Windows MAM 的數據保護
您可以啟用受保護的行動應用程式管理 (MAM) 存取個人 Windows 裝置上的組織數據。 這項功能會使用下列功能:
- Intune 應用程式設定原則 (ACP) 來自定義組織用戶體驗
- Intune 應用程式保護原則 (APP) 來保護組織數據,並確保用戶端裝置狀況良好
- Windows 安全性 Center 用戶端威脅防護與 Intune APP 整合,以偵測個人 Windows 裝置上的本機健康情況威脅
- 應用程式保護條件式存取,確保裝置在透過 Microsoft Entra標識符授與受保護的服務存取權之前受到保護且狀況良好
注意事項
適用於 Windows 的 Intune 行動應用程式管理 (MAM) 適用於 Windows 10、組建 19045.3636、KB5031445 或更新版本,Windows 11、組建 10.0.22621.2506、KB5031455 (22H2) 或更新版本。 這包括 Microsoft Intune (2309 版本) 的支持變更、適用於 Windows 11 的 Microsoft Edge (v117 穩定分支和更新版本,以及 Windows 11) 和 Windows 安全性 Center (1.0.2310.2002 版和更新版本的 v118.0.2088.71 和更新版本) 。 應用程式保護條件式存取已正式推出。
政府雲端環境中支援 Windows MAM。 如需相關信息,請 參閱在 GCC High 和 DoD 環境中使用 Intune 部署應用程式。
如需 MAM 的詳細資訊,請 參閱行動應用程式管理 (MAM) 基本概念。
終端使用者和組織都必須具有來自個人裝置的受保護組織存取權。 組織必須確保公司數據在個人、非受控裝置上受到保護。 身為 Intune 系統管理員,您必須負責判斷成員 (組織) 成員如何從非受控裝置以受保護的方式存取公司資源。 您需要確保存取組織數據時,Unmanaged 裝置狀況良好、應用程式遵守貴組織數據的保護原則,以及使用者在其裝置上的非受控資產不會受到貴組織的原則影響。
身為 Intune 系統管理員,您必須具備下列應用程式管理功能:
- 能夠將應用程式保護原則部署到受 Intune APP SDK 保護的應用程式/使用者,包括下列各項:
- 資料保護設定
- 健康情況檢查 (也稱為條件式啟動) 設定
- 能夠透過條件式存取要求應用程式保護原則
- 執行下列動作以透過 Windows 安全性 中心執行其他用戶端健康情況驗證的能力:
- 指定 Windows 安全性 中心風險層級,以允許終端使用者存取公司資源
- 將租使用者型連接器設定為 Windows 安全性 Center 的 Microsoft Intune
- 將選擇性抹除命令部署至受保護應用程式的能力
貴組織的成員 (使用者) 預期其帳戶具有下列功能:
- 能夠登入 Microsoft Entra 標識符,以存取受條件式存取保護的網站
- 在裝置被視為狀況不良的情況下,能夠驗證用戶端裝置的健康情況狀態
- 當裝置維持狀況不良時,撤銷資源存取權的能力
- 當系統管理員原則控制存取權時,能夠透過明確的補救步驟獲得通知
注意事項
如需 Microsoft Entra 標識符的相關信息,請參閱 Windows 裝置上需要應用程式保護原則。
條件式存取合規性
防止數據遺失是保護組織數據的一部分。 只有在您的組織數據無法從任何未受保護的系統或裝置存取時,數據外洩防護 (DLP) 才有效。 應用程式保護條件式存取會使用條件式存取 (CA) ,以確保在用戶端應用程式中支援並強制執行應用程式保護原則 (應用程式) ,然後才允許存取受保護的資源 (例如組織數據) 。 APP CA 可讓具有個人 Windows 裝置的使用者使用應用程式管理的應用程式,包括 Microsoft Edge,存取 Microsoft Entra 資源,而不需要完全管理其個人裝置。
此 MAM 服務會將每個使用者、每個應用程式和每個裝置的合規性狀態同步至 Microsoft Entra CA 服務。 這包括從Mobile Threat Defense (MTD) 廠商收到的威脅資訊,從 Windows 安全性 中心開始。
注意事項
此 MAM 服務使用與 在 iOS 和 Android 裝置上管理 Microsoft Edge 相同的條件式存取合規性工作流程。
偵測到變更時,MAM 服務會立即更新裝置合規性狀態。 服務也包含 MTD 健康情況狀態作為合規性狀態的一部分。
注意事項
MAM 服務會評估服務中的 MTD 狀態。 這是從 MAM 用戶端和用戶端平台獨立完成。
MAM 用戶端會在簽入時,將用戶端健康狀態 (或健康情況元數據) 傳達給 MAM 服務。 健康情況狀態包括 封鎖 或 抹除 條件的APP健康情況檢查失敗。 此外,Microsoft Entra標識碼會在用戶嘗試存取封鎖的 CA 資源時,引導使用者完成補救步驟。
條件式存取合規性
組織可以使用 Microsoft Entra 條件式存取原則,以確保使用者只能使用 Windows 上受原則管理的應用程式來存取公司或學校內容。 若要這樣做,您需要以所有潛在使用者為目標的條件式存取原則。 請遵循在 Windows 裝置上要求應用程式保護原則中的步驟,這會允許適用於 Windows 的 Microsoft Edge,但會封鎖其他網頁瀏覽器連線到 Microsoft 365 端點。
使用條件式存取,您也可以透過 Microsoft Entra 應用程式 Proxy 將向外部使用者公開的內部部署網站設為目標。
威脅防禦健康情況
在允許存取組織數據之前,會先驗證個人擁有裝置的健康情況狀態。 MAM 威脅偵測可以與 Windows 安全性 中心連線。 Windows 安全性 中心會透過服務對服務連接器,為Intune APP 提供用戶端裝置健康情況評估。 此評量支援控制流程,以及在個人非受控裝置上存取組織數據。
健康情況狀態包含下列詳細資料:
- 使用者、應用程式和裝置標識碼
- 預先定義的健康情況狀態
- 上次健康情況狀態更新的時間
健康情況狀態只會傳送給已註冊 MAM 的使用者。 終端使用者可能會在受保護的應用程式中註銷其組織帳戶,以停止傳送數據。 系統管理員可以從 Microsoft Intune 移除 Windows 安全性 連接器,以停止傳送數據。
如需相關信息,請 參閱建立適用於 Windows 的 MTD 應用程式保護原則。
建立 Inunte 應用程式防護原則
應用程式防護原則 (APP) 定義允許哪些應用程式,以及這些應用程式可以對組織資料執行什麼動作。 APP 中可用的選項可讓組織根據其特定需求量身打造保護。 對部分使用者而言,實作完整案例所需的原則設定可能不明顯。
身為系統管理員,您可以設定如何透過APP保護數據。 此設定適用於原生 Windows 應用程式與數據的互動。 應用程式設定分成三個類別:
- 數據保護 - 這些設定可控制數據如何移入或移出組織內容, (帳戶、檔、位置、服務) 使用者。
- 健康情況檢查 (條件式啟動) - 這些設定可控制存取組織數據所需的裝置條件,以及不符合條件時 () 補救動作。
為了協助組織排定用戶端端點強化的優先順序,Microsoft 已針對其應用程式數據保護架構引進分類法,以進行行動應用程式管理。
若要查看每個設定層級的特定建議,以及必須保護的最低應用程式,請檢閱 使用應用程式防護原則的資料保護架構。
如需可用設定的詳細資訊,請參閱 Windows 應用程式保護原則設定。
後續步驟
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應