Поделиться через


Параметры политик для защиты приложений в iOS

В этой статье описываются параметры политики защиты приложений на устройствах iOS/iPadOS. Эти параметры можно настроить при создании новой политики в области Параметры на портале.

Существует три категории параметров политики: перемещение данных, требования доступа и условный запуск. В этой статье термин приложения, управляемые политикой , относится к приложениям, настроенным с помощью политик защиты приложений.

Важно!

Intune Managed Browser больше не поддерживается. Используйте Microsoft Edge для взаимодействия с защищенным браузером в Intune.

Защита данных

Важно!

Для приложений, обновленных до версии 19.7.6 или более поздней версии для Xcode 15 и версии 20.2.1 или более поздней версии для Xcode 16 пакета SDK, блок захвата экрана будет применен, если вы настроили параметр Отправить данные организации в другие приложения значение, отличное от "Все приложения". Вы можете настроить параметр политики конфигурации приложений "com.microsoft.intune.mam.screencapturecontrol = Disabled", если вы хотите разрешить захват экрана для устройств iOS.

Передача данных

Setting Применение Значение по умолчанию
Резервное копирование данных организации в iTunes и iCloud Выберите Блокировать, чтобы запретить этому приложению выполнять резервное копирование рабочих или учебных данных в iTunes и iCloud. Выберите Разрешить, чтобы разрешить этому приложению выполнять резервное копирование рабочих или учебных данных в iTunes и iCloud. Allow
Отправлять данные организации в другие приложения Укажите, какие приложения могут получать данные от этого приложения:
  • Все приложения: разрешить передачу в любое приложение. Принимающее приложение будет иметь возможность читать и изменять данные.
  • Нет. Не разрешайте передачу данных в любое приложение, включая другие приложения, управляемые политикой. Если пользователь выполняет управляемую функцию "Открыть в" и передает документ, то данные будут зашифрованы и нечитаемы.
  • Приложения, управляемые политикой: разрешить передачу только в другие приложения, управляемые политикой.

    Примечание.Пользователи могут передавать содержимое с помощью расширений Open-in или Share в неуправляемые приложения на незарегистрированных устройствах или зарегистрированных устройствах, которые разрешают общий доступ к неуправляемым приложениям. Передаваемые данные шифруются Intune и нечитаемые неуправляемыми приложениями.

  • Приложения, управляемые политикой, с общим доступом к ОС: разрешить передачу данных только в другие приложения, управляемые политикой, а также передачу файлов в другие приложения, управляемые MDM, на зарегистрированных устройствах.

    Примечание.Управляемые политикой приложения с общим доступом к ОС применимы только к зарегистрированным устройствам MDM. Если этот параметр предназначен для пользователя на незарегистрированном устройстве, применяется поведение значения приложений, управляемых политикой. Пользователи смогут передавать незашифрованное содержимое с помощью расширений "Открыть в" или "Общий доступ" в любое приложение, разрешенное параметром allowOpenFromManagedtoUnmanaged, при условии, что в отправляющем приложении настроены IntuneMAMUPN и IntuneMAMOID; Дополнительные сведения см. в статье Управление передачей данных между приложениями iOS в Microsoft Intune. Дополнительные сведения об этом параметре MDM для iOS/iPadOS смhttps://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf. в этой статье.

  • Приложения, управляемые политикой, с фильтром "Открыть в/Общий доступ": разрешить передачу данных только в другие приложения, управляемые политикой, и фильтровать диалоговые окна "Открыть в/Общий доступ" для отображения только приложений, управляемых политикой. Чтобы настроить фильтрацию в диалоговом окне Открыть в/Общий доступ, требуется, чтобы оба приложения, выступающие в качестве источника и приемника файла или документа, использовали пакет SDK Intune для iOS версии 8.1.1 или более поздней.

    Примечание.Пользователи могут передавать содержимое с помощью расширений Open-in или Share в неуправляемые приложения, если приложение поддерживает Intune частный тип данных. Передаваемые данные шифруются Intune и нечитаемые неуправляемыми приложениями.


Поиск в центре внимания (включает поиск данных в приложениях) и сочетания клавиш Siri блокируются, если не задано значение Все приложения.

Эту политику также можно применять к универсальным ссылкам iOS/iPadOS. Общие веб-ссылки управляются параметром политики Открывать ссылки из приложений в Intune Managed Browser.

Среди приложений и служб существует несколько исключений, в которых Intune может разрешить передачу данных по умолчанию. Кроме того, вы можете создавать собственные исключения, если хотите разрешить передачу данных в приложение, не поддерживающее Intune. Дополнительные сведения см. в статье Исключения передачи данных.

Все приложения
    Выбрать исключаемые приложения
Этот параметр доступен, если для предыдущего параметра выбрано значение Приложения, управляемые политикой.
    Выбрать универсальные ссылки для исключения
Укажите, какие универсальные ссылки iOS/iPadOS должны открываться в указанном неуправляемом приложении, а не в защищенном браузере, указанном в параметре Ограничить обмен веб-содержимым с другими приложениями. Необходимо связаться с разработчиком приложений, чтобы определить правильный универсальный формат ссылок для каждого приложения.
    Выбрать управляемые универсальные ссылки
Укажите, какие универсальные ссылки iOS/iPadOS должны открываться в указанном управляемом приложении, а не в защищенном браузере, указанном в параметре Ограничить обмен веб-содержимым с другими приложениями. Необходимо связаться с разработчиком приложений, чтобы определить правильный универсальный формат ссылок для каждого приложения.
    Сохранять копии данных организации
Выберите Блокировать, чтобы отключить возможность выбора команды "Сохранить как" в этом приложении. Выберите Разрешить, если хотите разрешить использование команды Сохранить как. Если выбрано значение Блокировать, можно настроить параметр Разрешить пользователю сохранять копии в выбранных службах.

Примечание.
  • Этот параметр поддерживается для Microsoft Excel, OneNote, Outlook, PowerPoint, Word и Microsoft Edge. Он также может поддерживаться сторонними и бизнес-приложениями.
  • Этот параметр можно настроить, только если для параметра Отправлять данные организации в другие приложения задано значение Приложения, управляемые политикой, Приложения, управляемые политикой, с общим доступом к ОС или Приложения, управляемые политикой, с фильтрацией "Открыть в"/"Поделиться".
  • Этот параметр будет иметь значение "Разрешить", если для параметра Отправка данных организации в другие приложения задано значение Все приложения.
  • Этот параметр будет иметь значение "Блокировать" без разрешенных расположений служб, если для параметра Отправка данных организации в другие приложения задано значение Нет.
Allow
      Разрешить пользователю сохранять копии в выбранных службах
Пользователи могут сохранять данные в выбранных службах (OneDrive для бизнеса, SharePoint, библиотека фотографий и локальное хранилище). Все остальные службы блокируются. OneDrive для бизнеса: вы можете сохранять файлы в OneDrive для бизнеса и SharePoint Online. SharePoint: вы можете сохранять файлы в локальной среде SharePoint. Библиотека фотографий: вы можете сохранять файлы в библиотеке фотографий локально. Локальное хранилище: управляемые приложения могут сохранять копии данных организации локально. Это НЕ включает сохранение файлов в локальные неуправляемые расположения, такие как приложение "Файлы" на устройстве. Выбрано: 0
    Transfer telecommunication data to (Перенос телекоммуникационных данных в)
Как правило, когда пользователь выбирает гиперссылку с номером телефона в приложении, открывается набиратель номера с предварительно заполненным номером, готовый к вызову. С помощью этого параметра можно указать способ обработки такой передачи содержимого, когда она запускается из управляемого политикой приложения.
  • Нет, не передавайте эти данные между приложениями. Не передавать данные связи при обнаружении номера телефона.
  • Определенное приложение для набора номера. Разрешите определенному управляемому приложению абонента инициировать контакт при обнаружении номера телефона.
  • Любое приложение для набора номера. Разрешите использовать любое управляемое приложение абонента для инициирования контакта при обнаружении номера телефона.

Примечание.Этот параметр требует Intune пакета SDK 12.7.0 и более поздних версий. Если ваши приложения используют функции абонентского номера и не используют правильную версию пакета SDK для Intune, в качестве обходного решения рекомендуется добавить "tel; telprompt" в качестве исключения для передачи данных. После того как приложения поддерживают правильную версию пакета SDK для Intune, исключение можно удалить.

Любое приложение для набора номера
      Схема URL-адресов приложения для набора номера
Если выбрано конкретное приложение набирателя номера, необходимо указать его схему URL-адресов, которая будет использоваться для запуска этого приложения на устройствах iOS. Дополнительные сведения см. в документации Apple о телефонных ссылках. Blank
    Передача данных сообщений в
Как правило, когда пользователь выбирает гиперссылку на ссылку для обмена сообщениями в приложении, откроется приложение для обмена сообщениями с номером телефона, предварительно заполненным и готовым к отправке. Для этого параметра выберите, как обрабатывать этот тип передачи содержимого, когда он инициируется из приложения, управляемого политикой. Чтобы этот параметр мог действовать, могут потребоваться дополнительные действия. Сначала убедитесь, что sms удалено из списка Выбор приложений для исключения. Затем убедитесь, что приложение использует более новую версию пакета SDK для Intune (версия > 19.0.0). С помощью этого параметра можно указать способ обработки такой передачи содержимого, когда она запускается из управляемого политикой приложения.
  • Нет, не передавайте эти данные между приложениями. Не передавать данные связи при обнаружении номера телефона.
  • Определенное приложение для обмена сообщениями. Разрешите определенному управляемому приложению для обмена сообщениями инициировать контакт при обнаружении номера телефона.
  • Любое приложение для обмена сообщениями. Разрешите использовать любое управляемое приложение для обмена сообщениями для инициирования контакта при обнаружении номера телефона.

Примечание. Этот параметр требует Intune пакета SDK 19.0.0 и более поздних версий.

Любое приложение для обмена сообщениями
      Схема URL-адреса приложения для обмена сообщениями
Если выбрано определенное приложение для обмена сообщениями, необходимо указать схему URL-адреса приложения для обмена сообщениями, которая используется для запуска приложения для обмена сообщениями на устройствах iOS. Дополнительные сведения см. в документации Apple о телефонных ссылках. Blank
Получать данные из других приложений Укажите, какие приложения могут передавать данные в это приложение:
  • Все приложения: разрешить передачу данных из любого приложения.
  • Нет. Не разрешайте передачу данных из любого приложения, включая другие приложения, управляемые политикой.
  • Приложения, управляемые политикой: разрешить передачу только из других приложений, управляемых политикой.
  • Все приложения с входящими данными организации: разрешить передачу данных из любого приложения. Считайте все входящие данные без удостоверения пользователя данными из вашей организации. Данные будут помечены удостоверением пользователя, зарегистрированным в MDM, в соответствии с параметром IntuneMAMUPN.

    Примечание.Все приложения со значением входящих данных организации применимы только к зарегистрированным устройствам MDM. Если этот параметр предназначен для пользователя на незарегистрированном устройстве, применяется поведение значения "Любые приложения".

Если для этого параметра задано значение Нет или Приложения, управляемые политикой, приложения с поддержкой множественной идентификации MAM будут пытаться переключиться на неуправляемую учетную запись при получении неуправляемых данных. Если неуправляемая учетная запись не вошел в приложение или приложение не может переключиться, входящие данные будут заблокированы.

Все приложения
    Открывать данные в документах организации
Выберите Блокировать, чтобы отключить использование параметра Открыть или других параметров для обмена данными между учетными записями в этом приложении. Выберите Разрешить, если хотите разрешить использование параметра Открыть.

Если задано значение Блокировать , можно настроить параметр Разрешить пользователю открывать данные из выбранных служб , чтобы указать, какие службы разрешены для расположений данных организации.

Примечание.
  • Этот параметр можно настроить, только если для параметра Получать данные из других приложений установлено значение Приложения, управляемые политикой.
  • Этот параметр будет иметь значение "Разрешить", если для параметра Получение данных из других приложений задано значение Все приложения или Все приложения с входящими данными организации.
  • Этот параметр будет иметь значение "Заблокировать" без допустимых расположений служб, если для параметра Получать данные из других приложений установлено значение Нет.
  • Этот параметр поддерживают следующие приложения.
    • OneDrive 11.45.3 или более поздней версии.
    • Outlook для iOS 4.60.0 или более поздней версии.
    • Teams для iOS 3.17.0 или более поздней версии.
Allow
      Разрешить пользователям открывать данные из выбранных служб
Выберите службы хранилища приложений, из которых пользователи могут открывать данные. Все остальные службы блокируются. Если вы не выберете службы, пользователи не смогут открывать данные во внешних расположениях.
Заметка: Этот элемент управления предназначен для работы с данными, которые находятся за пределами корпоративного контейнера.

Поддерживаемые службы:
  • OneDrive для бизнеса
  • SharePoint Online
  • Камера
  • Библиотека фотографий
Заметка: Камера не включает доступ "Фотографии" или "Фотоальбом". Выбрав Библиотеку фотографий в параметре Разрешить пользователям открывать данные из выбранных служб в Intune, вы можете разрешить управляемым учетным записям входящие данные из библиотеки фотографий устройства в управляемые приложения.
Все выбранные
Ограничить вырезание, копирование и вставку данных между приложениями Укажите, когда можно использовать операции вырезания, копирования и вставки для этого приложения. Выберите один из следующий вариантов.
  • Заблокировано. Не разрешайте действия вырезать, копировать и вставлять между этим приложением и любым другим приложением.
  • Приложения, управляемые политикой: операции вырезания, копирования и вставки разрешены только между этим и другими приложениями, управляемыми политикой.
  • Приложения, управляемые политикой, с добавлением из буфера: разрешить операции вырезания и копирования между этим и другими приложениями, управляемыми политикой. Разрешить вставку данных из любого приложения в это приложение.
  • Любое приложение: не ограничивать операции вырезания, копирования и вставки данных в это приложение и из него.
Любое приложение
    Ограничение на количество символов для копирования и вставки в любом приложении
Укажите количество символов для копирования и вырезания из данных и учетных записей организации. Указанное количество символов будет общим для любого приложения независимо от параметра Ограничить операции "вырезать", "копировать" и "вставить" с другими приложениями.

Значение по умолчанию — 0

Примечание. Приложение должно иметь пакет SDK для Intune версии 9.0.14 или более поздней.

0
Сторонние клавиатуры Выберите Блокировать, чтобы предотвратить использование сторонних клавиатур в управляемых приложениях.

Если этот параметр включен, пользователь получает один раз сообщение о том, что использование сторонних клавиатур заблокировано. Это сообщение появляется в первый раз, когда пользователь взаимодействует с данными организации, которые требуют использования клавиатуры. При использовании управляемых приложений доступна только стандартная клавиатура iOS/iPadOS, а все остальные клавиатуры отключаются. Этот параметр повлияет на корпоративные и личные учетные записи приложений с несколькими удостоверениями. Этот параметр не влияет на использование сторонних клавиатур в неуправляемых приложениях.

Примечание. Для этой функции требуется, чтобы приложение использовало пакет SDK Intune версии 12.0.16 или более поздней версии. В приложениях с версиями пакета SDK от 8.0.14 до 12.0.15 и в том числе эта функция не будет правильно применяться к приложениям с несколькими удостоверениями. Дополнительные сведения см. в статье Известная проблема: сторонние клавиатуры не блокируются в iOS/iPadOS для личных учетных записей.

Allow

Примечание.

Для управляемых устройств требуется политика защиты приложений с IntuneMAMUPN. Это относится к любому параметру, которому также требуются зарегистрированные устройства.

Шифрование

Setting Применение Значение по умолчанию
Шифрование данных организации Выберите "Требуется", чтобы включить шифрование рабочих или учебных данных в этом приложении. Intune применяет шифрование на уровне устройства iOS/iPadOS для защиты данных приложения, пока устройство заблокировано. Кроме того, при необходимости приложения могут шифровать свои данные с помощью шифрования пакета SDK Intune APP. Пакет SDK для приложений Intune использует методы шифрования iOS/iPadOS для применения 256-разрядного шифрования AES к данным приложения.

Если этот параметр включен, пользователю может потребоваться настроить ПИН-код устройства и использовать его для доступа к устройству. Если ПИН-код отсутствует и требуется шифрование, после вывода сообщения "Ваша организация требует, чтобы вы сначала настроили ПИН-код для доступа к этому приложению" пользователю будет предложено задать ПИН-код.

Ознакомьтесь с официальной документацией Apple , чтобы узнать больше о классах защиты данных в рамках безопасности платформы Apple.
Обязательность

функциональность.

Setting Применение Значение по умолчанию
Синхронизация данных в собственных и управляемых политикой приложениях или надстройках Выберите Блокировать, чтобы запретить приложениям, управляемым политикой, сохранять данные в собственных приложениях устройства (контакты, календарь и мини-приложения), а также запретить использование надстроек в приложениях, управляемых политикой. Если приложение не поддерживает, сохранение данных в собственных приложениях и использование надстроек будет разрешено.

