Jak ovládat aplikace pomocí zásad správy mobilních aplikací v Configuration Manageru

Článek
12/29/2015

Rozsah platnosti: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Od verze System Center 2012 Configuration Manageru SP2 umožňují zásady správy aplikací měnit funkce nasazovaných aplikací tak, aby byly v souladu se zásadami dodržování předpisů a zabezpečení vaší společnosti. Můžete například omezit operace vyjmutí, kopírování a vložení v rámci aplikace s omezeným přístupem, nebo aplikaci nakonfigurovat tak, aby všechny webové odkazy otevírala ve spravovaném prohlížeči. Podpora zásad správy aplikací:

Zařízení se systémem Android 4 nebo novější verzí
Zařízení se systémem iOS 7 nebo novější verzí

Tip

Vedle spravovaných zařízení se zásady správy mobilních aplikací dají použít také k ochraně aplikací v zařízeních, která nespravuje služba Intune. Díky této nové funkci můžete používat zásady správy mobilních aplikací pro aplikace připojené ke službám Office 365. Není dostupná podpora aplikací, které se připojují k místním službám Exchange nebo SharePoint.

Tato nová funkce vyžaduje použití portálu Azure Preview. Pro začátek vám můžou pomoct tato témata:

Na rozdíl od položek konfigurace a směrných plánů v nástroji Configuration Manager nenasazujete zásady správy aplikací přímo. Místo toho přidružíte zásadu k typu nasazení (DT) aplikace, kterou chcete omezit. Při nasazení a instalaci DT aplikace na zařízení začne platit zadané nastavení.

Pokud chcete u aplikace použít omezení, musí aplikace obsahovat Microsoft Intune sadu SDK (App Software Development Kit). Tento typ aplikace se dá získat dvěma způsoby:

Použití aplikace spravované zásadou (Android a iOS): Má integrovanou sadu App SDK. Pokud chcete tento typ aplikace přidat, zadáte odkaz na aplikaci z App Storu, jako je třeba iTunes Store nebo Google Play. Tento typ aplikace nevyžaduje žádné další zpracování. Seznam aplikací spravovaných zásadou, které jsou dostupné pro zařízení s iOS a Androidem, najdete v tématu Spravované aplikace pro zásady správy mobilních aplikací Microsoft Intune.
Použití zabalené aplikace (Android a iOS): Aplikace, které jsou znovu zabalené, aby používaly sadu App SDK, pomocí nástroje Microsoft Intune App Wrapping Tool. Tento nástroj se obvykle používá ke zpracování interně vytvořených podnikových aplikací. Nedá se použít ke zpracování aplikací stažených z App Storu. Projděte si témata Příprava aplikací pro iOS na správu mobilních aplikací nástrojem Microsoft Intune App Wrapping Tool a Příprava aplikací pro Android na správu mobilních aplikací nástrojem Microsoft Intune App Wrapping Tool.

Vytvoření a nasazení aplikace pomocí zásady správy mobilní aplikace

Krok 1: Získání odkazu na aplikaci spravovanou zásadou nebo vytvoření zabalené aplikace
Krok 2: Vytvoření aplikace Configuration Manageru obsahující aplikaci
Krok 3: Vytvoření zásady správy aplikace
Krok 4: Přidružení zásad správy aplikací k typu nasazení
Krok 5: Sledování nasazení aplikace

Krok 1: Získání odkazu na aplikaci spravovanou zásadou nebo vytvoření zabalené aplikace

Pokud chcete získat odkaz na aplikaci spravovanou zásadou (iOS a Android) – v App Storu vyhledejte a poznamenejte si adresu URL aplikace spravované zásadou, kterou chcete nasadit.

Třeba aplikace Microsoft Word pro iPad má adresu URL https://itunes.apple.com/us/app/microsoft-word-for-ipad/id586447913?mt=8.
Vytvoření zabalené aplikace (iOS a Android) – použijte informace v tématech Příprava aplikací pro iOS na správu mobilních aplikací nástrojem Microsoft Intune App Wrapping Tool a Příprava aplikací pro Android na správu mobilních aplikací nástrojem Microsoft Intune App Wrapping Tool.

Nástroj vytváří zpracovanou aplikaci a přidružený soubor manifestu. Tyto soubory použijete při vytvoření aplikace nástroje Configuration Manager obsahující aplikaci.

Krok 2: Vytvoření aplikace Configuration Manageru obsahující aplikaci

Postup vytvoření aplikace nástroje Configuration Manager se liší v závislosti na tom, jestli používáte aplikaci spravovanou zásadou (externí odkaz), nebo aplikaci vytvořenou pomocí nástroje Microsoft Intune App Wrapping Tool pro iOS (balíček aplikace pro iOS). K vytvoření aplikace nástroje Configuration Manager použijte jeden z následujících postupů.

Vytvoření aplikace pro nástroj App Wrapping Tool pro aplikaci systému iOS

V konzole nástroje Configuration Manager klikněte na možnost Softwarová knihovna.
V pracovním prostoru Knihovna softwarů rozbalte možnost Správa aplikací a pak klikněte na položku Aplikace.
Na kartě Domů ve skupině Vytvořit klikněte na Vytvořit aplikaci a tím otevřete Průvodce vytvořením aplikace.
Na stránce Obecné vyberte Automaticky zjišťovat informace o této aplikaci z instalačních souborů.
V rozevíracím seznamu Typ vyberte Balíček aplikace pro platformu iOS (soubor *.ipa).
Kliknutím na Procházet vyberte balíček aplikace, který chcete importovat, a klikněte na Další.
Na stránce Obecné informace zadejte popisný text a informace o kategorii, které chcete, aby byly pro uživatele zobrazeny v portálu společnosti.
Dokončete průvodce.

Nová aplikace je zobrazena v uzlu Aplikace v pracovním prostoru Knihovna softwarů.

Vytvoření aplikace obsahující odkaz na aplikaci spravovanou zásadou

V konzole nástroje Configuration Manager klikněte na možnost Softwarová knihovna.
V pracovním prostoru Knihovna softwarů rozbalte možnost Správa aplikací a pak klikněte na položku Aplikace.
Na kartě Domů ve skupině Vytvořit klikněte na Vytvořit aplikaci a tím otevřete Průvodce vytvořením aplikace.
Na stránce Obecné vyberte Automaticky zjišťovat informace o této aplikaci z instalačních souborů.
V rozevíracím seznamu Typ vyberte jednu z následujících možností:
- Pro iOS: Balíček aplikací pro systém iOS z webu App Store
- Pro Android: Balíček aplikace pro platformu Android na webu Google Play
Zadejte adresu URL pro aplikaci (z kroku 1) a potom klikněte na Další.
Na stránce Obecné informace zadejte popisný text a informace o kategorii, které chcete, aby byly pro uživatele zobrazeny v portálu společnosti.
Dokončete průvodce.

Nová aplikace je zobrazena v uzlu Aplikace v pracovním prostoru Knihovna softwarů.

Krok 3: Vytvoření zásady správy aplikace

Potom vytvořte zásadu správy aplikace, kterou přidružíte k aplikaci. Můžete vytvořit obecnou zásadu nebo zásadu spravovaného prohlížeče.

Vytvoření zásady správy aplikace

V konzole nástroje Configuration Manager klikněte na možnost Softwarová knihovna.
V pracovním prostoru Softwarová knihovna rozbalte položku Správa aplikací a pak klikněte na Zásady správy aplikací.
Na kartě Domů ve skupině Vytvořit klikněte na Vytvořit zásadu správy aplikací.
Na stránce Obecné zadejte název a popis zásady a pak klikněte na Další.
Na stránce Typ zásady vyberte platformu a typ pro tuto zásadu a pak klikněte na Další. Seznam obsahuje následující typy zásad:
- Obecné: Tato zásada umožňuje upravit funkce nasazovaných aplikací tak, aby byly v souladu se zásadami dodržování předpisů a zabezpečení vaší společnosti. Můžete například omezit operace vyjmutí, zkopírování a vložení v aplikaci s omezeným přístupem.
- Spravovaný prohlížeč: Konfiguruje, jestli se má spravovanému prohlížeči povolit nebo zakázat otevření seznamu adres URL. Typ zásady Spravovaný prohlížeč umožňuje měnit funkce aplikace Intune Managed Browser. Tento webový prohlížeč umožňuje spravovat akce prováděné uživateli, včetně webů, které uživatelé můžou navštěvovat, a způsobu, jakým se v prohlížeči otvírají odkazy na obsah. Další informace o aplikaci Intune Managed Browser pro iOS najdete tady a pro Android tady.

Na stránce Zásady pro iOS nebo Zásady pro Android nakonfigurujte podle potřeby následující hodnoty a potom klikněte na Další. Možnosti se můžou lišit v závislosti na typu zařízení, pro které konfigurujete zásady.

Hodnota	Další informace
Omezit zobrazování obsahu webu jenom na podnikový spravovaný prohlížeč	Když je toto nastavení povolené, otevřou se ve spravované prohlížeči jakékoli odkazy v aplikaci. Aby tato možnost fungovala, musíte mít tuto aplikaci nasazenou na zařízeních.
Zabránit zálohám Androidu nebo Zabránit zálohám iTunes a iCloudu	Zakáže zálohování jakýchkoliv informací z aplikace.
Povolit aplikaci přenos dat do ostatních aplikací	Určuje aplikace, do kterých může tato aplikace může odesílat data. Můžete si vybrat, že nepovolíte přenos dat do jakékoli aplikace, povolíte jenom přenos do dalších aplikací s omezeným přístupem, nebo povolíte přenos do jakékoliv aplikace. Pro zařízení iOS platí, že aby se zabránilo přenosu dokumentu mezi spravovanými a nespravovanými aplikacemi, je nutné nakonfigurovat a nasadit taky zásady zabezpečení mobilního zařízení, které zakazují nastavení Povolit spravované dokumenty v dalších nespravovaných aplikacích. Poznámka Pokud vyberete možnost povolit jenom přenos do ostatních aplikací s omezeným přístupem, prohlížeč Intune PDF a prohlížeč obrázků (pokud je nasazený) se použije k otevření obsahu příslušných typů.
Povolit aplikaci, aby přijímala data z jiných aplikací	Určuje aplikace, ze kterých může tato aplikace přijímat data. Můžete se rozhodnout pro následující: nepovolovat přenos dat z jakékoli aplikace povolit jenom přenos z ostatních aplikací s omezeným přístupem povolit přenos z jakékoli aplikace
Zabránit možnosti Uložit jako	Zakáže použití možnosti Uložit jako v jakékoli aplikaci, která používá tuto zásadu.
Omezit vyjmutí, kopírování a vkládání v ostatních aplikacích	Určuje, jak se v aplikaci dají používat operace vyjmutí, kopírování a vložení. Vybírejte z těchto možností: Blokované – Nepovolujte operace vyjmutí, kopírování a vložení mezi touto a jinými aplikacemi. Aplikace spravované zásadami – Povolí jenom operace vyjmutí, kopírování a vložení mezi touto a jinými omezenými aplikacemi. Aplikace spravované zásadami s možností vložení – Povolí vložení dat vyjmutých nebo zkopírovaných z této aplikace jenom do ostatních omezených aplikací. Povolí vložení dat vyjmutých nebo zkopírovaných z jakékoliv aplikace do této aplikace. Libovolná aplikace – Žádná omezení operací vyjímání, kopírování a vkládání v této aplikaci.
Požadovat jednoduchý kód PIN pro přístup	Vyžaduje, aby uživatel zadal číslo kódu PIN, které určí pro použití této aplikace. Uživatel bude požádán o toto nastavení při prvním spuštění aplikace.
Počet pokusů o zadání před obnovení kódu PIN	Zadejte počet pokusů o zadání kódu PIN, které může uživatel udělat před resetováním kódu PIN.
Vyžadovat podnikové přihlašovací údaje pro přístup	Vyžaduje, aby uživatel zadal své podnikové přihlašovací informace před tím, než může aplikaci používat.
Vyžadovat kompatibilitu zařízení dodržováním podnikových zásad pro přístup	Umožňuje použití jenom aplikace, která se má použít, když se na zařízení nepoužil jailbreak nebo root.
Znovu zkontrolovat požadavky na přístup po (minuty)	V poli Časový limit určete časové období před dalším zkontrolováním požadavků na přístup po spuštění aplikace. Pokud je zařízení offline, určete v poli Doba odkladu offline časové období před opakovaným zkontrolováním požadavků na přístup k aplikaci.
Zašifrovat data aplikací	Určuje, že všechna data přidružená k této aplikaci budou zašifrovaná, včetně data uložených externě, například na SD kartách. Poznámka Šifrování pro iOS Pro aplikace, které jsou přidružené k zásadám správy mobilní aplikace nástroje Configuration Manager, jsou neaktivní uložená data zašifrovaná pomocí šifrování na úrovni zařízení poskytovaného operačním systémem. To zajišťuje zásada kódu PIN, kterou musí nastavit správce IT. Když se vyžaduje kód PIN, budou data zašifrovaná podle nastavení v zásadách správy mobilní aplikace. Jak uvádí dokumentace Apple, moduly používané v iOS 7 mají certifikaci FIPS 140-2. Šifrování pro Android Pro aplikace, které jsou přidružené k zásadám správy mobilní aplikace nástroje Configuration Manager, zajišťuje šifrování Microsoft. Data jsou zašifrovaná synchronně během souborových vstupně-výstupních operací podle nastavení v zásadách správy mobilní aplikace. Spravované aplikace v systému Android používají v režimu CBC šifrování AES-128 využívající kryptografické knihovny platformy. Metoda šifrování nemá certifikaci FIPS 140-2. Obsah v úložišti zařízení bude zašifrovaný vždycky.
Blokovat snímek obrazovky (jenom zařízení s Androidem)	Určuje, že jsou při použití této aplikace zablokované možnosti snímku obrazovky zařízení.

Na stránce Spravovaný prohlížeč vyberte, jestli chcete spravovanému prohlížeči povolit možnost otevírat jenom adresy URL v seznamu, nebo jestli pro něj chcete otevírání adres URL v seznamu zablokovat, případně spravujte adresy URL v seznamu a potom klikněte na Další.

Upozornění

Další informace naleznete v části Správa přístupu k internetu pomocí zásad spravovaného prohlížeče v Configuration Manageru.
Dokončete průvodce.

Upozornění
Další informace naleznete v části Správa přístupu k internetu pomocí zásad spravovaného prohlížeče v Configuration Manageru.

Nová zásada se zobrazí v uzlu Zásady správy aplikací v pracovním prostoru Softwarová knihovna.

Krok 4: Přidružení zásad správy aplikací k typu nasazení

Když se vytvoří typ nasazení pro aplikaci, která vyžaduje zásadu správy aplikace, Configuration Manager pozná, že musí být zásada správy aplikace spojená s tímto typem nasazení, když se přidružená aplikace nasadí, a zobrazí se výzva k přidružení zásady správy aplikace. V případě spravovaného prohlížeče je potřeba přidružit zásady Obecné i zásady Spravovaný prohlížeč. Další informace naleznete v části Jak vytvořit a nasadit aplikace pro mobilní zařízení ve Správci konfigurace.

Důležité
Pokud už je aplikace nasazená, nasazení pro nový typ nasazení selže, dokud se nevytvoří toto přidružení. Přidružení můžete vytvořit v části Vlastnosti u dané aplikace na kartě Správa aplikací.

Důležité
Pro zařízení, která používají operační systémy starší než iOS 7.1, nebudou při odinstalaci aplikace přidružené zásady odebrané. Pokud se registrace zařízení v nástroji Configuration Manager zruší, zásady se z aplikací neodeberou. Aplikace, u kterých se použily zásady, si zachovají nastavení zásad i po jejich odinstalování a opětovném nainstalování.

Pro zařízení, která používají operační systémy starší než iOS 7.1, nebudou při odinstalaci aplikace přidružené zásady odebrané.

Pokud se registrace zařízení v nástroji Configuration Manager zruší, zásady se z aplikací neodeberou. Aplikace, u kterých se použily zásady, si zachovají nastavení zásad i po jejich odinstalování a opětovném nainstalování.

Krok 5: Sledování nasazení aplikace

Po vytvoření a nasazení aplikace přidružené k zásadě správy mobilní aplikace můžete aplikaci sledovat a vyřešit případné konflikty zásad.

V konzole nástroje Configuration Manager klikněte na možnost Softwarová knihovna.
V pracovním prostoru Sledování rozbalte položku Přehled a pak klikněte na Nasazení.
Vyberte nasazení a na kartě Domů klikněte na Vlastnosti.
V podokně podrobností pro nasazení klikněte v části Související objekty na Zásady správy aplikací.

Další informace o sledování aplikací najdete v tématu Monitorování aplikací v nástroji Configuration Manager.

Způsob řešení konfliktů zásad

Pokud nastal konflikt zásad správy mobilní aplikace při prvním nasazení u uživatele nebo zařízení, konkrétní konfliktní hodnota nastavení se odebere ze zásady nasazené v aplikaci a aplikace bude používat integrovanou konfliktní hodnotu.

Pokud nastal konflikt zásady správy mobilní aplikace při pozdějších nasazeních aplikace nebo uživatele, konkrétní hodnota konfliktního nastavení se nebude aktualizovat na zásady správy mobilní aplikace nasazené do aplikace a aplikace bude používat stávající hodnotu tohoto nastavení.

V případech, kdy zařízení nebo uživatel obdrží dvě konfliktní zásady, platí následující chování:

Pokud už byla zásada nasazená na zařízení, stávající nastavení zásad se nepřepíšou.
Pokud ještě na zařízení nebyla nasazená žádná zásada a nasadí se dvě konfliktní nastavení, použije se výchozí nastavení zařízení.

Dostupné aplikace spravované zásadou

Seznam aplikací spravovaných zásadou, které jsou dostupné pro zařízení s iOS a Androidem, najdete v tématu Spravované aplikace pro zásady správy mobilních aplikací Microsoft Intune.

Viz také

Jak vytvořit a nasadit aplikace pro mobilní zařízení ve Správci konfigurace
Operace a údržby pro správu aplikací v produktu Configuration Manager