如何创建和分配应用保护策略
了解如何为组织用户 (应用) 创建和分配Microsoft Intune应用保护策略。 本主题还介绍如何对现有策略进行更改。
准备工作
应用保护策略可以应用于在设备上运行的应用,这些应用可能由Intune管理或无法管理。 有关应用保护策略的工作原理以及Intune应用保护策略支持的方案的更详细说明,请参阅应用保护策略概述。
应用保护策略 (APP) 中可用的选项使组织能够根据特定需求调整保护。 对于某些组织而言,实现完整方案所需的策略设置可能并不明显。 为了帮助组织确定移动客户端终结点强化的优先级,Microsoft 为其面向 iOS 和 Android 移动应用管理的 APP 数据保护框架引入了分类法。
APP 数据保护框架分为三个不同的配置级别,每个级别基于上一个级别进行构建:
- 企业基本数据保护(级别 1)可确保应用受 PIN 保护和经过加密处理,并执行选择性擦除操作。 对于 Android 设备,此级别验证 Android 设备证明。 这是一个入门级配置,可在 Exchange Online 邮箱策略中提供类似的数据保护控制,并将 IT 和用户群引入 APP。
- 企业增强型数据保护(级别 2)引入了 APP 数据泄露预防机制和最低 OS 要求。 此配置适用于访问工作或学校数据的大多数移动用户。
- 企业高级数据保护(级别 3)引入了高级数据保护机制、增强的PIN 配置和 APP 移动威胁防御。 此配置适用于访问高风险数据的用户。
若要查看每个配置级别的具体建议以及必须受保护的核心应用,请查看使用应用保护策略的数据保护框架。
如果要查找集成了 Intune SDK 的应用列表,请参阅Microsoft Intune受保护的应用。
有关将组织的业务线 (LOB) 应用添加到Microsoft Intune以准备应用保护策略的信息,请参阅将应用添加到Microsoft Intune。
应用保护iOS/iPadOS 和Android应用的策略
为 iOS/iPadOS 和Android应用创建应用保护策略时,将遵循新式Intune流程,从而生成新的应用保护策略。 有关为Windows应用创建应用保护策略的信息,请参阅使用Intune创建和部署WINDOWS 信息保护 (WIP) 策略。
创建iOS/iPadOS 或Android应用保护策略
登录到 Microsoft 终结点管理器管理中心。
选择 应用 > 应用保护策略。 此选择将打开 应用保护策略 详细信息,在其中创建新策略并编辑现有策略。
选择 “创建策略” ,然后选择 “iOS/iPadOS” 或 “Android”。 显示 “创建策略” 窗格。
在“基本信息”页上,添加以下值:
值 说明 Name 此应用保护策略的名称。 说明 [可选]此应用保护策略的说明。 “平台” 值根据上述选择而设定。
单击 “下一步 ”以显示 “应用 ”页。 “应用” 页面允许选择如何将此策略应用于不同设备上的应用。 必须至少添加一个应用。
值/选项 说明 面向所有设备类型的应用 使用此选项可将策略定向到任何管理状态的设备上的应用。 选择 “否 ”以特定设备类型的应用为目标。 有关信息,请参阅 基于设备管理状态的目标应用保护策略。 设备类型 使用此选项可以指定此策略是适用于 MDM 托管设备还是非托管设备。 对于iOS/iPadOS 应用策略,请从 非托管 设备和 托管 设备中进行选择。 对于Android应用策略,请从 非托管、Android设备管理员 和 Android Enterprise 中进行选择。 目标策略 在 “目标策略” 下拉框中,选择将应用保护策略定位到 “所有应用”、“Microsoft Apps”或 “核心Microsoft Apps”。 - 所有应用 都包括集成了 Intune SDK 的所有 Microsoft 和合作伙伴应用。
- Microsoft Apps 包括集成了 Intune SDK 的所有 Microsoft 应用。
- 核心Microsoft Apps 包括以下应用:Edge、Excel、Office、OneDrive、OneNote、Outlook、PowerPoint、SharePoint、Teams、微软待办和 Word。
接下来,可以选择 查看将面向 查看受此策略影响的应用列表的应用列表。||公共应用|如果不想选择其中一个预定义的应用组,则可以选择通过在目标策略中选择“目标”策略中的 选定应用 来定位单个应用 。 单击 “选择公共应用 ”以选择要面向的公共应用。 | |自定义应用|如果不想选择其中一个预定义的应用组,则可以选择通过在目标策略中选择“目标”策略中的 选定应用 来定位单个应用 。 单击 “选择自定义应用 ”,根据捆绑 ID 选择要面向的自定义应用。 当针对同一策略中的所有公共应用时,不能选择自定义应用。 |
已选择的应用 () 将显示在公共应用和自定义应用列表中。
备注
支持公共应用 是 Microsoft 的应用,以及常用于Microsoft Intune的合作伙伴。 这些Intune受保护的应用启用了一组对移动应用程序保护策略的丰富支持。 有关详细信息,请参阅Microsoft Intune受保护的应用。 自定义应用是已与Intune SDK 集成或由Intune App Wrapping Tool包装的 LOB 应用。 有关详细信息,请参阅Microsoft Intune应用 SDK 概述和为应用保护策略准备业务线应用。
单击 “下一步 ”以显示 “数据保护 ”页。 本页提供数据丢失预防 (DLP) 控制的设置,包括剪切、复制、粘贴和另存为限制。 这些设置决定了用户如何与该应用保护策略所适用应用中的数据进行交互。
数据保护设置
- iOS/iPadOS 数据保护 - 有关信息,请参阅 iOS/iPadOS 应用保护策略设置 - 数据保护。
- Android数据保护 - 有关信息,请参阅 Android应用保护策略设置 - 数据保护。
单击 “下一步 ”以显示 “访问要求 ”页。 本页面所提供的设置允许配置用户必须满足的 PIN 和凭证要求,以便在工作环境中访问应用。
访问要求设置
- iOS/iPadOS 访问要求 - 有关信息,请参阅 iOS/iPadOS 应用保护策略设置 - 访问要求。
- Android访问要求 - 有关信息,请 参阅Android应用保护策略设置 - 访问要求。
单击 “下一步 ”以显示 条件启动 页。 本页面提供设置,为应用保护策略设置登录安全要求。
选择 “设置” 并输入登录到公司应用时必须满足的 “值”。 然后选择希望在用户不符合要求时所采取 “操作”。 在某些情况下,可以为单个设置配置多个操作。
条件启动设置
- iOS/iPadOS 条件启动 - 有关信息,请 参阅 iOS/iPadOS 应用保护策略设置 - 条件启动。
- Android条件启动 - 有关信息,请 参阅Android应用保护策略设置 - 条件启动。
单击 “下一步 ”以显示 “分配” 页。 使用 “分配” 页,可以将应用保护策略分配给用户组。 必须将策略应用于用户组才能使策略生效。
单击 “下一步:查看 + 创建 ”以查看为此应用保护策略输入的值和设置。
完成后,单击 “创建”以在Intune中创建应用保护策略。
提示
这些策略设置仅在工作上下文中使用应用时强制执行。 当最终用户使用应用执行个人任务时,他们不会受到这些策略的影响。 请注意,创建新文件时,该文件被视为个人文件。
重要
应用保护策略可能需要一段时间才能应用于现有设备。 应用应用保护策略时,最终用户将在设备上看到通知。 在应用连续访问规则之前,将应用保护策略应用到设备。
最终用户可以从应用商店或 Google Play 下载应用。 有关更多信息,请参阅:
更改现有策略
可以编辑现有策略并将其应用到目标用户。 但是,当你更改现有策略时,已登录到应用的用户在 8 小时内将看不到更改。 若要立即查看更改的效果,最终用户必须注销应用,然后重新登录。
更改与策略关联的应用列表
在 应用保护策略 窗格中,选择要更改的策略。
在 “Intune应用保护”窗格中,选择 “属性”。
在标题为“ 应用”的部分旁边,选择 “编辑”。
“应用” 页面允许选择如何将此策略应用于不同设备上的应用。 必须至少添加一个应用。
值/选项 说明 面向所有设备类型的应用 使用此选项可将策略定向到任何管理状态的设备上的应用。 选择 “否 ”以特定设备类型的应用为目标。 此设置可能需要其他应用配置。 有关详细信息,请 参阅基于设备管理状态的目标应用保护策略。 设备类型 使用此选项可以指定此策略是适用于 MDM 托管设备还是非托管设备。 对于iOS/iPadOS 应用策略,请从 非托管 设备和 托管 设备中进行选择。 对于Android应用策略,请从 非托管、Android设备管理员 和 Android Enterprise 中进行选择。 公共应用 在 “目标策略” 下拉框中,选择将应用保护策略定向到 所有公共应用、Microsoft Apps 或 核心Microsoft Apps。 接下来,可以选择 “查看将面向 查看受此策略影响的应用列表的应用列表”。 如果需要,可以通过单击“ 选择公共应用”来选择以各个应用为目标。
自定义应用 单击 “选择自定义应用 ”,根据捆绑 ID 选择要面向的自定义应用。 已选择的应用 () 将显示在公共应用和自定义应用列表中。
单击 “查看 + 创建 ”以查看为此策略选择的应用。
完成后,单击 “保存 ”以更新应用保护策略。
更改用户组列表
在 应用保护策略 窗格中,选择要更改的策略。
在 “Intune应用保护”窗格中,选择 “属性”。
在标题为 “分配”的部分旁边,选择 “编辑”。
若要将新的用户组添加到策略,请在“ 包括 ”选项卡上选择 “选择要包含的组”,然后选择用户组。 选择 “选择 ”以添加组。
若要排除用户组,请在“ 排除 ”选项卡上选择 “选择要排除的组”,然后选择用户组。 选择 “选择 ”以删除用户组。
若要删除之前添加的组,请在“ 包括 ”或 “排除 ”选项卡上选择省略号 (...) ,然后选择 “删除”。
单击 “查看 + 创建 ”以查看为此策略选择的用户组。
对分配所做的更改准备就绪后,选择 “保存 ”以保存配置并将策略部署到新用户集。 如果在保存配置之前选择 “取消 ”,则会放弃对“ 包括 和 排除 ”选项卡所做的所有更改。
更改策略设置
在 应用保护策略 窗格中,选择要更改的策略。
在 “Intune应用保护”窗格中,选择 “属性”。
在与要更改的设置对应的部分旁边,选择 “编辑”。 然后将设置更改为新值。
单击 “查看 + 创建 ”以查看此策略的更新设置。
选择 “保存 ”以保存所做的更改。 重复此过程以选择设置区域,然后修改并保存更改,直到所有更改完成。 然后,可以关闭 “Intune应用保护 - 属性”窗格。
基于设备管理状态的目标应用保护策略
在许多组织中,通常允许最终用户使用Intune移动设备管理 (MDM) 托管设备(如公司拥有的设备)和仅受Intune应用保护策略保护的非托管设备。 非托管设备通常称为自带设备 (BYOD) 。
由于Intune应用保护策略以用户标识为目标,因此用户的保护设置可以应用于注册的 (MDM 托管) 和未注册的设备 (没有 MDM) 。 因此,可以将Intune应用保护策略定向到Intune已注册或未注册的iOS/iPadOS 和Android设备。 对于非托管设备,可以有一个保护策略,其中已设置严格的数据丢失防护 (DLP) 控件,以及针对 MDM 托管设备的单独保护策略,其中 DLP 控件可能更轻松一些。 有关在个人Android Enterprise设备上的工作原理的详细信息,请参阅应用保护策略和工作配置文件。
若要创建这些策略,请浏览到Intune控制台中的 应用 > 应用保护 策略,然后选择 “创建策略”。 还可以编辑现有的应用保护策略。 若要将应用保护策略同时应用于托管设备和非托管设备,请导航到 “应用” 页,确认 所有设备类型上的目标应用 都设置为“ 是”,即默认值。 如果要根据管理状态进行精细分配,请将 所有设备类型上的“目标 ”设置为 “否”。
设备类型
- 非托管:对于iOS/iPadOS 设备,非托管设备是任何设备,其中Intune MDM 管理或第三方 MDM/EMM 解决方案未传递
IntuneMAMUPN密钥。 对于Android设备,非托管设备是未检测到Intune MDM 管理的设备。 这包括由第三方 MDM 供应商管理的设备。 - Intune托管设备:托管设备由 Intune MDM 管理。
- Android设备管理员:使用Android设备管理 API Intune管理的设备。
- Android Enterprise:使用Android Enterprise工作配置文件或Android Enterprise完整设备管理Intune管理的设备。
Android设备将提示安装Intune 公司门户应用,而不管选择哪种设备类型。 例如,如果选择“Android Enterprise”,则仍会提示具有非托管Android设备的用户。
对于iOS/iPadOS,若要强制将“设备类型”选择强制Intune托管设备,需要其他应用配置设置。 这些配置将向应用服务传达特定应用是否受管理,并且应用设置不适用:
- 必须为所有 MDM 托管应用程序配置 IntuneMAMUPN。 有关详细信息,请参阅如何管理Microsoft Intune中iOS/iPadOS 应用之间的数据传输。
- 必须为所有第三方和业务线 MDM 托管应用程序配置 IntuneMAMDeviceID。 应将 IntuneMAMDeviceID 配置为设备 ID 令牌。 例如,
key=IntuneMAMDeviceID, value={{deviceID}}。 有关详细信息,请参阅为托管iOS/iPadOS 设备添加应用配置策略。 - 如果仅配置 了 IntuneMAMDeviceID,则Intune应用会将设备视为非托管设备。
备注
有关基于设备管理状态的应用保护策略的特定iOS/iPadOS 支持信息,请参阅基于管理状态的目标 MAM 保护策略。
策略设置
若要查看iOS/iPadOS 和Android的策略设置的完整列表,请选择以下链接之一: