如何只从 Intune 托管应用擦除企业数据
当设备丢失或被盗时,或者如果员工离开公司,你需要确保从设备中删除公司应用数据。 但你可能不希望删除设备上的个人数据,尤其是当设备是员工拥有的设备时。
注意
iOS/iPadOS、Android 和 Windows 10 平台是目前唯一支持从 Intune 托管应用擦除公司数据的平台。 Intune 托管应用是包含 Intune APP SDK 的应用程序,在组织中至少有一个已启用和许可的用户帐户。 若要在 Android 和 iOS 上启用应用选择性擦除,需要部署应用程序保护策略。
注意
对于 iOS 16 及更高版本设备,所有选择性擦除操作和状态的“设备名称”值将是通用设备名称。 有关详细信息,请参阅 Apple Developer 文档。
若要有选择地删除公司应用数据,请使用本文中的步骤创建擦除请求。 请求完成后,应用下次在设备上运行时,公司数据将从应用中删除。 此外,如果不符合应用程序保护策略 (应用) 访问设置的条件,还可以将选择性擦除公司数据配置为新操作。 此功能可帮助你根据预配置的条件自动保护和删除应用程序中的敏感公司数据。
重要
将删除从应用直接同步到本机通讯簿的联系人。 无法擦除从本机通讯簿同步到另一外部源的任何联系人。 目前,这仅适用于Microsoft Outlook 应用。
未注册用户的情况下部署的 WIP 策略
无需 MDM 用户注册其 Windows 10 设备即可部署 Windows 信息保护 (WIP) 策略。 此配置允许公司基于 WIP 配置保护其公司文档,同时允许用户维护对自己的 Windows 设备的管理。 使用 WIP 策略保护文档后, Intune 管理员可以选择性地擦除受保护的数据。 通过选择用户和设备并发送擦除请求,通过 WIP 策略保护的所有数据都将变得不可用。 在门户中的 Intune 中,选择“ 客户端应用>应用选择性擦除”。 有关详细信息,请参阅通过 Intune 创建和部署 Windows 信息保护 (WIP) 应用保护策略。
创建基于设备的擦除请求
选择“ 应用”>“应用选择性擦除>”“创建擦除请求”。
将显示 “创建擦除请求 ”窗格。
单击“ 选择用户”,选择要擦除其应用数据的用户,然后单击 “选择 用户”窗格底部的“ 选择 ”。
单击 “选择设备”,选择设备,然后单击 “选择 设备”窗格底部的“ 选择 ”。
单击“ 创建 ”发出擦除请求。
该服务为设备上的每个受保护的应用以及与擦除请求关联的用户创建并跟踪单独的擦除请求。
创建基于用户的擦除请求
通过将用户添加到用户级擦除,你将自动向所有用户设备上的所有应用发出擦除命令。 用户将继续在每次签入时从所有设备获取擦除命令。 若要重新启用用户,必须将其从列表中删除。
- 登录到 Microsoft Intune 管理中心。
- 选择“应用”>“应用选择性擦除>用户级擦除”
- 选择“添加”。 将显示 “选择用户 ”窗格。
- 选择要擦除>其应用数据“选择”的用户。
监视擦除请求
可以有一个汇总报告,其中显示擦除请求的总体状态,并包括挂起的请求数和失败数。 已完成的擦除请求条目在完成后保留在报告中 4 天。 如果擦除请求未标记为已完成,但仍处于挂起状态,则请求在报告中保留的总天数等于脱机宽限期擦除数据的值之和 + 要删除的记录的 4 天,默认情况下为 94 天。
若要获取更多详细信息,请执行以下步骤:
在 “应用>应用选择性擦除 ”窗格中,可以看到按用户分组的请求列表。 由于系统会为设备上运行的每个受保护应用创建擦除请求,因此你可能会看到针对一个用户的多个请求。 状态指示擦除请求是 挂起、 失败还是 成功。
此外,还可以查看设备名称及其设备类型,这在阅读报告时非常有用。
重要
用户必须打开应用才能进行擦除,在发出请求后,擦除可能需要长达 30 分钟的时间。
删除设备擦除请求
显示挂起状态的擦除,直到手动删除它们。 手动删除擦除请求:
在 “客户端应用 - 应用选择性擦除 ”窗格中。
在列表中,右键单击要删除的擦除请求,然后选择“ 删除擦除请求”。
系统会提示确认删除,选择“ 是 ”或“ 否”,然后单击“ 确定”。
删除用户擦除请求
用户擦除将保留在列表中,直到管理员删除。 从列表中删除用户:
- 在“客户端应用 - 应用选择性擦除”窗格中,选择“用户级擦除”
- 在列表中,右键单击要删除的用户,然后选择“ 删除”。