使用應用程式防護原則的資料保護架構
隨著更多組織實作行動裝置策略來存取公司或學校數據,防止數據外泄變得至關重要。 Intune 的行動應用程式管理解決方案可防止數據外泄,請參閱應用程式) (應用程式保護原則。 APP 是確保組織數據安全或包含在受控應用程式中的規則,不論裝置是否已註冊。 如需詳細資訊,請參閱 應用程式防護 原則概觀。
設定應用程式保護原則時,各種設定和選項的數目可讓組織根據其特定需求量身打造保護。 由於此彈性,實作完整案例所需的原則設定排列可能不明顯。 為了協助組織排定用戶端端點強化工作的優先順序,Microsoft在 Windows 10 中引進了安全性設定的新分類法,Intune 針對其應用程式數據保護架構運用類似的分類法來管理行動應用程式。
應用程式數據保護組態架構會組織成三個不同的組態案例:
層級 1 企業基本數據保護 – Microsoft 建議將此設定作為企業裝置的最低數據保護設定。
層級 2 企業增強型數據保護 – Microsoft 針對使用者存取機密或機密資訊的裝置,建議使用此設定。 此設定適用於大部分存取公司或學校數據的行動使用者。 某些控制件可能會影響用戶體驗。
層級 3 企業高數據保護 – Microsoft 建議針對組織所執行且具有較大或更複雜安全性小組的裝置,或針對具有唯一高風險的特定使用者或群組, (處理未經授權洩漏造成組織) 大量數據遺失之高敏感數據的使用者。 可能以資金高且複雜的敵人為目標的組織應該想要進行此設定。
APP Data Protection Framework 部署方法
如同任何新軟體、功能或設定的部署,Microsoft建議在部署APP數據保護架構之前,先投資通道方法來測試驗證。 定義部署更新步調通常是一次性事件 (或至少不常) ,但 IT 應該重新瀏覽這些群組,以確保排序仍然正確。
Microsoft建議下列 APP 數據保護架構的部署通道方法:
| 部署通道 | 租用戶 | 評定小組 | 輸出 | 時間表 |
|---|---|---|---|---|
| 品質保證 | 生產前租使用者 | 行動功能擁有者、安全性、風險評定、隱私權、UX | 功能案例驗證、草稿文件 | 0-30 天 |
| 預覽 | 生產租用戶 | 行動功能擁有者、UX | 終端使用者案例驗證、使用者互動文件 | 7-14 天,品質保證後 |
| 生產環境 | 生產租用戶 | 行動功能擁有者、IT 支援人員 | 不適用 | 7 天到數週,預覽後 |
如上表所示,應用程式保護原則的所有變更都應該先在生產前環境中執行,以了解原則設定的含意。 測試完成後,變更就可以移至生產環境,並套用至生產使用者的子集,通常是 IT 部門和其他適用的群組。 最後,您可以對行動使用者社群的其餘部分完成推出。 根據變更的影響程度而定,推出至生產環境可能需要較長的時間。 如果沒有使用者影響,變更應該會快速推出,而如果變更造成用戶影響,則推出可能需要變慢,因為需要將變更傳達給使用者母體。
測試應用程式的變更時,請留意 傳遞時間。 您可以監視指定使用者的 APP 傳遞狀態。 如需詳細資訊,請 參閱如何監視應用程式保護原則。
您可以使用 Microsoft Edge 和 about :Intunehelp 的 URL,在裝置上驗證每個應用程式的個別應用程式設定。 如需詳細資訊,請 參閱檢閱用戶端應用程式保護記錄 和 使用適用於iOS和Android的 Microsoft Edge 來存取受控應用程式記錄。
APP 資料保護架構設定
應為適用的應用程式啟用下列應用程式保護原則設定,並指派給所有行動使用者。 如需每個原則設定的詳細資訊,請參閱 iOS 應用程式保護原則設定 和 Android 應用程式保護原則設定。
Microsoft建議檢閱和分類使用案例,然後使用該層級的規範性指引來設定使用者。 如同任何架構,對應層級內的設定可能需要根據組織的需求進行調整,因為數據保護必須評估威脅環境、風險偏好,以及對可用性的影響。
系統管理員可以藉由匯入範例 Intune 應用程式防護原則設定架構 JSON 範本與 Intune 的 PowerShell 腳本,將下列設定層級納入其通道部署方法中,以進行測試和生產使用。
注意事項
使用適用於 Windows 的 MAM 時,請參閱 應用程式防護 Windows 的原則設定。
條件式存取原則
若要確保只有支援應用程式保護原則的應用程式才能存取公司或學校帳戶數據,Microsoft Entra 條件式存取原則。 這些原則會在 條件式存取: 需要核准的用戶端應用程式或應用程式防護原則 中說明。
如需實作特定原則的步驟,請參閱條件式存取:需要核准的用戶端應用程式或應用程式保護原則,以取得使用行動裝置核准的用戶端應用程式或應用程式保護原則。 最後,實作 封鎖舊版驗證 中的步驟,以封鎖支援舊版驗證的iOS和Android應用程式。
注意事項
這些原則會利用授與控制 要求已核准的用戶端應用程式 和 需要應用程式保護原則。
要包含在應用程式保護原則中的應用程式
針對每個應用程式保護原則,核心 Microsoft Apps 群組會設為目標,其中包括下列應用程式:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- To Do
- Word
這些原則應包含其他根據商務需求的Microsoft應用程式、已整合組織內所使用 Intune SDK 的其他第三方公用應用程式,以及已整合 Intune SDK ( 或已包裝) 的企業營運應用程式。
層級 1 企業基本數據保護
層級 1 是企業行動裝置的最低數據保護組態。 此設定會藉由要求 PIN 存取公司或學校數據、加密公司或學校帳戶數據,以及提供選擇性抹除學校或公司數據的功能,來取代基本 Exchange Online 裝置存取原則的需求。 不過,與 Exchange Online 裝置存取原則不同,下列應用程式保護原則設定會套用至原則中選取的所有應用程式,藉此確保數據存取受到行動訊息案例以外的保護。
層級 1 中的原則會強制執行合理的數據存取層級,同時將對使用者的影響降到最低,並在 Microsoft Intune 內建立應用程式保護原則時鏡像預設的數據保護和存取需求設定。
資料保護
| 設定 | 設定描述 | 值 | 平台 |
|---|---|---|---|
| 數據傳輸 | 將組織資料備份到... | 允許 | iOS/iPadOS、Android |
| 數據傳輸 | 將組織數據傳送至其他應用程式 | 所有應用程式 | iOS/iPadOS、Android |
| 數據傳輸 | 將組織數據傳送至 | 所有目的地 | Windows |
| 數據傳輸 | 從其他應用程式接收數據 | 所有應用程式 | iOS/iPadOS、Android |
| 數據傳輸 | 從接收數據 | 所有來源 | Windows |
| 數據傳輸 | 限制應用程式之間的剪下、複製和貼上 | 任何應用程式 | iOS/iPadOS、Android |
| 數據傳輸 | 允許剪下、複製和貼上 | 任何目的地和任何來源 | Windows |
| 數據傳輸 | 第三方鍵盤 | 允許 | iOS/iPadOS |
| 數據傳輸 | 核准的鍵盤 | 不需要 | Android |
| 數據傳輸 | 螢幕擷取和Google Assistant | 允許 | Android |
| 加密 | 加密組織數據 | 需要 | iOS/iPadOS、Android |
| 加密 | 加密已註冊裝置上的組織數據 | 需要 | Android |
| 功能 | 同步處理應用程式與原生聯繫人應用程式 | 允許 | iOS/iPadOS、Android |
| 功能 | 列印組織數據 | 允許 | iOS/iPadOS、Android、Windows |
| 功能 | 限制與其他應用程式的 Web 內容傳輸 | 任何應用程式 | iOS/iPadOS、Android |
| 功能 | 組織數據通知 | 允許 | iOS/iPadOS、Android |
存取需求
| 設定 | 值 | 平台 | 附註 |
|---|---|---|---|
| 用於存取的 PIN | 需要 | iOS/iPadOS、Android | |
| PIN 類型 | 數值 | iOS/iPadOS、Android | |
| 簡單 PIN | 允許 | iOS/iPadOS、Android | |
| 選取 PIN 長度下限 | 4 | iOS/iPadOS、Android | |
| 用於存取 iOS 8+/iPadOS (的觸控識別碼,而不是 PIN) | 允許 | iOS/iPadOS | |
| 逾時後使用 PIN 覆寫生物特徵辨識 | 需要 | iOS/iPadOS、Android | |
| 活動 (分鐘的逾時) | 1440 | iOS/iPadOS、Android | |
| 用於存取 iOS 11+/iPadOS (的臉部標識碼,而不是 PIN) | 允許 | iOS/iPadOS | |
| 用於存取的生物特徵辨識而非 PIN | 允許 | iOS/iPadOS、Android | |
| 在天數之後重設 PIN | 否 | iOS/iPadOS、Android | |
| 選取要維護的先前 PIN 值數目 | 0 | Android | |
| 設定裝置 PIN 時的應用程式 PIN | 需要 | iOS/iPadOS、Android | 如果裝置已在 Intune 註冊,系統管理員可以在透過裝置合規性政策強制執行強式裝置 PIN 時,考慮將此設定為「不需要」。 |
| 用於存取的公司或學校帳戶認證 | 不需要 | iOS/iPadOS、Android | |
| 在閑置 (分鐘後重新檢查存取需求) | 30 | iOS/iPadOS、Android |
條件式啟動
| 設定 | 設定描述 | 值/動作 | 平台 | 附註 |
|---|---|---|---|---|
| 應用程式條件 | PIN 嘗試次數上限 | 5 / 重設 PIN | iOS/iPadOS、Android | |
| 應用程式條件 | 離線寬限期 | 10080 / 封鎖存取 (分鐘) | iOS/iPadOS、Android、Windows | |
| 應用程式條件 | 離線寬限期 | 90 / 抹除資料 (天) | iOS/iPadOS、Android、Windows | |
| 裝置條件 | 已越獄/Root 破解的裝置 | N/A / 封鎖存取 | iOS/iPadOS、Android | |
| 裝置條件 | SafetyNet 裝置證明 | 基本完整性和認證的裝置/封鎖存取 | Android | 此設定會在使用者裝置上設定Google Play的裝置完整性檢查。 基本完整性會驗證裝置的完整性。 具有竄改徵兆的根裝置、模擬器、虛擬設備和裝置,會失敗基本完整性。 基本完整性和認證的裝置會驗證裝置與Google服務的相容性。 只有經過Google認證的未修改裝置才能通過這項檢查。 |
| 裝置條件 | 需要對應用程式進行威脅掃描 | N/A / 封鎖存取 | Android | 此設定可確保已針對終端使用者裝置開啟Google的驗證應用程式掃描。 如果設定,使用者將會遭到封鎖而無法存取,直到他們在其 Android 裝置上開啟 Google 的應用程式掃描為止。 |
| 裝置條件 | 允許的裝置威脅等級上限 | 低/封鎖存取 | Windows | |
| 裝置條件 | 需要裝置鎖定 | 低/警告 | Android | 此設定可確保 Android 裝置具有符合最低密碼需求的裝置密碼。 |
注意事項
Windows 條件式啟動設定會標示為 健康情況檢查。
層級 2 企業增強型數據保護
層級 2 是建議作為標準的數據保護設定,適用於使用者存取更敏感性資訊的裝置。 這些裝置是現今企業中的自然目標。 這些建議不會假設有大量高技能的安全性從業人員,因此大部分的企業組織都應該能夠存取這些建議。 此設定會藉由限制數據傳輸案例並要求最低操作系統版本,來擴充層級 1 中的設定。
重要事項
層級 2 中強制執行的原則設定包含針對層級 1 建議的所有原則設定。 不過,層級 2 只會列出已新增或變更的設定,以實作比層級 1 更複雜的控件和更複雜的設定。 雖然這些設定可能會對使用者或應用程式產生稍微較高的影響,但其強制執行的數據保護層級更符合使用者在行動裝置上存取敏感性資訊所面臨的風險。
資料保護
| 設定 | 設定描述 | 值 | 平台 | 附註 |
|---|---|---|---|---|
| 數據傳輸 | 將組織資料備份到... | 封鎖 | iOS/iPadOS、Android | |
