Megosztás a következőn keresztül:

Alkalmazásvédelmi szabályzatok létrehozása és hozzárendelése

  • Cikk

Megtudhatja, hogyan hozhat létre és rendelhet hozzá Microsoft Intune alkalmazásvédelmi szabályzatokat (APP) a szervezet felhasználói számára. Ez a cikk azt is ismerteti, hogyan módosíthatja a meglévő szabályzatokat.

Az első lépések

Alkalmazásvédelem szabályzatok olyan eszközökön futó alkalmazásokra alkalmazhatók, amelyeket a Intune kezelhet vagy nem. Az alkalmazásvédelmi szabályzatok működésének és az Intune alkalmazásvédelmi szabályzatok által támogatott forgatókönyveknek a részletesebb leírását lásd: Alkalmazásvédelem szabályzatok áttekintése.

Az alkalmazásvédelmi szabályzatokban (APP) elérhető választási lehetőségek lehetővé teszik a szervezetek számára, hogy a védelmet a saját igényeiknek megfelelően alakítsák. Előfordulhat, hogy egyes esetekben nem egyértelmű, hogy mely házirend-beállítások szükségesek egy teljes forgatókönyv implementálásához. Annak érdekében, hogy a szervezetek előnyben részesítsék a mobilügyfél-végpontok megerősítését, a Microsoft bevezette az APP adatvédelmi keretrendszerének osztályozását az iOS és Android rendszerű mobilalkalmazás-felügyelethez.

Az APP adatvédelmi keretrendszer három különböző konfigurációs szintre van rendezve, és mindegyik szint az előző szintből építkezik:

  • Az alapszintű nagyvállalati adatvédelem (1. szint) biztosítja, hogy az alkalmazások PIN-kóddal legyenek védve, titkosítva legyenek, és szelektív adattörlési műveleteket hajtsanak végre. Android-eszközök esetén ez a szint ellenőrzi az Android-eszközök hitelesítését. Ez egy kezdő szintű konfiguráció, amely hasonló adatvédelmi vezérlést biztosít az Exchange Online postaládára vonatkozó házirendjeiben, és az informatikai megoldásokat és a felhasználók rendszerbe való feltöltését vezeti be az APP-ben.
  • A nagyvállalati szintű fokozott adatvédelem (2. szint) alkalmazásadatok kiszivárgásának megelőzésére szolgáló mechanizmusokat és minimális operációsrendszer-követelményeket vezet be. Ez az a konfiguráció, amely a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére vonatkozik.
  • Anagyvállalati szintű magas fokú adatvédelem (3. szint) fejlett adatvédelmi mechanizmusokat, továbbfejlesztett PIN-konfigurációt és az APP mobilfenyegetés-védelmét vezeti be. Ez a konfiguráció olyan felhasználóknak kellhet, akik magas kockázatú adatokhoz férnek hozzá.

Az egyes konfigurációs szintekre vonatkozó konkrét javaslatok és a minimális mennyiségű védelemre szoruló alkalmazások megtekintéséhez tekintse át az Alkalmazásvédelmi házirendeket használó adatvédelmi keretrendszert ismertető cikket.

Ha olyan alkalmazásokat keres, amelyek integrálták a Intune SDK-t, tekintse meg a védett alkalmazások Microsoft Intune című témakört.

További információ a szervezet üzletági (LOB) alkalmazásainak Microsoft Intune alkalmazásvédelmi szabályzatokra való előkészítéséhez való hozzáadásáról: Alkalmazások hozzáadása Microsoft Intune.

Megjegyzés:

A szabályzatok kényszerítése érdekében javasoljuk, hogy a feltételes hozzáférést Intune alkalmazásvédelmi szabályzatokkal együtt használja.

szabályzatok Alkalmazásvédelem iOS-/iPadOS- és Android-alkalmazásokhoz

Amikor alkalmazásvédelmi szabályzatot hoz létre iOS-/iPadOS- és Android-alkalmazásokhoz, egy modern Intune folyamatot követ, amely új alkalmazásvédelmi szabályzatot eredményez. További információ a Windows-alkalmazások alkalmazásvédelmi szabályzatainak létrehozásáról: Alkalmazásvédelem Windows-házirend-beállítások.

iOS-/iPadOS- vagy Android-alkalmazásvédelmi szabályzat létrehozása

  1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

  2. Válassza az Alkalmazások>védelme lehetőséget. Ez a kijelölés megnyitja a Védelem részleteit, ahol új szabályzatokat hozhat létre, és szerkesztheti a meglévő szabályzatokat.

  3. Válassza a Szabályzat létrehozása lehetőséget, és válassza az iOS/iPadOS vagy az Android lehetőséget. Megjelenik a Szabályzat létrehozása panel.

  4. Az Alapvető beállítások lapon adja hozzá a következő értékeket:

    Érték Leírás
    Name (Név) Az alkalmazásvédelmi szabályzat neve.
    Leírás [Nem kötelező] Az alkalmazásvédelmi szabályzat leírása.

    Képernyőkép a Szabályzat létrehozása panel Alapvető beállítások lapjáról

  5. Kattintson a Tovább gombra az Alkalmazások lap megjelenítéséhez.

    Az Alkalmazások lapon kiválaszthatja, hogy mely alkalmazásokat célozza meg ez a szabályzat. Legalább egy alkalmazást fel kell vennie.

    Érték/beállítás Leírás
    Célházirend A Célszabályzat legördülő listában válassza a Minden alkalmazás, Microsoft Apps vagy Core Microsoft Apps alkalmazásvédelmi szabályzatot.

    • Minden alkalmazás tartalmazza az összes olyan Microsoft- és partneralkalmazást, amely integrálta a Intune SDK-t.
    • Microsoft Apps tartalmazza az összes olyan Microsoft-alkalmazást, amely integrálta a Intune SDK-t.
    • A Core Microsoft Apps a következő alkalmazásokat tartalmazza: Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do és Word.

    Ezután kiválaszthatja a Megtekintheti a megcélzott alkalmazások listáját a szabályzat által érintett alkalmazások listájának megtekintéséhez.
    Nyilvános alkalmazások Ha nem szeretné kiválasztani az előre definiált alkalmazáscsoportok egyikét, az egyes alkalmazásokat a Célszabályzat legördülő listájában a Kijelölt alkalmazások lehetőség kiválasztásával célozhatja meg. Kattintson a Nyilvános alkalmazások kiválasztása elemre a megcélzandó nyilvános alkalmazások kiválasztásához.
    Egyéni alkalmazások Ha nem szeretné kiválasztani az előre definiált alkalmazáscsoportok egyikét, az egyes alkalmazásokat a Célszabályzat legördülő listájában a Kijelölt alkalmazások lehetőség kiválasztásával célozhatja meg. Kattintson az Egyéni alkalmazások kiválasztása elemre, és válassza ki a kötegazonosító alapján megcélzott egyéni alkalmazásokat. Nem választhat egyéni alkalmazást, ha ugyanabban a szabályzatban a Minden alkalmazás, Microsoft Apps vagy Core Microsoft Apps beállítást is megcélzhatja.

    A kiválasztott alkalmazás(ok) megjelennek a nyilvános és az egyéni alkalmazások listájában.

    Megjegyzés:

    A nyilvános alkalmazások a Microsofttól származó alkalmazások és a Microsoft Intune gyakran használt partnerek. Ezek a Intune védett alkalmazások a mobilalkalmazás-védelmi szabályzatok számos támogatásával érhetők el. További információ: Microsoft Intune védett alkalmazások. Az egyéni alkalmazások olyan üzletági alkalmazások, amelyek integrálva vannak a Intune SDK-val, vagy amelyeket a Intune App Wrapping Tool csomagoltak be. További információ: Microsoft Intune App SDK áttekintése és Üzletági alkalmazások előkészítése alkalmazásvédelmi szabályzatokhoz.

  6. Kattintson a Tovább gombra az Adatvédelmi oldal megjelenítéséhez.

    Ez a lap az adatveszteség-megelőzési (DLP) vezérlők beállításait tartalmazza, beleértve a kivágásra, másolásra, beillesztésre és mentésre vonatkozó korlátozásokat. Ezek a beállítások határozzák meg, hogy a felhasználók hogyan használják az alkalmazásvédelmi szabályzat hatálya alatt lévő alkalmazások adatait.

    Adatvédelmi beállítások:

  7. Kattintson a Tovább gombra a Hozzáférési követelmények lap megjelenítéséhez .

    Ezen a lapon olyan beállításokat talál, amelyekkel konfigurálhatja azokat a PIN-kód- és hitelesítőadat-követelményeket, amelyeknek a felhasználóknak meg kell felelniük ahhoz, hogy munkahelyi környezetben férhessenek hozzá az alkalmazásokhoz.

    Hozzáférési követelmények beállításai:

  8. A Feltételes indítás lap megjelenítéséhez kattintson a Tovább gombra.

    Ezen a lapon az alkalmazásvédelmi szabályzat bejelentkezési biztonsági követelményeinek beállítására szolgáló beállításokat talál. Válasszon ki egy beállítást , és adja meg azt az értéket , amelyet a felhasználóknak meg kell felelniük a vállalati alkalmazásba való bejelentkezéshez. Ezután válassza ki a kívánt műveletet , ha a felhasználók nem felelnek meg a követelményeknek. Bizonyos esetekben több művelet is konfigurálható egyetlen beállításhoz.

    Feltételes indítási beállítások:

  9. Kattintson a Tovább gombra a Hozzárendelések lap megjelenítéséhez. A Hozzárendelések lapon felhasználói csoportokhoz rendelheti az alkalmazásvédelmi szabályzatot. A szabályzat érvénybe léptetéséhez a szabályzatot felhasználók egy csoportjára kell alkalmaznia.

  10. Kattintson a Tovább: Áttekintés + létrehozás elemre az alkalmazásvédelmi szabályzathoz megadott értékek és beállítások áttekintéséhez.

  11. Ha végzett, kattintson a Létrehozás gombra az alkalmazásvédelmi szabályzat létrehozásához a Intune.

    Tipp

    Ezek a házirend-beállítások csak akkor lesznek kényszerítve, ha alkalmazásokat használnak a munkahelyi környezetben. Ha a végfelhasználók az alkalmazást személyes feladat végrehajtására használják, ezek a szabályzatok nem érintik őket. Vegye figyelembe, hogy új fájl létrehozásakor az személyes fájlnak minősül.

    Fontos

    Időbe telhet, mire az alkalmazásvédelmi szabályzatok érvényesek lesznek a meglévő eszközökre. A végfelhasználók értesítést kapnak az eszközön az alkalmazásvédelmi szabályzat alkalmazásakor. A feltételes hozzáférési szabályok alkalmazása előtt alkalmazza az alkalmazásvédelmi szabályzatokat az eszközökre.

A végfelhasználók letölthetik az alkalmazásokat az App Store-ból vagy a Google Play áruházból. További információ:

Meglévő szabályzatok módosítása

Szerkesztheti a meglévő szabályzatokat, és alkalmazhatja a megcélzott felhasználókra. A szabályzatkézbesítés időzítésével kapcsolatos további információkért lásd: Az alkalmazásvédelmi szabályzat kézbesítési időzítésének ismertetése.

A szabályzathoz társított alkalmazások listájának módosítása

  1. A Védelem panelen válassza ki a módosítani kívánt szabályzatot.

  2. Az Intune App Protection panelen válassza a Tulajdonságok lehetőséget.

  3. Az Alkalmazások szakasz mellett válassza a Szerkesztés lehetőséget.

  4. Az Alkalmazások lapon kiválaszthatja, hogy mely alkalmazásokat célozza meg ez a szabályzat. Legalább egy alkalmazást fel kell vennie.

    Érték/beállítás Leírás
    Nyilvános alkalmazások A Célszabályzat legördülő listában válassza ki, hogy az alkalmazásvédelmi szabályzatot a Minden nyilvános alkalmazás, Microsoft Apps vagy Core Microsoft Apps értékre célozza. Ezután kiválaszthatja a Megtekintheti a megcélzott alkalmazások listáját a szabályzat által érintett alkalmazások listájának megtekintéséhez.

    Szükség esetén a Nyilvános alkalmazások kiválasztása gombra kattintva dönthet úgy, hogy az egyes alkalmazásokat célozza meg.

    Egyéni alkalmazások Kattintson az Egyéni alkalmazások kiválasztása elemre, és válassza ki a kötegazonosító alapján megcélzott egyéni alkalmazásokat.

    A kiválasztott alkalmazás(ok) megjelennek a nyilvános és az egyéni alkalmazások listájában.

  5. Kattintson a Felülvizsgálat + létrehozás elemre a szabályzathoz kiválasztott alkalmazások áttekintéséhez.

  6. Ha végzett, kattintson a Mentés gombra az alkalmazásvédelmi szabályzat frissítéséhez.

A felhasználói csoportok listájának módosítása

  1. A Védelem panelen válassza ki a módosítani kívánt szabályzatot.

  2. Az Intune App Protection panelen válassza a Tulajdonságok lehetőséget.

  3. A Hozzárendelések szakasz mellett válassza a Szerkesztés lehetőséget.

  4. Ha új felhasználói csoportot szeretne hozzáadni a szabályzathoz, a Belefoglalás lapon válassza a Felvenni kívánt csoportok kiválasztása lehetőséget, majd válassza ki a felhasználói csoportot. Válassza a Kiválasztás lehetőséget a csoport hozzáadásához.

  5. Felhasználói csoport kizárásához a Kizárás lapon válassza a Kizárandó csoportok kiválasztása lehetőséget, majd válassza ki a felhasználói csoportot. Válassza a Kiválasztás lehetőséget a felhasználói csoport eltávolításához.

  6. A korábban hozzáadott csoportok törléséhez az Include (Belefoglalás ) vagy a Exclude (Kizárás ) lapon válassza a három pontot (...), majd a Delete ( Törlés) lehetőséget.

  7. Kattintson a Felülvizsgálat + létrehozás gombra a szabályzathoz kiválasztott felhasználói csoportok áttekintéséhez.

  8. Miután a hozzárendelések módosításai elkészültek, a Mentés gombra kattintva mentse a konfigurációt, és telepítse a szabályzatot az új felhasználói csoportban. Ha a konfiguráció mentése előtt a Mégse lehetőséget választja, a Belefoglalás és a Kizárás lapon végzett összes módosítást elveti.

Szabályzatbeállítások módosítása

  1. A Védelem panelen válassza ki a módosítani kívánt szabályzatot.

  2. Ezután válassza a Tulajdonságok lehetőséget.

  3. A módosítani kívánt beállításoknak megfelelő szakasz mellett válassza a Szerkesztés lehetőséget. Ezután módosítsa a beállításokat új értékekre.

  4. Kattintson a Felülvizsgálat + létrehozás elemre a szabályzat frissített beállításainak áttekintéséhez.

  5. A módosítások mentéséhez válassza a Mentés lehetőséget. Ismételje meg a folyamatot egy beállítási terület kiválasztásához, majd a módosítások mentéséhez, amíg az összes módosítás be nem fejeződik. Ezután bezárhatja a Intune App Protection – Tulajdonságok panelt.

Célalkalmazás-védelmi szabályzatok az eszközfelügyeleti állapot alapján

Számos szervezetben gyakori, hogy a végfelhasználók Intune Mobile Eszközkezelés (MDM) által felügyelt eszközöket, például a vállalati tulajdonú eszközöket és a csak Intune alkalmazásvédelmi szabályzatokkal védett nem felügyelt eszközöket is használhatják. A nem felügyelt eszközöket gyakran saját eszközök használata (BYOD) néven ismerjük.

Mivel Intune alkalmazásvédelmi szabályzatok a felhasználó identitására vonatkoznak, a felhasználók védelmi beállításai a regisztrált (MDM által felügyelt) és a nem regisztrált eszközökre (MDM nélkül) egyaránt alkalmazhatók. Ezért egy Intune alkalmazásvédelmi szabályzatot úgy célozhat meg, hogy szűrőkkel Intune regisztrált vagy nem regisztrált iOS/iPadOS- és Android-eszközöket. A szűrők létrehozásával kapcsolatos további információkért lásd: Szűrők használata szabályzatok hozzárendelésekor . Rendelkezhet egy védelmi szabályzattal a nem felügyelt eszközökhöz, amelyeken szigorú adatveszteség-megelőzési (DLP) vezérlők vannak érvényben, valamint egy külön védelmi szabályzattal az MDM által felügyelt eszközökhöz, ahol a DLP-vezérlők kissé enyhültebbek lehetnek. További információ a személyes Android Enterprise-eszközökön való működésről: Alkalmazásvédelem szabályzatok és munkahelyi profilok.

Ha ezeket a szűrőket szabályzatok hozzárendelésekor szeretné használni, keresse meg az Alkalmazások>védelme elemet a Intune Felügyeleti központban, majd válassza a Szabályzat létrehozása lehetőséget. Egy meglévő alkalmazásvédelmi szabályzatot is szerkeszthet. Lépjen a Hozzárendelések lapra, és válassza a Szűrő szerkesztése lehetőséget a hozzárendelt csoport szűrőinek belefoglalásához vagy kizárásához.

Eszközkezelés típusok

Fontos

Az Android-eszközök rendszergazdai felügyelete elavult, és már nem érhető el a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközök számára. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy váltson át egy másik Android-felügyeleti lehetőségre. A támogatási és súgódokumentáció továbbra is elérhető marad a GMS nélküli, Android 15-ös vagy korábbi verziót futtató eszközökhöz. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.

  • Nem felügyelt: Az iOS-/iPadOS-eszközök esetében a nem felügyelt eszközök olyan eszközök, amelyeknél az MDM-felügyelet Intune vagy egy külső MDM-/EMM-megoldás nem adja át a IntuneMAMUPN kulcsot. Android-eszközök esetén a nem felügyelt eszközök olyan eszközök, amelyeken nem észlelhető Intune MDM-kezelés. Ide tartoznak a külső MDM-szállítók által kezelt eszközök.
  • felügyelt eszközök Intune: A felügyelt eszközöket Intune MDM kezeli.
  • Android-eszközadminisztrátor: Intune által felügyelt eszközök az Android Device Administration API használatával.
  • Android Enterprise: Intune által felügyelt eszközök androidos vállalati munkahelyi profilokkal vagy Android Enterprise teljes Eszközkezelés.
  • Android Enterprise vállalati tulajdonú dedikált eszközök Microsoft Entra megosztott eszköz móddal: Intune által felügyelt eszközök az Android Enterprise dedikált eszközeivel megosztott eszköz móddal.
  • Android (AOSP) felhasználóhoz társított eszközök: Intune által felügyelt eszközök az AOSP felhasználóhoz társított felügyeletével.
  • Android (AOSP) felhasználó nélküli eszközök: Intune által felügyelt eszközök az AOSP felhasználó nélküli eszközeivel. Ezek az eszközök Microsoft Entra megosztott eszköz módot is használják.

Android rendszeren az Android-eszközök kérni fogják a Intune Céges portál alkalmazás telepítését, függetlenül attól, hogy melyik Eszközkezelés típust választják. Ha például az "Android Enterprise" lehetőséget választja, a nem felügyelt Android-eszközökkel rendelkező felhasználókat a rendszer továbbra is kérni fogja.

iOS/iPadOS esetén a Eszközkezelés típus Intune felügyelt eszközökre való kényszerítéséhez további alkalmazáskonfigurációs beállításokra van szükség. Ezek a beállítások az APP (App Protection Policy) szolgáltatással kommunikálva jelzik, hogy az alkalmazás felügyelt. Ezért az ALKALMAZÁSbeállítások csak az alkalmazáskonfigurációs szabályzat üzembe helyezéséig érvényesek. Az alkalmazáskonfigurációs beállítások a következők:

Fontos

A Intune szeptemberi (2409-es) szolgáltatáskiadásától kezdve a rendszer automatikusan elküldi az IntuneMAMUPN, az IntuneMAMOID és az IntuneMAMDeviceID alkalmazáskonfigurációs értékeit a felügyelt alkalmazásoknak Intune regisztrált iOS-eszközökön a következő alkalmazásokhoz: Microsoft Excel, Microsoft Outlook, Microsoft PowerPoint, Microsoft Teams és Microsoft Word. Intune továbbra is kiterjeszti ezt a listát, hogy további felügyelt alkalmazásokat is tartalmazzon.

Ha ezek az értékek nem megfelelően vannak konfigurálva az iOS-eszközökhöz, fennáll annak a lehetősége, hogy a szabályzat nem lesz kézbesítve az alkalmazásba, vagy nem a megfelelő szabályzat lesz kézbesítve. További információ: Támogatási tipp: Intune mam-felhasználók iOS/iPadOS rendszerű, felhasználó nélküli eszközökön ritka esetekben blokkolva lehetnek.

Szabályzatbeállítások

Az iOS/iPadOS és az Android rendszerre vonatkozó szabályzatbeállítások teljes listájának megtekintéséhez válassza az alábbi hivatkozások egyikét:

Következő lépések

A megfelelőség és a felhasználói állapot monitorozása

Lásd még