應用程式防護原則概觀

應用程式防護應用程式) (原則是確保組織資料保持安全或包含在受控應用程式中的規則。 原則可以是使用者嘗試存取或移動「公司」資料時所強制執行的規則,或當使用者位於應用程式內時所禁止或監視的一組動作。 受管理應用程式是已套用應用程式防護原則的應用程式,且可由 Intune 管理。

行動應用程式管理 (MAM) 應用程式保護原則可讓您管理和保護應用程式內的組織資料。 許多生產力應用程式 (例如 Microsoft Office 應用程式) 都可由 Intune MAM 管理。 請參閱可公開使用的 Microsoft Intune 受保護應用程式官方清單。

如何保護應用程式資料

您的員工會使用行動裝置來處理個人和工作事務。 在確保員工生產力的同時,您也會想要防止故意與無意的資料遺失。 您也會想要為從不受您管理的裝置存取的公司資料提供保護。

您可以使用Intune與 任何行動裝置管理 (MDM) 解決方案無關的 應用程式保護原則。 無論是否在裝置備管理解決方案中註冊裝置,這種獨立性可以幫助您保護公司的資料。 藉由實作 應用層級原則,您可以限制對公司資源的存取,並將資料保留在 IT 部門的檢視範圍內。

裝置上的應用程式防護原則

您可以針對在下列裝置上執行的應用程式設定應用程式防護原則:

  • 在Microsoft Intune中註冊: 這些裝置通常是公司擁有的裝置。

  • 已在協力廠商行動裝置管理 (MDM) 解決方案中註冊: 這些裝置通常是公司擁有的。

    注意

    行動應用程式管理原則不應與協力廠商行動應用程式管理或安全容器解決方案搭配使用。

  • 未在任何行動裝置管理解決方案中註冊: 這些裝置通常是員工擁有的裝置,未在Intune或其他 MDM 解決方案中管理或註冊。

重要

您可以為連線到 Microsoft 365 服務的 Office 行動裝置應用程式建立行動裝置應用程式管理原則。 您也可以為啟用混合式新式驗證的 iOS/iPadOS 和 Android 版 Outlook 建立 Intune 應用程式防護原則,以保護 Exchange 內部部署信箱的存取權。 使用此功能之前,請確定您符合 iOS/iPadOS 和 Android 版 Outlook 的需求。 連線到內部部署 Exchange 或 SharePoint 服務的其他應用程式不支援應用程式防護原則。

使用應用程式防護原則的優點

使用應用程式防護原則的重要優點如下:

  • 以應用程式層級保護您的公司資料。 因為行動裝置應用程式管理不需要裝置管理,所以您可以保護受管理和未受管理裝置上的公司資料。 此管理會以使用者身分識別為中心,這會對移除裝置管理的需求。

  • 在個人環境中使用應用程式時,使用者生產力不會受到影響,而且不會套用原則。 這些原則只會套用在工作內容中,讓您能夠保護公司資料,而不需要觸碰個人資料。

  • 應用程式防護原則可確保實施應用程式層保護。 例如,您可以:

    • 需要 PIN 碼才能在工作內容中開啟應用程式
    • 控制應用程式之間的資料共用
    • 防止將公司應用程式資料儲存到個人儲存位置
  • 除了 MAM 之外,MDM 也可確保裝置受到保護。 您可以要求 PIN 碼以存取裝置,或是將受管理應用程式部署到裝置。 您也可以透過 MDM 解決方案將應用程式部署到裝置,讓您更充分掌控應用程式管理。

搭配使用 MDM 與應用程式防護原則還有其他優點,而且公司可以同時使用具有和不含 MDM 的應用程式防護原則。 例如,假設有員工同時使用公司所簽發的電話,以及自己的個人平板電腦。 公司電話已在 MDM 中註冊,並受到應用程式防護原則保護,而個人裝置僅受到應用程式防護原則的保護。

如果您在未設定裝置狀態的情況下將 MAM 原則套用至使用者,則使用者會在 BYOD 裝置和受 Intune 管理的裝置上取得 MAM 原則。 您也可以根據受管理狀態套用 MAM 原則。 因此,當您建立應用程式保護原則時,在 [ 所有應用程式類型的目標] 旁,您會選取 [ 否]。 然後執行下列任何一項:

  • 將較不嚴格的 MAM 原則套用至 Intune 受管理的裝置,並將更嚴格的 MAM 原則套用至未註冊 MDM 的裝置。
  • 僅將 MAM 原則套用至未註冊的裝置。

應用程式防護原則支援的平臺

Intune 提供一系列功能,可協助您在您想要的裝置上,取得所需的應用程式。 如需詳細資訊,請參閱 依平臺的應用程式管理功能

Intune應用程式保護原則平臺支援與Android和iOS/iPadOS 裝置Office行動應用程式平臺支援一致。 如需詳細資訊,請參閱 Office系統需求的行動 應用程式 一節。

重要

裝置上需要 Intune 公司入口網站,才能在 Android 上接收應用程式防護原則。

應用程式防護原則資料保護架構

應用程式保護原則中可用的選項 (APP) 可讓組織根據其特定需求量身打造保護。 對某些人而言,實作完整案例所需的原則設定可能不明顯。 為了協助組織排定行動用戶端端點強化的優先順序,Microsoft 已針對其應用程式資料保護架構引進分類法,以進行iOS和Android行動應用程式管理。

APP 資料保護架構會組織成三個不同的組態層級,每個層級會根據上一個層級來建置:

  • Enterprise層級 1 (基本資料保護) 確保應用程式受到 PIN 保護並加密,並執行選擇性抹除作業。 針對Android裝置,此層級會驗證Android裝置證明。 這是一種進入層級設定,可在信箱原則Exchange Online提供類似的資料保護控制,並將 IT 和使用者母體引進 APP。
  • Enterprise層級 2 (增強的資料保護) 引進 APP 資料外泄防護機制和最低作業系統需求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
  • Enterprise高資料保護 (層級 3) 引進進階資料保護機制、增強的 PIN 設定,以及 APP Mobile Threat Defense。 此設定適用于存取高風險資料的使用者。

若要查看每個設定層級的特定建議,以及必須保護的最低應用程式,請 檢閱使用應用程式保護原則的資料保護架構

應用程式保護原則如何保護應用程式資料

沒有應用程式防護原則的應用程式

使用沒有限制的應用程式時,公司和個人資料可能會交集在一起。 公司資料最終可能會位於個人儲存體等位置,或傳輸至您 Purview 以外的應用程式,並導致資料遺失。 下圖中的箭號顯示公司和個人應用程式之間,以及儲存體位置之間的不受限制資料移動。

在沒有原則的應用程式之間移動資料的概念影像

應用程式) (使用應用程式保護原則進行資料保護

您可以使用應用程式防護原則來防止公司資料儲存到裝置的本機儲存體 (請參閱下圖) 。 您也可以將資料移動限制為不受應用程式防護原則保護的其他應用程式。 應用程式防護原則設定包括:

  • 資料重新配置原則,例如 儲存組織資料的複本,以及 限制剪下、複製和貼上
  • 存取原則設定,例如 需要簡單的 PIN 以進行存取,以及 封鎖受控應用程式在已越獄或 Root 破解的裝置上執行

顯示受原則保護之公司資料的概念影像

在 MDM 解決方案所管理的裝置上使用 APP 進行資料保護

下圖顯示 MDM 和應用程式防護原則一起提供的保護層級。

顯示應用程式防護原則如何在 BYOD 裝置上運作的影像

MDM 解決方案藉由提供下列專案來增加價值:

  • 註冊裝置
  • 將應用程式部署至裝置
  • 提供持續的裝置合規性與管理

應用程式防護原則會藉由提供下列專案來增加價值:

  • 協助保護公司資料免于洩漏至取用者應用程式和服務
  • 將另 存新檔剪貼簿PIN 等限制套用至用戶端應用程式
  • 視需要從應用程式抹除公司資料,而不從裝置移除這些應用程式

在不註冊的裝置上使用 APP 保護資料

下圖說明資料防護原則在沒有 MDM 的情況下,如何在應用層級運作。

此圖顯示應用程式防護原則在未註冊 (非受控裝置的裝置上如何運作)

對於未在任何 MDM 解決方案中註冊的 BYOD 裝置,應用程式防護原則可協助保護應用層級的公司資料。 但是,要注意有某些限制,像是:

  • 您無法將應用程式部署到裝置。 終端使用者必須從市集取得應用程式。
  • 您無法在這些裝置上佈建憑證設定檔。
  • 您無法在這些裝置上佈建公司Wi-Fi和 VPN 設定。

您可以使用應用程式保護原則管理的應用程式

任何已與Intune SDK整合或由Intune App Wrapping Tool包裝的應用程式,都可以使用Intune應用程式保護原則來管理。 請參閱已使用這些工具建置並可供公開使用的受保護Microsoft Intune應用程式官方清單。

Intune SDK 開發小組會主動測試並維護使用原生Android、iOS/iPadOS (Obj-C、Swift) 、Xamarin 和 Xamarin.Forms 平臺建置的應用程式支援。 雖然有些客戶已成功Intune SDK 與其他平臺整合,例如 React Native 和 NativeScript,但我們並未提供明確的指引或外掛程式,讓應用程式開發人員使用支援的平臺以外的任何專案。

使用應用程式保護原則的使用者需求

下列清單提供在受Intune管理的應用程式上使用應用程式保護原則的使用者需求:

  • 使用者必須擁有 Azure Active Directory (Azure AD) 帳戶。 請參閱新增使用者並授與系統管理許可權給Intune,以瞭解如何在Azure Active Directory中建立Intune使用者。

  • 使用者必須具備指派給其 Azure Active Directory 帳戶的 Microsoft Intune 的授權。 請參閱管理Intune授權,以瞭解如何將Intune授權指派給使用者。

  • 使用者必須屬於應用程式保護原則的目標安全性群組。 相同的應用程式保護原則必須針對所使用的特定應用程式。 應用程式防護原則可以在 Microsoft 端點管理員系統管理中心建立和部署。 安全性群組目前可在Microsoft 365 系統管理中心中建立。

  • 使用者必須使用 Azure AD 帳戶登入應用程式。

Microsoft Office應用程式的應用程式防護原則

搭配Microsoft Office應用程式使用應用程式防護原則時,有一些您想要注意的其他需求。

Outlook行動裝置應用程式

使用Outlook行動裝置應用程式的其他需求包括:

Word、Excel 和 PowerPoint

使用Word、Excel 和 PowerPoint應用程式的其他需求包括:

  • 使用者必須擁有連結至其Azure Active Directory帳戶之Microsoft 365 Apps 商務版或企業的授權。 訂用帳戶必須包含行動裝置上的Office應用程式,而且可以包含具有商務用 OneDrive的雲端儲存體帳戶。 Microsoft 365可依照這些指示Microsoft 365 系統管理中心中指派授權。

  • 終端使用者必須在 [儲存組織資料的複本] 應用程式保護原則設定下,使用細微的儲存功能來設定受控位置。 例如,如果受控位置OneDrive,則應在使用者的 Word、Excel 或 PowerPoint應用程式中設定OneDrive應用程式。

  • 如果受控位置OneDrive,則應用程式必須以部署至使用者的應用程式保護原則為目標。

    注意

    Office行動裝置應用程式目前僅支援 SharePoint Online,而非內部部署SharePoint。

Office所需的管理位置

受控位置 (也就是Office需要OneDrive) 。 Intune將應用程式中的所有資料標示為「公司」或「個人」。 資料來源自商務位置時會被視為「公司」。 針對Office應用程式,Intune將下列專案視為商務位置:具有商務用 OneDrive帳戶的電子郵件 (Exchange) 或雲端儲存體 (OneDrive應用程式) 。

商務用 Skype

使用 商務用 Skype還有其他需求。 請參閱商務用 Skype授權需求。 如需商務用 Skype (SfB) 混合式和內部部署設定,請參閱混合式新式 SfB 驗證和Exchange會分別使用Azure AD 進行適用于 SfB OnPrem的 GA 和新式驗證。

應用程式防護全域原則

如果OneDrive系統管理員流覽至 [admin.onedrive.com],並選取 [裝置存取],他們可以將行動應用程式 管理 控制項設定為OneDrive和SharePoint用戶端應用程式。

這些設定可供OneDrive 管理員主控台使用,可設定稱為全域原則的特殊Intune應用程式 保護原則。 此全域原則適用于您租使用者中的所有使用者,而且無法控制原則目標。

啟用之後,iOS/iPadOS 和 Android 的OneDrive和SharePoint應用程式預設會使用選取的設定來保護。 IT Pro可以在 Intune 主控台中編輯此原則,以新增更具目標的應用程式,以及修改任何原則設定。

根據預設,每個租使用者只能有一個 局原則。 不過,您可以使用Intune Graph API為每個租使用者建立額外的全域原則,但不建議這麼做。 不建議建立額外的全域原則,因為針對這類原則的實作進行疑難排解可能會變得複雜。

雖然 全域 原則會套用至租使用者中的所有使用者,但任何標準Intune應用程式保護原則都會覆寫這些設定。

注意

OneDrive 管理員中心內的原則設定已不再更新。 您可以改用 Microsoft Enpoint Manager。 如需詳細資訊,請參閱控制OneDrive和SharePoint行動裝置應用程式中功能的存取權。

應用程式防護功能

多重身分識別

多重身分識別支援可讓應用程式支援多個物件。 這些物件同時是「公司」使用者和「個人」使用者。 公司和學校帳戶是由「公司」物件使用,而個人帳戶則會用於取用者物件,例如Microsoft Office使用者。 支援多重身分識別的應用程式可以公開發行,其中應用程式保護原則僅適用于在公司與學校 (「公司」) 內容中使用應用程式。 多重身分識別支援會使用Intune SDK,只將應用程式保護原則套用至已登入應用程式的公司或學校帳戶。 如果個人帳戶已登入應用程式,資料就會保持不變。 應用程式防護原則可用來防止將公司或學校帳戶資料傳輸至多重身分識別應用程式內的個人帳戶、其他應用程式內的個人帳戶或個人應用程式。

重要

不論應用程式是否支援多重身分識別,只有單一「公司」身分識別可以套用Intune應用程式保護原則。

如需「個人」內容的範例,請考慮在 Word 中啟動新檔的使用者,這會被視為個人內容,因此Intune不會套用應用程式保護原則。 將檔儲存在「公司」OneDrive帳戶之後,就會將其視為「公司」內容,並Intune套用應用程式保護原則。

請考慮下列工作或「公司」內容範例:

  • 使用者會使用其工作帳戶來啟動OneDrive應用程式。 在工作內容中,他們無法將檔案移至個人儲存位置。 稍後,當他們使用OneDrive搭配其個人帳戶時,他們可以從個人OneDrive複製和移動資料,而不受限制。
  • 使用者開始在Outlook應用程式中草擬電子郵件。 一旦填入主旨或訊息本文,使用者就無法將 FROM 位址從工作內容切換到個人內容,因為主旨和訊息本文會受到應用程式保護原則的保護。

注意

Outlook具有「個人」和「公司」電子郵件的合併電子郵件檢視。 在此情況下,Outlook應用程式會在啟動時提示輸入Intune PIN。

重要

雖然 Edge 位於「公司」內容中,但使用者可以刻意將OneDrive「公司」內容檔案移至未知的個人雲端儲存位置。 若要避免這種情況,請 參閱管理受限制的網站 ,並設定 Edge 允許/封鎖的網站清單。

Intune應用程式 PIN

PIN) (個人識別碼是密碼,用來確認正確的使用者正在應用程式中存取組織的資料。

PIN 提示
當使用者即將存取「公司」資料時,Intune提示輸入使用者的應用程式 PIN。 在 Word、Excel 或 PowerPoint 等多重身分識別應用程式中,當使用者嘗試開啟「公司」檔或檔案時,系統會提示他們輸入 PIN。 在單一身分識別應用程式中,例如使用Intune App Wrapping Tool管理的企業營運應用程式,會在啟動時提示 PIN,因為Intune SDK知道使用者在應用程式中的體驗一律為「公司」。

PIN 提示或公司認證提示頻率
IT 系統管理員可以在Intune管理主控台中) (分鐘後重新檢查存取 需求,以定義 Intune Intune應用程式保護原則設定。 此設定會指定在裝置上檢查存取需求之前的時間量,並再次顯示應用程式 PIN 畫面或公司認證提示。 不過,會影響使用者提示頻率的 PIN 重要詳細資料如下:

  • PIN 會在相同發行者的應用程式之間共用,以改善可用性:
    在 iOS/iPadOS 上,相同應用程式發行 者的所有應用程式之間會共用一個應用程式 PIN。 例如,所有 Microsoft 應用程式都會共用相同的 PIN。 在Android,所有應用程式之間會共用一個應用程式 PIN。
  • 在裝置重新開機 後 (分鐘) 行為之後,重新檢查存取 需求:
    計時器會追蹤非使用狀態的分鐘數,以決定下一次顯示Intune應用程式 PIN 或公司認證提示的時機。 在 iOS/iPadOS 上,計時器不會受到裝置重新開機的影響。 因此,裝置重新開機不會影響使用者在iOS/iPadOS 應用程式中處於非作用中的分鐘數,且Intune PIN (或公司認證) 原則為目標。 在Android時,計時器會在裝置重新開機時重設。 因此,Android具有INTUNE PIN (或公司認證) 原則的應用程式,可能會提示應用程式 PIN 或公司認證提示,無論 裝置重新開機後「在 (分鐘後重新檢查存取需求) 」設定值為何。
  • 與 PIN 相關聯之計時器的滾動本質:
    一旦輸入 PIN 以存取應用程式 (應用程式 A) ,且應用程式離開前景 (裝置上的主要輸入焦點) ,該 PIN 的計時器就會重設。 共用此 PIN 的任何應用程式 (應用程式 B) 都不會提示使用者輸入 PIN,因為計時器已重設。 再次符合「在 (分鐘之後重新檢查存取需求) 」值之後,就會再次顯示提示。

針對iOS/iPadOS 裝置,即使 PIN 是從不同發行者共用的應用程式,當重新 檢查 (分鐘之後的存取需求 時,也會再次顯示提示,) 值再次符合不是主要輸入焦點的應用程式。 因此,例如,使用者擁有來自發行者 X 的應用程式 A 和發行者 Y 的應用程式 B,而這兩個應用程式共用相同的 PIN。 使用者著重于應用程式 A (前景) ,並將應用程式 B 最小化。 在 (分鐘後重新檢查存取需求之後,) 值符合,且使用者切換至應用程式 B,則需要 PIN。

注意

若要更頻繁地驗證使用者的存取需求, (也就是 PIN 提示) ,特別是針對經常使用的應用程式,建議您降低[在 (分鐘後重新檢查存取需求) ] 設定的值。

適用于 Outlook 和 OneDrive 的內建應用程式 PIN
Intune PIN 會根據非活動計時器運作, () ) (分鐘後重新檢查存取需求 的值。 因此,Intune PIN 提示會與Outlook和OneDrive的內建應用程式 PIN 提示分開顯示,這些提示通常會與應用程式的啟動系結。 如果使用者同時收到這兩個 PIN 提示,預期的行為應該是Intune PIN 優先。

Intune PIN 安全性
PIN 可用來只允許正確的使用者存取其組織在應用程式中的資料。 因此,使用者必須先使用其公司或學校帳戶登入,才能設定或重設其Intune應用程式 PIN。 此驗證是由Azure Active Directory透過安全權杖交換來處理,對Intune SDK而言並不透明。 從安全性觀點來看,保護公司或學校資料的最佳方式是加密資料。 加密與應用程式 PIN 無關,而是它自己的應用程式保護原則。

防範暴力密碼破解攻擊和Intune PIN
作為應用程式 PIN 原則的一部分,IT 系統管理員可以設定使用者在鎖定應用程式之前,可以嘗試驗證其 PIN 的次數上限。 達到嘗試次數之後,Intune SDK可以抹除應用程式中的「公司」資料。

Intune PIN 和選擇性抹除
在 iOS/iPadOS 上,應用層級 PIN 資訊會儲存在具有相同發行者之應用程式之間共用的金鑰鏈中,例如所有第一方 Microsoft 應用程式。 此 PIN 資訊也會系結至使用者帳戶。 選擇性抹除一個應用程式不應影響不同的應用程式。

例如,已登入使用者的Outlook PIN 集會儲存在共用金鑰鏈中。 當使用者登入 Microsoft) 所發佈的OneDrive (時,他們會看到與Outlook相同的 PIN 碼,因為它使用相同的共用金鑰鏈。 登出Outlook或抹除Outlook中的使用者資料時,Intune SDK 不會清除該金鑰鏈,因為OneDrive可能仍在使用該 PIN。 因此,選擇性抹除不會清除該共用金鑰鏈,包括 PIN。 即使裝置上只有發行者有一個應用程式,此行為仍維持不變。

由於 PIN 是在具有相同發行者的應用程式之間共用,因此,如果抹除移至單一應用程式,Intune SDK 並不知道裝置上是否有任何其他應用程式具有相同的發行者。 因此,Intune SDK 不會清除 PIN,因為它可能仍可用於其他應用程式。 預期是,當最後一個來自該發行者的應用程式最終會在某些作業系統清理過程中移除時,應該抹除應用程式 PIN。

如果您觀察到在某些裝置上抹除 PIN,可能會發生下列情況:因為 PIN 系結至身分識別,如果使用者在抹除之後使用不同的帳戶登入,系統會提示他們輸入新的 PIN。 不過,如果他們使用先前現有的帳戶登入,儲存在金鑰鏈中的 PIN 就已經可以用來登入。

在來自相同發行者的應用程式上設定 PIN 兩次?
iOS/iPadOS) 上的 MAM (目前允許具有英數位元和特殊字元的應用層級 PIN, (稱為「密碼」) ,這需要應用程式 (例如 WXP、Outlook、Managed Browser Yammer) 參與,才能整合iOS的 Intune SDK。 如果沒有,目標應用程式的密碼設定將不會正確強制執行。 這是 Intune SDK for iOS v 中發行的功能。 7.1.12.

為了支援這項功能,並確保與舊版 Intune SDK for iOS/iPadOS 的回溯相容性,7.1.12+ 中 (數值或密碼) 的所有 PIN 都會與舊版 SDK 中的數值 PIN 分開處理。 Intune SDK for iOS 14.6.0 版中引進了另一項變更,導致 14.6.0+ 中的所有 PIN 都與舊版 SDK 中的任何 PIN 分開處理。

因此,如果裝置的應用程式在 7.1.12 之前和 7.1.12 之前具有適用于 iOS 版本的 Intune SDK,且 7.1.12 之後是來自相同發行者 (或 14.6.0 之前的版本,且在 14.6.0 之後) ,則必須設定兩個 PIN。 每個應用程式) 的兩個 PIN (以任何方式都不相關 (亦即,它們必須遵守套用至應用程式) 的應用程式保護原則。 因此, 只有在 應用程式 A 和 B 套用與 PIN) (相同的原則時,使用者才能設定相同的 PIN 兩次。

此行為專屬於使用 Intune Mobile App Management 啟用的 iOS/iPadOS 應用程式上的 PIN。 經過一段時間後,當應用程式採用較新版本的 Intune SDK for iOS/iPadOS 時,必須在同一個發行者的應用程式上設定 PIN 兩次就變得較不成問題。 如需範例,請參閱下列附注。

注意

例如,如果應用程式 A 是以 7.1.12 之前的版本建置, (或 14.6.0) ,而應用程式 B 的版本大於或等於 7.1.12 (或來自相同發行者的 14.6.0) , 如果兩者都安裝在 iOS/iPadOS 裝置上,終端使用者就必須分別設定 A 和 B 的 PIN。 如果已在裝置上安裝 SDK 7.1.9 版 (或 14.5.0) 的應用程式 C,它會與應用程式 A 共用相同的 PIN。使用 7.1.14 (或 14.6.2) 建置的應用程式 D 會與應用程式 B 共用相同的 PIN。
如果裝置上只安裝應用程式 A 和 C,則必須設定一個 PIN。 如果裝置上只安裝應用程式 B 和 D,則適用相同的方式。

應用程式資料加密

IT 系統管理員可以部署需要加密應用程式資料的應用程式保護原則。 作為原則的一部分,IT 系統管理員也可以指定何時加密內容。

如何Intune資料加密程式
需加密應用程式保護原則設定的詳細資訊,請參閱Android應用程式保護原則設定和iOS/iPadOS 應用程式保護原則設定。

加密的資料
只有標示為「公司」的資料會根據 IT 系統管理員的應用程式保護原則進行加密。 資料來源自商務位置時會被視為「公司」。 針對Office應用程式,Intune將下列專案視為商務位置:

  • 電子郵件 (Exchange)
  • 具有商務用 OneDrive帳戶) 的雲端儲存體 (OneDrive應用程式

針對由Intune App Wrapping Tool管理的企業營運應用程式,所有應用程式資料都會視為「公司」。

選擇性抹除

從遠端抹除資料
Intune可以使用三種不同的方式抹除應用程式資料:

  • 完整裝置抹除
  • MDM 的選擇性抹除
  • MAM 選擇性抹除

如需 MDM 遠端抹除的詳細資訊,請參閱 使用抹除或淘汰來移除裝置。 如需使用 MAM 選擇性抹除的詳細資訊,請 參閱淘汰動作如何只抹除應用程式中的公司資料

完整裝置抹除 會將裝置還原為原廠預設設定,以從 裝置 移除所有使用者資料和設定。 裝置會從Intune中移除。

注意

只有向Intune行動裝置管理 (MDM) 註冊的裝置上,才能完成 MDM 的完整裝置抹除和選擇性抹除。

MDM 的選擇性抹除
請參閱 移除裝置 - 淘汰 以閱讀移除公司資料的相關資訊。

MAM 的選擇性抹除
MAM 的選擇性抹除只會從應用程式移除公司應用程式資料。 要求是使用Intune來起始。 若要瞭解如何起始抹除要求,請參閱 如何只抹除應用程式中的公司資料

如果使用者在起始選擇性抹除時使用應用程式,Intune SDK會每隔 30 分鐘檢查一次Intune MAM 服務的選擇性抹除要求。 它也會在使用者第一次啟動應用程式時檢查選擇性抹除,並使用其公司或學校帳戶登入。

當內部部署 (內部部署) 服務無法與Intune保護的應用程式搭配運作時
Intune應用程式保護取決於使用者的身分識別,才能在應用程式與Intune SDK之間保持一致。 保證的唯一方法是透過新式驗證。 在某些情況下,應用程式可能會使用內部部署組態,但它們既不一致也不保證。

從受控應用程式開啟 Web 連結的安全方式
IT 系統管理員可以部署和設定Microsoft Edge的應用程式保護原則,這是一種可透過Intune輕鬆管理的網頁瀏覽器。 IT 系統管理員可以要求使用受管理瀏覽器開啟Intune管理應用程式中的所有 Web 連結。

iOS裝置的應用程式防護體驗

裝置指紋或臉部識別碼

Intune應用程式保護原則只允許控制Intune授權使用者的應用程式存取權。 控制應用程式存取的其中一種方式是在支援的裝置上要求 Apple 的觸控識別碼或臉部識別碼。 Intune實作行為,如果裝置的生物特徵辨識資料庫有任何變更,Intune在符合下一個閒置逾時值時提示使用者輸入 PIN。 生物特徵辨識資料的變更包括新增或移除指紋或臉部。 如果Intune使用者沒有 PIN 集,系統會引導他們設定Intune PIN。

此程式的目的是要繼續在應用程式內保護組織的資料,並在應用層級受到保護。 這項功能僅適用于 iOS/iPadOS,而且需要整合 Intune SDK for iOS/iPadOS 9.0.1 版或更新版本的應用程式參與。 必須整合 SDK,才能在目標應用程式上強制執行行為。 這項整合會以滾動為基礎進行,且取決於特定的應用程式小組。 部分參與的應用程式包括 WXP、Outlook、Managed Browser 和 Yammer。

iOS共用延伸模組

您可以使用 iOS/iPadOS 共用延伸模組,在非受控應用程式中開啟公司或學校資料,即使資料傳輸原則設定為僅限受 管理的應用程式沒有應用程式。 Intune應用程式保護原則不需管理裝置,就無法控制iOS/iPadOS 共用擴充功能。 因此,Intune在 應用程式外部共用「公司」資料之前,先將資料加密。 您可以嘗試在受控應用程式外部開啟「公司」檔案,以驗證此加密行為。 檔案應加密,且無法在受控應用程式外部開啟。

根據預設,Intune應用程式保護原則會防止存取未經授權的應用程式內容。 在 iOS/iPadOS 中,有使用通用連結開啟特定內容或應用程式的功能。

使用者可以在 Safari 中流覽應用程式的通用連結,然後選取 [在新索引卷 標中開 啟] 或 [ 開啟],以停用應用程式的通用連結。 若要使用通用連結與Intune應用程式保護原則,請務必重新啟用通用連結。 使用者必須在長 按對 < 應的連結之後,在 Safari 中執行開啟應用程式 名稱>。 這應該會提示任何其他受保護的應用程式將所有通用連結路由傳送至裝置上受保護的應用程式。

同一組應用程式和使用者的多個Intune應用程式保護存取設定

Intune使用者裝置嘗試從其公司帳戶存取目標應用程式時,存取的應用程式保護原則會以特定順序套用。 一般而言,抹除會優先,後面接著區塊,然後是可關閉的警告。 例如,如果適用于特定使用者/應用程式,則會在封鎖使用者存取的最小iOS/iPadOS 作業系統設定之後套用警告使用者更新其iOS/iPadOS 版本的最小iOS/iPadOS 作業系統設定。 因此,在 IT 系統管理員將最小iOS作業系統設定為 11.0.0.0,而最小iOS作業系統 (警告只會) 為 11.1.0.0 的案例中, 當嘗試存取應用程式的裝置在 iOS 10 時,使用者會因為最小iOS作業系統版本的更嚴格設定而封鎖,而導致封鎖存取。

處理不同類型的設定時,Intune SDK 版本需求會優先,然後是應用程式版本需求,後面接著iOS/iPadOS 作業系統版本需求。 然後,會檢查所有類型設定以相同順序出現的任何警告。 我們建議您只在Intune產品小組提供基本封鎖案例的指引下,才設定Intune SDK 版本需求。

Android裝置的應用程式防護體驗

注意

Intune受控Android Enterprise專用裝置不支援應用程式防護原則。 如果您Android Enterprise專用裝置上的使用者已針對另一部裝置套用應用程式原則,則您會想要採取下列步驟:

  1. 請確定您想要的裝置僅Intune受管理的專用裝置。 如果裝置是由協力廠商 MDM 提供者管理,則封鎖原則不會生效。

  2. 確定公司入口網站安裝在專用裝置上。 這是 APP 封鎖原則生效的必要專案。 在專用裝置上公司入口網站應用程式不需要使用者互動,即可封鎖 APP 功能,因此不需要讓公司入口網站應用程式可供終端使用者啟動。 公司入口網站只需要安裝在裝置上即可。 例如,您不需要在受控主畫面上列出它。

請注意,在非專用裝置上以 APP 原則為目標的使用者將不會受到影響。

Microsoft Teams Android裝置

Microsoft Teams Android裝置上的Teams應用程式不支援 APP (不會透過公司入口網站應用程式) 接收原則。 這表示應用程式保護原則設定不會套用至Microsoft Teams Android裝置上的Teams。 如果您已針對這些裝置設定應用程式保護原則,請考慮建立一組Teams裝置使用者,並將該群組從相關的應用程式保護原則中排除。 此外,請考慮修改Intune註冊原則、條件式存取原則和Intune合規性原則,使其具有支援的設定。 如果您無法變更現有的原則,則必須) 裝置篩選器設定 (排除。 根據現有的條件式存取組態確認每個設定,並Intune合規性原則,以瞭解您是否有不支援的設定。 如需相關資訊,請參閱 Microsoft Teams 會議室 和 Teams Android 裝置的支援條件式存取和Intune裝置合規性原則。 如需Microsoft Teams 會議室的相關資訊,請參閱Microsoft Teams 會議室的條件式存取和Intune合規性

裝置生物特徵辨識驗證

針對支援生物特徵辨識驗證的Android裝置,您可以允許終端使用者使用指紋或臉部解除鎖定,視其Android裝置支援的內容而定。 您可以設定是否可以使用指紋以外的所有生物特徵辨識類型來進行驗證。 請注意,指紋和臉部解除鎖定僅適用于製造來支援這些生物特徵辨識類型的裝置,並執行正確的Android版本。 指紋需要Android 6 和更新版本,而且臉部解除鎖定需要Android 10 和更高版本。

公司入口網站應用程式和Intune應用程式保護

大部分的應用程式保護功能都內建在公司入口網站應用程式中。 即使一律 需要 公司入口網站應用程式,也不需要註冊裝置。 針對行動應用程式管理 (MAM) ,終端使用者只需要在裝置上安裝公司入口網站應用程式即可。

同一組應用程式和使用者的多個Intune應用程式保護存取設定

Intune使用者裝置嘗試從其公司帳戶存取目標應用程式時,存取的應用程式保護原則會以特定順序套用。 一般而言,區塊會優先,然後是可關閉的警告。 例如,如果適用于特定使用者/應用程式,則會在封鎖使用者存取的最小Android修補程式版本設定之後,套用警告使用者進行修補程式升級的最小Android修補程式版本設定。 因此,在 IT 系統管理員將最小Android修補程式版本設定為 2018-03-01 和最小Android修補程式版本 (警告只會) 至 2018-02-01 的案例中, 當嘗試存取應用程式的裝置位於修補程式版本 2018-01-01 時,會根據最小Android修補程式版本的更嚴格設定來封鎖終端使用者,進而導致封鎖存取。

處理不同類型的設定時,應用程式版本需求會優先,後面接著Android作業系統版本需求和Android修補程式版本需求。 然後,會檢查所有類型設定以相同順序出現的任何警告。

Intune應用程式保護原則和適用于Android裝置的 Google SafetyNet 證明

Intune應用程式保護原則可讓系統管理員要求使用者裝置通過適用于Android裝置的 Google SafetyNet 證明。 新的Google Play服務判斷會在Intune服務所決定的間隔向 IT 系統管理員報告。 由於負載,服務呼叫的頻率會受到節流處理,因此此值會在內部維護且無法設定。 針對 Google SafetyNet 證明設定的任何 IT 系統管理員設定動作,都會根據條件式啟動時最後回報給Intune服務的結果來採取。 如果沒有資料,則會根據沒有其他條件式啟動檢查失敗而允許存取,Google Play服務「往返」來判斷證明結果會從後端開始,並在裝置失敗時以非同步方式提示使用者。 如果有過時的資料,將會根據最後回報的結果封鎖或允許存取,同樣地,判斷證明結果的Google Play服務「往返」將會開始,並在裝置失敗時以非同步方式提示使用者。

Intune應用程式保護原則和適用于Android裝置的 Google 驗證應用程式 API

Intune應用程式防護原則提供功能,讓系統管理員要求使用者裝置透過 Google 的驗證應用程式 API 傳送訊號以Android裝置。 如何執行這項操作的指示會因裝置而稍有不同。 一般程式牽涉到移至Google Play 商店,然後按一下 [我的應用程式] &遊戲,按一下最後一個應用程式掃描的結果,這會帶您進入 [播放保護] 功能表。 請確定已開啟 [掃描裝置是否有安全性威脅 ] 的切換開關。

Google 的 SafetyNet 證明 API

Intune利用 Google Play Protect SafetyNet API,將新增至我們現有的未註冊裝置根偵測檢查。 Google 已開發並維護此 API 集合,讓Android應用程式在不想讓應用程式在根目錄裝置上執行時採用。 例如,Android Pay 應用程式已納入此專案。 雖然 Google 不會公開共用所發生的整個根偵測檢查,但我們預期這些 API 會偵測已破解其裝置的使用者。 這些使用者接著可能會遭到封鎖而無法存取,或從已啟用原則的應用程式抹除其公司帳戶。 檢查基本完整性 會告訴您裝置的一般完整性。 具有竄改徵兆的根裝置、模擬器、虛擬裝置和裝置,會失敗基本完整性。 檢查認證裝置&的基本完整 性會告訴您裝置與 Google 服務的相容性。 只有經過 Google 認證的未修改裝置才能通過這項檢查。 將會失敗的裝置包括下列專案:

  • 不符合基本完整性的裝置
  • 具有解除鎖定開機載入器的裝置
  • 具有自訂系統映射/ROM 的裝置
  • 製造商未申請或通過 Google 認證的裝置
  • 具有直接從 Android 開放原始碼計畫來源檔案建置系統映射的裝置
  • 具有 Beta/開發人員預覽系統映射的裝置

如需技術詳細資料,請參閱 Google 關於 SafetyNet 證明的檔

SafetyNet 裝置證明設定和 [已越獄/Root 破解的裝置] 設定

Google Play保護的 SafetyNet API 檢查會要求終端使用者在線上,在判斷證明結果的「往返」執行期間最長。 如果終端使用者離線,IT 系統管理員仍可預期會從 已越獄/Root 破解的裝置 設定強制執行結果。 也就是說,如果終端使用者離線的時間太長, 離線寬限期 值就會生效,而且一旦達到該計時器值,所有對公司或學校資料的存取都會遭到封鎖,直到有網路存取可用為止。 開啟這兩個設定可讓使用者裝置保持健全狀況的多層式方法,這在使用者存取行動裝置上的公司或學校資料時很重要。

Google Play保護 API 和Google Play Services

運用Google Play保護 API 的應用程式保護原則設定需要Google Play Services才能運作。 SafetyNet 裝置證明應用程式設定的威脅掃描 都需要 Google 決定的Google Play Services版本才能正常運作。 由於這些是屬於安全性領域的設定,因此,如果終端使用者以這些設定為目標,且不符合適當版本的Google Play Services或無法存取Google Play Services,則會封鎖使用者。

後續步驟

如何使用 Microsoft Intune 建立及部署應用程式保護原則

Android應用程式保護原則設定的可用Microsoft Intune

iOS/iPadOS 應用程式保護原則設定與Microsoft Intune