Параметры политики защиты приложений для Windows

В этой статье описаны параметры политики защиты приложений (APP) для Windows. Описанные параметры политики можно настроить для политики защиты приложений на панели Параметры в Центре администрирования Intune при создании новой политики.

Вы можете включить защищенный доступ MAM к данным организации через Microsoft Edge на личных устройствах Windows. Эта возможность называется Windows MAM и предоставляет функциональные возможности с помощью политик конфигурации приложений Intune (ACP), политик защиты приложений Intune (APP), защиты от угроз клиента Центра безопасности Windows и условного доступа к защите приложений. Дополнительные сведения о Windows MAM см. в разделах Защита данных для Windows MAM, Создание политики защиты приложений MTD для Windows и Настройка Microsoft Edge для Windows с помощью Intune.

Существует две категории параметров политики защиты приложений для Windows:

Важно!

Intune MAM в Windows поддерживает неуправляемые устройства. Если устройство уже управляется, регистрация Intune MAM будет заблокирована, а параметры приложения не будут применены. Если устройство становится управляемым после регистрации MAM, параметры приложения больше не будут применяться.

Защита данных

Параметры защиты данных влияют на данные и контекст организации. Как администратор, вы можете управлять перемещением данных в контекст защиты организации и из него. Контекст организации определяется документами, службами и сайтами, к которым обращается указанная учетная запись организации. Следующие параметры политики помогают управлять внешними данными, полученными в контексте организации, и данными организации, отправляемыми из контекста организации.

Передача данных

Setting Применение Значение по умолчанию
Получение данных из Выберите один из следующих параметров, чтобы указать источники, из которые пользователи организации могут получать данные:
  • Все источники: пользователи организации могут открывать данные из любой учетной записи, документа, расположения или приложения в контексте организации.
  • Нет источников. Пользователи организации не могут открывать данные из внешних учетных записей, документов, расположений или приложений в контексте организации. ПРИМЕЧАНИЕ. Для Microsoft Edge нет источников управляет поведением отправки файлов с помощью перетаскивания или диалогового окна открытия файла. Локальный просмотр файлов и совместное использование файлов между сайтами и вкладками будут заблокированы.


Все источники
Отправка данных организации по Выберите один из следующих параметров, чтобы указать назначения, в которые пользователи организации могут отправлять данные:
  • Все назначения: пользователи организации могут отправлять данные организации в любую учетную запись, документ, расположение или приложение.
  • Нет назначений. Пользователи организации не могут отправлять данные организации во внешние учетные записи, документы, расположения или приложения из контекста организации. ПРИМЕЧАНИЕ. Для Microsoft Edge нет назначений блокирует скачивание файла. Это означает, что общий доступ к файлам между сайтами и вкладками будет заблокирован.


Все назначения
Разрешить вырезать, копировать и вставлять для Выберите один из следующих параметров, чтобы указать источники и назначения, которые пользователи организации могут вырезать или скопировать или вставить данные организации:
  • Любое назначение и любой источник. Пользователи организации могут вставлять данные из и вырезать или копировать данные в любую учетную запись, документ, расположение или приложение.
  • Нет назначения или источника. Пользователи организации не могут вырезать, копировать или вставлять данные во внешние учетные записи, документы, расположения или приложения из или в контекст организации. ПРИМЕЧАНИЕ. Для Microsoft Edge нет целевого или исходного блока, вырезания, копирования и вставки только в веб-содержимом. Вырезка, копирование и вставка отключены для всего веб-содержимого, но не для элементов управления приложениями, включая адресную строку.


Любое назначение и любой источник

функциональность.

Setting Применение Значение по умолчанию
Печать данных организации Выберите Блокировать , чтобы запретить печать данных организации. Выберите Разрешить , чтобы разрешить печать данных организации. Личные или неуправляемые данные не затрагиваются. Allow

Проверки работоспособности

Задайте условия проверки работоспособности для политики защиты приложений. Выберите параметр и введите значение , которое должно соответствовать пользователям для доступа к данным организации. Затем выберите действие , которое необходимо выполнить, если пользователи не соответствуют вашим условным требованиям. В некоторых случаях для одного параметра можно настроить несколько действий. Дополнительные сведения см. в разделе Действия проверки работоспособности.

Условия приложения

Настройте следующие параметры проверки работоспособности, чтобы проверить конфигурацию приложения, прежде чем разрешать доступ к учетным записям и данным организации.

Примечание.

Термин приложение, управляемое политикой , относится к приложениям, настроенным с помощью политик защиты приложений.

Setting Применение Значение по умолчанию
Период отсрочки в автономном режиме Количество минут, в течение которых приложение, управляемое политикой, может работать в автономном режиме. Укажите время (в минутах), по истечении которого выполняется повторная проверка требований доступа для приложения.

Действия:

  • Блокировать доступ (в минутах) — количество минут, в течение которых приложения, управляемые политикой, могут работать в автономном режиме. Укажите время (в минутах), по истечении которого выполняется повторная проверка требований доступа для приложения. По истечении заданного периода приложение блокирует доступ к рабочим и учебным данным, пока доступ к сети не возобновится. Таймер автономного льготного периода для блокировки доступа к данным рассчитывается на основе последней регистрации в службе Intune. Этот формат параметра политики поддерживает положительное целое число.
  • Очистка данных (в днях). По истечении этих нескольких дней (определенных администратором) автономного выполнения приложение потребует от пользователя подключиться к сети и повторно пройти проверку подлинности. Если пользователь успешно проходит проверку, он может продолжать обращаться к своим данным, а значение периода автономности будет сброшено. В случае ошибки проверки подлинности приложение проведет выборочную очистку учетной записи и данных пользователя. Дополнительные сведения о том, какие данные удаляются во время выборочной очистки, см. разделе Очистка только корпоративных данных в приложениях, управляемых с помощью Intune. Таймер автономного льготного периода для очистки данных вычисляется приложением на основе последней проверки в службе Intune. Этот формат параметра политики поддерживает положительное целое число.
Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Блокировать доступ (в минутах): 720 минут (12 часов)

Очистка данных (дней): 90 дней

Минимальная версия приложения Укажите значение для минимального номера версии приложения.

Действия:

  • Предупредить — пользователь получит уведомление, если версия приложения на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ — пользователю будет запрещен доступ, если версия приложения на устройстве не соответствует требованиям.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Так как приложения часто имеют разные схемы управления версиями, создайте политику с одной минимальной версией приложения, ориентированной на одно приложение.

Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот параметр политики поддерживает соответствующие форматы версий пакета приложений Windows (major.minor или major.minor.patch).
Нет значения по умолчанию
Минимальная версия пакета SDK Укажите минимальную версию пакета SDK для Intune.

Действия:

  • Блокировать доступ — пользователю будет запрещен доступ, если версия приложения пакета SDK для политики защиты приложений Intune не соответствует требованиям.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.
Нет значения по умолчанию
Учетная запись отключена Укажите автоматическое действие, если учетная запись Microsoft Entra для пользователя отключена. Администратор может указать только одно действие. Для этого параметра нельзя указать значение. Действия:
  • Блокировать доступ . Когда мы убедимся, что пользователь отключен в идентификаторе Microsoft Entra, приложение блокирует доступ к рабочим или учебным данным.
  • Очистка данных . Когда мы убедимся, что пользователь отключен в идентификаторе Microsoft Entra, приложение выполнит выборочную очистку учетной записи и данных пользователей.
ЗАМЕТКА: Если не удается подтвердить состояние пользователя из-за подключения, проверки подлинности или по какой-либо другой причине, эти действия (блокировка доступа и очистка данных) не будут применены.
Нет значения по умолчанию

Условия устройства

Настройте следующие параметры проверки работоспособности, чтобы проверить конфигурацию устройства, прежде чем разрешать доступ к учетным записям и данным организации. Для зарегистрированных устройств можно настроить аналогичные параметры на основе устройств. Дополнительные сведения о настройке параметров соответствия устройств для зарегистрированных устройств.

Setting Применение Значение по умолчанию
Минимальная версия ОС Укажите минимальную операционную систему Windows для использования этого приложения.

Действия:

  • Предупреждение . Пользователь увидит уведомление, если версия Windows на устройстве не соответствует требованию. Это уведомление можно отклонить.
  • Блокировать доступ . Пользователю будет запрещен доступ, если версия Windows на устройстве не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.
Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот формат параметра политики поддерживает следующие форматы версий: major.minor, major.minor.build, major.minor.build.revision.

Чтобы найти версию Windows, откройте командную строку. Версия отображается в верхней части окна командной строки. Пример используемого формата версии — 10.0.22631.3155. Обратите внимание, что при использовании winver команды вы увидите только сборку ОС (например, 22631.3155), которая не является подходящим форматом.
Максимальная версия ОС Укажите максимальный размер операционной системы Windows для использования этого приложения.

Действия:

  • Предупреждение . Пользователь увидит уведомление, если версия Windows на устройстве не соответствует требованию. Это уведомление можно отклонить.
  • Блокировать доступ . Пользователю будет запрещен доступ, если версия Windows на устройстве не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.

Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот формат параметра политики поддерживает следующие форматы версий: major.minor, major.minor.build, major.minor.build.revision.
Максимальный допустимый уровень угроз для устройства Политики защиты приложений могут использовать соединитель Intune-MTD. Укажите максимальный уровень угроз, приемлемый для использования этого приложения. Угрозы определяются выбранным приложением-поставщиком защиты мобильных устройств от угроз (MTD) на устройстве конечного пользователя. Укажите Защищенный, Низкий, Средний или Высокий. Защищенный требует отсутствия угроз на устройстве и является наиболее строгим значением из доступных, а Высокий, по сути, требует наличия активного подключения Intune к MTD.

Действия:

  • Блокировать доступ — пользователю будет запрещен доступ, если уровень угроз, определяемый приложением выбранного поставщика защиты мобильных устройств (MTD) на устройстве конечного пользователя, не соответствует этому требованию.
  • Очистить данные — учетная запись пользователя, связанная с приложением, будет удалена с устройства.

Дополнительные сведения об использовании этого параметра см. в статье Активация MTD для незарегистрированных устройств.

Дополнительные сведения

Дополнительные сведения о приложении для устройств с Windows см. в следующих ресурсах: