Udostępnij przez

Często zadawane pytania dotyczące zarządzania aplikacjami mobilnymi i ochrony aplikacji

Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące zarządzania aplikacjami mobilnymi (MAM) usługi Intune i ochrony aplikacji usługi Intune.

Podstawy zarządzania aplikacjami mobilnymi

Co to jest mam?

Omówienie zarządzania aplikacjami mobilnymi

Zasady ochrony aplikacji

Jakie są zasady ochrony aplikacji?

Ochrona aplikacji zasady to reguły, które zapewniają, że dane organizacji pozostają bezpieczne lub zawarte w zarządzanej aplikacji. Zasady to reguła wymuszana przez usługę Intune, gdy użytkownik próbuje uzyskać dostęp do danych "firmowych" lub przenieść do nich dane. Może również definiować akcje, które usługa Intune blokuje lub monitoruje, gdy użytkownik znajduje się w aplikacji.

Jakie są przykłady zasad ochrony aplikacji?

Aby uzyskać szczegółowe informacje o każdym ustawieniu zasad ochrony aplikacji, zobacz Ustawienia zasad ochrony aplikacji systemu Android i ustawienia zasad ochrony aplikacji systemu iOS/iPadOS.

Czy w przypadku różnych urządzeń możliwe jest jednoczesne zastosowanie zasad zarządzania urządzeniami przenośnymi i zarządzania aplikacjami mobilnymi do tego samego użytkownika?

Jeśli zastosujesz zasady zarządzania aplikacjami mobilnymi do użytkownika bez ustawiania stanu zarządzania urządzeniami, użytkownik pobierze zasady zarządzania aplikacjami mobilnymi zarówno na urządzeniu osobistym, jak i na urządzeniu zarządzanym przez usługę Intune.If you apply a MAM policy to the user without setting the device management state, the user gets the MAM policy on the personal device, also known as a bring-your-own-device (BYOD) and the Intune-managed device. Można również zastosować zasady zarządzania aplikacjami mobilnymi na podstawie stanu zarządzania urządzeniami. Dlatego podczas tworzenia zasad ochrony aplikacji obok pozycji Target to apps on all device types (Kierowanie do aplikacji na wszystkich typach urządzeń) wybierz pozycję Nie. Następnie wybierz jedną z następujących opcji:

  • Zastosuj mniej rygorystyczne zasady zarządzania aplikacjami mobilnymi do urządzeń zarządzanych przez usługę Intune i zastosuj bardziej restrykcyjne zasady zarządzania aplikacjami mobilnymi do urządzeń zarejestrowanych w rozwiązaniu MDM.
  • Zastosuj równie rygorystyczne zasady zarządzania aplikacjami mobilnymi do urządzeń zarządzanych przez usługę Intune i do urządzeń zarządzanych przez firmę Intune.
  • Zastosuj zasady zarządzania aplikacjami mobilnymi tylko do niezarejestrowanych urządzeń.

Aby uzyskać więcej informacji, zobacz Jak monitorować zasady ochrony aplikacji.

Aplikacje, które można zarządzać przy użyciu zasad ochrony aplikacji

Którymi aplikacjami można zarządzać za pomocą zasad ochrony aplikacji?

Każdą aplikacją zintegrowaną z zestawem SDK aplikacji usługi Intune lub opakowaną przez App Wrapping Tool usługi Intune można zarządzać przy użyciu zasad ochrony aplikacji usługi Intune. Zobacz oficjalną listę aplikacji zarządzanych przez usługę Intune dostępnych do użytku publicznego.

Jakie są wymagania punktu odniesienia dotyczące korzystania z zasad ochrony aplikacji w aplikacji zarządzanej przez usługę Intune?

Co zrobić, jeśli chcę włączyć aplikację z usługą Intune App Protection, ale nie korzysta ona z obsługiwanej platformy tworzenia aplikacji?

Zespół deweloperów zestawu SDK usługi Intune aktywnie testuje i utrzymuje obsługę aplikacji utworzonych za pomocą natywnych systemów Android, iOS/iPadOS (Obj-C, Swift), Xamarin i Xamarin. platformy Forms. Niektórzy klienci pomyślnie zintegrowali zestaw SDK usługi Intune z innymi platformami, takimi jak React Native i NativeScript. Firma Microsoft nie udostępnia jednak wskazówek ani wtyczek dla platform innych niż obsługiwane.

Czy zestaw SDK aplikacji usługi Intune obsługuje bibliotekę uwierzytelniania firmy Microsoft (MSAL)?

Zestaw SDK aplikacji usługi Intune może używać biblioteki uwierzytelniania firmy Microsoft na potrzeby scenariuszy uwierzytelniania i uruchamiania warunkowego. Ponadto usługa MSAL służy do rejestrowania tożsamości użytkownika w usłudze MAM na potrzeby zarządzania bez scenariuszy rejestracji urządzeń.

Jakie są inne wymagania dotyczące korzystania z aplikacji mobilnej Outlook?

Jakie są inne wymagania dotyczące używania aplikacji Word, Excel i PowerPoint?

  • Użytkownik końcowy musi mieć licencję dla Aplikacje Microsoft 365 dla firm lub przedsiębiorstwa połączoną ze swoim kontem Microsoft Entra. Subskrypcja musi zawierać aplikacje pakietu Office na urządzeniach przenośnych i może obejmować konto magazynu w chmurze z magazynem w chmurze usługi OneDrive i udostępnianiem plików dla firm. Licencje platformy Microsoft 365 można przypisać w Centrum administracyjne platformy Microsoft 365 zgodnie z tymi instrukcjami.

  • Użytkownik końcowy musi mieć skonfigurowaną lokalizację zarządzaną przy użyciu funkcji szczegółowego zapisywania jako w ramach ustawienia zasad ochrony aplikacji "Zapisz kopie danych organizacji". Jeśli na przykład lokalizacja zarządzana to OneDrive, aplikacja OneDrive powinna zostać skonfigurowana w aplikacji Word, Excel lub PowerPoint użytkownika końcowego.

  • Jeśli lokalizacja zarządzana to OneDrive, aplikacja musi być objęta zasadami ochrony aplikacji wdrożoną dla użytkownika końcowego.

    Uwaga

    Aplikacje mobilne pakietu Office obecnie obsługują tylko usługę SharePoint Online, a nie lokalny program SharePoint.

Dlaczego dla pakietu Office jest potrzebna lokalizacja zarządzana (czyli OneDrive)?

Usługa Intune oznacza wszystkie dane w aplikacji jako "firmowe" lub "osobiste". Dane są uznawane za "firmowe", gdy pochodzą z lokalizacji biznesowej. W przypadku aplikacji pakietu Office usługa Intune traktuje pocztę e-mail (Exchange) i magazyn w chmurze (OneDrive) jako lokalizacje biznesowe.

Jakie są inne wymagania dotyczące używania Skype dla firm?

Zobacz wymagania dotyczące licencji Skype dla firm. Aby uzyskać Skype dla firm (SfB) konfiguracji hybrydowych i lokalnych, zobacz Hybrydowy nowoczesny uwierzytelnianie dla SfB i Exchange idzie ga i nowoczesne uwierzytelnianie dla SfB lokalnie z identyfikatorem Microsoft Entra, odpowiednio.

funkcje Ochrona aplikacji

Co to jest obsługa wielu tożsamości?

Obsługa wielu tożsamości umożliwia zestawowi SDK aplikacji usługi Intune stosowanie zasad ochrony aplikacji tylko do konta służbowego zalogowanego do aplikacji. Jeśli konto osobiste jest zalogowane do aplikacji, dane są nietknięte.

Jaki jest cel obsługi wielu tożsamości?

Obsługa wielu tożsamości umożliwia publiczne wdrażanie aplikacji z grupami odbiorców "firmowych" i odbiorców (czyli aplikacji pakietu Office) przy użyciu funkcji ochrony aplikacji usługi Intune dla kont "firmowych".

Co z programem Outlook i wieloma tożsamościami?

Ponieważ program Outlook ma połączony widok poczty e-mail zarówno osobistych, jak i "firmowych" wiadomości e-mail, aplikacja Outlook monituje o podanie numeru PIN usługi Intune podczas uruchamiania.

Co to jest numer PIN aplikacji usługi Intune?

Osobisty numer identyfikacyjny (PIN) to kod dostępu używany do sprawdzania, czy prawidłowy użytkownik uzyskuje dostęp do danych organizacji w aplikacji.

Kiedy użytkownik jest monitowany o wprowadzenie numeru PIN?

Usługa Intune monituje o podanie numeru PIN aplikacji użytkownika, gdy użytkownik ma zamiar uzyskać dostęp do danych "firmowych". W aplikacjach z wieloma tożsamościami, takich jak Word/Excel/PowerPoint, podczas próby otwarcia dokumentu lub pliku "firmowego" użytkownik otrzymuje monit o podanie numeru PIN. W aplikacjach z jedną tożsamością, takich jak aplikacje biznesowe zarządzane przy użyciu App Wrapping Tool usługi Intune, podczas uruchamiania jest wyświetlany monit o podanie numeru PIN, ponieważ zestaw SDK aplikacji usługi Intune wie, że środowisko użytkownika w aplikacji jest zawsze "firmowe".

Jak często użytkownicy otrzymują monit o podanie numeru PIN usługi Intune?

Administrator IT może zdefiniować ustawienie zasad ochrony aplikacji usługi Intune "Sprawdź ponownie wymagania dostępu po (minutach)" w centrum administracyjnym usługi Microsoft Intune. To ustawienie określa czas, przez który wymagania dostępu zostaną sprawdzone na urządzeniu, a ekran numeru PIN aplikacji zostanie ponownie wyświetlony. Jednak ważne szczegóły dotyczące numeru PIN, które wpływają na częstotliwość monitowania użytkowników:

  • Numer PIN jest udostępniany aplikacjom tego samego wydawcy w celu zwiększenia użyteczności: W systemie iOS/iPadOS jeden numer PIN aplikacji jest udostępniany we wszystkich aplikacjach tego samego wydawcy aplikacji. W systemie Android jeden numer PIN aplikacji jest udostępniany we wszystkich aplikacjach.
  • Zachowanie "Sprawdź ponownie wymagania dostępu po (minutach)" po ponownym uruchomieniu urządzenia: "Czasomierz numeru PIN" śledzi liczbę minut braku aktywności, które określają, kiedy wyświetlić numer PIN aplikacji usługi Intune. W systemie iOS/iPadOS czasomierz numeru PIN nie ma wpływu na ponowne uruchomienie urządzenia. W związku z tym ponowne uruchomienie urządzenia nie ma wpływu na liczbę minut, przez które użytkownik jest nieaktywny z aplikacji systemu iOS/iPadOS z zasadami numeru PIN usługi Intune. W systemie Android czasomierz numeru PIN jest resetowany podczas ponownego uruchamiania urządzenia. W związku z tym aplikacje systemu Android z zasadami numeru PIN usługi Intune prawdopodobnie będą monitować o podanie numeru PIN aplikacji niezależnie od wartości ustawienia "Sprawdź ponownie wymagania dostępu po (minutach)" po ponownym uruchomieniu urządzenia.
  • Stopniowy charakter czasomierza skojarzonego z numerem PIN: Po wprowadzeniu numeru PIN w celu uzyskania dostępu do aplikacji (aplikacji A), a aplikacja opuści pierwszy plan (główny fokus wejściowy) na urządzeniu, czasomierz numeru PIN zostanie zresetowany dla tego numeru PIN. Każda aplikacja (aplikacja B), która udostępnia ten numer PIN, nie monituje użytkownika o wprowadzenie numeru PIN, ponieważ czasomierz został zresetowany. Monit pojawi się ponownie po ponownym spełnieniu wartości "Sprawdź ponownie wymagania dostępu po (minutach)".

Na urządzeniach z systemem iOS/iPadOS aplikacje różnych wydawców mogą współużytkować ten sam numer PIN. Jednak po osiągnięciu wartości Recheck the access requirements after (minutes) (Ponowne sprawdzanie wymagań dostępu po (minutach) usługa Intune monituje użytkownika o podanie numeru PIN, jeśli aplikacja nie była głównym fokusem wejściowym. Na przykład użytkownik ma aplikację A od wydawcy X i aplikację B od wydawcy Y, a te dwie aplikacje mają ten sam numer PIN. Użytkownik koncentruje się na aplikacji A (na pierwszym planie), a aplikacja B jest zminimalizowana. Po spełnieniu wartości Recheck the access requirements after (minutes) (Ponowne sprawdzanie wymagań dostępu po (minutach) i przełączeniu użytkownika do aplikacji B będzie wymagany numer PIN.

Uwaga

Aby częściej weryfikować wymagania dotyczące dostępu użytkownika (tj. monit o podanie numeru PIN), szczególnie w przypadku często używanej aplikacji, zmniejsz wartość ustawienia "Sprawdź ponownie wymagania dostępu po (minutach)".

Jak kod PIN usługi Intune działa z wbudowanymi numerami PIN aplikacji dla programu Outlook i usługi OneDrive?

