應用程式保護原則概觀

應用程式保護原則 (APP) 是確保組織資料能夠被保護或保留在受控應用程式中的規則。 原則可以是在使用者嘗試存取或移動「公司」資料時,強制執行的一項規則,或者是當使用者在應用程式內時,禁止執行或受到監視的一組動作。 受管理應用程式是已套用應用程式保護原則的應用程式,而且可由 Intune 管理。

行動應用程式管理 (MAM) 應用程式防護原則可讓您管理和保護應用程式內的組織資料。 透過 沒有註冊的 MAM (MAM-WE),便幾乎可以管理位於任何 裝置上包含敏感性資料的公司或學校相關應用程式,這包括 攜帶您自己的裝置 (BYOD) 案例中的個人裝置。 許多生產力應用程式 (例如 Microsoft Office 應用程式) 可以由 Intune MAM 管理。 請參閱可供公開使用的 Microsoft Intune 受保護應用程式官方清單。

如何保護應用程式資料

您的員工使用行動裝置處理公私事務。 確保員工生產力的同時,想要防止故意和不小心的資料外洩。 您還想要保護從您非受控裝置存取的公司資料。

您可以使用 Intune 應用程式保護原則,而 不受任何行動裝置管理 (MDM) 解決方案影響。 不論是否在裝置管理解決方案中註冊裝置,這項獨立性都有助保護公司的資料。 您可以實作 應用程式層級原則,以限制存取公司資源,並將資料保留在 IT 部門範疇內。

裝置上的應用程式防護原則

可為裝置上執行的應用程式所設定應用程式保護原則,包括下列:

  • 在 Microsoft Intune 中註冊: 這些裝置通常是公司所擁有的裝置。

  • 在協力廠商的行動裝置管理 (MDM) 解決方案中註冊: 這些裝置通常是公司所擁有的裝置。

    注意

    行動應用程式管理原則不應搭配使用協力廠商的行動應用程式管理或安全容器解決方案。

  • 未在任何行動裝置管理解決方案中註冊: 這些裝置通常是員工所擁有的裝置,且沒有在 Intune 或其他 MDM 解決方案中受控或註冊。

重要

您可為連接至 Microsoft 365 服務的 Office 行動應用程式建立行動應用程式管理原則。 您也可以透過建立適用於 iOS/iPadOS 版 Outlook 以及已啟用混合式新式驗證的 Android 的 Intune 應用程式保護原則,以保護對 Exchange 內部部署信箱的存取。 開始使用此功能之前,請確定您符合 iOS/iPadOS 版和 Android 版 Outlook 的需求。 連線到內部部署 Exchange 或 SharePoint 服務的其他應用程式不支援應用程式保護原則。

使用應用程式保護原則的優點

使用應用程式保護原則的重要優點如下:

  • 在應用程式層級保護公司資料。 因為行動應用程式管理不需要裝置管理,您可以同時在受控與非受控的裝置上保護公司資料。 管理的重心是使用者身分識別,不需要管理裝置。

  • 終端使用者生產力不受影響,且在個人環境內使用應用程式時,不會套用原則。 原則只會套用在工作內容上,所以您能夠在不碰到個人資料的情況下保護公司資料。

  • 應用程式保護原則可確保應用程式層保護就定位。 例如,您可以:

    • 需要 PIN 才能在工作環境中開啟應用程式
    • 控制應用程式之間的資料共用
    • 防止將公司應用程式資料儲存到個人儲存位置
  • 除了 MAM 以外,MDM 也會確保裝置受到保護。 例如,您可以要求存取裝置的 PIN,或者將受管理的應用程式部署到裝置。 也可以透過 MDM 解決方案將應用程式部署到裝置,取得對應用程式管理的更多控制。

搭配使用 MDM 與應用程式保護原則還有其他多項優點,且公司可以在使用或不使用 MDM 的狀況下使用應用程式保護原則。 例如,請考慮使用公司所核發手機和自己個人平板電腦的員工。 公司的手機會在 MDM 中註冊,並受到應用程式保護原則的保護,而個人裝置只會受到應用程式保護原則的保護。

如果您在未設定裝置狀態的情況下將 MAM 原則套用至使用者,則使用者將在 BYOD 裝置和 Intune 管理的裝置上取得 MAM 原則。 您也可以根據受控狀態來套用 MAM 原則。 因此,當您建立應用程式保護原則時,請在 [以所有應用程式類型為目標] 旁邊選取 [否]。 接著,執行下列其中一項動作:

  • 將較不嚴格的 MAM 原則套用至 Intune 管理的裝置,並將較嚴格的 MAM 原則套用至非 MDM 註冊的裝置。
  • 僅將 MAM 原則套用至未註冊的裝置。

支援應用程式保護原則的平台

Intune 提供各種功能,可協助您在所要的裝置上取得所需的應用程式並執行。 如需詳細資訊,請參閱各種平台的應用程式管理功能

針對 Android 和 iOS/iPadOS 裝置,Intune 應用程式保護原則平台支援與 Office 行動應用程式平台支援為一致。 如需詳細資料,請參閱 Office 系統需求行動應用程式 一節。

重要

Android 裝置上需要有 Intune 公司入口網站,才能接收應用程式保護原則。 如需詳細資訊,請參閱 Intune 公司入口網站存取應用程式需求

應用程式防護原則的資料保護架構

應用程式防護原則 (APP) 中可用的選擇可讓組織針對其特定需求量身訂作保護方案。 針對一些組織,實作完整案例需要哪種原則設定可能不是那麼明顯。 為了協助組織排定行動用戶端端點強化的優先順序,Microsoft 引進了適用於 iOS 與 Android 行動裝置應用程式管理的 APP 資料保護架構分類法。

應用程式資料保護架構會組織成三個不同的設定層級,每個層級都以前一層為基礎而建置:

  • 企業基本資料保護 (層級 1) 可確保應用程式使用 PIN 來保護並加密,並執行選擇性抹除作業。 針對 Android 裝置,此層級會驗證 Android 裝置證明。 這是一種入門級設定,可在 Exchange Online 信箱原則中提供類似的資料保護控制,並將 IT 與使用者人口引進 APP。
  • 企業增強的資料保護 (層級 2) 引進 APP 資料洩露防護機制與最低 OS 需求。 此設定適用於大部分存取公司或學校資料的行動使用者。
  • 企業高資料保護 (層級 3) 引進進階資料保護機制、增強的 PIN 設定,以及 APP 行動威脅防禦。 對於存取高風險資料的使用者而言,這是理想的設定。

若要查看必須保護之每個設定層級與最低應用程式的特定建議,請參閱使用應用程式防護原則的資料保護架構

應用程式保護原則如何保護應用程式資料

沒有應用程式保護原則的應用程式

在沒有條件限制下使用應用程式時,公司和個人資料會互相混合。 公司資料最終會放在個人儲存空間等位置或傳送到範圍外的應用程式,進而導致資料外洩。 下圖中的箭號顯示資料在公司與個人應用程式之間無限制地移動和移至儲存位置。

沒有原則時在應用程式之間移動資料的概念影像

使用應用程式保護原則 (APP) 保護資料

您可以使用應用程式保護原則來防止公司資料儲存到裝置的本機儲存體 (請參閱下圖)。 您也可以限制將資料移到其他未受應用程式保護原則保護的應用程式。 應用程式保護原則設定包括︰

  • 資料重新配置原則,如 [儲存組織資料複本] 和 [限制剪下、複製及貼上]。
  • 存取原則設定,例如 [需要簡單 PIN 碼才可存取]、[禁止受控應用程式在經 JB 或 Root 破解的裝置上執行]。

顯示公司資料正受原則保護的概念影像

在 MDM 解決方案所管理的裝置上使用應用程式保護資料

下圖顯示 MDM 與應用程式保護原則共同提供的多層保護。

此圖顯示應用程式保護原則在 BYOD 裝置上的運作方式

MDM 解決方案會藉由提供下列各項來增加價值:

  • 註冊裝置
  • 將應用程式部署至裝置
  • 提供持續的裝置合規性和管理

應用程式防護原則會藉由提供下列各項來增加價值:

  • 協助保護公司資料不外洩至消費性應用程式和服務
  • 將「另存新檔」、「剪貼簿」或 PIN 等限制套用到用戶端應用程式
  • 必要時抹除應用程式中的公司資料,但不從裝置移除那些應用程式

在沒有註冊的裝置上使用應用程式保護資料

下圖說明在沒有 MDM 的情況下,資料保護原則於應用程式層級的運作方式。

顯示應用程式保護原則在沒有註冊的裝置 (非受控裝置) 上運作方式的影像

對於未在任何 MDM 解決方案中註冊的 BYOD 裝置,應用程式保護原則可在應用程式層級保護公司資料。 但有一些限制需要注意,例如:

  • 您無法將應用程式部署到裝置。 使用者必須從存放區取得應用程式。
  • 您無法在這些裝置上佈建憑證設定檔。
  • 您無法在這些裝置上佈建公司 Wi-Fi 和 VPN 設定。

您可以使用應用程式保護原則管理的應用程式

Intune SDK 整合或由 Intune App Wrapping Tool 包裝的應用程式,都可以使用 Intune 應用程式防護原則加以管理。 查看已使用這些工具建置並可供公開使用的 Microsoft Intune 受保護應用程式官方清單。

Intune SDK 開發小組會針對使用原生 Android、iOS/iPadOS (Obj-C、Swift)、Xamarin 與 Xamarin.Forms 平台所建置的應用程式,主動地進行測試並維護支援。 雖然有部分客戶成功搭配其他平台 (例如 React Native 和 NativeScript) 整合 Intune SDK,我們並沒有針對使用我們所不支援之平台的應用程式開發人員提供明確的指引或外掛程式。

使用應用程式防護原則的終端使用者需求

下列清單提供在 Intune 受控應用程式上使用應用程式防護原則的終端使用者需求:

  • 終端使用者必須擁有 Azure Active Directory (Azure AD) 帳戶。 請參閱新增使用者並提供管理權限給 Intune,以了解如何在 Azure Active Directory 中建立 Intune 使用者。

