使用 Microsoft Intune保護應用程式
設定 並部署 Intune 的功能、將 您想要管理的應用程式新增至 Intune,以及設定 您在 Intune 中管理的應用程式之後,您就可以開始建立應用程式保護原則的程式。 (APP) 應用程式防護 原則是確保貴組織數據保持安全且包含在受控應用程式中的規則。 這些原則會強制使用者存取和移動「公司」數據,以及如何控制使用者使用應用程式時禁止或監視的動作。 此強制執行可讓您控制組織行動裝置上的應用程式存取和共享數據的方式。
此解決方案中提供的內容將協助您瞭解每個支援平臺之應用程式保護的不同層面。 此外,此解決方案會根據我們針對基本、增強和高階應用程式保護的建議設定,逐步引導您建立應用程式保護原則。
受控應用程式是您透過整合端點管理提供者指派給使用者的應用程式,例如 Intune。 Managed 應用程式支援應用程式保護原則,以及應用程式設定原則。 這些應用程式會使用統一端點管理提供者所提供的行動應用程式管理 (MAM) 。 MAM 可讓組織管理和保護其在應用程式內的數據。 Intune 中的受控應用程式是受 保護的應用程式 ,其已套用Intune 應用程式保護原則,並由Intune指派及管理。 受控應用程式已整合 Intune App SDK,或已使用 Intune 包裝工具包裝,以支援應用程式保護原則 (應用程式) 和/或應用程式設定原則。 您可以使用 MAM 原則來設定及保護非受控裝置上的應用程式,這是使用者未在 Intune 中註冊 MDM 的個人裝置。
提示
如需何時應考慮部署 MAM 原則的相關信息,請參閱移轉指南:設定或移至 Microsoft Intune。
使用應用程式保護原則可提供在應用層級保護組織數據的優點。 對於使用者而言,生產力不會受到影響,而且當使用者在個人內容中使用應用程式時,不會套用應用程式保護原則。 在某些情況下,您通常應該使用應用程式保護原則。 例如,如果您的使用者使用其個人裝置,您可能想要使用應用程式保護原則來控制使用 PIN 存取應用程式。 您可能想要強制執行數據共用限制,讓貴組織的數據不會與非受控應用程序共用。 此外,您可能想要防止使用者將組織資料儲存到個人位置。 如需詳細資訊,請參閱使用 應用程式防護 原則的優點。
重要事項
您可以使用 Intune 來協助為組織強制執行 零信任 安全性策略。 零信任 是設計和實作一組安全策略時所要使用的方法。 如需詳細資訊,請參閱 零信任 Microsoft Intune 和 零信任 身分識別和裝置存取設定。
組織可以同時使用應用程式保護原則,以及不使用行動裝置 裝置管理 (MDM) 。 例如,假設使用者 (員工或組織成員) 使用公司所簽發的電話,以及他們自己的個人平板計算機。 組織發出的手機會在 MDM 中註冊,並受到應用程式保護原則的保護,而個人裝置只會受到應用程式保護原則的保護。
支援的平台
在 Intune 中建立應用程式保護原則時,支援三個主要平臺。
| 平台 | 說明 |
|---|---|
| iOS/iPadOS | 您可以將應用程式保護原則套用至已開發以支援 Intune 應用程式保護功能的 iOS/iPadOS 應用程式。 您可以將應用程式保護套用至登入 iOS/iPadOS 裝置的使用者群組。 具體而言,您可以根據 iOS/iPadOS 應用程式保護原則內的數據保護、存取需求和條件式啟動設定來套用應用程式保護。 如需詳細資訊,請參閱 Microsoft Intune 中的 iOS 應用程式保護原則設定。 |
| Android | 您可以將應用程式保護原則套用至已開發以支援 Intune 應用程式保護功能的 Android 應用程式。 您可以將應用程式保護套用至登入 Android 裝置的使用者群組。 具體而言,您可以根據 Android 應用程式保護原則內的數據保護、存取需求和條件式啟動設定來套用應用程式保護。 如需詳細資訊,請參閱 Microsoft Intune 中的Android應用程式保護原則設定。 |
| Windows | 目前,您可以將應用程式保護原則套用至適用於 Windows 裝置的 Microsoft Edge。 使用 Microsoft Edge,您可以控制組織數據的存取方式。 您可以將應用程式保護套用至登入 Windows 裝置的使用者群組。 具體而言,您可以根據 Windows 應用程式保護原則內的數據保護和健康情況檢查設定來套用應用程式保護。 數據保護設定可讓您控制將數據移入和移出組織 (組織) 內容的方式。 組織內容是由指定組織帳戶存取的檔、服務和網站所定義。 您可以使用應用程式保護原則設定來協助控制接收到組織內容的外部數據,以及從組織內容傳送的組織數據。 這些設定包括接收和傳送組織數據。 此外,您可以實作數據外洩防護 (DLP) 控件,例如剪下、複製、貼上和另存新檔限制。 此外,您可以允許或封鎖組織數據的列印。 如需詳細資訊,請參閱 windows 應用程式防護 原則設定。 |
如需支援平臺的詳細資訊,請參閱依 平臺的應用程式管理功能。
支援的應用程式
針對 iOS/iPadOS 和 Android 平臺,您可以將應用程式保護原則套用至任何已開發以支援 Intune 應用程式保護功能的受控應用程式。 受控應用程式已整合 Intune App SDK,或已使用 Intune App Wrapping Tool 包裝。 針對 Windows 平臺,您可以使用 Windows MAM 在個人 Windows 裝置上啟用公司數據的數據保護。 Windows MAM 可讓您將應用程式保護原則套用至適用於 Windows 的 Microsoft Edge。 Microsoft Edge 以及大部分的 Microsoft 應用程式都已整合,以使用 Intune App SDK 來支援 Intune。 如需包含 SDK 整合的應用程式清單,請參閱 Microsoft Intune 受保護的應用程式。
必要條件
您必須先遵循幾個必要條件來設定 Intune,以及瞭解重要的應用程式管理設定,才能使用 Microsoft Intune 來保護應用程式。
注意事項
如果您不熟悉 Intune,請從 Microsoft Intune 免費試用開始。 免費試用 Intune 30 天。 當您完成註冊程式時,您會有新的租用戶可用來評估 Intune。 租用戶是裝載 Intune 訂用帳戶的專用 Microsoft Entra ID (Microsoft Entra ID) 實例。 然後,您可以設定租使用者,其中包含許多可用來保護組織的功能。 其中一個涉及為 Intune 新增和設定應用程式。
如果您尚未設定 Intune 並新增管理及保護所需的應用程式,請遵循下列步驟:
- 設定和 部署 Intune
- 瞭解 應用程式保護
- 瞭解應用程式類型
- 將應用程式新增至 Intune
重要事項
若要使用免費試用以外的 Microsoft Intune,您必須向 Microsoft 取得授權。 如需包含 Microsoft Intune 授權的詳細資訊,請參閱 Microsoft Intune 授權。
雖然您可以部署至組織成員的許多應用程式都是免費的,但某些應用程式可能需要授權、訂用帳戶或帳戶,每個使用者才能使用應用程式。 如需應用程式授權的詳細資訊,請參閱 瞭解 Intune 中使用的應用程式授權。
應用程式保護
應用程式防護 可以套用至支援裝置平臺上支援的受控應用程式,這些應用程式已向 Microsoft Intune 註冊、在第三方行動裝置管理 (MDM) 解決方案中註冊,或未在任何行動裝置管理解決方案中註冊。
建立應用程式保護原則時,您可以依下列順序選擇下列詳細資料:
- 平臺
- 您要保護的應用程式
- 應用程式的數據保護設定
- 應用程式的存取需求
- 應用程式的條件式啟動設定
除了上述清單之外,您也可以選擇 範圍標籤 和 應用程式指派。
重要事項
Android 裝置上需要 Intune 公司入口網站 應用程式,因為它可讓裝置使用者以裝置原則控制器的身分接收應用程式保護原則。 它可讓裝置使用者接收應用程式保護原則。 如需詳細資訊,請參閱如何設定 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式和自定義和設定 公司入口網站。
依平臺 應用程式防護 類別
每個支援的平臺都提供不同的應用程式保護設定。 請務必瞭解 iOS/iPadOS 和 Android 平臺具有相同的應用程式保護類別。 不過,Windows 不同。 Windows 平台藉由管理透過 Microsoft Edge 流向組織儲存位置的數據流來保護組織數據。
提示
若要查看應用程式保護和合規性原則適合整體 Intune 架構的位置,請參閱適用於 Microsoft Intune 的高階架構。
當您建立應用程式保護原則時,您可以選擇平臺、要設為目標的應用程式,以及來自應用程式保護類別的特定設定。
應用程式保護原則如何保護應用程式數據
您的使用者 (組織的成員) 使用行動裝置進行個人和工作工作。 在確保終端用戶能夠提高生產力的同時,您想要防止組織的數據移至您無法保護它的位置,同時適用於刻意和非預期的情況。 您也想要保護從不受您管理之裝置存取的公司數據。 您可以使用與任何行動裝置管理無關的 Intune 應用程式保護原則, (MDM) 解決方案。 無論是否在裝置備管理解決方案中註冊裝置,這種獨立性可以幫助您保護公司的資料。 藉由實作應用層級保護原則,您可以限制對公司資源的存取,並將數據保留在 IT 部門的檢視範圍內。
使用沒有限制的應用程式時,公司和個人資料可能會交集在一起。 公司資料最終可能會位於個人儲存體等位置,或傳輸至您 Purview 以外的應用程式,並導致資料遺失。 下表提供有關數據、裝置和應用程式保護的詳細數據。
| 數據、裝置和應用程式保護 | 說明 |
|---|---|
| 沒有應用程式防護原則的應用程式 | 使用沒有限制的應用程式時,公司和個人資料可能會交集在一起。 公司資料最終可能會位於個人儲存體等位置,或傳輸至您 Purview 以外的應用程式,並導致資料遺失。 |
| 使用應用程式防護原則的資料保護 | 您可以使用 應用程式防護 原則來防止公司資料儲存到裝置的本機記憶體。 您也可以將資料移動限制為不受 應用程式防護 原則保護的其他應用程式。 |
| 在受管理裝置上使用應用程式保護原則進行數據保護 | 同時提供應用程式和裝置管理和保護。 |
| 未註冊的裝置使用應用程式防護原則進行資料保護 | 應用程式防護 原則可協助保護應用層級的公司數據。 不過,部署應用程式、布建裝置憑證配置檔和布建裝置組織設定有一些相關限制。 您可以在 Intune 中註冊和管理裝置,以避免這些限制。 |
如需詳細資訊,請 參閱應用程式保護原則如何保護應用程式數據。
此解決方案的內容
此解決方案可協助您瞭解 Microsoft Intune 中的應用程式資料保護。 此外,此解決方案提供在 Intune 中為特定應用程式建立應用程式保護原則,並將這些原則指派給組織成員的建議步驟。 完成上述 必要條件之後,您就可以在 Intune 中為組織建立應用程式保護原則。 使用設定和保護原則作為應用程式管理工作的一部分,可讓組織的成員安全地使用應用程式。 藉由管理貴組織的應用程式,您可以協助保護組織的數據。
若要瞭解 Intune 中的應用程式保護,請參閱下列主題:
若要遵循在 Intune 中新增應用程式保護原則時的建議設定,請參閱下列主題:
完成上述步驟之後,您就可以開始部署、管理及監視組織所使用的受控應用程式。