Поделиться через

Параметры политики защиты приложений для Windows

В этой статье описаны параметры политики защиты приложений (APP) для Windows. Описанные параметры политики можно настроить для политики защиты приложений на панели Параметры в Центре администрирования Intune при создании новой политики.

Вы можете включить защищенный доступ MAM к данным организации через Microsoft Edge на личных устройствах Windows. Эта возможность называется Windows MAM и предоставляет функциональные возможности с помощью Intune политик конфигурации приложений (ACP), Intune политик защиты приложений, защиты клиентов Безопасность Windows Center и условного доступа к защите приложений. Дополнительные сведения о Windows MAM см. в разделах Защита данных для Windows MAM, Создание политики защиты приложений MTD для Windows и Настройка Microsoft Edge для Windows с помощью Intune.

Существует две категории параметров политики защиты приложений для Windows:

Важно!

Intune MAM в Windows поддерживает неуправляемые устройства. Если устройство уже управляется, регистрация Intune MAM блокируется, а параметры политик защиты приложений не применяются. Если устройство становится управляемым после регистрации MAM, параметры политик защиты приложений больше не применяются.

Устройство не должно быть Microsoft Entra ID присоединено или мобильное Управление устройствами (MDM) зарегистрировано в любом клиенте, включая клиент пользователя MAM. Устройство также не должно быть присоединено к рабочему месту более чем к двум пользователям, кроме пользователя MAM (ограничение равно трем).

Защита данных

Параметры защиты данных влияют на данные и контекст организации. Как администратор, вы можете управлять перемещением данных в контекст защиты организации и из него. Контекст организации определяется документами, службами и сайтами, к которым обращается указанная учетная запись организации. Следующие параметры политики помогают управлять внешними данными, полученными в контексте организации, и данными организации, отправляемыми из контекста организации.

Передача данных

Setting Применение Значение по умолчанию
Получение данных из Выберите один из следующих параметров, чтобы указать источники, из которые пользователи организации могут получать данные:
  • Все источники: пользователи организации могут открывать данные из любой учетной записи, документа, расположения или приложения в контексте организации.
  • Нет источников. Пользователи организации не могут открывать данные из внешних учетных записей, документов, расположений или приложений в контексте организации. ПРИМЕЧАНИЕ. Для Microsoft Edge нет источников управляет поведением отправки файлов с помощью перетаскивания или диалогового окна открытия файла. Локальный просмотр файлов и совместное использование файлов между сайтами и вкладками заблокированы.


 Все источники
Отправка данных организации по Выберите один из следующих параметров, чтобы указать назначения, в которые пользователи организации могут отправлять данные:
  • Все назначения: пользователи организации могут отправлять данные организации в любую учетную запись, документ, расположение или приложение.
  • Нет назначений. Пользователи организации не могут отправлять данные организации во внешние учетные записи, документы, расположения или приложения из контекста организации. ПРИМЕЧАНИЕ. Для Microsoft Edge нет назначений блокирует скачивание файла. Это означает, что общий доступ к файлам между сайтами и вкладками заблокирован.


 Все назначения
Разрешить вырезать, копировать и вставлять для Выберите один из следующих параметров, чтобы указать источники и назначения, которые пользователи организации могут вырезать или скопировать или вставить данные организации:
  • Любое назначение и любой источник. Пользователи организации могут вставлять данные из и вырезать или копировать данные в любую учетную запись, документ, расположение или приложение.
  • Нет назначения или источника. Пользователи организации не могут вырезать, копировать или вставлять данные во внешние учетные записи, документы, расположения или приложения из или в контекст организации. ПРИМЕЧАНИЕ. Для Microsoft Edge нет целевого или исходного блока, вырезания, копирования и вставки только в веб-содержимом. Вырезка, копирование и вставка отключены для всего веб-содержимого, но не для элементов управления приложениями, включая адресную строку.
  • Назначения данных организации и любой источник. Пользователи организации могут вставлять данные из любой учетной записи, документа, расположения или приложения, а также вырезать или копировать данные в другие документы, расположения или приложения организации.
  • Назначения данных организации и источники данных организации. Пользователи организации могут вырезать или скопировать данные организации в контексте организации в другие документы, расположения или приложения организации. Пользователи организации могут вставлять данные в контексте организации в другие документы, расположения или приложения организации.


