Sterowanie aplikacjami przy użyciu zasad zarządzania aplikacjami mobilnymi w programie Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Zasady zarządzania aplikacjami programu Począwszy od wersji System Center 2012 Configuration Manager z dodatkiem SP2 umożliwiają modyfikowanie funkcji wdrażanych aplikacji w taki sposób, aby nie naruszały firmowych zasad dotyczących zgodności i zabezpieczeń. Na przykład w aplikacji można ograniczyć wykonywanie operacji wycinania, kopiowania i wklejania lub skonfigurować aplikację tak, aby wszystkie linki sieci Web były otwierane w programie Managed Browser. Zasady zarządzania aplikacjami obsługują:

• Urządzenia z systemem Android w wersji 4 lub nowszej.

• Urządzenia z systemem iOS w wersji 7 lub nowszej.

Porada

Za pomocą zasad zarządzania aplikacjami mobilnymi można chronić aplikacje na urządzeniach, które nie są zarządzane przez usługę Intune — w dodatku do zarządzanych urządzeń. Przy użyciu tej nowej możliwości możesz zastosować zasady zarządzania aplikacjami mobilnymi dla aplikacji łączących się z usługami Office 365. Ta funkcja nie jest obsługiwana w przypadku aplikacji łączących się z lokalnym programem Exchange lub SharePoint. Z tej nowej możliwości możesz korzystać tylko za pomocą portalu Azure w wersji zapoznawczej. W poniższych tematach znajdują się informacje ułatwiające rozpoczęcie pracy: Rozpoczynanie pracy z zasadami zarządzania aplikacjami mobilnymi w portalu Azure Tworzenie i wdrażanie zasad zarządzania aplikacjami mobilnymi przy użyciu usługi Microsoft Intune

Zasady zarządzania aplikacjami, w odróżnieniu od elementów konfiguracji i linii bazowych w programie Menedżer konfiguracji, nie są wdrażane bezpośrednio. Musisz je skojarzyć z typem wdrożenia aplikacji, który ma zostać ograniczony. Określone ustawienia są stosowane po wdrożeniu i zainstalowaniu typu wdrożenia aplikacji na urządzeniach.

Aby zastosować ograniczenia dla aplikacji, musi ona zawierać zestaw Software Development Kit (SDK) aplikacji usługi Microsoft Intune. Istnieją dwie metody uzyskania tego typu aplikacji:

• Użycie aplikacji zarządzanej przez zasady (systemy Android i iOS): takie aplikacje zawierają wbudowany zestaw SDK aplikacji. Aby dodać ten typ aplikacji, wystarczy podać link do wybranej aplikacji w sklepie z aplikacjami, takim jak iTunes lub Google Play. Żadne dalsze przetwarzanie nie jest wymagane w przypadku tego typu aplikacji. Listę aplikacji zarządzanych przez zasady, które są dostępne dla urządzeń z systemami iOS i Android, zamieszczono w artykule Aplikacje zarządzane przy użyciu zasad zarządzania aplikacjami mobilnymi w usłudze Microsoft Intune.

• Użycie opakowanej aplikacji — (systemy Android i iOS): są to aplikacje ponownie umieszczane w pakietach za pomocą narzędzia opakowującego aplikacje dostępnego w usłudze Microsoft Intune w celu dodania do nich zestawu SDK aplikacji. To narzędzie jest zwykle używane do przetwarzania aplikacji firmowych utworzonych wewnętrznie. Nie można go używać do przetwarzania aplikacji, które zostały pobrane ze sklepu z aplikacjami. Patrz Przygotowanie aplikacji systemu iOS do zarządzania aplikacjami mobilnymi za pomocą narzędzia opakowującego aplikacje w usłudze Microsoft Intune i Przygotowanie aplikacji systemu Android do zarządzania aplikacjami mobilnymi za pomocą narzędzia opakowującego aplikacje w usłudze Microsoft Intune.

Tworzenie i wdrażanie aplikacji podlegającej zasadom zarządzania aplikacjami mobilnymi

• Krok 1. Uzyskiwanie linku do aplikacji zarządzanej przez zasady lub tworzenie opakowanej aplikacji

• Krok 2. Tworzenie aplikacji programu Configuration Manager zawierającej aplikację

• Krok 3. Tworzenie zasad zarządzania aplikacjami

• Krok 4. Kojarzenie zasad zarządzania aplikacjami z typem wdrożenia

• Krok 5. Monitorowanie wdrożenia aplikacji

Krok 1. Uzyskiwanie linku do aplikacji zarządzanej przez zasady lub tworzenie opakowanej aplikacji

• Aby uzyskać link do aplikacji zarządzanej przez zasady (systemy iOS i Android) — w sklepie z aplikacjami znajdź i zanotuj adres URL aplikacji zarządzanej przez zasady, którą chcesz wdrożyć.

  Na przykład adres URL aplikacji Microsoft Word dla tabletu iPad to https://itunes.apple.com/us/app/microsoft-word-for-ipad/id586447913?mt=8

• Aby utworzyć opakowaną aplikację (systemy iOS i Android), użyj informacji zawartych w tematach Przygotowanie aplikacji systemu iOS do zarządzania aplikacjami mobilnymi za pomocą narzędzia opakowującego aplikacje w usłudze Microsoft Intune i Przygotowanie aplikacji systemu Android do zarządzania aplikacjami mobilnymi za pomocą narzędzia opakowującego aplikacje w usłudze Microsoft Intune w celu utworzenia opakowanej aplikacji.

  Narzędzie tworzy przetworzoną aplikację i skojarzony plik manifestu. Te pliki będą używane podczas tworzenia aplikacji programu Menedżer konfiguracji zawierającej aplikację.

Krok 2. Tworzenie aplikacji programu Configuration Manager zawierającej aplikację

Procedura tworzenia aplikacji programu Menedżer konfiguracji zależy od tego, czy używasz aplikacji zarządzanej przez zasady (link zewnętrzny), czy też aplikacji utworzonej przy użyciu narzędzia opakowującego aplikacje dla systemu iOS w usłudze Microsoft Intune (pakietu aplikacji systemu iOS). Aby utworzyć aplikację programu Menedżer konfiguracji, użyj jednej z poniższych procedur.

Aby utworzyć aplikację dla aplikacji narzędzia opakowującego aplikacje dla systemu iOS

1. W konsoli programu Menedżer konfiguracji kliknij przycisk Biblioteka oprogramowania.

2. W obszarze roboczym Biblioteka oprogramowania rozwiń węzeł Zarządzanie aplikacjami, a następnie kliknij przycisk Aplikacje.

3. Na karcie Narzędzia główne w grupie Tworzenie kliknij przycisk Utwórz aplikację, aby uruchomić Kreatora tworzenia aplikacji.

4. Na stronie Ogólne wybierz opcję Automatycznie wykryj informacje o tej aplikacji z plików instalacyjnych.

5. Z listy rozwijanej Typ wybierz pozycję Pakiet aplikacji dla systemu iOS (plik *.ipa).

6. Kliknij przycisk Przeglądaj, aby wybrać pakiet aplikacji do zaimportowania, a następnie kliknij przycisk Dalej.

7. Na stronie Informacje ogólne wprowadź opis oraz informacje o kategorii, które będą widoczne dla użytkowników w portalu firmy.

8. Ukończ pracę kreatora.

Nowa aplikacja jest wyświetlana w węźle Aplikacje w obszarze roboczym Biblioteka oprogramowania.

Tworzenie aplikacji zawierającej link do aplikacji zarządzanej przez zasady

1. W konsoli programu Menedżer konfiguracji kliknij przycisk Biblioteka oprogramowania.

2. W obszarze roboczym Biblioteka oprogramowania rozwiń węzeł Zarządzanie aplikacjami, a następnie kliknij przycisk Aplikacje.

3. Na karcie Narzędzia główne w grupie Tworzenie kliknij przycisk Utwórz aplikację, aby uruchomić Kreatora tworzenia aplikacji.

4. Na stronie Ogólne wybierz opcję Automatycznie wykryj informacje o tej aplikacji z plików instalacyjnych.

5. Z listy rozwijanej Typ wybierz jedną z następujących pozycji:

   - Dla systemu iOS: **Pakiet aplikacji dla systemu iOS ze sklepu App Store**
   
   - Dla systemu Android: **Pakiet aplikacji dla systemu Android w witrynie Google Play** 
   

6. Podaj adres URL aplikacji (z kroku 1), a następnie kliknij przycisk Dalej.

7. Na stronie Informacje ogólne wprowadź opis oraz informacje o kategorii, które będą widoczne dla użytkowników w portalu firmy.

8. Ukończ pracę kreatora.

Nowa aplikacja jest wyświetlana w węźle Aplikacje w obszarze roboczym Biblioteka oprogramowania.

Krok 3. Tworzenie zasad zarządzania aplikacjami

Następnie utworzysz zasady zarządzania aplikacjami, które skojarzysz z aplikacją. Możesz utworzyć zasady ogólne lub zasady programu Managed Browser.

Tworzenie zasad zarządzania aplikacjami

1. W konsoli programu Menedżer konfiguracji kliknij przycisk Biblioteka oprogramowania.

2. W obszarze roboczym Biblioteka oprogramowania rozwiń węzeł Zarządzanie aplikacjami, a następnie kliknij pozycję Zasady zarządzania aplikacjami.

3. Na karcie Narzędzia główne w grupie Tworzenie kliknij pozycję Utwórz zasady zarządzania aplikacjami.

4. Na stronie Ogólne podaj nazwę i opis zasad, a następnie kliknij przycisk Dalej.

5. Na stronie Typ zasad wybierz platformę i typ zasad dla danych zasad, a następnie kliknij przycisk Dalej. Dostępne są następujące typy zasad:

   - **Ogólny**: typ zasad Ogólny umożliwia modyfikowanie funkcji wdrażanych aplikacji w taki sposób, aby nie naruszały firmowych zasad dotyczących zgodności i zabezpieczeń. Można na przykład ograniczyć operacje wycinania, kopiowania i wklejania w ograniczonej aplikacji.
   
   - **Managed Browser**: określ, czy otwieranie listy adresów URL przez program Managed Browser ma być dozwolone. Typ zasad Managed Browser umożliwia modyfikowanie funkcji aplikacji Intune Managed Browser. Ta aplikacja to przeglądarka sieci Web umożliwiająca zarządzanie akcjami, które użytkownicy mogą wykonywać, w tym witrynami, które mogą odwiedzać, i sposobem otwierania linków do zawartości w przeglądarce. Więcej informacji na temat aplikacji Intune Managed Browser w systemie iOS znajduje się w [tym miejscu](https://itunes.apple.com/us/app/microsoft-intune-managed-browser/id943264951?mt=8), a w systemie Android [w tym miejscu](https://play.google.com/store/apps/details?id=com.microsoft.intune.mam.managedbrowser%26hl=en).
   

6. Na stronie Zasady systemu iOS lub Zasady systemu Android skonfiguruj następujące wartości zgodnie z wymaganiami, a następnie kliknij przycisk Dalej. Opcje mogą się różnić w zależności od typu urządzenia, dla którego konfigurujesz zasady.

   Wartość	Więcej informacji
   Ogranicz zawartość sieci Web wyświetlaną w zarządzanej przeglądarce firmowej	Jeśli to ustawienie jest włączone, wszystkie linki w aplikacji będą otwierane w programie Managed Browser. Aplikacja musi być wdrożona na urządzeniach, aby ta opcja działała.
   Nie zezwalaj na kopie zapasowe systemu Android lub Nie zezwalaj na kopie zapasowe programu iTunes i usługi iCloud	Wyłącza wykonywanie kopii zapasowych informacji aplikacji.
   Zezwalaj aplikacji na przesyłanie danych do innych aplikacji	Określa aplikacje, do których ta aplikacja może przesyłać dane. Możesz nie zezwalać na przesyłanie danych do żadnych aplikacji, zezwalać na przesyłanie danych tylko do ograniczonych aplikacji lub zezwalać na przesyłanie danych do dowolnych aplikacji. Na urządzeniach z systemem iOS, aby uniemożliwić przesyłanie dokumentów między aplikacjami zarządzanymi i niezarządzanymi, musisz również skonfigurować i wdrożyć zasady zabezpieczeń urządzeń przenośnych, które wyłączają ustawienie Zezwalaj na niezarządzane dokumenty w innych zarządzanych aplikacjach. Uwaga W przypadku zezwolenia na przesyłanie tylko do innych ograniczonych aplikacji do otwierania zawartości odpowiednich typów będą używane przeglądarki plików PDF i obrazów usługi Intune (jeśli je wdrożono).
   Zezwalaj aplikacji na odbieranie danych z innych aplikacji	Określa aplikacje, z których ta aplikacja może odbierać dane. Możesz: nie zezwalać na przesyłanie danych z żadnych aplikacji, zezwalać na przesyłanie danych tylko z innych ograniczonych aplikacji, zezwalać na przesyłanie z dowolnych aplikacji.
   Nie zezwalaj na używanie polecenia „Zapisz jako”	Wyłącza opcję Zapisz jako we wszystkich aplikacjach korzystających z tych zasad.
   Ogranicz wycinanie, kopiowanie i wklejanie w innych aplikacjach	Określa możliwości korzystania z operacji wycinania, kopiowania i wklejania w ramach aplikacji. Wybierz spośród opcji: Zablokowane — nie zezwalaj na wycinanie, kopiowanie i wklejanie między tą aplikacją i innymi aplikacjami. Aplikacje zarządzane przez zasady — zezwalaj na wycinanie, kopiowanie i wklejanie między tą aplikacją i innymi ograniczonymi aplikacjami. Aplikacje zarządzane przez zasady z funkcją wklejania — zezwalaj na wklejanie danych wyciętych lub skopiowanych z tej aplikacji tylko w innych ograniczonych aplikacjach. Zezwalaj na wklejanie w tej aplikacji danych wyciętych lub skopiowanych z dowolnych aplikacji. Dowolna aplikacja — brak ograniczeń wycinania, kopiowania i wklejania w tej aplikacji.
   Wymagaj prostego numeru PIN w celu udzielenia dostępu	Wymaga, aby w celu korzystania z aplikacji użytkownik musiał wprowadzić określony przez siebie numer PIN. Użytkownik zostanie poproszony o skonfigurowanie numeru podczas pierwszego uruchomienia aplikacji.
   Liczba prób przed zresetowaniem numeru PIN	Określ liczbę prób wprowadzenia numeru PIN, po której użytkownik musi zresetować ten numer.
   Wymagaj poświadczeń firmowych w celu udzielenia dostępu	Wymaga, aby użytkownik wprowadził swoje firmowe informacje logowania zanim uzyska dostęp do aplikacji.
   Wymagaj zgodności urządzenia z zasadami firmowymi w celu udzielenia dostępu	Umożliwia korzystanie z aplikacji tylko wtedy, gdy urządzenie nie ma zdjętych zabezpieczeń systemu lub nie jest możliwy dostęp do urządzenia z uprawnieniami administratora.
   Ponownie sprawdź wymagania dostępu po (w minutach)	W polu Limit czasu określ częstotliwość sprawdzania wymagań dostępu aplikacji po jej uruchomieniu. W polu Okres karencji w trybie offline, jeśli urządzenie jest w trybie offline, określ czas do ponownego sprawdzenia wymagań dostępu aplikacji.
   Szyfruj dane aplikacji	Określa, że wszystkie dane skojarzone z tą aplikacją będą szyfrowane, w tym dane przechowywane zewnętrznie, np. na kartach SD. Uwaga Szyfrowanie dla systemu iOS W przypadku aplikacji, które są skojarzone z zasadami zarządzania aplikacjami mobilnymi programu Menedżer konfiguracji, dane są szyfrowane, gdy nie są używane, za pomocą szyfrowania na poziomie urządzenia obsługiwanego przez system operacyjny. Ta funkcja jest włączana za pomocą zasad numeru PIN urządzenia, które muszą być ustawione przez administratora IT. Jeśli numer PIN jest wymagany, dane będą szyfrowane zgodnie z ustawieniami zasad zarządzania aplikacjami mobilnymi. Zgodnie z dokumentacją firmy Apple moduły używane przez system iOS 7 mają certyfikaty FIPS 140-2.   Szyfrowanie dla systemu Android W przypadku aplikacji, które są skojarzone z zasadami zarządzania aplikacjami mobilnymi programu Menedżer konfiguracji, szyfrowanie jest obsługiwane przez firmę Microsoft. Dane są szyfrowane synchronicznie podczas operacji we/wy na plikach zgodnie z ustawieniem w zasadach zarządzania aplikacjami mobilnymi. Aplikacje zarządzane w systemie Android używają szyfrowania AES-128 w trybie CBC przy użyciu bibliotek kryptografii platformy. Metoda szyfrowania nie ma certyfikatu FIPS 140-2. Zawartość w magazynie urządzenia będzie zawsze zaszyfrowana.
   Zablokuj przechwytywanie ekranu (tylko urządzenia z systemem Android)	Określa, że możliwości przechwytywania ekranu urządzenia są blokowane podczas korzystania z tej aplikacji.

7. Na stronie Managed Browser wybierz, czy program Managed Browser może otwierać wyłącznie adresy URL z listy, czy też mają być one blokowane, dostosuj adresy URL na liście, a następnie kliknij przycisk Dalej.

