Edytuj

Udostępnij za pośrednictwem

Często zadawane pytania dotyczące zarządzania aplikacjami mobilnymi i ochrony aplikacji

  • Często zadawane pytania

Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące Intune zarządzania aplikacjami mobilnymi (MAM) i ochrony aplikacji Intune.

Podstawy zarządzania aplikacjami mobilnymi

Co to jest mam?

Omówienie zarządzania aplikacjami mobilnymi

Zasady ochrony aplikacji

Jakie są zasady ochrony aplikacji?

Ochrona aplikacji zasady to reguły, które zapewniają, że dane organizacji pozostają bezpieczne lub zawarte w zarządzanej aplikacji. Zasady mogą być regułą wymuszaną, gdy użytkownik próbuje uzyskać dostęp do danych firmowych lub przenieść je, lub zestawem akcji, które są zabronione lub monitorowane, gdy użytkownik znajduje się w aplikacji.

Jakie są przykłady zasad ochrony aplikacji?

Aby uzyskać szczegółowe informacje na temat każdego ustawienia zasad ochrony aplikacji, zobacz Ustawienia zasad ochrony aplikacji systemu Android i ustawienia zasad ochrony aplikacji systemu iOS/iPadOS .

Czy w przypadku różnych urządzeń możliwe jest jednoczesne zastosowanie zasad zarządzania urządzeniami przenośnymi i zarządzania aplikacjami mobilnymi do tego samego użytkownika?

Jeśli zastosujesz zasady zarządzania aplikacjami mobilnymi do użytkownika bez ustawiania stanu zarządzania urządzeniami, użytkownik pobierze zasady zarządzania aplikacjami mobilnymi zarówno na urządzeniu BYOD, jak i na urządzeniu zarządzanym przez Intune. Można również zastosować zasady zarządzania aplikacjami mobilnymi na podstawie stanu zarządzania urządzeniami. Dlatego podczas tworzenia zasad ochrony aplikacji obok pozycji Target to apps on all device types (Kierowanie do aplikacji na wszystkich typach urządzeń) wybierz pozycję Nie. Następnie wykonaj dowolną z następujących czynności:

  • Zastosuj mniej rygorystyczne zasady zarządzania aplikacjami mobilnymi do Intune zarządzanych urządzeń i zastosuj bardziej restrykcyjne zasady zarządzania aplikacjami mobilnymi do urządzeń zarejestrowanych w rozwiązaniu MDM.
  • Stosowanie równie rygorystycznych zasad zarządzania aplikacjami mobilnymi do Intune zarządzanych urządzeń co do urządzeń zarządzanych innych firm.
  • Zastosuj zasady zarządzania aplikacjami mobilnymi tylko do niezarejestrowanych urządzeń.

Aby uzyskać więcej informacji, zobacz Jak monitorować zasady ochrony aplikacji.

Aplikacje, które można zarządzać przy użyciu zasad ochrony aplikacji

Którymi aplikacjami można zarządzać za pomocą zasad ochrony aplikacji?

Każdą aplikacją zintegrowaną z zestawem Intune App SDK lub opakowaną przez Intune App Wrapping Tool można zarządzać przy użyciu zasad ochrony aplikacji Intune. Zobacz oficjalną listę aplikacji zarządzanych Intune dostępnych do użytku publicznego.

Jakie są wymagania punktu odniesienia dotyczące używania zasad ochrony aplikacji w aplikacji zarządzanej Intune?

Co zrobić, jeśli chcę włączyć aplikację z usługą Intune App Protection, ale nie korzysta ona z obsługiwanej platformy deweloperskiej aplikacji?

Zespół deweloperów zestawu SDK Intune aktywnie testuje i utrzymuje obsługę aplikacji utworzonych przy użyciu natywnych platform Android, iOS/iPadOS (Obj-C, Swift), Xamarin i Xamarin.Forms. Niektórzy klienci odniesieli sukces dzięki integracji zestawu Intune SDK z innymi platformami, takimi jak React Native i NativeScript, ale nie udostępniamy wyraźnych wskazówek ani wtyczek dla deweloperów aplikacji korzystających z niczego innego niż obsługiwane platformy.

Czy zestaw Intune APP SDK obsługuje bibliotekę microsoft authentication library (MSAL)?

Zestaw SDK aplikacji Intune może używać biblioteki uwierzytelniania firmy Microsoft na potrzeby scenariuszy uwierzytelniania i uruchamiania warunkowego. Ponadto usługa MSAL służy do rejestrowania tożsamości użytkownika w usłudze MAM na potrzeby zarządzania bez scenariuszy rejestracji urządzeń.

Jakie są dodatkowe wymagania dotyczące korzystania z aplikacji mobilnej Outlook?

Jakie są dodatkowe wymagania dotyczące korzystania z aplikacji Word, Excel i PowerPoint?

  • Użytkownik końcowy musi mieć licencję dla Aplikacje Microsoft 365 dla firm lub przedsiębiorstwa połączoną ze swoim kontem Microsoft Entra. Subskrypcja musi zawierać aplikacje pakietu Office na urządzeniach przenośnych i może zawierać konto magazynu w chmurze z OneDrive dla Firm. Licencje platformy Microsoft 365 można przypisać w Centrum administracyjne platformy Microsoft 365 zgodnie z tymi instrukcjami.

  • Użytkownik końcowy musi mieć skonfigurowaną lokalizację zarządzaną przy użyciu funkcji szczegółowego zapisywania jako w ramach ustawienia zasad ochrony aplikacji "Zapisz kopie danych organizacji". Jeśli na przykład lokalizacja zarządzana to OneDrive, aplikacja OneDrive powinna zostać skonfigurowana w aplikacji Word, Excel lub PowerPoint użytkownika końcowego.

  • Jeśli lokalizacja zarządzana to OneDrive, aplikacja musi być objęta zasadami ochrony aplikacji wdrożoną dla użytkownika końcowego.

    Uwaga

    Aplikacje mobilne pakietu Office obecnie obsługują tylko usługę SharePoint Online, a nie lokalny program SharePoint.

Dlaczego lokalizacja zarządzana (tj. OneDrive) jest potrzebna dla pakietu Office?

Intune oznacza wszystkie dane w aplikacji jako "firmowe" lub "osobiste". Dane są uznawane za "firmowe", gdy pochodzą z lokalizacji biznesowej. W przypadku aplikacji pakietu Office Intune traktuje następujące lokalizacje biznesowe: pocztę e-mail (Exchange) lub magazyn w chmurze (aplikacja OneDrive z kontem OneDrive dla Firm).

Jakie są dodatkowe wymagania dotyczące używania Skype dla firm?

Zobacz wymagania dotyczące licencji Skype dla firm. Aby uzyskać Skype dla firm (SfB) konfiguracji hybrydowych i lokalnych, zobacz Hybrydowy nowoczesny uwierzytelnianie dla SfB i Exchange idzie ga i nowoczesne uwierzytelnianie dla SfB lokalnie z Tożsamość Microsoft Entra, odpowiednio.

funkcje Ochrona aplikacji

Co to jest obsługa wielu tożsamości?

Obsługa wielu tożsamości umożliwia zestawowi Intune App SDK stosowanie zasad ochrony aplikacji tylko do konta służbowego zalogowanego do aplikacji. Jeśli konto osobiste jest zalogowane do aplikacji, dane są nietknięte.

Jaki jest cel obsługi wielu tożsamości?

Obsługa wielu tożsamości umożliwia publiczne wdrażanie aplikacji z grupami odbiorców "firmowych" i konsumenckich (tj. aplikacji pakietu Office) przy użyciu Intune funkcji ochrony aplikacji dla kont "firmowych".

Co z programem Outlook i wieloma tożsamościami?

Ponieważ program Outlook ma połączony widok poczty e-mail zarówno osobistych, jak i "firmowych" wiadomości e-mail, aplikacja Outlook monituje o podanie numeru PIN Intune podczas uruchamiania.

Jaki jest numer PIN aplikacji Intune?

Osobisty numer identyfikacyjny (PIN) to kod dostępu używany do sprawdzania, czy prawidłowy użytkownik uzyskuje dostęp do danych organizacji w aplikacji.

Kiedy użytkownik jest monitowany o wprowadzenie numeru PIN?

Intune monituje o podanie numeru PIN aplikacji użytkownika, gdy użytkownik ma zamiar uzyskać dostęp do danych "firmowych". W aplikacjach z wieloma tożsamościami, takich jak Word/Excel/PowerPoint, podczas próby otwarcia dokumentu lub pliku "firmowego" użytkownik otrzymuje monit o podanie numeru PIN. W aplikacjach z jedną tożsamością, takich jak aplikacje biznesowe zarządzane przy użyciu Intune App Wrapping Tool, podczas uruchamiania jest wyświetlany monit o podanie numeru PIN, ponieważ zestaw Intune App SDK wie, że środowisko użytkownika w aplikacji jest zawsze "firmowe".

Jak często użytkownik będzie monitowany o numer PIN Intune?

Administrator IT może zdefiniować ustawienie zasad ochrony aplikacji Intune "Sprawdź ponownie wymagania dostępu po (minutach)" w centrum administracyjnym Microsoft Intune. To ustawienie określa czas, przez który wymagania dostępu zostaną sprawdzone na urządzeniu, a ekran numeru PIN aplikacji zostanie ponownie wyświetlony. Jednak ważne szczegóły dotyczące numeru PIN, które wpływają na częstotliwość monitowania użytkownika:

  • Numer PIN jest udostępniany aplikacjom tego samego wydawcy w celu zwiększenia użyteczności: W systemie iOS/iPadOS jeden numer PIN aplikacji jest udostępniany we wszystkich aplikacjach tego samego wydawcy aplikacji. W systemie Android jeden numer PIN aplikacji jest udostępniany we wszystkich aplikacjach.
  • Zachowanie "Sprawdź ponownie wymagania dostępu po (minutach)" po ponownym uruchomieniu urządzenia: "Czasomierz numeru PIN" śledzi liczbę minut braku aktywności, które określają, kiedy wyświetlić numer PIN aplikacji Intune dalej. W systemie iOS/iPadOS czasomierz numeru PIN nie ma wpływu na ponowne uruchomienie urządzenia. W związku z tym ponowne uruchomienie urządzenia nie ma wpływu na liczbę minut, przez które użytkownik był nieaktywny w aplikacji systemu iOS/iPadOS z zasadami Intune numeru PIN. W systemie Android czasomierz numeru PIN jest resetowany podczas ponownego uruchamiania urządzenia. W związku z tym aplikacje systemu Android z zasadami numeru PIN Intune prawdopodobnie będą monitować o podanie numeru PIN aplikacji niezależnie od wartości ustawienia "Sprawdź ponownie wymagania dostępu po (minutach)" po ponownym uruchomieniu urządzenia.
  • Stopniowy charakter czasomierza skojarzonego z numerem PIN: Po wprowadzeniu numeru PIN w celu uzyskania dostępu do aplikacji (aplikacji A), a aplikacja opuści pierwszy plan (główny fokus wejściowy) na urządzeniu, czasomierz numeru PIN zostanie zresetowany dla tego numeru PIN. Każda aplikacja (aplikacja B), która udostępnia ten numer PIN, nie będzie monitować użytkownika o wprowadzenie numeru PIN, ponieważ czasomierz został zresetowany. Monit pojawi się ponownie po ponownym spełnieniu wartości "Sprawdź ponownie wymagania dostępu po (minutach)".

W przypadku urządzeń z systemem iOS/iPadOS, nawet jeśli numer PIN jest współużytkowany między aplikacjami od różnych wydawców, monit zostanie wyświetlony ponownie, gdy ponownie zostanie spełniona wartość Sprawdź ponownie wymagania dostępu po (minutach) dla aplikacji, która nie jest głównym celem wejściowym. Na przykład użytkownik ma aplikację A od wydawcy X i aplikację B od wydawcy Y, a te dwie aplikacje mają ten sam numer PIN. Użytkownik koncentruje się na aplikacji A (na pierwszym planie), a aplikacja B jest zminimalizowana. Po spełnieniu wartości Recheck the access requirements after (minutes) (Ponowne sprawdzanie wymagań dostępu po (minutach) i przełączeniu użytkownika do aplikacji B będzie wymagany numer PIN.

Uwaga

Aby częściej weryfikować wymagania dotyczące dostępu użytkownika (tj. monit o podanie numeru PIN), szczególnie w przypadku często używanej aplikacji, zaleca się zmniejszenie wartości ustawienia "Sprawdź ponownie wymagania dostępu po (minutach)".

Jak kod PIN Intune działa z wbudowanymi numerami PIN aplikacji dla programu Outlook i usługi OneDrive?

Numer PIN Intune działa na podstawie czasomierza opartego na braku aktywności (wartość "Sprawdź ponownie wymagania dostępu po (minutach)"). W związku z tym Intune monity o podanie numeru PIN są wyświetlane niezależnie od wbudowanych monitów o numer PIN aplikacji dla programu Outlook i OneDrive, które często są domyślnie powiązane z uruchamianiem aplikacji. Jeśli użytkownik otrzyma jednocześnie oba monity o podanie numeru PIN, oczekiwane zachowanie powinno być takie, że Intune numer PIN ma pierwszeństwo.

Czy numer PIN jest bezpieczny?

Numer PIN umożliwia tylko prawidłowemu użytkownikowi dostęp do danych organizacji w aplikacji. W związku z tym użytkownik końcowy musi zalogować się przy użyciu konta służbowego, zanim będzie mógł ustawić lub zresetować numer PIN aplikacji Intune. To uwierzytelnianie jest obsługiwane przez Tożsamość Microsoft Entra za pośrednictwem bezpiecznej wymiany tokenów i nie jest niewidoczne dla zestawu Intune App SDK. Z punktu widzenia bezpieczeństwa najlepszym sposobem ochrony danych służbowych jest ich szyfrowanie. Szyfrowanie nie jest powiązane z numerem PIN aplikacji, ale jest jego własnymi zasadami ochrony aplikacji.

Jak Intune chronić numer PIN przed atakami siłowymi?

W ramach zasad numeru PIN aplikacji administrator IT może ustawić maksymalną liczbę prób uwierzytelnienia numeru PIN przez użytkownika przed zablokowaniem aplikacji. Po wykonaniu liczby prób zestaw SDK aplikacji Intune może wyczyścić dane "firmowe" w aplikacji.

Dlaczego muszę dwukrotnie ustawić numer PIN w aplikacjach od tego samego wydawcy?

Funkcja MAM (w systemie iOS/iPadOS) umożliwia obecnie numer PIN na poziomie aplikacji z znakami alfanumerycznymi i specjalnymi (nazywanymi "kodem dostępu"), który wymaga udziału aplikacji (np. WXP, Outlook, Managed Browser, Yammer) w celu zintegrowania zestawu SDK aplikacji Intune dla systemu iOS/iPadOS. Bez tego ustawienia kodu dostępu nie są prawidłowo wymuszane dla aplikacji docelowych. Była to funkcja wydana w zestawie SDK Intune dla systemu iOS/iPadOS w wersji 7.1.12.

W celu obsługi tej funkcji i zapewnienia zgodności z poprzednimi wersjami zestawu Intune SDK dla systemu iOS/iPadOS wszystkie numeryczne (numeryczne lub kod dostępu) w wersji 7.1.12 lub nowszej są obsługiwane oddzielnie od numerycznego numeru PIN w poprzednich wersjach zestawu SDK. Dlatego jeśli urządzenie ma aplikacje z zestawem Intune SDK dla systemu iOS/iPadOS w wersji przed 7.1.12 i po wersji 7.1.12 od tego samego wydawcy, będą musieli skonfigurować dwa numery PIN.

Mimo to dwa numery PIN (dla każdej aplikacji) nie są w żaden sposób powiązane, tj. muszą przestrzegać zasad ochrony aplikacji stosowanych do aplikacji. W związku z tym tylko wtedy, gdy aplikacje A i B mają te same zasady stosowane (w odniesieniu do numeru PIN), użytkownik może dwukrotnie skonfigurować ten sam numer PIN.

To zachowanie jest specyficzne dla numeru PIN w aplikacjach systemu iOS/iPadOS, które są włączone w usłudze Intune Mobile App Management. Z biegiem czasu, gdy aplikacje przyjmują nowsze wersje zestawu SDK Intune dla systemu iOS/iPadOS, konieczność dwukrotnego ustawienia numeru PIN w aplikacjach tego samego wydawcy staje się mniejszym problemem. Zobacz poniższą notatkę, aby uzyskać przykład.

Uwaga

Jeśli na przykład aplikacja A jest kompilowana z wersją wcześniejszą niż 7.1.12, a aplikacja B jest kompilowana z wersją większą lub równą 7.1.12 od tego samego wydawcy, użytkownik końcowy będzie musiał skonfigurować numery PIN oddzielnie dla usług A i B, jeśli oba są zainstalowane na urządzeniu z systemem iOS/iPadOS.

Jeśli na urządzeniu jest zainstalowana aplikacja C z zestawem SDK w wersji 7.1.9, będzie ona udostępniać ten sam numer PIN co aplikacja A.

Aplikacja D utworzona przy użyciu wersji 7.1.14 będzie udostępniać ten sam numer PIN co aplikacja B.

Jeśli na urządzeniu są zainstalowane tylko aplikacje A i C, należy ustawić jeden numer PIN. To samo dotyczy, jeśli na urządzeniu są zainstalowane tylko aplikacje B i D.

A co z szyfrowaniem?

Administratorzy IT mogą wdrożyć zasady ochrony aplikacji, które wymagają szyfrowania danych aplikacji. W ramach zasad administrator IT może również określić, kiedy zawartość jest szyfrowana.

Jak Intune szyfrować dane?

Zobacz ustawienia zasad ochrony aplikacji systemu Android i ustawienia zasad ochrony aplikacji systemu iOS/iPadOS , aby uzyskać szczegółowe informacje na temat ustawienia zasad ochrony aplikacji szyfrowania.

Co jest szyfrowane?

Tylko dane oznaczone jako "firmowe" są szyfrowane zgodnie z zasadami ochrony aplikacji administratora IT. Dane są uznawane za "firmowe", gdy pochodzą z lokalizacji biznesowej. W przypadku aplikacji pakietu Office Intune traktuje następujące lokalizacje biznesowe: pocztę e-mail (Exchange) lub magazyn w chmurze (aplikacja OneDrive z kontem OneDrive dla Firm). W przypadku aplikacji biznesowych zarządzanych przez Intune App Wrapping Tool wszystkie dane aplikacji są uważane za "firmowe".

W jaki sposób Intune zdalne czyszczenie danych?

Intune może czyścić dane aplikacji na trzy różne sposoby: pełne czyszczenie urządzenia, selektywne czyszczenie na potrzeby zarządzania urządzeniami przenośnymi i selektywne czyszczenie funkcji MAM. Aby uzyskać więcej informacji na temat zdalnego czyszczenia na potrzeby zarządzania urządzeniami przenośnymi, zobacz Usuwanie urządzeń przy użyciu czyszczenia lub wycofywania. Aby uzyskać więcej informacji na temat selektywnego czyszczenia przy użyciu funkcji ZARZĄDZANIA aplikacjami mobilnymi, zobacz Akcja Wycofaj i Jak wyczyścić tylko dane firmowe z aplikacji.

Co to jest czyszczenie?

Wyczyść usuwa wszystkie dane użytkownika i ustawienia z urządzenia , przywracając urządzenie do ustawień domyślnych fabrycznych. Urządzenie zostanie usunięte z Intune.

Uwaga

Czyszczenie można przeprowadzić tylko na urządzeniach zarejestrowanych w Intune zarządzania urządzeniami przenośnymi (MDM).

Co to jest selektywne czyszczenie na potrzeby zarządzania urządzeniami przenośnymi?

Zobacz Usuwanie urządzeń — wycofywanie, aby przeczytać o usuwaniu danych firmowych.

Co to jest selektywne czyszczenie danych na potrzeby zarządzania aplikacjami mobilnymi?

Selektywne czyszczenie na potrzeby zarządzania aplikacjami mobilnymi po prostu usuwa dane aplikacji firmowych z aplikacji. Żądanie jest inicjowane przy użyciu centrum administracyjnego Microsoft Intune. Aby dowiedzieć się, jak zainicjować żądanie czyszczenia, zobacz Jak wyczyścić tylko dane firmowe z aplikacji.

Jak szybko odbywa się selektywne czyszczenie pod kątem zarządzania aplikacjami mobilnymi?

Jeśli użytkownik używa aplikacji podczas inicjowania selektywnego czyszczenia, zestaw Intune App SDK sprawdza co 30 minut selektywne żądanie czyszczenia z usługi zarządzania aplikacjami mobilnymi Intune. Sprawdza również selektywne czyszczenie, gdy użytkownik uruchamia aplikację po raz pierwszy i loguje się przy użyciu konta służbowego.

Dlaczego usługi lokalne (lokalne) nie działają z Intune chronionymi aplikacjami?

Intune ochrona aplikacji zależy od tego, czy tożsamość użytkownika jest spójna między aplikacją a zestawem Intune App SDK. Jedynym sposobem zagwarantowania tego jest nowoczesne uwierzytelnianie. Istnieją scenariusze, w których aplikacje mogą współdziałać z konfiguracją lokalną, ale nie są one ani spójne, ani gwarantowane.

Tak! Administrator IT może wdrożyć i ustawić zasady ochrony aplikacji dla aplikacji Microsoft Edge. Administrator IT może wymagać otwarcia wszystkich linków internetowych w aplikacjach zarządzanych Intune przy użyciu aplikacji Microsoft Edge.

Środowisko aplikacji w systemie Android

Dlaczego aplikacja Portal firmy jest potrzebna do Intune ochrony aplikacji do pracy na urządzeniach z systemem Android?

ochrona aplikacji Portal firmy i aplikacji Intune

Jak wiele Intune ustawień dostępu do ochrony aplikacji skonfigurowanych dla tego samego zestawu aplikacji i użytkowników działa w systemie Android?

Intune zasady ochrony aplikacji dotyczące dostępu będą stosowane w określonej kolejności na urządzeniach użytkowników końcowych podczas próby uzyskania dostępu do aplikacji docelowej z poziomu konta firmowego. Ogólnie rzecz biorąc, pierwszeństwo ma blok, a następnie ostrzeżenie, które można odrzucić. Jeśli na przykład dotyczy konkretnego użytkownika/aplikacji, po ustawieniu minimalnej wersji poprawki systemu Android, które blokuje dostęp użytkownika do uaktualnienia poprawki, zostanie zastosowane ustawienie minimalnej wersji poprawki systemu Android, które blokuje dostęp użytkownika. Tak więc w scenariuszu, w którym administrator IT konfiguruje minimalną wersję poprawki systemu Android do wersji 2018-03-01 i minimalną wersję poprawki systemu Android (tylko ostrzeżenie) do wersji 2018-02-01, podczas gdy urządzenie próbujące uzyskać dostęp do aplikacji było w wersji poprawki 2018-01-01, użytkownik końcowy zostanie zablokowany na podstawie bardziej restrykcyjnego ustawienia minimalnej wersji poprawki systemu Android, która powoduje zablokowanie dostępu.

W przypadku obsługi różnych typów ustawień pierwszeństwo ma wymaganie dotyczące wersji aplikacji, a następnie wymaganie dotyczące wersji systemu operacyjnego Android i wymagania dotyczące wersji poprawki systemu Android. Następnie są sprawdzane wszelkie ostrzeżenia dla wszystkich typów ustawień w tej samej kolejności.

Intune zasady ochrony aplikacji umożliwiają administratorom wymaganie od użytkowników końcowych przekazania kontroli integralności urządzeń z systemem Android w sklepie Google Play. Jak często do usługi jest wysyłany nowy wynik sprawdzania integralności urządzenia w sklepie Google Play?

Usługa Intune skontaktuje się z sklepem Google Play w niekonfigurowalnym interwale określonym na podstawie obciążenia usługi. Każda akcja skonfigurowana przez administratora IT dla ustawienia sprawdzania integralności urządzeń w sklepie Google Play zostanie podjęta na podstawie ostatniego zgłoszonego wyniku dla usługi Intune w momencie uruchamiania warunkowego. Jeśli wynik integralności urządzenia firmy Google jest zgodny, nie są podejmowane żadne działania. Jeśli wynik integralności urządzenia firmy Google jest niezgodny, skonfigurowana przez administratora IT akcja zostanie podjęta natychmiast. Jeśli żądanie sprawdzenia integralności urządzenia w sklepie Google Play nie powiedzie się z jakiegoś powodu, buforowany wynik z poprzedniego żądania będzie używany przez maksymalnie 24 godziny lub następne ponowne uruchomienie urządzenia, które kiedykolwiek nastąpi jako pierwsze. W tym czasie Intune zasady ochrony aplikacji będą blokować dostęp do momentu uzyskania bieżącego wyniku.

Intune zasady ochrony aplikacji umożliwiają administratorom wymaganie od urządzeń użytkowników końcowych wysyłania sygnałów za pośrednictwem interfejsu API Weryfikacja aplikacji firmy Google dla urządzeń z systemem Android. Jak użytkownik końcowy może włączyć skanowanie aplikacji, aby nie zablokować dostępu z tego powodu?

Instrukcje dotyczące tego, jak to zrobić, różnią się nieznacznie w zależności od urządzenia. Ogólny proces obejmuje przejście do Sklepu Google Play, a następnie kliknięcie pozycji Moje aplikacje & gry, kliknięcie wyniku ostatniego skanowania aplikacji, które spowoduje przejście do menu Play Protect. Upewnij się, że przełącznik skanuj urządzenie pod kątem zagrożeń bezpieczeństwa jest włączony.

Co faktycznie sprawdza interfejs API integralności Google Play na urządzeniach z systemem Android? Jaka jest różnica między konfigurowalnymi wartościami "Sprawdź integralność podstawową" i "Sprawdź podstawową integralność & certyfikowanych urządzeń"?

Intune korzysta z interfejsów API integralności sklepu Google Play, aby dodać je do istniejących testów wykrywania root dla niezarejestrowanych urządzeń. Firma Google opracowała i obsługiwała ten zestaw interfejsów API dla aplikacji systemu Android do wdrożenia, jeśli nie chcą, aby ich aplikacje były uruchamiane na urządzeniach z dostępem do konta root. Na przykład aplikacja Android Pay włączyła tę funkcję. Chociaż firma Google nie udostępnia publicznie całości przeprowadzanych kontroli wykrywania rootów, oczekujemy, że te interfejsy API wykryje użytkowników, którzy odblokowali swoje urządzenia. Dostęp do tych użytkowników może zostać zablokowany lub konta firmowe zostaną wyczyszczone z aplikacji z obsługą zasad. Polecenie "Sprawdź podstawową integralność" informuje o ogólnej integralności urządzenia. Urządzenia z odblokowanym dostępem, emulatory, urządzenia wirtualne i urządzenia z oznakami naruszenia nie mają podstawowej integralności. "Sprawdzanie podstawowej integralności & certyfikowanych urządzeń" informuje o zgodności urządzenia z usługami Firmy Google. Tylko niezmodyfikowane urządzenia, które zostały certyfikowane przez firmę Google, mogą przejść tę kontrolę. Urządzenia, które nie powiedzie się, obejmują następujące elementy:

  • Urządzenia, które nie spełniają podstawowej integralności
  • Urządzenia z odblokowanym bootloaderem
  • Urządzenia z niestandardowym obrazem systemowym/ROM
  • Urządzenia, dla których producent nie ubiegał się o certyfikację Google lub nie przeszedł do niej
  • Urządzenia z obrazem systemowym utworzonym bezpośrednio z plików źródłowych programu Open Source programu Android
  • Urządzenia z obrazem systemu w wersji beta/developer (wersja zapoznawcza)

Aby uzyskać szczegółowe informacje techniczne , zobacz dokumentację firmy Google dotyczącą interfejsu API integralności play .

Istnieją dwie podobne kontrole w sekcji Uruchamianie warunkowe podczas tworzenia zasad ochrony aplikacji Intune dla urządzeń z systemem Android. Czy powinienem wymagać ustawienia "Werdykt integralności odtwarzania" lub ustawienia "jailbroken/rooted devices"?

Testy interfejsu API integralności sklepu Google Play wymagają, aby użytkownik końcowy był w trybie online przez cały czas trwania operacji "roundtrip" do określania wyników zaświadczania. Jeśli użytkownik końcowy jest w trybie offline, administrator IT nadal może oczekiwać, że wynik zostanie wymuszony z ustawienia "urządzenia ze zdjętymi zabezpieczeniami systemu/odblokowanym dostępem do konta root". Oznacza to, że jeśli użytkownik końcowy jest zbyt długi w trybie offline, w grę wchodzi wartość "Okres prolongaty offline", a cały dostęp do danych służbowych jest zablokowany po osiągnięciu tej wartości czasomierza, dopóki dostęp do sieci nie będzie dostępny. Włączenie obu ustawień umożliwia warstwowe podejście do utrzymania kondycji urządzeń użytkowników końcowych, co jest ważne, gdy użytkownicy końcowi uzyskują dostęp do danych służbowych na urządzeniach przenośnych.

Ustawienia zasad ochrony aplikacji korzystające z interfejsów API usługi Google Play Protect wymagają działania usług Google Play. Co zrobić, jeśli usługi Google Play nie są dozwolone w lokalizacji, w której może znajdować się użytkownik końcowy?

Zarówno ustawienia "Werdykt integralności odtwarzania", jak i "Skanowanie zagrożeń w aplikacjach" wymagają, aby określona przez Google wersja usług Google Play działała poprawnie. Ponieważ są to ustawienia, które należą do obszaru zabezpieczeń, użytkownik końcowy zostanie zablokowany, jeśli zostały one objęte tymi ustawieniami i nie spełniają odpowiedniej wersji usług Google Play lub nie mają dostępu do usług Google Play.

Środowisko aplikacji w systemie iOS

Co się stanie, jeśli dodasz lub usuniesz odcisk palca lub twarz do urządzenia?

Intune zasady ochrony aplikacji umożliwiają kontrolę nad dostępem aplikacji tylko do Intune licencjonowanego użytkownika. Jednym ze sposobów kontrolowania dostępu do aplikacji jest wymaganie identyfikatora Touch ID lub face ID firmy Apple na obsługiwanych urządzeniach. Intune implementuje zachowanie polegające na tym, że w przypadku zmiany biometrycznej bazy danych urządzenia Intune monituje użytkownika o podanie numeru PIN po osiągnięciu kolejnej wartości limitu czasu braku aktywności. Zmiany danych biometrycznych obejmują dodawanie lub usuwanie odcisku palca lub twarzy. Jeśli Intune użytkownik nie ma ustawionego numeru PIN, zostanie skonfigurowany numer PIN Intune.

Celem tego jest dalsze utrzymywanie bezpieczeństwa i ochrony danych organizacji w aplikacji na poziomie aplikacji. Ta funkcja jest dostępna tylko dla systemu iOS/iPadOS i wymaga udziału aplikacji integrujących zestaw Intune APP SDK dla systemu iOS/iPadOS w wersji 9.0.1 lub nowszej. Integracja zestawu SDK jest niezbędna, aby można było wymusić zachowanie w aplikacjach docelowych. Ta integracja odbywa się stopniowo i zależy od konkretnych zespołów aplikacji. Niektóre aplikacje, które uczestniczą, to WXP, Outlook, Managed Browser i Yammer.

Mogę użyć rozszerzenia udostępniania systemu iOS do otwierania danych służbowych w aplikacjach niezarządzanych, nawet gdy zasady transferu danych są ustawione na "tylko aplikacje zarządzane" lub "brak aplikacji". Czy te dane nie wyciekają?

Intune zasady ochrony aplikacji nie mogą kontrolować rozszerzenia udostępniania systemu iOS bez zarządzania urządzeniem. W związku z tym Intune szyfruje dane "firmowe" przed ich udostępnieniem poza aplikacją. Można to sprawdzić, próbując otworzyć plik "firmowy" poza aplikacją zarządzanej. Plik powinien być zaszyfrowany i nie można go otworzyć poza aplikacją zarządzaną.

Jak wiele Intune ustawień dostępu do ochrony aplikacji skonfigurowanych dla tego samego zestawu aplikacji i użytkowników działa w systemie iOS?

Intune zasady ochrony aplikacji dotyczące dostępu będą stosowane w określonej kolejności na urządzeniach użytkowników końcowych podczas próby uzyskania dostępu do aplikacji docelowej z poziomu konta firmowego. Ogólnie rzecz biorąc, czyszczenie miałoby pierwszeństwo, a następnie blok, a następnie ostrzeżenie, które można odrzucić. Jeśli na przykład dotyczy konkretnego użytkownika/aplikacji, minimalne ustawienie systemu operacyjnego iOS/iPadOS, które ostrzega użytkownika o aktualizacji wersji systemu iOS/iPadOS, zostanie zastosowane po minimalnym ustawieniu systemu operacyjnego iOS/iPadOS, które blokuje dostęp użytkownika. Dlatego w scenariuszu, w którym administrator IT konfiguruje minimalny system operacyjny iOS/iPadOS na 11.0.0.0 i minimalny system operacyjny iOS/iPadOS (tylko ostrzeżenie) do wersji 11.1.0.0, Podczas gdy urządzenie próbujące uzyskać dostęp do aplikacji znajdowało się w systemie iOS/iPadOS 10, użytkownik końcowy zostałby zablokowany na podstawie bardziej restrykcyjnego ustawienia minimalnej wersji systemu operacyjnego iOS/iPadOS, które powoduje zablokowanie dostępu.

W przypadku obsługi różnych typów ustawień pierwszeństwo ma wymaganie dotyczące wersji zestawu SDK aplikacji Intune, a następnie wymaganie dotyczące wersji aplikacji, a następnie wymaganie dotyczące wersji systemu operacyjnego iOS/iPadOS. Następnie są sprawdzane wszelkie ostrzeżenia dla wszystkich typów ustawień w tej samej kolejności. Zalecamy skonfigurowanie wymagania dotyczącego wersji zestawu Intune App SDK tylko na podstawie wskazówek zespołu produktu Intune dla podstawowych scenariuszy blokowania.

Zobacz też