步骤 1. 实现应用保护策略
Microsoft Intune应用保护策略(有时称为移动应用程序管理 (MAM) )保护公司数据,即使设备本身不受管理也是如此。 这允许你在工作中启用自带 (BYO) 和个人设备,用户可能不愿意将他们的设备“注册”到管理中。 应用保护策略可确保你指定的应用中的公司数据无法复制并粘贴到设备上的其他应用。
在此图中:
- 使用应用保护策略,Intune在组织数据和个人数据之间创建一道墙。 应用保护策略定义允许哪些应用访问你的数据。
- 如果用户使用其组织凭据登录,Intune 会在应用层应用策略,以防止将组织数据复制并粘贴到个人应用,并要求提供 PIN 才能访问此数据。
- 创建应用保护策略后,使用条件访问策略强制实施数据保护。
此配置极大地提高了安全状况,几乎不会影响用户体验。 员工可以使用他们了解和喜爱的 Microsoft Office 和 Microsoft Teams 等应用,同时组织可以保护应用和设备中包含的数据。
如果你有需要保护的自定义业务线应用程序,则目前可以使用应用包装工具来支持对这些应用程序使用应用保护策略。 或者,可以使用 Intune App SDK 进行集成。 在你的应用使用了应用保护策略后,可由 Intune 进行管理,并可由 Intune 识别为托管应用。
有关使用Intune保护业务线应用程序的详细信息,请参阅使用 Microsoft Intune 准备用于移动应用程序管理的应用。
配置移动应用保护
本指南与建议的 零信任标识和设备访问策略 紧密协调。 在 Intune 中创建移动应用保护策略后,请与标识团队协作,在强制实施移动应用保护Microsoft Entra ID配置条件访问策略。
此图突出显示了 () 图后面的表中也描述了这两个策略。
要配置这些策略,请使用 零信任标识和设备访问策略 中规定的推荐指南和设置。 下表直接链接到在 Intune 和 Microsoft Entra ID 中配置这些策略的说明。
| Policy | 更多信息 | 授权 |
|---|---|---|
| 应用应用程序保护策略进行数据保护 | 每个平台一个 Intune 应用保护策略(Windows、iOS/iPadOS、Android)。 | Microsoft 365 E3 或 E5 |
| 需要已批准的应用和应用保护 | 使用 iOS、iPadOS 或 Android 对手机和平板电脑强制实施移动应用保护。 | Microsoft 365 E3 或 E5 |