Udostępnij za pośrednictwem

ustawienia zasad Ochrona aplikacji dla systemu Windows

  • Artykuł

W tym artykule opisano ustawienia zasad ochrony aplikacji (APP) dla systemu Windows. Opisane ustawienia zasad można skonfigurować dla zasad ochrony aplikacji w okienku Ustawienia w centrum administracyjnym Intune podczas tworzenia nowych zasad.

Chroniony dostęp mam do danych organizacji można włączyć za pośrednictwem przeglądarki Microsoft Edge na osobistych urządzeniach z systemem Windows. Ta funkcja jest znana jako zarządzanie aplikacjami mobilnymi systemu Windows i zapewnia funkcje przy użyciu zasad konfiguracji aplikacji Intune (ACP), Intune zasad ochrony aplikacji (APP), Zabezpieczenia Windows Center client threat defense i dostępu warunkowego ochrony aplikacji. Aby uzyskać więcej informacji na temat funkcji zarządzania aplikacjami mobilnymi systemu Windows, zobacz Ochrona danych dla funkcji mam systemu Windows, Tworzenie zasad ochrony aplikacji MTD dla systemu Windows i Konfigurowanie przeglądarki Microsoft Edge dla systemu Windows przy użyciu Intune.

Istnieją dwie kategorie ustawień zasad ochrony aplikacji dla systemu Windows:

Ważna

Intune MAM w systemie Windows obsługuje urządzenia niezarządzane. Jeśli urządzenie jest już zarządzane, Intune rejestracja mam zostanie zablokowana, a ustawienia aplikacji nie zostaną zastosowane. Jeśli urządzenie zostanie zarządzane po rejestracji mam, ustawienia aplikacji nie będą już stosowane.

Ochrona danych

Ustawienia ochrony danych mają wpływ na dane i kontekst organizacji. Jako administrator możesz kontrolować przenoszenie danych do i z kontekstu ochrony organizacji. Kontekst organizacji jest definiowany przez dokumenty, usługi i witryny, do których dostęp uzyskuje określone konto organizacji. Poniższe ustawienia zasad pomagają kontrolować dane zewnętrzne odbierane w kontekście organizacji i dane organizacji wysyłane z kontekstu organizacji.

Transfer danych

Ustawienie Sposób użycia Wartość domyślna
Odbieranie danych z Wybierz jedną z następujących opcji, aby określić źródła, z które użytkownicy organizacji mogą odbierać dane:
  • Wszystkie źródła: użytkownicy organizacji mogą otwierać dane z dowolnego konta, dokumentu, lokalizacji lub aplikacji w kontekście organizacji.
  • Brak źródeł: użytkownicy organizacji nie mogą otwierać danych z kont zewnętrznych, dokumentów, lokalizacji ani aplikacji w kontekście organizacji. UWAGA: W przypadku przeglądarki Microsoft Edge żadne źródła nie kontrolują zachowania przekazywania plików za pośrednictwem przeciągania i upuszczania lub okna dialogowego otwierania pliku. Lokalne pliki do wyświetlania i udostępniania plików między lokacjami/kartami zostaną zablokowane.


 Wszystkie źródła
Wysyłanie danych organizacji do Wybierz jedną z następujących opcji, aby określić miejsca docelowe, do które użytkownicy organizacji mogą wysyłać dane:
  • Wszystkie miejsca docelowe: użytkownicy organizacji mogą wysyłać dane organizacji do dowolnego konta, dokumentu, lokalizacji lub aplikacji.
  • Brak miejsc docelowych: użytkownicy organizacji nie mogą wysyłać danych organizacji do kont zewnętrznych, dokumentów, lokalizacji ani aplikacji z kontekstu organizacji. UWAGA: W przypadku przeglądarki Microsoft Edge pobieranie plików nie blokuje miejsc docelowych . Oznacza to, że udostępnianie plików między lokacjami/kartami zostanie zablokowane.


 Wszystkie miejsca docelowe
Zezwalaj na wycinanie, kopiowanie i wklejanie Wybierz jedną z następujących opcji, aby określić źródła i miejsca docelowe, które użytkownicy organizacji mogą wycinać, kopiować lub wklejać dane organizacji:
  • Dowolne miejsce docelowe i dowolne źródło: użytkownicy organizacji mogą wklejać dane i wycinać/kopiować dane na dowolne konto, dokument, lokalizację lub aplikację.
  • Brak miejsca docelowego ani źródła: użytkownicy organizacji nie mogą wycinać, kopiować ani wklejać danych do lub z kont zewnętrznych, dokumentów, lokalizacji ani aplikacji z kontekstu organizacji ani do tego kontekstu. UWAGA: W przypadku przeglądarki Microsoft Edge nie ma żadnych bloków docelowych ani bloków źródłowych wycinania, kopiowania i wklejania tylko w ramach zawartości internetowej. Wycinanie, kopiowanie i wklejanie jest wyłączone z całej zawartości internetowej, ale nie kontrolek aplikacji, w tym paska adresu.


 Dowolne miejsce docelowe i dowolne źródło

Funkcjonalność

Ustawienie Sposób użycia Wartość domyślna
Drukowanie danych organizacji Wybierz pozycję Blokuj , aby uniemożliwić drukowanie danych organizacji. Wybierz pozycję Zezwalaj , aby zezwolić na drukowanie danych organizacji. Nie ma to wpływu na dane osobowe lub niezarządzane. Zezwalaj

Kontrole kondycji

Ustaw warunki sprawdzania kondycji dla zasad ochrony aplikacji. Wybierz ustawienie i wprowadź wartość , którą użytkownicy muszą spełnić, aby uzyskać dostęp do danych organizacji. Następnie wybierz akcję , którą chcesz wykonać, jeśli użytkownicy nie spełniają Twoich warunków. W niektórych przypadkach można skonfigurować wiele akcji dla jednego ustawienia. Aby uzyskać więcej informacji, zobacz Akcje sprawdzania kondycji.

Warunki aplikacji

Skonfiguruj następujące ustawienia sprawdzania kondycji, aby zweryfikować konfigurację aplikacji przed zezwoleniem na dostęp do kont organizacji i danych.

Uwaga

Termin aplikacja zarządzana przez zasady odnosi się do aplikacji skonfigurowanych przy użyciu zasad ochrony aplikacji.

Ustawienie Sposób użycia Wartość domyślna
Okres prolongaty w trybie offline Liczba minut, przez które aplikacja zarządzana przez zasady może działać w trybie offline. Określ czas (w minutach) przed ponownym sprawdzeniem wymagań dostępu dla aplikacji.

Akcje obejmują:

  • Blokuj dostęp (w minutach): liczba minut, przez które aplikacje zarządzane przez zasady mogą działać w trybie offline. Określ czas (w minutach) przed ponownym sprawdzeniem wymagań dostępu dla aplikacji. Po upływie skonfigurowanego okresu aplikacja blokuje dostęp do danych służbowych do momentu udostępnienia dostępu do sieci. Czasomierz okresu prolongaty w trybie offline do blokowania dostępu do danych jest obliczany na podstawie ostatniego zaewidencjonowania w usłudze Intune. Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.
  • Wyczyść dane (dni): po upływie tych wielu dni (zdefiniowanych przez administratora) uruchamiania w trybie offline aplikacja będzie wymagać od użytkownika nawiązania połączenia z siecią i ponownego uwierzytelnienia. Jeśli użytkownik pomyślnie uwierzytelnia się, może nadal uzyskiwać dostęp do swoich danych, a interwał w trybie offline zostanie zresetowany. Jeśli uwierzytelnianie użytkownika nie powiedzie się, aplikacja przeprowadzi selektywne czyszczenie konta i danych użytkowników. Zobacz Jak wyczyścić tylko dane firmowe z aplikacji zarządzanych Intune, aby uzyskać więcej informacji na temat tego, jakie dane są usuwane przy użyciu selektywnego czyszczenia. Czasomierz okresu prolongaty offline do wyczyszczania danych jest obliczany przez aplikację na podstawie ostatniego zaewidencjonowania w usłudze Intune. Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.
Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję.

 Blokuj dostęp (w minutach): 720 minut (12 godzin)

Czyszczenie danych (dni): 90 dni
Minimalna wersja aplikacji Określ wartość minimalnej wartości wersji aplikacji.

Akcje obejmują:

  • Ostrzegaj — użytkownik widzi powiadomienie, jeśli wersja aplikacji na urządzeniu nie spełnia wymagań. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika jest blokowany, jeśli wersja aplikacji na urządzeniu nie spełnia wymagań.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Ponieważ aplikacje często mają różne schematy przechowywania wersji, utwórz zasady z jedną minimalną wersją aplikacji przeznaczoną dla jednej aplikacji.

Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję.

To ustawienie zasad obsługuje pasujące formaty wersji pakietu aplikacji systemu Windows (major.minor lub major.minor.patch).		 Brak wartości domyślnej
Minimalna wersja zestawu SDK Określ minimalną wartość dla wersji zestawu Intune SDK.

Akcje obejmują:

  • Blokuj dostęp — dostęp użytkownika jest blokowany, jeśli wersja zestawu SDK zasad ochrony aplikacji Intune aplikacji nie spełnia wymagań.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję.		 Brak wartości domyślnej
Wyłączone konto Określ akcję automatyczną, jeśli konto Microsoft Entra dla użytkownika jest wyłączone. Administracja może określić tylko jedną akcję. Nie ma wartości do ustawienia dla tego ustawienia. Akcje obejmują:
  • Blokuj dostęp — po potwierdzeniu, że użytkownik został wyłączony w Tożsamość Microsoft Entra, aplikacja blokuje dostęp do danych służbowych.
  • Czyszczenie danych — po potwierdzeniu, że użytkownik został wyłączony w Tożsamość Microsoft Entra, aplikacja przeprowadzi selektywne czyszczenie konta i danych użytkowników.
NUTA: Jeśli nie można potwierdzić stanu użytkownika z powodu łączności, uwierzytelniania lub z jakiejkolwiek innej przyczyny, te akcje (Blokuj dostęp i Czyszczenie danych) nie zostaną wymuszone.		 Brak wartości domyślnej

Warunki urządzenia

Skonfiguruj następujące ustawienia sprawdzania kondycji, aby zweryfikować konfigurację urządzenia przed zezwoleniem na dostęp do kont organizacji i danych. Podobne ustawienia oparte na urządzeniach można skonfigurować dla zarejestrowanych urządzeń. Dowiedz się więcej na temat konfigurowania ustawień zgodności urządzeń dla zarejestrowanych urządzeń.

Ustawienie Sposób użycia Wartość domyślna
Minimalna wersja systemu operacyjnego Określ minimalny system operacyjny Windows do korzystania z tej aplikacji.

Akcje obejmują:

  • Ostrzegaj — jeśli wersja systemu Windows na urządzeniu nie spełnia wymagań, użytkownik zobaczy powiadomienie. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika zostanie zablokowany, jeśli wersja systemu Windows na urządzeniu nie spełnia tego wymagania.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.
Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję.

Ten format ustawienia zasad obsługuje pliki major.minor, major.minor.build, major.minor.build.build.

Aby znaleźć wersję systemu Windows, otwórz wiersz polecenia. Wersja jest wyświetlana w górnej części okna wiersza polecenia. Przykładem formatu wersji do użycia jest 10.0.22631.3155. Pamiętaj, że jeśli używasz winver polecenia, zobaczysz tylko kompilację systemu operacyjnego (taką jak 22631.3155), która nie jest prawidłowym formatem do użycia.
Maksymalna wersja systemu operacyjnego Określ maksymalny system operacyjny Windows do korzystania z tej aplikacji.

Akcje obejmują:

  • Ostrzegaj — jeśli wersja systemu Windows na urządzeniu nie spełnia wymagań, użytkownik zobaczy powiadomienie. To powiadomienie można odrzucić.
  • Blokuj dostęp — dostęp użytkownika zostanie zablokowany, jeśli wersja systemu Windows na urządzeniu nie spełnia tego wymagania.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.

Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję.

Ten format ustawienia zasad obsługuje pliki major.minor, major.minor.build, major.minor.build.build.
Maksymalny dozwolony poziom zagrożenia urządzenia Ochrona aplikacji zasady mogą korzystać z łącznika Intune-MTD. Określ maksymalny dopuszczalny poziom zagrożenia do korzystania z tej aplikacji. Zagrożenia są określane przez wybraną aplikację dostawcy usługi Mobile Threat Defense (MTD) na urządzeniu użytkownika końcowego. Określ wartości Zabezpieczone, Niskie, Średnie lub Wysokie. Zabezpieczone nie wymaga żadnych zagrożeń na urządzeniu i jest najbardziej restrykcyjną wartością konfigurowalną, podczas gdy wysoka zasadniczo wymaga aktywnego połączenia Intune z usługą MTD.

Akcje obejmują:

  • Blokuj dostęp — dostęp użytkownika zostanie zablokowany, jeśli poziom zagrożenia określony przez wybraną aplikację dostawcy usługi Mobile Threat Defense (MTD) na urządzeniu użytkownika końcowego nie spełnia tego wymagania.
  • Czyszczenie danych — konto użytkownika skojarzone z aplikacją jest usuwane z urządzenia.

Aby uzyskać więcej informacji na temat korzystania z tego ustawienia, zobacz Włączanie usługi MTD dla niezarejestrowanych urządzeń.

Informacje dodatkowe

Aby uzyskać więcej informacji na temat aplikacji dla urządzeń z systemem Windows, zobacz następujące zasoby: