引导式方案 - 安全Microsoft Office 移动应用
通过在 设备管理 门户中遵循此引导方案,可以在 iOS/iPadOS 和 Android 设备上启用基本Intune应用保护。
启用的应用保护将强制实施以下操作:
- 加密工作文件。
- 需要 PIN 才能访问工作文件。
- 要求在五次尝试失败后重置 PIN。
- 阻止在 iTunes、iCloud 或 Android 备份服务中备份工作文件。
- 要求仅将工作文件保存到 OneDrive 或 SharePoint。
- 防止受保护的应用在已越狱或获得 root 权限的设备上加载工作文件。
- 如果设备脱机 720 分钟,则阻止访问工作文件。
- 如果设备脱机 90 天,请删除工作文件。
背景
Office 移动应用和 Microsoft Edge for Mobile 支持双重标识。 双重标识允许应用独立于个人文件管理工作文件。
Intune应用保护策略有助于保护注册到 Intune 的设备上的工作文件。 还可以在Intune中未注册管理的员工拥有的设备上使用应用保护策略。 在这种情况下,即使你的公司不管理设备,你仍然需要确保工作文件和资源受到保护。
可以使用应用保护策略来防止用户在未受保护的位置保存工作文件。 还可限制将数据移动到不受应用保护策略保护的其他应用。 应用保护策略设置包括:
- 数据重定位策略,例如 保存组织数据的副本和 限制剪切、复制和粘贴。
- 访问需要简单 PIN 才能访问的策略设置,并阻止托管应用在已越狱或已获得 root 权限的设备上运行。
基于应用的条件访问和客户端应用管理通过确保只有支持Intune应用保护策略的客户端应用可以访问 Exchange Online 和其他Microsoft 365 服务来添加安全层。
如果仅允许Microsoft Outlook 应用访问Exchange Online,则可以阻止 iOS/iPadOS 和 Android 上的内置邮件应用。 此外,你还可以阻止未执行 Intune 应用保护策略的应用访问 SharePoint Online。
在此示例中,管理员将应用保护策略应用到 Outlook 应用,然后应用条件访问规则,将 Outlook 应用添加到可在访问公司电子邮件时使用的已批准的应用列表。
先决条件
需要以下Intune管理员权限:
- 托管应用读取、创建、删除和分配权限
- 策略集读取、创建和分配权限
- 组织读取权限
步骤 1 - 简介
通过遵循Intune应用保护引导式方案,可以防止数据在组织外部共享或泄露。
分配的 iOS/iPadOS 和 Android 用户必须在每次打开 Office 应用时输入 PIN。 尝试五次 PIN 失败后,用户必须重置其 PIN。 如果已需要设备 PIN,则用户不会受到影响。
需要继续的内容
我们将询问用户所需的应用,以及访问这些应用所需的内容。 确保你已准备好以下信息:
- 已批准供公司使用的 Office 应用列表。
- 在非托管设备上启动已批准应用的任何 PIN 要求。
步骤 2 - 基础知识
在此步骤中,必须输入新应用保护策略的前缀和说明。 添加 前缀时,将更新与引导方案创建的资源相关的详细信息。 如果需要更改分配和配置,这些详细信息将使以后可以轻松找到策略。
提示
请考虑记下将要创建的资源,以便稍后可以参考它们。
步骤 3 - 应用
为了帮助你入门,此引导式方案预先选择要在 iOS/iPadOS 和 Android 设备上保护的以下移动应用:
- Microsoft Excel
- Microsoft Word
- Microsoft Teams
- Microsoft Edge
- Microsoft PowerPoint
- Microsoft Outlook
- Microsoft OneDrive
此引导式方案还会将这些应用配置为在 Microsoft Edge 中打开 Web 链接,以确保在受保护的浏览器中打开工作网站。
修改要保护的策略托管应用列表。 在此列表中添加或删除应用。
选择应用后,单击“ 下一步”。
步骤 4 - 配置
在此步骤中,必须配置访问和共享这些应用中的公司文件和电子邮件的要求。 默认情况下,用户可以将数据保存到组织的 OneDrive 和 SharePoint 帐户。
使用上面所示的 增强型数据保护 设置时,将应用以下设置。
| Setting | 说明 | 值 |
|---|---|---|
| 超时(非活动状态的分钟数) | 指定一个时间(以分钟为单位),之后,配置的密码或数字 () PIN 将替代生物识别的使用。 此超时值应大于在‘(非活动分钟数)后重新检查访问要求’下指定的值。 默认值:30 | 720 |
步骤 5 - 分配
在此步骤中,你可以选择要包括的用户组,以确保他们有权访问你的公司数据。 应用保护分配给用户,而不是设备,因此无论使用的设备及其注册状态如何,公司数据都是安全的。
未分配应用保护策略和条件访问设置的用户将能够将数据从其公司配置文件保存到其移动设备上的个人应用和非托管本地存储。 他们还可以通过个人应用连接到公司数据服务,例如 Microsoft Exchange。
步骤 6 - 查看 + 创建
最后一步允许查看配置的设置的摘要。 查看选择后,单击“ 创建 ”完成引导式方案。 引导方案完成后,会显示一个资源表。 稍后可以编辑这些资源,但一旦离开摘要视图,将不会保存该表。
重要
引导方案完成后,会显示摘要。 稍后可以修改摘要中列出的资源,但不会保存显示这些资源的表。
后续步骤
- 通过向用户分配基于应用的条件访问策略来增强工作文件的安全性,以保护云服务将工作文件发送到未受保护的应用。 有关详细信息,请参阅使用Intune设置基于应用的条件访问策略。