应用保护 Windows 的策略设置

本文介绍适用于 Windows 的应用保护策略 (应用) 设置。 创建新策略时，可以在 Intune 管理中心的“设置”窗格中为应用保护策略配置所述的策略设置。

可以通过 Microsoft Edge 在个人 Windows 设备上启用对组织数据的受保护 MAM 访问。 此功能称为 Windows MAM，它提供使用 Intune 应用程序配置策略 (ACP) 、Intune 应用程序保护策略 (APP) 、Windows 安全中心 Center 客户端威胁防御和应用程序保护条件访问的功能。 有关 Windows MAM 的详细信息，请参阅 Windows MAM 的数据保护、 为 Windows 创建 MTD 应用保护策略和使用 Intune 配置适用于 Windows 的 Microsoft Edge。

有两类适用于 Windows 的应用保护策略设置：

• 数据保护
• 运行状况检查

重要

Windows 上的 Intune MAM 支持非托管设备。 如果已管理设备，则将阻止 Intune MAM 注册，并且不会应用应用设置。 如果在 MAM 注册后管理设备，将不再应用应用设置。

数据保护

数据保护设置会影响组织数据和上下文。 作为管理员，你可以控制数据传入和移出组织保护上下文的移动。 组织上下文由指定组织帐户访问的文档、服务和网站定义。 以下策略设置有助于控制接收到组织上下文中的外部数据和从组织上下文发送的组织数据。

数据传输

设置	如何使用	默认值
从 接收数据	选择以下选项之一，指定组织用户可以从中接收数据的源： 所有源：组织用户可以在组织上下文中打开任何帐户、文档、位置或应用程序的数据。 无源：组织用户无法将数据从外部帐户、文档、位置或应用程序打开到组织上下文中。 注意：对于 Microsoft Edge， 无源 通过拖放或文件打开对话框控制文件上传行为。 将阻止在站点/选项卡之间查看和共享本地文件。	所有源
将组织数据发送到	选择以下选项之一，指定组织用户可以向其发送数据的目标： 所有目标：组织用户可以将组织数据发送到任何帐户、文档、位置或应用程序。 无目标：组织用户无法从组织上下文将组织数据发送到外部帐户、文档、位置或应用程序。 注意：对于 Microsoft Edge， 没有目标 会阻止文件下载。 这意味着将阻止在网站/选项卡之间共享文件。	所有目标
允许剪切、复制和粘贴	选择以下选项之一，指定组织用户可以剪切、复制或粘贴组织数据的源和目标： 任何目标和任何源：组织用户可以粘贴数据并将其剪切/复制到任何帐户、文档、位置或应用程序。 无目标或源：组织用户无法从组织上下文中或从外部帐户、文档、位置或应用程序剪切、复制或粘贴数据。 注意：对于 Microsoft Edge， 没有目标或源 块在 Web 内容中剪切、复制和粘贴行为。 从所有 Web 内容中禁用剪切、复制和粘贴，但不会禁用应用程序控件（包括地址栏）。	任何目标和任何源

功能

设置	如何使用	默认值
打印组织数据	选择“ 阻止 ”可阻止打印组织数据。 选择“ 允许” 以允许打印组织数据。 个人或非托管数据不受影响。	允许

运行状况检查

设置应用保护策略的运行状况检查条件。 选择 “设置” ，并输入用户访问组织数据时必须满足 的值 。 然后选择用户不符合条件时要执行的操作。 在某些情况下，可以为单个设置配置多个操作。 有关详细信息，请参阅 运行状况检查操作。

应用条件

配置以下运行状况检查设置，以在允许访问组织帐户和数据之前验证应用程序配置。

注意

术语 策略托管应用 是指配置了应用保护策略的应用。

设置	如何使用	默认值
离线宽限期	策略托管应用可以脱机运行的分钟数。 指定重新检查应用访问要求前的时间(以分钟为单位)。 操作 包括: 阻止访问 (分钟) ：策略管理的应用可以脱机运行的分钟数。 指定重新检查应用访问要求前的时间(以分钟为单位)。 在已配置的期限过期后，应用会阻止对工作或学校数据进行访问，直到网络访问可用。 用于阻止数据访问的脱机宽限期计时器是根据 Intune 服务的最后一检查计算的。 此策略设置格式支持正整数。 (天) 擦除数据 ：在管理员 (脱机运行) 定义的这几天后，应用将要求用户连接到网络并重新进行身份验证。 如果用户成功进行身份验证，则其可以继续访问其数据，且脱机间隔将重置。 如果用户未能通过身份验证，则应用会对用户帐户和数据执行选择性擦除。 请参阅 如何仅从 Intune 托管的应用擦除企业数据，以详细了解选择性擦除所删除的数据。 擦除数据的脱机宽限期计时器由应用根据 Intune 服务的最后检查计算。 此策略设置格式支持正整数。 此项可以出现多次，且每个实例支持不同的操作。	阻止访问 (分钟) ： 720 分钟 (12 小时) 擦除数据 (天) ： 90 天
最低应用版本	指定最低应用程序版本值的值。 操作 包括: 警告 - 如果设备上的应用版本不符合要求，则用户会看到一条通知。 可消除此通知。 阻止访问 - 如果设备上的应用版本不符合要求，则会阻止用户访问。 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。 由于应用之间通常具有不同的版本控制方案，因此请创建一个策略，其中包含一个面向一个应用的最低应用版本。 此项可以出现多次，且每个实例支持不同的操作。 此策略设置支持匹配的 Windows 应用捆绑包版本格式 (major.minor 或 major.minor.patch) 。	无默认值
最低 SDK 版本	指定 Intune SDK 版本的分钟值。 操作 包括: 阻止访问 - 如果应用的 Intune 应用保护策略 SDK 版本不符合此要求，将阻止用户访问。 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。 此项可以出现多次，且每个实例支持不同的操作。	无默认值
已禁用帐户	如果禁用了用户的Microsoft Entra帐户，请指定自动操作。 管理员只能指定一个操作。 此设置没有可设置的值。 操作 包括: 阻止访问 - 当我们确认用户已在Microsoft Entra ID 中禁用时，应用将阻止访问工作或学校数据。 擦除数据 - 当我们确认已在Microsoft Entra ID 中禁用用户时，应用将选择性地擦除用户的帐户和数据。 注意： 如果由于连接、身份验证或任何其他原因而无法确认用户状态，则不会强制执行这些操作 (阻止访问 和 擦除数据) 。	无默认值

设备条件

配置以下运行状况检查设置，以在允许访问组织帐户和数据之前验证设备配置。 可以为已注册的设备配置基于设备的类似设置。 详细了解如何为已注册的设备配置设备符合性设置。

设置	如何使用	默认值
最低 OS 版本	指定使用此应用的最低 Windows 操作系统。 操作 包括: 警告 - 如果设备上的 Windows 版本不符合要求，用户将看到通知。 可消除此通知。 阻止访问 - 如果设备上的 Windows 版本不符合此要求，将阻止用户访问。 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。 此项可以出现多次，且每个实例支持不同的操作。 此策略设置格式支持 major.minor、major.minor.build 以及 major.minor.build.revision。
最高 OS 版本	指定使用此应用的最大 Windows 操作系统。 操作 包括: 警告 - 如果设备上的 Windows 版本不符合要求，用户将看到通知。 可消除此通知。 阻止访问 - 如果设备上的 Windows 版本不符合此要求，将阻止用户访问。 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。 此项可以出现多次，且每个实例支持不同的操作。 此策略设置格式支持 major.minor、major.minor.build 以及 major.minor.build.revision。
允许的最大设备威胁级别	应用保护策略可以利用 Intune-MTD 连接器。 指定使用此应用可接受的最高威胁级别。 威胁由最终用户设备上选择的移动威胁防御 (MTD) 供应商应用确定。 指定安全、低、中或高。 “安全”要求设备上没有任何威胁，是可配置的限制性最强的值，而“高”实质上要求存在 Intune 到 MTD 的活动连接。 操作 包括: 阻止访问 - 如果你选择的移动威胁防御 (MTD) 供应商应用确定最终用户设备上的威胁级别不满足此要求，则将阻止用户访问。 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。 有关使用此设置的详细信息，请参阅 为未注册设备启用 MTD。

其他信息

有关适用于 Windows 设备的 APP 的详细信息，请参阅以下资源：

• 应用保护策略概述
• 适用于 Windows MAM 的数据保护
• 创建适用于 Windows 的 MTD 应用保护策略
• 为 Windows 设备上的托管应用添加应用配置策略
• 使用 Intune 配置 Microsoft Edge for Windows
• 要求在 Windows 设备上应用保护策略