 Любое назначение и любой источник

функциональность.

Setting Применение Значение по умолчанию
Печать данных организации Выберите Блокировать , чтобы запретить печать данных организации. Выберите Разрешить , чтобы разрешить печать данных организации. Личные или неуправляемые данные не затрагиваются. Allow

Проверки работоспособности

Задайте условия проверка работоспособности для политики защиты приложений. Выберите параметр и введите значение , которое должно соответствовать пользователям для доступа к данным организации. Затем выберите действие , которое нужно выполнить, если пользователи не соответствуют вашим условным требованиям. В некоторых случаях для одного параметра можно настроить несколько действий. Дополнительные сведения см. в разделе Действия проверки работоспособности.

Условия приложения

Настройте следующие параметры проверка работоспособности, чтобы проверить конфигурацию приложения, прежде чем разрешать доступ к учетным записям и данным организации.

Примечание.

Термин приложение, управляемое политикой , относится к приложениям, настроенным с помощью политик защиты приложений.

Setting Применение Значение по умолчанию
Период отсрочки в автономном режиме Количество минут, в течение которых приложение, управляемое политикой, может работать в автономном режиме. Укажите время (в минутах), по истечении которого выполняется повторная проверка требований доступа для приложения.

Действия:

  • Блокировать доступ (в минутах) — количество минут, в течение которых приложения, управляемые политикой, могут работать в автономном режиме. Укажите время (в минутах), по истечении которого выполняется повторная проверка требований доступа для приложения. По истечении заданного периода приложение блокирует доступ к рабочим и учебным данным, пока доступ к сети не возобновится. Таймер автономного льготного периода для блокировки доступа к данным вычисляется на основе последнего проверка в службе Intune. Этот формат параметра политики поддерживает положительное целое число.
  • Очистка данных (в днях): по истечении этого количества дней (определяемых администратором) автономного запуска приложение требует от пользователя подключиться к сети и повторно пройти проверку подлинности. Если пользователь успешно прошел проверку подлинности, он сможет продолжить доступ к своим данным, а автономный интервал сбрасывается. Если пользователю не удается пройти проверку подлинности, приложение выполняет выборочную очистку учетной записи и данных пользователей. Дополнительные сведения о том, какие данные удаляются с помощью выборочной очистки, см. в статье Очистка только корпоративных данных из приложений, управляемых Intune. Таймер автономного периода отсрочки для очистки данных вычисляется приложением на основе последнего проверка в службе Intune. Этот формат параметра политики поддерживает положительное целое число.
Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

 Блокировать доступ (в минутах): 720 минут (12 часов)

Очистка данных (дней): 90 дней
Минимальная версия приложения Укажите значение для минимального номера версии приложения.

Действия:

  • Предупредить — пользователь получит уведомление, если версия приложения на устройстве не соответствует требованиям. Это уведомление можно отклонить.
  • Блокировать доступ — пользователю будет запрещен доступ, если версия приложения на устройстве не соответствует требованиям.
  • Очистка данных . Учетная запись пользователя, связанная с приложением, очищается с устройства.
Так как приложения часто имеют разные схемы управления версиями, создайте политику с одной минимальной версией приложения, ориентированной на одно приложение.

Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот параметр политики поддерживает соответствующие форматы версий пакета приложений Windows (major.minor или major.minor.patch).		 Нет значения по умолчанию
Минимальная версия пакета SDK Укажите минимальную версию пакета SDK для Intune.

Действия:

  • Блокировать доступ — пользователю будет запрещен доступ, если версия приложения пакета SDK для политики защиты приложений Intune не соответствует требованиям.
  • Очистка данных . Учетная запись пользователя, связанная с приложением, очищается с устройства.
Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.		 Нет значения по умолчанию
Учетная запись отключена Укажите автоматическое действие, если учетная запись Microsoft Entra для пользователя отключена. Администратор можно указать только одно действие. Значение для этого параметра не задано. Действия:
  • Блокировать доступ. Когда мы подтвердим, что пользователь отключен в Microsoft Entra ID, приложение блокирует доступ к рабочим или учебным данным.
  • Очистка данных. Когда мы подтвердим, что пользователь отключен в Microsoft Entra ID, приложение выполняет выборочную очистку учетной записи и данных пользователей.
ЗАМЕТКА: Если состояние пользователя не может быть подтверждено из-за подключения, проверки подлинности или по какой-либо другой причине, эти действия (блокировка доступа и очистка данных) не применяются.		 Нет значения по умолчанию

Условия устройства

Настройте следующие параметры проверка работоспособности, чтобы проверить конфигурацию устройства, прежде чем разрешать доступ к учетным записям и данным организации. Для зарегистрированных устройств можно настроить аналогичные параметры на основе устройств. Дополнительные сведения о настройке параметров соответствия устройств для зарегистрированных устройств.

Setting Применение Значение по умолчанию
Минимальная версия ОС Укажите минимальную операционную систему Windows для использования этого приложения.

Действия:

  • Предупреждение . Пользователь видит уведомление, если версия Windows на устройстве не соответствует требованию. Это уведомление можно отклонить.
  • Блокировать доступ . Доступ пользователя блокируется, если версия Windows на устройстве не соответствует этому требованию.
  • Очистка данных . Учетная запись пользователя, связанная с приложением, очищается с устройства.
Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот формат параметра политики поддерживает следующие форматы версий: major.minor, major.minor.build, major.minor.build.revision.

Чтобы найти версию Windows, откройте командную строку. Версия отображается в верхней части окна командной строки. Пример используемого формата версии — 10.0.22631.3155. Обратите внимание, что при использовании winver команды отображается только сборка ОС (например, 22631.3155), которая не является правильным форматом для использования.
Максимальная версия ОС Укажите максимальный размер операционной системы Windows для использования этого приложения.

Действия:

  • Предупреждение . Пользователь видит уведомление, если версия Windows на устройстве не соответствует требованию. Это уведомление можно отклонить.
  • Блокировать доступ . Доступ пользователя блокируется, если версия Windows на устройстве не соответствует этому требованию.
  • Очистка данных . Учетная запись пользователя, связанная с приложением, очищается с устройства.

Эта запись может встречаться несколько раз, при этом каждый экземпляр поддерживает отдельное действие.

Этот формат параметра политики поддерживает следующие форматы версий: major.minor, major.minor.build, major.minor.build.revision.
Максимальный допустимый уровень угроз для устройства Политики защиты приложений могут использовать соединитель Intune-MTD. Укажите максимальный уровень угроз, приемлемый для использования этого приложения. Угрозы определяются выбранным приложением-поставщиком защиты мобильных устройств от угроз (MTD) на устройстве конечного пользователя. Укажите Защищенный, Низкий, Средний или Высокий. Защищенный требует отсутствия угроз на устройстве и является наиболее строгим значением из доступных, а Высокий, по сути, требует наличия активного подключения Intune к MTD.

Действия:

  • Блокировка доступа . Пользователь блокирует доступ, если уровень угрозы, определенный выбранным приложением поставщика Mobile Threat Defense (MTD) на устройстве конечного пользователя, не соответствует этому требованию.
  • Очистка данных . Учетная запись пользователя, связанная с приложением, очищается с устройства.

Дополнительные сведения об использовании этого параметра см. в статье Активация MTD для незарегистрированных устройств.

Дополнительные сведения

Дополнительные сведения о приложении для устройств с Windows см. в следующих ресурсах:

  • Last updated on