Поделиться через


Как создать и назначить политики защиты приложений

Узнайте, как создавать и назначать Microsoft Intune политики защиты приложений (APP) для пользователей вашей организации. В этой статье также описывается внесение изменений в существующие политики.

Подготовка к работе

политики защита приложений могут применяться к приложениям, работающим на устройствах, которые могут управляться Intune. Более подробное описание принципов работы политик защиты приложений и сценариев, поддерживаемых Intune политиками защиты приложений, см. в статье Общие сведения о политиках защита приложений.

При настройке политик защиты приложений (APP) доступны различные параметры, которые позволяют организациям адаптировать систему безопасности в соответствии с конкретными потребностями. Однако они могут затруднить выбор параметров политик, необходимых для реализации полного сценария. Чтобы помочь организациям расставить приоритеты в отношении защиты клиентских конечных точек, корпорация Майкрософт представила новую таксономию для платформы защиты данных с APP для управления мобильными приложениями iOS и Android.

Платформа защиты данных c APP разделена на три разных уровня конфигурации, где каждый следующий уровень строится на предыдущем.

  • Базовая защита корпоративных данных (уровень 1) обеспечивает защиту приложений с помощью ПИН-кода и шифрования и выполняет операции выборочной очистки. На устройствах Android этот уровень используется для проверки аттестации устройств. Это минимальная конфигурация, которая обеспечивает аналогичное управление защитой данных в политиках почтовых ящиков Exchange Online и предлагает ИТ-специалистам и пользователям возможности APP.
  • Расширенная защита корпоративных данных (уровень 2) предоставляет механизмы APP для защиты от утечки данных и поддерживает минимальные требования к ОС. Эта конфигурация подходит большинству пользователей мобильных устройств, обращающихся к рабочим или учебным данным.
  • Высокий уровень защиты корпоративных данных (уровень 3) предоставляет механизмы для расширенной защиты данных, улучшенную конфигурацию ПИН-кодов и политики защиты от угроз на мобильных устройствах. Эта конфигурация является рекомендуемой для пользователей, работающих с данными с высоким уровнем риска.

Конкретные рекомендации для каждого уровня конфигурации и минимальный список приложений, защиту которых необходимо обеспечить, см. в статье Использование политик защиты приложений на платформе защиты данных.

Если вам нужен список приложений, интегрированных с пакетом SDK для Intune, см. раздел Microsoft Intune защищенных приложений.

Сведения о добавлении бизнес-приложений организации в Microsoft Intune для подготовки к политикам защиты приложений см. в статье Добавление приложений в Microsoft Intune.

политики защита приложений для приложений iOS/iPadOS и Android

При создании политики защиты приложений для приложений iOS/iPadOS и Android вы следуете современному потоку процесса Intune, который приводит к созданию новой политики защиты приложений. Сведения о создании политик защиты приложений для приложений Windows см. в разделе параметры политики защита приложений для Windows.

Создание политики защиты приложений iOS,iPadOS или Android

  1. Войдите в Центр администрирования Microsoft Intune.
  2. Выберите Политики>Политики защиты приложений. При этом откроется защита приложений сведений о политиках, где вы создаете новые политики и редактируете существующие политики.
  3. Выберите Создать политику и нажмите iOS/iPadOS или Android. Отобразится панель Создать политику.
  4. На странице Основные добавьте следующие значения.
Значение Описание
Имя Имя этой политики защиты приложений.
Описание [Необязательно] Описание этой политики защиты приложений.

Снимок экрана: страница

  1. Нажмите кнопку Далее , чтобы отобразить страницу Приложения .
    На странице Приложения можно выбрать приложения, которые должны быть целевыми для этой политики. Необходимо добавить не менее одного приложения.

    Значение/параметр Описание
    Нацеливать политику на В раскрывающемся списке Целевая политика выберите для политики защиты приложений все приложения, Microsoft Apps или Core Microsoft Apps.

    • Все приложения включают все приложения Майкрософт и партнерские приложения, интегрированные с пакетом SDK для Intune.
    • Microsoft Apps включает все приложения Майкрософт, интегрированные с пакетом SDK для Intune.
    • Основные Microsoft Apps включают следующие приложения: Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do и Word.

    Затем можно выбрать Просмотр списка приложений, которые будут целевыми , чтобы просмотреть список приложений, на которые будет влиять эта политика.
    Общедоступные приложения Если вы не хотите выбирать одну из предопределенных групп приложений, вы можете выбрать целевые отдельные приложения, выбрав Выбранные приложения в раскрывающемся списке Целевая политика для. Щелкните Выбрать общедоступные приложения, чтобы выбрать общедоступные приложения для целевого назначения.
    Пользовательские приложения Если вы не хотите выбирать одну из предопределенных групп приложений, вы можете выбрать целевые отдельные приложения, выбрав Выбранные приложения в раскрывающемся списке Целевая политика для. Щелкните Выбрать пользовательские приложения, чтобы выбрать пользовательские приложения для целевого назначения на основе идентификатора пакета. Вы не можете выбрать пользовательское приложение при выборе параметров Все приложения, Microsoft Apps или Core Microsoft Apps в одной политике.

    Выбранные приложения будут отображаться в списке общедоступных и настраиваемых приложений.

    Примечание.

    Общедоступные приложения поддерживаются приложениями корпорации Майкрософт и партнерами, которые обычно используются с Microsoft Intune. Эти Intune защищенные приложения включены с широким набором поддержки политик защиты мобильных приложений. Дополнительные сведения см. в разделе Microsoft Intune защищенных приложений. Пользовательские приложения — это бизнес-приложения, интегрированные с пакетом SDK для Intune или упакованные Intune App Wrapping Tool. Дополнительные сведения см. в Microsoft Intune Обзор пакета SDKдля приложений и Подготовка бизнес-приложений для политик защиты приложений.

  2. Нажмите кнопку Далее , чтобы отобразить страницу Защита данных .
    На этой странице представлены параметры элементов управления защитой от потери данных (DLP), включая ограничения на такие действия, как «вырезать», «копировать», «вставить» и «сохранить как». Эти параметры определяют порядок работы пользователей с данными в приложениях, к которым применяется политика защиты приложений.

    Параметры защиты данных:

  3. Нажмите кнопку Далее , чтобы открыть страницу Требования к доступу .
    На этой странице представлены параметры, позволяющие настроить ПИН-код и требования к учетным данным, которым должны соответствовать пользователи для доступа к приложениям в рабочих целях.

    Параметры требований к доступу:

  4. Нажмите кнопку Далее , чтобы отобразить страницу условного запуска .
    На этой странице представлены параметры для установки требований безопасности входа в систему для политики защиты приложения. Нажмите Параметр и введите Значение, которому пользователи должны соответствовать, чтобы войти в корпоративное приложение. Затем выберите действие , которое нужно выполнить, если пользователи не соответствуют вашим требованиям. В некоторых случаях для одного параметра можно настроить несколько действий.

    Параметры условного запуска:

  5. Нажмите кнопку Далее, чтобы показать страницу Назначения.
    Страница Назначения позволяет назначить политику защиты приложений группам пользователей. Чтобы политика вступила в силу, необходимо применить политику к группе пользователей.

  6. Нажмите кнопку Далее: Просмотр и создание , чтобы просмотреть значения и параметры, введенные для этой политики защиты приложений.

  7. По завершении нажмите кнопку Создать, чтобы создать политику защиты приложений в Intune.

    Совет

    Эти параметры политики применяются только при использовании приложений в рабочем контексте. Когда конечные пользователи используют приложение для выполнения личной задачи, на них не влияют эти политики. Обратите внимание, что при создании нового файла он считается личным файлом.

    Важно!

    Применение политик защиты приложений к существующим устройствам может занять время. При применении политики защиты приложений конечные пользователи увидят уведомление на устройстве. Применяйте политики защиты приложений к устройствам, прежде чем применять правила условного доступа.

Пользователи могут скачать приложения из App Store или Google Play. Дополнительные сведения см. в разделе:

Изменение существующих политик

Вы можете изменить существующую политику и применить ее к целевым пользователям. Дополнительные сведения о сроках доставки политики см. в статье Общие сведения о сроках доставки политики защиты приложений.

Изменение списка приложений, связанных с политикой

  1. В области политики защита приложений выберите политику, которую нужно изменить.

  2. В области защита приложений Intune выберите Свойства.

  3. Рядом с разделом Приложения выберите Изменить.

  4. На странице Приложения можно выбрать приложения, которые должны быть целевыми для этой политики. Необходимо добавить не менее одного приложения.

    Значение/параметр Описание
    Общедоступные приложения В раскрывающемся списке Целевая политика для выберите для политики защиты приложений все общедоступные приложения, Microsoft Apps или Core Microsoft Apps. Затем можно выбрать Просмотр списка приложений, которые будут целевыми , чтобы просмотреть список приложений, на которые будет влиять эта политика.

    При необходимости можно выбрать назначение отдельных приложений, щелкнув Выбрать общедоступные приложения.

    Пользовательские приложения Щелкните Выбрать пользовательские приложения, чтобы выбрать пользовательские приложения для целевого назначения на основе идентификатора пакета.

    Выбранные приложения будут отображаться в списке общедоступных и настраиваемых приложений.

  5. Щелкните Проверить и создать , чтобы просмотреть приложения, выбранные для этой политики.

  6. По завершении нажмите кнопку Сохранить , чтобы обновить политику защиты приложений.

Изменение списка групп пользователей

  1. В области политики защита приложений выберите политику, которую нужно изменить.

  2. В области защита приложений Intune выберите Свойства.

  3. Рядом с разделом "Назначения" выберите Изменить.

  4. Чтобы добавить новую группу пользователей в политику, на вкладке Включить выберите Выберите группы для включения и выберите группу пользователей. Нажмите кнопку Выбрать , чтобы добавить группу.

  5. Чтобы исключить группу пользователей, на вкладке Исключить выберите Выберите группы для исключения и выберите группу пользователей. Выберите Выбрать , чтобы удалить группу пользователей.

  6. Чтобы удалить группы, которые были добавлены ранее, на вкладках Включить или Исключить выберите многоточие (...) и нажмите кнопку Удалить.

  7. Щелкните Проверить и создать , чтобы просмотреть группы пользователей, выбранные для этой политики.

  8. Когда изменения в назначения будут готовы, нажмите кнопку Сохранить , чтобы сохранить конфигурацию и развернуть политику для нового набора пользователей. Если нажать кнопку Отмена перед сохранением конфигурации, все изменения, внесенные на вкладки Включить и Исключить , будут отменены.

Изменение параметров политики

  1. В области политики защита приложений выберите политику, которую нужно изменить.

  2. В области защита приложений Intune выберите Свойства.

  3. Рядом с разделом, соответствующим параметрам, которые вы хотите изменить, выберите Изменить. Затем измените параметры на новые значения.

  4. Нажмите кнопку Проверить и создать , чтобы просмотреть обновленные параметры для этой политики.

  5. Выберите Сохранить , чтобы сохранить изменения. Повторите процесс, чтобы выбрать область параметров, а затем изменить, а затем сохранить изменения, пока все изменения не будут завершены. Затем можно закрыть Intune область "Защита приложений — свойства".

Целевые политики защиты приложений на основе состояния управления устройствами

Во многих организациях пользователи часто могут использовать как Intune устройства, управляемые мобильными Управление устройствами (MDM), например корпоративные устройства, так и неуправляемые устройства, защищенные только Intune политиками защиты приложений. Неуправляемые устройства часто называются переносом собственных устройств (BYOD).

Так как Intune политики защиты приложений предназначены для удостоверения пользователя, параметры защиты для пользователя могут применяться как к зарегистрированным (управляемым MDM), так и к незарегистрируемым устройствам (без MDM). Таким образом, вы можете настроить политику защиты приложений Intune для Intune зарегистрированных или незарегистрированных устройств iOS/iPadOS и Android с помощью фильтров. Дополнительные сведения о создании фильтров см. в статье Использование фильтров при назначении политик . Вы можете использовать одну политику защиты для неуправляемых устройств, в которой применяются строгие элементы управления защитой от потери данных (DLP), и отдельную политику защиты для устройств, управляемых MDM, где элементы управления DLP могут быть немного более спокойными. Дополнительные сведения о том, как это работает на личных устройствах Android Enterprise, см. в разделе политики и рабочие профили защита приложений.

Чтобы использовать эти фильтры при назначении политик, перейдите к разделу Приложения>защита приложений политики в Центре администрирования Intune, а затем выберите Создать политику. Вы также можете изменить существующую политику защиты приложений. Перейдите на страницу Назначения и выберите Изменить фильтр , чтобы включить или исключить фильтры для назначенной группы.

Типы Управление устройствами

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

  • Неуправляемые. Для устройств iOS/iPadOS неуправляемые устройства — это любые устройства, на которых ни Intune управления MDM, либо стороннее решение MDM/EMM не передает IntuneMAMUPN ключ. Для устройств Android неуправляемые устройства — это устройства, на которых не обнаружено Intune управления MDM. Сюда входят устройства, управляемые сторонними поставщиками MDM.
  • Intune управляемые устройства. Управляемые устройства управляются Intune MDM.
  • Администратор устройств Android: Intune управляемых устройств с помощью API администрирования устройств Android.
  • Android Enterprise: устройства, управляемые Intune с помощью рабочих профилей Android Enterprise или Android Enterprise Full Управление устройствами.
  • Корпоративные выделенные устройства Android Enterprise с режимом общего устройства Microsoft Entra: Intune управляемые устройства с помощью выделенных устройств Android Enterprise в режиме общего устройства.
  • Устройства Android (AOSP), связанные с пользователем: Intune управляемые устройства с помощью управления, связанного с пользователем AOSP.
  • Устройства Android (AOSP) без пользователей: устройства, управляемые Intune с помощью устройств без пользователей AOSP. Эти устройства также используют Microsoft Entra режиме общего устройства.

На устройствах Android будет предложено установить приложение Корпоративный портал Intune независимо от того, какой тип Управление устройствами выбран. Например, если выбрать "Android Enterprise", пользователям с неуправляемыми устройствами Android по-прежнему будет предложено.

Для iOS/iPadOS для принудительного применения типа Управление устройствами для Intune управляемых устройств требуются дополнительные параметры конфигурации приложений. Эти параметры взаимодействуют со службой APP (политика защиты приложений), чтобы указать, что приложение управляется. Таким образом, параметры приложения не будут применяться до тех пор, пока вы не развернете политику конфигурации приложения. Ниже приведены параметры конфигурации приложения.

Важно!

Начиная с выпуска службы Intune за сентябрь (2409 г.), значения конфигурации приложений IntuneMAMUPN, IntuneMAMOID и IntuneMAMDeviceID будут автоматически отправляться в управляемые приложения на Intune зарегистрированных устройствах iOS для следующих приложений: Microsoft Excel, Microsoft Outlook, Microsoft PowerPoint, Microsoft Teams и Microsoft Word. Intune продолжит расширять этот список, включив в него дополнительные управляемые приложения.

Если эти значения настроены неправильно для устройств iOS, существует вероятность того, что политика не будет доставлена в приложение или будет доставлена неправильная политика. Дополнительные сведения см. в разделе Совет по поддержке: Intune пользователи MAM на устройствах без пользователей iOS/iPadOS могут быть заблокированы в редких случаях.

Параметры политики

Чтобы просмотреть полный список параметров политики для iOS/iPadOS и Android, выберите одну из следующих ссылок:

Дальнейшие действия

Мониторинг соответствия требованиям и состояния пользователя

См. также