本文提供 Intune 行動應用程式管理 (MAM) 和 Intune 應用程式保護的一些常見問題解答。
MAM 基本概念
什麼是 MAM?
應用程式防護原則
什麼是應用程式防護原則?
應用程式防護原則是確保組織資料保持安全或包含在受管理應用程式中的規則。 原則可以是當使用者嘗試存取或移動「企業」資料時所強制執行的規則,或當使用者位於應用程式內時所禁止或監視的一組動作。
應用程式保護原則的範例有哪些?
如需每個 應用程式保護原則設定的 詳細資訊,請參閱 Android 應用程式保護原則設定和 iOS/iPadOS 應用程式 保護原則設定。
針對不同的裝置,是否可以同時將 MDM 和 MAM 原則套用至相同的使用者?
如果您在未設定裝置管理狀態的情況下將 MAM 原則套用至使用者,則使用者會在 BYOD 裝置和受 Intune 管理的裝置上取得 MAM 原則。 您也可以根據裝置管理狀態套用 MAM 原則。 因此,當您建立應用程式保護原則時,在 [所有裝置類型上的目標為應用程式] 旁,您會選取 [否]。 然後執行下列任何一項:
- 將較不嚴格的 MAM 原則套用至 Intune 受管理的裝置,並將更嚴格的 MAM 原則套用至未註冊 MDM 的裝置。
- 將同樣嚴格的 MAM 原則套用至 Intune 受控裝置,以套用至第三方受控裝置。
- 僅將 MAM 原則套用至未註冊的裝置。
如需詳細資訊,請 參閱如何監視應用程式保護原則。
您可以使用應用程式保護原則管理的應用程式
哪些應用程式可以由應用程式保護原則管理?
任何已與 Intune App SDK 整合或由 Intune App Wrapping Tool 包裝的應用程式,都可以使用 Intune 應用程式保護原則來管理。 請參閱可公開使用的 Intune 管理的應用程式官方清單。
在受 Intune 管理的應用程式上使用應用程式保護原則的基準需求為何?
終端用戶必須具有 Microsoft Entra 帳戶。 請參閱新增使用者並授與系統管理許可權給 Intune,以瞭解如何在 Microsoft Entra ID 中建立 Intune 使用者。
用戶必須擁有指派給其 Microsoft Entra 帳戶 Microsoft Intune 授權。 請參閱管理 Intune 授權,以瞭解如何將 Intune 授權指派給使用者。
使用者必須屬於應用程式保護原則的目標安全性群組。 相同的應用程式保護原則必須針對所使用的特定應用程式。 應用程式防護 原則可以在 Microsoft Intune 系統管理中心建立和部署。 安全組目前可在 Microsoft 365 系統管理中心 中建立。
終端用戶必須使用其 Microsoft Entra 帳戶登入應用程式。
如果我想要啟用應用程式 Intune 應用程式保護,但不使用支援的應用程式開發平臺,該怎麼辦?
Intune SDK 開發小組會主動測試並維護使用原生 Android、iOS/iPadOS (Obj-C、Swift) 、Xamarin 和 Xamarin.Forms 平臺建置的應用程式支援。 雖然有些客戶已成功 Intune SDK 與其他平臺整合,例如 React Native 和 NativeScript,但我們並未提供明確的指引或外掛程式,讓應用程式開發人員使用支持的平臺以外的任何專案。
Intune APP SDK 是否支援Microsoft驗證連結庫 (MSAL) ?
Intune 應用程式 SDK 可以使用Microsoft驗證連結庫進行驗證和條件式啟動案例。 它也依賴 MSAL 向 MAM 服務註冊使用者身分識別,以便在不使用裝置註冊的情況下進行管理。
使用 Outlook 行動應用程式有哪些其他需求?
終端用戶必須將 Outlook 行動裝置應用程式 安裝到其裝置上。
終端用戶必須擁有連結至其 Microsoft Entra 帳戶的Microsoft 365 Exchange Online 信箱和授權。
注意事項
Outlook 行動裝置應用程式目前僅支援 Intune 應用程式保護,適用於 Microsoft Exchange Online 和 Exchange Server 混合式新式驗證,且不支援 Office 365 Dedicated 中的 Exchange。
使用 Word、Excel 和 PowerPoint 應用程式的額外需求為何?
終端用戶必須擁有連結至其 Microsoft Entra 帳戶之 Microsoft 365 Apps 商務版 或企業的授權。 訂用帳戶必須包含行動裝置上的 Office 應用程式,而且可以包含具有 商務用 OneDrive的雲端記憶體帳戶。 Microsoft可依照這些指示在 Microsoft 365 系統管理中心 中指派 365 個授權。
終端用戶必須在 [儲存組織數據的複本] 應用程式保護原則設定下,使用細微的儲存功能來設定受控位置。 例如,如果受控位置是 OneDrive,則應該在使用者的 Word、Excel 或 PowerPoint 應用程式中設定 OneDrive 應用程式。
如果受控位置是 OneDrive,則應用程式必須以部署至終端使用者的應用程式保護原則為目標。
注意事項
Office 行動應用程式目前僅支援 SharePoint Online,不支援 SharePoint 內部部署。
為什麼受控位置 (即 Office 需要 OneDrive) ?
Intune 將應用程式中的所有數據標示為「公司」或「個人」。數據源自商務位置時會被視為「公司」。 針對 Office 應用程式,Intune 將下列專案視為商務位置:具有 商務用 OneDrive 帳戶) 的電子郵件 (Exchange) 或雲端記憶體 (OneDrive 應用程式。
使用 商務用 Skype 的其他需求有哪些?
請參閱 商務用 Skype 授權需求。 如需 商務用 Skype (SfB) 混合式和內部部署設定,請分別參閱混合式新式 SfB 驗證和 Exchange 的 GA 和 SfB 內部部署的新式驗證與 Microsoft Entra ID。
應用程式防護 功能
什麼是多重身分識別支援?
多重身分識別支援是 Intune 應用程式 SDK 僅將應用程式保護原則套用至已登入應用程式之公司或學校帳戶的能力。 如果個人帳戶已登入應用程式,數據就會保持不變。
多重身分識別支援的用途為何?
多重身分識別支援可讓具有「公司」物件和取用者對象的應用程式 (也就是 Office 應用程式) 公開發行,並提供「公司」帳戶的 Intune 應用程式保護功能。
Outlook 和多重身分識別呢?
由於 Outlook 具有個人和「公司」電子郵件的合併電子郵件檢視,因此 Outlook 應用程式會在啟動時提示輸入 Intune PIN。
什麼是 Intune 應用程式 PIN?
PIN) (個人識別碼是密碼,用來確認正確的使用者正在應用程式中存取組織的數據。
何時會提示使用者輸入其 PIN?
當使用者即將存取「公司」數據時,Intune 提示輸入使用者的應用程式 PIN。 在 Word/Excel/PowerPoint 等多重身分識別應用程式中,當使用者嘗試開啟「公司」檔或檔案時,系統會提示他們輸入 PIN。 在單一身分識別應用程式中,例如使用 Intune App Wrapping Tool 管理的企業營運應用程式,會在啟動時提示 PIN,因為 Intune 應用程式 SDK 知道使用者在應用程式中的體驗一律為「公司」。
系統會多久提示使用者輸入 Intune PIN?
IT 系統管理員可以在 Microsoft Intune 系統管理中心定義 Intune 應用程式保護原則設定「 (分鐘) 之後重新檢查存取需求」。 此設定會指定在裝置上檢查存取需求之前的時間量,並再次顯示應用程式 PIN 畫面。 不過,會影響使用者提示頻率的 PIN 重要詳細資料如下:
- PIN 會在相同發行者的應用程式之間共用,以改善可用性: 在 iOS/iPadOS 上, 相同應用程式發行者的所有應用程式之間會共用一個應用程式 PIN。 在Android上,一個應用程式 PIN 會在所有應用程式之間共用。
- 裝置重新啟動後,「在 (分鐘后重新檢查存取需求) 」行為:「PIN 定時器」會追蹤非使用中的分鐘數,以決定下一次顯示 Intune 應用程式 PIN 的時機。 在 iOS/iPadOS 上,PIN 定時器不會受到裝置重新啟動的影響。 因此,裝置重新啟動不會影響使用者從具有 Intune PIN 原則的 iOS/iPadOS 應用程式非作用中的分鐘數。 在Android上,PIN定時器會在裝置重新啟動時重設。 因此,具有 Intune PIN 原則的 Android 應用程式可能會提示您輸入應用程式 PIN,而不論裝置重新啟動後「在 (分鐘後重新檢查存取需求) 」設定值。
- 與 PIN 相關聯之定時器的滾動本質: 一旦輸入 PIN 以存取應用程式 (應用程式 A) ,且應用程式離開前景 (裝置上的主要輸入焦點) ,PIN 定時器就會重設該 PIN。 共用此 PIN 的任何應用程式 (應用程式 B) 都不會提示使用者輸入 PIN,因為定時器已重設。 再次符合「在 (分鐘之後重新檢查存取需求) 」值之後,就會再次顯示提示。
針對 iOS/iPadOS 裝置,即使來自不同發行者的應用程式之間共用 PIN 碼,當重新 檢查存取需求 (分鐘之後 ,就會再次顯示提示,) 不是主要輸入焦點的應用程式再次符合值。 因此,例如,用戶擁有來自發行者 X 的應用程式 A 和發行者 Y 的應用程式 B,而這兩個應用程式共用相同的 PIN。 用戶著重於應用程式 A (前景) ,並將應用程式 B 最小化。 在 (分鐘後重新檢查存取需求之後,) 值符合,且使用者切換至應用程式 B,則需要 PIN。
注意事項
若要更頻繁地驗證使用者的存取需求, (也就是 PIN 提示) ,特別是針對經常使用的應用程式,建議您降低[在 (分鐘後重新檢查存取需求) ] 設定的值。
Intune PIN 如何與 Outlook 和 OneDrive 的內建應用程式 PIN 搭配運作?
Intune PIN 會根據非活動定時器運作, ( (分鐘之後重新檢查存取需求) ) 值。 因此,Intune PIN 提示會與 Outlook 和 OneDrive 的內建應用程式 PIN 提示分開顯示,這些提示通常會與預設的應用程式啟動系結。 如果用戶同時收到這兩個 PIN 提示,預期的行為應該是 Intune PIN 優先。
PIN 是否安全?
PIN 可用來只允許正確的使用者存取其組織在應用程式中的數據。 因此,用戶必須先使用其公司或學校帳戶登入,才能設定或重設其 Intune 應用程式 PIN。 此驗證是由 Microsoft Entra ID 透過安全令牌交換來處理,對 Intune 應用程式 SDK 而言並不透明。 從安全性觀點來看,保護公司或學校數據的最佳方式是加密數據。 加密與應用程式 PIN 無關,而是它自己的應用程式保護原則。
如何 Intune 保護 PIN 以防止暴力密碼破解攻擊?
作為應用程式 PIN 原則的一部分,IT 系統管理員可以設定使用者在鎖定應用程式之前,可以嘗試驗證其 PIN 的次數上限。 達到嘗試次數之後,Intune App SDK 可以抹除應用程式中的「公司」數據。
為什麼必須在相同發行者的應用程式上設定 PIN 兩次?
iOS/iPadOS) 上的 MAM (目前允許具有英數位元和特殊字元的應用層級 PIN, (稱為「密碼」) ,這需要應用程式 (例如 WXP、Outlook、Managed Browser、Yammer) 參與,才能整合適用於 iOS/iPadOS 的 Intune APP SDK。 若沒有此項,就不會針對目標應用程式正確強制執行密碼設定。 這是 iOS/iPadOS 版 Intune SDK v. 7.1.12 中發行的功能。
為了支援這項功能,並確保與 iOS/iPadOS 版 Intune SDK 的回溯相容性,7.1.12+ 中 (數值或密碼) 的所有 PIN 都會與舊版 SDK 中的數值 PIN 分開處理。 因此,如果裝置的應用程式在 7.1.12 之前具有適用於 iOS/iPadOS 的 Intune SDK 版本,且在 7.1.12 之後從同一個發行者使用 7.1.12 版,則必須設定兩個 PIN。
也就是說,每個應用程式) 的兩個 PIN (沒有任何關聯,也就是它們必須遵守套用至應用程式的應用程式保護原則。 因此, 只有在 應用程式 A 和 B 套用與 PIN) (相同的原則時,使用者才能設定相同的 PIN 兩次。
此行為專屬於使用 Intune Mobile App Management啟用的iOS/iPadOS 應用程式上的 PIN。 經過一段時間后,當應用程式採用適用於iOS/iPadOS的 Intune SDK 版本時,必須從相同發行者的應用程式上設定 PIN 兩次,就變得較不成問題。 如需範例,請參閱下列附注。
注意事項
例如,如果應用程式 A 是以 7.1.12 之前的版本建置,而應用程式 B 是使用相同發行者的版本大於或等於 7.1.12 來建置,則如果兩者都安裝在 iOS/iPadOS 裝置上,使用者就必須個別設定 A 和 B 的 PIN。
如果裝置上已安裝 SDK 7.1.9 版的應用程式 C,它會與應用程式 A 共用相同的 PIN。
使用 7.1.14 建置的應用程式 D 會與應用程式 B 共用相同的 PIN。
如果裝置上只安裝應用程式 A 和 C,則必須設定一個 PIN。 如果裝置上只安裝應用程式 B 和 D,則適用相同的方式。
加密呢?
IT 系統管理員可以部署需要加密應用程式數據的應用程式保護原則。 作為原則的一部分,IT 系統管理員也可以指定何時加密內容。
Intune 如何加密數據?
如需加密 應用程式保護原則設定的 詳細資訊,請參閱 Android 應用程式保護原則設定和 iOS/iPadOS 應用程式 保護原則設定。
哪些專案會加密?
只有標示為「公司」的數據會根據IT系統管理員的應用程式保護原則進行加密。 數據源自商務位置時會被視為「公司」。 針對 Office 應用程式,Intune 將下列專案視為商務位置:具有 商務用 OneDrive 帳戶) 的電子郵件 (Exchange) 或雲端記憶體 (OneDrive 應用程式。 對於 Intune App Wrapping Tool 所管理的企業營運應用程式,所有應用程式數據都會被視為「公司」。
Intune 如何從遠端抹除數據?
Intune 可以三種不同的方式抹除應用程式數據:完整裝置抹除、MDM 的選擇性抹除,以及 MAM 選擇性抹除。 如需 MDM 遠端抹除的詳細資訊,請參閱 使用抹除或淘汰來移除裝置。 如需使用 MAM 選擇性抹除的詳細資訊,請 參閱淘汰動作 和 如何只抹除應用程式中的公司數據。
什麼是抹除?
抹除 會將裝置還原為原廠預設設定,以從 裝置 移除所有用戶數據和設定。 裝置會從 Intune 中移除。
注意事項
只有在使用 Intune 行動裝置管理 (MDM) 註冊的裝置上,才能進行抹除。
什麼是 MDM 的選擇性抹除?
請參閱 移除裝置 - 淘汰 以閱讀移除公司數據的相關信息。
什麼是 MAM 的選擇性抹除?
MAM 的選擇性抹除只會從應用程式移除公司應用程式數據。 要求是使用系統管理中心 Microsoft Intune 起始。 若要瞭解如何起始抹除要求,請參閱 如何只抹除應用程式中的公司數據。
MAM 的選擇性抹除發生速度有多快?
如果使用者在起始選擇性抹除時使用應用程式,Intune 應用程式 SDK 會每隔 30 分鐘檢查 Intune MAM 服務的選擇性抹除要求。 它也會在使用者第一次啟動應用程式時檢查選擇性抹除,並使用其公司或學校帳戶登入。
為什麼內部部署 (內部部署) 服務無法與 Intune 保護的應用程式搭配運作?
Intune 應用程式保護取決於使用者的身分識別,才能在應用程式與 Intune App SDK 之間保持一致。 保證的唯一方法是透過新式驗證。 在某些情況下,應用程式可能會使用內部部署組態,但它們既不一致也不保證。
是否有安全的方式可從受控應用程式開啟 Web 連結?
是! IT 系統管理員可以部署和設定 Microsoft Edge 應用程式的應用程式保護原則。 IT 系統管理員可以要求使用 Microsoft Edge 應用程式開啟 Intune 管理應用程式中的所有 Web 連結。
Android 上的應用程式體驗
為什麼 Intune 應用程式保護需要 公司入口網站 應用程式才能在Android裝置上運作?
設定給同一組應用程式和使用者的多個 Intune 應用程式保護存取設定如何在Android上運作?
Intune 使用者裝置嘗試從其公司帳戶存取目標應用程式時,存取的應用程式保護原則會以特定順序套用。 一般而言,區塊會優先,然後出現可關閉的警告。 例如,如果適用於特定使用者/應用程式,則會在封鎖使用者存取的最低 Android 修補程式版本設定之後套用警告用戶進行修補程式升級的最低 Android 修補程式版本設定。 因此,在IT系統管理員將最低Android修補程式版本設定為2018-03-01,而最小 Android 修補程式版本 (警告只會) 至 2018-02-01 的案例中, 當嘗試存取應用程式的裝置在修補程式版本 2018-01-01 上時,會根據最小 Android 修補程式版本的更嚴格設定來封鎖終端使用者,進而導致封鎖存取。
處理不同類型的設定時,應用程式版本需求會優先,後面接著Android作業系統版本需求和Android修補程式版本需求。 然後,會檢查所有類型設定以相同順序出現的任何警告。
Intune 應用程式保護原則可讓系統管理員要求終端使用者裝置通過適用於 Android 裝置的 Google Play 裝置完整性檢查。 新Google Play的裝置完整性檢查結果傳送至服務的頻率為何?
Intune 服務會以服務負載所決定的不可設定間隔連絡 Google Play。 針對Google Play裝置完整性檢查設定的任何IT系統管理員設定動作,都會根據條件式啟動時最後回報給 Intune 服務的結果來執行。 如果 Google 的裝置完整性結果符合規範,則不會採取任何動作。 如果 Google 的裝置完整性結果不符合規範,則會立即採取 IT 系統管理員設定的動作。 如果 Google Play 的裝置完整性檢查要求因任何原因而失敗,則先前要求的快取結果最多會使用 24 小時,或是下一次重新啟動裝置,這會先出現。 屆時 Intune 應用程式保護原則會封鎖存取,直到取得目前的結果為止。
Intune 應用程式保護原則可讓系統管理員要求終端使用者裝置透過Google的Android裝置驗證應用程式 API 傳送訊號。 終端使用者如何開啟應用程序掃描,使其不會因此而遭到封鎖而無法存取?
如何執行這項操作的指示會因裝置而稍有不同。 一般程式牽涉到移至 Google Play 商店,然後按下 我的應用程式 & 遊戲,按兩下最後一個應用程式掃描的結果,這會帶您進入 [播放保護] 選單。 請確定已開啟 [掃描裝置是否有安全性威脅 ] 的切換開關。
Google 的 Play 完整性 API 實際上會在 Android 裝置上檢查什麼? 「檢查基本完整性」和「檢查基本完整性 & 認證裝置」的可設定值有何差異?
Intune 利用Google Play完整性 API,將新增至我們現有的未註冊裝置根偵測檢查。 Google 已開發並維護此 API 集合,讓 Android 應用程式在不想讓應用程式在根目錄裝置上執行時採用。 例如,Android Pay 應用程式已納入此專案。 雖然 Google 不會公開分享所發生的整個根偵測檢查,但我們預期這些 API 會偵測已破解其裝置的使用者。 這些用戶接著可能會遭到封鎖而無法存取,或從已啟用原則的應用程式抹除其公司帳戶。 「檢查基本完整性」會告訴您裝置的一般完整性。 具有竄改徵兆的根裝置、模擬器、虛擬設備和裝置,會失敗基本完整性。 「檢查認證裝置 & 的基本完整性」會告訴您裝置與Google服務的相容性。 只有經過Google認證的未修改裝置才能通過這項檢查。 將會失敗的裝置包括下列專案:
- 不符合基本完整性的裝置
- 具有解除鎖定開機載入器的裝置
- 具有自定義系統映像/ROM 的裝置
- 製造商未申請或通過Google認證的裝置
- 具有直接從 Android 開放原始碼計劃來源檔案建置系統映像的裝置
- 具有 Beta/開發人員預覽系統映像的裝置
如需技術詳細數據,請參閱 Google 的播放完整性 API 檔 。
為Android裝置建立 Intune 應用程式保護原則時,條件式啟動一節中有兩個類似的檢查。 我應該要求 「播放完整性決策」設定或「已越獄/破解的裝置」設定嗎?
Google Play 完整性 API 檢查會要求終端使用者在在線,最長在判斷證明結果執行的「往返」期間。 如果終端使用者離線,IT 系統管理員仍可預期會從 [已越獄/Root 破解的裝置] 設定強制執行結果。 也就是說,如果終端用戶離線的時間太長,就會開始作用「離線寬限期」值,而且一旦達到該定時器值,所有對公司或學校數據的存取都會遭到封鎖,直到網路存取可供使用為止。 開啟這兩個設定可讓使用者裝置保持健全狀況的多層式方法,這在終端使用者存取行動裝置上的公司或學校數據時很重要。
利用Google Play保護 API 的應用程式保護原則設定需要Google Play服務才能運作。 如果使用者所在的位置不允許Google Play服務,該怎麼辦?
「播放完整性決策」和「應用程式上的威脅掃描」設定都需要Google決定的Google Play服務版本才能正確運作。 由於這些設定屬於安全性領域,因此,如果終端使用者已以這些設定為目標,且不符合適當的 Google Play 服務版本,或無法存取 Google Play 服務,則會封鎖使用者。
iOS 上的應用程式體驗
如果我在裝置上新增或移除指紋或臉部,會發生什麼事?
Intune 應用程式保護原則只允許對 Intune 授權使用者的應用程式存取進行控制。 控制應用程式存取的其中一種方式是在支援的裝置上要求Apple的觸控標識碼或臉部標識碼。 Intune 實作行為,如果裝置的生物特徵辨識資料庫有任何變更,Intune 會在符合下一個閑置逾時值時提示使用者輸入 PIN。 生物特徵辨識數據的變更包括新增或移除指紋或臉部。 如果 Intune 用戶沒有 PIN 集,系統會引導他們設定 Intune PIN。
這樣做的目的是要在應用程式層級繼續保護您組織在應用程式內的數據安全且受到保護。 這項功能僅適用於 iOS/iPadOS,且需要整合 iOS/iPadOS Intune APP SDK 9.0.1 版或更新版本的應用程式參與。 必須整合SDK,才能在目標應用程式上強制執行行為。 這項整合會以滾動為基礎進行,且取決於特定的應用程式小組。 部分參與的應用程式包括 WXP、Outlook、Managed Browser 和 Yammer。
我能夠使用 iOS 共用擴充功能在非受控應用程式中開啟公司或學校數據,即使數據傳輸原則設定為「僅限受管理的應用程式」或「沒有應用程式」也一般。 這不會洩漏數據嗎?
Intune 應用程式保護原則無法在未管理裝置的情況下控制 iOS 共用擴充功能。 因此,Intune 在應用程式外部共用「公司」數據之前,先將數據加密。 您可以嘗試在受控應用程式外部開啟「公司」檔案來驗證這一點。 檔案應加密,且無法在受控應用程式外部開啟。
針對同一組應用程式和用戶設定的多個 Intune 應用程式保護存取設定如何在iOS上運作?
Intune 使用者裝置嘗試從其公司帳戶存取目標應用程式時,存取的應用程式保護原則會以特定順序套用。 一般而言,抹除會優先,後面接著區塊,然後是可關閉的警告。 例如,如果適用於特定使用者/應用程式,則會在封鎖使用者存取的最低iOS/iPadOS作業系統設定之後套用警告使用者更新其iOS/iPadOS 版本的最低iOS/iPadOS 操作系統設定。 因此,在 IT 系統管理員將 min iOS/iPadOS 作業系統設定為 11.0.0.0,而最小 iOS/iPadOS 操作系統 (警告只會) 為 11.1.0.0 的案例中, 當嘗試存取應用程式的裝置位於 iOS/iPadOS 10 上時,使用者會根據導致封鎖存取的最小 iOS/iPadOS 操作系統版本更嚴格的設定來封鎖使用者。
處理不同類型的設定時,Intune 應用程式 SDK 版本需求會優先,接著是應用程式版本需求,後面接著 iOS/iPadOS 操作系統版本需求。 然後,會檢查所有類型設定以相同順序出現的任何警告。 我們建議您只在 Intune 產品小組針對基本封鎖案例的指引下,設定 Intune 應用程式 SDK 版本需求。