Microsoft Intune 中的 Android 应用保护策略设置

  • 项目

本文介绍 Android 设备的应用保护策略设置。 可以在门户的“设置”窗格中为应用保护策略配置所述策略设置。 有三类策略设置:数据保护设置、访问要求和条件启动。 在本文中,术语 策略托管的应用 指的是使用应用保护策略配置的应用。

重要

设备上需要Intune 公司门户才能接收 Android 设备的应用保护策略。

Intune Managed Browser 已停用。 使用 Microsoft Edge 获取受保护的 Intune 浏览器体验。

数据保护

数据传输

设置 如何使用 默认值
将组织数据备份到 Android 备份服务 选择“ 阻止 ”可阻止此应用将工作或学校数据备份到 Android 备份服务

选择“ 允许 ”以允许此应用备份工作或学校数据。		 允许
将组织数据发送到其他应用 指定可从此应用接收数据的应用:
  • 策略托管的应用: 仅允许传输到其他策略托管的应用。
  • 所有应用: 允许传输到任何应用。
  • :不允许将数据传输到任何应用,包括其他策略托管的应用。

默认情况下,Intune 可能允许将数据传输到一些豁免应用和服务。 此外,如果需要允许将数据传输到不支持 Intune 应用 的应用,则可以创建自己的豁免项。 有关详细信息,请参阅 数据传输豁免

此策略可能也适用于 Android 应用链接。 常规 Web 链接由 在 Intune Managed Browser 中打开应用链接 策略设置管理。

注意

Intune当前不支持 Android 即时应用功能。 Intune将阻止与应用的任何数据连接。 有关详细信息,请参阅 Android 开发人员文档中的 Android Instant Apps

如果将“ 将组织数据发送到其他应用 ”配置为 “所有应用”,则文本数据仍可能通过 OS 共享传输到剪贴板。

 所有应用
    选择要豁免的应用
 当为上一个选项选择 策略托管的应用 时,此选项可用。
    保存组织数据的副本
 选择 阻止 以在此应用中禁用“另存为”选项。 如果想要允许使用“另存为”,则选择“允许”。 如果设置为“阻止”,可以配置“允许用户将副本保存到所选的服务”设置

注意:
  • Microsoft Excel、OneNote、PowerPoint、Word和 Edge 支持此设置。 第三方和 LOB 应用可能也支持它。
  • 仅当将“ 将组织数据发送到其他应用” 设置为 “策略托管应用”时,才能配置此设置。
  • 将“ 将组织数据发送到其他应用 ”设置为“ 所有应用”时,此设置将为“允许”。
  • 将“ 将组织数据发送到其他应用 ”设置为“ ”时,此设置将为“阻止”且不允许的服务位置。
  • 如果将“ 加密组织数据” 设置为“ 需要”,此设置会将文件保存为加密。
允许
      允许用户将副本保存到所选的服务
 用户可以保存到所选服务 (OneDrive for Business、SharePoint、照片库、Box 和本地存储) 。 将阻止所有其他服务。 未选择任何项
    将电信数据传输到
 通常,当用户在应用中选择超链接的电话号码时,会打开一个拨号应用,预填充了该电话号码并随时可供拨打。 对于此设置,请选择从策略托管的应用启动此类内容传输时如何处理此类内容传输:
  • 无,请勿在应用之间传输此数据:检测到电话号码时不传输通信数据。
  • 特定拨号器应用: 当检测到电话号码时,允许特定的拨号器应用启动联系人。
  • 任何策略管理的拨号程序应用:允许任何策略托管拨号程序应用在检测到电话号码时启动联系。
  • 任意拨号器应用: 允许在检测到电话号码时使用任意拨号器应用启动联系人。
 任意拨号器应用
      Dialer 应用包 ID
 选择特定拨号程序应用后,必须提供 应用包 ID Blank
      拨号程序应用名称
 选择特定拨号程序应用后,必须提供拨号器应用的名称。 Blank
    将消息传递数据传输到
 通常,当用户在应用中选择超链接的电话号码时,会打开一个拨号应用,预填充了该电话号码并随时可供拨打。 对于此设置,请选择从策略管理的应用启动此类内容传输时如何处理此类内容传输。 对于此设置,请选择从策略托管的应用启动此类内容传输时如何处理此类内容传输:
  • 无,请勿在应用之间传输此数据:检测到电话号码时不传输通信数据。
  • 特定消息传送应用:允许在检测到电话号码时使用特定消息传递应用发起联系。
  • 任何策略托管的消息传递应用:允许在检测到电话号码时使用任何策略托管的消息传递应用发起联系。
  • 任何消息传递应用:允许在检测到电话号码时使用任何消息传递应用发起联系。
 任何消息传送应用
      消息传递应用包 ID
 选择特定消息传递应用后,必须提供 应用包 ID Blank
      消息传送应用名称
 选择特定消息传递应用后,必须提供消息应用的名称。 Blank
从其他应用接收数据 指定可将数据传输到此应用的应用:
  • 策略托管的应用: 仅允许从其他策略托管的应用进行传输。
  • 所有应用: 允许从任何应用传输数据。
  • :不允许从任何应用(包括其他策略管理的应用)传输数据。

有一些豁免的应用和服务,Intune可能允许数据传输。 有关应用和服务的完整列表,请参阅 数据传输豁免

 所有应用
    在组织文档中打开数据
 选择“阻止”以禁止使用“打开”选项或其他选项在此应用的帐户之间共享数据。 如果想要允许使用“打开”,请选择“允许”

设置为“阻止”时,可以配置“允许用户打开来自所选服务的数据”,以指定允许哪些服务使用组织数据位置。

注意:
  • 仅当“从其他应用接收数据”设置设为“策略托管应用”时,此设置才可配置。
  • 将“ 从其他应用接收数据 ”设置为“ 所有应用”时,此设置将为“允许”。
  • 当“从其他应用接收数据”设置设为“无”时,此设置将为“阻止”。
  • 以下应用支持此设置:
    • OneDrive 6.14.1 或更高版本。
    • Outlook for Android 4.2039.2 或更高版本。
    • 适用于 Android 1416/1.0.0.2021173701 或更高版本的 Teams。

允许
      允许用户从选定服务打开数据
 选择用户可从中打开数据的应用程序存储服务。 会阻止所有其他服务。 选择“无服务”将阻止用户打开数据。

受支持的服务:
  • OneDrive for Business
  • SharePoint Online
  • 照相机
  • 照片库
注意: 相机不包括“照片”或“照片库”访问权限。 选择照片库 (包括 Android 的照片选取器工具) “允许用户在 Intune 内打开所选服务中的数据”设置中时,可以允许托管帐户允许从其设备的本地存储传入图像/视频到其托管应用。		 已选择所有项
限制在其他应用之间进行剪切、复制和粘贴 指定剪切、复制和粘贴操作可用于此应用的时间。 从以下项中进行选择:
  • 已阻止:不允许在此应用与任何其他应用之间执行剪切、复制和粘贴操作。
  • 策略托管的应用: 允许在此应用和其他策略托管的应用之间执行剪切、复制和粘贴操作。
  • 带粘贴的策略托管应用:允许在此应用和其他策略托管应用间进行剪切或复制。 允许将任何应用中的数据粘贴到此应用。
  • 任何应用: 不限制从此应用进行剪切、复制和粘贴,或剪切、复制和粘贴到此应用。
 任何应用
    剪切和复制任何应用的字符限制
 指定可从组织数据和帐户剪切或复制的字符数。 当“限制剪切、复制和粘贴使用其他应用”设置阻止指定数目的字符时,这将允许共享指定数量的字符。

默认值 = 0

注意:需要Intune 公司门户版本 5.0.4364.0 或更高版本。

 0
屏幕截图和 Google 助手 选择“ 阻止 ”可阻止屏幕捕获,并在使用此应用时阻止 Google 助手 访问设备上的组织数据。 通过工作或学校帐户使用此应用时,选择 “阻止 ”还会模糊应用切换器预览图像。

注意:对于无法访问组织数据的情况,用户可以访问 Google 助手。

 阻止
批准的键盘 选择“ 需要 ”,然后为此策略指定已批准的键盘列表。

未使用已批准的键盘的用户会收到一条提示,提示他们先下载并安装已批准的键盘,然后才能使用受保护的应用。 此设置要求应用具有适用于 Android 版本 6.2.0 或更高版本的 Intune SDK。

 不需要
    选择要批准的键盘
 对于上一个选项选择“ 需要 ”时,此选项可用。 选择 “选择” 可管理可与受此策略保护的应用配合使用的键盘和输入法列表。 可以向列表添加其他键盘,并删除任何默认选项。 必须至少有一个已批准的键盘才能保存设置。 随着时间的推移,Microsoft 可能会向新的应用保护策略列表添加其他键盘,这将要求管理员根据需要查看和更新现有策略。

若要添加键盘,请指定:

  • 名称:标识键盘的友好名称,对用户可见。
  • 包 ID:Google Play 商店中应用的包 ID。 例如,如果 Play 商店中应用的 URL 为 https://play.google.com/store/details?id=com.contoskeyboard.android.prod,则包 ID 为 com.contosokeyboard.android.prod。 此包 ID 显示为用户从 Google Play 下载键盘的简单链接。

注意: 分配了多个应用保护策略的用户将只能使用所有策略通用的已批准键盘。

加密

设置 如何使用 默认值
加密组织数据 选择“ 需要 ”以在此应用中启用工作或学校数据的加密。 Intune使用 wolfSSL、256 位 AES 加密方案以及 Android 密钥存储系统来安全地加密应用数据。 在文件 I/O 任务期间同步加密数据。 设备存储上的内容始终是加密的,只能由支持Intune的应用保护策略并分配了策略的应用打开。 将使用 256 位密钥加密新文件。 现有的 128 位加密文件将尝试迁移到 256 位密钥,但无法保证该过程能够完成。 使用 128 位密钥加密的文件将保持可读性。

加密方法经过 FIPS 140-2 验证;有关详细信息,请参阅 wolfCrypt FIPS 140-2 和 FIPS 140-3		 需要
    加密已注册设备上的组织数据
 选择“需要”,在所有设备上使用Intune应用层加密强制加密组织数据。 选择“不需要”,不强制在已注册设备上使用Intune应用层加密对组织数据进行加密。 需要

功能

设置 如何使用 默认值
将策略托管应用数据与本机应用或加载项同步 选择“阻止”可阻止策略托管应用将数据保存到设备的本机应用 (联系人、日历和小组件) ,并阻止在策略托管应用中使用加载项。 如果应用程序不支持,则允许将数据保存到本机应用并使用加载项。

如果选择“允许”,则策略托管应用可以将数据保存到本机应用或使用加载项(如果这些功能在策略托管应用中受支持和启用)。

应用程序可能会提供其他控件来自定义特定本机应用的数据同步行为,或者不遵循此控件。

注意:执行选择性擦除以从应用中删除工作或学校数据时,将删除直接从策略托管应用同步到本机应用的数据。 不会擦除从本机应用同步到另一外部源的任何数据。

注意以下应用支持此功能:		 允许
打印组织数据 选择 “阻止” 可阻止应用打印工作或学校数据。 如果将此设置保留为“允许”(默认值),用户将能够导出和打印所有组织数据 允许
限制使用其他应用传输 Web 内容 指定如何从策略托管的应用程序打开 Web 内容(http/https 链接)。 从以下项中进行选择:
  • 任何应用: 允许任何应用中的 Web 链接。
  • Intune Managed Browser: 仅允许在 Intune Managed Browser 中打开 Web 内容。 此浏览器为策略托管的浏览器。
  • Microsoft Edge: 仅允许在 Microsoft Edge 中打开 Web 内容。 此浏览器为策略托管的浏览器。
  • 非托管浏览器: 仅允许在 非托管浏览器协议 设置定义的非托管浏览器中打开 Web 内容。 Web 内容在目标浏览器中将处于非托管状态。
    注意:需要Intune 公司门户版本 5.0.4415.0 或更高版本。


    • 策略管理的浏览器
    在 Android 上,如果未安装Intune Managed Browser或 Microsoft Edge,最终用户可以选择支持 http/https 链接的其他策略托管应用。

    如果需要策略托管的浏览器但未安装,将提示最终用户安装 Microsoft Edge。

    如果需要策略管理的浏览器,则 Android 应用链接由 “允许应用将数据传输到其他应用” 策略设置进行管理。

    Intune 设备注册
    如果使用 Intune 来管理设备,请参阅使用Microsoft Intune使用托管浏览器策略管理 Internet 访问

    策略托管的 Microsoft Edge
    移动设备(iOS/iPadOS 和 Android)的 Microsoft Edge 浏览器支持 Intune 应用保护策略。 在 Microsoft Edge 浏览器应用程序中使用公司Microsoft Entra帐户登录的用户将受到Intune的保护。 Microsoft Edge 浏览器集成 APP SDK 并支持其所有数据保护策略,但阻止以下情况除外:

    • 另存为:Microsoft Edge 浏览器不允许用户将直接的应用内连接添加到云存储提供程序 (,例如 OneDrive) 。
    • 联系人同步:Microsoft Edge 浏览器不会保存到本机联系人列表。
    注意:应用 SDK 无法确定目标应用是否为浏览器。在 Android 设备上,允许其他支持 http/https 意向的托管浏览器应用。
 未配置
    非托管浏览器 ID
 输入单个浏览器的应用程序 ID。 来自策略托管应用程序的 web 内容 (http/https 链接) 将在指定的浏览器中打开。 Web 内容在目标浏览器中将处于非托管状态。 Blank
    非托管浏览器名称
 输入与 非托管浏览器 ID 关联的浏览器的应用程序名称。 如果未安装指定的浏览器,则会向用户显示此名称。 Blank
组织数据通知 指定通过组织帐户的 OS 通知共享的组织数据量。 此策略设置将影响本地设备和所有连接设备,例如可穿戴设备和智能扬声器。 应用可能会提供其他控件来自定义通知行为,或者可以选择不接受所有值。 从以下选项中进行选择:
  • 阻止:不共享通知。
    • 如果应用程序不支持此选项,则将允许通知。
  • 阻止组织数据:不要在通知中共享组织数据。 例如,“你有新邮件”;“你有一个会议”。
    • 如果应用程序不支持此选项,则将阻止通知。
  • 允许:在通知中共享组织数据

注意此设置需要应用支持:

  • Outlook for Android 4.0.95 或更高版本
  • 适用于 Android 1416/1.0.0.2020092202 或更高版本的 Teams。
 允许

数据传输豁免

有一些豁免应用和平台服务Intune应用保护策略允许传入和传出数据。 例如,Android 上所有Intune管理的应用都必须能够将数据传入和传出 Google 文本转语音,以便大声朗读移动设备屏幕上的文本。 此列表可能会发生更改,并反映被认为对安全生产力有用的服务和应用。

完全豁免

完全允许这些应用和服务向Intune托管应用传输数据。

应用/服务名称 说明
com.android.phone 本机手机应用
com.android.vending Google Play 商店
com.google.android.webview WebView,这是许多应用(包括 Outlook)所必需的。
com.android.webview Webview,这是许多应用(包括 Outlook)所必需的。
com.google.android.tts Google 文本转语音
com.android.providers.settings Android 系统设置
com.android.settings Android 系统设置
com.azure.authenticator Azure Authenticator 应用,这是在许多情况下成功进行身份验证所必需的。
com.microsoft.windowsintune.companyportal Intune 公司门户

条件豁免

在某些条件下,这些应用和服务仅允许向Intune托管应用传输数据。

应用/服务名称 说明 豁免条件
com.android.chrome Google Chrome 浏览器 Chrome 用于 Android 7.0+ 上的某些 WebView 组件,永远不会在视图中隐藏。 但是,流入和流出应用的数据流始终受到限制。
com.skype.raider Skype 仅允许对导致电话呼叫的某些操作使用 Skype 应用。
com.android.providers.media Android 媒体内容提供程序 媒体内容提供程序仅允许用于铃声选择操作。
com.google.android.gms;com.google.android.gsf Google Play Services 包 Google Cloud Messaging 操作(如推送通知)允许使用这些包。
com.google.android.apps.maps Google Maps 允许使用地址进行导航。
com.android.documentsui Android 文档选取器 打开或创建文件时允许。
com.google.android.documentsui Android 文档选取器 (Android 10+) 打开或创建文件时允许。

有关详细信息,请参阅 应用的数据传输策略例外

访问要求

设置 如何使用
需要 PIN 才能进行访问 选择“需要”,要求使用 PIN 才能使用此应用。 当用户首次在工作或学校上下文中运行该应用时,会提示其设置此 PIN。

默认值 = 需要

可以使用“需要 PIN 才能进行访问”部分下提供的设置配置 PIN 强度。

注意: 允许访问应用的最终用户可以重置应用 PIN。 在某些情况下,此设置在 Android 设备上可能不可见。 Android 设备的最大限制为四个可用快捷方式。 达到最大值后,最终用户必须删除任何个性化快捷方式 (或从其他托管应用视图访问快捷方式) 才能查看重置应用 PIN 快捷方式。 或者,最终用户可以将快捷方式固定到其主页。

    PIN 类型
 在访问已应用应用保护策略的应用之前,请设置数值或密码类型 PIN 的要求。 数值要求仅涉及数字,而密码可以使用至少 1 个字母 至少 1 个特殊字符定义。

默认值 = 数值

注意: 允许的特殊字符包括 Android 英语键盘上的特殊字符和符号。
    简单 PIN
 选择“ 允许 ”以允许用户使用简单的 PIN 序列,例如 12341111abcdaaaa。 选择“ ”以防止它们使用简单序列。 在 3 个字符滑动窗口中检查简单序列。 如果配置了 阻止 ,则最终用户不会接受 1235 或 1112 作为 PIN 设置,但将允许 1122。

默认值 = 允许

注意: 如果配置了密码类型 PIN,并且“简单 PIN”设置为“允许”,则用户在其 PIN 中至少需要一个字母 一个特殊字符。 如果配置了密码类型 PIN,并且将“简单 PIN”设置为“阻止”,则用户在其 PIN 中至少需要一个数字 一个字母 以及 至少一个特殊字符。
    选择最小 PIN 长度
 指定 PIN 序列中的最小位数。

默认值 = 4
    生物识别而不是 PIN 进行访问
 选择“ 允许 ”以允许用户使用生物识别对 Android 设备上的用户进行身份验证。 如果允许,将使用生物识别功能在 Android 10 或更高版本设备上访问应用。
    超时后使用 PIN 替代生物识别
 要使用此设置,请选择 需要,然后配置非活动超时。

默认值 = 需要
      非活动) (分钟超时
指定一个时间(以分钟为单位),之后,配置的密码或数字 () PIN 将替代生物识别的使用。 此超时值应大于在‘(非活动分钟数)后重新检查访问要求’下指定的值。

默认值 = 30
    第 3 类生物识别 (Android 9.0+)
选择“ 需要 ”以要求用户使用类 3 生物识别登录。 有关第 3 类生物识别的详细信息,请参阅 Google 文档中的生物 识别
    生物识别更新后,使用 PIN 替代生物识别
 选择“ 需要 ”,在检测到生物识别更改时替代使用 PIN 生物识别。

注意:
此设置仅在使用生物识别功能访问应用后生效。 根据 Android 设备制造商的不同,加密操作可能支持所有形式的生物识别。 目前,设备上满足或超过第 3 类生物识别要求的任何生物识别 ((例如指纹、虹膜或人脸) )都支持加密操作,如 Android 文档中定义。 BIOMETRIC_STRONG请参阅 BiometricManager.Authenticators 接口的常量和 authenticateBiometricPrompt 类的 方法。 可能需要联系设备制造商以了解特定于设备的限制。
    数天后重置 PIN
 选择 以要求用户在设定的时间段(以天为单位)后更改其应用 PIN。

如果设置为“是”,然后配置 PIN 重置所需的间隔天数

默认值 =
      天数
 配置需重置 PIN 前的天数。

默认值 = 90
    选择要维护的先前 PIN 值的数目
 此设置指定Intune将维护的先前 PIN 数。 任何新 PIN 必须与Intune维护的 PIN 不同。

默认值 = 0
    设置设备 PIN 时的应用 PIN
 在配置了公司门户的已注册设备上检测到设备锁定时,选择“不需要”以禁用应用 PIN。

默认值 = 必需
用于访问的工作或学校帐户凭据 选择“ 需要 ”,要求用户使用其工作或学校帐户登录,而不是输入 PIN 进行应用访问。 设置为 “需要”并打开 PIN 或生物识别提示时,将显示公司凭据和 PIN 或生物识别提示。

默认值 = 不需要
在(非活动状态的分钟数)后重新检查访问要求 配置以下设置:
  • 超时:这是重新检查策略) 之前定义的访问要求 (分钟数。 例如,如果管理员在策略中启用 PIN 并阻止取得 root 权限的设备,则当用户打开 Intune 托管的应用时必须输入 PIN,且必须在未取得 root 权限的设备上使用该应用。 使用此设置时,用户无需在任何Intune管理的应用上输入 PIN 或进行另一个根检测检查等于配置的值。

    此策略设置格式支持正整数。

    默认值 = 30 分钟

    注意:在 Android 上,PIN 与所有Intune托管的应用共享。 应用离开设备上的前台后,将重置 PIN 计时器。 在此设置定义的超时期间,用户无需在任何Intune托管应用上输入 PIN。

