如何创建和分配应用保护策略

了解如何为组织的用户创建和分配Microsoft Intune应用保护策略 (应用) 。 本文还介绍如何对现有策略进行更改。

开始之前

应用保护策略可以应用于设备上运行的应用,这些应用可能由Intune管理,也可能不托管这些应用。 有关应用保护策略的工作原理和Intune应用保护策略支持的方案的更详细说明,请参阅应用保护策略概述

应用保护策略 (APP) 中可用的选项使组织能够根据特定需求调整保护。 对于某些组织而言,实现完整方案所需的策略设置可能并不明显。 为了帮助组织确定移动客户端终结点强化的优先级,Microsoft 为其面向 iOS 和 Android 移动应用管理的 APP 数据保护框架引入了分类法。

APP 数据保护框架分为三个不同的配置级别,每个级别基于上一个级别进行构建:

  • 企业基本数据保护(级别 1)可确保应用受 PIN 保护和经过加密处理,并执行选择性擦除操作。 对于 Android 设备,此级别验证 Android 设备证明。 这是一个入门级配置,可在 Exchange Online 邮箱策略中提供类似的数据保护控制,并将 IT 和用户群引入 APP。
  • 企业增强型数据保护(级别 2)引入了 APP 数据泄露预防机制和最低 OS 要求。 此配置适用于访问工作或学校数据的大多数移动用户。
  • 企业高级数据保护(级别 3)引入了高级数据保护机制、增强的PIN 配置和 APP 移动威胁防御。 此配置适用于访问高风险数据的用户。

若要查看每个配置级别的具体建议以及必须受保护的核心应用,请查看使用应用保护策略的数据保护框架

如果要查找已集成 Intune SDK 的应用列表,请参阅Microsoft Intune受保护的应用

有关将组织的业务线 (LOB) 应用添加到Microsoft Intune准备应用保护策略的信息,请参阅将应用添加到Microsoft Intune

适用于 iOS/iPadOS 和 Android 应用的应用保护策略

为 iOS/iPadOS 和 Android 应用创建应用保护策略时,会遵循新式Intune流程流,从而生成新的应用保护策略。 有关为 Windows 应用创建应用保护策略的信息,请参阅应用保护 Windows 的策略设置

创建 iOS/iPadOS 或 Android 应用保护策略

  1. 登录到 Microsoft Intune 管理中心
  2. 选择应用>应用保护策略。 此选择将打开应用保护策略详细信息,可在其中创建新策略并编辑现有策略。
  3. 选择 “创建策略” ,然后选择 “iOS/iPadOS”“Android”。 显示 “创建策略” 窗格。
  4. 在“基本信息”页上,添加以下值:
说明
名称 此应用保护策略的名称。
说明 [可选]此应用保护策略的说明。

“创建策略”窗格的“基本信息”页的屏幕截图

  1. 单击“ 下一步 ”以显示 “应用” 页。
    应用 ”页允许你选择此策略应针对哪些应用。 必须至少添加一个应用。

    值/选项 说明
    目标策略 在“目标策略目标”下拉框中,选择将应用保护策略定位到“所有应用”、“Microsoft Apps”或“核心Microsoft Apps”。

    • 所有应用包括集成了 Intune SDK 的所有Microsoft和合作伙伴应用。
    • Microsoft Apps包括集成了 Intune SDK 的所有Microsoft应用。
    • 核心Microsoft Apps包括以下应用:Microsoft Edge、Excel、Office、OneDrive、OneNote、Outlook、PowerPoint、SharePoint、Teams、To Do 和Word。

    接下来,可以选择“ 查看应用列表”,这些应用将作为目标 ,以查看将受此策略影响的应用列表。
    公共应用 如果不想选择其中一个预定义的应用组,可以通过在“目标策略目标”下拉框中选择 “所选应用 ”来选择以单个应用 为目标 。 单击“ 选择公共应用 ”,选择要面向的公共应用。
    自定义应用 如果不想选择其中一个预定义的应用组,可以通过在“目标策略目标”下拉框中选择 “所选应用 ”来选择以单个应用 为目标 。 单击“ 选择自定义应用 ”,根据捆绑包 ID 选择要面向的自定义应用。 如果同时针对同一策略中的“所有应用”、“Microsoft Apps”“核心Microsoft Apps”选项,则不能选择自定义应用。

    所选的应用 () 将显示在公共和自定义应用列表中。

    注意

    支持公共应用是来自Microsoft和合作伙伴的应用,这些应用通常与 Microsoft Intune 配合使用。 为这些Intune保护的应用启用了一组丰富的移动应用程序保护策略支持。 有关详细信息,请参阅Microsoft Intune受保护的应用。 自定义应用是已与 Intune SDK 集成或由Intune App Wrapping Tool包装的 LOB 应用。 有关详细信息,请参阅Microsoft Intune应用 SDK 概述为应用保护策略准备业务线应用

  2. 单击“ 下一步 ”以显示 “数据保护 ”页。
    本页提供数据丢失预防 (DLP) 控制的设置,包括剪切、复制、粘贴和另存为限制。 这些设置决定了用户如何与该应用保护策略所适用应用中的数据进行交互。

    数据保护设置

  3. 单击“ 下一步 ”以显示 “访问要求 ”页。
    本页面所提供的设置允许配置用户必须满足的 PIN 和凭证要求,以便在工作环境中访问应用。

    访问要求设置

  4. 单击“ 下一步 ”以显示 “条件启动 ”页。
    本页面提供设置,为应用保护策略设置登录安全要求。 选择 “设置” 并输入登录到公司应用时必须满足的 “值”。 然后选择用户不满足要求时要执行的操作。 在某些情况下,可以为单个设置配置多个操作。

    条件启动设置

  5. 单击“下一步”以显示“分配”页面。
    分配 ”页允许将应用保护策略分配给用户组。 必须将策略应用于用户组才能使策略生效。

  6. 单击“ 下一步:查看 + 创建 ”,查看为此应用保护策略输入的值和设置。

  7. 完成后,单击“创建”以在 Intune 中创建应用保护策略。

    提示

    仅当在工作上下文中使用应用时,才会强制实施这些策略设置。 当最终用户使用应用执行个人任务时,他们不受这些策略的影响。 请注意,创建新文件时,该文件被视为个人文件。

    重要

    应用保护策略可能需要一段时间才能应用于现有设备。 应用应用应用保护策略时,最终用户将在设备上看到通知。 在应用持续访问规则之前,将应用保护策略应用于设备。

最终用户可以从应用商店或 Google Play 下载应用。 有关更多信息,请参阅:

更改现有策略

可以编辑现有策略并将其应用到目标用户。 有关策略传递计时的详细信息,请参阅 了解应用保护策略传递计时

更改与策略关联的应用列表

  1. “应用保护策略”窗格中,选择要更改的策略。

  2. “Intune应用保护”窗格中,选择“属性”。

  3. 在标题为 “应用”的部分旁边,选择“ 编辑”。

  4. 应用 ”页允许你选择此策略应针对哪些应用。 必须至少添加一个应用。

    值/选项 说明
    公共应用 在“目标策略目标”下拉框中,选择将应用保护策略定位到“所有公共应用”、“Microsoft Apps”或“核心Microsoft Apps”。 接下来,可以选择“ 查看应用列表”,这些应用将作为目标 ,以查看将受此策略影响的应用列表。

    如果需要,可以通过单击“ 选择公共应用”来选择面向单个应用。

    自定义应用 单击“ 选择自定义应用 ”,根据捆绑包 ID 选择要面向的自定义应用。

    所选的应用 () 将显示在公共和自定义应用列表中。

  5. 单击“ 查看 + 创建 ”,查看为此策略选择的应用。

  6. 完成后,单击“ 保存 ”更新应用保护策略。

更改用户组列表

  1. “应用保护策略”窗格中,选择要更改的策略。

  2. “Intune应用保护”窗格中,选择“属性”。

  3. 在标题为 “作业”的部分旁边,选择“ 编辑”。

  4. 若要向策略添加新用户组,请在“ 包括 ”选项卡上选择 “选择要包含的组”,然后选择用户组。 选择 “选择” 以添加组。

  5. 若要排除用户组,请在“ 排除 ”选项卡上选择 “选择要排除的组”,然后选择用户组。 选择 “选择” 以删除用户组。

  6. 若要删除之前添加的组,请在“ 包括 ”或“ 排除 ”选项卡上,选择省略号 (...) ,然后选择“ 删除”。

  7. 单击“ 查看 + 创建 ”,查看为此策略选择的用户组。

  8. 完成对分配的更改后,选择“ 保存” 以保存配置并将策略部署到新用户集。 如果在保存配置之前选择 “取消 ”,则会放弃对“ 包括 ”和“ 排除 ”选项卡所做的所有更改。

更改策略设置

  1. “应用保护策略”窗格中,选择要更改的策略。

  2. “Intune应用保护”窗格中,选择“属性”。

  3. 在与要更改的设置对应的部分旁边,选择 “编辑”。 然后将设置更改为新值。

  4. 单击“ 查看 + 创建 ”,查看此策略的更新设置。

  5. 选择“ 保存” 以保存更改。 重复此过程以选择设置区域并修改并保存更改,直到所有更改都完成。 然后,可以关闭“Intune应用保护 - 属性”窗格。

基于设备管理状态的目标应用保护策略

在许多组织中,通常允许最终用户使用 Intune Mobile 设备管理 (MDM) 托管设备(例如公司拥有的设备)和仅受Intune应用保护策略保护的非托管设备。 非托管设备通常称为“自带设备 (BYOD) 。

由于Intune应用保护策略针对用户的标识,因此用户的保护设置可以应用于已注册 (MDM 托管) 和非注册设备, (没有 MDM) 。 因此,可以使用筛选器将Intune应用保护策略定向到Intune已注册或未注册的 iOS/iPadOS 和 Android 设备。 有关创建筛选器的详细信息,请参阅 分配策略时使用筛选器 。 你可以为非托管设备设置一个保护策略,其中严格的数据丢失防护 (DLP) 控制措施,以及针对 MDM 托管设备的单独保护策略,其中 DLP 控制可能更宽松一点。 有关此功能在个人 Android Enterprise 设备上的工作方式的详细信息,请参阅应用保护策略和工作配置文件

若要在分配策略时使用这些筛选器,请在Intune管理中心浏览到“应用>应用保护策略”,然后选择“创建策略”。 还可以编辑现有应用保护策略。 导航到 “分配” 页,然后选择“ 编辑筛选器” ,以包括或排除已分配组的筛选器。

设备管理类型

重要

Microsoft Intune已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理支持。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

  • 非托管:对于 iOS/iPadOS 设备,非托管设备是Intune MDM 管理或第三方 MDM/EMM 解决方案未传递IntuneMAMUPN密钥的任何设备。 对于 Android 设备,非托管设备是未检测到Intune MDM 管理的设备。 这包括由第三方 MDM 供应商管理的设备。
  • Intune托管设备:托管设备由 Intune MDM 管理。
  • Android 设备管理员:使用 Android 设备管理 API Intune管理设备。
  • Android Enterprise:使用 Android Enterprise Work Profiles 或 Android Enterprise Full 设备管理 Intune 托管的设备。
  • 具有Microsoft Entra共享设备模式的 Android Enterprise 公司拥有的专用设备:Intune托管的设备使用具有共享设备模式的 Android Enterprise 专用设备。
  • Android (AOSP) 用户关联的设备:使用 AOSP 用户关联的管理Intune管理设备。
  • Android (AOSP) 无用户设备:使用 AOSP 用户设备Intune管理的设备。 这些设备还利用Microsoft Entra共享设备模式。

在 Android 上,无论选择哪种设备管理类型,Android 设备都会提示安装Intune 公司门户应用。 例如,如果选择“Android Enterprise”,则仍会提示具有非托管 Android 设备的用户。

对于 iOS/iPadOS,若要将设备管理类型强制Intune托管设备,则需要其他应用配置设置。 这些设置与应用 (应用保护策略) 服务通信,以指示应用是托管的。 因此,在部署应用配置策略之前,应用设置将不适用。 下面是应用配置设置:

重要

从 Intune 的 9 月 (2409) 服务版本开始,IntuneMAMUPNIntuneMAMOIDIntuneMAMDeviceID 应用配置值将自动发送到以下应用的Intune注册 iOS 设备上的托管应用程序:Microsoft Excel、Microsoft Outlook、Microsoft PowerPoint、Microsoft Teams 和 Microsoft Word。 Intune将继续展开此列表以包括其他托管应用。

如果未为 iOS 设备正确配置这些值,则可能是策略未传递到应用,或者传递了错误的策略。 有关详细信息,请参阅支持提示:在极少数情况下,iOS/iPadOS 用户无用户设备上的Intune MAM 用户可能会被阻止

策略设置

若要查看适用于 iOS/iPadOS 和 Android 的策略设置的完整列表,请选择以下链接之一:

后续步骤

监视合规性和用户状态

另请参阅