共用方式為


應用程式防護 Windows 的原則設定

本文說明適用於 Windows 的應用程式) 設定 (應用程式保護原則。 當您建立新原則時,您可以在 Intune 系統管理中心的 [設定] 窗格上,針對應用程式保護原則設定所描述的原則設定。

您可以透過個人 Windows 裝置上的 Microsoft Edge,啟用受保護的 MAM 存取組織數據。 這項功能稱為 Windows MAM,可使用 Intune 應用程式設定原則 (ACP) 、Intune 應用程式防護原則 (應用程式) 、Windows 安全性 中心客戶端威脅防護和應用程式保護條件式存取來提供功能。 如需 Windows MAM 的詳細資訊,請參閱 Windows MAM 的數據保護建立適用於 Windows 的 MTD 應用程式保護原則,以及使用 Intune 設定適用於 Windows 的 Microsoft Edge

適用於 Windows 的應用程式保護原則設定有兩種類別:

重要事項

Intune Windows 上的 MAM 支援非受控裝置。 如果裝置已受管理,則會封鎖 Intune MAM 註冊,且不會套用應用程式設定。 如果裝置在 MAM 註冊之後變成受控,將不再套用應用程式設定。

資料保護

數據保護設定會影響組織數據和內容。 身為系統管理員,您可以控制將數據移入和移出組織保護的內容。 組織內容是由指定組織帳戶存取的檔、服務和網站所定義。 下列原則設定有助於控制接收到組織內容的外部數據,以及從組織內容傳送的組織數據。

數據傳輸

設定 如何使用 預設值
從接收數據 選取下列其中一個選項,以指定組織使用者可以接收資料的來源:
  • 所有來源:組織使用者可以從任何帳戶、檔、位置或應用程式將數據開啟到組織內容。
  • 沒有來源:組織使用者無法從外部帳戶、檔、位置或應用程式將數據開啟至組織內容。 注意:針對 Microsoft Edge, 沒有任何來源 可透過拖放或開啟檔案對話框來控制檔案上傳行為。 將會封鎖在網站/索引標籤之間檢視和共用檔案的本機檔案。


所有來源
將組織數據傳送至 選取下列其中一個選項來指定組織使用者可以傳送資料的目的地:
  • 所有目的地:組織使用者可以將組織數據傳送至任何帳戶、檔、位置或應用程式。
  • 沒有目的地:組織使用者無法從組織內容將組織數據傳送至外部帳戶、檔、位置或應用程式。 注意:針對 Microsoft Edge, 沒有目的地 會封鎖檔案下載。 這表示將會封鎖網站/索引標籤之間的共享檔案。


所有目的地
允許剪下、複製和貼上 選取下列其中一個選項,以指定使用者可以剪下或複製或貼上組織資料的來源和目的地組織:
  • 任何目的地和任何來源:組織使用者可以貼上來自的數據,並將數據剪下/複製到任何帳戶、檔、位置或應用程式。
  • 沒有目的地或來源:組織使用者無法將數據從外部帳戶、檔、位置或應用程式剪下、複製或貼到組織內容中或從外部帳戶、檔、位置或應用程式剪下、複製或貼到組織內容中。 注意:針對 Microsoft Edge, 沒有任何目的地或來源 區塊只會在 Web 內容中剪下、複製和貼上行為。 所有 Web 內容都會停用剪下、複製和貼上,但不會停用應用程式控制件,包括網址列。


任何目的地和任何來源

功能

設定 如何使用 預設值
列印組織數據 取 [封鎖 ] 以防止列印組織數據。 選 取 [允許 ] 以允許列印組織數據。 個人或非受控數據不會受到影響。 Allow

健康情況檢查

設定應用程式保護原則的健康情況檢查條件。 選取 [設定 ],然後輸入用戶必須符合才能存取組織數據的 [值 ]。 然後選取您想要在使用者不符合條件時採取的 動作 。 在某些情況下,單一設定可以設定多個動作。 如需詳細資訊,請參閱 健康情況檢查動作

應用程式條件

設定下列健康情況檢查設定,以在允許存取組織帳戶和數據之前驗證應用程式組態。

注意事項

原則 管理的應用程式 一詞是指使用應用程式保護原則設定的應用程式。

設定 如何使用 預設值
離線寬限期 受原則管理的應用程式可以離線執行的分鐘數。 指定重新檢查應用程式存取需求之前) 分鐘 (的時間。

動作 包括:

  • 封鎖存取 (分鐘) :受原則管理的應用程式可以脫機執行的分鐘數。 指定重新檢查應用程式存取需求之前) 分鐘 (的時間。 設定的期間到期之後,應用程式會封鎖對公司或學校數據的存取,直到有網路存取權。 封鎖數據存取的離線寬限期定時器會根據上次簽入 Intune 服務來計算。 此原則設定格式支援正整數。
  • ) (天抹除數據 :在系統管理員) 定義這幾天 (離線執行之後,應用程式會要求用戶連線到網路並重新驗證。 如果使用者成功驗證,他們可以繼續存取其數據,並重設離線間隔。 如果使用者無法驗證,應用程式將會執行使用者帳戶和數據的選擇性抹除。 如需使用選擇性抹除移除哪些數據的詳細資訊,請參閱如何只抹除 Intune 受控應用程式中的公司數據。 抹除數據的離線寬限期定時器是由應用程式根據上次簽入 Intune 服務來計算。 此原則設定格式支援正整數。
此專案可能會出現多次,且每個實例都支援不同的動作。

封鎖存取 (分鐘) : 720 分鐘 (12 小時)

) (天抹除數據: 90

最低應用程式版本 指定最低應用程式版本值的值。

動作 包括:

  • 警告 - 如果裝置上的應用程式版本不符合需求,使用者會看到通知。 此通知可以關閉。
  • 封鎖存取 - 如果裝置上的應用程式版本不符合需求,則會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
由於應用程式之間通常會有不同的版本控制配置,因此請建立一個以一個應用程式為目標之最低應用程式版本的原則。

此專案可能會出現多次,且每個實例都支援不同的動作。

此原則設定支援比對 windows 應用程式套件組合版本格式, (major.minor 或 major.minor.patch) 。
沒有預設值
最低 SDK 版本 指定 Intune SDK 版本的最小值。

動作 包括:

  • 封鎖存取 - 如果應用程式的 Intune 應用程式保護原則 SDK 版本不符合需求,則會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
此專案可能會出現多次,且每個實例都支援不同的動作。
沒有預設值
已停用帳戶 如果停用使用者的 Microsoft Entra 帳戶,請指定自動化動作。 管理員 只能指定一個動作。 此設定沒有要設定的值。 動作 包括:
  • 封鎖存取 - 當我們確認使用者已在 Microsoft Entra ID 中停用時,應用程式會封鎖對公司或學校數據的存取。
  • 抹除數據 - 當我們確認使用者已在 Microsoft Entra ID 中停用時,應用程式將會執行使用者帳戶和數據的選擇性抹除。
注意: 如果因連線、驗證或任何其他原因而無法確認用戶狀態,將不會強制執行封鎖存 抹除數據) (這些動作。
沒有預設值

裝置條件

設定下列健康情況檢查設定,以在允許存取組織帳戶和數據之前驗證裝置設定。 您可以為已註冊的裝置設定類似的裝置型設定。 深入瞭解如何設定已註冊裝置的裝置相容性設定。

設定 如何使用 預設值
最低OS版本 指定使用此應用程式的最低 Windows 作業系統。

動作 包括:

  • 警告 - 如果裝置上的 Windows 版本不符合需求,使用者會看到通知。 此通知可以關閉。
  • 封鎖存取 - 如果裝置上的 Windows 版本不符合此需求,將會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
此專案可能會出現多次,且每個實例都支援不同的動作。

此原則設定格式支援 major.minor、major.minor.build、major.minor.build.revision。

若要尋找 Windows 版本,請開啟命令提示字元。 版本會顯示在 [命令提示字元] 視窗的頂端。 要使用的版本格式範例是 10.0.22631.3155。 請注意,如果您使用 winver 命令,您只會看到OS組建 (,例如22631.3155) ,這不是要使用的正確格式。
OS 版本上限 指定使用此應用程式的最大 Windows 作業系統。

動作 包括:

  • 警告 - 如果裝置上的 Windows 版本不符合需求,使用者會看到通知。 此通知可以關閉。
  • 封鎖存取 - 如果裝置上的 Windows 版本不符合此需求,將會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。

此專案可能會出現多次,且每個實例都支援不同的動作。

此原則設定格式支援 major.minor、major.minor.build、major.minor.build.revision。
允許的裝置威脅等級上限 應用程式防護 原則可以利用 Intune-MTD 連接器。 指定可接受使用此應用程式的最大威脅層級。 威脅取決於您在終端使用者裝置上選擇的Mobile Threat Defense (MTD) 廠商應用程式。 指定 [安全]、 [低]、[ 中] 或 [ 高]受保護不需要裝置上的威脅,而且是最嚴格的可設定值,而 High 基本上需要使用中 Intune 對 MTD 連線。

動作 包括:

  • 封鎖存取 - 如果您在終端使用者裝置上選擇的Mobile Threat Defense (MTD) 廠商應用程式所決定的威脅層級不符合此需求,則會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。

如需使用此設定的詳細資訊,請參閱 為未註冊的裝置啟用 MTD

其他資訊

如需適用於 Windows 裝置之 APP 的詳細資訊,請參閱下列資源: