共用方式為


iOS 應用程式防護原則設定

本文說明 iOS/iPadOS 裝置的應用程式保護原則設定。 當您建立新原則時 ,可以在入口 網站的 [設定 ] 窗格 上設定應用程式保護原則所描述的原則設定。

原則設定有三種類別: 數據重新配置存取需求條件式啟動。 在本文中,原則 管理的應用程式 一詞是指使用應用程式保護原則設定的應用程式。

重要事項

Intune Managed Browser 已淘汰。 針對受保護的 Intune 瀏覽器體驗,請使用 Microsoft Edge。

資料保護

重要事項

對於已針對 SDK 的 Xcode 15 和 v20.2.1 或更新版本更新為 v19.7.6 或更新版本的應用程式,如果您已將 [將 組織數據傳送至其他應用程式 ] 設定為 [所有應用程式] 以外的值,則會套用螢幕擷取區塊。 您可以設定應用程式設定原則設定 com.microsoft.intune.mam.screencapturecontrol = Disabled (應用程式>設定原則> 在 [設定] 步驟下建立>受控應用程式>,如果您需要允許 iOS 裝置的螢幕擷取,請選取 [一般組態設定) ]。

數據傳輸

設定 如何使用 預設值
將組織數據備份至iTunes和iCloud備份 取 [封鎖 ] 以防止此應用程式將公司或學校數據備份至 iTunes 和 iCloud。 選 取 [允許 ] 以允許此應用程式將公司或學校數據備份至 iTunes 和 iCloud。 Allow
將組織數據傳送至其他應用程式 指定哪些應用程式可以從此應用程式接收資料:
  • 所有應用程式:允許傳送至任何應用程式。 接收應用程式將能夠讀取和編輯數據。
  • :不允許將數據傳輸至任何應用程式,包括其他受原則管理的應用程式。 如果使用者執行 Managed Open-in 函式並傳輸檔,數據將會加密且無法讀取。
  • 受原則管理的應用程式:只允許傳送至其他受原則管理的應用程式。

    注意:使用者可以透過開啟或共用擴充功能,將內容傳輸至未註冊裝置上的 Unmanaged 應用程式,或允許共用至 Unmanaged 應用程式的已註冊裝置。傳輸的數據會由 Intune 加密,且 Unmanaged 應用程式無法讀取。

  • 具有 OS 共用的原則受控應用程式:只允許將數據傳輸至其他受原則管理的應用程式,以及將檔案傳輸至已註冊裝置上的其他 MDM 受控應用程式。

    注意:具有OS共用值的原則受控應用程式僅適用於已註冊 MDM 的裝置。如果此設定是以未註冊裝置上的用戶為目標,則會套用受原則管理應用程式值的行為。假設傳送的應用程式已設定 IntuneMAMUPN 和 IntuneMAMOID,使用者將能夠透過 [開啟] 或 [共用擴充功能] 將未加密的內容傳輸到 iOS MDM allowOpenFromManagedtoUnmanaged 設定所允許的任何應用程式;如需詳細資訊,請參閱如何在 Microsoft Intune 中管理 iOS 應用程式之間的資料傳輸。如需此 iOS/iPadOS MDM 設定的詳細資訊,請參閱 https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf

  • 具有開啟/共用篩選的原則受控應用程式:只允許傳送至其他受原則管理的應用程式,並篩選 OS [開啟/共用] 對話方塊,只顯示受原則管理的應用程式。 若要設定 [開啟/共用] 對話框的篩選,它需要應用程式 (的) 作為檔案/檔案來源,以及應用程式 (的) ,以開啟此檔案/檔,讓 Intune SDK for iOS 8.1.1 版或更新版本。

    注意:如果應用程式支援 Intune 私人數據類型,則使用者可以透過[開啟] 或 [共用擴充功能] 將內容傳輸至非受控應用程式。傳輸的數據會由 Intune 加密,而非受控應用程式無法讀取。


焦點搜尋 (可讓您在應用程式內搜尋數據) 除非設定為 [ 所有應用程式],否則 Siri 快捷方式會遭到封鎖。

此原則也可以套用至iOS/iPadOS通用連結。 一般 Web 連結是由 [在原則中開啟應用程式連結 Intune Managed Browser 管理。

有一些豁免應用程式和服務,Intune 預設可能會允許數據傳輸。 此外,如果您需要允許數據傳輸至不支援應用程式 Intune 應用程式,您可以建立自己的豁免。 如需詳細資訊,請參閱 數據傳輸豁免

所有應用程式
    選取要豁免的應用程式
當您針對上一個選項選取受 原則管理的應用程式 時,可以使用此選項。
    選取要豁免的通用連結
指定哪些 iOS/iPadOS 通用連結 應該在指定的 Unmanaged 應用程式中開啟,而不是由 [ 限制與其他應用程式進行 Web 內容傳輸 ] 設定所指定的受保護瀏覽器。 您必須連絡應用程式開發人員,以判斷每個應用程式的正確通用連結格式。
    選取 Managed 通用連結
指定哪些 iOS/iPadOS 通用連結 應該 在指定的 受控應用程式中開啟,而不是由 [ 使用其他應用程式限制 Web 內容傳輸 ] 設定所指定的受保護瀏覽器。 您必須連絡應用程式開發人員,以判斷每個應用程式的正確通用連結格式。
    儲存組織數據的複本
選擇 [封鎖 ] 以停用此應用程式中 [另存新檔] 選項的使用。 如果您想要允許使用另存新檔,請選擇 [允許]。 當設定為 [封鎖] 時,您可以設定 [ 允許使用者將複本儲存至選取的服務] 設定。

注意:
  • 此設定支援Microsoft Excel、OneNote、Outlook、PowerPoint、Word 和 Microsoft Edge。 第三方和 LOB 應用程式也可以支援它。
  • 只有當 [將 組織數據傳送至其他應用程式 ] 設定為 [受原則 管理的應用程式]、[具有 OS 共用的原則管理應用程式 ] 或 [使用 開放式/共用篩選原則管理的應用程式] 設定時,才能設定此設定。
  • 當 [將 組織數據傳送至其他應用程式 ] 設定設定為 [ 所有應用程式] 時,此設定會是 [允許]。
  • 當 [將 組織數據傳送至其他應用程式 ] 設定設定為 [ ] 時,此設定會是 「封鎖」且不允許的服務位置。
Allow
      允許使用者將複本儲存至選取的服務
用戶可以儲存至選取的服務, (商務用 OneDrive、SharePoint、相片媒體櫃和本機記憶體) 。 所有其他服務都會遭到封鎖。 商務用 OneDrive:您可以將檔案儲存至 商務用 OneDrive 和 SharePoint Online。 SharePoint:您可以將檔案儲存至內部部署 SharePoint。 相片媒體櫃:您可以在本機將檔案儲存至相片庫。 本機記憶體:Managed 應用程式可以在本機儲存組織數據的複本。 這不包括將檔案儲存到本機非受控位置,例如裝置上的檔案應用程式。 已選取 0 個
    將電信數據傳輸至
一般而言,當使用者在應用程式中選取超連結電話號碼時,撥號應用程式將會開啟,並預先填入電話號碼並準備好撥打電話。 針對此設定,選擇從受原則管理的應用程式起始時,如何處理這種類型的內容傳輸:
  • 無,請勿在應用程式之間傳輸此數據:偵測到電話號碼時,請勿傳輸通訊數據。
  • 特定撥號程式應用程式:允許特定受控撥號程式應用程式在偵測到電話號碼時起始聯繫人。
  • 任何撥號程式應用程式:允許在偵測到電話號碼時,使用任何受控撥號程式應用程式來起始聯繫人。

注意此設定需要 Intune SDK 12.7.0 和更新版本。如果您的應用程式依賴撥號程式功能,但未使用正確的 Intune SDK 版本,請考慮新增 「tel;telprompt「 作為數據傳輸豁免。一旦應用程式支援正確的 Intune SDK 版本,即可移除豁免。

任何撥號程式應用程式
      撥號程式應用程式URL配置
選取特定撥號程式應用程式時,您必須提供用來在 iOS 裝置上啟動撥號程式應用程式的撥號程式應用程式 URL 配置。 如需詳細資訊,請參閱 Apple 的 Phone Links 相關文件。 Blank
    將傳訊數據傳輸至
一般而言,當使用者在應用程式中選取超連結傳訊連結時,傳訊應用程式將會開啟,並預先填入電話號碼並準備好傳送。 針對此設定,選擇從受原則管理的應用程式起始時,如何處理這種類型的內容傳輸。 若要讓此設定生效,可能需要執行其他步驟。 首先,請確認已從 [選取要豁免的應用程式] 清單中移除簡訊。 然後,確定應用程式使用較新版本的 Intune SDK (版本 > 19.0.0) 。 針對此設定,選擇從受原則管理的應用程式起始時,如何處理這種類型的內容傳輸:
  • 無,請勿在應用程式之間傳輸此數據:偵測到電話號碼時,請勿傳輸通訊數據。
  • 特定訊息應用程式:允許特定受控傳訊應用程式在偵測到電話號碼時起始聯繫人。
  • 任何訊息應用程式:允許在偵測到電話號碼時,使用任何受控傳訊應用程式來起始聯繫人。

注意:此設定需要 Intune SDK 19.0.0 和更新版本。

任何傳訊應用程式
      傳訊應用程式 URL 配置
選取特定傳訊應用程式時,您必須提供用來在 iOS 裝置上啟動傳訊應用程式的傳訊應用程式 URL 配置。 如需詳細資訊,請參閱 Apple 的 Phone Links 相關文件。 Blank
從其他應用程式接收數據 指定哪些應用程式可以將資料傳輸至此應用程式:
  • 所有應用程式:允許從任何應用程式傳輸數據。
  • :不允許從任何應用程式傳輸數據,包括其他受原則管理的應用程式。
  • 受原則管理的應用程式:只允許從其他受原則管理的應用程式傳輸。
  • 具有傳入組織數據的所有應用程式:允許從任何應用程式傳輸數據。 將所有沒有使用者身分識別的傳入數據視為您組織的數據。 數據會以設定所 IntuneMAMUPN 定義的 MDM 已註冊使用者身分識別標示。

    注意:具有傳入組織數據值的所有應用程式僅適用於已註冊 MDM 的裝置。如果此設定是以未註冊裝置上的用戶為目標,則會套用 [任何應用程式] 值的行為。

如果將此設定設定為 [ ] 或 [受原則管理的應用程式],啟用多重身分識別 MAM 的 應用程式會在接收 Unmanaged 數據時嘗試切換至 Unmanaged 帳戶。 如果沒有登入應用程式的 Unmanaged 帳戶,或應用程式無法切換,則會封鎖傳入數據。

所有應用程式
    將數據開啟至組織檔
取 [封鎖 ] 以停用 [ 啟] 選項或其他選項,以在此應用程式的帳戶之間共享數據。 如果您想要允許使用 Open,請選取 [允許]

當設定為 [封鎖 ] 時,您可以設定 [ 允許使用者從選取的服務開啟數據 ],以指定組織數據位置允許哪些服務。

注意:
  • 只有當 [ 從其他應用程式接收數據 ] 設定為 [受原則 管理的應用程式] 設定時,才能設定此設定。
  • 當 [ 接收來自其他應用程式的數據 ] 設定設為 [ 所有應用程式 ] 或 [ 具有傳入組織數據的所有應用程式] 設定時,此設定會是 [允許]。
  • 當 [ 從其他應用程式接收數據 ] 設定設定為 [ ] 時,此設定會是 「封鎖」,且不允許服務位置。
  • 下列應用程式支援此設定:
    • OneDrive 11.45.3 或更新版本。
    • iOS 版 Outlook 4.60.0 或更新版本。
    • 適用於 iOS 3.17.0 或更新版本的 Teams。
Allow
      允許使用者從選取的服務開啟數據
選取使用者可以從中開啟資料的應用程式記憶體服務。 所有其他服務都會遭到封鎖。 選取任何服務會防止使用者從外部位置開啟數據。
注意: 此控件是設計來處理公司容器外部的數據。

支援的服務:
  • 商務用 OneDrive
  • SharePoint Online
  • 相機
  • 相片媒體櫃
注意: 相機不包含相片或相片庫存取。 在 [允許使用者從 Intune 內選取的服務開啟數據] 設定中選取 [相片庫] 時,您可以允許受管理的帳戶允許來自其裝置相片媒體櫃的連入數據到其受控應用程式。
全部選取
限制其他應用程式之間的剪下、複製和貼上 指定何時可以搭配此應用程式使用剪下、複製和貼上動作。 從下列項目選取:
  • 已封鎖:不允許在此應用程式與任何其他應用程式之間進行剪下、複製和貼上動作。
  • 受原則管理的應用程式:允許在此應用程式與其他受原則管理的應用程式之間進行剪下、複製和貼上動作。
  • 使用貼上方式管理的原則:允許在此應用程式與其他受原則管理的應用程式之間進行剪下或複製。 允許將來自任何應用程式的數據貼到此應用程式。
  • 任何應用程式:在此應用程式中剪下、複製和貼上沒有任何限制。
任何應用程式
    任何應用程式的剪下和複製字元限制
指定可從組織數據和帳戶剪下或複製的字元數。 這可讓您將指定的字元數共用到任何應用程式,而不論 [限制與其他應用程式的剪下、複製和貼上 ] 設定為何。

預設值 = 0

注意應用程式必須 Intune SDK 9.0.14 版或更新版本。

0
第三方鍵盤 選擇 [封鎖 ] 以防止在受控應用程式中使用第三方鍵盤。

啟用此設定時,使用者會收到一次性訊息,指出已封鎖使用第三方鍵盤。 當使用者第一次與需要使用鍵盤的組織數據互動時,就會出現此訊息。 使用受控應用程式時,只有標準 iOS/iPadOS 鍵盤可供使用,而且所有其他鍵盤選項都會停用。 此設定會影響多重身分識別應用程式的組織和個人帳戶。 此設定不會影響在非受控應用程式中使用第三方鍵盤。

注意:此功能需要應用程式使用 Intune SDK 12.0.16 版或更新版本。 SDK 版本從 8.0.14 到 12.0.15 的應用程式將無法正確地套用至多重身分識別應用程式。 如需詳細資訊,請 參閱已知問題:個人帳戶在iOS/iPadOS中不會封鎖第三方鍵盤

Allow

注意事項

受控裝置的 IntuneMAMUPN 需要應用程式保護原則。 這適用於需要已註冊裝置的任何設定。

加密

設定 如何使用 預設值
加密組織數據 選擇 [需要] 以在此應用程式中啟用公司或學校數據的加密。 Intune 會強制 iOS/iPadOS 裝置層級加密,以保護裝置鎖定時的應用程式數據。 此外,應用程式可以選擇性地使用 Intune APP SDK 加密來加密應用程式數據。 Intune APP SDK 會使用 iOS/iPadOS 密碼編譯方法,將 256 位 AES 加密套用至應用程式數據。

當您啟用此設定時,使用者可能需要設定並使用裝置 PIN 來存取其裝置。 如果沒有裝置 PIN,而且需要加密,系統會提示使用者設定 PIN,並顯示「您的組織要求您先啟用裝置 PIN 以存取此應用程式」訊息。

移至 官方 Apple 檔 ,以深入瞭解其數據保護類別,作為其 Apple Platform Security 的一部分。
需要

功能

設定 如何使用 預設值
使用原生應用程式或載入巨集同步處理受原則管理的應用程式數據 選擇 [封鎖] 以防止受原則管理的應用程式將數據儲存到裝置的原生應用程式, (聯繫人、行事歷和小工具) ,並防止在受原則管理的應用程式內使用載入巨集。 如果應用程式不支援,則會允許將資料儲存至原生應用程式並使用載入巨集。

如果您選擇 [允許],受原則管理的應用程式可以在受原則管理的應用程式內支援並啟用這些功能時,將數據儲存至原生應用程式或使用載入巨集。

應用程式可能會提供額外的控制項,以自定義特定原生應用程式的數據同步處理行為,或不接受此控制件。

注意:當您執行選擇性抹除以從應用程式移除工作或學校數據時,會移除直接從受原則管理的應用程式同步至原生應用程式的數據。 任何從原生應用程式同步至另一個外部來源的數據都不會抹除。

注意下列應用程式支援這項功能:
Allow
列印組織數據 取 [封鎖 ] 以防止應用程式列印公司或學校數據。 如果您將此設定保留為預設值 Allow,則使用者將能夠匯出和列印所有組織數據。 Allow
限制與其他應用程式的 Web 內容傳輸 指定如何從受原則管理的應用程式開啟web內容 (HTTP/HTTPs 連結) 。 從下列項目中選擇:
  • 任何應用程式:允許任何應用程式中的 Web 連結。
  • Intune Managed Browser:只允許在 Intune Managed Browser 中開啟 Web 內容。 此瀏覽器是受原則管理的瀏覽器。
  • Microsoft Edge:只允許在 Microsoft Edge 中開啟 Web 內容。 此瀏覽器是受原則管理的瀏覽器。
  • 非受控瀏覽器:只允許在 Unmanaged 瀏覽 器通訊協定設定所定義的非受控瀏覽器中開啟網頁內容。 Web 內容將會在目標瀏覽器中非受控。
    注意:應用程式必須 Intune SDK 11.0.9 版或更新版本。
如果您使用 Intune 來管理裝置,請參閱使用受控瀏覽器原則搭配 Microsoft Intune 來管理因特網存取。

如果需要原則管理的瀏覽器,但未安裝,系統會提示您的終端使用者安裝Microsoft Edge。

如果需要受原則管理的瀏覽器,iOS/iPadOS 通用連結會由 [將 組織數據傳送至其他應用程式 ] 原則設定來管理。

Intune 裝置註冊
如果您使用 Intune 來管理裝置,請參閱使用受管理的瀏覽器原則搭配 Microsoft Intune 來管理因特網存取。

受原則管理的 Microsoft Edge
適用於 iOS/iPadOS 和 Android (行動裝置的 Microsoft Edge 瀏覽器) 支援 Intune 應用程式保護原則。 在 Microsoft Edge 瀏覽器應用程式中使用其公司 Microsoft Entra 帳戶登入的使用者將會受到 Intune 保護。 Microsoft Edge 瀏覽器會整合 Intune SDK 並支援其所有數據保護原則,但防止:

  • 另存新檔:Microsoft Edge 瀏覽器不允許使用者將直接的應用程式內連線新增至雲端記憶體提供者, (例如 OneDrive) 。
  • 聯繫人同步處理:Microsoft Edge 瀏覽器不會儲存至原生聯繫人清單。

注意Intune SDK 無法判斷目標應用程式是否為瀏覽器。在 iOS/iPadOS 裝置上,不允許其他受管理的瀏覽器應用程式。
未設定
    非受控瀏覽器通訊協定
輸入 一 Unmanaged 瀏覽器的通訊協定。 從受原則管理應用程式) (HTTP/https 連結的 Web 內容,將會在支援此通訊協定的任何應用程式中開啟。 Web 內容將會在目標瀏覽器中非受控。

只有當您想要與未使用應用程式保護原則啟用的特定瀏覽器共享受保護的內容時,才應該使用此功能 Intune。 您必須連絡瀏覽器廠商,以判斷所需的瀏覽器所支援的通訊協定。

注意只包含通訊協定前置詞。如果您的瀏覽器需要表單 mybrowser://www.microsoft.com的連結,請輸入 mybrowser
鏈接會轉譯為:
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
Blank
組織數據通知 指定如何透過組織帳戶的OS通知來共用組織數據。 此原則設定會影響本機裝置和任何連線的裝置,例如穿戴式裝置和智慧型手機喇叭。 應用程式可以提供額外的控制項來自定義通知行為,或選擇不接受所有值。 從下列項目選取:
  • 已封鎖:不要共用通知。
    • 如果應用程式不支援,則會允許通知。
  • 封鎖組織數據:例如,不要在通知中共用組織數據。
    • “您有新郵件”;「您有會議」。
    • 如果應用程式不支援,則會允許通知。
  • 允許:在通知中共用組織數據。

注意事項
這個設定需要下列應用程式支援:

  • iOS 版 Outlook 4.34.0 或更新版本
  • 適用於 iOS 2.0.22 或更新版本的 Teams
  • Microsoft 365 (iOS 2.72 或更新版本的 Office)
Allow

注意事項

沒有任何數據保護設定可控制 iOS/iPadOS 裝置上的 Apple 管理的開啟功能。 若要使用管理 Apple Open-in,請參閱使用 Microsoft Intune 管理 iOS/iPadOS 應用程式之間的數據傳輸

數據傳輸豁免

有些豁免應用程式和平臺服務 Intune 應用程式保護原則可能會允許在某些情況下來回傳輸數據。 這份清單可能會有所變更,並反映被視為對安全生產力有用的服務和應用程式。

第三方非受控應用程式可以新增至允許數據傳輸例外狀況的豁免清單。 如需其他詳細數據和範例,請參閱如何建立 Intune 應用程式保護原則 (APP) 數據傳輸原則的例外狀況。 豁免 Unmanaged 應用程式必須根據 iOS URL 通訊協定叫用。 例如,針對 Unmanaged 應用程式新增數據傳輸豁免時,如果受到原則限制,仍會防止用戶進行剪下、複製和貼上作業。 這種豁免類型仍然會防止使用者在受控應用程式內使用 「開 啟」動作來共用或儲存數據以豁免應用程式,因為它不是以iOS URL 通訊協定為基礎。 如需 Open-in 的詳細資訊,請 參閱搭配 iOS 應用程式使用應用程式保護

應用程式/服務名稱 (的) 描述
skype Skype
app-settings 裝置設定
itms; itmss; itms-apps; itms-appss; itms-services App Store
calshow 原生行事曆

重要事項

在 2020 年 6 月 15 日之前建立的應用程式保護原則包含 teltelprompt URL 配置,作為預設數據傳輸豁免的一部分。 這些 URL 配置可讓 Managed 應用程式起始撥號程式。 應用程式保護原則設定 [ 傳輸電信數據] 已取代此功能。 系統管理員應移除 tel;telprompt;如果起始撥號程式功能的受控應用程式包含 Intune SDK 12.7.0 或更新版本,則從數據傳輸豁免和依賴應用程式保護原則設定。

重要事項

在 Intune SDK 14.5.0 或更新版本中,數據傳輸豁免中包含 smsmailto URL 配置也可讓您將組織數據共用至受原則管理應用程式內之 sms) 和 MFMailCompose (的 MFMessageCompose) (。

通用連結可讓使用者直接啟動與鏈接相關聯的應用程式,而不是由 [ 限制使用其他應用程式進行 Web 內容傳輸 ] 設定所指定的受保護瀏覽器。 您必須連絡應用程式開發人員,以判斷每個應用程式的正確通用連結格式。

默認應用程式剪輯連結也受通用連結原則管理。

藉由將通用連結新增至 Unmanaged 應用程式,您可以啟動指定的應用程式。 若要新增應用程式,您必須將連結新增至豁免清單。

注意

這些通用鏈接的目標應用程式是非受控的,而新增豁免可能會導致資料安全性流失。

預設應用程式通用連結豁免如下:

應用程式通用連結 描述
http://maps.apple.com; https://maps.apple.com 地圖應用程式
http://facetime.apple.com; https://facetime.apple.com FaceTime App

如果您不想要允許預設的通用連結豁免,您可以將其刪除。 您也可以為第三方或 LOB 應用程式新增通用連結。 豁免的通用連結允許通配符,例如 http://*.sharepoint-df.com/*

藉由將通用連結新增至 受控 應用程式,您可以安全地啟動指定的應用程式。 若要新增應用程式,您必須將應用程式的通用連結新增至 Managed 清單。 如果目標應用程式支援 Intune 應用程式保護原則,選取連結將會嘗試啟動應用程式。 如果應用程式無法開啟,則會在受保護的瀏覽器中開啟連結。 如果目標應用程式未整合 Intune SDK,選取連結將會啟動受保護的瀏覽器。

預設的受控通用連結如下:

Managed App 通用連結 描述
http://*.onedrive.com/*; https://*.onedrive.com/*; OneDrive
http://*.appsplatform.us/*; http://*.powerapps.cn/*; http://*.powerapps.com/*; http://*.powerapps.us/*; https://*.powerbi.com/*; https://app.powerbi.cn/*; https://app.powerbigov.us/*; https://app.powerbi.de/*; PowerApps
http://*.powerbi.com/*; http://app.powerbi.cn/*; http://app.powerbigov.us/*; http://app.powerbi.de/*; https://*.appsplatform.us/*; https://*.powerapps.cn/*; https://*.powerapps.com/*; https://*.powerapps.us/*; Power BI
http://*.service-now.com/*; https://*.service-now.com/*; ServiceNow
http://*.sharepoint.com/*; http://*.sharepoint-df.com/*; https://*.sharepoint.com/*; https://*.sharepoint-df.com/*; SharePoint
http://web.microsoftstream.com/video/*; http://msit.microsoftstream.com/video/*; https://web.microsoftstream.com/video/*; https://msit.microsoftstream.com/video/*; Stream
http://*teams.microsoft.com/l/*; http://*devspaces.skype.com/l/*; http://*teams.live.com/l/*; http://*collab.apps.mil/l/*; http://*teams.microsoft.us/l/*; http://*teams-fl.microsoft.com/l/*; https://*teams.microsoft.com/l/*; https://*devspaces.skype.com/l/*; https://*teams.live.com/l/*; https://*collab.apps.mil/l/*; https://*teams.microsoft.us/l/*; https://*teams-fl.microsoft.com/l/*; Teams
http://tasks.office.com/*; https://tasks.office.com/*; http://to-do.microsoft.com/sharing*; https://to-do.microsoft.com/sharing*; ToDo
http://*.yammer.com/*; https://*.yammer.com/*; Viva Engage
http://*.zoom.us/*; https://*.zoom.us/*; 縮放

如果您不想要允許預設的 Managed 通用連結,您可以將它們刪除。 您也可以為第三方或 LOB 應用程式新增通用連結。

存取需求

設定 如何使用 預設值
用於存取的 PIN 取 [需要 ] 以要求 PIN 才能使用此應用程式。 第一次在公司或學校內容中執行應用程式時,系統會提示使用者設定此 PIN。 在在線或離線工作時,會套用 PIN。

您可以使用 [PIN 以供存取] 區段下提供的設定來設定 PIN 強度。

注意: 允許存取應用程式的使用者可以重設應用程式 PIN。 在某些情況下,在iOS裝置上可能看不到此設定。 iOS 裝置有四個可用快捷方式的限制上限。 若要檢視重設APP PIN快捷方式,終端使用者可能需要從不同的受控應用程式存取快捷方式。
需要
    PIN 類型
在存取已套用應用程式保護原則的應用程式之前,設定數值或密碼類型 PIN 的需求。 數值需求只涉及數位,而密碼可以使用至少 1 個字母 至少 1 個特殊字元來定義。

注意:若要設定密碼類型,應用程式必須 Intune SDK 7.1.12 版或更新版本。數值類型沒有 Intune SDK 版本限制。允許的特殊字元包括iOS/iPadOS 英文版鍵盤上的特殊字元和符號。
數值
    簡單 PIN
取 [允許 ] 以允許使用者使用簡單的 PIN 序列,例如 1234、1111、abcd 或 aaaa。 選取 [封鎖 ] 以防止它們使用簡單的序列。 簡單序列會在 3 個字元滑動視窗中核取。 如果 已設定 Block ,則不會將 1235 或 1112 接受為使用者設定的 PIN,但會允許 1122。

注意如果已設定密碼類型 PIN,且 [允許簡單 PIN] 設定為 [是],則使用者的 PIN 中至少需要 1 個字母 至少 1 個特殊字元。如果已設定密碼類型 PIN,且 [允許簡單 PIN] 設定為 [否],則使用者的 PIN 中至少需要 1 個數位 1 個字母 ,以及 至少 1 個特殊字元。
Allow
    選取 PIN 長度下限
指定 PIN 序列中的位數下限。 4
    用於存取 iOS 8+) 的觸控識別碼,而不是 PIN (
取 [允許 ] 以允許使用者使用 Touch ID ,而不是 PIN 來存取應用程式。 Allow
      逾時後使用 PIN 覆寫觸控標識碼
若要使用此設定,請選取 [ 需要 ],然後設定閑置逾時。 需要
        閑置 (分鐘的逾時)
指定密碼或數值 (設定為) PIN 會覆寫指紋或臉部作為存取方法的使用時間,以分鐘為單位。 此逾時值應大於 「在閑置) (分鐘後重新檢查存取需求」底下指定的值。 30
      用於存取 iOS 11+ (的臉部識別碼,而不是 PIN)
取 [允許 ] 以允許使用者使用臉部辨識技術來驗證 iOS/iPadOS 裝置上的使用者。 如果允許,則必須使用臉部標識碼來存取具備臉部標識碼的裝置上的應用程式。 Allow
    在天數之後重設 PIN
選取 [是 ],要求使用者在一段設定的一段時間之後,以天為單位變更其應用程式 PIN。

當設定為 [是] 時,您接著會設定需要 PIN 重設之前的天數。
      天數
設定需要 PIN 重設之前的天數。 90
    設定裝置 PIN 時的應用程式 PIN
取 [停用],以在已設定 公司入口網站 的已註冊裝置上偵測到裝置鎖定時停用應用程式 PIN。

注意:應用程式必須 Intune SDK 7.0.1 版或更新版本。必須設定 IntuneMAMUPN 設定,應用程式才能偵測註冊狀態。

在 iOS/iPadOS 裝置上,您可以讓使用者使用 觸控標識 碼或 臉部標識 碼來證明其身分識別,而不是 PIN。 Intune 使用LocalAuthentication API來驗證使用 Touch ID 和臉部標識碼的使用者。 若要深入瞭解觸控標識碼和臉部標識碼,請參閱 iOS 安全性指南

當用戶嘗試使用此應用程式搭配其公司或學校帳戶時,系統會提示他們提供指紋身分識別或臉部身分識別,而不是輸入 PIN。 啟用此設定時,使用公司或學校帳戶時,應用程式切換器預覽映射將會模糊。 如果裝置的生物特徵辨識資料庫有任何變更,Intune 會在符合下一個閑置逾時值時提示使用者輸入 PIN。 生物特徵辨識數據的變更包括新增或移除指紋或臉部以進行驗證。 如果 Intune 用戶沒有 PIN 集,系統會引導他們設定 Intune PIN。
Enable
用於存取的公司或學校帳戶認證 取 [需要 ] 要求使用者使用其公司或學校帳戶登入,而不是輸入 PIN 以存取應用程式。 如果您將此設定為 [ 需要],且已開啟 PIN 或生物特徵辨識提示,則會顯示公司認證和 PIN 或生物特徵辨識提示。 不需要
在閑置 (分鐘後重新檢查存取需求) 設定在應用程式要求使用者再次指定存取需求之前,必須通過的閑置分鐘數。

例如,系統管理員在原則中開啟 PIN 和封鎖根目錄裝置、使用者開啟 Intune 管理的應用程式、必須輸入 PIN,而且必須在未路由的裝置上使用應用程式。 使用此設定時,使用者不需要輸入 PIN,或在任何受 Intune 管理的應用程式上進行另一個根偵測檢查一段時間,就等於設定的值。

注意:在 iOS/iPadOS 上,PIN 會在相同發行者的所有受控 Intune 應用程式之間共用。當應用程式離開裝置的前景時,會重設特定 PIN 的 PIN 定時器。使用者不需要在任何 Intune 管理的應用程式上輸入 PIN,該應用程式會在此設定中定義的逾時期間內共用其 PIN 碼。此原則設定格式支援正整數。
30

注意事項

若要深入瞭解同一組應用程式和使用者的存取一節中設定的多個 Intune 應用程式保護設定如何在 iOS/iPadOS 上運作,請參閱 Intune MAM 常見問題,以及在 Intune 中使用應用程式保護原則存取動作選擇性地抹除數據

條件式啟動

設定條件式啟動設定,以設定存取保護原則的登入安全性需求。

根據預設,系統會提供數個設定與預先設定的值和動作。 您可以刪除其中一些專案,例如 Min OS 版本。 您也可以從 [選取 一個 ] 下拉式清單中選取其他設定。

設定 如何使用
OS 版本上限 指定使用此應用程式的最大 iOS/iPadOS 作業系統。

動作 包括:

  • 警告 - 如果裝置上的 iOS/iPadOS 版本不符合需求,使用者會看到通知。 此通知可以關閉。
  • 封鎖存取 - 如果裝置上的 iOS/iPadOS 版本不符合此需求,將會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。

此專案可能會出現多次,且每個實例都支援不同的動作。

此原則設定格式支援 major.minor、major.minor.build、major.minor.build.revision。

注意:應用程式必須 Intune SDK 14.4.0 版或更新版本。
最低OS版本 指定使用此應用程式的最低 iOS/iPadOS 作業系統。

動作 包括:

  • 警告 - 如果裝置上的 iOS/iPadOS 版本不符合需求,使用者會看到通知。 此通知可以關閉。
  • 封鎖存取 - 如果裝置上的 iOS/iPadOS 版本不符合此需求,將會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
此專案可能會出現多次,且每個實例都支援不同的動作。

此原則設定格式支援 major.minor、major.minor.build、major.minor.build.revision。

注意:應用程式必須 Intune SDK 7.0.1 版或更新版本。
PIN 嘗試次數上限 指定使用者在採取設定的動作之前,必須成功輸入 PIN 的嘗試次數。 如果使用者在 PIN 嘗試次數上限之後無法成功輸入 PIN 碼,則用戶必須在成功登入其帳戶並完成多重要素驗證之後重設其 PIN, (需要 MFA) 挑戰。 此原則設定格式支援正整數。

動作 包括:

  • 重設 PIN - 用戶必須重設其 PIN。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
預設值 = 5
離線寬限期 受原則管理的應用程式可以離線執行的分鐘數。 指定重新檢查應用程式存取需求之前) 分鐘 (的時間。

動作 包括:

  • 封鎖存取 (分鐘) - 受原則管理的應用程式可以離線執行的分鐘數。 指定重新檢查應用程式存取需求之前) 分鐘 (的時間。 設定的期間到期之後,應用程式會封鎖對公司或學校數據的存取,直到有網路存取權。 封鎖數據存取的離線寬限期定時器會根據上次簽入 Intune 服務,針對每個應用程式個別計算。 此原則設定格式支援正整數。

    默認值 = 1440 分鐘 (24 小時)

    注意: 將離線寬限期定時器設定為封鎖存取小於預設值,可能會在重新整理原則時導致更頻繁的用戶中斷。 不建議選擇小於 30 分鐘的值,因為這可能會導致使用者在每次應用程式啟動或繼續時中斷。

    注意: 停止離線寬限期原則重新整理,包括關閉或暫停應用程式,會導致使用者在下次應用程式啟動或繼續時中斷。

  • ) (天抹除數據 - 在系統管理員) 定義這幾天 (離線執行之後,應用程式將要求使用者連線到網路並重新驗證。 如果使用者成功驗證,他們可以繼續存取其數據,並重設離線間隔。 如果使用者無法驗證,應用程式將會執行使用者帳戶和數據的選擇性抹除。 如需使用選擇性抹除移除哪些數據的詳細資訊,請參閱如何只抹除 Intune 受控應用程式中的公司數據。 針對抹除數據的離線寬限期定時器,會根據上次使用 Intune 服務簽入,個別計算每個應用程式的數據。 此原則設定格式支援正整數。

    預設值 = 90 天
此專案可能會出現多次,且每個實例都支援不同的動作。
已越獄/Root 破解的裝置 此設定沒有要設定的值。

動作 包括:

  • 封鎖存取 - 防止此應用程式在已越獄或 Root 破解的裝置上執行。 使用者仍可繼續使用此應用程式進行個人工作,但必須使用不同的裝置來存取此應用程式中的工作或學校數據。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
已停用帳戶 此設定沒有要設定的值。

動作 包括:

  • 封鎖存取 - 當我們確認使用者已在 Microsoft Entra ID 中停用時,應用程式會封鎖對公司或學校數據的存取。
  • 抹除數據 - 當我們確認使用者已在 Microsoft Entra ID 中停用時,應用程式將會執行使用者帳戶和數據的選擇性抹除。
最低應用程式版本 指定最低應用程式版本值的值。

動作 包括:

  • 警告 - 如果裝置上的應用程式版本不符合需求,使用者會看到通知。 此通知可以關閉。
  • 封鎖存取 - 如果裝置上的應用程式版本不符合需求,則會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
由於應用程式之間通常會有不同的版本控制配置,因此請建立一個以一個應用程式為目標之最小應用程式版本的原則 (例如 ,Outlook 版本原則) 。

此專案可能會出現多次,且每個實例都支援不同的動作。

此原則設定支援比對主要.minor 或 major.minor.patch) (iOS 應用程式套件組合版本格式。

注意:應用程式必須 Intune SDK 7.0.1 版或更新版本。

此外,您可以設定終端使用者可在 何處 取得企業營運 (LOB) 應用程式的更新版本。 終端使用者會在 [最低應用程式版本 條件式啟動] 對話方塊中看到此資訊,這會提示終端使用者更新為最低版本的 LOB 應用程式。 在 iOS/iPadOS 上,這項功能需要將應用程式整合 (或使用包裝工具包裝,) 搭配適用於 iOS v.10.0.7 或更新版本的 Intune SDK。 若要設定終端使用者應該更新 LOB 應用程式的位置,應用程式需要使用金鑰 傳送給它的受控應用程式設定原則com.microsoft.intune.myappstore 傳送的值會定義終端使用者將從哪個存放區下載應用程式。 如果應用程式是透過 公司入口網站 部署,則值必須是 CompanyPortal。 針對任何其他存放區,您必須輸入完整的 URL。
最低 SDK 版本 指定 Intune SDK 版本的最小值。

動作 包括:

  • 封鎖存取 - 如果應用程式的 Intune 應用程式保護原則 SDK 版本不符合需求,則會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
  • 警告 - 如果應用程式的 iOS/iPadOS SDK 版本不符合最低 SDK 需求,使用者會看到通知。 系統會指示用戶升級至最新版的應用程式。 此通知可以關閉。
若要深入瞭解 Intune 應用程式保護原則 SDK,請參閱 Intune App SDK 概觀。 由於應用程式之間通常 Intune SDK 版本不同,因此請建立一個以一個應用程式為目標 Intune SDK 版本 (的原則,例如,Intune 適用於 Outlook) 的 SDK 版本原則。

此專案可能會出現多次,且每個實例都支援不同的動作。
裝置型號 () 指定模型標識碼的分號分隔清單 () 。 這些值不區分大小寫。

動作 包括:

  • 允許指定 (封鎖未指定的) - 只有符合指定裝置型號的裝置才能使用應用程式。 所有其他裝置型號都會遭到封鎖。
  • 允許指定 (抹除未指定的) - 與應用程式相關聯的使用者帳戶會從裝置抹除。
如需使用此設定的詳細資訊,請參 閱條件式啟動動作
允許的裝置威脅等級上限 應用程式防護 原則可以利用 Intune-MTD 連接器。 指定可接受使用此應用程式的最大威脅層級。 威脅取決於您在終端使用者裝置上選擇的Mobile Threat Defense (MTD) 廠商應用程式。 指定 [安全]、 [低]、[ 中] 或 [ 高]受保護不需要裝置上的威脅,而且是最嚴格的可設定值,而 High 基本上需要使用中的 Intune 對 MTD 連線。

動作 包括:

  • 封鎖存取 - 如果您在終端使用者裝置上選擇的Mobile Threat Defense (MTD) 廠商應用程式所決定的威脅層級不符合此需求,則會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
注意:應用程式必須 Intune SDK 12.0.15 版或更新版本。

如需使用此設定的詳細資訊,請參閱 為未註冊的裝置啟用 MTD
主要 MTD 服務 如果您已設定多個 Intune-MTD 連接器,請指定應在終端使用者裝置上使用的主要 MTD 廠商應用程式。

包括:

  • 適用於端點的 Microsoft Defender - 如果已設定 MTD 連接器,請指定 適用於端點的 Microsoft Defender 將提供裝置威脅等級資訊。
  • Mobile Threat Defense (非Microsoft) - 如果已設定 MTD 連接器,請指定非Microsoft MTD 將提供裝置威脅等級資訊。

您必須設定 [允許的裝置威脅等級上限] 設定,才能使用此設定。

此設定沒有 動作

非工作時間 此設定沒有要設定的值。

動作 包括:

  • 封鎖存取 - 使用者遭到封鎖而無法存取,因為與應用程式相關聯的使用者帳戶處於非工作時間。
  • 警告 - 如果與應用程式相關聯的使用者帳戶處於非工作時間,使用者會看到通知。 可以關閉通知。
注意:只有在租使用者已與 工作時間 API 整合時,才必須設定此設定。 如需整合此設定與 工作時間 API 的詳細資訊,請參閱 在一線員工脫機時限制Microsoft Teams 的存取權。 設定此設定而不與工作時間 API 整合,可能會導致帳戶因為與應用程式相關聯的受管理帳戶遺失工作時間狀態而遭到封鎖。

下列應用程式支援這項功能:

  • 適用於 iOS v6.9.2 或更新版本的 Teams
  • iOS 版 Edge v126.2592.56 或更新版本

深入了解