| 數據傳輸 | 將組織數據傳送至其他應用程式 | 受原則管理的應用程式 | iOS/iPadOS、Android | 使用 iOS/iPadOS,系統管理員可以將此值設定為「受原則管理的應用程式」、「具有 OS 共用的原則受控應用程式」或「具有開啟/共用篩選的原則受控應用程式」。 當裝置也向 Intune 註冊時,可以使用具有OS共用的原則受控應用程式。 此設定允許將數據傳輸至其他受原則管理的應用程式,以及將檔案傳輸至由 Intune 管理的其他應用程式。 使用 [開啟/共用] 篩選的原則受控應用程式會篩選 OS [開啟/共用] 對話框,只顯示受原則管理的應用程式。 如需詳細資訊,請參閱 iOS 應用程式保護原則設定。 |
| 數據傳輸 | 傳送或將數據傳送至 | 沒有目的地 | Windows | |
| 數據傳輸 | 從接收數據 | 沒有來源 | Windows | |
| 數據傳輸 | 選取要豁免的應用程式 | 默認 /Skype;app-settings;calshow;itms;itmss;itms-apps;itms-appss;itms-services; | iOS/iPadOS | |
| 數據傳輸 | 儲存組織數據的複本 | 封鎖 | iOS/iPadOS、Android | |
| 數據傳輸 | 允許使用者將複本儲存至選取的服務 | 商務用 OneDrive、SharePoint Online、相片媒體櫃 | iOS/iPadOS、Android | |
| 數據傳輸 | 將電信數據傳輸至 | 任何撥號程式應用程式 | iOS/iPadOS、Android | |
| 數據傳輸 | 限制應用程式之間的剪下、複製和貼上 | 貼入的原則受控應用程式 | iOS/iPadOS、Android | |
| 數據傳輸 | 允許剪下、複製和貼上 | 沒有目的地或來源 | Windows | |
| 數據傳輸 | 螢幕擷取和Google Assistant | 封鎖 | Android | |
| 功能 | 限制與其他應用程式的 Web 內容傳輸 | Microsoft Edge | iOS/iPadOS、Android | |
| 功能 | 組織數據通知 | 封鎖組織數據 | iOS/iPadOS、Android | 如需支援此設定的應用程式清單,請參閱 iOS 應用程式保護原則設定 和 Android 應用程式保護原則設定。 |
條件式啟動
| 設定 | 設定描述 | 值/動作 | 平台 | 附註 |
|---|---|---|---|---|
| 應用程式條件 | 已停用帳戶 | N/A / 封鎖存取 | iOS/iPadOS、Android、Windows | |
| 裝置條件 | 最低OS版本 |
格式:Major.Minor.Build 範例:14.8 / 封鎖存取 |
iOS/iPadOS | Microsoft建議設定最低 iOS 主要版本,以符合Microsoft應用程式支援的 iOS 版本。 Microsoft應用程式支援 N-1 方法,其中 N 是目前的 iOS 主要發行版。 針對次要和組建版本值,Microsoft建議確保裝置具有個別安全性更新的最新狀態。 如需 Apple 的最新建議,請參閱 Apple 安全性更新 |
| 裝置條件 | 最低OS版本 |
格式:Major.Minor 範例:9.0 / 封鎖存取 |
Android | Microsoft建議設定最低 Android 主要版本,以符合Microsoft應用程式支援的 Android 版本。 符合 Android Enterprise 建議需求的 OEM 和裝置必須支援目前的出貨版本 + 一個字母升級。 目前,Android 針對知識工作者建議使用 Android 9.0 和更新版本。 如需 Android 的最新建議,請參閱 Android Enterprise 建議 需求 |
| 裝置條件 | 最低OS版本 |
格式:組建 範例:10.0.22621.2506 / 封鎖存取 |
Windows | Microsoft建議設定最小 Windows 組建,以符合Microsoft應用程式支援的 Windows 版本。 目前,Microsoft建議下列專案:
|
| 裝置條件 | 最小修補程式版本 |
格式:YYYY-MM-DD 範例:2020-01-01 / 封鎖存取 |
Android | Android 裝置可以接收每月安全性修補程式,但版本取決於 OEM 和/或貨運公司。 組織應該確保已部署的 Android 裝置在實作此設定之前,確實會收到安全性更新。 如需最新的修補程式版本,請參閱 Android 安全性布告 欄。 |
| 裝置條件 | 必要的 SafetyNet 評估類型 | 硬體支援的金鑰 | Android | 硬體支持的證明藉由套用名為 Hardware Backed 的新評估類型,提供更強固的根偵測來回應較新類型的根目錄工具和方法,而這些工具和方法不一定會由軟體專用解決方案可靠地偵測,藉此增強現有的 Google Play 完整性服務檢查。 正如其名稱所示,硬體支援的證明會使用硬體型元件,隨附隨附於 Android 8.1 和更新版本安裝的裝置。 從舊版 Android 升級至 Android 8.1 的裝置不太可能有硬體支持證明所需的硬體型元件。 雖然從 Android 8.1 隨附的裝置開始應該廣泛支援此設定,Microsoft強烈建議您在廣泛啟用此原則設定之前,先個別測試裝置。 |
| 裝置條件 | 需要裝置鎖定 | 中型/區塊存取 | Android | 此設定可確保 Android 裝置具有符合最低密碼需求的裝置密碼。 |
| 裝置條件 | Samsung Knox 裝置證明 | 封鎖存取 | Android | Microsoft建議將 Samsung Knox 裝置證明 設定設定為 [封鎖存取 ],以確保如果裝置不符合 Samsung 的 Knox 硬體型裝置健康情況驗證,用戶帳戶會遭到封鎖而無法存取。 此設定會驗證所有 Intune MAM 用戶端對 Intune 服務的回應都是從狀況良好的裝置傳送。 此設定適用於所有目標裝置。 若只要將此設定套用至 Samsung 裝置,您可以使用「受控應用程式」指派篩選。 如需指派篩選的詳細資訊,請參閱在 Microsoft Intune 中指派應用程式、原則和配置檔時使用篩選。 |
| 應用程式條件 | 離線寬限期 | 30 / 抹除資料 (天) | iOS/iPadOS、Android、Windows |
注意事項
Windows 條件式啟動設定會標示為 健康情況檢查。
層級 3 企業高數據保護
層級 3 是建議作為標準的數據保護組態,適用於具有大型和複雜安全性組織的組織,或針對將以攻擊者唯一為目標的特定使用者和群組。 這類組織通常會以資金高且複雜的敵人為目標,因此值得說明其他條件約束和控件。 此設定會藉由限制其他數據傳輸案例、增加 PIN 設定的複雜度,以及新增行動威脅偵測,來擴充層級 2 中的設定。
重要事項
層級 3 中強制執行的原則設定包含針對層級 2 建議的所有原則設定,但只會列出下列已新增或變更的設定,以實作比層級 2 更多的控件和更複雜的設定。 這些原則設定可能會對使用者或應用程式造成重大影響,強制執行與目標組織所面臨風險相符的安全性層級。
資料保護
| 設定 | 設定描述 | 值 | 平台 | 附註 |
|---|---|---|---|---|
| 數據傳輸 | 將電信數據傳輸至 | 任何受原則管理的撥號程式應用程式 | Android | 系統管理員也可以藉由選取 特定撥號程式應用程式 ,並提供撥號程式 應用程式套件識別 碼和撥號程式應用程式名稱值,將此設定設定為使用不支援應用程式保護原則的撥號 程式應用程式 。 |
| 數據傳輸 | 將電信數據傳輸至 | 特定撥號程式應用程式 | iOS/iPadOS | |
| 數據傳輸 | 撥號程式應用程式URL配置 | replace_with_dialer_app_url_scheme | iOS/iPadOS | 在 iOS/iPadOS 上,此值必須取代為所使用自定義撥號程式應用程式的 URL 配置。 如果 URL 配置未知,請連絡應用程式開發人員以取得詳細資訊。 如需 URL 配置的詳細資訊,請 參閱定義應用程式的自定義 URL 配置。 |
| 數據傳輸 | 從其他應用程式接收數據 | 受原則管理的應用程式 | iOS/iPadOS、Android | |
| 數據傳輸 | 將數據開啟至組織檔 | 封鎖 | iOS/iPadOS、Android | |
| 數據傳輸 | 允許使用者從選取的服務開啟數據 | 商務用 OneDrive、SharePoint、相機、相片媒體櫃 | iOS/iPadOS、Android | 如需相關信息,請參閱 Android 應用程式保護原則設定 和 iOS 應用程式保護原則設定。 |
| 數據傳輸 | 第三方鍵盤 | 封鎖 | iOS/iPadOS | 在 iOS/iPadOS 上,這會封鎖所有第三方鍵盤在應用程式內運作。 |
| 數據傳輸 | 核准的鍵盤 | 需要 | Android | |
| 數據傳輸 | 選取要核准的鍵盤 | 新增/移除鍵盤 | Android | 使用 Android 時,必須選取鍵盤,才能根據您部署的 Android 裝置來使用。 |
| 功能 | 列印組織數據 | 封鎖 | iOS/iPadOS、Android、Windows |
存取需求
| 設定 | 值 | 平台 |
|---|---|---|
| 簡單 PIN | 封鎖 | iOS/iPadOS、Android |
| 選取 PIN 長度下限 | 6 | iOS/iPadOS、Android |
| 在天數之後重設 PIN | 是 | iOS/iPadOS、Android |
| 天數 | 365 | iOS/iPadOS、Android |
| 類別 3 Biometrics (Android 9.0+) | 需要 | Android |
| 在生物特徵辨識更新之後使用 PIN 覆寫生物特徵辨識 | 需要 | Android |
條件式啟動
| 設定 | 設定描述 | 值/動作 | 平台 | 附註 |
|---|---|---|---|---|
| 裝置條件 | 需要裝置鎖定 | 高/區塊存取 | Android | 此設定可確保 Android 裝置具有符合最低密碼需求的裝置密碼。 |
| 裝置條件 | 允許的裝置威脅等級上限 | 安全/封鎖存取 | Windows | |
| 裝置條件 | 已越獄/Root 破解的裝置 | N/A/ 抹除資料 | iOS/iPadOS、Android | |
| 裝置條件 | 允許的威脅層級上限 | 安全/封鎖存取 | iOS/iPadOS、Android | 您可以使用Mobile Threat Defense 檢查未註冊的裝置是否有威脅。 如需詳細資訊,請參閱 未註冊裝置的Mobile Threat Defense。 如果裝置已註冊,則可以略過此設定,以便為已註冊的裝置部署MobileThreatDefense。 如需詳細資訊,請參閱 已註冊裝置的Mobile Threat Defense。 |
| 裝置條件 | OS 版本上限 |
格式:Major.Minor 範例:11.0 / 封鎖存取 |
Android | Microsoft建議設定 Android 主要版本上限,以確保不會使用 Beta 或不支援的作業系統版本。 如需 Android 的最新建議,請參閱 Android Enterprise 建議 需求 |
| 裝置條件 | OS 版本上限 |
格式:Major.Minor.Build 範例:15.0 / 封鎖存取 |
iOS/iPadOS | Microsoft建議設定 iOS/iPadOS 主要版本上限,以確保不會使用 Beta 或不支援的操作系統版本。 如需 Apple 的最新建議,請參閱 Apple 安全性更新 |
| 裝置條件 | OS 版本上限 |
格式:Major.Minor 範例:22631。 / 封鎖存取 |
Windows | Microsoft建議設定 Windows 主要版本上限,以確保不會使用 Beta 或不支援的作業系統版本。 |
| 裝置條件 | Samsung Knox 裝置證明 | 抹除資料 | Android | Microsoft建議將 Samsung Knox 裝置證明 設定設定為 [抹除數據 ],以確保如果裝置不符合 Samsung 的 Knox 硬體型裝置健康情況驗證,則會移除組織數據。 此設定會驗證所有 Intune MAM 用戶端對 Intune 服務的回應都是從狀況良好的裝置傳送。 此設定將套用至所有目標裝置。 若只要將此設定套用至 Samsung 裝置,您可以使用「受控應用程式」指派篩選。 如需指派篩選的詳細資訊,請參閱在 Microsoft Intune 中指派應用程式、原則和配置檔時使用篩選。 |
| 應用程式條件 | 離線寬限期 | 30 / 封鎖存取 (天) | iOS/iPadOS、Android、Windows |
後續步驟
系統管理員可以藉由匯入範例 Intune 應用程式防護原則設定架構 JSON 範本與 Intune 的 PowerShell 腳本,將上述設定層級納入其通道部署方法中以進行測試和生產使用。