应用保护策略概述
intune 应用保护策略 (APP) 是确保组织数据安全或包含在托管应用中的规则。 这些策略允许你控制移动设备上的应用访问和共享数据的方式。 策略可以是在用户尝试访问或移动“公司”数据时强制执行的规则,或在用户位于应用内时受到禁止或监视的一组操作。 Intune 中的托管应用是一个 受保护的应用 ,该应用应用了 Intune 应用保护策略,并由 Intune 管理。
使用 Intune 应用保护策略有几个 好处 ,包括无需设备注册即可保护移动设备上的公司数据,以及控制移动设备上的应用访问和共享数据的方式。
将应用保护策略与 Microsoft Intune 结合使用的示例包括:
- 需要 PIN 或指纹才能在移动设备上访问公司电子邮件
- 防止用户将公司数据复制和粘贴到个人应用
- 将对公司数据的访问限制为仅允许已批准的应用
许多生产力应用(如 Microsoft 365 (Office) 应用)都可以使用 Intune MAM 进行管理。 请参阅可供公众使用的 Microsoft Intune 保护的应用的官方列表。
如何保护应用数据
员工将移动设备用于个人和工作任务。 在确保员工可以高效工作的同时,你希望防止有意和无意数据丢失。 你还需要保护从非你管理的设备访问的公司数据。
可使用 Intune 应用保护策略,该策略独立于任何移动设备管理 (MDM) 解决方案。 这种独立性可帮助保护公司数据,无论是否将设备注册到设备管理解决方案中。 通过实现应用级别策略,即可限制对公司资源的访问,并让数据处于 IT 部门的监控范围之内。
设备上的应用保护策略
可对运行在设备上的应用进行配置的应用保护策略包括:
在 Microsoft Intune 中注册:这些设备通常是公司自有设备。
已注册到第三方移动设备管理 (MDM) 解决方案: 这些设备通常是公司拥有的。
注意
移动应用管理策略不应与第三方移动应用管理或安全容器解决方案一起使用。
未在任何移动设备管理解决方案中注册:这些设备通常为员工自有设备,且未在 Intune 或其他 MDM 解决方案中托管或注册。
重要
可为连接到 Microsoft 365 服务的 Office 移动应用创建移动应用管理策略。 此外,还可以通过为启用了混合现代身份验证的 iOS/iPadOS 和 Android 的 Outlook 创建 Intune 应用保护策略来保护对 Exchange 本地邮箱的访问。 使用此功能之前,请确保满足适用于 iOS/iPadOS 和 Android 的 Outlook 要求。 连接到本地 Exchange 或 SharePoint 服务的其他应用不支持应用保护策略。
使用应用保护策略的优点
以下是使用应用保护策略的主要优点:
在应用维度级别保护公司数据。 由于移动应用管理不需要设备管理,因此可在受管理和不受管理设备上保护公司数据。 管理以用户标识为中心,因而不再需要设备管理。
不会影响最终用户工作效率,且在个人环境中使用应用时不会应用策略。 这些策略仅应用于工作环境,能够在不接触个人数据的情况下保护公司数据。
应用保护策略确保应用层的保护措施到位。 例如,你能够:
- 规定在工作环境中打开应用时需使用 PIN
- 控制应用之间的数据共享
- 防止将公司应用数据保存到私人存储位置
MDM 和 MAM 确保该设备受到保护。 例如,你可以要求使用 PIN 以访问设备,或将托管应用部署到设备。 还可通过 MDM 解决方案将应用部署到设备,以便更好地控制应用管理。
将 MDM 与应用保护策略一起使用还有其他优点,公司可以同时使用应用保护策略与 MDM,也可以单独使用应用保护策略。 例如这样一种情况:员工同时使用公司电话和其个人平板电脑。 公司的手机在 MDM 中注册且受应用保护策略保护,而个人设备仅受应用保护策略保护。
如果在不设置设备状态的情况下将 MAM 策略应用于用户,用户将同时在 BYOD 设备和 Intune 托管设备上获得 MAM 策略。 还可以根据托管状态应用 MAM 策略。 因此,在创建应用保护策略时,应在“面向所有应用类型”旁边选择“否”。 然后,执行以下任意操作:
- 将不太严格的 MAM 策略应用于 Intune 托管设备,并将更严格的 MAM 策略应用于未注册 MDM 的设备。
- 将 MAM 策略仅应用于未注册的设备。
支持应用保护策略的平台
Intune 提供了一系列功能,可帮助你获取需要在设备上运行的应用。 有关详细信息,请参阅按平台分类的应用管理功能。
Intune 应用保护策略平台支持与适用于 Android 和 iOS/iPadOS 设备的 Office 移动应用程序平台支持保持一致。 有关详细信息,请参阅 Office 系统要求的“移动应用”部分。
预览:此外,还可以为 Windows 设备创建应用保护策略。 有关详细信息,请参阅 Windows 设备的应用保护体验。
重要
接收 Android 应用保护策略的设备必须安装有 Intune 公司门户。
应用保护策略数据保护框架
应用保护策略 (APP) 中可用的选项使组织能够根据特定需求调整保护。 对于某些组织而言,实现完整方案所需的策略设置可能并不明显。 为了帮助组织确定移动客户端终结点强化的优先级,Microsoft 为其面向 iOS 和 Android 移动应用管理的 APP 数据保护框架引入了分类法。
APP 数据保护框架分为三个不同的配置级别,每个级别基于上一个级别进行构建:
- 企业基本数据保护(级别 1)可确保应用受 PIN 保护和经过加密处理,并执行选择性擦除操作。 对于 Android 设备,此级别验证 Android 设备证明。 这是一个入门级配置,可在 Exchange Online 邮箱策略中提供类似的数据保护控制,并将 IT 和用户群引入 APP。
- 企业增强型数据保护(级别 2)引入了 APP 数据泄露预防机制和最低 OS 要求。 此配置适用于访问工作或学校数据的大多数移动用户。
- 企业高级数据保护(级别 3)引入了高级数据保护机制、增强的PIN 配置和 APP 移动威胁防御。 此配置适用于访问高风险数据的用户。
若要查看每个配置级别的具体建议以及必须受保护的核心应用,请查看使用应用保护策略的数据保护框架。
应用保护策略如何保护应用数据
不具有应用保护策略的应用
在无限制的情况下使用应用时,公司和个人数据可能混合。 公司数据可能最终位于个人存储空间等位置或传输到监控范围外的应用中,导致数据丢失。 下图中的箭头显示了公司应用和个人应用之间以及到存储位置的无限制数据移动。
采用应用保护策略 (APP) 的数据保护
可使用应用保护策略以防将公司数据保存到设备的本地存储中(请参阅下图)。 还可限制将数据移动到不受应用保护策略保护的其他应用。 应用保护策略设置包括:
- 数据重定位策略,例如 保存组织数据的副本和 限制剪切、复制和粘贴。
- 访问策略设置,例如“需要简单的 PIN 才能访问”、“阻止在已越狱或取得 root 权限的设备上运行受管理的应用”。
在由 MDM 解决方案管理的设备上,采用 APP 保护数据
下图显示了 MDM 和应用保护策略共同提供的保护层。
MDM 解决方案通过提供以下功能增值:
- 注册设备
- 将应用部署到设备
- 提供持续的设备合规性和管理
应用保护策略通过提供以下功能增值:
- 帮助防止公司数据泄露到使用者应用和服务
- 将限制(如“另存为”、“剪贴板”或“PIN”)应用到客户端应用
- 必要时,从应用擦除公司数据而不从设备删除这些应用
采用适用于未注册设备的 APP 保护数据
下图显示在未实施 MDM 的情况下数据保护策略在应用级别的工作原理。
对于未在任何 MDM 解决方案中注册的 BYOD 设备,应用保护策略可在应用级别帮助保护公司数据。 但是,有一些限制需要注意,如:
- 无法将应用部署到设备。 最终用户必须从应用商店获取应用。
- 无法在这些设备上预配证书配置文件。
- 无法在这些设备上设置公司 Wi-Fi 和 VPN 设置。
可使用应用保护策略进行管理的应用
任何已与 Intune SDK 集成或通过 Intune App Wrapping Tool 包装的应用都可使用 Intune 应用保护策略进行管理。 请参阅使用以下工具构建并可供公众使用的 Microsoft Intune 保护的应用的官方列表。
Intune SDK 开发团队主动测试和维护对使用原生 Android、iOS/iPadOS(Obj-C、Swift)、Xamarin、Xamarin.Forms 平台生成的应用的支持。 虽然某些客户已成功将 Intune SDK 与 React Native 和 NativeScript 等其他平台集成,但我们不会使用受支持平台之外的任何方式为应用开发人员提供明确的指导或插件。
对于使用应用保护策略的最终用户要求
下面的列表说明对于在 Intune 托管应用上使用应用保护策略的最终用户要求:
最终用户必须具有Microsoft Entra帐户。 请参阅添加用户并向 Intune 授予管理权限,了解如何在 Microsoft Entra ID 中创建 Intune 用户。
最终用户必须具有分配给其Microsoft Entra帐户Microsoft Intune的许可证。 请参阅管理 Intune 许可证,以了解如何向最终用户分配 Intune 许可证。
最终用户必须属于应用保护策略针对的安全组。 相同的应用保护策略必须针对正在使用的特定应用。 可以在Microsoft Intune管理中心中创建和部署应用保护策略。 当前可以在 Microsoft 365 管理中心创建安全组。
最终用户必须使用其Microsoft Entra帐户登录到应用。
Microsoft 365 (Office) 应用的应用保护策略
将应用保护策略与 Microsoft 365 (Office) 应用配合使用时,需要注意一些其他要求。
Outlook 移动应用
对于使用 Outlook 移动应用的其他要求包括:
最终用户必须将 Outlook 移动应用安装到其设备上。
最终用户必须将 Microsoft 365 Exchange Online 邮箱和许可证链接到其Microsoft Entra帐户。
注意
Outlook 移动应用当前仅支持适用于 Microsoft Exchange Online 的 Intune 应用保护和使用混合新式身份验证的 Exchange Server,不支持 Office 365 Dedicated 中的 Exchange。
Word、Excel 和 PowerPoint
对于使用 Word、Excel 和 PowerPoint 应用的其他要求包括:
最终用户必须具有链接到其Microsoft Entra帐户的Microsoft 365 商业应用版或企业的许可证。 订阅必须包括移动设备上的 Office 应用,可以包括 OneDrive for Business 云存储帐户。 可按照这些说明在 Microsoft 365 管理中心分配 Microsoft 365 许可证。
最终用户必须具有使用粒度另存为功能进行配置的托管位置(该功能位于“保存组织数据的副本”应用程序保护策略设置下)。 例如,如果托管位置为 OneDrive,则应在最终用户的 Word、Excel 或 PowerPoint 应用中对 OneDrive 应用进行配置。
如果托管的位置为 OneDrive,则部署到最终用户的应用保护策略必须针对该应用。
注意
Office 移动应用当前仅支持 SharePoint Online,不支持本地 SharePoint。
Office 所需的托管位置
Office 需要一个托管位置(即 OneDrive)。 Intune 会将应用中的所有数据标记为“公司”或“个人”。 数据源于业务位置时会被视为“公司”数据。 对于 Office 应用,Intune 将以下数据视为业务位置:电子邮件 (Exchange) 或云存储(包含 OneDrive for Business 帐户的 OneDrive 应用)。
Skype for Business
对于使用 Skype for Business 有其他要求。 请参阅 Skype for Business 许可证要求。 对于Skype for Business (SfB) 混合和本地配置,请参阅 SfB 和 Exchange 的混合新式身份验证正式版和 SfB OnPrem 的新式身份验证,以及Microsoft Entra ID。
应用保护全局策略
如果 OneDrive 管理员浏览到 admin.onedrive.com 并选择“设备”访问权限,则他们可为 OneDrive 和 SharePoint 客户端应用设置移动应用程序管理控件。
这些设置可供 OneDrive 管理控制台使用,可配置名为全局策略的特殊 Intune 应用保护策略。 此全局策略适用于租户中的所有用户,且无法控制策略目标设定。
启用后,默认情况下将使用所选设置保护适用于 iOS/iPadOS 和 Android 的 OneDrive 和 SharePoint 应用。 IT 专业人员可以在Microsoft Intune管理中心编辑此策略,以添加更多目标应用并修改任何策略设置。
默认情况下,每个租户仅有一个全局策略。 然而,可使用 Intune 图形 API 来为每个租户创建额外的全局策略,但不推荐这种做法。 不建议创建额外全局策略,因为对此类策略的实施进行故障排除会变得复杂。
虽然全局策略适用于租户中的所有用户,但任何标准的 Intune 应用保护策略都将覆盖这些设置。
注意
不再更新 OneDrive 管理中心中的策略设置。 可以改用Microsoft Intune。 有关详细信息,请参阅控制对 OneDrive 和 SharePoint 移动应用中功能的访问。
应用保护功能
多身份
借助多身份支持,应用可以支持多个受众。 这些受众既是“公司”用户,也是“个人”用户。 工作和学校帐户由“公司”受众使用,而个人帐户将用于消费者受众,例如 Microsoft 365 (Office) 用户。 支持多身份的应用可以公开发布,只有在工作和学校(“公司”)环境中使用应用时应用保护策略才适用。 多身份支持使用 Intune SDK 来仅将应用保护策略应用于已登录到应用的工作或学校帐户。 如果个人帐户登录到应用,数据将保持不变。 可使用应用保护策略阻止将工作或学校帐户数据传输到多标识应用内的个人帐户、其他应用内的个人帐户或个人应用内。
重要
无论应用是否支持多身份,只有一个"公司"身份可以应用 Intune 应用保护策略。
例如个人环境的情况:用户在 Word 中开始一个新文档,这被视为“个人”环境,因此不会应用 Intune 应用保护策略。 使用“公司”OneDrive 帐户保存文档后,该文档将被视为“公司”环境,因此会应用 Intune 应用保护策略。
参考以下工作或“公司”环境示例:
- 用户使用其工作帐户启动 OneDrive 应用。 在工作环境中,他们无法将文件移动到私人存储位置。 之后当用户通过其个人帐户使用 OneDrive 时,可无限制地从个人 OneDrive 复制和移动数据。
- 用户开始在 Outlook 应用中起草电子邮件。 填写主题或邮件正文后,用户将无法将“发件人”地址从工作环境切换到个人环境,因为主题和邮件正文受应用保护策略保护。
注意
Outlook 提供“个人”和“公司”电子邮件的电子邮件组合视图。 在这种情况下,Outlook 应用会在启动时提示输入 Intune PIN。
重要
虽然 Edge 在“公司”环境中,但用户可以有意将 OneDrive“公司”环境文件移动到未知的个人云存储位置。 若要避免这种情况,请参阅管理受限网站,并为 Microsoft Edge 配置允许/阻止的站点列表。
Intune 应用 PIN
个人标识号 (PIN) 是一种密码,用于验证是否是正确的用户在应用程序中访问组织的数据。
PIN 提示
当用户要访问“公司”数据时,Intune 才会提示输入用户的应用 PIN。 在诸如 Word、Excel、PowerPoint 等多身份应用中,当用户尝试打开“公司”文档或文件时,会向他们提示输入 PIN。 在单身份应用中,例如使用 Intune App Wrapping Tool 托管的业务线应用,会在启动时提示输入 PIN,因为 Intune SDK 知道用户在应用中的体验始终是针对“公司”的。
PIN 提示或公司凭据提示、频率
IT 管理员可以定义 Intune 应用保护策略设置,在Microsoft Intune管理中心) (分钟后重新检查访问要求。 此设置指定在设备上检测访问要求,并再次显示应用程序 PIN 屏幕或公司凭据提示之前的时长。 但是,请注意以下关于 PIN 的重要详细信息,它们会影响用户收到提示的频率:
- 在同一发布者的应用之间共享 PIN 以提高可用性:
在 iOS/iPadOS 上,同一应用发布者的所有应用之间共享一个应用 PIN 码。 例如,所有 Microsoft 应用都共享同一 PIN。 在 Android 上,所有应用共享一个应用 PIN。 - 在设备重启后“以下时间过后重新检查访问要求(分钟)”的行为:
计时器跟踪确定何时显示下一个 Intune 应用 PIN 或公司凭据提示的不活动分钟数。 在 iOS/iPadOS 上,计时器不受设备重启影响。 因此,设备重启对用户在以 Intune PIN(或公司凭据)策略为目标的 iOS/iPadOS 应用中处于非活动状态的分钟数没有影响。 在 Android 上,计时器在设备重启后重置。 因此,使用 Intune PIN(或公司凭据)策略的 Android 应用可能会提示你输入应用 PIN(或公司凭据),而设备重启后的“以下时间过后重新检查访问要求(分钟)”设置值不受此影响。 - 与 PIN 关联的计时器的滚动特性:
输入 PIN 以访问应用(应用 A)后,该应用会离开设备主屏幕(主输入焦点),并且该计时器会进行重置。 共享此 PIN 的任何应用(应用 B)均不会提示用户输入 PIN,因为计时器已重置。 再次达到“以下时间过后重新检查访问要求(分钟)”值后,就会再次显示该提示。
对于 iOS/iPadOS 设备,当不是主要输入焦点的应用再次满足“在一定时间后重新检查访问要求(分钟)”值时,即使在不同发行商的应用之间共享 PIN,也会再次显示提示。 因此,例如,某一用户具有来自发行商 X 的应用 A 和来自发行商 Y 的应用 B,并且这两个应用共享相同 PIN。 该用户将焦点置于应用 A(前景),并最小化应用 B。 当满足“以下时间过后重新检查访问要求(分钟)”值并且用户切换到应用 B 时,将需要此 PIN。
注意
为了更频繁地验证用户的访问要求(即 PIN 提示),尤其是针对常用应用的访问,建议减小“以下时间过后重新检查访问要求(分钟)”设置的值。
Outlook 和 OneDrive 的内置应用 PIN
Intune PIN 基于非活动状态计时器(“以下时间过后重新检查访问要求(分钟)”的值)执行操作。 因此,Intune PIN 提示与 Outlook 和 OneDrive 的内置应用 PIN 提示(默认情况下与应用启动直接关联)相互独立显示。 如果用户同时收到两个 PIN 提示,预期行为应以 Intune PIN 为准。
Intune PIN 安全性
PIN 仅允许正确的用户在应用中访问其组织数据。 因此,最终用户必须使用其工作或学校帐户登录,然后才能设置或重置其 Intune 应用 PIN。 此身份验证由 Microsoft Entra ID 通过安全令牌交换进行处理,对 Intune SDK 不透明。 从安全性的角度来看,保护工作或学校数据的最佳方法便是对其进行加密。 加密与应用 PIN 无关,它本身是一项应用保护策略。
防止暴力攻击和 Intune PIN
作为应用 PIN 策略的一部分,IT 管理员可以设置在锁定应用之前用户可尝试验证其 PIN 的最大次数。 达到最大尝试次数后,Intune SDK 可以擦除应用中的“公司”数据。
Intune PIN 和选择性擦除
在 iOS/iPadOS 上,应用程序级 PIN 信息存储在具有同一发布者的应用之间共享的密钥链中,例如所有第一方 Microsoft 应用。 此 PIN 信息还与最终用户帐户关联。 一项应用的选择性擦除不应影响到其他应用。
例如,为登录用户的 Outlook 设置的 PIN 存储在共享密钥链中。 当用户登录到 OneDrive(也由 Microsoft 发布)时,他们将看到与 Outlook 相同的 PIN,因为它使用相同的共享密钥链。 当你在 Outlook 中注销 Outlook 或擦除用户数据时,Intune SDK 不会清除密钥链,因为 OneDrive 可能仍在使用该 PIN。 因此,选择性擦除不会清除共享密钥链(包括 PIN)。 即使设备上只存在一个发布者应用程序,此行为仍保持不变。
由于 PIN 是在具有同一发布者的应用间共享的,因此,如果在单个应用擦除,Intune SDK 不知道设备上是否有该相同发布者的其他应用程序。 因此,Intune SDK 不会清除 PIN,因为它可能仍用于其他应用。 预期是:当来自该发布者的最后一个应用最终将作为某些 OS 清理的一部分被删除时,应删除应用 PIN。
如果观察到某些设备上的 PIN 被擦除,可能会发生以下情况:由于 PIN 绑定到标识,因此,如果用户在擦除后使用其他帐户登录,系统将提示他们输入新 PIN。 但是,如果用户使用以前存在的帐户登录,则可以使用存储在密钥链中的 PIN 登录。
要在来自同一个发布者的应用上设置 PIN 两次?
iOS/iPadOS) 上的 MAM (目前允许使用字母数字和特殊字符的应用程序级 PIN, (称为“密码”) 这需要应用程序 (参与,例如 WXP、Outlook、托管浏览器Viva Engage) 来集成 Intune SDK for iOS。 如果没有应用程序的参与,将无法对目标应用程序正确执行密码设置。 这是 Intune SDK for iOS v. 7.1.12 中发布的一项功能。
为了支持此功能,并确保与旧版 Intune SDK for iOS/iPadOS 的后向兼容性,版本 7.1.12 及更高版本中的所有 PIN(数字或密码)都与旧版 SDK 中的数字 PIN 分开处理。 Intune SDK for iOS v14.6.0 中引入了另一项更改,这导致 14.6.0+ 中的所有 PIN 与 SDK 以前版本中的任何 PIN 分开处理。
因此,如果设备中同一发布者的应用使用了版本低于和高于 7.1.12 的 Intune SDK for iOS(或低于和高于 14.6.0 的版本),就需要设置两个 PIN。 这两个 PIN(对于每个应用)不以任何方式相关(即必须遵守应用到应用的应用保护策略)。 这样,只有当应用 A 和 B 都应用了相同的策略(对于 PIN),用户才需要设置相同的 PIN 两次。
此行为只针对使用 Intune 移动应用管理 (MAM) 启用的 iOS/iPadOS 应用程序上的 PIN。 日后,随着应用采用更高版本的 Intune SDK for iOS/iPadOS,需要针对同一发布者的应用设置 PIN 两次的问题就会减少。 有关示例,请参阅下面的注意事项。
注意
例如,如果应用 A 使用版本低于 7.1.12(或 14.6.0)的 SDK 生成,同一发布者的应用 B 使用版本不低于 7.1.12(或 14.6.0)的 SDK 生成,且这两个应用都安装在 iOS/iPadOS 设备上,那么最终用户需要为应用 A 和 B 单独设置 PIN。
如果设备上安装了 SDK 版本为 7.1.9 (或 14.5.0) 的应用 C,它将与应用 A 共享同一 PIN。
使用 7.1.14 (或 14.6.2 构建的应用 D) 将与应用 B 共享同一 PIN。
如果仅在设备上安装了应用 A 和 C,需要设置一个 PIN。 如果仅在设备上安装了应用 B 和 D,情况也是如此,即需要设置一个 PIN。
应用数据加密
IT 管理员可以部署要求对应用数据进行加密的应用保护策略。 作为该策略的一部分,IT 管理员还可指定何时加密内容。
Intune 数据加密过程
请参阅 Android 应用保护策略设置和 iOS/iPadOS 应用保护策略设置,获取有关加密应用保护策略设置的详细信息。
加密的数据
根据 IT 管理员的应用保护策略,仅对标记为“公司”的数据进行加密。 数据源于业务位置时会被视为“公司”数据。 对于 Office 应用,Intune 将以下内容视为业务位置:
- 电子邮件 (Exchange)
- 云存储(有 OneDrive for Business 帐户的 OneDrive 应用)
对于由 Intune 应用包装工具托管的业务线应用,所有应用数据都会被视为“公司”数据。
选择性擦除
远程擦除数据
Intune 可以通过以下三种不同方式擦除应用数据:
- 完全设备擦除
- MDM 选择性擦除
- MAM 选择性擦除
有关 MDM 远程擦除的详细信息,请参阅使用擦除或停用操作删除设备。 有关使用 MAM 进行选择性擦除的详细信息,请参阅“停用”操作和如何仅擦除应用中的公司数据。
完全设备擦除会通过将设备还原到其出厂默认设置,从“设备”中删除所有用户数据和设置。 设备将从 Intune 中删除。
注意
完全擦除设备和选择性擦除 MDM 只有在注册了 Intune 移动设备管理 (MDM) 的设备上才能实现。
MDM 选择性擦除
请参阅删除设备 - 停用,了解删除公司数据的相关信息。
MAM 选择性擦除
MAM 选择性擦除仅删除应用中的公司应用数据。 使用 Intune 启动请求。 若要了解如何启动擦除请求,请参阅如何仅擦除应用中的公司数据。
如果用户在启用了选择性擦除的情况下使用应用,那么 Intune SDK 会每 30 分钟检查一次来自 Intune MAM 服务的选择性擦除请求。 它还会在用户第一次启动应用并使用其工作或学校帐户登录时检查选择性擦除。
本地服务不适用于 Intune 保护的应用时
Intune 应用保护要求用户的身份在应用程序与 Intune SDK 之间保持一致。 保证此种一致的唯一方法是通过新式身份验证。 在某些情况下应用可能适用于本地配置,但它们既不一致也无法得到保证。
从托管应用中打开 Web 链接的安全方法
IT 管理员可为 Microsoft Edge(可使用 Intune 轻松管理的 Web 浏览器)部署和设置应用保护策略。 IT 管理员可要求 Intune 托管的应用中的所有 Web 链接均使用托管浏览器打开。
适用于 iOS 设备的应用保护体验
设备指纹或 Face ID
Intune 应用保护策略允许将应用访问权限控制在仅限 Intune 许可用户访问。 控制对应用的访问权限的方法之一是支持的设备上需要具有 Apple 的 Touch ID 或 Face ID。 Intune 执行某个行为后,如果对设备的生物识别数据库有任何更改,则在满足下一个非活动超时值时,Intune 会提示用户输入 PIN。 对生物识别数据的更改包括添加或删除指纹或人脸。 如果 Intune 用户未设置 PIN,则会引导他们设置 Intune PIN。
此过程旨在继续确保应用中的组织数据安全并在应用级别受保护。 此功能仅适用于 iOS/iPadOS,并且需要集成了 Intune SDK for iOS/iPadOS 版本 9.0.1 或更高版本的应用程序参与。 必须集成 SDK,以便可以在目标应用程序上强制执行行为。 此集成陆续进行,取决于特定应用程序团队。 参与的一些应用包括 WXP、Outlook、托管浏览器和Viva Engage。
iOS 共享扩展
即使将数据传输策略设置为“仅托管应用”或“无应用”,也可使用 iOS/iPadOS 共享扩展在非托管应用中打开工作或学校数据。 在不管理设备的情况下,Intune 应用保护策略不能控制 iOS/iPadOS 共享扩展。 因此,Intune 会在对“公司”数据进行应用外共享之前对其进行加密。 可以通过在托管应用外部打开“公司”文件来验证此加密行为。 该文件应进行加密,且无法在托管应用外打开。
通用链接支持
默认情况下,Intune 应用保护策略将阻止访问未经授权的应用程序内容。 iOS/iPadOS 中提供了使用通用链接打开特定内容或应用程序的功能。
用户可在 Safari 中访问应用的通用链接并选择“在新选项卡中打开”或“打开”,通过这种方式来禁用这些链接:。 若要将通用链接与 Intune 应用保护策略配合使用,请务必重新启用通用链接。 最终用户在长时间按下相应的链接后,需要在 Safari 中执行“在应用名称>中<打开”。 这会提示任何其他受保护的应用将所有通用链接路由到设备上受保护的应用程序。
适用于同一组应用和用户的多个 Intune 应用保护访问设置
当用户尝试从公司帐户访问目标应用时,系统将在最终用户设备上按特定顺序应用 Intune 应用访问保护策略。 通常先访问擦除,然后是块,再是可取消的警告。 例如,如果适用于特定用户/应用,则先应用阻止用户访问的最低 iOS/iPadOS 操作系统设置,再应用警告用户更新其 iOS/iPadOS 版本的最低 iOS/iPadOS 操作系统设置。 因此,如果 IT 管理员将最低 iOS 操作系统配置为 11.0.0.0 并将最低 iOS 操作系统(仅限警告)配置为 11.1.0.0,则当尝试访问该应用的设备具有 iOS 10 时,系统将基于更严格的最低 iOS 操作系统版本设置阻止最终用户的访问。
处理不同类型的设置时,先处理 Intune SDK 版本要求,其次处理应用版本要求,再处理 iOS/iPadOS 操作系统版本要求。 然后,按相同顺序检查各类型设置的所有警告。 建议仅根据 Intune 产品团队针对关键阻止方案提供的指导配置 Intune SDK 版本要求。
适用于 Android 设备的应用保护体验
注意
在没有共享设备模式的 Intune 托管 Android Enterprise 专用设备上不支持应用保护策略 (APP) 。 在这些设备上,应用阻止策略需要安装公司门户才能生效,而不会影响用户。 使用共享设备模式的 Intune 托管 Android Enterprise 专用设备以及利用共享设备模式的 AOSP 无用户设备支持应用保护策略。
Microsoft Teams Android 应用
Microsoft Teams Android 设备上的 Teams 应用不支持应用 (不通过公司门户应用接收策略)。 这意味着应用保护策略设置不会应用于 Microsoft Teams Android 设备上的 Teams。 如果为这些设备配置了应用保护策略,请考虑创建一组 Teams 设备用户,并从相关的应用保护策略中排除该组。 此外,请考虑修改 Intune 注册策略、条件访问策略和 Intune 合规性策略,以便它们具有支持的设置。 如果无法更改现有策略,则必须配置(排除)设备筛选器。 根据现有条件访问配置与 Intune 合规性策略验证每个设置,以了解是否存在不受支持的设置。 有关相关信息,请参阅 适用于 Microsoft Teams 会议室和 Teams Android 的受支持条件访问和 Intune 设备合规性策略。 有关 Microsoft Teams 会议室的信息,请参阅 适用于 Microsoft Teams 会议室的条件访问和 Intune 合规性。
设备生物识别身份验证
对于支持生物识别身份验证的 Android 设备,你可以允许最终用户使用指纹或人脸解锁,具体取决于其 Android 设备支持的条件。 你可以配置是否可以使用指纹之外的所有生物特征类型来进行身份验证。 请注意,指纹和人脸解锁仅适用于支持这些生物识别类型且运行正确 Android 版本的设备。 指纹需要 Android 6 及更高版本,而人脸解锁需要 Android 10 及更高版本。
公司门户应用和 Intune 应用保护
应用保护的许多功能都内置于公司门户应用中。 虽然始终需要公司门户应用,但设备注册是不必要的。 对于移动应用程序管理 (MAM),终端用户只需在设备上安装“公司门户”应用即可。
适用于同一组应用和用户的多个 Intune 应用保护访问设置
当用户尝试从公司帐户访问目标应用时,系统将在最终用户设备上按特定顺序应用 Intune 应用访问保护策略。 通常,块优先,然后是可解除的警告。 例如,如果适用于特定用户/应用,则先应用阻止用户访问的 Android 修补程序最低版本设置,再应用警告用户进行修补程序升级的 Android 修补程序最低版本设置。 因此,如果 IT 管理员将 Android 修补程序最低版本配置为 2018-03-01,并将 Android 修补程序最低版本(仅限警告)配置为 2018-02-01,则当尝试访问该应用的设备具有 2018-01-01 版修补程序时,系统将基于更严格的 Android 修补程序最低版本设置阻止最终用户的访问。
处理不同类型的设置时,应用版本要求优先,其次是 Android 操作系统版本要求和 Android 修补程序版本要求。 然后,将按相同顺序检查所有类型的设置的任何警告。
适用于 Android 设备的 Intune 应用保护策略和 Google Play 的设备完整性检查
Intune 应用保护策略使管理员能够要求最终用户设备为 Android 设备传递 Google Play 的设备完整性检查。 新的 Google Play 服务决定将按照 Intune 服务确定的时间间隔报告给 IT 管理员。 由于负载原因,服务调用频率受限,因此该值在内部维护,并且不可配置。 针对 Google 设备完整性设置的任何 IT 管理员配置操作都将基于条件启动时向 Intune 服务报告的结果。 如果没有数据,若无其他条件启动检查失败,则允许访问,用于确定认证结果的 Google Play 服务“往返”将在后端开始,并在设备失败时以异步方式提示用户。 如果数据过时,将根据最后报告的结果阻止或允许访问,同样,用于确定认证结果的 Google Play 服务“往返”将开始,并在设备失败时以异步方式提示用户。
Intune 应用保护策略和 Google 的适用于 Android 设备的 Verify Apps API
凭借 Intune 应用保护策略,管理员能够要求最终用户设备通过 Google 的适用于 Android 设备的 Verify Apps API 发送信号。 如何执行此操作的说明根据设备略有不同。 一般过程包括转到 Google Play 商店,然后单击 “我的应用 & 游戏”,单击最后一次应用扫描的结果,这会转到“播放保护”菜单。 确保“扫描设备以检测安全隐患”开关为开启状态。
Google 的 Play Integrity API
Intune 利用 Google 的 Play 完整性 API,将未注册设备的根检测检查添加到现有根检测中。 Google 开发并维护此 API 集,当它们不希望应用在已取得 root 权限的设备上运行时,Android 应用可以采用这些 API。 例如,Android Pay 应用已将此合并。 尽管 Google 不公开共享所进行的全部 root 权限检测检查,但是我们希望这些 API 能够检测出已取得其设备 root 权限的用户。 然后,可以阻止这些用户访问,或者可以从启用策略的应用中擦除其公司帐户。 “检查基本完整性”描述设备的总体完整性。 已取得根权限的设备、模拟器、虚拟设备以及具有篡改迹象的设备无法通过基本完整性检查。 “检查基本完整性和认证设备”描述设备与 Google 服务的兼容性。 只有经过 Google 认证的未修改的设备才能通过此检查。 以下设备将无法通过检查:
- 基本完整性检查未通过的设备
- 具有未锁定引导装入程序的设备
- 具有自定义系统映像/ROM 的设备
- 制造商未申请或未通过 Google 认证的设备
- 系统映像直接通过 Android 开源程序源文件生成的设备
- 具有 beta 版本/开发者预览版系统映像的设备
有关技术详细信息,请参阅 Google 关于 Google Play Integrity API 的文档。
播放完整性判决设置和“越狱/rooted devices”设置
播放完整性判决要求最终用户至少在确定证明结果的“往返”执行期间处于联机状态。 如果最终用户为离线状态,IT 管理员仍可通过“已越狱/已获得 root 权限的设备”设置强制执行结果。 不过,如果最终用户长时间离线,“脱机宽限期”值就会发挥作用,在达到计时器值后将阻止所有对工作或学校数据的访问,直至网络访问可用。 同时开启这两个设置就可以通过分层方法来保持最终用户设备正常运行,这在最终用户通过移动设备访问工作或学校数据时非常重要。
Google Play 保护 API 和 Google Play Services
利用 Google Play 保护 API 的应用保护策略设置需要 Google Play Services 才能运行。 应用设置的 Play 完整性判断和 威胁扫描 都需要 Google 确定的 Google Play Services 版本才能正常运行。 由于这些设置属于安全领域,如果最终用户是这些设置的目标,并且未使用适当版本的 Google Play Services,或者没有 Google Play Services 的访问权限,则将被阻止。
预览:适用于 Windows 设备的应用保护体验
有两类策略设置: 数据保护 和 运行状况检查。 术语 策略托管应用 是指配置了应用保护策略的应用。
数据保护
数据保护设置会影响组织数据和上下文。 作为管理员,你可以控制数据传入和移出组织保护上下文的移动。 组织上下文由指定组织帐户访问的文档、服务和网站定义。 以下策略设置有助于控制接收到组织上下文中的外部数据和从组织上下文发送的组织数据。
运行状况检查
运行状况检查允许配置条件启动功能。 为此,必须为应用保护策略设置运行状况检查条件。 选择 “设置” ,并输入用户访问组织数据时必须满足 的值 。 然后选择用户不符合条件时要执行的操作。 在某些情况下,可以为单个设置配置多个操作。
后续步骤
如何使用 Microsoft Intune 创建和部署应用保护策略
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