共用方式為


如何建立及部署應用程式保護原則

瞭解如何為組織使用者建立及指派 Microsoft Intune 應用程式保護原則 (APP) 。 本文也說明如何對現有原則進行變更。

開始之前

應用程式防護 原則可以套用至在裝置上執行的應用程式,這些應用程式可能由 Intune 管理或無法管理。 如需應用程式保護原則運作方式的詳細說明,以及 Intune 應用程式保護原則所支援的案例,請參閱 應用程式防護 原則概觀

應用程式保護原則中可用的選項 (APP) 可讓組織根據其特定需求量身打造保護。 對部分使用者而言,實作完整案例所需的原則設定可能不明顯。 為了協助組織排定行動裝置用戶端端點強化的優先順序,Microsoft 為其 iOS 和 Android 版行動裝置應用程式管理的 APP 資料保護架構推出了分類法。

APP 資料保護架構會組織成三個不同的設定層級,其中每個層級會根據上一個層級來建置:

  • 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密,並執行選擇性抹除作業。 針對 Android 裝置,此層級會驗證 Android 裝置證明。 這是一種進入層級設定,可在 Exchange Online 信箱原則中提供類似的資料保護控制,並將 IT 和使用者母體引入 APP。
  • 企業增強的資料保護 (層級 2) 引進 APP 資料外泄防護機制和最低作業系統需求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
  • 企業高資料保護 (層級 3) 引進進階資料保護機制、增強的 PIN 設定,以及 APP 行動威脅防禦。 此設定等級適用於存取高風險資料的使用者。

若要查看每個設定層級的特定建議,以及必須保護的最低應用程式,請檢閱 使用應用程式防護原則的資料保護架構

如果您要尋找已整合 Intune SDK 的應用程式清單,請參閱 Microsoft Intune 受保護的應用程式

如需將組織的企業營運 (LOB) 應用程式新增至 Microsoft Intune 以準備應用程式保護原則的相關信息,請參閱將應用程式新增至 Microsoft Intune

iOS/iPadOS 和 Android 應用程式的 應用程式防護 原則

當您為 iOS/iPadOS 和 Android 應用程式建立應用程式保護原則時,您會遵循新式 Intune 程式流程,以產生新的應用程式保護原則。 如需為 Windows 應用程式建立應用程式保護原則的相關信息,請參閱 應用程式防護 原則設定。

建立 iOS/iPadOS 或 Android 應用程式保護原則

  1. 登入 Microsoft Intune 系統管理中心
  2. 選取 [應用程式]>[應用程式防護原則]。 此選取項目會開啟 應用程式防護 原則詳細數據,您可以在其中建立新原則並編輯現有原則。
  3. 選取[建立原則],然後選取 [iOS/iPadOS][Android]。 [建立原則]窗格隨即顯示。
  4. 在 [ 基本] 頁面上,新增下列值:
描述
名稱 此應用程式保護原則的名稱。
描述 [選擇性]此應用程式保護原則的描述。

[建立原則] 窗格之 [基本] 頁面的螢幕快照

  1. [下一步 ] 以顯示 [應用程式] 頁面。
    [ 應用程式] 頁面可讓您選擇此原則應設為目標的應用程式。 您必須新增至少一個應用程式。

    值/選項 描述
    目標原則為 在 [要設定目標原則] 下拉式方塊中,選擇將應用程式保護原則的目標設為 [所有應用程式]、[Microsoft Apps] 或 [核心 Microsoft Apps] 。

    • 所有應用程式都包含已整合 Intune SDK 的所有Microsoft和合作夥伴應用程式。
    • Microsoft Apps 包含已整合 Intune SDK 的所有Microsoft應用程式。
    • 核心 Microsoft Apps 包含下列應用程式:Microsoft Edge、Excel、Office、OneDrive、OneNote、Outlook、PowerPoint、SharePoint、Teams、To Do 和 Word。

    接下來,您可以選 取 [檢視目標應用程式清單], 以檢視受此原則影響的應用程式清單。
    公用應用程式 如果您不想要選取其中一個預先定義的應用程式群組,您可以在 [目標原則] 下拉式方塊中選取 [ 選取的應用程式 ], 選擇 以個別應用程式為目標。 按兩下 [選取公用應用程式 ] 以選取要設為目標的公用應用程式。
    自訂應用程式 如果您不想要選取其中一個預先定義的應用程式群組,您可以在 [目標原則] 下拉式方塊中選取 [ 選取的應用程式 ], 選擇 以個別應用程式為目標。 按兩下 [選取自訂應用程式 ],以根據套件組合識別碼選取要設為目標的自定義應用程式。 當您也以相同原則中的 [所有應用程式]、[Microsoft Apps] 或 [核心] Microsoft Apps 選項為目標時,無法選擇自定義應用程式。

    您選取的應用程式 () 會出現在公用和自訂應用程式清單中。

    注意事項

    支援的公用應用程式是來自Microsoft的應用程式,以及常用於 Microsoft Intune的合作夥伴。 這些 Intune 受保護的應用程式會透過一組豐富的行動應用程式保護原則支援來啟用。 如需詳細資訊,請參閱 Microsoft Intune 受保護的應用程式。 自訂應用程式是已與 Intune SDK 整合或由 Intune App Wrapping Tool 包裝的 LOB 應用程式。 如需詳細資訊,請參閱 Microsoft Intune App SDK 概觀準備應用程式保護原則的企業營運應用程式

  2. [下一步 ] 以顯示 [數據保護 ] 頁面。
    此頁面提供資料外洩防護 (DLP) 控制項的設定,包括剪下、複製、貼上和另存新檔限制。 這些設定決定使用者在套用此應用程式防護原則的應用程式中,如何與資料互動。

    資料保護設定

  3. [下一步 ] 以顯示 [ 存取需求 ] 頁面。
    此頁面提供的設定,可讓您設定使用者必須符合的 PIN 和認證需求,才能在工作環境中存取應用程式。

    存取需求設定

  4. [下一步 ] 以顯示 [條件式啟動 ] 頁面。
    此頁面提供的設定,可設定應用程式防護原則的登入安全性需求。 選取[設定],然後輸入使用者必須符合的[值],才能登入您的公司應用程式。 然後,選取您想要在使用者不符合您的需求時採取的 動作 。 在某些情況下,單一設定可以設定多個動作。

    條件式啟動設定

  5. 按一下 [下一步] 以顯示 [指派] 頁面。
    [ 指派] 頁面可讓您將應用程式保護原則指派給使用者群組。 您必須將原則套用至一組使用者,原則才會生效。

  6. [下一步:檢閱 + 建立] 以檢閱您為此應用程式保護原則輸入的值和設定。

  7. 當您完成時,按兩下 [建立] 以在 Intune 中建立應用程式保護原則。

    提示

    只有在工作內容中使用應用程式時,才會強制執行這些原則設定。 當終端使用者使用應用程式來執行個人工作時,不會受到這些原則的影響。 請注意,當您建立新檔案時,它會被視為個人檔案。

    重要事項

    應用程式保護原則可能需要一些時間才能套用至現有的裝置。 套用應用程式保護原則時,終端使用者會在裝置上看到通知。 套用連續存取規則之前,請先將您的應用程式保護原則套用至裝置。

終端使用者可以從 App Store 或 Google Play 下載應用程式。 如需詳細資訊,請參閱:

變更現有原則

您可以編輯現有的原則,並將其套用至目標使用者。 如需原則傳遞時間的詳細資訊,請參閱 瞭解應用程式保護原則傳遞時間

變更與原則相關聯的應用程式清單

  1. [應用程式防護 原則] 窗格中,選取您想要變更的原則。

  2. 在 [Intune 應用程式保護] 窗格中,選取 [屬性]

  3. 在標題為 [ 應用程式] 的區段旁,選取 [ 編輯]

  4. [ 應用程式] 頁面可讓您選擇此原則應設為目標的應用程式。 您必須新增至少一個應用程式。

    值/選項 描述
    公用應用程式 在 [要設定目標原則] 下拉式方塊中,選擇將應用程式保護原則的目標設為 [所有公用應用程式]、[Microsoft Apps] 或 [核心 Microsoft Apps。 接下來,您可以選 取 [檢視目標應用程式清單], 以檢視受此原則影響的應用程式清單。

    如有需要,您可以按兩下 [ 選取公用應用程式],選擇以個別應用程式為目標。

    自訂應用程式 按兩下 [選取自訂應用程式 ],以根據套件組合識別碼選取要設為目標的自定義應用程式。

    您選取的應用程式 () 會出現在公用和自訂應用程式清單中。

  5. 按兩下 [檢閱 + 建立] 以檢閱為此原則選取的應用程式。

  6. 當您完成時,按兩下 [ 儲存 ] 以更新應用程式保護原則。

變更使用者群組清單

  1. [應用程式防護 原則] 窗格中,選取您想要變更的原則。

  2. 在 [Intune 應用程式保護] 窗格中,選取 [屬性]

  3. 在標題為 [ 指派] 的區段旁,選取 [ 編輯]

  4. 若要將新的使用者群組新增至原則,請在 [ 包含 ] 索引卷標上選擇 [選取要包含的群組],然後選取使用者群組。 選擇 [選取 ] 以新增群組。

  5. 若要排除使用者群組,請在 [ 排除 ] 索引標籤上選擇 [ 選取要排除的群組],然後選取使用者群組。 選擇 [選取 ] 以移除使用者群組。

  6. 若要刪除先前新增的群組,請在 [ 包含 ] 或 [ 排除 ] 索引標籤上,選取省略號 (...) ],然後選取 [ 刪除]

  7. 按兩下 [檢閱 + 建立] 以檢閱為此原則選取的使用者群組。

  8. 當您對指派所做的變更準備就緒之後,請選取 [ 儲存 ] 以儲存設定,並將原則部署至新的使用者集合。 如果您在儲存設定之前選取 [取消 ],您將會捨棄對 [ 包含 ] 和 [ 排除 ] 索引標籤所做的所有變更。

變更原則設定

  1. [應用程式防護 原則] 窗格中,選取您想要變更的原則。

  2. 在 [Intune 應用程式保護] 窗格中,選取 [屬性]

  3. 在您要變更的設定對應的區段旁,選取 [ 編輯]。 然後將設定變更為新的值。

  4. 按兩下 [檢閱 + 建立] 以檢閱此原則的更新設定。

  5. 選取 [ 儲存 ] 以儲存您的變更。 重複此程式來選取設定區域並修改,然後儲存您的變更,直到所有變更都完成為止。 然後,您可以關閉 [Intune 應用程式保護 - 屬性] 窗格。

以裝置管理狀態為基礎的目標應用程式保護原則

在許多組織中,通常會允許終端使用者使用 Intune 行動裝置 裝置管理 (MDM) 受控裝置,例如公司擁有的裝置,以及僅 Intune 應用程式保護原則保護的非受控裝置。 非受控裝置通常稱為「攜帶您自己的裝置 (BYOD) 。

因為 Intune 應用程式保護原則是以使用者的身分識別為目標,所以使用者的保護設定可以套用至已註冊 (MDM 受控) 和未註冊的裝置, (沒有 MDM) 。 因此,您可以使用篩選器,將 Intune 應用程式保護原則的目標設為 Intune 已註冊或取消註冊的 iOS/iPadOS 和 Android 裝置。 如需建立篩選的詳細資訊,請參閱指派原則 時使用篩選。 您可以有一個非受控裝置的保護原則,其中有嚴格的數據外洩防護 (DLP) 控件,以及 MDM 受控裝置的個別保護原則,其中 DLP 控件可能會稍微寬鬆一點。 如需如何在個人 Android Enterprise 裝置上運作的詳細資訊,請參閱 應用程式防護 原則和工作配置檔

若要在指派原則時使用這些篩選,請流覽至 Intune 系統管理中心的 [應用程式>應用程式防護 原則],然後選取 [建立原則]。 您也可以編輯現有的應用程式保護原則。 流覽至 [ 指派] 頁面,然後選取 [編輯篩選 ] 以包含或排除指派群組的篩選。

裝置管理類型

重要事項

Microsoft Intune 於 2024 年 12 月 31 日終止對可存取 Google 行動服務 (GMS) 之裝置上的 Android 裝置系統管理員管理支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援

  • 非受控:針對iOS/iPadOS裝置,非受控裝置是 Intune MDM 管理或第三方 MDM/EMM 解決方案不會傳遞IntuneMAMUPN密鑰的任何裝置。 針對 Android 裝置,非受控裝置是未偵測到 Intune MDM 管理的裝置。 這包括由第三方 MDM 廠商管理的裝置。
  • Intune 受控裝置:受控裝置是由 Intune MDM 管理。
  • Android 裝置系統管理員:使用 Android 裝置管理 API Intune 受管理的裝置。
  • Android Enterprise:使用 Android Enterprise 工作配置檔或 Android Enterprise 完整 裝置管理 Intune 受控裝置。
  • Android Enterprise 公司擁有的專用裝置,Microsoft Entra 共用裝置模式:使用 Android Enterprise 專用裝置搭配共用裝置模式 Intune 受控裝置。
  • Android (AOSP) 使用者相關聯的裝置:使用 AOSP 使用者相關聯的管理來 Intune 受管理的裝置。
  • Android (AOSP) 無使用者裝置:使用 AOSP 無使用者裝置 Intune 受控裝置。 這些裝置也會利用 Microsoft Entra 共用裝置模式。

在 Android 上,不論選擇哪一種 裝置管理 類型,Android 裝置都會提示您安裝 Intune 公司入口網站 應用程式。 例如,如果您選取 [Android Enterprise],則仍會提示具有非受控 Android 裝置的使用者。

針對 iOS/iPadOS,若要強制將 裝置管理 類型 Intune 受管理的裝置,則需要額外的應用程式組態設定。 這些設定會與 APP (應用程式保護原則) 服務通訊,以指出應用程式已受管理。 因此,在您部署應用程式設定原則之前,應用程式設定將不會套用。 以下是應用程式群組態設定:

重要事項

從 Intune 的 2409 年 9 月 () 服務版本開始, IntuneMAMUPNIntuneMAMOIDIntuneMAMDeviceID 應用程式組態值會自動傳送至下列應用程式 Intune 已註冊 iOS 裝置上的受控應用程式:Microsoft Excel、Microsoft Outlook、Microsoft PowerPoint、Microsoft Teams 和 Microsoft Word。 Intune 將繼續展開此清單,以包含其他 Managed 應用程式。

如果未針對 iOS 裝置正確設定這些值,可能會將原則傳遞至應用程式,或傳遞錯誤的原則。 如需詳細資訊,請參閱支援提示:Intune iOS/iPadOS 無使用者裝置上的 MAM 使用者可能會在極少數情況下遭到封鎖

原則設定

若要查看 iOS/iPadOS 和 Android 原則設定的完整清單,請選取下列其中一個連結:

後續步驟

監視合規性和用戶狀態

另請參閱