注意

若要详细了解在“访问”部分中配置的多个Intune应用保护设置如何在 Android 上对同一组应用和用户工作,请参阅 Intune MAM 常见问题解答在 Intune 中使用应用保护策略访问操作选择性地擦除数据

条件启动

配置条件启动设置以设置应用保护策略的登录安全要求。

默认情况下,为多个设置提供已预配置的值和操作。 可以删除某些设置,例如 最小 OS 版本。 还可以从 选择一个 下拉列表中选择其他设置。

应用条件

设置 如何使用
最大 PIN 尝试次数 指定在执行配置操作前用户必须成功输入其 PIN 的尝试次数。 如果用户在尝试最大 PIN 后未能成功输入其 PIN,则用户必须在成功登录到其帐户并根据需要完成多重身份验证 (MFA) 质询后重置其 PIN。 此策略设置格式支持正整数。

操作 包括:

  • 重置 PIN - 用户必须重置其 PIN。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。
默认值 = 5
离线宽限期 托管应用可以脱机运行的分钟数。 指定重新检查应用访问要求前的时间(以分钟为单位)。

操作 包括:

  • 阻止访问 (分钟) - 托管应用可以脱机运行的分钟数。 指定重新检查应用访问要求前的时间(以分钟为单位)。 此期限到期后,应用需要用户身份验证才能Microsoft Entra ID以便应用可以继续运行。

    此策略设置格式支持正整数。

    默认值 = 1440 分钟 (24 小时)

    注意: 将用于阻止访问的脱机宽限期计时器配置为小于默认值可能会导致在刷新策略时出现更频繁的用户中断。 不建议选择小于 30 分钟的值,因为这可能会导致每次应用程序启动或恢复时用户中断。
  • 擦除数据(天数) - 在脱机运行这么多天(由管理员定义)后,应用将要求用户连接到网络并重新进行身份验证。 如果用户成功进行身份验证,则其可以继续访问其数据,且脱机间隔将重置。 如果用户未能进行身份验证,应用将选择性地擦除用户帐户和数据。 有关详细信息,请参阅如何仅从Intune托管的应用擦除公司数据。 此策略设置格式支持正整数。

    默认值 = 90 天
此项可以出现多次,且每个实例支持不同的操作。
最低应用版本 指定最低应用程序版本值的值。

操作 包括:

  • 警告 - 如果设备上的应用版本不符合要求,则用户会看到一条通知。 可消除此通知。
  • 阻止访问 - 如果设备上的应用版本不符合要求,则会阻止用户访问。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。
由于应用之间通常具有不同的版本控制方案,因此请创建策略,其中包含面向应用的最低应用版本(例如,Outlook 版本策略)。

此项可以出现多次,且每个实例支持不同的操作。

此策略设置格式支持 major.minor、major.minor.build 以及 major.minor.build.revision。

此外,还可以配置最终用户可获取业务线(LOB)应用已更新版本的 位置。 最终用户将在 最低应用版本 条件启动对话框中看到此内容,该对话框将提示最终用户更新到 LOB 应用的最低版本。 在 Android 上,此功能使用 公司门户。 要配置最终用户应更新 LOB 应用的位置,应用需要使用键 com.microsoft.intune.myappstore 向其发送托管的 应用配置策略。 发送的值将定义最终用户将从哪个应用商店中下载应用。 如果应用是通过公司门户部署的,则值必须为 CompanyPortal。 对于任何其他应用商店,必须输入完整的 URL。
已禁用帐户 没有要为此设置设置的值。

操作 包括:

  • 阻止访问 - 阻止用户访问,因为其帐户已被禁用。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。

设备条件

设置 如何使用
已越狱/获得 root 权限的设备 指定是阻止对设备的访问,还是擦除已越狱/已获得 root 权限的设备的设备数据。 操作 包括:
  • 阻止访问 - 阻止在已越狱或取得 root 权限的设备上运行此应用。 用户仍能够将此应用用于个人任务,但必须使用其他设备才能访问此应用中的工作或学校数据。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。
最低 OS 版本 指定使用此应用所需的最低 Android 操作系统。 低于指定 最小 OS 版本的 OS 版本 将触发操作。 操作 包括:
  • 警告 - 如果设备上的 Android 版本不符合要求,用户将看到通知。 可消除此通知。
  • 阻止访问 - 如果设备上的 Android 版本不符合此要求,将阻止用户访问。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。
此策略设置格式支持 major.minor、major.minor.build 以及 major.minor.build.revision。
最高 OS 版本 指定使用此应用所需的最大 Android 操作系统。 低于指定 最大 OS 版本的 OS 版本 将触发操作。 操作 包括:
  • 警告 - 如果设备上的 Android 版本不符合要求,用户将看到通知。 可消除此通知。
  • 阻止访问 - 如果设备上的 Android 版本不符合此要求,将阻止用户访问。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。
此策略设置格式支持 major.minor、major.minor.build 以及 major.minor.build.revision。
最低修补程序版本 要求设备具有 Google 发布的最低 Android 安全修补程序。
  • 警告 - 如果设备上的 Android 版本不符合要求,用户将看到通知。 可消除此通知。
  • 阻止访问 - 如果设备上的 Android 版本不符合此要求,将阻止用户访问。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。
此策略设置支持 YYYY-MM-DD 的日期格式。
设备制造商 () 指定制造商 () 的分号分隔列表。 这些值不区分大小写。 操作 包括:
  • 允许指定 (阻止非指定) - 只有与指定制造商匹配的设备才能使用该应用。 所有其他设备都将被阻止。
  • 允许指定项(擦除非指定项) - 从设备中擦除与应用程序关联的用户帐户。
有关使用此设置的详细信息,请参阅 条件启动操作
游戏完整性判决 应用保护策略支持某些 Google Play 完整性 API。 此设置尤其在最终用户设备上配置 Google 的 Play Integrity 检查,以验证这些设备的完整性。 指定 基本完整性基本完整性和设备完整性

基本完整性 告诉你设备的一般完整性。 已取得根权限的设备、模拟器、虚拟设备以及具有篡改迹象的设备无法通过基本完整性检查。 基本完整性 & 认证设备 可告知你设备与 Google 服务的兼容性。 只有经过 Google 认证的未修改的设备才能通过此检查。

如果选择“播放完整性判断”作为条件启动所必需的,则可以指定强完整性检查用作评估类型。 存在强完整性检查作为评估类型将指示设备的完整性更高。 如果不支持强完整性检查的设备是此设置的目标,则 MAM 策略将阻止这些设备。 强完整性检查提供更可靠的根检测,以响应新类型的生根工具和方法,这些工具和方法不能始终由仅软件解决方案可靠地检测到。 在 APP 中,通过将“播放完整性判断评估类型”设置为“在配置 Play 完整性判断后检查强完整性”,并将“必需 SafetyNet 评估类型”设置为“强完整性”,检查配置设备完整性检查后,将启用硬件证明。 硬件支持证明利用随 Android 8.1 及更高版本一起安装的设备附带的基于硬件的组件。 从较低版本的 Android 升级到 Android 8.1 的设备不太可能具有硬件支持证明所需的基于硬件的组件。 虽然这一设置应该从随附 Android 8.1 的设备开始得到广泛支持,但 Microsoft 强烈建议在广泛启用此策略设置之前单独测试设备。

重要:将基于设备完整性检查操作阻止或擦除不支持此评估类型的设备。 想要使用此功能的组织需要确保用户具有受支持的设备。 有关 Google 推荐的设备的详细信息,请参阅 Android Enterprise 建议的要求

操作 包括:

  • 警告 - 如果设备不符合 Google 的设备完整性检查根据配置的值,用户会看到通知。 可消除此通知。
  • 阻止访问 - 如果设备不符合 Google 的设备完整性检查,则根据配置的值阻止用户访问。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。
有关此设置的常见问题,请参阅 有关 MAM 和应用保护的常见问题解答
要求对应用进行威胁扫描 应用保护策略支持某些 Google Play 保护 API。 此设置尤其可确保为最终用户设备启用 Google 验证应用扫描。 如果配置了此设置,将阻止最终用户访问,直至他们在其 Android 设备上启用 Google 的应用扫描设置。 操作 包括:
  • 警告 - 如果未打开设备上的 Google 验证应用扫描,用户会看到通知。 可消除此通知。
  • 阻止访问 - 如果未打开 Google 验证设备上的应用扫描,则阻止用户访问。
Google 验证应用扫描的结果显示在控制台的 “潜在有害应用” 报告中。
所需的 SafetyNet 评估类型 硬件支持的证明增强了现有的 SafetyNet 证明服务检查。 设置 SafteyNet 设备证明后,可以将值设置为硬件支持的密钥
需要设备锁定 此设置确定 Android 设备是否具有满足最低密码要求的设备 PIN。 如果设备锁不符合最低密码要求,应用保护策略可以采取措施。

包括:

  • 低复杂性
  • 中等复杂性
  • 高复杂性

此复杂性值面向 Android 12+。 对于在 Android 11 及更早版本上运行的设备,将复杂性值设置为“低”、“中”或“高”,默认为“ 低复杂性”的预期行为。 有关详细信息,请参阅 Google 的开发人员文档 getPasswordComplexityPASSWORD_COMPLEXITY_LOWPASSWORD_COMPLEXITY_MEDIUMPASSWORD_COMPLEXITY_HIGH

操作 包括:

  • 警告 - 如果设备锁不符合最低密码要求,用户会看到通知。 通知可以消除。
  • 阻止访问 - 如果设备锁不符合最低密码要求,将阻止用户访问。
  • 擦除数据 - 如果设备锁不符合最低密码要求,则会从设备擦除与应用程序关联的用户帐户。
最低公司门户版本 通过使用 Min 公司门户 版本,可以指定在最终用户设备上强制实施的特定最低定义的公司门户版本。 通过此条件启动设置,可以在不满足每个值时将值设置为 “阻止访问”、“ 擦除数据”和“ 警告 ”作为可能的操作。 此值的可能格式遵循 模式 [Major].[Minor][Major].[Minor]。[Build][Major].[Minor]。[生成]。[修订]。 鉴于某些最终用户可能不喜欢在现场强制更新应用,因此在配置此设置时,“警告”选项可能很理想。 Google Play 商店在仅发送应用更新的增量字节方面做得非常好,但这仍然是用户在更新时可能不想利用的大量数据。 强制更新并因此下载更新的应用可能会导致更新时出现意外的数据费用。 有关详细信息,请参阅 Android 策略设置
公司门户版本最长期限 (天) 可以将最大天数设置为 Android 设备的 公司门户 (CP) 版本。 此设置可确保最终用户在数天) (的 CP 版本范围内。 该值必须介于 0 到 365 天之间。 如果未满足设备的设置,则会触发此设置的操作。 操作包括 阻止访问擦除数据警告。 有关相关信息,请参阅 Android 策略设置注意:生成公司门户的期限由最终用户设备上的 Google Play 决定。
Samsung Knox 设备证明 指定是否需要 Samsung Knox 设备证明检查。 只有经 Samsung 验证的未修改设备才能通过此检查。 有关支持的设备列表,请参阅 samsungknox.com

通过使用此设置,Microsoft Intune还将验证从公司门户到Intune服务的通信是否从正常设备发送。

操作 包括:
  • 警告 - 如果设备不符合 Samsung Knox 设备证明检查,用户会看到通知。 可消除此通知。
  • 阻止访问 - 如果设备不符合 Samsung 的 Knox 设备证明检查,则阻止用户帐户进行访问。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。

注意:用户必须接受 Samsung Knox 条款,然后才能执行设备证明检查。 如果用户不接受 Samsung Knox 条款,将发生指定的操作。

注意: 此设置将应用于面向的所有设备。 若要仅将此设置应用于 Samsung 设备,可以使用“托管应用”分配筛选器。 有关分配筛选器的详细信息,请参阅在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器
允许的最大设备威胁级别 应用保护策略可以利用 Intune-MTD 连接器。 指定使用此应用可接受的最高威胁级别。 威胁由最终用户设备上选择的移动威胁防御 (MTD) 供应商应用确定。 指定安全、低、中或高。 “安全”要求设备上没有任何威胁,是可配置的限制性最强的值,而“高”实质上要求存在 Intune 到 MTD 的活动连接

操作 包括:

  • 阻止访问 - 如果你选择的移动威胁防御 (MTD) 供应商应用确定最终用户设备上的威胁级别不满足此要求,则将阻止用户访问。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。
有关使用此设置的详细信息,请参阅在Intune中为未注册的设备启用移动威胁防御连接器
主要 MTD 服务 如果已配置多个 Intune-MTD 连接器,请指定应在最终用户设备上使用的主要 MTD 供应商应用。

包括:

  • Microsoft Defender for Endpoint - 如果配置了 MTD 连接器,请指定Microsoft Defender for Endpoint将提供设备威胁级别信息。
  • 移动威胁防御 (非 Microsoft) - 如果配置了 MTD 连接器,请指定非 Microsoft MTD 将提供设备威胁级别信息。

必须配置“允许的最大设备威胁级别”设置才能使用此设置。

此设置没有 操作