Если выбран параметр "Разрешить", управляемое политикой приложение может сохранять данные в собственных приложениях или использовать надстройки, если эти функции поддерживаются и включены в управляемом политикой приложении.

Приложения могут предоставлять дополнительные элементы управления для настройки поведения синхронизации данных для конкретных собственных приложений или не учитывать этот элемент управления.

Примечание. При выборочной очистке для удаления рабочих или учебных данных из приложения данные, синхронизируемые непосредственно из приложения, управляемого политикой, удаляются. Все данные, синхронизированные из собственного приложения с другим внешним источником, не будут очищаться.

Примечание. Следующие приложения поддерживают эту функцию:
Allow
Печать данных организации Выберите Блокировать, чтобы запретить приложению распечатывать рабочие или учебные данные. Если для этого параметра оставить заданное по умолчанию значение Разрешить, пользователи смогут экспортировать и печатать все данные организации. Allow
Ограничить обмен веб-содержимым с другими приложениями Укажите способ открытия веб-содержимого (ссылок http/https) из приложений, управляемых политиками. Варианты:
  • Любое приложение: разрешить веб-ссылки в любом приложении.
  • Intune Managed Browser: разрешить открывать веб-содержимое только в Intune Managed Browser. Этот браузер является браузером, управляемым политикой.
  • Microsoft Edge: разрешить открывать веб-содержимое только в Microsoft Edge. Этот браузер является браузером, управляемым политикой.
  • Неуправляемый браузер. Разрешите открывать веб-содержимое только в неуправляемом браузере, указанном с помощью параметра Протокол неуправляемого браузера. Веб-содержимое в целевом браузере будет неуправляемым.
    Приложение. Приложение должно иметь пакет SDK для Intune версии 11.0.9 или более поздней.
Если вы используете Intune для управления устройствами, см. статью Управление доступом в Интернет с помощью политик управляемого браузера в Microsoft Intune.

Если браузер, управляемый политикой, требуется, но не установлен, пользователям будет предложено установить Microsoft Edge.

Если требуется браузер, управляемый политикой, универсальные ссылки iOS/iPadOS управляются параметром политики Отправка данных организации в другие приложения .

Регистрация устройств в Intune
Если вы используете Intune для управления устройствами, см. статью "Управление доступом в Интернет с помощью политик управляемого браузера в Microsoft Intune".

Браузер Microsoft Edge, управляемый политикой
Браузер Microsoft Edge для мобильных устройств (iOS/iPadOS и Android) поддерживает политики защиты приложений Intune. Пользователи, которые выполняют вход с помощью корпоративных Microsoft Entra учетных записей в браузерном приложении Microsoft Edge, будут защищены Intune. Браузер Microsoft Edge интегрируется с пакетом SDK для Intune и поддерживает все его политики защиты данных, кроме следующих.

  • Сохранить как. Браузер Microsoft Edge не позволяет пользователю добавлять прямые подключения из приложения к поставщикам облачных хранилищ (например, OneDrive).
  • Синхронизация контактов. Браузер Microsoft Edge не сохраняет данные в собственных списках контактов.

Примечание. Пакет SDK для Intune не может определить, является ли целевое приложение браузером. На устройствах iOS и iPadOS использование других управляемых приложений браузера запрещено.
Не настроено
    Протокол неуправляемого браузера
Введите протокол для одного неуправляемого браузера. Веб-содержимое (по ссылкам http или https) из управляемых политиками приложений будет открываться в любой приложении, которое поддерживает этот протокол. Веб-содержимое в целевом браузере будет неуправляемым.

Эту функцию следует использовать только в том случае, если вы хотите предоставить общий доступ к защищенному содержимому в определенном браузере, который не включен с помощью политик защиты приложений Intune. Свяжитесь с поставщиком браузера, чтобы определить протокол, поддерживаемый необходимым браузером.

Примечание.Включите только префикс протокола. Если браузеру требуются ссылки в форме mybrowser://www.microsoft.com, введите mybrowser.
Ссылки будут переведены следующим образом:
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
Blank
Уведомления о данных организации Укажите способ передачи корпоративных данных через уведомления ОС для учетных записей организации. Этот параметр политики влияет на локальное устройство и все подключенные устройства, такие как переносные устройства и умные колонки. Приложения могут иметь дополнительные элементы управления для настройки поведения уведомлений или могут не учитывать все значения. Выберите один из следующий вариантов.
  • Заблокировано: не предоставлять общий доступ к уведомлениям.
    • Если приложение это не поддерживает, уведомления разрешаются.
  • Блокировать данные организации. Например, не делитесь данными организации в уведомлениях.
    • "У вас новое сообщение"; "У вас скоро встреча".
    • Если приложение это не поддерживает, уведомления разрешаются.
  • Разрешить: показывать в уведомлениях корпоративные данные.

Примечание.
Для этого параметра требуется поддержка следующих приложений:

  • Outlook для iOS 4.34.0 или более поздней версии
  • Teams для iOS 2.0.22 или более поздней версии
  • Microsoft 365 (Office) для iOS 2.72 или более поздней версии
Allow

Примечание.

Ни один из параметров защиты данных не управляет функцией открытия в режиме управления Apple на устройствах iOS/iPadOS. Для использования функции "Открыть с помощью" Apple см. раздел Управление передачей данных между приложениями iOS/iPadOS в Microsoft Intune.

Исключения передачи данных

Среди приложений и служб платформ существует несколько исключений, в которых политика защиты приложений Intune может в некоторых случаях разрешить передачу данных. Этот список может измениться. В нем представлены полезные службы и приложения для безопасной работы.

Сторонние неуправляемые приложения можно добавить в список исключений, чтобы разрешить передачу данных. Дополнительные сведения см. в разделе Как создать исключения для политики передачи данных решения "Защита приложений Intune" (APP). Разрешенные неуправляемые приложения должны вызываться по протоколу URL-адреса iOS. Например, если для неуправляемого приложения добавляется исключение для передачи данных, пользователи не смогут выполнять операции вырезания, копирования и вставки, если это ограничено политикой. Этот тип исключения также по-прежнему не позволит пользователям использовать действие Open-in в управляемом приложении для совместного использования или сохранения данных для исключения приложения, так как оно не основано на протоколе URL-адреса iOS. Дополнительные сведения о действии Открыть в см. в разделе Использование защиты приложений для приложений iOS.

Имя (имена) службы или приложения Описание
skype Skype
app-settings Параметры устройства
itms; itmss; itms-apps; itms-appss; itms-services Магазин App Store
calshow Встроенный календарь

Важно!

Политики защиты приложений, созданные до 15 июня 2020 года, включают схему URL-адресов tel и telprompt в рамах исключений при передаче данных по умолчанию. Эти схемы URL-адресов позволяют управляемым приложениям инициировать набиратель номера. Эту функцию заменил параметр политики защиты приложений Перенос телекоммуникационных данных в. Администраторы должны удалить tel;telprompt; из исключений при передаче данных и использовать этот параметр политики защиты приложений, при условии, что управляемые приложения, инициирующие набиратель номера, включают пакет SDK для Intune 12.7.0 или более поздней версии.

Важно!

В пакете SDK Intune 14.5.0 или более поздней версии включение схем URL-адресов sms и mailto в исключениях при переносе данных также разрешает совместное использование данных организации с контроллерами представления MFMessageCompose (для sms) и MFMailCompose (для mailto) в приложениях, управляемых политикой.

Универсальные ссылки позволяют пользователю напрямую запускать приложение, связанное со ссылкой, вместо защищенного браузера, указанного в параметре Ограничить обмен веб-содержимым с другими приложениями. Необходимо связаться с разработчиком приложений, чтобы определить правильный универсальный формат ссылок для каждого приложения.

Ссылки на клип приложения по умолчанию также управляются универсальной политикой ссылок.

Добавив универсальные ссылки в неуправляемые приложения, можно запустить указанное приложение. Чтобы добавить приложение, необходимо добавить ссылку в список исключений.

Предостережение

Целевые приложения для этих универсальных ссылок неуправляемы, и добавление исключения может привести к утечке данных.

Исключения для универсальных ссылок для приложений по умолчанию:

Универсальная ссылка приложения Описание
http://maps.apple.com; https://maps.apple.com Приложение "Карты"
http://facetime.apple.com; https://facetime.apple.com Приложение FaceTime

Если вы не хотите разрешать исключения для универсальных ссылок по умолчанию, их можно удалить. Можно также добавить универсальные ссылки для сторонних приложений или бизнес-приложений. Исключения для универсальных ссылок позволяют использовать подстановочные знаки, такие как http://*.sharepoint-df.com/*.

Добавив универсальные ссылки в управляемые приложения, можно безопасно запустить указанное приложение. Чтобы добавить приложение, необходимо добавить универсальную ссылку приложения в управляемый список. Если целевое приложение поддерживает Intune политику защиты приложений, при выборе ссылки будет предпринята попытка запустить приложение. Если приложение не может открыться, ссылка открывается в защищенном браузере. Если целевое приложение не интегрирует пакет SDK для Intune, при выборе ссылки запустится защищенный браузер.

По умолчанию используются следующие управляемые универсальные ссылки:

Универсальная ссылка для управляемого приложения Описание
http://*.onedrive.com/*; https://*.onedrive.com/*; OneDrive
http://*.appsplatform.us/*; http://*.powerapps.cn/*; http://*.powerapps.com/*; http://*.powerapps.us/*; https://*.powerbi.com/*; https://app.powerbi.cn/*; https://app.powerbigov.us/*; https://app.powerbi.de/*; PowerApps
http://*.powerbi.com/*; http://app.powerbi.cn/*; http://app.powerbigov.us/*; http://app.powerbi.de/*; https://*.appsplatform.us/*; https://*.powerapps.cn/*; https://*.powerapps.com/*; https://*.powerapps.us/*; Power BI
http://*.service-now.com/*; https://*.service-now.com/*; ServiceNow
http://*.sharepoint.com/*; http://*.sharepoint-df.com/*; https://*.sharepoint.com/*; https://*.sharepoint-df.com/*; SharePoint
http://web.microsoftstream.com/video/*; http://msit.microsoftstream.com/video/*; https://web.microsoftstream.com/video/*; https://msit.microsoftstream.com/video/*; Поток
http://*teams.microsoft.com/l/*; http://*devspaces.skype.com/l/*; http://*teams.live.com/l/*; http://*collab.apps.mil/l/*; http://*teams.microsoft.us/l/*; http://*teams-fl.microsoft.com/l/*; https://*teams.microsoft.com/l/*; https://*devspaces.skype.com/l/*; https://*teams.live.com/l/*; https://*collab.apps.mil/l/*; https://*teams.microsoft.us/l/*; https://*teams-fl.microsoft.com/l/*; Teams
http://tasks.office.com/*; https://tasks.office.com/*; http://to-do.microsoft.com/sharing*; https://to-do.microsoft.com/sharing*; Список задач
http://*.yammer.com/*; https://*.yammer.com/*; Viva Engage
http://*.zoom.us/*; https://*.zoom.us/*; Масштабирование

Если вы не хотите разрешать использование управляемых универсальных ссылок по умолчанию, их можно удалить. Можно также добавить универсальные ссылки для сторонних приложений или бизнес-приложений.

Требования к доступу

Setting Применение Значение по умолчанию
ПИН-код для доступа Выберите Требуется, чтобы для использования этого приложения требовалось вводить ПИН-код. Пользователю предлагается настроить ПИН-код при первом запуске приложения в рабочем или учебном контексте. ПИН-код применяется при работе как в сети, так и автономно.

Вы можете настроить надежность PIN-кода, используя параметры, доступные в разделе ПИН-код для доступа.

Заметка: Пользователи, которым разрешен доступ к приложению, могут сбросить ПИН-код приложения. В некоторых случаях этот параметр может не отображаться на устройствах iOS. Устройства iOS имеют максимальное ограничение в четыре доступных сочетания клавиш. Чтобы просмотреть ярлык для сброса ПИН-кода приложения, пользователю может потребоваться доступ к ярлыку из другого управляемого приложения.
Обязательность
    Тип ПИН-кода
Укажите тип ПИН-кода (цифровой или секретный код), который необходимо ввести для доступа к приложению с примененными политиками защиты. Цифровой ПИН-код состоит только из цифр, а секретный код должен включать в себя по крайней мере одну букву или специальный символ.

Примечание.Чтобы настроить тип секретного кода, требуется, чтобы приложение Intune sdk версии 7.1.12 или более поздней. Числовой тип не имеет ограничения версии пакета SDK для Intune. Разрешенные специальные символы включают специальные символы и символы на клавиатуре английского языка iOS/iPadOS.
Числовой
    Простой ПИН-код
Выберите Разрешить, чтобы разрешить пользователям применять простые ПИН-коды, например 1234, 1111, abcd или aaaa. Выберите Блокировать, чтобы запретить простые последовательности. Простые значения проверяются с помощью скользящих окон размером в три символа. Если параметр Блокировать настроен, 1235 или 1112 не будут приниматься в качестве ПИН-кода, установленного конечным пользователем, но 1122 будет разрешено.

Примечание. Если настроен ПИН-код типа "Секретный код", а параметр "Разрешить простой ПИН-код" имеет значение "Да", в ПИН-коде должна быть по крайней мере одна буква или один специальный знак. Если настроен ПИН-код типа пароля, а для параметра Разрешить простой ПИН задано значение Нет, пользователю потребуется как минимум 1 цифра и 1 буква и как минимум 1 специальный знак в своем ПИН-коде.
Allow
    Выбрать минимальную длину ПИН-кода
Укажите минимальное число цифр в ПИН-коде. 4
    Touch ID вместо ПИН-кода для доступа (iOS 8+)
Выберите Разрешить, чтобы разрешить использовать Touch ID вместо ПИН-кода для доступа к приложению. Allow
      Переопределить Touch ID ПИН-кодом после времени ожидания
Чтобы использовать этот параметр, выберите Требуется и настройте период бездействия. Обязательность
        Время ожидания (в минутах бездействия)
Укажите время в минутах, по истечении которого вместо отпечатка пальца или распознавания лиц потребуется использовать секретный код или числовой ПИН-код (в зависимости от настройки) в качестве метода доступа. Это значение должно быть больше, чем значение параметра "Перепроверять требования доступа через (минуты бездействия)". 30
      Face ID вместо ПИН-кода для доступа (iOS 11+)
Выберите Разрешить, чтобы разрешить пользователю использовать технологию распознавания лиц для прохождения проверки подлинности на устройствах iOS/iPadOS. Если разрешено, для доступа к приложению должна использоваться технология Face ID при условии, что она поддерживается устройством. Allow
    Смена ПИН-кода после количества дней
Выберите Да, чтобы пользователи должны были менять ПИН-код приложения через определенный период времени в днях.

Если выбрано значение Да, необходимо настроить количество дней, по истечении которого ПИН-код необходимо сменить.
Нет
      Количество дней
Настройте количество дней, по истечении которого ПИН-код необходимо сменить. 90
    ПИН-код приложения при задании ПИН-кода устройства
Выберите Отключить, чтобы отключать ПИН-код приложения при обнаружении блокировки устройства на зарегистрированном устройстве, где настроен Корпоративный портал.

Примечание.Требуется, чтобы приложение Intune sdk версии 7.0.1 или более поздней. Параметр IntuneMAMUPN необходимо настроить, чтобы приложения обнаруживли состояние регистрации.

На устройствах с iOS/iPadOS можно разрешить пользователю подтверждать свою личность, используя Touch ID или Face ID вместо ПИН-кода. Для проверки подлинности пользователей с помощью Touch ID и Face ID служба Intune использует API LocalAuthentication. Дополнительные сведения о Touch ID и Face ID см. в руководстве по безопасности iOS.

Когда пользователь пытается использовать это приложение с помощью своей рабочей или учебной учетной записи, ему будет предложено проверить отпечаток пальца или сканировать лицо вместо ввода ПИН-кода. Если этот параметр включен, при использовании рабочей учетной записи изображение предварительного просмотра для переключателя приложений будет размыто. Если в биометрической базе данных устройства есть какие-либо изменения, Intune запрашивает у пользователя ПИН-код при достижении следующего значения времени ожидания бездействия. Изменения биометрических данных включают добавление или удаление отпечатка пальца или лица для проверки подлинности. Если у пользователя Intune нет ПИН-кода, он должен настроить ПИН-код Intune.
Enable
Данные рабочей или учебной учетной записи для доступа Выберите Требуется, чтобы для доступа к приложению пользователь должен был выполнить вход с помощью своей рабочей или учебной учетной записи вместо ввода ПИН-кода. Если для этого параметра задано значение Требуется и включены биометрические запросы или ПИН-код, отображаются как учетные данные организации, так и биометрические запросы или ПИН-код. Не требуется
Перепроверять требования доступа через (минут бездействия) Настройте количество минут бездействия, которое должно пройти, прежде чем приложение запросит повторную проверку требований доступа.

Например, администратор включает ПИН-код и блокирует устройства с привилегированным доступом в политике, пользователь открывает приложение, управляемое Intune, должен ввести ПИН-код и должен использовать приложение на устройстве без корня. При использовании этого параметра пользователю не придется вводить ПИН-код или проходить другую проверка корневого обнаружения в любом управляемом Intune приложении в течение периода времени, равного заданному значению.

Примечание. В iOS/iPadOS ПИН-код используется для всех приложений, управляемых Intune одного издателя. Таймер ПИН-кода для определенного ПИН-кода сбрасывается после того, как приложение покидает передний план на устройстве. Пользователю не придется вводить ПИН-код в любом управляемом Intune приложении, которое предоставляет общий пин-код в течение времени ожидания, определенного в этом параметре. Этот формат параметров политики поддерживает целое положительное число.
30

Примечание.

Дополнительные сведения о параметрах защиты для приложений Intune, настраиваемых в разделе "Доступ" для набора приложений и пользователей, работающих с iOS/iPadOS, см. в разделах Вопросы и ответы по Intune MAM и Выборочная очистка данных с помощью действий доступа политики защиты приложений в Intune.

Условный запуск

Настройте параметры условного запуска, чтобы задать требования безопасности входа для вашей политики защиты доступа.

По умолчанию предоставляется несколько параметров с предварительно настроенными значениями и действиями. Можно удалить некоторые из них, например Мин. версия ОС. Вы также можете выбрать дополнительные параметры из раскрывающегося списка Выбрать один элемент.

Setting Применение
Максимальная версия ОС Укажите максимальную версию операционной системы iOS/iPadOS, необходимую для использования этого приложения.

Действия:

  • Предупредить — пользователь получит уведомление, если версия iOS/iPadOS на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ — пользователю будет запрещен доступ, если версия iOS/iPadOS на устройстве не соответствует требованиям.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.

Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот формат параметра политики поддерживает следующие форматы версий: major.minor, major.minor.build, major.minor.build.revision.

Примечание.Требуется, чтобы приложение Intune пакета SDK версии 14.4.0 или более поздней.
Минимальная версия ОС Укажите минимальную версию операционной системы iOS/iPadOS, необходимую для использования этого приложения.

Действия:

  • Предупредить — пользователь получит уведомление, если версия iOS/iPadOS на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ — пользователю будет запрещен доступ, если версия iOS/iPadOS на устройстве не соответствует требованиям.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот формат параметра политики поддерживает следующие форматы версий: major.minor, major.minor.build, major.minor.build.revision.

Примечание.Требуется, чтобы приложение Intune sdk версии 7.0.1 или более поздней.
Макс. попыток ввода ПИН-кода Укажите количество попыток, за которое пользователь должен успешно ввести свой ПИН-код до применения настроенного действия. Если пользователь не сможет ввести правильный ПИН-код за максимальное количество попыток, он должен сбросить ПИН-код, войдя в учетную запись и пройдя дополнительную многофакторную проверку подлинности (если потребуется). Этот формат параметра политики поддерживает положительное целое число.

Действия:

  • Сбросить ПИН-код — пользователь должен сбросить ПИН-код.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Значение по умолчанию — 5
Период отсрочки в автономном режиме Период, в течение которого приложения, управляемые политикой, могут выполняться автономно, в минутах. Укажите время (в минутах), по истечении которого выполняется повторная проверка требований доступа для приложения.

Действия:

  • Блокировать доступ (мин): период, в течение которого приложения, управляемые политикой, могут выполняться автономно, в минутах. Укажите время (в минутах), по истечении которого выполняется повторная проверка требований доступа для приложения. По истечении заданного периода приложение блокирует доступ к рабочим и учебным данным, пока доступ к сети не возобновится. Таймер автономного льготного периода для блокировки доступа к данным вычисляется отдельно для каждого приложения на основе последнего проверка в службе Intune. Этот формат параметра политики поддерживает положительное целое число.

    Значение по умолчанию — 1440 минут (24 часа)

    Заметка: Настройка таймера автономного льготного периода для блокировки доступа меньше значения по умолчанию может привести к более частым прерываниям пользователей при обновлении политики. Выбирать значение менее 30 минут не рекомендуется, так как это может привести к прерыванию работы пользователя при каждом запуске или возобновлении работы приложения.

    Заметка: Остановка обновления политики отсрочки в автономном режиме, включая закрытие или приостановку приложения, приведет к прерыванию работы пользователя при следующем запуске или возобновлении работы приложения.

  • Очистить данные (дни): по истечении указанного количества дней (значение определяется администратором) автономной работы приложение потребует от пользователя подключиться к сети и повторно пройти проверку подлинности. Если пользователь успешно проходит проверку, он может продолжать обращаться к своим данным, а значение периода автономности будет сброшено. В случае ошибки проверки подлинности приложение проведет выборочную очистку учетной записи и данных пользователя. Дополнительные сведения о том, какие данные удаляются во время выборочной очистки, см. разделе Очистка только корпоративных данных в приложениях, управляемых с помощью Intune. Срок автономного льготного периода для очистки данных рассчитывается отдельно для каждого приложения с учетом последней синхронизации со службой Intune. Этот формат параметра политики поддерживает положительное целое число.

    Значение по умолчанию — 90 дней
Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.
Устройства со снятой защитой или административным доступом Для этого параметра нельзя указать значение.

Действия:

  • Блокировать доступ — блокирует запуск этого приложения на устройствах со снятой защитой или с административным доступом. Пользователь по-прежнему сможет использовать это приложение в личных целях, однако для доступа к рабочим или учебным данным ему придется использовать другое устройство.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Учетная запись отключена Для этого параметра нельзя указать значение.

Действия:

  • Блокировать доступ. Когда мы убедимся, что пользователь отключен в Microsoft Entra ID, приложение блокирует доступ к рабочим или учебным данным.
  • Очистка данных. Когда мы убедимся, что пользователь отключен в Microsoft Entra ID, приложение выполнит выборочную очистку учетной записи и данных пользователей.
Минимальная версия приложения Укажите значение для минимального номера версии приложения.

Действия:

  • Предупредить — пользователь получит уведомление, если версия приложения на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ — пользователю будет запрещен доступ, если версия приложения на устройстве не соответствует требованиям.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Поскольку приложения часто используют четкую схему управления версиями, следует создать политику для минимальной версии одного целевого приложения (например, Политика управления версиями Outlook).

Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот параметр политики поддерживает соответствующие форматы версий пакета приложений iOS (major.minor или major.minor.patch).

Примечание.Требуется, чтобы приложение Intune sdk версии 7.0.1 или более поздней.

Кроме того, вы можете указать, где пользователи могут получить обновленную версию бизнес-приложения. Пользователи увидят это в диалоговом окне условного запуска Минимальная версия приложения, в котором пользователю будет предложено обновиться до минимальной версии бизнес-приложения. В iOS/iPadOS эта функция требует, чтобы приложение было интегрировано (или упаковано с помощью средства упаковки) с пакетом SDK для Intune для iOS версии 10.0.7 или более поздней версии. Чтобы настроить место обновления бизнес-приложения пользователем, приложению нужна политика конфигурации управляемого приложения, отправляемая ему с ключом com.microsoft.intune.myappstore. Переданное значение определит, из какого хранилища пользователь скачает приложение. Если приложение развертывается с помощью Корпоративного портала, должно использоваться значение CompanyPortal. Для другого хранилища необходимо ввести полный URL-адрес.
Минимальная версия пакета SDK Укажите минимальную версию пакета SDK для Intune.

Действия:

  • Блокировать доступ — пользователю будет запрещен доступ, если версия приложения пакета SDK для политики защиты приложений Intune не соответствует требованиям.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
  • Предупреждение . Пользователь увидит уведомление, если версия пакета SDK для iOS/iPadOS для приложения не соответствует минимальным требованиям к пакету SDK. Пользователю будет предложено выполнить обновление до последней версии приложения. Это уведомление можно отклонить.
См. дополнительные сведения о пакете SDK для политики защиты приложений Intune см. в статье Обзор Intune App SDK. Поскольку разные приложения часто используют отдельные версии Intune SDK, следует создать политику для минимальной версии Intune SDK для одного целевого приложения (например, Политика версии Intune SDK для Outlook).

Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.
Модель устройства Укажите список идентификаторов модели, разделенных точкой с запятой. Эти значения не чувствительны к регистру.

Действия:

  • Разрешить указанные (блокировать неуказанные) — это приложение могут использовать только устройства указанной модели. Все другие модели устройства блокируются.
  • Разрешить указанные (очистить неуказанные) — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Дополнительные сведения об использовании этого параметра см. в статье Действия условного запуска.
Максимальный допустимый уровень угроз для устройства Политики защиты приложений могут использовать соединитель Intune-MTD. Укажите максимальный уровень угроз, приемлемый для использования этого приложения. Угрозы определяются выбранным приложением-поставщиком защиты мобильных устройств от угроз (MTD) на устройстве конечного пользователя. Укажите Защищенный, Низкий, Средний или Высокий. Защищенный требует отсутствия угроз на устройстве и является наиболее строгим значением из доступных, а Высокий, по сути, требует наличия активного подключения Intune к MTD.

Действия:

  • Блокировать доступ — пользователю будет запрещен доступ, если уровень угроз, определяемый приложением выбранного поставщика защиты мобильных устройств (MTD) на устройстве конечного пользователя, не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Примечание.Требуется, чтобы приложение Intune пакета SDK версии 12.0.15 или более поздней.

Дополнительные сведения об использовании этого параметра см. в статье Активация MTD для незарегистрированных устройств.
Основная служба MTD Если вы настроили несколько соединителей Intune-MTD, укажите основное приложение поставщика MTD, которое должно использоваться на устройстве конечного пользователя.

Ниже указаны следующие значения :

  • Microsoft Defender для конечной точки — если настроен соединитель MTD, укажите Microsoft Defender для конечной точки предоставит сведения об уровне угрозы устройства.
  • Mobile Threat Defense (non-Microsoft) — если настроен соединитель MTD, укажите, что MTD не microsoft предоставит сведения об уровне угрозы устройства.

Чтобы использовать этот параметр, необходимо настроить параметр "Максимальный разрешенный уровень угрозы устройства".

Действия для этого параметра отсутствуют.

Нерабочее время Для этого параметра нельзя указать значение.

Действия:

  • Блокировать доступ . Доступ заблокирован, так как учетная запись пользователя, связанная с приложением, находится в нерабочее время.
  • Предупреждение . Пользователь видит уведомление, если учетная запись пользователя, связанная с приложением, находится в нерабочее время. Уведомление может быть отклонено.
Примечание. Этот параметр необходимо настроить только в том случае, если клиент был интегрирован с API рабочего времени. Дополнительные сведения об интеграции этого параметра с API рабочего времени см. в статье Ограничение доступа к Microsoft Teams при отключении рабочих на переднем крае. Настройка этого параметра без интеграции с API рабочего времени может привести к блокировке учетных записей из-за отсутствия состояния рабочего времени для управляемой учетной записи, связанной с приложением.

Следующие приложения поддерживают эту функцию:

  • Teams для iOS версии 6.9.2 или более поздней версии
  • Edge для iOS версии 126.2592.56 или более поздней версии

Подробнее