Numer PIN usługi Intune działa na podstawie czasomierza opartego na braku aktywności (wartość "Sprawdź ponownie wymagania dostępu po (minutach)"). W związku z tym monity o podanie numeru PIN usługi Intune są wyświetlane niezależnie od wbudowanych monitów o podanie numeru PIN aplikacji dla programu Outlook i usługi OneDrive, które często są domyślnie powiązane z uruchamianiem aplikacji. Jeśli użytkownik otrzyma jednocześnie oba monity o podanie numeru PIN, oczekiwanym zachowaniem powinno być to, że numer PIN usługi Intune ma pierwszeństwo.

Czy numer PIN jest bezpieczny?

Numer PIN umożliwia tylko prawidłowemu użytkownikowi dostęp do danych organizacji w aplikacji. W związku z tym użytkownik końcowy musi zalogować się przy użyciu konta służbowego, zanim będzie mógł ustawić lub zresetować numer PIN aplikacji usługi Intune. Microsoft Entra identyfikator obsługuje to uwierzytelnianie za pośrednictwem bezpiecznej wymiany tokenów i nie jest niewidoczny dla zestawu SDK aplikacji usługi Intune. Z punktu widzenia bezpieczeństwa najlepszym sposobem ochrony danych służbowych jest ich szyfrowanie. Szyfrowanie nie jest powiązane z numerem PIN aplikacji, ale jest jego własnymi zasadami ochrony aplikacji.

Jak usługa Intune chroni numer PIN przed atakami siłowymi?

W ramach zasad numeru PIN aplikacji administrator IT może ustawić maksymalną liczbę prób uwierzytelnienia numeru PIN przez użytkownika przed zablokowaniem aplikacji. Po wykonaniu liczby prób zestaw SDK aplikacji usługi Intune może wyczyścić dane "firmowe" w aplikacji.

Dlaczego muszę dwukrotnie ustawić numer PIN w aplikacjach od tego samego wydawcy?

Zarządzanie aplikacjami mobilnymi w systemie iOS/iPadOS obsługuje numery PIN na poziomie aplikacji z znakami alfanumerycznymi i specjalnymi (nazywanymi kodem dostępu). Aby wymusić ustawienia kodu dostępu, aplikacje takie jak Word, Excel, PowerPoint, Outlook, Managed Browser i Yammer muszą zintegrować zestaw SDK aplikacji usługi Intune dla systemu iOS/iPadOS. Bez tej integracji usługa Intune nie może wymusić ustawień kodu dostępu dla tych aplikacji. Usługa Intune wprowadziła tę funkcję w zestawie SDK w wersji 7.1.12 dla systemu iOS/iPadOS.

Aby obsługiwać tę funkcję i zachować zgodność z wcześniejszymi wersjami zestawu SDK usługi Intune dla systemu iOS/iPadOS, wersja 7.1.12 i nowsze obsługują wszystkie numeryczne (numeryczne lub kod dostępu) niezależnie od numeru PIN używanego we wcześniejszych wersjach. Dlatego jeśli urządzenie ma aplikacje z zestawem Intune SDK dla systemu iOS/iPadOS w wersji przed 7.1.12 i po wersji 7.1.12 od tego samego wydawcy, będą musieli skonfigurować dwa numery PIN.

Mimo to dwa numery PIN (dla każdej aplikacji) nie są w żaden sposób ze sobą powiązane. Muszą one być zgodne z zasadami ochrony aplikacji stosowanymi do aplikacji. W związku z tym tylko wtedy, gdy aplikacje A i B mają te same zasady stosowane (w odniesieniu do numeru PIN), użytkownik może dwukrotnie skonfigurować ten sam numer PIN.

To zachowanie jest specyficzne dla numeru PIN w aplikacjach systemu iOS/iPadOS, które są włączone w usłudze Intune Mobile App Management. Z biegiem czasu, gdy aplikacje przyjmują nowsze wersje zestawu SDK usługi Intune dla systemu iOS/iPadOS, konieczność dwukrotnego ustawienia numeru PIN w aplikacjach tego samego wydawcy staje się mniejszym problemem.

Uwaga

Wersje aplikacji określają, czy udostępniony numer PIN jest możliwy. Jeśli na przykład aplikacja A używa zestawu SDK w wersji wcześniejszej niż 7.1.12, a aplikacja B używa wersji 7.1.12 lub nowszej, użytkownik musi skonfigurować oddzielny numer PIN dla każdej aplikacji — nawet jeśli pochodzi z tego samego wydawcy. Jeśli jednak aplikacje A i C używają wersji przed 7.1.12, udostępniają numer PIN. Podobnie aplikacje B i D udostępniają numer PIN, jeśli obaj używają zestawu SDK 7.1.12 lub nowszego.

A co z szyfrowaniem?

Administratorzy IT mogą wdrożyć zasady ochrony aplikacji, które wymagają szyfrowania danych aplikacji. W ramach zasad administrator IT może również określić, kiedy zawartość jest szyfrowana.

Jak usługa Intune szyfruje dane?

Usługa Intune szyfruje dane zgodnie z ustawieniem zasad ochrony aplikacji na potrzeby szyfrowania. Aby uzyskać szczegółowe informacje, zobacz Ustawienia zasad ochrony aplikacji systemu Android i ustawienia zasad ochrony aplikacji systemu iOS/iPadOS.

Co jest szyfrowane?

Tylko dane oznaczone jako "firmowe" są szyfrowane zgodnie z zasadami ochrony aplikacji administratora IT. Dane są uznawane za "firmowe", gdy pochodzą z lokalizacji biznesowej. W przypadku aplikacji pakietu Office usługa Intune traktuje pocztę e-mail (Exchange) i magazyn w chmurze (OneDrive) jako lokalizacje biznesowe. W przypadku aplikacji biznesowych zarządzanych przez App Wrapping Tool usługi Intune wszystkie dane aplikacji są uważane za "firmowe".

Jak usługa Intune zdalnie czyści dane?

Usługa Intune może czyścić dane aplikacji na trzy różne sposoby: pełne czyszczenie urządzenia, selektywne czyszczenie na potrzeby zarządzania urządzeniami przenośnymi i selektywne czyszczenie funkcji MAM. Aby uzyskać więcej informacji na temat zdalnego czyszczenia na potrzeby zarządzania urządzeniami przenośnymi, zobacz Usuwanie urządzeń przy użyciu czyszczenia lub wycofywania. Aby uzyskać więcej informacji na temat selektywnego czyszczenia przy użyciu funkcji ZARZĄDZANIA aplikacjami mobilnymi, zobacz Akcja Wycofaj i Jak wyczyścić tylko dane firmowe z aplikacji.

Co to jest czyszczenie?

Wyczyść usuwa wszystkie dane użytkownika i ustawienia z urządzenia , przywracając urządzenie do ustawień domyślnych fabrycznych. Urządzenie zostanie usunięte z usługi Intune.

Uwaga

Czyszczenie można przeprowadzić tylko na urządzeniach zarejestrowanych w usłudze Intune do zarządzania urządzeniami przenośnymi (MDM).

Co to jest selektywne czyszczenie na potrzeby zarządzania urządzeniami przenośnymi?

Selektywne czyszczenie danych na potrzeby zarządzania urządzeniami przenośnymi powoduje usunięcie z urządzenia tylko danych firmowych bez wpływu na dane osobowe. Aby uzyskać więcej informacji, zobacz Usuwanie urządzeń — wycofywanie.

Co to jest selektywne czyszczenie danych na potrzeby zarządzania aplikacjami mobilnymi?

Selektywne czyszczenie na potrzeby zarządzania aplikacjami mobilnymi po prostu usuwa dane aplikacji firmowych z aplikacji. Żądanie jest inicjowane przy użyciu centrum administracyjnego usługi Microsoft Intune. Aby dowiedzieć się, jak zainicjować żądanie czyszczenia, zobacz Jak wyczyścić tylko dane firmowe z aplikacji.

Jak szybko odbywa się selektywne czyszczenie pod kątem zarządzania aplikacjami mobilnymi?

Jeśli użytkownik korzysta z aplikacji podczas inicjowania selektywnego czyszczenia, zestaw SDK aplikacji usługi Intune sprawdza co 30 minut selektywne żądanie czyszczenia z usługi Zarządzania aplikacjami mobilnymi usługi Intune. Sprawdza również selektywne czyszczenie, gdy użytkownik uruchamia aplikację po raz pierwszy i loguje się przy użyciu konta służbowego.

Dlaczego usługi lokalne nie współpracują z aplikacjami chronionymi przez usługę Intune?

Ochrona aplikacji w usłudze Intune zależy od tego, czy tożsamość użytkownika jest spójna między aplikacją a zestawem SDK aplikacji usługi Intune. Jedynym sposobem zagwarantowania tego jest nowoczesne uwierzytelnianie. Istnieją scenariusze, w których aplikacje mogą współdziałać z konfiguracją lokalną, ale nie są spójne ani gwarantowane.

Tak! Administrator IT może wdrożyć i ustawić zasady ochrony aplikacji dla aplikacji Microsoft Edge. Administrator IT może wymagać otwarcia wszystkich linków internetowych w aplikacjach zarządzanych przez usługę Intune przy użyciu aplikacji Microsoft Edge.

Środowisko aplikacji w systemie Android

Dlaczego aplikacja Portal firmy jest potrzebna do działania ochrony aplikacji usługi Intune na urządzeniach z systemem Android?

ochrona aplikacji Portal firmy i usługi Intune

Jak wiele ustawień dostępu ochrony aplikacji usługi Intune skonfigurowanych dla tego samego zestawu aplikacji i użytkowników działa w systemie Android?

Zasady ochrony aplikacji usługi Intune dotyczące dostępu są stosowane w określonej kolejności na urządzeniach użytkowników końcowych podczas próby uzyskania dostępu do aplikacji docelowej z poziomu konta firmowego. Ogólnie rzecz biorąc, pierwszeństwo ma blok, a następnie ostrzeżenie, które można odrzucić. Jeśli na przykład dotyczy konkretnego użytkownika/aplikacji, po ustawieniu minimalnej wersji poprawki systemu Android, które blokuje dostęp użytkownika do uaktualnienia poprawki, zostanie zastosowane ustawienie minimalnej wersji poprawki systemu Android, które blokuje dostęp użytkownika. Tak więc w scenariuszu, w którym administrator IT konfiguruje minimalną wersję poprawki systemu Android do wersji 2018-03-01 i minimalną wersję poprawki systemu Android (tylko ostrzeżenie) do wersji 2018-02-01, podczas gdy urządzenie próbujące uzyskać dostęp do aplikacji było w wersji poprawki 2018-01-01, użytkownik końcowy zostanie zablokowany na podstawie bardziej restrykcyjnego ustawienia minimalnej wersji poprawki systemu Android, która powoduje zablokowanie dostępu.

W przypadku obsługi różnych typów ustawień pierwszeństwo ma wymaganie dotyczące wersji aplikacji, a następnie wymaganie dotyczące wersji systemu operacyjnego Android i wymagania dotyczące wersji poprawki systemu Android. Następnie są sprawdzane wszelkie ostrzeżenia dla wszystkich typów ustawień w tej samej kolejności.

Zasady ochrony aplikacji usługi Intune umożliwiają administratorom wymaganie od użytkowników końcowych przekazania kontroli integralności urządzeń z systemem Android w sklepie Google Play. Jak często do usługi jest wysyłany nowy wynik sprawdzania integralności urządzenia w sklepie Google Play?

Usługa Intune kontaktuje się z sklepem Google Play w niekonfigurowalnym interwale określonym na podstawie obciążenia usługi. Każda akcja skonfigurowana przez administratora IT dla ustawienia sprawdzania integralności urządzenia w sklepie Google Play zostanie podjęta na podstawie ostatniego zgłoszonego wyniku dla usługi Intune w momencie uruchomienia warunkowego. Jeśli wynik integralności urządzenia firmy Google jest zgodny, nie są podejmowane żadne działania. Jeśli wynik integralności urządzenia firmy Google jest niezgodny, akcja skonfigurowana przez administratora IT jest podejmowana natychmiast. Jeśli żądanie sprawdzenia integralności urządzenia w sklepie Google Play nie powiedzie się z jakiegoś powodu, buforowany wynik z poprzedniego żądania będzie używany przez maksymalnie 24 godziny lub następne ponowne uruchomienie urządzenia, które kiedykolwiek nastąpi jako pierwsze. W tym czasie zasady ochrony aplikacji usługi Intune blokują dostęp do momentu uzyskania bieżącego wyniku.

Zasady ochrony aplikacji usługi Intune umożliwiają administratorom wymaganie od urządzeń użytkowników końcowych wysyłania sygnałów za pośrednictwem interfejsu API weryfikacji aplikacji firmy Google dla urządzeń z systemem Android. Jak użytkownik końcowy może włączyć skanowanie aplikacji, aby nie zablokować dostępu z tego powodu?

Instrukcje dotyczące tego, jak to zrobić, różnią się nieznacznie w zależności od urządzenia. Ogólny proces obejmuje przejście do Sklepu Google Play, a następnie kliknięcie pozycji Moje aplikacje & gry, kliknięcie wyniku ostatniego skanowania aplikacji, które spowoduje przejście do menu Play Protect. Upewnij się, że przełącznik skanuj urządzenie pod kątem zagrożeń bezpieczeństwa jest włączony.

Co faktycznie sprawdza interfejs API integralności Google Play na urządzeniach z systemem Android? Jaka jest różnica między konfigurowalnymi wartościami "Sprawdź integralność podstawową" i "Sprawdź podstawową integralność & certyfikowanych urządzeń"?

Usługa Intune stosuje interfejsy API integralności sklepu Google Play, aby dodać je do istniejących testów wykrywania root dla niezarejestrowanych urządzeń. Firma Google opracowała i obsługiwała ten zestaw interfejsów API dla aplikacji systemu Android do wdrożenia, jeśli nie chce, aby ich aplikacje były uruchamiane na urządzeniach z dostępem do konta root. Aplikacja Android Pay włączyła tę funkcję, na przykład. Chociaż firma Google nie udostępnia publicznie całości przeprowadzanych kontroli wykrywania rootów, oczekujemy, że te interfejsy API wykryje użytkowników, którzy odblokowali swoje urządzenia. Dostęp do tych użytkowników może zostać zablokowany lub konta firmowe zostaną wyczyszczone z aplikacji z obsługą zasad. Polecenie "Sprawdź podstawową integralność" informuje o ogólnej integralności urządzenia. Urządzenia z odblokowanym dostępem, emulatory, urządzenia wirtualne i urządzenia z oznakami naruszenia nie mają podstawowej integralności. "Sprawdzanie podstawowej integralności & certyfikowanych urządzeń" informuje o zgodności urządzenia z usługami Firmy Google. Tylko niezmodyfikowane urządzenia, które zostały certyfikowane przez firmę Google, mogą przejść tę kontrolę. Urządzenia, które nie powiodły się, obejmują:

  • Urządzenia, które nie spełniają podstawowej integralności
  • Urządzenia z odblokowanym bootloaderem
  • Urządzenia z niestandardowym obrazem systemowym/ROM
  • Urządzenia, o które producent nie ubiegał się lub nie przeszedł certyfikacji Google
  • Urządzenia z obrazem systemowym utworzonym bezpośrednio z plików źródłowych programu Open Source programu Android
  • Urządzenia z obrazem systemu w wersji beta/developer (wersja zapoznawcza)

Aby uzyskać szczegółowe informacje techniczne , zobacz dokumentację firmy Google dotyczącą interfejsu API integralności play .

Istnieją dwa podobne kontrole w sekcji Uruchamianie warunkowe podczas tworzenia zasad ochrony aplikacji usługi Intune dla urządzeń z systemem Android. Czy powinienem wymagać ustawienia "Werdykt integralności odtwarzania" lub ustawienia "jailbroken/rooted devices"?

Testy interfejsu API integralności sklepu Google Play wymagają, aby użytkownik końcowy był w trybie online w czasie wykonywania "rundy" w celu określenia wyników zaświadczania. Jeśli użytkownik końcowy jest w trybie offline, administrator IT nadal może oczekiwać, że wynik zostanie wymuszony z ustawienia "urządzenia ze zdjętymi zabezpieczeniami systemu/odblokowanym dostępem do konta root". Oznacza to, że jeśli użytkownik końcowy jest zbyt długi w trybie offline, w grę wchodzi wartość "Okres prolongaty offline", a cały dostęp do danych służbowych jest zablokowany po osiągnięciu tej wartości czasomierza, dopóki dostęp do sieci nie będzie dostępny. Włączenie obu ustawień umożliwia warstwowe podejście do utrzymania kondycji urządzeń użytkowników końcowych, co jest ważne, gdy użytkownicy końcowi uzyskują dostęp do danych służbowych na urządzeniach przenośnych.

Ustawienia zasad ochrony aplikacji, które stosują interfejsy API usługi Google Play Protect, wymagają działania usług Google Play. Co zrobić, jeśli usługi Google Play nie są dozwolone w lokalizacji, w której może znajdować się użytkownik końcowy?

Zarówno ustawienia "Werdykt integralności play", jak i "Skanowanie zagrożeń w aplikacjach" wymagają, aby określona przez Google wersja usług Google Play działała poprawnie. Ponieważ są to ustawienia, które należą do obszaru zabezpieczeń, użytkownik końcowy jest blokowany, jeśli jest objęty tymi ustawieniami i nie spełnia odpowiednich wersji usług Google Play lub nie ma dostępu do usług Google Play.

Środowisko aplikacji w systemie iOS

Co się stanie, jeśli dodasz lub usuniesz odcisk palca lub twarz do urządzenia?

Zasady ochrony aplikacji usługi Intune umożliwiają kontrolę nad dostępem aplikacji tylko do licencjonowanego użytkownika usługi Intune. Jednym ze sposobów kontrolowania dostępu do aplikacji jest wymaganie identyfikatora Touch ID lub face ID firmy Apple na obsługiwanych urządzeniach. Usługa Intune implementuje zachowanie polegające na tym, że w przypadku zmiany biometrycznej bazy danych urządzenia usługa Intune monituje użytkownika o podanie numeru PIN po osiągnięciu kolejnej wartości limitu czasu braku aktywności. Zmiany danych biometrycznych obejmują dodawanie lub usuwanie odcisku palca lub twarzy. Jeśli użytkownik usługi Intune nie ma ustawionego numeru PIN, zostanie skonfigurowany numer PIN usługi Intune.

Celem tego jest dalsze utrzymywanie bezpieczeństwa i ochrony danych organizacji w aplikacji na poziomie aplikacji. Ta funkcja jest dostępna tylko dla systemu iOS/iPadOS i wymaga udziału aplikacji integrujących zestaw SDK aplikacji usługi Intune dla systemu iOS/iPadOS w wersji 9.0.1 lub nowszej. Integracja zestawu SDK jest niezbędna, aby można było wymusić zachowanie w aplikacjach docelowych. Ta integracja odbywa się stopniowo i zależy od konkretnych zespołów aplikacji. Niektóre aplikacje, które uczestniczą, to WXP, Outlook, Managed Browser i Yammer.

Mogę użyć rozszerzenia udostępniania systemu iOS do otwierania danych służbowych w aplikacjach niezarządzanych, nawet gdy zasady transferu danych są ustawione na "tylko aplikacje zarządzane" lub "brak aplikacji". Czy te dane nie wyciekają?

Zasady ochrony aplikacji usługi Intune nie mogą kontrolować rozszerzenia udostępniania systemu iOS bez zarządzania urządzeniem. W związku z tym usługa Intune szyfruje dane "firmowe" przed udostępnieniem ich poza aplikacją. Można to sprawdzić, próbując otworzyć plik "firmowy" poza aplikacją zarządzanej. Plik powinien być zaszyfrowany i nie można go otworzyć poza aplikacją zarządzaną.

Jak wiele ustawień dostępu ochrony aplikacji usługi Intune skonfigurowanych dla tego samego zestawu aplikacji i użytkowników działa w systemie iOS?

Zasady ochrony aplikacji usługi Intune dotyczące dostępu będą stosowane w określonej kolejności na urządzeniach użytkowników końcowych podczas próby uzyskania dostępu do aplikacji docelowej z poziomu konta firmowego. Ogólnie rzecz biorąc, czyszczenie miałoby pierwszeństwo, a następnie blok, a następnie ostrzeżenie, które można odrzucić. Jeśli na przykład dotyczy konkretnego użytkownika/aplikacji, minimalne ustawienie systemu operacyjnego iOS/iPadOS, które ostrzega użytkownika o aktualizacji wersji systemu iOS/iPadOS, zostanie zastosowane po minimalnym ustawieniu systemu operacyjnego iOS/iPadOS, które blokuje dostęp użytkownika. Dlatego w scenariuszu, w którym administrator IT konfiguruje minimalny system operacyjny iOS/iPadOS na 11.0.0.0 i minimalny system operacyjny iOS/iPadOS (tylko ostrzeżenie) do wersji 11.1.0.0, Podczas gdy urządzenie próbujące uzyskać dostęp do aplikacji znajdowało się w systemie iOS/iPadOS 10, użytkownik końcowy zostałby zablokowany na podstawie bardziej restrykcyjnego ustawienia minimalnej wersji systemu operacyjnego iOS/iPadOS, które powoduje zablokowanie dostępu.

W przypadku obsługi różnych typów ustawień pierwszeństwo ma wymaganie dotyczące wersji zestawu SDK aplikacji usługi Intune, a następnie wymaganie dotyczące wersji aplikacji, a następnie wymaganie dotyczące wersji systemu operacyjnego iOS/iPadOS. Następnie są sprawdzane wszelkie ostrzeżenia dla wszystkich typów ustawień w tej samej kolejności. Zalecamy skonfigurowanie wymagania dotyczącego wersji zestawu SDK aplikacji usługi Intune tylko na podstawie wskazówek zespołu produktu usługi Intune dotyczących podstawowych scenariuszy blokowania.

Zobacz też