有關 MAM 和應用程式保護的常見問題

本文提供 Intune 行動應用程式管理 (MAM) 和 Intune app protection 的一些常見問題的解答。

MAM 基本知識

何謂 MAM?

Intune 行動應用程式管理 指的是一套 intune 管理功能,可讓您發佈、推入、設定、保護、監控和更新使用者的行動應用程式。

MAM 應用程式保護有哪些優點?

MAM 會保護組織內的資料應用程式中的資料。 使用 MAM 但未登記 () MAM 時,包含敏感性資料的工作或學校相關應用程式,可以在幾乎任何裝置上進行管理,包括隨需裝置 (BYOD) 案例中的個人裝置。 許多生產力應用程式 (例如 Microsoft Office 應用程式) 都可由 Intune MAM 管理。 請參閱可公開使用的 Intune 管理的應用程式官方清單。

MAM 所支援的裝置設定為何?

Intune MAM 支援兩種設定:

  • INTUNE MDM + MAM: IT 系統管理員只能在已使用 Intune 行動裝置管理 (MDM) 的裝置上管理使用 MAM 和應用程式保護原則的應用程式。 若要使用 MDM + MAM 管理應用程式,客戶應使用Microsoft 端點管理員系統管理中心

  • 沒有裝置 註冊的 mam: mam (沒有裝置註冊)或 MAM-我們可讓 IT 系統管理員使用 MAM 和應用程式保護原則,在未向 Intune MDM 註冊的裝置上管理應用程式。 這表示在使用協力廠商 EMM 提供者註冊的裝置上,應用程式可以由 Intune 進行管理。 若要使用 MAM 管理應用程式,客戶應使用Microsoft 端點管理員系統管理中心。 此外,您也可以在使用協力廠商 Enterprise 行動管理 (EMM) 提供者註冊的裝置上管理應用程式,也可以完全使用 MDM 進行註冊。

應用程式防護原則

什麼是應用程式保護原則?

應用程式保護原則是一項規則,可確保組織的資料在受管理的應用程式中保持安全或包含。 原則可以是使用者嘗試存取或移動 "公司" 資料時強制執行的規則,或是當使用者位於應用程式內時所禁止或監控的一組動作。

應用程式保護原則的範例為何?

如需每個應用程式保護原則設定的詳細資訊,請參閱 Android 應用程式保護原則設定iOS/iPadOS 應用程式保護原則 設定。

是否可以同時將 MDM 和 MAM 原則套用至相同的使用者,以適用于不同的裝置? 例如,如果使用者可以從自己的具有 MAM 功能的機器存取其工作資源,但也會進入工作並使用 Intune MDM 管理裝置。 此構思是否有任何忠告?

如果您將 MAM 原則套用至使用者但未設定裝置狀態,則使用者將會在 BYOD 裝置和 Intune 管理的裝置上同時取得 MAM 原則。 您也可以根據受管理的狀態套用 MAM 原則。 因此,當您建立應用程式保護原則時,請在 [目標至所有應用程式類型] 旁邊,選取 [否]。 然後執行下列其中一項操作:

  • 將較低嚴格的 MAM 原則套用至 Intune 受管理裝置,並將限制性的 MAM 原則套用至非 MDM 註冊的裝置。
  • 將均等嚴格的 MAM 原則套用至協力廠商受管理裝置的 Intune 受管理裝置。
  • 僅將 MAM 原則套用至 unenrolled 裝置。

如需詳細資訊,請參閱 how to monitor app protection 原則

您可以使用 app protection 原則管理的應用程式

應用程式保護原則可以管理哪些應用程式?

您可以使用 intune app protection 原則來管理已與 intune應用程式 SDK整合的任何應用程式,或由intune App Wrapping Tool封裝的任何應用程式。 請參閱可公開使用的 Intune 管理的應用程式官方清單。

在 Intune 管理的應用程式上使用應用程式保護原則的基準需求為何?

  • 使用者必須擁有 Azure Active Directory (Azure AD) 帳戶。 請參閱新增使用者並授與 intune 的管理許可權,以瞭解如何在 Azure Active Directory 中建立 Intune 使用者。

  • 使用者必須具備指派給其 Azure Active Directory 帳戶的 Microsoft Intune 的授權。 請參閱 管理 Intune 授權 以瞭解如何將 Intune 授權指派給使用者。

  • 使用者必須屬於應用程式保護原則的目標安全性群組。 相同的應用程式保護原則必須針對所使用的特定應用程式。 您可以在Microsoft 端點管理員系統管理中心建立並部署應用程式保護原則。 目前可在Microsoft 365 系統管理中心中建立安全性群組。

  • 使用者必須使用 Azure AD 帳戶登入應用程式。

如果我想要啟用具有 Intune 應用程式保護的應用程式,但其不是使用受支援的應用程式開發平臺,該怎麼辦?

Intune SDK 開發小組主動測試及維護使用原生 Android、iOS/iPadOS (Obj-C、Swift) 、Xamarin 及 Xamarin.Forms 平臺所建立的應用程式的支援。 雖然有些客戶成功使用 Intune SDK 與其他平臺(例如 React Native 和 NativeScript)整合,但我們並未針對使用我們支援之平臺以外之任何專案的應用程式開發人員提供明確的指導方針或外掛程式。

Intune 應用程式 SDK 是否支援 Microsoft 驗證程式庫 (MSAL) ?

Intune 應用程式 SDK 可以使用 Microsoft 驗證程式庫進行驗證和條件式啟動案例。 它也依靠 MSAL,在沒有裝置註冊案例的情況下,向 MAM 服務註冊使用者身分識別。

使用 Outlook 行動裝置應用程式的其他需求為何?

使用 Word、Excel 和 PowerPoint 應用程式的其他需求為何?

  • 使用者必須具有與 Azure Active Directory 帳戶連結的Microsoft 365 Apps 商務版或 enterprise的授權。 訂閱必須包含行動裝置上的 Office 應用程式,而且可以包含具有商務用 OneDrive的雲端儲存體帳戶。 您可以在Microsoft 365 系統管理中心遵循下列指示,將 Microsoft 365 授權指派給您。

  • 使用者必須在 [儲存組織的副本] 應用程式保護原則設定下,使用 [細微另存新檔] 功能設定受管理的位置。 例如,如果受管理的位置為 OneDrive,則應該在使用者的Word、Excel 或 PowerPoint應用程式中設定OneDrive應用程式。

  • 如果受管理的位置已 OneDrive,則應用程式必須針對部署至使用者的應用程式保護原則進行目標。

    注意

    Office 行動應用程式目前只支援 SharePoint 線上,且不 SharePoint 內部部署。

為何 Office 需要 OneDrive) 的受管理位置 (?

Intune 會將應用程式中的所有資料都標示為 "企業" 或 "個人"。 當資料出自公司地點時,會被視為「公司」。 在 Office 應用程式中,Intune 會將下列內容視為商務位置:電子郵件 (Exchange) 或雲端儲存 (OneDrive 使用商務用 OneDrive 帳戶) 的應用程式。

使用商務用 Skype 的其他需求為何?

請參閱商務用 Skype授權需求。 如需商務用 Skype (SfB) 混合和部署設定,請參閱混合新式 auth for SfB 和 Exchange ,分別為 SfB OnPrem Azure AD的正式和現代驗證。

應用程式保護功能

何謂「多身分識別支援?」

「多身分識別支援」是指 Intune 應用程式 SDK 只對登入至應用程式的工作或學校帳戶套用應用程式保護原則的能力。 如果個人帳戶登入應用程式,資料會保持不變。

多身分識別支援的目的為何?

多身分識別支援可讓具有「公司」和「消費者」物件的應用程式 (亦即,Office 應用程式) 使用 Intune 應用程式保護功能,以供「公司」帳戶使用。

Outlook 和多身分識別的情況為何?

因為 Outlook 同時有個人和「公司」電子郵件的綜合電子郵件視圖,所以 Outlook 應用程式會在啟動時提示提供 Intune PIN。

何謂 Intune 應用程式 PIN?

「個人識別碼 (PIN) 是用來確認正確的使用者正在存取應用程式中的組織資料。

當使用者提示您輸入其 PIN 碼時?

當使用者即將存取「公司」資料時,Intune 會提示使用者的應用程式 PIN。 在多身分識別應用程式(如 Word/Excel/PowerPoint)中,當使用者嘗試開啟「公司」檔或檔案時,系統會提示他們輸入 PIN 碼。 在啟動時,單一身分識別應用程式,例如使用 Intune App Wrapping Tool 所管理的企業營運應用程式,因為 Intune 應用程式 SDK 知道使用者在應用程式中的經驗,永遠是「公司」。

系統會提示使用者輸入 Intune PIN 碼的頻率?

IT 系統管理員可以在 Intune 管理主控台中,定義 [Intune 應用程式保護原則] 設定「在 (分鐘) 」之後重新檢查存取需求。 此設定指定在裝置上檢查存取需求之前的時間量,並再次顯示應用程式 PIN 畫面。 不過,有關 PIN 碼的重要詳細資料會影響使用者提示的頻率:

  • 相同發行者的應用程式之間共用 PIN 碼,以提升可用性: 在 iOS/iPadOS 上,有一個應用程式 PIN 碼是 在相同應用程式發行者 的所有應用程式間共用。 在 Android 上,有一個應用程式 PIN 碼是在所有應用程式間共用。
  • 裝置重新開機之後,「 (分鐘之後重新檢查存取需求) 」行為:「PIN 計時器」會追蹤未使用的閒置分鐘數,以決定何時顯示 Intune 應用程式 PIN 碼的 [下一步]。 在 iOS/iPadOS 上,PIN 計時器不會受到裝置重新開機的影響。 因此,裝置重新開機不會影響使用者從具有 Intune PIN 原則的 iOS/iPadOS 應用程式中非使用中的分鐘數。 在 Android 上,裝置重新開機時,會重設 PIN 計時器。 如此一來,使用 Intune PIN 原則的 Android 應用程式可能會提示輸入應用程式 PIN 碼,不論「在 (分鐘之後重新檢查存取需求) 」設定值, 裝置重新開機之後
  • 與 PIN 相關聯的計時器的擲出性質: 輸入 PIN 碼以存取應用程式 (app A) ,且應用程式離開裝置上的前景 (主要輸入焦點) 時,會針對該 PIN 碼重新設定 pin 計時器。 共用此 PIN 的任何應用程式 (應用程式 B) ,不會提示使用者輸入 PIN 碼,因為計時器已重設。 在 (分鐘之後重新檢查存取需求之後,系統會再次顯示提示) ' value 已再次滿足。

若為 iOS/iPadOS 裝置,即使在不同的發行者的應用程式之間共用 PIN 碼,當您在 (分鐘之後重新檢查存取需求 時,系統會再次顯示提示,) 值會再次符合主要輸入焦點的應用程式。 例如,使用者有 來自 Publisher X 和應用程式 B 的應用程式, 而這兩個應用程式共用同一個 PIN 碼。 使用者的重點在於應用程式 A (前臺) ,且應用程式 B 的最小化。 在 (分鐘之後重新檢查存取需求) 值,且使用者切換至應用程式 B 之後,就需要 PIN 碼。

注意

若要驗證使用者的存取需求 (例如,PIN 提示) (特別是經常使用的應用程式),建議您減少「 (分鐘之後重新檢查存取需求) ] 設定的值。

Intune PIN 碼如何使用內建的應用程式 pin 碼來 Outlook 和 OneDrive?

根據非使用中的計時器,Intune PIN 碼的運作 ([ (分鐘之後重新檢查存取需求) ' ) ] 的值。 如此一來,Intune PIN 碼提示就會獨立于內建應用程式 PIN 碼的提示,以供 Outlook 和 OneDrive 通常會依預設,與應用程式啟動相關聯。 如果使用者同時收到這兩個 PIN 提示,預期的行為應為 Intune PIN 優先。

PIN 碼是否安全?

PIN 只允許正確的使用者存取其組織中的應用程式資料。 因此,使用者必須先使用公司或學校帳戶登入,才能設定或重設其 Intune 應用程式 PIN。 這種驗證是透過安全的權杖交換 Azure Active Directory 處理,對 Intune 應用程式 SDK 而言不是透明的。 從安全性的觀點來看,保護工作或學校資料的最佳方法是將其加密。 加密與應用程式 PIN 碼無關,但它是自己的應用程式保護原則。

Intune 如何保護 PIN 以防禦強力強制攻擊?

在應用程式 PIN 碼原則中,IT 管理員可以設定使用者在鎖定應用程式之前,可嘗試驗證其 PIN 碼的最大次數。 在達到嘗試數目後,Intune 應用程式 SDK 便可清除應用程式中的「公司」資料。

為何必須在同一發行者的應用程式中設定 PIN 碼兩次?

MAM (on iOS/iPadOS) 目前允許具有字母數位和特殊字元的應用層級 PIN (稱為「密碼」 ) ,它需要參與應用程式 (例如 WXP、Outlook、Managed Browser、Yammer) ,以整合 Intune 應用程式 SDK 以 iOS/iPadOS。 若未這麼做,將不會正確地對目標應用程式強制執行密碼設定。 這是在 Intune SDK 中為 iOS/iPadOS v 發行的功能。 7.1.12.

為了支援此功能,並確保與舊版的 Intune SDK 相容,以用於 iOS/iPadOS,7.1.12 + 中的所有 Pin () 的數值 PIN 碼,均會與先前版本的 SDK 中的數位 PIN 分開處理。 因此,如果裝置的應用程式使用 Intune iOS SDK,可在7.1.12 之前和7.1.12 從相同的發行者 iPadOS,則必須設定兩個 Pin。

換句話說,每個應用程式) 所 (的兩個 Pin 碼,都不會以任何方式關聯,亦即必須遵循應用於應用程式的應用程式保護原則。 如此一來, 只有 當應用程式 A 和 B 已套用相同的原則 (相對於 PIN) 時,使用者可能會設定相同的 pin 碼兩次。

這種行為是針對使用 Intune 行動應用程式管理啟用 iOS/iPadOS 應用程式上的 PIN 碼所特有。 隨著時間的 iPadOS,當應用程式採用更新版本的 Intune SDK 進行 iOS/時,必須在相同發行者的應用程式上,將 PIN 碼兩次設定為較少的問題。 如需範例,請參閱下列附注。

注意

例如,如果應用程式 A 是以7.1.12 之前的版本所建立,且應用程式 B 是以大於或等於7.1.12 的版本(來自同一個發行者)建立,則當 A 和 B 的版本安裝在 iOS/iPadOS 裝置上時,使用者將需要分別為 A 和 B 設定 Pin。

如果裝置上已安裝 SDK 版本為7.1.9 的應用程式 C,它會與應用程式 A 共用相同的 PIN 碼。

以7.1.14 建立的應用程式 D 會與應用程式 B 共用相同的 PIN 碼。

如果在裝置上只安裝應用程式 A 和 C,則需要設定一個 PIN 碼。 只有在裝置上安裝應用程式 B 和 D 時,這同樣適用于。

加密的含義為何?

IT 管理員可以部署應用程式保護原則,此原則需要加密應用程式資料。 作為原則的一部分,IT 管理員也可以指定何時加密內容。

Intune 如何加密資料?

如需加密應用程式保護原則設定的詳細資訊,請參閱 Android 應用程式保護原則設定iOS/iPadOS 應用程式保護原則 設定。

哪些是加密的?

根據 IT 管理員的應用程式保護原則,只會加密標示為 "公司" 的資料。 當資料出自公司地點時,會被視為「公司」。 在 Office 應用程式中,Intune 會將下列內容視為商務位置:電子郵件 (Exchange) 或雲端儲存 (OneDrive 使用商務用 OneDrive 帳戶) 的應用程式。 對於由 Intune App Wrapping Tool 所管理的企業營運應用程式,所有應用程式資料都會被視為 "公司"。

Intune 如何遠端擦除資料?

Intune 可透過三種不同的方式來擦除應用程式資料:完整裝置擦除、對 MDM 進行選擇性清除,以及 MAM 選擇性清除。 如需 MDM 遠端清除的詳細資訊,請參閱 使用擦除或淘汰移除裝置。 如需使用 MAM 選擇性清除的詳細資訊,請參閱「 淘汰」動作 ,以及 如何只從應用程式中清除公司資料

什麼是擦除?

清除 將裝置還原為其出廠預設設定,以移除 裝置 中的所有使用者資料和設定。 已從 Intune 移除裝置。

注意

在使用 Intune 行動裝置管理 (MDM) 的裝置上進行的擦除只可獲得。

MDM 的選擇性清除為何?

請參閱 移除裝置-停 用以瞭解移除公司資料。

MAM 的選擇性清除為何?

MAM 的選擇性擦除只是從應用程式中移除公司應用程式資料。 要求是使用Microsoft 端點管理員系統管理中心來啟動。 若要瞭解如何啟動擦除要求,請參閱 how to 只從應用程式中清除公司資料

對 MAM 進行選擇性清除的速度有多快?

如果使用者在啟動選擇性清除時使用應用程式,則 Intune 應用程式 SDK 會檢查每30分鐘,以進行來自 Intune MAM 服務的選擇性擦出要求。 當使用者第一次啟動應用程式並登入其工作或學校帳戶時,它也會檢查選擇性清除。

為何不 On-Premises (部署) 服務可搭配使用 Intune 保護的應用程式?

Intune 應用程式保護取決於使用者的身分識別,以保持應用程式與 Intune 應用程式 SDK 之間的一致性。 保證的唯一方法是透過新式驗證。 在某些情況下,應用程式可以使用部署設定來運作,但它們既不一致也不保證。

是否有安全的方式可以從受管理的應用程式開啟網頁連結?

可以! IT 管理員可以部署及設定 Microsoft Edge 應用程式的應用程式保護原則。 IT 系統管理員可要求使用 Microsoft Edge app 開啟 Intune 管理的應用程式中的所有網頁連結。

Android 上的應用程式體驗

為什麼 Intune 應用程式保護才能在 Android 裝置上運作時,所需的公司入口網站應用程式為何?

公司入口網站應用程式內建了許多應用程式保護功能。 雖然永遠都需要公司入口網站應用程式,但 不需要 裝置註冊。 若為 MAM,使用者只需要在裝置上安裝公司入口網站應用程式。

如何將多個 Intune 應用程式保護訪問設定設定為同一組應用程式和使用者在 Android 上運作?

當使用者嘗試從公司帳戶存取目標應用程式時,將會以特定順序在使用者裝置上套用存取的 Intune 應用程式保護原則。 一般來說,組塊會優先使用,然後是 dismissible 警告。 例如,如果適用于特定的使用者/應用程式,則最小的 Android 修補程式版本設定會在最小的 Android 修補程式版本設定之後套用,以阻止使用者進行存取。 因此,在 IT 系統管理員將最小 Android 修補程式版本設定為2018-03-01 和最小 Android 修補程式版本 (警告的情況下,僅) 2018-02-01,而嘗試存取應用程式的裝置在修補程式版本2018-01-01 上,則會根據可導致封鎖存取的最小 Android 修補程式版本設定,封鎖使用者。

在處理不同類型的設定時,應用程式版本需求會優先,後面接著是 Android 作業系統版本需求和 Android 修補程式版本需求。 然後,檢查所有類型的設定為相同順序的任何警告。

Intune 應用程式保護原則為系統管理員提供的功能,可讓系統管理員要求使用者裝置傳遞 Google 的 SafetyNet 認證以進行 Android 裝置。 新 SafetyNet 認證結果傳送至服務的頻率是多久?

新的 Google Play 服務確定會以 Intune 服務所決定的間隔,向 IT 管理員報告。 服務呼叫因負載而節流,所以此值會在內部維護,而且無法設定。 任何 IT 系統管理員針對 Google SafetyNet 認證設定所設定的動作,將會根據在條件式啟動時的最後一個報告結果取得給 Intune 服務。 如果沒有任何資料,將會允許存取,視沒有其他的條件式啟動檢查失敗而定,當裝置失敗時,將會從後端開始,用來判斷證明結果的 Google Play 服務「行程」,並以非同步方式提示使用者。 如果有陳舊的資料,將會封鎖或允許存取,視最後一個報告的結果而定,當裝置失敗時,將會開始使用 Google Play 服務「往返」來判斷證明結果,並以非同步方式提示使用者。

Intune 應用程式保護原則為系統管理員提供的功能,可讓系統管理員要求使用者裝置透過 Google 的「驗證應用程式 API」(Android 裝置)傳送信號。 使用者應如何開啟應用程式掃描,使其不會因為此而被封鎖存取?

如何進行此作業的指示,視裝置稍有不同。 一般程式會移至 Google Play 商店,然後按一下 [我的 應用程式 & 遊戲],然後按一下最後一次應用程式掃描的結果,將會帶您進入 [播放防護] 功能表。 確定針對 安全性威脅切換的掃描裝置 切換至 [開啟]。

Google 的 SafetyNet 認證 API 實際會在 Android 裝置上檢查什麼? 「檢查基本完整性」和「檢查基本整體性 & 認證裝置」的可設定值之間的差異為何?

Intune 利用 Google Play 防護 SafetyNet APIs 新增至 unenrolled 裝置的現有根偵測檢查。 如果您不想讓應用程式在根裝置上執行,Google 已針對 Android 應用程式開發並維護此 API 集。 例如,Android 付薪應用程式已合併此應用程式。 雖然 Google 並未公開完整的根偵測檢查所發生的問題,但我們預期這些 APIs 偵測出其裝置的根使用者。 然後可以封鎖這些使用者的存取,或從啟用其原則的應用程式中清除其公司帳戶。 ' 檢查基本完整性」會告訴您裝置的一般完整性。 具有篡改跡象的根裝置、模擬程式、虛擬裝置和裝置會失敗基本完整性。 ' Check basic 整體性 & 認證裝置」會告訴您,與 Google 服務的裝置相容性。 僅限 Google 驗證的未修改裝置可透過此檢查。 將會失敗的裝置包含下列專案:

  • 基本完整性失敗的裝置
  • 具有解除鎖定之引導程式的裝置
  • 具有自訂系統映射/CD-ROM 的裝置
  • 製造廠商未適用的裝置,或通過 Google 認證
  • 裝置,其直接從 Android Open Source Program 來源檔案建立系統映射
  • 具有 Beta/developer preview 系統映射的裝置

如需詳細資訊,請參閱 Google 的 SafetyNet 認證的檔

為 Android 裝置建立 Intune 應用程式保護原則時,條件化啟動區段中有兩個類似的檢查。 我應該需要 ' SafetyNet 裝置認證 ' 設定或「已越獄/根裝置」設定嗎?

Google Play 防護的 SafetyNet API 檢查要求使用者在線上時,至少有一段時間的「往返」是用來決定證明結果的執行時間。 如果使用者已離線,IT 系統管理員仍可預期會從「已越獄/根裝置」設定中強制執行結果。 在此情況下,如果使用者的離線時間太長,「離線寬限期」值便會進入播放狀態,而且會封鎖所有工作或學校資料的存取,直到到達計時器值,直到可用網路存取為止。 開啟這兩項設定可讓使用者使用分層方法讓使用者在行動中存取工作或學校資料,這一點很重要。

利用 Google Play 防護 APIs 的應用程式保護原則設定,必須具備 Google Play 服務才能運作。 如果使用者可能的地點不允許 Google Play 服務,該怎麼辦?

「SafetyNet 裝置證明」和「應用程式上的威脅掃描」設定需要 google Play Service 的 Google 版本才能正確運作。 由於這些是位於安全性範圍內的設定,所以如果使用者已以這些設定為目標,且無法滿足 Google Play 服務的適當版本,或是無法存取 Google Play 服務,將會封鎖使用者。

iOS 上的應用程式體驗

在我的裝置上新增或移除指紋或面孔時會發生什麼情況?

Intune 應用程式保護原則允許控制僅限 Intune 授權使用者的應用程式存取。 控制應用程式存取權的其中一個方法,就是在支援的裝置上需要 Apple 的觸控識別碼或面孔識別碼。 Intune 會執行一種行為,在此情況下,如果裝置的生物識別資料庫有所變更,Intune 會在下一個非使用中的超時值達到時,提示使用者輸入 PIN 碼。 對生物統計學資料所做的變更包括新增或移除指紋或圖符。 如果 Intune 使用者沒有設定 PIN 碼,則會設定一個 Intune PIN 碼的 led。

這項作業的目的是為了繼續在應用層級保護應用程式中的資料,並保護應用程式的資料。 此功能僅適用于 iOS/iPadOS,且需要參與整合 Intune 應用程式 SDK 以進行 iOS/iPadOS、版本9.0.1 或更新版本的應用程式。 SDK 的整合是必要的,因此可對目標應用程式強制執行此行為。 這項整合會根據特定應用程式小組進行。 參與的部分應用程式包括 WXP、Outlook、Managed Browser 及 Yammer。

我可以使用 iOS 共用分機,在未受管理的應用程式中開啟工作或學校資料,即使資料轉移原則設定為「僅限受管理的應用程式」或「無應用程式」。 這不會洩漏資料嗎?

Intune 應用程式保護原則無法控制未管理裝置的 iOS 共用分機。 因此,Intune 會在應用程式外共用之前,先對「公司」資料進行加密。 您可以嘗試在受管理的應用程式外開啟「公司」檔案,以進行驗證。 檔案應該加密,而且無法在受管理的應用程式外開啟。

如何將多個 Intune 應用程式保護訪問設定設定為同一組應用程式和使用者在 iOS 上運作?

當使用者嘗試從公司帳戶存取目標應用程式時,將會以特定順序在使用者裝置上套用存取的 Intune 應用程式保護原則。 一般來說,擦除會優先執行,接著是區塊,然後是 dismissible 警告。 例如,如果適用于特定的使用者/應用程式,則最小的 iOS/iPadOS 作業系統設定會在最低 iOS/iPadOS 作業系統設定之後套用,以封鎖使用者對 iOS/iPadOS 版本的更新。 因此,在 IT 系統管理員將 min iOS/iPadOS 作業系統設定為11.0.0.0,並將最小 iOS/iPadOS 作業系統 (警告只) 到11.1.0.0 的情況下,當嘗試存取應用程式的裝置是在 iOS/iPadOS 10 上,系統會根據最嚴格的限制設定來封鎖可導致封鎖存取的最小 iOS/iPadOS 作業系統版本。

在處理不同類型的設定時,Intune 應用程式 SDK 版本需求會優先執行,然後是應用程式版本需求,接著 iOS/iPadOS 作業系統版本需求。 然後,檢查所有類型的設定為相同順序的任何警告。 建議您只需在 Intune 產品小組的指導方針上設定「Intune」應用程式 SDK 版本需求,才能進行基本封鎖案例。