如何建立及部署應用程式保護原則

瞭解如何 (應用程式) 為組織使用者建立及指派Microsoft Intune應用程式保護原則。 本主題也說明如何對現有原則進行變更。

開始之前

應用程式防護原則可以套用至在裝置上執行的應用程式，這些應用程式可能由Intune管理。 如需應用程式保護原則運作方式的詳細說明，以及Intune應用程式保護原則所支援的案例，請參閱應用程式防護原則概觀。

應用程式保護原則中可用的選項 (APP) 可讓組織根據其特定需求量身打造保護。 對某些人而言，實作完整案例所需的原則設定可能不明顯。 為了協助組織排定行動用戶端端點強化的優先順序，Microsoft 已針對其應用程式資料保護架構引進分類法，以進行iOS和Android行動應用程式管理。

APP 資料保護架構會組織成三個不同的組態層級，每個層級會根據上一個層級來建置：

• Enterprise層級 1 (基本資料保護) 確保應用程式受到 PIN 保護並加密，並執行選擇性抹除作業。 針對Android裝置，此層級會驗證Android裝置證明。 這是一種進入層級設定，可在信箱原則Exchange Online提供類似的資料保護控制，並將 IT 和使用者母體引進 APP。
• Enterprise層級 2 (增強的資料保護) 引進 APP 資料外泄防護機制和最低作業系統需求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
• Enterprise高資料保護 (層級 3) 引進進階資料保護機制、增強的 PIN 設定，以及 APP Mobile Threat Defense。 此設定適用于存取高風險資料的使用者。

若要查看每個設定層級的特定建議，以及必須保護的最低應用程式，請 檢閱使用應用程式保護原則的資料保護架構。

如果您要尋找已整合 Intune SDK 的應用程式清單，請參閱Microsoft Intune受保護的應用程式。

如需將貴組織的企業營運 (LOB) 應用程式新增至Microsoft Intune以準備應用程式保護原則的相關資訊，請參閱將應用程式新增至Microsoft Intune。

iOS/iPadOS 和 Android 應用程式的應用程式防護原則

當您為 iOS/iPadOS 和 Android 應用程式建立應用程式保護原則時，您會遵循新式Intune程式流程，以產生新的應用程式保護原則。 如需為Windows應用程式建立應用程式保護原則的相關資訊，請參閱使用 Intune 建立和部署 WINDOWS 資訊保護 (WIP) 原則。

建立iOS/iPadOS 或Android應用程式保護原則

1. 登入 Microsoft 端點管理員系統管理中心。

2. 選取 [應用程式] > [應用程式防護原則]。 此選項會開啟 應用程式防護原則 詳細資料，您可以在其中建立新原則並編輯現有原則。

3. 選取 [建立原則]，然後選取 [iOS/iPadOS] 或 [Android]。 [建立原則] 窗格隨即顯示。

4. 在 [ 基本] 頁面上，新增下列值：

   值	描述
   名稱	此應用程式保護原則的名稱。
   描述	[選擇性]此應用程式保護原則的描述。

   [平台]**** 值是根據您在上方的選擇而設定。

   

5. 按 [下一步 ] 以顯示 [應用程式] 頁面。 [應用程式]**** 頁面可讓您選擇如何將此原則套用至不同裝置上的應用程式。 您必須新增至少一個應用程式。

   值/選項	描述
   以所有裝置類型的應用程式為目標	使用此選項，將您的原則目標設為任何管理狀態裝置上的應用程式。 選擇 [否 ] 以將特定裝置類型的應用程式設為目標。 如需詳細資訊，請 參閱以裝置管理狀態為基礎的目標應用程式保護原則。
   裝置類型	使用此選項來指定此原則是否適用于 MDM 受控裝置或非受控裝置。 如需iOS/iPadOS 應用程式原則，請從 [非受控 和受控裝置 ] 中選取。 針對Android應用程式原則，請從 [非受控]、[Android裝置系統管理員] 和 [Android Enterprise] 中選取。
   目標原則為	在 [要設定目標原則] 下拉式方塊中，選擇將應用程式保護原則的目標設為 [所有應用程式]、[Microsoft Apps] 或 [核心Microsoft Apps。

   • 所有應用程式 都包含已整合 Intune SDK 的所有 Microsoft 和合作夥伴應用程式。
   • Microsoft Apps 包含已整合 Intune SDK 的所有 Microsoft 應用程式。
   • 核心Microsoft Apps 包含下列應用程式：Edge、Excel、Office、OneDrive、OneNote、Outlook、PowerPoint、SharePoint、Teams待辦事項、 和 Word。

   接下來，您可以選 取 [檢視目標應用程式清單]， 以檢視受此原則影響的應用程式清單。||公用應用程式|如果您不想要選取其中一個預先定義的應用程式群組，您可以在 [目標原則要] 下拉式方塊中選 取 [選取的應用程式 ] 來 選擇以個別應用程式為目標。 按一下 [選取公用應用程式 ] 以選取要設為目標的公用應用程式。 | |自訂應用程式|如果您不想要選取其中一個預先定義的應用程式群組，您可以在 [目標原則要] 下拉式方塊中選 取 [選取的應用程式 ] 來 選擇以個別應用程式為目標。 按一下 [選取自訂應用程式 ]，以根據套件組合識別碼選取要設為目標的自訂應用程式。 以相同原則中的所有公用應用程式為目標時，您無法選擇自訂應用程式。 |

   您選取的應用程式 () 會出現在公用和自訂應用程式清單中。

   注意

   支援的公用應用程式 是 Microsoft 的應用程式，以及常用於Microsoft Intune的合作夥伴。 這些Intune受保護的應用程式會透過一組豐富的行動應用程式保護原則支援來啟用。 如需詳細資訊，請參閱Microsoft Intune受保護的應用程式。 自訂應用程式是已與 Intune SDK 整合或由Intune App Wrapping Tool包裝的 LOB 應用程式。 如需詳細資訊，請參閱 Microsoft Intune App SDK 概觀和準備應用程式保護原則的企業營運應用程式。

6. 按 [下一步 ] 以顯示 [資料保護 ] 頁面。 此頁面提供資料外洩防護 (DLP) 控制項的設定，包括剪下、複製、貼上和另存新檔限制。 這些設定決定使用者在套用此應用程式防護原則的應用程式中，如何與資料互動。

   資料保護設定

   • iOS/iPadOS 資料保護- 如需詳細資訊，請 參閱iOS/iPadOS 應用程式保護原則設定 - 資料保護。
   • Android資料保護- 如需詳細資訊，請 參閱Android應用程式保護原則設定 - 資料保護。

7. 按 [下一步 ] 以顯示 [ 存取需求 ] 頁面。 此頁面提供的設定，可讓您設定使用者必須符合的 PIN 和認證需求，才能在工作環境中存取應用程式。

   存取需求設定

   • iOS/iPadOS 存取需求- 如需詳細資訊，請 參閱iOS/iPadOS 應用程式保護原則設定 - 存取需求。
   • Android存取需求- 如需詳細資訊，請 參閱Android應用程式保護原則設定 - 存取需求。

8. 按 [下一步 ] 以顯示 [條件式啟動 ] 頁面。 此頁面提供的設定，可設定應用程式防護原則的登入安全性需求。

9. 選取 ****[設定]，然後輸入使用者必須符合的 ****[值]，才能登入您的公司應用程式。 然後，選取您在使用者不符合需求時要採取的 ****[動作]。 在某些情況下，單一設定可以設定多個動作。

   條件式啟動設定

   • iOS/iPadOS 條件式啟動- 如需詳細資訊，請 參閱iOS/iPadOS 應用程式保護原則設定 - 條件式啟動。
   • Android條件式啟動- 如需詳細資訊，請 參閱Android應用程式保護原則設定 - 條件式啟動。

10. 按 [下一步 ] 以顯示 [ 指派] 頁面。 [ 指派] 頁面可讓您將應用程式保護原則指派給使用者群組。 您必須將原則套用至一組使用者，原則才會生效。

11. 按 [下一步：檢閱 + 建立] 以檢閱您為此應用程式保護原則輸入的值和設定。

12. 當您完成時，按一下 [建立] 以在Intune中建立應用程式保護原則。

    提示

    只有在工作內容中使用應用程式時，才會強制執行這些原則設定。 當終端使用者使用應用程式來執行個人工作時，不會受到這些原則的影響。 請注意，當您建立新檔案時，它會被視為個人檔案。