  • 終端使用者必須擁有指派給其 Azure Active Directory 帳戶的 Microsoft Intune 授權。 請參閱管理 Intune 授權,以了解如何將 Intune 授權指派給終端使用者。

  • 終端使用者必須隸屬於由應用程式保護原則設為目標的安全性群組。 相同的應用程式保護原則必須將已使用的特定應用程式設為目標。 在 Microsoft 端點管理員系統管理中心中可以建立和部署應用程式保護原則。 安全群組目前可在 Microsoft 365 糸統管理中心內建立。

  • 終端使用者必須使用 Azure AD 帳戶登入應用程式。

Microsoft Office 應用程式的應用程式防護原則

使用應用程式防護原則搭配 Microsoft Office 應用程式時,需要注意幾個額外的需求。

Outlook 行動應用程式

使用 Outlook 行動應用程式的其他需求包括下列各項:

  • 終端使用者必須在其裝置上安裝 Outlook 行動裝置應用程式。

  • 終端使用者必須具有連結到其 Azure Active Directory 帳戶的 Microsoft 365 Exchange Online 信箱和授權。

    注意

    Outlook 行動應用程式目前僅針對 Microsoft Exchange Online 和具有混合式新式驗證的 Exchange Server 支援「Intune 應用程式防護」,而不支援「Office 365 專用」中的 Exchange。

Word、Excel 和 PowerPoint

使用 Word、Excel 與 PowerPoint 應用程式的其他需求包括下列各項:

  • 終端使用者必須擁有連結到其 Azure Active Directory 帳戶的 Microsoft 365 Apps 商務版或企業版授權。 訂用帳戶必須包括行動裝置版 Office 應用程式,而且可以包括商務用 OneDrive 的雲端儲存體帳戶。 Microsoft 365 授權可在 Microsoft 365 系統管理中心內根據這些指示指派。

  • 使用者必須有受控的位置,此位置是使用 [儲存組織資料複本] 應用程式保護原則設定下的細微另存新檔功能所設定。 例如,若受控位置是 OneDrive,則 OneDrive 應用程式應該在終端使用者的 Word、Excel 或 PowerPoint 應用程式中設定。

  • 若受控位置是 OneDrive,則應用程式必須是部署到終端使用者之應用程式保護原則的目標。

    注意

    Office 行動裝置應用程式目前僅支援 SharePoint Online,不支援 SharePoint 內部部署。

Office 所需的受控位置

Office 所需的受控位置 (例如 OneDrive)。 Intune 會將應用程式中的所有資料標示為「公司」或「個人」。 當資料來自公司地點時,會將資料視為「公司」資料。 針對 Office 應用程式,Intune 會將下列位置視為公司地點:電子郵件 (Exchange) 或雲端儲存體 (包含商務用 OneDrive 帳戶的 OneDrive 應用程式)。

商務用 Skype

使用商務用 Skype 還有其他需求。 請參閱商務用 Skype 授權需求。 如需商務用 Skype (SfB) 的混合式和內部部署設定,請分別參閱正式推出適用於 SfB 和 Exchange 的混合式新式驗證 (英文) 和適用於 SfB 內部部署與 Azure AD 的新式驗證 (英文)。

應用程式保護的全域原則

如果 OneDrive 系統管理員瀏覽至 admin.onedrive.com 並選取 [裝置] 存取,他們可以設定 OneDrive 和 SharePoint 用戶端應用程式的 [行動應用程式管理] 控制項。

這些設定會開放給 OneDrive 管理主控台使用,可設定稱為 全域 原則的特殊 Intune 應用程式保護原則。 此全域原則適用於租用戶中的所有使用者,且無法控制原則目標。

一旦啟用,則適用於 iOS/iPadOS 和 Android 的 OneDrive 和 SharePoint 應用程式預設會以所選取設定來進行保護。 IT 專業人員可以在 Intune 主控台中編輯此原則,以新增更多目標應用程式,並修改任何原則設定。

根據預設,每個租用戶只能有一個 全域 原則。 不過,您可以使用 Intune 圖形 API 來建立每個租用戶的額外全域原則,但不建議這樣做。 因為針對這類原則的實作進行疑難排解會變得很複雜,所以不建議建立額外的全域原則。

雖然 全域 原則會套用到租用戶中的所有使用者,但任何標準的 Intune 應用程式保護原則都會覆寫這些設定。

應用程式保護功能

多重身分識別

多重身分識別支援可讓應用程式支援多個對象。 這些對象同時是「公司」使用者和「個人」使用者。 公司和學校帳戶是由「公司」對象使用,而個人帳戶則會針對消費者對象使用 (例如 Microsoft Office 使用者)。 支援多重身分識別的應用程式可公開發行,其中應用程式防護原則只適用於在公司和學校 (「公司」) 內容中使用應用程式的情況。 多重身分識別支援使用 Intune SDK 僅將應用程式防護原則套用至已登入應用程式之公司或學校帳戶的功能。 如果個人帳戶已登入應用程式,就不會更動資料。 應用程式保護原則可用來防止將工作或學校帳戶資料傳輸至多重身分識別應用程式、其他應用程式內的個人帳戶或個人應用程式內的個人帳戶。

舉一個個人內容的範例,想像有一個使用者在 Word 中開始一個新文件,這會被系統視為「個人」內容,因此不會套用 Intune 應用程式防護原則。 將檔儲存在「公司」 OneDrive 帳戶之後,就會將其視為「公司」內容,並套用 Intune 應用程式防護原則。

針對工作或「公司」內容,請考慮下列範例:

  • 使用者使用其工作帳戶來啟動 OneDrive 應用程式。 在工作環境中,他們無法將檔案移至個人儲存位置。 之後,當使用者以個人帳戶使用 OneDrive 時,他們可以從個人 OneDrive 複製並移動資料,而沒有任何限制。
  • 使用者開始在 Outlook 應用程式中繪製電子郵件。 填入主體或訊息內文之後,使用者將無法從工作內容將 [寄件者] 位址切換至個人內容,因為主旨和訊息內文受到應用程式保護原則的保護。

注意

Outlook 具有「個人」和「公司」電子郵件的合併電子郵件檢視。 在此情況下,Outlook 應用程式會在啟動時提示您提供 Intune PIN。

重要

雖然 Edge 是在「公司」內容中,但使用者可以刻意將 OneDrive 「公司」內容檔案移至未知的個人雲端儲存位置。 若要避免這種情況,請參閱管理受限制的網站,並為 Edge 設定允許/封鎖的網站清單。

Intune 應用程式 PIN

個人識別碼 (PIN) 是一組密碼,用來驗證在應用程式中存取組織資料的是正確的使用者。

PIN 提示
Intune 會在使用者要存取「公司」資料時,提示使用者提供應用程式 PIN。 在多重身分識別應用程式 (例如 Word、Excel 或 PowerPoint) 中,系統會在使用者嘗試開啟「公司」文件或檔案時提示他們提供 PIN。 在單一身分識別應用程式 (例如使用 Intune App Wrapping Tool 管理的企業營運應用程式) 中,系統會在啟動時提示提供 PIN,因為 Intune SDK 知道使用者在該應用程式中的體驗一律會是「公司」。

PIN 提示,或公司認證提示,頻率
IT 系統管理員可以在 Intune 管理主控台中定義 Intune 應用程式防護原則設定 [重新檢查存取需求前的剩餘時間 (分鐘)]。 這項設定會指定多久之後要在裝置上檢查存取要求,並再次顯示應用程式 PIN 畫面或公司認證提示。 不過,還有下列關於 PIN 的重要詳細資料會影響使用者收到通知的頻率:

  • PIN會在相同發行者的應用程式間共用,以改進可用性:
    在 iOS/iPadOS 上,應用程式 PIN 會在 相同應用程式發行者 的所有應用程式之間共用。 例如,所有 Microsoft 應用程式會共用相同的 PIN。 在 Android,一組應用程式 PIN 會在所有應用程式間共用。
  • 裝置重新開機後的 [重新檢查存取需求前的剩餘時間 (分鐘)] 行為:
    計時器會追蹤閒置的分鐘數,可判斷何時顯示下一個 Intune 應用程式 PIN 或公司認證提示。 在 iOS/iPadOS 上,計時器不會受到裝置重新啟動的影響。 因此,裝置重新啟動不會影響使用者在使用 Intune PIN (或公司認證) 原則的 iOS/iPadOS 應用程式中所閒置分鐘數。 在 Android 上,計時器會在裝置重新開機時重設。 因此,使用 Intune PIN (或公司認證) 原則的 Android 應用程式可能會提示輸入應用程式 PIN 或公司認證提示,而不論 裝置重新開機之後 的「重新檢查存取需求前等候時間 (分鐘)」設定值。
  • 與 PIN 相關的計時器過時性質:
    在輸入 PIN 以存取應用程式 (應用程式 A) 之後,應用程式會離開裝置的前景 (主要輸入焦點),而該組 PIN 的計時器會重設。 由於計時器已經重設,共用這組 PIN 的任何應用程式 (應用程式 B) 都不會提示使用者輸入 PIN。 提示會在再次達到「重新檢查存取需求前等候時間 (分鐘)」值時再度顯示。

針對 iOS/iPadOS 裝置,即使在不同發行者應用程式之間共用 PIN,當非主要輸入焦點其應用程式的 [重新檢查存取需求前等候時間 (分鐘)] 值再次達到時,就會再度顯示提示。 例如,使用者有發行者 X 的應用程式 A 和發行者 Y 的應用程式 B,而且這兩個應用程式共用相同的 PIN。 使用者將焦點放在應用程式 A (前景),並將應用程式 B 最小化。 達到 「重新檢查存取需求前等候時間 (分鐘)」 值,而且使用者切換至應用程式 B 之後,則需要 PIN。

注意

為了提高驗證使用者存取需求的頻率 (亦即 PIN 提示),尤其是經常使用的應用程式,建議您降低「重新檢查存取需求前等候時間 (分鐘)」設定的值。

適用於 Outlook 和 OneDrive 的內建應用程式 PIN
Intune PIN 會根據以閒置為基礎的計時器 ( [重新檢查存取需求前的剩餘時間 (分鐘)] 的值) 運作。 因此,Intune PIN 提示會與 Outlook 和 OneDrive 的內建應用程式 PIN 提示分開顯示,後者預設通常與應用程式啟動相關。 如果使用者同時收到兩個 PIN 提示,預期的行為應該是優先使用 Intune PIN。

Intune PIN 安全性
PIN 是用來允許僅有正確的使用者可以存取應用程式中的組織資料。 因此,終端使用者必須使用他們的公司或學校帳戶登入,之後才能設定或重設其 Intune 應用程式 PIN。 這個驗證是由 Azure Active Directory 透過安全性權杖交換來處理,且未向 Intune SDK 公開。 從安全性角度來看,保護工作或學校資料的最佳方式是將資料加密。 加密與應用程式 PIN 無關,而是其本身的應用程式保護原則。

防範暴力密碼破解攻擊,以及 Intune PIN
做為應用程式 PIN 原則的一部份,IT 系統管理員可以設定在鎖定應用程式之前,使用者可以嘗試驗證其 PIN 的次數上限。 當嘗試次數達到上限之後,Intune SDK 可以抹除應用程式中的「公司」資料。

Intune PIN 和選擇性抹除
在 iOS/iPadOS 上,應用程式層級 PIN 資訊會儲存在金鑰鏈中,此金鑰會在相同發行者應用程式之間共用,例如所有第一方 Microsoft 應用程式。 此 PIN 資訊也會繫結至使用者帳戶。 對某個應用程式進行選擇性抹除,應該不會影響到另一個不同的應用程式。

例如,已登入的使用者針對 Outlook 所設定的 PIN 會儲存在共用的鑰匙串中。 當使用者登入 OneDrive (也是由 Microsoft 所發行) 時,他們將會看到和 Outlook 相同的 PIN,因為它會使用相同的共用鑰匙串。 登出 Outlook 或抹除 Outlook 中的使用者資料時,Intune SDK 並不會清除鑰匙串,因為 OneDrive 可能仍然在使用該 PIN。 因此,選擇性抹除並不會清除共用鑰匙串,包括 PIN 在內。 此行為會維持不變,即使裝置上只存在來自某個發行者的單一應用程式。

由於 PIN 是儲存在具有相同發行者的應用程式之間,如果對單一應用程式進行抹除,Intune SDK 並無法知道裝置上是否還有其他具有相同發行者的應用程式。 因此 Intune SDK 不會清除 PIN,因為它可能仍然由其他應用程式使用。 預期的情況是,該應用程式 PIN 於未來會隨著 OS 清理之類的作業,在移除來自該發行者的最後一個應用程式時一起抹除。

如果您觀察到 PIN 在某些裝置上被抹除,很可能發生下列情況:由於 PIN 會繫結至身分識別,如果使用者在抹除後使用不同的帳戶登入,系統將會提示他們輸入新的 PIN。 不過,如果他們是使用先前的現有帳戶登入,便能使用儲存在鑰匙串中的 PIN 來登入。

在同一個發行者的應用程式上設定 PIN 兩次?
MAM (在 iOS/iPadOS 上) 目前允許應用程式層級 PIN 包含英數字元與特殊字元 (稱為「密碼」),這需要應用程式 (亦即 WXP、Outlook、Managed Browser、Yammer) 參與以整合適用於 iOS 的 Intune SDK。 如果沒有,密碼設定將不會正確地針對目標應用程式強制執行。 這是在「適用於 iOS 7.1.12 版的 Intune SDK」中推出的功能 。

為了支援此功能,並確保與適用於 iOS/iPadOS 其 Intune SDK 先前版本的回溯相容性,因此 7.1.12 及更新版本中的所有 PIN (不論數字或密碼),都與先前 SDK 版本中的數字 PIN 分開處理。 因此,如果裝置上有來自同一個發行者的多個應用程式,且其使用的「適用於 iOS 的 Intune SDK」有 7.1.12 之前和 7.1.12 之後的版本,則這些應用程式必須設定兩次 PIN。 這兩個 PIN (針對每個應用程式) 沒有任何關係 (亦即,其必須遵守套用至應用程式的應用程式保護原則)。 確切地說,只有當應用程式 A 和 B 套用相同的原則 (相對於 PIN) 時,使用者才需要設定相同的 PIN 兩次。

針對已啟用 Intune 行動裝置應用程式管理的 iOS/iPadOS 應用程式,這是應用程式上的 PIN 特定行為。 一段時間之後,隨著應用程式採用適用於 iOS 的 Intune SDK 較新版本,需要針對同一個發行者應用程式設定 PIN 兩次的問題就會減少。 如需範例,請查看下面的注意事項。

注意

例如,若應用程式 A 是使用 7.1.12 前的版本建置,而相同發行者應用程式 B 是使用 7.1.12 或更新版本建置,當 A 和 B 安裝在同一部 iOS/iPadOS 裝置上時,終端使用者將需要針對兩者分別設定 PIN。 如果 SDK 版本是 7.1.9 的應用程式 C 安裝在該裝置上,則它會和應用程式 A 共用相同的 PIN。使用 7.1.14 建置的應用程式 D 將與應用程式 B 共用相同的 PIN。
如果只有應用程式 A 和 C 安裝在同一部裝置上,則只需要設定一個 PIN。 只有應用程式 B 和 D 安裝在同一部裝置上的情況也是如此。

應用程式資料加密

IT 系統管理員可以部署要求將應用程式資料加密的應用程式保護原則。 做為原則的一部分,IT 系統管理員也可以指定將內容加密的時機。

Intune 資料加密的處理方式
如需加密應用程式保護原則設定的詳細資訊,請參閱 Android 應用程式保護原則設定iOS/iPadOS 應用程式保護原則設定

已加密的資料
僅有標示為「公司」的資料會根據 IT 系統管理員的應用程式保護原則加密。 當資料來自公司地點時,會將資料視為「公司」資料。 針對 Office 應用程式,Intune 會將下列內容視為商務位置:

  • 電子郵件 (Exchange)
  • 雲端儲存體 (使用商務用 OneDrive 帳戶的 OneDrive 應用程式)

針對由 Intune App Wrapping Tool 管理的企業營運應用程式,所有的應用程式資料都將視為「公司」資料。

選擇性抹除

從遠端抹除資料
Intune 可以用三種不同的方式抹除應用程式資料:

  • 完整裝置抹除
  • 適用於 MDM 的選擇性抹除
  • MDM 選擇性抹除

如需 MDM 遠端抹除的詳細資訊,請參閱使用抹除或淘汰來移除裝置。 如需使用 MAM 選擇性抹除的詳細資訊,請參閱淘汰動作如何只抹除應用程式中的公司資料

完整裝置抹除會移除 裝置 的所有使用者資料和設定,方法是將裝置還原為其原廠預設設定。 並從 Intune 移除裝置。

注意

完整裝置抹除,以及 MDM 的選擇性抹除只能在已向 Intune 行動裝置管理 (MDM) 註冊的裝置上執行。

適用於 MDM 的選擇性抹除
請參閱移除裝置 - 淘汰,以閱讀移除公司資料的相關資訊。

適用於 MAM 的選擇性抹除
MAM 選擇性抹除僅會從應用程式移除公司應用程式資料。 使用 Intune 起始要求。 若要了解如何起始抹除要求,請參閱如何只抹除應用程式中的公司資料

如果使用者在起始選擇性抹除時正在使用應用程式,Intune SDK 每隔 30 分鐘就會檢查來自 Intune MAM 服務的選擇性抹除要求。 它也會在使用者首次啟動應用程式並以其工作或學校帳戶登入時檢查選擇性抹除。

當內部部署 (on-prem) 服務無法搭配受 Intune 保護的應用程式運作時
Intune 應用程式防護會取決於使用者的身分識別,以在應用程式與 Intune SDK 之間保持一致。 保證一致的唯一方式是透過新式驗證。 有些案例中,應用程式可搭配內部部署組態運作,但是不保證一定運作。

從受控應用程式開啟網頁連結的安全方式
IT 系統管理員可針對 Microsoft Edge 部署與設定應用程式保護原則,這是可利用 Intune 輕鬆管理的網頁瀏覽器。 針對 Intune 受控應用程式,IT 系統管理員可要求其中的所有網頁連結都必須使用受控瀏覽器來開啟。

iOS 裝置的應用程式防護體驗

裝置指紋或 Face ID

Intune 應用程式防護原則可控制應用程式只存取 Intune 授權使用者。 控制應用程式存取的其中一種方式,就是在支援裝置上要求 Apple 的 Touch ID 或 Face ID。 如果裝置的生物特徵辨識資料庫有任何變更,Intune 會在下次達到非使用狀態逾時值時,提示使用者輸入 PIN。 對生物特徵辨識資料所做的變更包括新增或移除指紋或臉部。 如果 Intune 使用者未設定 PIN,則會引導他們設定一個 Intune PIN。

此程序的用意是為了持續確保應用程式內組織資料的安全,並在應用程式層級受到保護。 此功能僅適用於 iOS/iPadOS,並需要整合適用於 iOS/iPadOS 其 Intune SDK 9.0.1 版或更新版本的應用程式參與。 您必須整合此 SDK,才能針對目標應用程式強制執行該行為。 這項整合會輪流發生並取決於特定的應用程式小組。 參與的一些應用程式包括 WXP、Outlook、Managed Browser 和 Yammer。

iOS 共用延伸模組

您可以使用 iOS/iPadOS 共用延伸模組在非受控應用程式中開啟公司或學校資料,即使在資料傳輸原則已設定為 [僅限受控應用程式] 或 [沒有應用程式] 的情況下也可以。 Intune 應用程式保護原則必須管理裝置才能控制 iOS/iPadOS 共用延伸模組。 因此,Intune 會先加密「公司」資料,才會在應用程式之外共用。 您可以嘗試在受控應用程式外開啟「公司」檔案來驗證此加密行為。 檔案應已加密且無法在受管理的應用程式之外開啟。

根據預設,Intune 應用程式防護原則會防止存取未經授權的應用程式內容。 在 iOS/iPadOS 中,有一項功能可使用通用連結來開啟特定的內容或應用程式。

使用者可以在 Safari 中瀏覽這些應用程式的通用連結,然後選取 [在新索引標籤中開啟] 或 [開啟],以停用這些連結。 若要搭配 Intune 應用程式防護原則來使用通用連結,請務必重新啟用通用連結。 使用者必須在 < 按下對應的連結之後,在 Safari 中> 開啟 應用程式名稱。 這應該會提示任何其他受保護的應用程式,將所有通用連結路由至裝置上受保護的應用程式。

相同應用程式和使用者集合的多個 Intune 應用程式防護存取設定

Intune 應用程式防護存取原則,在使用者嘗試從其公司帳戶存取目標應用程式時,會以特定順序套用在終端使用者裝置上。 一般情況下,其順序會是抹除、封鎖及可關閉的警告。 例如,如果適用於特定的使用者/應用程式,則警告使用者更新其 iOS/iPadOS 版本的最低 iOS/iPadOS 作業系統設定,將在封鎖使用者使其無法存取的最低 iOS/iPadOS 作業系統設定之後套用。 因此,當情況是 IT 系統管理員將最低 iOS 作業系統設定為 11.0.0.0,最低 iOS 作業系統 (僅警告) 設定為 11.1.0.0 時,如果嘗試存取應用程式的裝置使用 iOS 10,則因為導致封鎖存取的最低 iOS 作業系統版本設定限制更多,而使得終端使用者將會被封鎖。

處理不同類型的設定時,Intune SDK 版本需求會優先,然後是應用程式版本需求,最後才是 iOS/iPadOS 作業系統版本需求。 接著會以相同順序檢查所有類型之設定的任何警告。 我們建議您只針對必要的封鎖情況,在 Intune 產品小組的指導下,設定 Intune SDK 版本需求。

Android 裝置的應用程式防護體驗

注意

Intune 管理的 Android Enterprise 專用裝置不支援應用程式保護原則。 如果您在 Android Enterprise 專用裝置上的使用者已針對其他裝置套用應用程式原則,則您會想要採取下列步驟:

  1. 確定您要作為目標的裝置只是受 Intune 管理的專用裝置。 如果裝置是由協力廠商 MDM 提供者所管理,則封鎖原則不會生效。

  2. 確定已在專用裝置上安裝公司入口網站。 這是應用程式封鎖原則生效的必要項。 在專用裝置上公司入口網站應用程式中,不需要使用者互動來封鎖應用程式功能,因此,使用者不需要讓公司入口網站應用程式可啟動。 公司入口網站只需要安裝在裝置上。 例如,您不需要允許-在 Managed Home Screen 上方列出。

請注意,在非專用裝置上以應用程式原則為目標的使用者不會受到影響。

裝置生物識別驗證

針對支援生物識別驗證的 Android 裝置,您可以讓終端使用者視其 Android 裝置支援的功能而定使用指紋或臉部解鎖。 您可以設定是否能夠使用指紋以外的所有生物識別類型來進行驗證。 請注意,指紋和臉部解鎖僅適用於為了支援這些生物識別類型而製造,且正在執行正確 Android 版本的裝置。 指紋需要 Android 6 和更新版本,臉部解鎖則需要 Android 10 和更新版本。

公司入口網站應用程式和 Intune 應用程式防護

大部分的應用程式保護功能是內建在公司入口網站應用程式中。 雖然公司入口網站應用程式一律為必要,但也不需要註冊裝置。 針對沒有註冊的行動應用程式管理 (MAM-WE),終端使用者只需要在裝置上安裝公司入口網站應用程式即可。

相同應用程式和使用者集合的多個 Intune 應用程式防護存取設定

Intune 應用程式防護存取原則,在使用者嘗試從其公司帳戶存取目標應用程式時,會以特定順序套用在終端使用者裝置上。 一般情況下,封鎖會優先,然後是可以關閉的警告。 例如,如果適用於特定的使用者/應用程式,警告使用者進行修補程式升級的最低 Android 修補程式版本設定,將在封鎖使用者使其無法存取的最低 Android 修補程式版本設定之後套用。 因此,當情況是 IT 系統管理員將最低 Android 修補程式版本設定為 2018-03-01,最低 Android 修補程式版本 (僅警告) 設定為 2018-02-01 時,如果嘗試存取應用程式的裝置使用修補程式版本 2018-01-01,則因為導致封鎖存取的最低 Android 修補程式版本設定限制更多,而使得終端使用者將會被封鎖。

處理不同類型的設定時,應用程式版本需求會優先,然後是 Android 作業系統版本需求和 Android 修補程式版本需求。 接著會以相同順序檢查所有類型之設定的任何警告。

適用於 Android 裝置的 Intune 應用程式防護原則和 Google SafetyNet 證明

Intune 應用程式防護原則提供一個功能,可讓系統管理員要求終端使用者裝置通過 Google 適用於 Android 裝置的 SafetyNet 證明。 新 Google Play 服務判斷將會依照 Intune 服務所決定的間隔報告給 IT 系統管理員。 進行服務呼叫的頻率已由於負載而節流處理,因此這個值會在內部維護,且無法設定。 任何 IT 系統管理員針對 Google SafetyNet 證明設定所設定的動作,將會根據條件式啟動上次回報給 Intune 服務的結果來執行。 如果沒有任何資料,將會根據沒有其他的條件式啟動檢查失敗來允許存取,而 Google Play 服務用來判斷證明結果的「往返」動作將在後端開始,並在裝置未通過時以非同步方式提示使用者。 如果有過時的資料,將會根據上次回報的結果封鎖或允許存取,同樣地,Google Play 服務用來判斷證明結果的「往返」動作將會開始,並在裝置未通過時以非同步方式提示使用者。

適用於 Android 裝置的 Intune 應用程式防護原則和 Google Verify Apps API

Intune 應用程式防護原則提供一個功能,可讓系統管理員要求終端使用者裝置透過 Google 適用於 Android 裝置的 Verify Apps API 來傳送訊號。 有關如何執行這項操作的指示會因裝置而稍有差異。 一般步驟是前往 Google Play 商店,然後按一下 [我的應用程式與遊戲],再按一下上次應用程式掃描結果,其會將您引導至「Play 安全防護」功能表。 確定 [掃描裝置中的安全性威脅] 的切換開關已切換為開啟。

Google 的 SafetyNet Attestation API

Intune 會利用 Google Play Protect SafetyNet API,在我們現有 Root 破解偵測檢查中新增對已取消註冊裝置的檢查。 如果不想在 Root 破解的裝置上執行其應用程式,Google 已開發和維護這個 API 集合供 Android 應用程式採用。 例如,Android Pay 應用程式已採用此集合。 雖然 Google 不會公開共用所發生 Root 破解偵測檢查的全部內容,但我們預期這些 API 會偵測到其裝置遭到 Root 破解的使用者。 接著可防止這些使用者存取,或從其啟用原則的應用程式抹除其公司帳戶。 [檢查基本完整性] 會告訴您有關裝置的一般完整性。 Root 破解的裝置、模擬器、虛擬裝置,以及具有竄改跡象的裝置都無法通過基本完整性檢查。 [檢查基本完整性與經過認證的裝置] 會告訴您有關裝置與 Google 服務的相容性。 只有經過 Google 認證且未修改的裝置可以通過這項檢查。 下列裝置將無法通過:

  • 無法通過基本完整性的裝置
  • 開機載入器已解除鎖定的裝置
  • 具有自訂系統映像/ROM 的裝置
  • 製造商未為其申請或通過 Google 認證的裝置
  • 直接從 Android Open Source Program 來源檔案建置系統映像的裝置
  • 具有搶鮮版 (Beta)/開發人員預覽系統映像的裝置

如需技術詳細資料,請參閱 Google 有關 SafetyNet 證明的文件

[SafetyNet 裝置證明] 設定和 [已進行越獄或 Root 的裝置] 設定

「Google Play 安全防護」的 SafetyNet API 檢查,需要終端使用者至少在判斷證明結果之「往返」動作執行的時間範圍內已連線。 如果終端使用者已離線,IT 系統管理員還是能夠預期從 [已進行越獄或 Root 的裝置] 設定強制執行的結果。 話雖如此,如果終端使用者離線太久,[離線寬限期] 值就會起作用,一旦達到該計時器值,對公司或學校資料的存取便會被封鎖,直到可以存取網路為止。 開啟這兩個設定可允許採用分層方式來保持終端使用者裝置的良好狀況,這在終端使用者存取行動裝置上的公司或學校資料時非常重要。

Google Play Protect API 與 Google Play Services

利用 Google Play Protect API 的應用程式保護原則設定需要 Google Play Services 才能正常運作。 [SafetyNet 裝置證明] 和 [對應用程式進行威脅掃描] 設定,都需要 Google 決定的 Google Play Services 版本才能正確運作。 由於這些都是屬於安全性領域的設定,如果終端使用者是這些設定的目標,但不符合適當的 Google Play Services 版本或無法存取 Google Play 服務,則會封鎖這些使用者。

後續步驟

如何使用 Microsoft Intune 建立及部署應用程式保護原則

搭配 Microsoft Intune 的可用 Android 應用程式防護原則設定

搭配 Microsoft Intune 的可用 iOS/iPadOS 應用程式防護原則設定

請參閱

協力廠商應用程式 (例如 Salesforce 行動應用程式) 可以特定方式與 Intune 搭配使用來保護公司資料。 若要深入了解 Salesforce 應用程式與 Intune 搭配使用的特定方式 (包括 MDM 應用程式組態設定),請參閱 Salesforce 應用程式和 Microsoft Intune (英文)。