有关 MAM 和应用保护的常见问题

本文提供有关Intune移动应用程序管理 (MAM) 和Intune应用保护的一些常见问题的解答。

MAM 基础知识

什么是 MAM?

应用保护策略

什么是 Intune 应用保护策略?

应用保护策略是可确保组织数据在管理的应用中保持安全或受到控制的规则。 策略可以是在用户尝试访问或移动“公司”数据时强制执行的规则,或在用户位于应用内时受到禁止或监视的一组操作。

应用保护策略的示例有哪些?

有关每个 应用保护策略设置 的详细信息,请参阅 Android 应用保护策略设置和 iOS/iPadOS 应用保护策略设置。

是否可以为不同的设备同时将 MDM 和 MAM 策略应用于同一用户?

如果在未设置设备管理状态的情况下向用户应用 MAM 策略,则用户会在 BYOD 设备和Intune管理的设备上获取 MAM 策略。 还可以根据设备管理状态应用 MAM 策略。 因此,创建应用保护策略时,在“面向所有设备类型的应用”旁边,选择“否”。 然后,执行以下任意操作:

  • 将不太严格的 MAM 策略应用于 Intune 托管设备,并将更严格的 MAM 策略应用于未注册 MDM 的设备。
  • 将同样严格的 MAM 策略应用于第三方托管设备Intune托管设备。
  • 将 MAM 策略仅应用于未注册的设备。

有关详细信息,请参阅 如何监视应用保护策略

可使用应用保护策略进行管理的应用

哪些应用可以通过应用保护策略进行管理?

任何已与 Intune App SDK 集成或由Intune App Wrapping Tool包装的应用都可以使用Intune应用保护策略进行管理。 请参阅已公开发布的 Intune 托管的应用的正式列表。

在Intune托管的应用上使用应用保护策略的基线要求是什么?

  • 最终用户必须具有Microsoft Entra帐户。 请参阅添加用户并向 Intune授予管理权限,了解如何在 Microsoft Entra ID 中创建Intune用户。

  • 最终用户必须具有分配给其Microsoft Entra帐户Microsoft Intune的许可证。 请参阅管理 Intune 许可证,以了解如何向最终用户分配 Intune 许可证。

  • 最终用户必须属于应用保护策略针对的安全组。 相同的应用保护策略必须针对正在使用的特定应用。 可以在Microsoft Intune管理中心中创建和部署应用保护策略。 当前可以在 Microsoft 365 管理中心创建安全组。

  • 最终用户必须使用其Microsoft Entra帐户登录到应用。

如果想要启用具有 Intune 应用保护但未使用支持的应用开发平台的应用,该怎么办?

Intune SDK 开发团队主动测试和维护对使用原生 Android、iOS/iPadOS(Obj-C、Swift)、Xamarin、Xamarin.Forms 平台生成的应用的支持。 虽然一些客户已成功将 Intune SDK 与其他平台(如 React Native 和 NativeScript)集成,但我们没有为使用支持的平台以外的任何内容的应用开发人员提供明确的指导或插件。

Intune APP SDK 是否支持Microsoft身份验证库 (MSAL) ?

Intune应用 SDK 可以将 Microsoft 身份验证库用于其身份验证和条件启动方案。 它还依赖于 MSAL 将用户标识注册到 MAM 服务,以便在没有设备注册方案的情况下进行管理。

使用 Outlook 移动应用的其他要求是什么?

使用 Word、Excel 和 PowerPoint 应用有什么其他要求?

为什么 Office 需要托管位置 (即 OneDrive) ?

Intune将应用中的所有数据标记为“公司”或“个人”。如果数据源自业务位置,则被视为“公司”。 对于 Office 应用,Intune 将以下数据视为业务位置:电子邮件 (Exchange) 或云存储(包含 OneDrive for Business 帐户的 OneDrive 应用)。

使用Skype for Business有哪些附加要求?

请参阅 Skype for Business 许可证要求。 对于Skype for Business (SfB) 混合和本地配置,请参阅 SfB 和 Exchange 的混合新式身份验证正式版和 SfB 本地新式身份验证,Microsoft Entra ID

应用保护功能

什么是多标识支持?

多标识支持是Intune应用 SDK 仅对登录到应用的工作或学校帐户应用保护策略的功能。 如果个人帐户登录到应用,数据将保持不变。

多标识支持的目的是什么?

多标识支持允许具有“企业”受众和消费者受众的应用 (即 Office 应用) 公开发布,其中包含针对“公司”帐户的Intune应用保护功能。

Outlook 和多标识怎么样?

由于 Outlook 具有个人和“公司”电子邮件的组合电子邮件视图,因此 Outlook 应用在启动时会提示输入Intune PIN。

什么是Intune应用 PIN?

个人标识号 (PIN) 是一种密码,用于验证是否是正确的用户在应用程序中访问组织的数据。

何时提示用户输入其 PIN?

当用户要访问“公司”数据时,Intune 才会提示输入用户的应用 PIN。 在 Word/Excel/PowerPoint 等多标识应用中,当用户尝试打开“公司”文档或文件时,系统会提示用户输入其 PIN。 在单标识应用(例如使用 Intune App Wrapping Tool 管理的业务线应用)中,启动时会提示 PIN,因为Intune应用 SDK 知道用户在应用中的体验始终是“企业体验”。

系统多久提示用户输入Intune PIN?

IT 管理员可以在Microsoft Intune管理中心定义Intune应用保护策略设置“ (分钟后) 重新检查访问要求”。 此设置指定在设备上检查访问要求之前的时间量,并再次显示应用程序 PIN 屏幕。 但是,请注意以下关于 PIN 的重要详细信息,它们会影响用户收到提示的频率:

  • PIN 在同一发布者的应用之间共享,以提高可用性: 在 iOS/iPadOS 上,同一应用 发布者的所有应用之间共享一个应用 PIN。 在 Android 上,所有应用共享一个应用 PIN。
  • 设备重新启动后,“ (分钟后重新检查访问要求) ”行为:“PIN 计时器”跟踪非活动分钟数,以确定何时显示Intune应用 PIN 下一步。 在 iOS/iPadOS 上,PIN 计时器不受设备重启的影响。 因此,设备重启不会影响用户在具有Intune PIN 策略的 iOS/iPadOS 应用中处于非活动状态的分钟数。 在 Android 上,PIN 计时器在设备重新启动时重置。 因此,无论设备重启后“ (分钟后重新检查访问要求) ”设置值,具有Intune PIN 策略的 Android 应用都可能会提示输入应用 PIN。
  • 与 PIN 关联的计时器的滚动性质:输入 PIN 以访问应用 (应用 A) 后,应用离开前台 (main 输入焦点) 设备上,PIN 计时器将重置该 PIN。 共享此 PIN 的任何应用 (应用 B) 都不会提示用户输入 PIN,因为计时器已重置。 再次达到“以下时间过后重新检查访问要求(分钟)”值后,就会再次显示该提示。

对于 iOS/iPadOS 设备,即使 PIN 在不同发布者的应用之间共享,在 (分钟后重新检查访问要求时,提示也会再次显示,) 不是main输入焦点的应用的值。 因此,例如,某一用户具有来自发行商 X 的应用 A 和来自发行商 Y 的应用 B,并且这两个应用共享相同 PIN。 该用户将焦点置于应用 A(前景),并最小化应用 B。 当满足“以下时间过后重新检查访问要求(分钟)”值并且用户切换到应用 B 时,将需要此 PIN。

注意

为了更频繁地验证用户的访问要求, (即 PIN 提示) ,尤其是对于常用应用,建议降低“ (分钟后重新检查访问要求) ”设置的值。

Intune PIN 如何与适用于 Outlook 和 OneDrive 的内置应用 PIN 配合使用?

Intune PIN 基于基于非活动状态的计时器工作, (值“ (分钟后重新检查访问要求) ”) 。 因此,Intune PIN 提示与 Outlook 和 OneDrive 的内置应用 PIN 提示(默认情况下与应用启动直接关联)相互独立显示。 如果用户同时收到两个 PIN 提示,预期行为应以 Intune PIN 为准。

PIN 是否安全?

PIN 仅允许正确的用户在应用中访问其组织数据。 因此,最终用户必须使用其工作或学校帐户登录,然后才能设置或重置其 Intune 应用 PIN。 此身份验证由 Microsoft Entra ID 通过安全令牌交换进行处理,对 Intune 应用 SDK 不透明。 从安全性的角度来看,保护工作或学校数据的最佳方法便是对其进行加密。 加密与应用 PIN 无关,而是其自己的应用保护策略。

Intune如何保护 PIN 免受暴力攻击?

作为应用 PIN 策略的一部分,IT 管理员可以设置在锁定应用之前用户可尝试验证其 PIN 的最大次数。 满足尝试次数后,Intune应用 SDK 可以擦除应用中的“公司”数据。

为什么必须在同一发布者的应用上设置两次 PIN?

iOS/iPadOS) 上的 MAM (目前允许使用字母数字和特殊字符的应用程序级 PIN, (称为“密码”) 这需要应用程序 (参与,例如 WXP、Outlook、Managed Browser、Yammer) 来集成适用于 iOS/iPadOS 的 Intune APP SDK。 如果没有此设置,则不会为目标应用程序正确强制实施密码设置。 这是 Intune SDK for iOS/iPadOS v. 7.1.12 中发布的一项功能。

为了支持此功能,并确保与旧版 Intune SDK for iOS/iPadOS 的后向兼容性,版本 7.1.12 及更高版本中的所有 PIN(数字或密码)都与旧版 SDK 中的数字 PIN 分开处理。 因此,如果设备具有Intune SDK for iOS/iPadOS 版本之前为同一发布者 7.1.12 和 7.1.12 之后的应用程序,则它们必须设置两个 PIN。

话即,每个应用 (的两个 PIN) 没有任何关联,即它们必须遵守应用于应用的应用保护策略。 这样,只有当应用 A 和 B 都应用了相同的策略(对于 PIN),用户才需要设置相同的 PIN 两次。

此行为只针对使用 Intune 移动应用管理 (MAM) 启用的 iOS/iPadOS 应用程序上的 PIN。 日后,随着应用采用更高版本的 Intune SDK for iOS/iPadOS,需要针对同一发布者的应用设置 PIN 两次的问题就会减少。 有关示例,请参阅下面的注意事项。

注意

例如,如果应用 A 使用 7.1.12 之前的版本生成,而应用 B 生成的版本大于或等于同一发布者的 7.1.12,则最终用户需要分别为 A 和 B 设置 PIN(如果两者都安装在 iOS/iPadOS 设备上)。

如果在设备上安装了 SDK 版本 7.1.9 的应用 C,它将与应用 A 共享同一 PIN。

使用 7.1.14 生成的应用 D 将与应用 B 共享相同的 PIN。

如果仅在设备上安装了应用 A 和 C,需要设置一个 PIN。 如果仅在设备上安装了应用 B 和 D,情况也是如此,即需要设置一个 PIN。

加密呢?

IT 管理员可以部署要求对应用数据进行加密的应用保护策略。 作为该策略的一部分,IT 管理员还可指定何时加密内容。

Intune如何加密数据?

请参阅 Android 应用保护策略设置iOS/iPadOS 应用保护策略设置,获取有关加密应用保护策略设置的详细信息。

哪些内容会被加密?

根据 IT 管理员的应用保护策略,仅对标记为“公司”的数据进行加密。 数据源于业务位置时会被视为“公司”数据。 对于 Office 应用,Intune 将以下数据视为业务位置:电子邮件 (Exchange) 或云存储(包含 OneDrive for Business 帐户的 OneDrive 应用)。 对于由 Intune App Wrapping Tool 管理的业务线应用,所有应用数据都被视为“公司数据”。

Intune如何远程擦除数据?

Intune可以通过三种不同的方式擦除应用数据:完全设备擦除、MDM 选择性擦除和 MAM 选择性擦除。 有关 MDM 远程擦除的详细信息,请参阅使用擦除或停用操作删除设备。 有关使用 MAM 进行选择性擦除的详细信息,请参阅“停用”操作如何仅擦除应用中的公司数据

什么是擦除?

擦除 通过将设备还原到 出厂 默认设置,从设备中删除所有用户数据和设置。 设备将从 Intune 中删除。

注意

只能在注册Intune移动设备管理 (MDM) 的设备上实现擦除。

什么是 MDM 的选择性擦除?

请参阅删除设备 - 停用,了解删除公司数据的相关信息。

什么是 MAM 的选择性擦除?

MAM 选择性擦除仅删除应用中的公司应用数据。 使用 Microsoft Intune 管理中心启动请求。 若要了解如何启动擦除请求,请参阅如何仅擦除应用中的公司数据

MAM 选择性擦除的发生速度有多快?

如果用户在启动选择性擦除时正在使用应用,则Intune应用 SDK 每隔 30 分钟检查一次来自 Intune MAM 服务的选择性擦除请求。 它还会在用户第一次启动应用并使用其工作或学校帐户登录时检查选择性擦除。

为什么本地 (本地) 服务不适用于Intune受保护的应用?

Intune应用保护取决于在应用程序和Intune应用 SDK 之间保持一致的用户标识。 保证此种一致的唯一方法是通过新式身份验证。 在某些情况下,应用可能适用于本地配置,但它们既不一致也不保证。

是否有从托管应用打开 Web 链接的安全方法?

可以! IT 管理员可以为 Microsoft Edge 应用部署和设置应用保护策略。 IT 管理员可以要求使用 Microsoft Edge 应用打开Intune托管应用中的所有 Web 链接。

Android 上的应用体验

为什么需要公司门户应用才能在 Android 设备上Intune应用保护?

配置为同一组应用和用户的多个Intune应用保护访问设置如何在 Android 上运行?

Intune在最终用户尝试从公司帐户访问目标应用时,将按特定顺序在最终用户设备上应用用于访问的应用保护策略。 通常,块优先,然后是可解除的警告。 例如,如果适用于特定用户/应用,则先应用阻止用户访问的 Android 修补程序最低版本设置,再应用警告用户进行修补程序升级的 Android 修补程序最低版本设置。 因此,如果 IT 管理员将 Android 修补程序最低版本配置为 2018-03-01,并将 Android 修补程序最低版本(仅限警告)配置为 2018-02-01,则当尝试访问该应用的设备具有 2018-01-01 版修补程序时,系统将基于更严格的 Android 修补程序最低版本设置阻止最终用户的访问。

处理不同类型的设置时,先处理应用版本要求,其次是 Android 操作系统版本要求,再是 Android 修补程序版本要求。 然后,按相同顺序检查各类型设置的所有警告。

Intune应用保护策略使管理员能够要求最终用户设备传递适用于 Android 设备的 Google Play 设备完整性检查。 新 Google Play 的设备完整性检查结果多久发送到服务一次?

Intune服务将按服务负载确定的不可配置间隔联系 Google Play。 针对 Google Play 设备完整性检查设置的任何 IT 管理员配置的操作都将根据条件启动时向Intune服务报告的结果执行。 如果 Google 的设备完整性结果符合要求,则不会执行任何操作。 如果 Google 的设备完整性结果不符合要求,将立即执行 IT 管理员配置的操作。 如果由于任何原因对 Google Play 设备完整性检查请求失败,则上一个请求的缓存结果将最多使用 24 小时,或下次设备重启(首次重启)。 此时,Intune应用保护策略将阻止访问,直到获得当前结果。

Intune应用保护策略使管理员能够要求最终用户设备通过 Google 的适用于 Android 设备的验证应用 API 发送信号。 最终用户如何打开应用扫描,使其不因此被阻止访问?

有关如何执行此操作的说明因设备略有不同。 常规流程包括转到 Google Play 商店,然后单击“我的应用和游戏”,单击最后一次应用扫描的结果,然后你会转到“Play 保护”菜单。 确保“扫描设备以检测安全隐患”开关为开启状态。

Google Play Integrity API 在 Android 设备上实际检查什么? “检查基本完整性”和“检查基本完整性 & 认证设备”的可配置值之间有何区别?

Intune利用 Google Play 完整性 API 将添加到针对未注册设备的现有根检测检查中。 Google 已开发并维护此 API 集,供 Android 应用在不希望其应用在 root 设备上运行时采用。 例如,Android Pay 应用已将此合并。 虽然 Google 不会公开共享发生的全部根检测检查,但我们希望这些 API 能够检测已为其设备生根的用户。 然后,可以阻止这些用户访问,或者可以从启用策略的应用中擦除其公司帐户。 “检查基本完整性”介绍了设备的一般完整性。 已取得根权限的设备、模拟器、虚拟设备以及具有篡改迹象的设备无法通过基本完整性检查。 “& 认证设备检查基本完整性”将告诉你有关设备与 Google 服务的兼容性。 只有经过 Google 认证的未修改的设备才能通过此检查。 以下设备将无法通过检查:

  • 基本完整性检查未通过的设备
  • 具有未锁定引导装入程序的设备
  • 具有自定义系统映像/ROM 的设备
  • 制造商未申请或未通过 Google 认证的设备
  • 系统映像直接通过 Android 开源程序源文件生成的设备
  • 具有 beta 版本/开发者预览版系统映像的设备

有关技术详细信息 ,请参阅 Google 有关 Play Integrity API 的文档

创建适用于 Android 设备的Intune应用保护策略时,条件启动部分中有两个类似的检查。 我应该要求“播放完整性判决”设置还是“越狱/rooted devices”设置?

Google Play 完整性 API 检查要求最终用户处于联机状态,至少在用于确定证明结果的“往返”执行期间。 如果最终用户处于脱机状态,IT 管理员仍然可以期望从“越狱/rooted 设备”设置强制实施结果。 也就是说,如果最终用户脱机时间过长,“脱机宽限期”值将发挥作用,并且一旦达到该计时器值,将阻止对工作或学校数据的所有访问,直到网络访问可用。 启用这两个设置允许采用分层方法来保持最终用户设备正常运行,这在最终用户访问移动设备上的工作或学校数据时非常重要。

利用 Google Play 保护 API 的应用保护策略设置需要 Google Play Services 才能运行。 如果最终用户所在的位置不允许使用 Google Play Services,该怎么办?

“播放完整性判决”和“应用威胁扫描”设置都要求 Google 确定的 Google Play Services 版本才能正常运行。 由于这些设置属于安全领域,因此,如果最终用户成为这些设置的目标,并且不符合 Google Play Services 的相应版本或无权访问 Google Play Services,则将受到阻止。

iOS 上的应用体验

如果我在设备上添加或删除指纹或人脸,会发生什么情况?

Intune 应用保护策略允许将应用访问权限控制在仅限 Intune 许可用户访问。 控制对应用的访问权限的方法之一是支持的设备上需要具有 Apple 的 Touch ID 或 Face ID。 Intune实现一种行为,其中,如果设备的生物识别数据库有任何更改,Intune在满足下一个非活动超时值时提示用户输入 PIN。 对生物识别数据的更改包括添加或删除指纹或人脸。 如果Intune用户没有设置 PIN,则会引导他们设置Intune PIN。

这样做的目的是继续在应用级别确保组织数据的安全和保护。 此功能仅适用于 iOS/iPadOS,并且需要集成适用于 iOS/iPadOS 的 Intune APP SDK 版本 9.0.1 或更高版本的应用程序参与。 必须集成 SDK,以便可以在目标应用程序上强制执行行为。 此集成陆续进行,取决于特定应用程序团队。 参与的一些应用包括 WXP、Outlook、Managed Browser 和 Yammer。

即使数据传输策略设置为“仅托管应用”或“无应用”,我也可以使用 iOS 共享扩展在非托管应用中打开工作或学校数据。 这不会泄露数据吗?

Intune应用保护策略无法在不管理设备的情况下控制 iOS 共享扩展。 因此,Intune在应用外部共享“公司”数据之前对其进行加密。 可以通过尝试在托管应用外部打开“公司”文件来验证这一点。 该文件应进行加密,且无法在托管应用外打开。

配置为同一组应用和用户的多个Intune应用保护访问设置如何在 iOS 上运行?

Intune在最终用户尝试从公司帐户访问目标应用时,将按特定顺序在最终用户设备上应用用于访问的应用保护策略。 通常,擦除优先,然后是块,然后是可消除的警告。 例如,如果适用于特定用户/应用,则先应用阻止用户访问的最低 iOS/iPadOS 操作系统设置,再应用警告用户更新其 iOS/iPadOS 版本的最低 iOS/iPadOS 操作系统设置。 因此,在 IT 管理员将最小 iOS/iPadOS 操作系统配置为 11.0.0.0,最小 iOS/iPadOS 操作系统 (警告仅) 为 11.1.0.0 的情况下, 当尝试访问应用的设备在 iOS/iPadOS 10 上时,最终用户将被阻止,具体取决于对最小 iOS/iPadOS 操作系统版本的更严格的设置,这会导致访问被阻止。

处理不同类型的设置时,Intune应用 SDK 版本要求优先,然后是应用版本要求,然后是 iOS/iPadOS 操作系统版本要求。 然后,按相同顺序检查各类型设置的所有警告。 我们建议仅在Intune产品团队的指导下配置Intune应用 SDK 版本要求,以用于基本阻止方案。