    重要

    應用程式保護原則可能需要一些時間才能套用至現有的裝置。 套用應用程式保護原則時，終端使用者會在裝置上看到通知。 套用連續存取規則之前，請先將您的應用程式保護原則套用至裝置。

終端使用者可以從 App Store 或Google Play下載應用程式。 如需詳細資訊，請參閱：

• 適用于 Android 的 Managed 工作和學校應用程式
• 當您的iOS/iPadOS 應用程式受應用程式保護原則管理時，會發生什麼事

變更現有原則

您可以編輯現有的原則，並將其套用至目標使用者。 不過，當您變更現有的原則時，已登入應用程式的使用者將不會在八小時的期間內看到變更。 若要立即查看變更的影響，使用者必須登出應用程式，然後重新登入。

變更與原則相關聯的應用程式清單

1. 在 [應用程式防護原則] 窗格中，選取您想要變更的原則。

2. 在 [Intune 應用程式保護] 窗格中，選取 [屬性]。

3. 在標題為 [ 應用程式] 的區段旁，選取 [ 編輯]。

4. [應用程式]**** 頁面可讓您選擇如何將此原則套用至不同裝置上的應用程式。 您必須新增至少一個應用程式。

   值/選項	描述
   以所有裝置類型的應用程式為目標	使用此選項，將您的原則目標設為任何管理狀態裝置上的應用程式。 選擇 [否 ] 以將特定裝置類型的應用程式設為目標。 此設定可能需要額外的應用程式設定。 如需詳細資訊，請參閱 以裝置管理狀態為基礎的目標應用程式保護原則。
   裝置類型	使用此選項來指定此原則是否適用于 MDM 受控裝置或非受控裝置。 如需iOS/iPadOS 應用程式原則，請從 [非受控 和受控裝置 ] 中選取。 針對Android應用程式原則，請從 [非受控]、[Android裝置系統管理員] 和 [Android Enterprise] 中選取。
   公用應用程式	在 [要設定目標原則] 下拉式方塊中，選擇將應用程式保護原則的目標設為 [所有公用應用程式]、[Microsoft Apps] 或 [核心Microsoft Apps] 。 接下來，您可以選 取 [檢視目標應用程式清單]， 以檢視受此原則影響的應用程式清單。 如有需要，您可以按一下 [ 選取公用應用程式]，選擇以個別應用程式為目標。
   自訂應用程式	按一下 [選取自訂應用程式 ]，以根據套件組合識別碼選取要設為目標的自訂應用程式。

   您選取的應用程式 () 會出現在公用和自訂應用程式清單中。

5. 按一下 [檢閱 + 建立] 以檢閱為此原則選取的應用程式。

6. 完成後，按一下 [ 儲存 ] 以更新應用程式保護原則。

變更使用者群組清單

1. 在 [應用程式防護原則] 窗格中，選取您想要變更的原則。

2. 在 [Intune 應用程式保護] 窗格中，選取 [屬性]。

3. 在標題為 [ 指派] 的區段旁，選取 [ 編輯]。

4. 若要將新的使用者群組新增至原則，請在 [ 包含 ] 索引標籤上選擇 [選取要包含的群組]，然後選取使用者群組。 選擇 [選取 ] 以新增群組。

5. 若要排除使用者群組，請在 [ 排除 ] 索引標籤上選擇 [ 選取要排除的群組]，然後選取使用者群組。 選擇 [選取 ] 以移除使用者群組。

6. 若要刪除先前新增的群組，請在 [ 包含 ] 或 [ 排除 ] 索引標籤上，選取省略號 (...) ]，然後選取 [ 刪除]。

7. 按一下 [檢閱 + 建立] 以檢閱為此原則選取的使用者群組。

8. 當您對指派所做的變更準備就緒之後，請選取 [ 儲存 ] 以儲存設定，並將原則部署到新的使用者集合。 如果您在儲存設定之前選取 [取消 ]，則會捨棄對 [ 包含 ] 和 [ 排除 ] 索引標籤所做的所有變更。

變更原則設定

1. 在 [應用程式防護原則] 窗格中，選取您想要變更的原則。

2. 在 [Intune 應用程式保護] 窗格中，選取 [屬性]。

3. 在您要變更的設定對應的區段旁，選取 [ 編輯]。 然後將設定變更為新的值。

4. 按一下 [檢閱 + 建立] 以檢閱此原則的更新設定。

5. 選取 [ 儲存 ] 以儲存您的變更。 重複此程式來選取設定區域並修改，然後儲存您的變更，直到所有變更都完成為止。 然後，您可以關閉 [Intune應用程式保護 - 屬性] 窗格。

以裝置管理狀態為基礎的目標應用程式保護原則

在許多組織中，通常會允許終端使用者使用 Intune Mobile 裝置管理 (MDM) 受控裝置，例如公司擁有的裝置，以及僅使用Intune應用程式保護原則保護的未受管理裝置。 非受控裝置通常稱為「攜帶您自己的裝置 (BYOD) 。

因為Intune應用程式保護原則是以使用者的身分識別為目標，所以使用者的保護設定可以套用至已註冊 (MDM 受控) 和未註冊的裝置， (沒有 MDM) 。 因此，您可以將Intune應用程式保護原則的目標設為Intune已註冊或取消註冊的iOS/iPadOS 和Android裝置。 您可以有一個非受控裝置的保護原則，其中有嚴格的資料外泄防護 (DLP) 控制項，以及 MDM 受控裝置的個別保護原則，其中 DLP 控制項可能會稍微寬鬆一點。 如需如何在個人Android Enterprise裝置上運作的詳細資訊，請參閱應用程式防護原則和工作設定檔。

若要建立這些原則，請流覽至 Intune 主控台中的 [應用程式 > 應用程式防護 原則]，然後選取 [建立原則]。 您也可以編輯現有的應用程式保護原則。 若要讓應用程式保護原則同時套用至受控和未受管理的裝置，請流覽至 [ 應用程式 ] 頁面，並確認 [所有裝置類型上的應用程式 目標] 都設定為 [ 是]，這是預設值。 如果您想要根據管理狀態細微指派，請將 [目標對所有裝置類型的應用程式 ] 設定為 [否]。

裝置類型

• 非受控：針對 iOS/iPadOS 裝置，非受控裝置是Intune MDM 管理或協力廠商 MDM/EMM 解決方案未傳遞 IntuneMAMUPN 金鑰的任何裝置。 針對Android裝置，非受控裝置是未偵測到Intune MDM 管理的裝置。 這包括由協力廠商 MDM 廠商管理的裝置。
• Intune受控裝置：受控裝置是由 Intune MDM 管理。
• Android裝置系統管理員：使用Android裝置管理 API 來Intune受管理的裝置。
• Android Enterprise：使用Android Enterprise工作設定檔或Android Enterprise完整裝置管理Intune受控裝置。

不論選擇哪種裝置類型，Android裝置都會提示您安裝Intune 公司入口網站應用程式。 例如，如果您選取 [Android Enterprise]，則仍然會提示具有非受控Android裝置的使用者。

若要iOS/iPadOS，若要強制將 [裝置類型] 選取專案強制執行至受管理的裝置Intune，則需要額外的應用程式組態設定。 這些設定會與 APP 服務通訊，以管理特定應用程式，且不會套用應用程式設定：

• 必須為所有 MDM 受控應用程式設定 IntuneMAMUPN。 如需詳細資訊，請參閱如何在 Microsoft Intune 中管理 iOS/iPadOS 應用程式之間的資料傳輸。
• 必須為所有協力廠商和企業營運 MDM 受控應用程式設定 IntuneMAMDeviceID。 IntuneMAMDeviceID 應該設定為裝置識別碼權杖。 例如，key=IntuneMAMDeviceID, value={{deviceID}}。 如需詳細資訊，請參閱新增受控iOS/iPadOS 裝置的應用程式設定原則。
• 如果只設定 IntuneMAMDeviceID，Intune應用程式會將裝置視為未受管理。

注意

如需以裝置管理狀態為基礎的應用程式保護原則特定iOS/iPadOS 支援資訊，請參閱以管理狀態為目標的 MAM 保護原則。

原則設定

若要查看 iOS/iPadOS 和 Android 的原則設定完整清單，請選取下列其中一個連結：

• iOS/iPadOS 原則
• Android原則

後續步驟

監視合規性和使用者狀態

另請參閱

• 適用于 Android 的 Managed 工作和學校應用程式
• 當您的iOS/iPadOS 應用程式受應用程式保護原則管理時，會發生什麼事