共用方式為

瞭解應用程式資料保護

  • 發行項

Intune 中 的數據保護 設定會決定使用者如何在受原則管理的應用程式中與組織數據和內容互動。 身為系統管理員,您可以控制將數據移入和移出組織保護的內容。 組織內容是由指定的組織帳戶所存取的檔、服務和網站所定義, (Microsoft 使用者所擁有的 Entra ID) 。 應用程式保護原則設定可協助控制接收到組織內容的外部數據,以及從組織內容傳送的組織數據。

注意事項

受原則管理的應用程式 」一詞是指使用應用程式保護原則設定的應用程式。

數據保護適用於支援 iOS/iPadOSAndroidWindows 平台的原則管理應用程式。 每個平臺都提供一組與數據保護相關的不同設定。

應用程式保護原則內 的數據保護 設定會為每個平臺提供下列類別:

資料保護 Categories
iOS/iPadOS 數據傳輸加密功能
Android 數據傳輸加密功能
Windows 數據傳輸功能

數據傳輸

iOS/iPadOS 應用程式保護原則的數據傳輸

iOS/iPadOS 特定應用程式保護原則之數據保護設定的 [資料傳輸] 區段具有 iOS/iPadOS 平台專屬的設定。 這些設定決定使用者如何與裝置上 iOS/iPadOS 應用程式中的組織數據互動。 您可以選取設定來允許或封鎖 iTunes 和 iCloud 備份、判斷應用程式如何傳送和接收組織數據、限制使用者起始的數據在應用程式之間移動,以及防止第三方鍵盤。

iOS/iPadOS 的數據傳輸 UI。

適用於Android應用程式的數據傳輸保護原則

Android 特定應用程式保護原則之數據保護設定的 [資料傳輸] 區段具有 Android 平台專屬的設定。 除了常用的應用程式保護設定之外,Android 應用程式保護還提供其他設定,例如允許螢幕擷取和 Google Assistant。

適用於 Android 的數據傳輸 UI。

Windows 應用程式保護原則的數據傳輸

Windows 特定應用程式保護原則之數據保護設定的 [資料傳輸] 區段具有 Windows 平臺專屬的設定。 這些 DLP 設定提供 Android 應用程式的三個主要選項。 這些設定牽涉到如何在應用程式之間接收、傳送及行動數據。

適用於 Windows 的數據傳輸 UI。

加密

加密適用於 iOS/iPadOS 和 Android,作為應用程式保護原則的一部分。 [數據傳輸] 區段下的 [加密] 區段也是數據保護設定的一部分。

重要事項

您必須選擇 [ 需要 ] 以在應用程式中啟用公司或學校數據的加密。

iOS/iPadOS 應用程式保護原則的加密

Intune 會強制iOS/iPadOS裝置加密,以保護裝置鎖定時的應用程式數據。 應用程式可以選擇性地使用 Intune APP SDK 加密來加密應用程式數據。 Intune APP SDK 會使用 iOS/iPadOS 密碼編譯方法,將 256 位 AES 加密套用至應用程式數據。

當您啟用此設定時,使用者可能需要設定及使用 PIN 來存取其裝置。 如果沒有裝置 PIN,而且需要加密,系統會提示使用者設定 PIN,並顯示「您的組織要求您先啟用裝置 PIN 以存取此應用程式」訊息。

注意事項

移至官方 Apple 檔,以查看哪些 iOS 加密模組符合 FIPS 140-2 規範或擱置 FIPS 140-2 合規性。

iOS/iPadOS 的加密UI。

Android 應用程式保護原則的加密

Intune 會使用一個 256 位的 256 位 AES 加密配置以及 Android 金鑰存放區系統,安全地加密應用程式數據。 數據會在檔案 I/O 工作期間同步加密。 裝置記憶體上的內容一律會加密。 新的檔案將會以 256 位金鑰加密。 現有的128位加密檔案將會嘗試移轉至256位密鑰,但不保證程式。 使用128位金鑰加密的檔案仍可讀取。

注意事項

加密方法符合 FIPS 140-2 規範。

適用於 Android 加密 UI。

功能

[ 功能] 區段是應用程式保護原則之 [資料保護 ] 設定中的最後一個區段。 本節提供其他數據保護設定。

提示

應用程式可透過應用程式設定原則提供額外的設定功能。 如需詳細資訊,請參閱應用程式開發人員的檔。

iOS/iPadOS 和 Android 應用程式保護原則的功能

針對 iOS/iPadOS 和 Android 應用程式保護原則,您可以選擇封鎖受原則管理的應用程式,防止將數據儲存到裝置的原生應用程式, (例如聯繫人、行事曆和小工具) ,或防止在受原則管理的應用程式內使用載入宏。 如果您選擇 [ 允許],受原則管理的應用程式可以在受原則管理的應用程式內支援並啟用這些功能時,將數據儲存至原生應用程式或使用載入宏。

此外,您可以允許或封鎖列印組織數據、限制與其他應用程式的 Web 內容傳輸,以及決定如何處理組織數據通知。 當您限制傳送 Web 內容時,請考慮只允許在 Microsoft Edge 中開啟 Web 內容。

注意事項

Android 和 iOS/iPadOS 在限制使用應用程式保護原則傳輸 Web 內容時,提供不同的選項。 針對 iOS/iPadOS,您可以輸入單一 Unmanaged 瀏覽器的特定通訊協定。 針對 Android,您可以輸入非受控瀏覽器識別碼或非受控瀏覽器名稱。

您會看到 iOS/iPadOS 提供的應用程式保護功能稍有不同:

iOS/iPadOS 的功能 UI。

Android 提供與 iOS/iPadOS 功能類似的功能:

Android 的功能 UI。

此外,當應用程式保護原則所指定的應用程式啟動時,Android 可讓您選取與 Microsoft Tunnel VPN 的連線。

Windows 應用程式保護原則的功能

針對 Windows 應用程式保護原則,您可以選擇允許或封鎖列印組織數據。

Windows 的功能 UI。

重要事項

Windows 應用程式保護原則只允許Microsoft Edge 做為原則中指定的受控應用程式。