在 Intune 中使用应用保护策略条件启动操作选择性地擦除数据
Intune应用保护策略中的条件启动操作使组织能够在不满足某些设备或应用条件时阻止访问或擦除组织数据。
你可以显式选择从最终用户的设备擦除公司数据,作为使用这些设置针对不符合性采取的操作。 对于某些设置,可以配置多个操作,例如基于不同的指定值阻止访问和擦除数据。
使用条件启动操作创建应用保护策略
选择“应用>应用保护策略”。
选择“ 创建策略 ”,并为策略选择设备的平台。
选择“ 配置所需的设置 ”,查看可针对策略配置的设置列表。
通过在“设置”窗格中向下滚动,你将看到一个标题为 “条件启动 ”的部分,其中包含可编辑的表。
选择 “设置” 并输入登录到公司应用时必须满足的 “值”。
如果用户不满足要求,请选择要执行的操作。 在某些情况下,可以为单个设置配置多个操作。 有关详细信息,请参阅 如何创建和分配应用保护策略。
策略设置
应用保护策略设置表包含“设置”、“值”和“操作”列。
预览:Windows 策略设置
对于 Windows,可以使用“ 设置 ”下拉列表为以下“运行状况检查”设置配置操作:
- 已禁用帐户
- 最高 OS 版本
- 最低应用版本
- 最低 OS 版本
- 最低 SDK 版本
- 离线宽限期
- 允许的最大设备威胁级别
iOS 策略设置
对于 iOS/iPadOS,可以使用“ 设置 ”下拉列表为以下设置配置操作:
- 最大 PIN 尝试次数
- 离线宽限期
- 已越狱/获得 root 权限的设备
- 最高 OS 版本
- 最低 OS 版本
- 最低应用版本
- 最低 SDK 版本
- 设备模型
- 允许的最大设备威胁级别
- 已禁用帐户
若要使用 设备型号 () 设置,请输入以分号分隔的 iOS/iPadOS 模型标识符列表。 这些值不区分大小写。 除了在“设备型号 () ”输入的Intune报告中,还可以在此第三方 GitHub 存储库中找到 iOS/iPadOS 模型标识符。
输入示例: iPhone5,2;iPhone5,3
在最终用户设备上,Intune客户端将根据应用程序保护策略Intune中指定的设备模型字符串的简单匹配执行操作。 匹配完全取决于设备报告的内容。 建议你 (IT 管理员) ,通过基于各种设备制造商和模型并面向小型用户组测试此设置,确保发生预期行为。 默认值为 “未配置”。
设置以下操作之一:
- 允许指定的 (阻止未指定的)
- 允许指定的 (擦除未指定的)
如果 IT 管理员在针对同一Intune用户的相同应用的策略之间输入不同的 iOS/iPadOS 模型标识符列表 () ,会发生什么情况?
当配置值的两个应用保护策略之间发生冲突时,Intune通常采用最严格的方法。 因此,发送到目标Intune用户打开的目标应用的结果策略将是策略 A 和策略 B 中列出的 iOS/iPadOS 模型标识符的交集,这些标识符针对同一应用/用户组合。 例如,策略 A 指定“iPhone5,2;iPhone5,3“,虽然策略 B 指定”iPhone5,3“,但策略 A 和策略 B 针对Intune用户的结果策略是”iPhone5,3”。
Android 策略设置
对于 Android,可以使用“ 设置 ”下拉列表为以下设置配置操作:
- 最大 PIN 尝试次数
- 离线宽限期
- 已越狱/获得 root 权限的设备
- 最低 OS 版本
- 最高 OS 版本
- 最低应用版本
- 最低修补程序版本
- 设备制造商 ()
- 游戏完整性判决
- 要求对应用进行威胁扫描
- 最低公司门户版本
- 允许的最大设备威胁级别
- 已禁用帐户
- 需要设备锁定
通过使用 Min 公司门户 版本,可以指定在最终用户设备上强制实施的特定最低定义的公司门户版本。 通过此条件启动设置,可以将值设置为 “阻止访问”、“ 擦除数据”和“ 警告 ”作为未满足每个值时可能执行的操作。 此值的可能格式遵循 模式 [Major].[Minor], [Major].[Minor]。[Build]或 [Major].[Minor]。[生成]。[修订]。 鉴于某些最终用户可能不喜欢在现场强制更新应用,因此在配置此设置时,“警告”选项可能很理想。 Google Play 商店在仅发送应用更新的增量字节方面做得非常好。 但是,如果用户在更新时对数据使用,则这仍然是用户可能不希望利用的大量数据。 强制更新并下载更新的应用可能会导致更新时出现意外的数据费用。 最小公司门户版本设置(如果已配置)将影响获取公司门户版本 5.0.4560.0 的任何最终用户以及公司门户的任何未来版本。 此设置对使用早于发布此功能的版本公司门户的用户没有影响。 在其设备上使用应用自动更新的最终用户可能不会看到此功能中的任何对话框,因为他们可能使用的是最新版本公司门户。 此设置仅适用于 Android,对已注册和未注册的设备提供应用保护。
若要使用 设备制造商 () 设置,请输入以分号分隔的 Android 制造商列表。 这些值不区分大小写。 除了Intune报告,还可以在设备设置下找到设备的 Android 制造商。
示例输入: 制造商 A;制造商 B
注意
以下是使用Intune的设备报告的一些常见制造商,可用作输入:华硕;黑莓;Bq;吉翁尼;谷歌;Hmd global;宏达;华为;Infinix;京瓷;Lemobile;联想;Lge;摩托罗拉;Oneplus;Oppo;Samsung;锋利;索尼;Tecno;体内;沃达丰;小米;中兴;Zuk
在最终用户设备上,Intune客户端将根据应用程序保护策略Intune中指定的设备模型字符串的简单匹配执行操作。 匹配完全取决于设备报告的内容。 建议你 (IT 管理员) ,通过基于各种设备制造商和模型并面向小型用户组测试此设置,确保发生预期行为。 默认值为 “未配置”。
设置以下操作之一:
- 允许在未指定的) 上指定 (块
- 允许在未指定的) 上指定 (擦除
如果 IT 管理员在针对同一Intune用户的相同应用的策略之间输入不同的 Android 制造商列表 () ,会发生什么情况?
当配置值的两个应用保护策略之间发生冲突时,Intune通常采用最严格的方法。 因此,发送到目标Intune用户打开的目标应用的结果策略将是针对同一应用/用户组合的策略 A 和策略 B 中所列 Android 制造商的交集。 例如,策略 A 指定“Google;Samsung“,而策略 B 指定”Google“,策略 A 和策略 B 针对Intune用户的结果策略是”Google”。
其他设置和操作
默认情况下,如果“访问需要 PIN”设置设置为“是”,表将填充的行作为为脱机宽限期配置的设置和“最大 PIN 尝试次数”。
若要配置设置,请从“设置”列下的下拉列表中选择 一个设置 。 选择设置后,如果需要设置值,则在同一行的 “值 ”列下启用可编辑文本框。 此外,下拉列表将在 “操作” 列下启用,其中包含适用于设置的条件启动操作集。
以下列表提供了操作的常见列表:
- 阻止访问 – 阻止最终用户访问公司应用。
- 擦除数据 – 擦除最终用户设备中的公司数据。
- 警告 - 向最终用户提供对话框作为警告消息。
在某些情况下,例如 “最小 OS 版本 ”设置,可以将设置配置为根据不同的版本号执行所有适用的操作。
完全配置设置后,该行会显示在只读视图中,并可随时进行编辑。 此外,该行似乎有一个下拉列表,可在 “设置” 列中进行选择。 不允许多个操作的已配置设置在下拉列表中无法进行选择。
后续步骤
详细了解Intune应用保护策略,请参阅: