引導式案例 - 保護 Microsoft Office 行動應用程式
遵循 裝置管理 入口網站中的這個引導式案例,您可以在 iOS/iPadOS 和 Android 裝置上啟用基本 Intune 應用程式保護。
您啟用的應用程式保護會強制執行下列動作:
- 加密工作檔案。
- 需要 PIN 才能存取工作檔案。
- 需要在五次嘗試失敗之後重設 PIN。
- 禁止在 iTunes、iCloud 或 Android 備份服務中備份工作檔案。
- 要求工作檔案只能儲存至 OneDrive 或 SharePoint。
- 防止受保護的應用程式在已越獄或 Root 破解的裝置上載入工作檔案。
- 如果裝置脫機 720 分鐘,則封鎖對工作檔案的存取。
- 如果裝置脫機 90 天,請移除工作檔案。
Background
Office 行動裝置應用程式和適用於行動裝置的 Microsoft Edge 支援雙重身分識別。 雙重身分識別可讓應用程式與個人檔案分開管理工作檔案。
Intune 應用程式保護原則 可協助保護已註冊到 Intune 之裝置上的工作檔案。 您也可以在未在 Intune 中註冊管理的員工擁有裝置上使用應用程式保護原則。 在此情況下,即使您的公司未管理裝置,您仍然需要確定工作檔案和資源受到保護。
您可以使用 應用程式防護 原則來防止使用者將工作檔案儲存在未受保護的位置。 您也可以將資料移動限制在不受 應用程式防護 原則保護的其他應用程式。 應用程式防護原則設定包括:
- 數據重新配置原則,例如 儲存組織數據的複本,以及 限制剪下、複製和貼上。
- 存取原則設定,以要求簡單的 PIN 碼才能存取,並封鎖受控應用程式在已越獄或 Root 破解的裝置上執行。
應用程式型條件式存取和用戶端應用程式管理藉由確定只有支援 Intune 應用程式保護原則的用戶端應用程式可以存取 Exchange Online 和其他 Microsoft 365 服務,來新增安全性層級。
當您只允許 Microsoft Outlook 應用程式存取 Exchange Online 時,可以封鎖 iOS/iPadOS 和 Android 上的內建郵件應用程式。 此外,您可以封鎖未套用 Intune 應用程式保護原則的應用程式存取 SharePoint Online。
在此範例中,系統管理員已將應用程式保護原則套用至 Outlook 應用程式,後面接著條件式存取規則,將 Outlook 應用程式新增至可在存取公司電子郵件時使用的已核准應用程式清單。
必要條件
您將需要下列 Intune 系統管理員權限:
- 受控應用程式讀取、建立、刪除及指派許可權
- 原則會設定讀取、建立和指派許可權
- 組織讀取許可權
步驟 1 - 簡介
遵循 Intune 應用程式保護 引導式案例,您將防止在組織外部共用或外泄數據。
指派的 iOS/iPadOS 和 Android 用戶必須在每次開啟 Office 應用程式時輸入 PIN。 在五次失敗的 PIN 嘗試之後,用戶必須重設其 PIN。 如果您已經需要裝置 PIN,使用者將不會受到影響。
您需要繼續執行的內容
我們會詢問您使用者所需的應用程式,以及存取它們所需的專案。 請確定您有下列方便的資訊:
- 已核准供公司使用的 Office 應用程式清單。
- 在非受控裝置上啟動已核准應用程式的任何 PIN 需求。
步驟 2 - 基本概念
在此步驟中,您必須輸入新 應用程式防護 原則的前置詞和描述。 當您新增 前置詞時,將會更新與引導式案例所建立之資源相關的詳細數據。 如果您稍後需要變更指派和設定,這些詳細數據可讓您輕鬆找到原則。
提示
請考慮記下將建立的資源,以便稍後參考它們。
步驟 3 - 應用程式
為了協助您開始使用,此引導式案例會預先選取下列行動裝置應用程式,以在 iOS/iPadOS 和 Android 裝置上保護:
- Microsoft Excel
- Microsoft Word
- Microsoft Teams
- Microsoft Edge
- Microsoft PowerPoint
- Microsoft Outlook
- Microsoft OneDrive
此引導式案例也會將這些應用程式設定為在 Microsoft Edge 中開啟 Web 連結,以確保工作網站會在受保護的瀏覽器中開啟。
修改您要保護的原則管理應用程式清單。 新增或移除此清單中的應用程式。
選取應用程式後,按 [ 下一步]。
步驟 4 - 設定
在此步驟中,您必須設定在這些應用程式中存取和共用公司檔案和電子郵件的需求。 根據預設,用戶可以將數據儲存到組織的 OneDrive 和 SharePoint 帳戶。
使用上述的 增強數據保護 設定時,會套用下列設定。
| 設定 | 描述 | 值 |
|---|---|---|
| 閑置 (分鐘的逾時) | 指定密碼或數值 (設定為) PIN 會覆寫生物特徵辨識的使用時間,以分鐘為單位。 此逾時值應大於 「在閑置) (分鐘後重新檢查存取需求」底下指定的值。 默認值:30 | 720 |
步驟 5 - 指派
在此步驟中,您可以選擇您想要包含的使用者群組,以確保他們可以存取您的公司數據。 應用程式防護 指派給使用者而非裝置,因此不論使用的裝置及其註冊狀態為何,您的公司數據都會受到保護。
未指派應用程式保護原則和條件式存取設定的使用者,將能夠將公司配置檔中的數據儲存到其行動裝置上的個人應用程式和非受控本機記憶體。 他們也可以使用個人應用程式連線到公司數據服務,例如 Microsoft Exchange。
步驟 6 - 檢閱 + 建立
最後一個步驟可讓您檢閱所設定的設定摘要。 檢閱您的選擇之後,按兩下 [ 建立 ] 以完成引導式案例。 引導式案例完成後,就會顯示資源數據表。 您可以稍後編輯這些資源,不過,一旦離開摘要檢視,將不會儲存數據表。
重要事項
引導式案例完成後,將會顯示摘要。 您可以稍後修改摘要中列出的資源,但不會儲存顯示這些資源的數據表。
後續步驟
- 將應用程式型條件式存取原則指派給使用者,以保護雲端服務不會將工作檔案傳送至未受保護的應用程式,藉此增強工作檔案的安全性。 如需詳細資訊, 請參閱使用 Intune 設定以應用程式為基礎的條件式存取原則。
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: