokowany, jeśli wersja systemu Android na urządzeniu nie spełnia tego wymagania.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
To ustawienie zasad obsługuje format daty RRRR-MM-DD.
Producenci urządzeń Określ listę producentów rozdzieloną średnikami. Te wartości nie uwzględniają wielkości liter. Akcje obejmują:
  • Zezwalaj na określone (blokuj nieokreślone) — z aplikacji mogą korzystać tylko urządzenia zgodne z określonym producentem. Wszystkie inne urządzenia są zablokowane.
  • Zezwalaj na określone (wyczyść nieokreślone) — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Aby uzyskać więcej informacji na temat korzystania z tego ustawienia, zobacz Akcje uruchamiania warunkowego.
Werdykt integralności odtwarzania zasady Ochrona aplikacji obsługują niektóre interfejsy API integralności sklepu Google Play. To ustawienie w szczególności konfiguruje sprawdzanie integralności sklepu Google Play na urządzeniach użytkowników końcowych w celu zweryfikowania integralności tych urządzeń. Określ integralność podstawową lub podstawową integralność i integralność urządzenia.

Podstawowa integralność informuje o ogólnej integralności urządzenia. Urządzenia z odblokowanym dostępem, emulatory, urządzenia wirtualne i urządzenia z oznakami naruszenia nie mają podstawowej integralności. Podstawowa integralność & certyfikowanych urządzeń informuje o zgodności urządzenia z usługami Firmy Google. Tylko niezmodyfikowane urządzenia certyfikowane przez firmę Google mogą przejść tę kontrolę.

Jeśli wybierzesz werdykt integralności odtwarzania zgodnie z wymaganiami dla uruchamiania warunkowego, możesz określić, że jako typ oceny jest używany test silnej integralności. Obecność silnego sprawdzania integralności jako typu oceny wskazuje na większą integralność urządzenia. Zasady zarządzania aplikacjami mobilnymi blokują urządzenia, które nie obsługują kontroli silnej integralności, jeśli są objęte tym ustawieniem. Sprawdzanie silnej integralności zapewnia bardziej niezawodne wykrywanie główne w odpowiedzi na nowsze typy narzędzi i metod rootingu, które nie zawsze mogą być niezawodnie wykrywane przez rozwiązanie tylko oprogramowanie. W ramach aplikacji zaświadczanie sprzętowe jest włączone przez ustawienie typu oceny werdyktu integralności odtwarzania na Wartość Sprawdź silną integralność po skonfigurowaniu werdyktu integralności odtwarzania , a wymagany typ oceny SafetyNet na silny test integralności po skonfigurowaniu sprawdzania integralności urządzenia . Zaświadczanie oparte na sprzęcie używa składnika opartego na sprzęcie, który jest dostarczany z urządzeniami zainstalowanymi z systemem Android 8.1 lub nowszym. Urządzenia, które zostały uaktualnione ze starszej wersji systemu Android do systemu Android 8.1, prawdopodobnie nie będą miały składników sprzętowych niezbędnych do zaświadczania opartego na sprzęcie. Chociaż to ustawienie powinno być szeroko obsługiwane, począwszy od urządzeń dostarczanych z systemem Android 8.1, firma Microsoft zdecydowanie zaleca testowanie urządzeń indywidualnie przed szerokim włączeniem tego ustawienia zasad.

Ważne: Urządzenia, które nie obsługują tego typu oceny, są blokowane lub czyszczone na podstawie akcji sprawdzania integralności urządzenia. Organizacje, które chcą korzystać z tej funkcji, muszą upewnić się, że użytkownicy mają obsługiwane urządzenia. Aby uzyskać więcej informacji na temat zalecanych urządzeń firmy Google, zobacz Wymagania zalecane dla systemu Android Enterprise.

Akcje obejmują:

  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli urządzenie nie spełnia warunków sprawdzania integralności urządzenia firmy Google na podstawie skonfigurowanej wartości. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika jest blokowany, jeśli urządzenie nie spełnia warunków sprawdzania integralności urządzenia firmy Google na podstawie skonfigurowanej wartości.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Aby uzyskać często zadawane pytania związane z tym ustawieniem, zobacz Często zadawane pytania dotyczące zarządzania aplikacjami mobilnymi i ochrony aplikacji.
Wymagaj skanowania pod kątem zagrożeń w aplikacjach zasady Ochrona aplikacji obsługują niektóre interfejsy API usługi Google Play Protect. To ustawienie w szczególności gwarantuje, że skanowanie weryfikujące aplikacje firmy Google jest włączone dla urządzeń użytkowników końcowych. Jeśli zostanie skonfigurowany, użytkownik końcowy będzie miał zablokowany dostęp do momentu włączenia skanowania aplikacji Google na urządzeniu z systemem Android. Akcje obejmują:
  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli skanowanie weryfikujące aplikacje firmy Google na urządzeniu nie jest włączone. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika jest zablokowany, jeśli skanowanie weryfikuje aplikacje google na urządzeniu nie jest włączone.
Wyniki skanowania weryfikuj aplikacje firmy Google są dostępne w raporcie Potencjalnie szkodliwe aplikacje w konsoli programu .
Wymagany typ oceny safetynetu Zaświadczanie ze sprzętem rozszerza istniejącą kontrolę usługi zaświadczania SafetyNet. Po ustawieniu zaświadczania urządzenia SafteyNet można ustawić wartość Klucz oparty na sprzęcie.
Wymagaj blokady urządzenia To ustawienie określa, czy urządzenie z systemem Android ma numer PIN urządzenia spełniający minimalne wymagania dotyczące hasła. Zasady Ochrona aplikacji mogą podjąć działania, jeśli blokada urządzenia nie spełnia minimalnego wymagania dotyczącego hasła.

Wartości obejmują:

  • Niska złożoność
  • Średnia złożoność
  • Wysoka złożoność

Ta wartość złożoności jest przeznaczona dla systemu Android 12 lub nowszego. W przypadku urządzeń działających w systemie Android 11 lub starszym ustawienie wartości złożoności niskich, średnich lub wysokich wartości domyślnych na oczekiwane zachowanie w przypadku niskiej złożoności. Aby uzyskać więcej informacji, zobacz dokumentację dla deweloperów firmy Google : getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM i PASSWORD_COMPLEXITY_HIGH.

Akcje obejmują:

  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli blokada urządzenia nie spełnia wymagań dotyczących minimalnego hasła. Powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika jest blokowany, jeśli blokada urządzenia nie spełnia wymagań dotyczących minimalnego hasła.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia, jeśli blokada urządzenia nie spełnia minimalnego wymagania dotyczącego hasła.
Minimalna wersja Portal firmy Korzystając z wersji Minimalna Portal firmy, można określić określoną minimalną zdefiniowaną wersję Portal firmy wymuszaną na urządzeniu użytkownika końcowego. To ustawienie uruchamiania warunkowego umożliwia ustawienie wartości Blokuj dostęp, Wyczyść dane i Ostrzegaj jako możliwe akcje, gdy każda wartość nie zostanie spełniony. Możliwe formaty dla tej wartości są zgodne ze wzorcem [Major].[ Pomocniczy], [major].[ Pomocnicze]. [Kompilacja], lub [major].[ Pomocnicze]. [Kompilacja]. [Poprawka].

Uwaga: Obsługa systemu Android Portal firmy wersjach wcześniejszych niż 5.0.5421.0 zakończyła się 1 października 2025 r.

Biorąc pod uwagę, że niektórzy użytkownicy końcowi mogą nie preferować wymuszonej aktualizacji aplikacji na miejscu, opcja "ostrzegaj" może być idealna podczas konfigurowania tego ustawienia. Sklep Google Play wykonuje dobrą robotę, wysyłając tylko bajty różnicowe na potrzeby aktualizacji aplikacji, ale nadal może to być duża ilość danych, których użytkownik może nie chcieć używać, jeśli korzysta z danych w momencie aktualizacji. Wymuszenie aktualizacji, a tym samym pobranie zaktualizowanej aplikacji, może spowodować nieoczekiwane opłaty za dane w momencie aktualizacji. Aby uzyskać więcej informacji, zobacz Ustawienia zasad systemu Android.
Maksymalny wiek wersji Portal firmy (dni) Możesz ustawić maksymalną liczbę dni jako wiek wersji Portal firmy (CP) dla urządzeń z systemem Android. To ustawienie gwarantuje, że użytkownicy końcowi znajdują się w określonym zakresie wersji cp (w dniach). Wartość musi wynosić od 0 do 365 dni. Jeśli ustawienie dla urządzeń nie zostanie spełnione, zostanie wyzwolona akcja dla tego ustawienia. Akcje obejmują blokowanie dostępu, czyszczenie danych lub ostrzeżenie. Aby uzyskać powiązane informacje, zobacz Ustawienia zasad systemu Android. Uwaga: Wiek kompilacji Portal firmy jest określany przez sklep Google Play na urządzeniu użytkownika końcowego.
Zaświadczanie urządzenia Samsung Knox Określ, czy sprawdzanie zaświadczania urządzenia z systemem Samsung Knox jest wymagane. Tylko niezmodyfikowane urządzenia, które zostały zweryfikowane przez firmę Samsung, mogą przejść tę kontrolę. Aby uzyskać listę obsługiwanych urządzeń, zobacz samsungknox.com.

Korzystając z tego ustawienia, Microsoft Intune sprawdza również komunikację z Portal firmy do usługi Intune została wysłana z urządzenia w dobrej kondycji.

Akcje obejmują:
  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli urządzenie nie spełnia wymagań dotyczących sprawdzania zaświadczania urządzenia Samsung Knox. To powiadomienie można odrzucić na obsługiwanych urządzeniach firmy Samsung.
  • Blokuj dostęp — dostęp do konta użytkownika jest zablokowany, jeśli urządzenie nie spełnia wymagań sprawdzania zaświadczania urządzenia rozwiązania Knox firmy Samsung.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest czyszczone z urządzenia, jeśli urządzenie nie spełnia wymagań dotyczących sprawdzania zaświadczania urządzenia Samsung Knox.
  • Blokuj dostęp na obsługiwanych urządzeniach — dostęp do konta użytkownika jest blokowany, jeśli urządzenie firmy Samsung z systemem Android 15 z interfejsem użytkownika 7.0 lub nowszym nie spełnia wymagań kontroli zaświadczania urządzenia z systemem Knox firmy Samsung. Ten wybór nie ma wpływu na urządzenia firmy Samsung działające na starszych systemach operacyjnych lub urządzeniach innego producenta.

Uwaga: Pamiętaj, wybierając akcje "Ostrzegaj", "Blokuj dostęp" i "Wyczyść dane":

  • Te ustawienia dotyczą wszystkich urządzeń docelowych firmy Samsung i innych producentów.
  • Na urządzeniach innych niż Samsung użytkownicy nie mogą zaakceptować warunków korzystania z usługi Knox i są zablokowani. Użyj filtrów przypisań "Aplikacje zarządzane", aby kierować tylko obsługiwane urządzenia firmy Samsung. Aby uzyskać więcej informacji na temat filtrów przypisania, zobacz Używanie filtrów podczas przypisywania aplikacji, zasad i profilów w Microsoft Intune.
  • Urządzenia firmy Samsung z systemem wersje Jeden interfejs użytkownika 7.0 lub starsze wymagają od użytkowników zaakceptowania warunków systemu Samsung Knox przed sprawdzeniem zaświadczania urządzenia. Jeśli nie zostanie zaakceptowana, następuje określona akcja.
Maksymalny dozwolony poziom zagrożenia urządzenia Ochrona aplikacji zasady mogą korzystać z łącznika Intune-MTD. Określ maksymalny dopuszczalny poziom zagrożenia do korzystania z tej aplikacji. Zagrożenia są określane przez wybraną aplikację dostawcy usługi Mobile Threat Defense (MTD) na urządzeniu użytkownika końcowego. Określ wartości Zabezpieczone, Niskie, Średnie lub Wysokie. Zabezpieczone nie wymaga żadnych zagrożeń na urządzeniu i jest najbardziej restrykcyjną wartością konfigurowalną, podczas gdy wysoka zasadniczo wymaga aktywnego połączenia Intune z usługą MTD.

Akcje obejmują:

  • Blokuj dostęp — dostęp użytkownika jest blokowany, jeśli poziom zagrożenia określony przez wybraną aplikację dostawcy usługi Mobile Threat Defense (MTD) na urządzeniu użytkownika końcowego nie spełnia tego wymagania.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Aby uzyskać więcej informacji na temat korzystania z tego ustawienia, zobacz Włączanie łącznika usługi Mobile Threat Defense w Intune dla niezarejestrowanych urządzeń.
Podstawowa usługa MTD Jeśli skonfigurowano wiele łączników Intune-MTD, określ podstawową aplikację dostawcy USŁUGI MTD, która powinna być używana na urządzeniu użytkownika końcowego.

Wartości obejmują:

  • Ochrona punktu końcowego w usłudze Microsoft Defender — jeśli łącznik MTD jest skonfigurowany, określ, Ochrona punktu końcowego w usłudze Microsoft Defender udostępnia informacje o poziomie zagrożenia urządzenia.
  • Mobile Threat Defense (innej firmy niż Microsoft) — jeśli łącznik MTD jest skonfigurowany, określ, czy usługa MTD firmy innej niż Microsoft udostępnia informacje o poziomie zagrożenia urządzenia.

Aby użyć tego ustawienia, należy skonfigurować ustawienie "Maksymalny dozwolony poziom zagrożenia urządzenia".

Nie ma żadnych akcji dla tego ustawienia.
  • Last updated on