Nastavení zásad ochrany aplikací pro Windows

  • Článek

Tento článek popisuje nastavení zásad ochrany aplikací (APP) pro Windows. Popsaná nastavení zásad se dají nakonfigurovat pro zásady ochrany aplikací v podokně Nastavení v Centru pro správu Intune, když vytvoříte novou zásadu.

Chráněný přístup MAM k datům organizace můžete povolit přes Microsoft Edge na osobních zařízeních s Windows. Tato funkce se označuje jako Windows MAM a poskytuje funkce pomocí zásad konfigurace aplikací Intune (ACP), zásad ochrany aplikací Intune (APP), ochrany klientů služby Windows Security Center před hrozbami a podmíněného přístupu ochrany aplikací. Další informace o Windows MAM najdete v tématech Ochrana dat pro Windows MAM, Vytvoření zásad ochrany aplikací MTD pro Windows a Konfigurace Microsoft Edge pro Windows s Intune.

Existují dvě kategorie nastavení zásad ochrany aplikací pro Windows:

Důležité

Intune MAM ve Windows podporuje nespravovaná zařízení. Pokud je zařízení už spravované, registrace Intune MAM se zablokuje a nastavení APLIKACE se nepoužije. Pokud se zařízení po registraci MAM stane spravovaným, nastavení aplikace se už nepoužije.

Ochrana dat

Nastavení ochrany dat ovlivňuje data a kontext organizace. Jako správce můžete řídit přesun dat do a z kontextu ochrany organizace. Kontext organizace je definován dokumenty, službami a weby, ke které přistupuje zadaný účet organizace. Následující nastavení zásad pomáhají řídit externí data přijatá do kontextu organizace a data organizace odesílaná z kontextu organizace.

Přenos dat

Nastavení Jak se používá Výchozí hodnota
Příjem dat z Vyberte jednu z následujících možností a určete zdroje, ze které můžou uživatelé organizace přijímat data:
  • Všechny zdroje: Uživatelé organizace můžou otevřít data z libovolného účtu, dokumentu, umístění nebo aplikace do kontextu organizace.
  • Žádné zdroje: Uživatelé organizace nemůžou otevřít data z externích účtů, dokumentů, umístění nebo aplikací v kontextu organizace. POZNÁMKA: V prohlížeči Microsoft Edge žádný zdroj řídí chování při nahrávání souborů přetažením nebo dialogovým oknem otevření souboru. Místní prohlížení souborů a sdílení souborů mezi weby nebo kartami se zablokuje.


 Všechny zdroje
Odeslání dat organizace na adresu Vyberte jednu z následujících možností a určete cíle, kam můžou uživatelé organizace odesílat data:
  • Všechny cíle: Uživatelé organizace můžou odesílat data organizace do libovolného účtu, dokumentu, umístění nebo aplikace.
  • Žádné cíle: Uživatelé organizace nemůžou odesílat data organizace do externích účtů, dokumentů, umístění nebo aplikací z kontextu organizace. POZNÁMKA: Pro Microsoft Edge neblokuje stahování souborů žádné cíle . To znamená, že sdílení souborů mezi weby nebo kartami bude zablokováno.


 Všechny cíle
Povolit vyjmutí, kopírování a vložení pro Vyberte jednu z následujících možností a určete zdroje a cíle, které můžou uživatelé organizace vyjmout nebo kopírovat nebo vkládat data organizace:
  • Jakýkoli cíl a jakýkoli zdroj: Uživatelé organizace mohou vkládat data z libovolného účtu, dokumentu, umístění nebo aplikace a vyjmout nebo kopírovat data.
  • Žádný cíl ani zdroj: Uživatelé organizace nemůžou vyjmout, kopírovat ani vkládat data do nebo z externích účtů, dokumentů, umístění nebo aplikací z ani do kontextu organizace. POZNÁMKA: Pro Microsoft Edge , Žádné cílové nebo zdrojové bloky chování vyjmutí, kopírování a vkládání pouze v rámci webového obsahu. Funkce Vyjmutí, kopírování a vkládání jsou zakázány u veškerého webového obsahu, ale ne ovládací prvky aplikace, včetně adresního řádku.


 Jakýkoli cíl a jakýkoli zdroj

Funkčnost

Nastavení Jak se používá Výchozí hodnota
Tisk dat organizace Pokud chcete zabránit tisku dat organizace, vyberte Blokovat . Pokud chcete povolit tisk dat organizace, vyberte Povolit . Osobní nebo nespravovaná data nejsou ovlivněna. Povolit

Kontroly stavu

Nastavte podmínky kontroly stavu pro zásady ochrany aplikací. Vyberte Nastavení a zadejte hodnotu , kterou uživatelé musí splňovat, aby mohli přistupovat k datům organizace. Pak vyberte akci , kterou chcete provést, pokud uživatelé nesplňují vaše podmínky. V některých případech je možné pro jedno nastavení nakonfigurovat více akcí. Další informace najdete v tématu Akce kontroly stavu.

Podmínky aplikace

Nakonfigurujte následující nastavení kontroly stavu, abyste ověřili konfiguraci aplikace před povolením přístupu k účtům a datům organizace.

Poznámka

Termín aplikace spravovaná zásadami označuje aplikace, které jsou nakonfigurované pomocí zásad ochrany aplikací.

Nastavení Jak se používá Výchozí hodnota
Období odkladu offline Počet minut, po které může aplikace spravovaná zásadami běžet offline. Zadejte čas (v minutách) před opětovnou kontrolou požadavků na přístup k aplikaci.

Mezi akce patří:

  • Blokovat přístup (minuty): Počet minut, po které můžou aplikace spravované zásadami běžet offline. Zadejte čas (v minutách) před opětovnou kontrolou požadavků na přístup k aplikaci. Po uplynutí nakonfigurovaného období aplikace zablokuje přístup k pracovním nebo školním datům, dokud nebude přístup k síti dostupný. Časovač období odkladu offline pro blokování přístupu k datům se počítá na základě posledního přihlášení se službou Intune. Tento formát nastavení zásad podporuje kladné celé číslo.
  • Vymazání dat (dny): Po uplynutí tohoto počtu dnů (definovaných správcem) offline bude aplikace vyžadovat, aby se uživatel připojil k síti a znovu provedl ověření. Pokud se uživatel úspěšně ověří, může dál přistupovat ke svým datům a interval offline se resetuje. Pokud se uživateli nepodaří ověřit, aplikace provede selektivní vymazání uživatelských účtů a dat. Další informace o tom, jaká data se selektivním vymazáním odeberou, najdete v tématu Jak vymazat jenom podniková data z aplikací spravovaných přes Intune . Časovač období odkladu offline pro vymazání dat vypočítá aplikace na základě posledního přihlášení se službou Intune. Tento formát nastavení zásad podporuje kladné celé číslo.
Tato položka se může zobrazit vícekrát, přičemž každá instance podporuje jinou akci.

 Blokování přístupu (minuty): 720 minut (12 hodin)

Vymazání dat (dny): 90 dnů
Minimální verze aplikace Zadejte hodnotu minimální verze aplikace.

Mezi akce patří:

  • Upozornit – uživateli se zobrazí oznámení, pokud verze aplikace na zařízení nesplňuje požadavek. Toto oznámení je možné zavřít.
  • Blokovat přístup – uživateli se zablokuje přístup, pokud verze aplikace na zařízení nesplňuje požadavek.
  • Vymazání dat – uživatelský účet přidružený k aplikaci se ze zařízení vymaže.
Vzhledem k tomu, že aplikace často mají různá schémata verzí, vytvořte zásadu s minimální verzí aplikace, která bude cílit na jednu aplikaci.

Tato položka se může zobrazit vícekrát, přičemž každá instance podporuje jinou akci.

Toto nastavení zásad podporuje odpovídající formáty verzí sady aplikací pro Windows (major.minor nebo major.minor.patch).		 Žádná výchozí hodnota
Minimální verze sady SDK Zadejte minimální hodnotu pro verzi sady Intune SDK.

Mezi akce patří:

  • Blokovat přístup – Uživateli se zablokuje přístup, pokud verze sady SDK zásad ochrany aplikací Intune nesplňuje tento požadavek.
  • Vymazání dat – uživatelský účet přidružený k aplikaci se ze zařízení vymaže.
Tato položka se může zobrazit vícekrát, přičemž každá instance podporuje jinou akci.		 Žádná výchozí hodnota
Zakázaný účet Pokud je účet Microsoft Entra pro uživatele zakázaný, zadejte automatizovanou akci. Správce může zadat pouze jednu akci. Pro toto nastavení není k dispozici žádná hodnota, kterou by bylo potřeba nastavit. Mezi akce patří:
  • Blokovat přístup – když ověříme, že uživatel je zakázaný v Microsoft Entra ID, aplikace zablokuje přístup k pracovním nebo školním datům.
  • Vymazání dat – Jakmile ověříme, že uživatel je zakázaný v Microsoft Entra ID, aplikace provede selektivní vymazání uživatelského účtu a dat.
POZNÁMKA: Pokud se stav uživatele nedá ověřit z důvodu připojení, ověřování nebo z jakéhokoli jiného důvodu, tyto akce (Blokovat přístup a Vymazat data) se nevynutí.		 Žádná výchozí hodnota

Podmínky zařízení

Nakonfigurujte následující nastavení kontroly stavu, která před povolením přístupu k účtům a datům organizace ověří konfiguraci zařízení. Pro zaregistrovaná zařízení je možné nakonfigurovat podobná nastavení založená na zařízeních. Přečtěte si další informace o konfiguraci nastavení dodržování předpisů zařízením pro zaregistrovaná zařízení.

Nastavení Jak se používá Výchozí hodnota
Minimální verze operačního systému Zadejte minimální operační systém Windows, který má tuto aplikaci používat.

Mezi akce patří:

  • Upozornit – uživateli se zobrazí oznámení, pokud verze Windows na zařízení nesplňuje tento požadavek. Toto oznámení je možné zavřít.
  • Blokovat přístup – uživateli se zablokuje přístup, pokud verze Windows na zařízení nesplňuje tento požadavek.
  • Vymazání dat – uživatelský účet přidružený k aplikaci se ze zařízení vymaže.
Tato položka se může zobrazit vícekrát, přičemž každá instance podporuje jinou akci.

Tento formát nastavení zásad podporuje buď major.minor, major.minor.build, major.minor.build.revision.

Verzi Windows najdete tak, že otevřete příkazový řádek. Verze se zobrazí v horní části okna příkazového řádku. Příkladem formátu verze, který se má použít, je 10.0.22631.3155. Poznámka: Pokud použijete winver příkaz, zobrazí se jenom build operačního systému (například 22631.3155), což není správný formát, který byste měli použít.
Maximální verze operačního systému Zadejte maximální počet operačních systémů Windows pro použití této aplikace.

Mezi akce patří:

  • Upozornit – uživateli se zobrazí oznámení, pokud verze Windows na zařízení nesplňuje tento požadavek. Toto oznámení je možné zavřít.
  • Blokovat přístup – uživateli se zablokuje přístup, pokud verze Windows na zařízení nesplňuje tento požadavek.
  • Vymazání dat – uživatelský účet přidružený k aplikaci se ze zařízení vymaže.

Tato položka se může zobrazit vícekrát, přičemž každá instance podporuje jinou akci.

Tento formát nastavení zásad podporuje buď major.minor, major.minor.build, major.minor.build.revision.
Maximální povolená úroveň hrozby zařízení Zásady ochrany aplikací můžou využívat konektor Intune-MTD. Zadejte maximální úroveň hrozby přijatelnou pro použití této aplikace. Hrozby jsou určeny vámi zvolenou aplikací od dodavatele ochrany před mobilními hrozbami (MTD) na zařízení koncového uživatele. Zadejte zabezpečenou, nízkou, střední nebo vysokou. Zabezpečení nevyžaduje na zařízení žádné hrozby a je to nejvíce omezující konfigurovatelná hodnota, zatímco vysoká v podstatě vyžaduje aktivní připojení Intune k MTD.

Mezi akce patří:

  • Blokovat přístup – uživateli se přístup zablokuje, pokud úroveň hrozby určená vámi zvolenou aplikací od dodavatele ochrany před mobilními hrozbami (MTD) na zařízení koncového uživatele nesplňuje tento požadavek.
  • Vymazání dat – uživatelský účet přidružený k aplikaci se ze zařízení vymaže.

Další informace o použití tohoto nastavení najdete v tématu Povolení MTD pro nezaregistrovaná zařízení.

Další informace

Další informace o aplikaci APP pro zařízení s Windows najdete v následujících zdrojích informací: