Vytvoření a přiřazení zásad ochrany aplikací

Zjistěte, jak vytvářet a přiřazovat Microsoft Intune zásady ochrany aplikací (APP) pro uživatele ve vaší organizaci. Tento článek také popisuje, jak provádět změny stávajících zásad.

Než začnete

Ochrana aplikací zásady se můžou vztahovat na aplikace spuštěné na zařízeních, která můžou nebo nemusí být spravována Intune. Podrobnější popis toho, jak zásady ochrany aplikací fungují, a scénáře podporované zásadami ochrany aplikací Intune najdete v přehledu zásad Ochrana aplikací.

Možnosti dostupné v zásadách ochrany aplikací (APP) umožňují organizacím přizpůsobit ochranu jejich konkrétním potřebám. U některých nemusí být zřejmé, která nastavení zásad jsou nutná k implementaci kompletního scénáře. Microsoft zavedl taxonomii pro svoji architekturu ochrany dat APP pro správu mobilních aplikací pro správu mobilních aplikací pro iOS a Android, aby organizacím pomohl prioritizovat posílení zabezpečení koncových bodů mobilních klientů.

Architektura ochrany dat APP je uspořádaná do tří různých úrovní konfigurace, přičemž každá úroveň vychází z předchozí úrovně:

• Základní ochrana podnikových dat (úroveň 1) zajišťuje, že aplikace jsou chráněné kódem PIN a šifrované, a provádí operace selektivního vymazání. U zařízení s Androidem tato úroveň ověřuje ověření identity zařízení s Androidem. Jedná se o konfiguraci základní úrovně, která poskytuje podobné řízení ochrany dat v zásadách poštovních schránek Exchange Online a zavádí IT a populaci uživatelů do APP.
• Rozšířená ochrana podnikových dat (úroveň 2) zavádí mechanismy ochrany dat APP a minimální požadavky na operační systém. Toto je konfigurace, která se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.
• Vysoká ochrana podnikových dat (úroveň 3) zavádí pokročilé mechanismy ochrany dat, vylepšenou konfiguraci PIN kódu a ochranu před mobilními hrozbami pro APP. Tato konfigurace je žádoucí pro uživatele, kteří přistupují k vysoce rizikovým datům.

Pokud chcete zobrazit konkrétní doporučení pro jednotlivé úrovně konfigurace a minimální počet aplikací, které je potřeba chránit, přečtěte si téma Architektura ochrany dat pomocí zásad ochrany aplikací.

Pokud hledáte seznam aplikací, které integrovaly sadu Intune SDK, přečtěte si téma Microsoft Intune chráněných aplikací.

Informace o přidání obchodních aplikací organizace do Microsoft Intune přípravy na zásady ochrany aplikací najdete v tématu Přidání aplikací do Microsoft Intune.

zásady Ochrana aplikací pro aplikace pro iOS/iPadOS a Android

Když vytvoříte zásady ochrany aplikací pro aplikace pro iOS/iPadOS a Android, budete postupovat podle moderního toku Intune procesu, který má za následek nové zásady ochrany aplikací. Informace o vytváření zásad ochrany aplikací pro aplikace pro Windows najdete v tématu Ochrana aplikací nastavení zásad pro Windows.

Vytvoření zásad ochrany aplikací pro iOS/iPadOS nebo Android

1. Přihlaste se k Centru pro správu Microsoft 365.
2. Vyberte Aplikace>Ochrana aplikací zásady. Tato volba otevře podrobnosti o zásadách Ochrana aplikací, kde můžete vytvářet nové zásady a upravovat stávající zásady.
3. Vyberte Vytvořit zásadu a vyberte iOS/iPadOS nebo Android. Zobrazí se podokno Vytvořit zásadu .
4. Na stránce Základy přidejte následující hodnoty:

Hodnota	Popis
Name (Název)	Název této zásady ochrany aplikací.
Popis	[Volitelné] Popis této zásady ochrany aplikací

5. Kliknutím na Další zobrazte stránku Aplikace .
   Na stránce Aplikace můžete zvolit, na které aplikace má tato zásada cílit. Musíte přidat aspoň jednu aplikaci.

   Hodnota/možnost	Popis
   Zacílit zásadu na	V rozevíracím seznamu Cílová zásada do vyberte, jestli chcete zásady ochrany aplikací cílit na Všechny aplikace, Microsoft Apps nebo Základní Microsoft Apps. Všechny aplikace zahrnují všechny aplikace Microsoftu a partnerů, které integrovaly sadu Intune SDK. Microsoft Apps zahrnuje všechny aplikace Microsoftu, které integrovaly sadu Intune SDK. Základní Microsoft Apps zahrnují následující aplikace: Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do a Word. Dále můžete vybrat Zobrazit seznam aplikací, na které se budou cílit , a zobrazit seznam aplikací, které budou touto zásadou ovlivněny.
   Veřejné aplikace	Pokud nechcete vybrat některou z předdefinovaných skupin aplikací, můžete se rozhodnout cílit na jednotlivé aplikace tak, že v rozevíracím seznamu Cílová zásada dovyberete Vybrané aplikace. Klikněte na Vybrat veřejné aplikace a vyberte veřejné aplikace, na které chcete cílit.
   Vlastní aplikace	Pokud nechcete vybrat některou z předdefinovaných skupin aplikací, můžete se rozhodnout cílit na jednotlivé aplikace tak, že v rozevíracím seznamu Cílová zásada dovyberete Vybrané aplikace. Klikněte na Vybrat vlastní aplikace a vyberte vlastní aplikace, na které chcete cílit na základě ID sady. Vlastní aplikaci nemůžete zvolit, pokud zároveň cílíte na možnosti Všechny aplikace, Microsoft Apps nebo Core Microsoft Apps ve stejné zásadě.

   Vybrané aplikace se zobrazí v seznamu veřejných a vlastních aplikací.

   Poznámka

   Veřejné aplikace jsou podporovány aplikace od Microsoftu a partnerů, které se běžně používají s Microsoft Intune. Tyto Intune chráněné aplikace jsou povolené s bohatou sadou podpory zásad ochrany mobilních aplikací. Další informace najdete v tématu Microsoft Intune chráněných aplikací. Vlastní aplikace jsou obchodní aplikace, které jsou integrované se sadou Intune SDK nebo zabalené Intune App Wrapping Tool. Další informace najdete v tématech přehled sady Microsoft Intune App SDK a Příprava obchodních aplikací na zásady ochrany aplikací.

6. Kliknutím na Další zobrazíte stránku Ochrana dat .
   Tato stránka obsahuje nastavení pro ovládací prvky ochrany před únikem informací, včetně omezení vyjmutí, kopírování, vložení a uložení jako. Tato nastavení určují, jak uživatelé pracují s daty v aplikacích, na které se tato zásada ochrany aplikací vztahuje.

   Nastavení ochrany dat:

   • Ochrana dat pro iOS/iPadOS – informace najdete v tématu Nastavení zásad ochrany aplikací pro iOS/iPadOS – Ochrana dat.
   • Ochrana dat v Androidu – informace najdete v tématu Nastavení zásad ochrany aplikací pro Android – Ochrana dat.

7. Kliknutím na Další zobrazte stránku Požadavky na přístup .
   Tato stránka obsahuje nastavení, která vám umožní nakonfigurovat požadavky na PIN kód a přihlašovací údaje, které uživatelé musí splňovat, aby mohli přistupovat k aplikacím v pracovním kontextu.

   Nastavení požadavků na přístup:

   • Požadavky na přístup pro iOS/iPadOS – informace najdete v tématu Nastavení zásad ochrany aplikací pro iOS/iPadOS – Požadavky na přístup.
   • Požadavky na přístup pro Android – informace najdete v tématu Nastavení zásad ochrany aplikací pro Android – Požadavky na přístup.

8. Kliknutím na Další zobrazte stránku Podmíněné spuštění .
   Tato stránka obsahuje nastavení pro nastavení požadavků na zabezpečení přihlašování pro zásady ochrany aplikací. Vyberte Nastavení a zadejte hodnotu , kterou uživatelé musí splnit, aby se mohli přihlásit k aplikaci vaší společnosti. Pak vyberte akci , kterou chcete provést, pokud uživatelé nesplňují vaše požadavky. V některých případech je možné pro jedno nastavení nakonfigurovat více akcí.

   Nastavení podmíněného spuštění:

   • Podmíněné spuštění pro iOS/iPadOS – informace najdete v tématu Nastavení zásad ochrany aplikací pro iOS/iPadOS – Podmíněné spuštění.
   • Podmíněné spuštění androidu – informace najdete v tématu Nastavení zásad ochrany aplikací pro Android – Podmíněné spuštění.

9. Kliknutím na Další zobrazte stránkuNastavení.
   Stránka Přiřazení umožňuje přiřadit zásady ochrany aplikací skupinám uživatelů. Aby se zásady projevily, musíte je použít na skupinu uživatelů.

10. Kliknutím na Další: Zkontrolovat a vytvořit zkontrolujte hodnoty a nastavení, které jste zadali pro tuto zásadu ochrany aplikací.

11. Až budete hotovi, klikněte na Vytvořit a vytvořte zásadu ochrany aplikací v Intune.

    Tip

    Tato nastavení zásad se vynucují jenom při použití aplikací v pracovním kontextu. Když koncoví uživatelé používají aplikaci k provedení osobního úkolu, tyto zásady na nich nebudou mít vliv. Všimněte si, že když vytvoříte nový soubor, považuje se za osobní soubor.

    Důležité

    Než se zásady ochrany aplikací použijí na stávající zařízení, může to nějakou dobu trvat. Koncovým uživatelům se na zařízení zobrazí oznámení, když se použijí zásady ochrany aplikací. Před použitím pravidel pro vlastní přístup použijte zásady ochrany aplikací na zařízení.

Koncoví uživatelé si můžou aplikace stáhnout z App Storu nebo Google Play. Další informace najdete tady:

• Kde najít pracovní nebo školní aplikace pro iOS/iPadOS
• Kde najít pracovní nebo školní aplikace pro Android

Změna existujících zásad

Můžete upravit existující zásadu a použít ji u cílových uživatelů. Další informace o načasování doručení zásad najdete v tématu Vysvětlení načasování doručení zásad ochrany aplikací.

Změna seznamu aplikací přidružených k zásadám

1. V podokně Ochrana aplikací zásady vyberte zásadu, kterou chcete změnit.

2. V podokně Intune App Protection vyberte Vlastnosti.

3. Vedle oddílu s názvem Aplikace vyberte Upravit.

4. Na stránce Aplikace můžete zvolit, na které aplikace má tato zásada cílit. Musíte přidat aspoň jednu aplikaci.

   Hodnota/možnost	Popis
   Veřejné aplikace	V rozevíracím seznamu Cílová zásada do vyberte, jestli chcete zásady ochrany aplikací cílit na Všechny veřejné aplikace, Microsoft Apps nebo Základní Microsoft Apps. Dále můžete vybrat Zobrazit seznam aplikací, na které se budou cílit , a zobrazit seznam aplikací, které budou touto zásadou ovlivněny. V případě potřeby se můžete rozhodnout cílit na jednotlivé aplikace kliknutím na Vybrat veřejné aplikace.
   Vlastní aplikace	Klikněte na Vybrat vlastní aplikace a vyberte vlastní aplikace, na které chcete cílit na základě ID sady.

   Vybrané aplikace se zobrazí v seznamu veřejných a vlastních aplikací.

5. Kliknutím na Zkontrolovat a vytvořit zkontrolujte aplikace vybrané pro tuto zásadu.

6. Až budete hotovi, klikněte na Uložit a aktualizujte zásady ochrany aplikací.

Změna seznamu skupin uživatelů

1. V podokně Ochrana aplikací zásady vyberte zásadu, kterou chcete změnit.

2. V podokně Intune App Protection vyberte Vlastnosti.

3. Vedle oddílu s názvem Zadání vyberte Upravit.

4. Pokud chcete do zásady přidat novou skupinu uživatelů, na kartě Zahrnout zvolte Vybrat skupiny, které chcete zahrnout, a vyberte skupinu uživatelů. Zvolte Vybrat a přidejte skupinu.

5. Pokud chcete vyloučit skupinu uživatelů, na kartě Vyloučit zvolte Vybrat skupiny k vyloučení a vyberte skupinu uživatelů. Zvolte Vybrat a odeberte skupinu uživatelů.

6. Pokud chcete odstranit dříve přidané skupiny, vyberte na kartách Zahrnout nebo Vyloučit tři tečky (...) a pak vyberte Odstranit.

7. Kliknutím na Zkontrolovat a vytvořit zkontrolujte skupiny uživatelů vybrané pro tuto zásadu.

8. Po dokončení změn přiřazení vyberte Uložit a uložte konfiguraci a nasaďte zásady pro novou sadu uživatelů. Pokud před uložením konfigurace vyberete Zrušit , zahodíte všechny změny, které jste udělali na kartách Zahrnout a Vyloučit .

Změna nastavení zásad

1. V podokně Ochrana aplikací zásady vyberte zásadu, kterou chcete změnit.

2. V podokně Intune App Protection vyberte Vlastnosti.

3. Vedle oddílu odpovídajícího nastavení, které chcete změnit, vyberte Upravit. Pak změňte nastavení na nové hodnoty.

4. Kliknutím na Zkontrolovat a vytvořit zkontrolujte aktualizovaná nastavení pro tuto zásadu.

5. Výběrem možnosti Uložit uložte provedené změny. Opakováním postupu vyberte oblast nastavení a upravte a pak uložte změny, dokud se všechny změny neskončí. Podokno Intune App Protection – Vlastnosti pak můžete zavřít.

Cílení zásad ochrany aplikací na základě stavu správy zařízení

V mnoha organizacích je běžné povolit koncovým uživatelům používat zařízení spravovaná Intune Mobile Správa zařízení (MDM), jako jsou zařízení vlastněná společností, i nespravovaná zařízení chráněná jenom Intune zásadami ochrany aplikací. Nespravovaná zařízení se často označují jako přineste si vlastní zařízení (BYOD).

Vzhledem k tomu, že zásady ochrany aplikací Intune cílí na identitu uživatele, může se nastavení ochrany uživatele vztahovat na zaregistrovaná zařízení (spravovaná MDM) i neregistrovaná zařízení (bez MDM). Proto můžete zásady ochrany aplikací Intune cílit na zaregistrovaná nebo neregistrovaná zařízení s iOS/iPadOS a Androidem Intune pomocí filtrů. Další informace o vytváření filtrů najdete v tématu Použití filtrů při přiřazování zásad . Můžete mít jednu zásadu ochrany pro nespravovaná zařízení, ve kterých jsou zavedeny přísné ovládací prvky ochrany před únikem informací (DLP), a samostatné zásady ochrany pro zařízení spravovaná pomocí MDM, kde mohou být ovládací prvky ochrany před únikem informací o něco uvolněnější. Další informace o tom, jak to funguje na osobních zařízeních s Androidem Enterprise, najdete v tématu zásady Ochrana aplikací a pracovní profily.

Pokud chcete tyto filtry použít při přiřazování zásad, přejděte v Centru pro správu Intune na Aplikace>Ochrana aplikací zásady a pak vyberte Vytvořit zásadu. Můžete také upravit existující zásady ochrany aplikací. Přejděte na stránku Přiřazení a vyberte Upravit filtr , abyste zahrnuli nebo vyloučili filtry pro přiřazenou skupinu.

typy Správa zařízení

Důležité

Správa správců zařízení s Androidem je zastaralá a pro zařízení s přístupem k Google Mobile Services (GMS) už není dostupná. Pokud aktuálně používáte správu správce zařízení, doporučujeme přepnout na jinou možnost správy Androidu. Dokumentace k podpoře a nápovědě zůstává k dispozici pro některá zařízení bez GMS se systémem Android 15 a starším. Další informace najdete v tématu Ukončení podpory správce zařízení s Androidem na zařízeních GMS.

• Nespravované: U zařízení s iOS/iPadOS jsou nespravovaná zařízení všechna zařízení, u kterých klíč nepředává IntuneMAMUPN Intune správa MDM nebo řešení MDM/EMM jiného výrobce. U zařízení s Androidem jsou nespravovaná zařízení zařízení, u kterých nebyla zjištěna správa Intune MDM. To zahrnuje zařízení spravovaná externími dodavateli MDM.
• Intune spravovaných zařízení: Spravovaná zařízení spravuje Intune MDM.
• Správce zařízení s Androidem: zařízení spravovaná Intune pomocí rozhraní API pro správu zařízení s Androidem.
• Android Enterprise: zařízení spravovaná Intune pomocí pracovních profilů Android Enterprise nebo úplných Správa zařízení Android Enterprise.
• Vyhrazená zařízení s Androidem Enterprise vlastněná společností s Microsoft Entra režimem sdíleného zařízení: Intune zařízení spravovaná pomocí vyhrazených zařízení s Androidem Enterprise v režimu sdíleného zařízení.
• Zařízení s Androidem (AOSP) přidružená uživatelem: zařízení spravovaná Intune pomocí správy přidružené k uživatelům AOSP.
• Uživatelská zařízení s Androidem (AOSP): zařízení spravovaná Intune pomocí zařízení bez uživatelů AOSP. Tato zařízení také využívají Microsoft Entra režim sdíleného zařízení.

Zařízení s Androidem zobrazí výzvu k instalaci aplikace Portál společnosti Intune bez ohledu na to, jaký typ Správa zařízení zvolíte. Pokud například vyberete Android Enterprise, zobrazí se výzva i uživatelům s nespravovanými zařízeními s Androidem.

Pro iOS/iPadOS se k vynucení typu Správa zařízení na Intune spravovaných zařízení vyžadují další nastavení konfigurace aplikací. Tato nastavení komunikují se službou APP (App Protection Policy) a označují, že je aplikace spravovaná. Proto se nastavení APLIKACE nepoužije, dokud nenasadíte zásady konfigurace aplikace. Toto jsou nastavení konfigurace aplikace:

• IntuneMAMUPN a IntuneMAMOID musí být nakonfigurované pro všechny aplikace spravované pomocí MDM. Další informace najdete v tématu Správa přenosu dat mezi aplikacemi pro iOS/iPadOS v Microsoft Intune.
• IntuneMAMDeviceID musí být nakonfigurované pro všechny aplikace spravované v mdm třetích stran a obchodní aplikace. IntuneMAMDeviceID by měl být nakonfigurovaný na token ID zařízení. Například: key=IntuneMAMDeviceID, value={{deviceID}}. Další informace najdete v tématu Přidání zásad konfigurace aplikací pro spravovaná zařízení s iOS/iPadOS.
• Pokud je nakonfigurované jenom IntuneMAMDeviceID, Intune APP bude zařízení považovat za nespravované.

Důležité

Od verze služby Intune ze září (2409) se hodnoty konfigurace aplikací IntuneMAMUPN, IntuneMAMOID a IntuneMAMDeviceID automaticky odešlou spravovaným aplikacím na Intune zaregistrovaných zařízeních s iOSem pro následující aplikace: Microsoft Excel, Microsoft Outlook, Microsoft PowerPoint, Microsoft Teams a Microsoft Word. Intune bude tento seznam dál rozšiřovat o další spravované aplikace.

Pokud tyto hodnoty nejsou pro zařízení s iOSem správně nakonfigurované, je možné, že se zásada do aplikace nedoručí nebo se doručí nesprávná zásada. Další informace najdete v tématu Tip pro podporu: Intune uživatelé MAM na zařízeních s iOS/iPadOS bez uživatele můžou být ve výjimečných případech zablokovaní.

Nastavení zásad

Pokud chcete zobrazit úplný seznam nastavení zásad pro iOS/iPadOS a Android, vyberte jeden z následujících odkazů:

• Zásady pro iOS/iPadOS
• Zásady pro Android

Další kroky

Monitorování dodržování předpisů a stavu uživatele

Viz také

• Kde najít pracovní nebo školní aplikace pro Android (uživatelská nápověda)

• Kde najít pracovní nebo školní aplikace pro iOS/iPadOS (uživatelská nápověda)