适用于 Windows MAM 的数据保护

可以启用受保护的移动应用程序管理 (MAM) 访问个人 Windows 设备上的组织数据。 此功能使用以下功能：

• Intune 应用程序配置策略 (ACP) 自定义组织用户体验
• Intune 应用程序保护策略 (应用) 来保护组织数据并确保客户端设备正常运行
• Windows 安全中心中心客户端威胁防御与 Intune APP 集成，用于检测个人 Windows 设备上的本地运行状况威胁
• 应用程序保护条件访问，以确保设备在通过Microsoft Entra ID 授予受保护的服务访问权限之前受保护且正常运行

注意

适用于 Windows 的 Intune 移动应用程序管理 (MAM) 适用于 Windows 10、内部版本 19045.3636、KB5031445 或更高版本和Windows 11、内部版本 10.0.22621.2506 KB5031455 (22H2) 或更高版本。 这包括对 Microsoft Intune (2309 版本) 的支持更改、Microsoft Edge (v117 稳定分支及更高版本（适用于 Windows 11）和 v118.0.2088.71 及更高版本（适用于 Windows 11) 和 Windows 安全中心 Center (v1.0.2310.2002 及更高版本) 的支持更改）。 应用保护条件访问已正式发布。

政府云环境中支持 Windows MAM。 有关相关信息，请参阅 在 GCC High 和 DoD 环境中使用 Intune 部署应用。

有关 MAM 的详细信息，请参阅 移动应用程序管理 (MAM) 基础知识。

最终用户和组织都需要通过个人设备获得受保护的组织访问权限。 组织需要确保在个人非托管设备上保护公司数据。 作为 Intune 管理员，你有责任确定组织的成员 (最终用户) 如何以受保护的方式从非托管设备访问公司资源。 访问组织数据时，需要确保非托管设备正常运行，应用程序遵守组织数据的保护策略，并且最终用户设备上的非托管资产不受组织策略的影响。

作为 Intune 管理员，需要具有以下应用管理功能：

• 能够将应用保护策略部署到受 Intune APP SDK 保护的应用/用户，包括：
  • 数据保护设置
  • 运行状况检查 (又名条件启动) 设置
• 能够通过条件访问要求应用保护策略
• 通过执行以下操作，可以通过 Windows 安全中心 中心执行其他客户端运行状况验证：
  • 指定Windows 安全中心中心风险级别以允许最终用户访问公司资源
  • 为 Windows 安全中心 Center 设置Microsoft Intune的基于租户的连接器
• 能够将选择性擦除命令部署到受保护的应用程序

组织成员 (最终用户) 希望其帐户具有以下功能：

• 能够登录到Microsoft Entra ID 以访问受条件访问保护的站点
• 在设备被视为不正常的情况下，能够验证客户端设备的运行状况
• 当设备保持不正常时，能够撤销对资源的访问权限
• 当管理员策略控制访问权限时，可以通过明确的修正步骤获得通知

注意

有关Microsoft Entra ID 的信息，请参阅在 Windows 设备上要求应用保护策略。

条件访问符合性

防止数据丢失是保护组织数据的一部分。 数据丢失防护 (DLP) 仅在无法从任何未受保护的系统或设备访问组织数据时有效。 应用保护条件访问使用条件访问 (CA) ，以确保在允许访问受保护资源（例如组织数据) ）之前，在客户端应用程序中支持和强制实施) 应用保护策略 ( (应用保护策略。 APP CA 将允许具有个人 Windows 设备的最终用户使用应用托管的应用程序（包括 Microsoft Edge）访问Microsoft Entra资源，而无需完全管理其个人设备。

此 MAM 服务将每个用户、每个应用和每台设备的符合性状态同步到 Microsoft Entra CA 服务。 这包括从移动威胁防御 (MTD) 供应商收到的威胁信息，从 Windows 安全中心 中心开始。

注意

此 MAM 服务使用用于 在 iOS 和 Android 设备上管理 Microsoft Edge 的相同条件访问符合性工作流。

检测到更改后，MAM 服务会立即更新设备符合性状态。 该服务还包括 MTD 运行状况状态作为合规性状态的一部分。

注意

MAM 服务评估服务中的 MTD 状态。 这是独立于 MAM 客户端和客户端平台完成的。

MAM 客户端在检查时将客户端健康状态 (或运行状况元数据) 传达给 MAM 服务。 运行状况状态包括 “阻止 ”或“ 擦除 ”条件的任何应用运行状况检查失败。 此外，Microsoft Entra ID 指导最终用户在尝试访问被阻止的 CA 资源时完成修正步骤。

条件访问符合性

组织可以使用Microsoft Entra条件访问策略，以确保用户只能使用 Windows 上的策略托管应用程序访问工作或学校内容。 为此，你将需要一个面向所有潜在用户的条件访问策略。 按照 在 Windows 设备上要求应用保护策略中的步骤操作，该策略允许 Microsoft Edge for Windows，但阻止其他 Web 浏览器连接到 Microsoft 365 终结点。

使用条件访问，还可以针对通过Microsoft Entra应用程序代理向外部用户公开的本地站点。

威胁防御运行状况

在允许访问组织数据之前，将验证个人拥有设备的运行状况。 MAM 威胁检测可与 Windows 安全中心 中心连接。 Windows 安全中心中心通过服务到服务连接器向 Intune APP 提供客户端设备运行状况评估。 此评估支持对流进行门控，以及访问个人非托管设备上的组织数据。

运行状况状态包括以下详细信息：

• 用户、应用和设备标识符
• 预定义的运行状况状态
• 上次运行状况状态更新的时间

运行状况状态仅针对 MAM 注册用户发送。 最终用户可以通过在受保护的应用程序中注销其组织帐户来停止发送数据。 管理员可以通过从Microsoft Intune中删除Windows 安全中心连接器来停止发送数据。

有关相关信息，请参阅 创建适用于 Windows 的 MTD 应用保护策略。

创建 Intune 应用保护策略

应用保护政策 (APP) 定义允许哪些应用程序，以及它们可以使用组织数据执行哪些操作。 APP 中可用的选项使组织能够根据特定需求调整保护。 对于某些组织而言，实现完整方案所需的策略设置可能并不明显。

作为管理员，你可以配置如何通过 APP 保护数据。 此配置适用于本机 Windows 应用程序与数据的交互。 应用设置分为三个类别：

• 数据保护 - 这些设置控制数据如何为用户 (帐户、文档、位置、服务) 移入和移出组织上下文。

• 运行状况检查 (条件启动) - 这些设置控制访问组织数据所需的设备条件，以及不符合条件时 () 的修正操作。

为了帮助组织确定客户端终结点强化的优先级，Microsoft 为其移动应用管理的应用数据保护框架引入了分类。

若要查看每个配置级别的具体建议以及必须受保护的核心应用，请查看使用应用保护策略的数据保护框架。

有关可用设置的详细信息，请参阅 Windows 应用保护策略设置。

后续步骤

• 什么是 Intune 应用保护策略？
• Microsoft Intune 的应用配置策略