Управление приложениями с помощью политик управления мобильными приложениями в Configuration Manager
Применимо к:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
Начиная с System Center 2012 Configuration Manager с пакетом обновления 2 (SP2), политики управления приложениями позволяют изменить функциональные возможности развертываемых приложений, чтобы привести их в соответствие с корпоративной политикой и требованиями по безопасности. Например, можно запретить функцию вырезания, копирования и вставки в ограничиваемом приложении, либо настроить приложение на открытие всех веб-ссылок в управляемом браузере. Политики управления приложениями поддерживают:
Устройства под управлением Android 4 и более поздней версии.
Устройства под управлением iOS 7 и более поздней версии.
.jpeg "System_CAPS_tip"){kind=icon} Совет |
|---|
Помимо управляемых устройств политики управления мобильными приложениями можно использовать для защиты приложений на устройствах, которые не управляются Intune. Благодаря этой новой возможности вы можете применять политики управления мобильными приложениями для приложений, подключающихся к службам Office 365. Данная возможность не поддерживается для приложений, подключающихся к локальным службам Exchange или SharePoint. Для использования этой новой возможности необходим портал предварительной версии Azure. Используйте следующие статьи для начала работы: |
В отличие от элементов и базовых показателей конфигурации в Configuration Manager, непосредственное развертывание политики управления приложениями не осуществляется. Вместо этого нужно связать политику с типом развертывания приложения (DT), который необходимо ограничить. При развертывании и установке типа развертывания приложения на устройствах будут использоваться заданные параметры.
Чтобы ограничения можно было применить к приложению, оно должно содержать пакет средств разработки программного обеспечения Microsoft Intune (SDK). Существуют два способа получения этого типа приложения:
Использование приложения, управляемого политикой (Android и iOS) — пакет SDK для приложений встроен. Чтобы добавить этот тип приложения, укажите ссылку на приложение из магазина, например магазине iTunes или Google Play. Для этого типа приложения дальнейшей обработки не требуется. Список управляемых политикой приложений, которые доступны для устройств iOS и Android, см. в разделе Управляемые приложения для политик управления мобильными приложениями Microsoft Intune.
Использование "упакованного" приложения (Android и iOS) — приложения, перепакованные для включения пакета SDK для приложений с помощью инструмента упаковки приложений Microsoft Intune. Это средство обычно используется для обработки корпоративных приложений, создаваемых внутри организации. Его невозможно использовать для обработки приложений, загруженных из магазина приложений. См. разделы Подготовка приложений iOS для управления мобильными приложениями с помощью инструмента упаковки для приложений Microsoft Intune и Подготовка приложений Android для управления мобильными приложениями с помощью инструмента упаковки для приложений Microsoft Intune.
Создание и развертывание приложения с политикой управления мобильным приложением
Шаг 1. Получение ссылки на приложение, управляемое политикой, либо создание упакованного приложения
Шаг 2. Создание приложения Configuration Manager, содержащего приложение
Шаг 3. Создание политики управления приложениями
Шаг 4. Связывание политики управления приложениями с типом развертывания
Шаг 5. Отслеживание развертывания приложения
Шаг 1. Получение ссылки на приложение, управляемое политикой, либо создание упакованного приложения
Для получения ссылки на приложение, управляемое политикой (iOS и Android): в магазине приложений найдите и сохраните URL-адрес приложения, управляемого политикой, которое вы хотите развернуть.
Например, URL-адрес приложения Microsoft Word для iPad имеет вид https://itunes.apple.com/us/app/microsoft-word-for-ipad/id586447913?mt=8.
Для создания изолированного приложения (iOS и Android) — для создания изолированного приложения используйте сведения в разделах Подготовка приложений iOS для управления мобильными приложениями с помощью инструмента упаковки для приложений Microsoft Intune и Подготовка приложений Android для управления мобильными приложениями с помощью инструмента упаковки для приложений Microsoft Intune.
Средство создает обработанное приложение и связанный файл манифеста. Эти файлы будут использоваться при создании приложения Configuration Manager, содержащего приложение.