   Ostrzeżenie
   Więcej informacji można znaleźć w części Zarządzanie dostępem do Internetu za pomocą zasad programu Configuration Manager.

8. Ukończ pracę kreatora.

Nowe zasady są wyświetlane w węźle Zasady zarządzania aplikacjami w obszarze roboczym Biblioteka oprogramowania.

Krok 4. Kojarzenie zasad zarządzania aplikacjami z typem wdrożenia

Po utworzeniu typu wdrożenia dla aplikacji wymagającej zasad zarządzania aplikacjami program Menedżer konfiguracji rozpozna, że należy powiązać zasady zarządzania aplikacjami z danym typem wdrożenia, gdy skojarzona aplikacja zostanie wdrożona, i wyświetli monit o skojarzenie zasad zarządzania aplikacjami. W przypadku programu Managed Browser konieczne jest skojarzenie zasad ogólnych oraz zasad programu Managed Browser. Więcej informacji można znaleźć w części Tworzenie i wdrażanie aplikacji dla urządzeń przenośnych w programie Configuration Manager.

Ważne
Jeśli aplikacja została już wdrożona, wdrożenie dla nowego typu wdrożenia zakończy się niepowodzeniem do czasu utworzenia tego skojarzenia. Skojarzenie można utworzyć za pomocą pozycji Właściwości aplikacji na karcie Zarządzanie aplikacjami.

Ważne
Na urządzeniach z systemem operacyjnym wcześniejszym niż iOS 7.1 skojarzone zasady nie zostaną usunięte po odinstalowaniu aplikacji. Jeśli rejestracja urządzenia w programie Menedżer konfiguracji zostanie wycofana, zasady nie zostaną usunięte z aplikacji. Aplikacje, do których zastosowano zasady, zachowują ustawienia zasad nawet w przypadku ich odinstalowania i ponownego zainstalowania.

Krok 5. Monitorowanie wdrożenia aplikacji

Po utworzeniu i wdrożeniu aplikacji skojarzonej z zasadami zarządzania aplikacjami mobilnymi można monitorować aplikację i rozwiązywać konflikty zasad.

1. W konsoli programu Menedżer konfiguracji kliknij przycisk Biblioteka oprogramowania.

2. W obszarze roboczym Monitorowanie rozwiń węzeł Przegląd, a następnie kliknij pozycję Wdrożenia.

3. Wybierz wdrożenie i na karcie Narzędzia główne kliknij pozycję Właściwości.

4. W okienku szczegółów wdrożenia kliknij pozycję Zasady zarządzania aplikacjami w sekcji Powiązane obiekty.

Aby uzyskać więcej informacji na temat monitorowania aplikacji, zobacz Jak monitorować aplikacje w programie Configuration Manager.

Jak są rozwiązywane konflikty zasad

Jeśli konflikt zasad zarządzania aplikacjami mobilnymi wystąpi przy pierwszym wdrożeniu dla użytkownika lub urządzenia, wartość ustawienia powodująca konflikt zostanie usunięta z zasad wdrożonych dla aplikacji, a aplikacja będzie używać wartości wbudowanej.

Jeśli konflikt zasad zarządzania aplikacjami mobilnymi wystąpi przy kolejnym wdrożeniu dla aplikacji lub użytkownika, wartość ustawienia powodująca konflikt nie zostanie zaktualizowana w zasadach zarządzania aplikacjami mobilnymi wdrożonych dla aplikacji, a aplikacja będzie używać istniejącej wartości tego ustawienia.

W przypadkach, gdy urządzenie lub użytkownik otrzyma dwie zasady powodujące konflikt, stosuje się następujące działania:

• Jeśli dla urządzenia już wdrożono zasady, istniejące ustawienia zasad nie zostaną zastąpione.

• Jeśli dla urządzenia nie wdrożono wcześniej żadnych zasad i zostaną wdrożone dwa ustawienia powodujące konflikt, będzie używane domyślne ustawienie urządzenia.

Dostępne aplikacje zarządzane przez zasady

Listę aplikacji zarządzanych przez zasady, które są dostępne dla urządzeń z systemami iOS i Android, zamieszczono w artykule Aplikacje zarządzane przy użyciu zasad zarządzania aplikacjami mobilnymi w usłudze Microsoft Intune.

Zobacz też

Tworzenie i wdrażanie aplikacji dla urządzeń przenośnych w programie Configuration Manager
Operacje i konserwacji do zarządzania aplikacjami w programie Configuration Manager