Шаг 2. Создание приложения Configuration Manager, содержащего приложение
Процедура создания приложения Configuration Manager зависит от того, используется ли приложение, управляемое политикой (внешняя ссылка), или приложение, созданное с помощью инструмента упаковки для приложений Microsoft Intune (пакет приложений для iOS). Для создания приложения Configuration Manager используйте одну из следующих процедур.
Создание приложения для приложения iOS инструмента упаковки для приложений
-
В консоли Configuration Manager выберите пункт Библиотека программного обеспечения.
-
В рабочей области Библиотека программного обеспечения разверните узел Управление приложениями и выберите Приложения.
-
На вкладке Главная в группе Создать щелкните Создать приложение, чтобы открыть мастер создания приложения.
-
На вкладке Общие выберите Автоматически получить данные об этом приложении из файлов установки.
-
В раскрывающемся списке Тип выберите пункт Пакет приложения для ОС iOS (IPA-файл).
-
Нажмите кнопку Обзор, чтобы выбрать пакет приложения, который требуется импортировать, и нажмите кнопку Далее.
-
На странице Общие сведения введите текст описания и сведения о категории, которые должны отображаться пользователям на портале организации.
-
Завершите работу мастера.
Новое приложение отображается в узле Приложения рабочей области Библиотека программного обеспечения.
Создание приложения, содержащего ссылку на приложение, управляемое политикой
-
В консоли Configuration Manager выберите пункт Библиотека программного обеспечения.
-
В рабочей области Библиотека программного обеспечения разверните узел Управление приложениями и выберите Приложения.
-
На вкладке Главная в группе Создать щелкните Создать приложение, чтобы открыть мастер создания приложения.
-
На вкладке Общие выберите Автоматически получить данные об этом приложении из файлов установки.
-
В раскрывающемся списке Тип выберите один из следующих вариантов.
- Для iOS: **пакет приложения для ОС iOS в App Store** - Для Android: **пакет приложения для ОС Android в Google Play** -
Введите URL-адрес для приложения (из шага 1) и нажмите кнопку Далее.
-
На странице Общие сведения введите текст описания и сведения о категории, которые должны отображаться пользователям на портале организации.
-
Завершите работу мастера.
Новое приложение отображается в узле Приложения рабочей области Библиотека программного обеспечения.
Шаг 3. Создание политики управления приложениями
Создайте политику управления приложениями, которая будет связана с приложением. Можно создать общую политику или политику Managed Browser.
Создание политики управления приложениями
-
В консоли Configuration Manager выберите пункт Библиотека программного обеспечения.
-
В рабочей области Библиотека программного обеспечения разверните узел Управление приложениями и выберите Политики управления приложениями.
-
На вкладке Главная в группе Создать нажмите кнопку Создать политику управления приложениями.
-
На странице Общие введите имя и описание для политики, а затем нажмите кнопку Далее.
-
На странице Тип политики выберите платформу и тип политики, а затем нажмите кнопку Далее. Доступны следующие типы политик:
- **Общий**: тип политики "Общий" позволяет изменять функциональные возможности развертываемых приложений, чтобы привести их в соответствие с корпоративными политиками обеспечения соответствия и безопасности. Например, можно запретить функцию вырезания, копирования и вставки в конкретном приложении. - **Управляемый браузер**: укажите, разрешать или запрещать управляемому браузеру открывать список URL-адресов. Тип политики "Управляемый браузер" позволяет изменить функциональность приложения Intune Managed Browser. Это веб-браузер, позволяющий управлять действиями, разрешенными пользователям, включая веб-сайты, которые они могут посещать, а также порядком открытия ссылок на содержимое в браузере. Дополнительные сведения о приложении Intune Managed Browser см. [здесь](https://itunes.apple.com/us/app/microsoft-intune-managed-browser/id943264951?mt=8) для iOS и [здесь](https://play.google.com/store/apps/details?id=com.microsoft.intune.mam.managedbrowser%26hl=en) для Android. -
На странице Политика iOS или Политика Android введите необходимые значения и нажмите кнопку Далее. Параметры могут отличаться в зависимости от типа устройства, для которого настраивается политика.
Значение
Дополнительные сведения
Отображать веб-содержимое только в корпоративном управляемом браузере
Если этот параметр включен, то любые ссылки в приложении будут открываться в управляемом браузере. Чтобы этот параметр действовал, необходимо развернуть приложение на устройствах.
Отключить резервное копирование Android или Отключить резервное копирование iTunes и iCloud
Отключает создание резервных копий любой информации из приложения.
Разрешить приложению передавать данные в другие приложения
Определяет приложения, которым данное приложение может отправлять данные. Можно выбрать запрет передачи данных в любое приложение, разрешить передачу данных только в другие ограниченные приложения, либо разрешить передачу в любое приложение.
Чтобы запретить передачу документов между управляемыми и неуправляемыми приложениями для устройств iOS также необходимо настроить и развернуть политику безопасности мобильного устройства, которая отключает параметр Разрешить управляемые документы в других неуправляемых приложениях.
.jpeg "System_CAPS_note")
ПримечаниеЕсли выбрана передача только в другие ограниченные приложения, то для открытия содержимого соответствующих типов будут использоваться программы просмотра PDF и изображений Intune (если они развернуты).
Разрешить приложению получать данные из других приложений
Определяет приложения, от которых это приложение может получать данные. Можно выбрать один из вариантов:
запретить передачу данных из любого приложения;
разрешить передачу только от других ограниченных приложений;
разрешить передачу данных из любого приложения.
Запрет команды "Сохранить как"
Отключает использование варианта выбора Сохранить как во всех приложениях, использующих эту политику.
Ограничить вырезание, копирование и вставку данных между приложениями
Определяет порядок использования операций вырезания, копирования и вставки в приложении. Выберите один из следующих типов.
Заблокировано: операции вырезания, копирования и вставки данных между этим и другими приложениями запрещены.
Приложения, управляемые политикой: операции вырезания, копирования и вставки данных разрешены только между этим и другими ограниченными приложениями.
Вставка в приложения, управляемые политикой: вставка данных, вырезанных или скопированных в этом приложении, разрешена только в другие ограниченные приложения. Разрешить вставку данных, вырезанных или скопированных в любом приложении, в это приложение.
Любое приложение: операции вырезания, копирования и вставки данных в это или из этого приложения не ограничены.
Требовать простой PIN-код для доступа
Требует от пользователя ввести PIN-код, заданный им для использования этого приложения. Пользователю будет предложено настроить код при первом запуске приложения.
Число попыток до сброса PIN-кода
Определяет число попыток ввода PIN-кода, по достижении которого пользователь будет должен сбросить PIN-код.
Требовать корпоративные учетные данные для доступа
Для получения доступа к приложению пользователь должен ввести корпоративные учетные данные.
Требовать соответствия устройства корпоративной политике доступа
Использование приложения допускается только на устройствах, операционная система которых не подвергалась взлому или получению корневого доступа.
Повторная проверка соблюдения требований к доступу через (в минутах)
В поле Время ожидания укажите период времени после запуска приложения, по истечении которого будет произведена повторная проверка соблюдения требований к доступу.
Если устройство находится в автономном режиме, укажите в поле Льготный период в автономном режиме период времени, по истечении которого будет произведена повторная проверка соблюдения требований к доступу для приложения.
Шифрование данных приложения
Указывает, что все данные, связанные с этим приложением, будут зашифрованы, в том числе и данные, хранящиеся вне памяти устройства, например, SD-картах.
ПримечаниеШифрование для iOS
Для приложений, связанных с политикой управления мобильными приложениями Configuration Manager, данные, находящиеся в неактивном состоянии, шифруются с использованием средств шифрования на уровне устройства, предоставленных ОС. Это обеспечивается политикой PIN-кодов для устройств, которая должна быть установлена администратором службы ИТ. Если требуется ввод PIN-кода, данные будут шифроваться в соответствии с настройками политики управления мобильными приложениями. Как указано в документации компании Apple, модули, используемые iOS 7, имеют сертификат соответствия FIPS 140-2.
Шифрование для Android
Для приложений, связанных с политикой управления мобильными приложениями Configuration Manager, шифрование обеспечивается корпорацией Майкрософт. Данные шифруются синхронно во время операций ввода-вывода в соответствии с параметрами политики управления мобильными приложениями. Управляемые приложения на Android применяют шифрование AES-128 в режиме CBC с использованием библиотек шифрования платформы. Метод шифрования не сертифицирован FIPS 140-2. Содержимое в хранилище устройства всегда находится в зашифрованном виде.
Блокировать создание снимков экрана (только устройства Android)
Указывает, что возможности создания снимков экранов данного устройства блокируются при использовании этого приложения.
-
На странице Управляемый браузер укажите, разрешено или запрещено управляемому браузеру открывать URL-адреса в списке, задайте URL-адреса в списке и нажмите кнопку Далее.
.jpeg "System_CAPS_warning")
ПредупреждениеДополнительные сведения см. в статье Управление доступом в Интернет с помощью политик управляемого браузера в Microsoft Intune.
-
Завершите работу мастера.
Новая политика отображается в узле Политики управления приложениями рабочей области Библиотека программного обеспечения.
Шаг 4. Связывание политики управления приложениями с типом развертывания
При создании типа развертывания для приложения, для которого требуется политика управления приложениями, Configuration Manager определяет, что политику управления приложениями необходимо связать с этим типом развертывания при развертывании связанного приложения, и предлагает связать политику управления приложениями. Для приложения управляемого браузера необходимо связать политики "Общая" и "Управляемый браузер". Дополнительные сведения см. в статье Создание и развертывание приложений для мобильных устройств в Configuration Manager.
.jpeg "System_CAPS_important") Важно |
|---|
Если приложение уже развернуто, развертывание для нового типа развертывания будет завершаться сбоем, пока не будет установлена данная связь. Связь можно установить в разделе Свойства для приложения на вкладке Управление приложениями. |
| Важно |
|---|
Для устройств с ОС более ранней, чем iOS версии 7.1, связанные политики не будут удалены после удаления приложения. Если для устройства отменяется регистрация в Configuration Manager, политики из приложений не удаляются. Приложения, к которым были применены политики, сохранят свои параметры политики даже после удаления и переустановки приложения. |
Шаг 5. Отслеживание развертывания приложения
После создания и развертывания приложения, связанного с политикой управления мобильными приложениями, вы можете отслеживать приложение и разрешать любые конфликты, связанные с политикой.
-
В консоли Configuration Manager выберите пункт Библиотека программного обеспечения.
-
В рабочей области Мониторинг разверните узел Обзор и щелкните элемент Развертывания.
-
Выберите развертывание и на вкладке Главная щелкните Свойства.
-
В области сведений для развертывания щелкните Политики управления приложениями в разделе Связанные объекты.
Дополнительные сведения о мониторинге приложений см. в разделе Мониторинг приложений в Configuration Manager.
Разрешение конфликтов политик
В случае возникновения конфликта политики управления мобильными приложениями при первом развертывания для пользователя или устройства, конкретное значение конфликтующего параметра будет удалено из политики, развернутой для приложения, и приложение будет использовать встроенное конфликтное значение.
В случае возникновения конфликта политики управления мобильными приложениями при последующих развертываниях для пользователя или устройства, конкретное значение конфликтующего параметра не будет обновлено для политики, развернутой для приложения, и приложение будет использовать существующее значение для этого параметра.
В тех случаях, когда устройство или пользователь получает две конфликтующих политики, применяется следующее поведение:
Если политика уже развернута на устройстве, то существующие параметры политики не будут перезаписаны.
Если политика еще не была развернут на устройстве, и развертываются два конфликтующих параметра, то используется параметр по умолчанию, встроенный в устройство.
Доступные приложения, управляемые политикой
Список управляемых политикой приложений, которые доступны для устройств iOS и Android, см. в разделе Управляемые приложения для политик управления мобильными приложениями Microsoft Intune.