步骤 2 - 使用 Intune 添加、配置和保护应用

部署 Intune 的下一步是添加和保护访问组织数据的应用。

管理组织中的设备上的应用程序是安全高效的企业生态系统的核心部分。 可以使用Microsoft Intune来管理公司员工使用的应用。 通过管理应用，你可以帮助控制公司使用的应用，以及应用的配置和保护。 此功能称为移动应用程序管理 (MAM) 。 Intune 中的 MAM 旨在保护应用程序级别的组织数据，包括自定义应用和应用商店应用。 可以在组织拥有的设备和个人设备上使用应用管理。 当它与个人设备一起使用时，仅管理与组织相关的访问和数据。 这种类型的应用管理称为 MAM，无需注册 (MAM-WE) ，或者从最终用户的角度来看，将自己的设备 (BYOD) 。

MAM 配置

在无限制的情况下使用应用时，公司和个人数据可能混合。 公司数据可能最终位于个人存储空间等位置或传输到监控范围外的应用中，导致数据丢失。 在没有设备注册的情况下使用 MAM 或 Intune MDM + MAM 的主要原因之一是帮助保护组织的数据。

Microsoft Intune支持两种 MAM 配置：

• 无需设备管理的 MAM
• 具有设备管理的 MAM

无需设备管理的 MAM

此配置允许 Intune 管理组织的应用，但不会注册要由 Intune 管理的设备。 此配置通常称为 无设备注册的 MAM 或 MAM-WE。 IT 管理员可以在未注册 Intune 移动设备管理 (MDM) 的设备上使用 Intune 配置和保护策略，使用 MAM 管理应用。

注意

此配置包括在注册了第三方企业移动性管理 (EMM) 提供商的设备上使用 Intune 管理应用。 可以使用独立于任何 MDM 解决方案的 Intune 应用保护策略。 这种独立性可帮助保护公司数据，无论是否将设备注册到设备管理解决方案中。 通过实现应用级策略，既可以限制对公司资源的访问，也可以将数据保留在 IT 部门的范围之内。

移动应用程序管理 (MAM) 非常适合帮助保护组织成员用于个人和工作任务的移动设备上的组织数据。 在确保组织成员能够高效工作的同时，你希望防止有意和无意的数据丢失。 你还希望保护从非你管理的设备访问的公司数据。 MAM 允许你在应用程序中管理和保护组织的数据。

提示

许多实现高效工作的应用（如 Microsoft Office 应用）可由 Intune MAM 进行管理。 请参阅可供公众使用的 Microsoft Intune 保护的应用的官方列表。

对于未在任何 MDM 解决方案中注册的 BYOD 设备，应用保护策略可帮助保护应用级别的公司数据。 但是，有一些限制需要注意，如：

• 无法将应用部署到设备。 最终用户必须从应用商店获取应用。
• 无法在这些设备上预配证书配置文件。
• 无法在这些设备上设置公司 Wi-Fi 和 VPN 设置。

有关 Intune 中的应用保护的详细信息，请参阅应用保护策略概述。

具有设备管理的 MAM

此配置允许管理组织的应用和设备。 此配置通常称为 MAM + MDM。 IT 管理员可以在已注册 Intune MDM 的设备上使用 MAM 管理应用。

MDM 和 MAM 确保该设备受到保护。 例如，你可以要求使用 PIN 以访问设备，或将托管应用部署到设备。 还可通过 MDM 解决方案将应用部署到设备，以便更好地控制应用管理。

将 MDM 与应用保护策略一起使用还有其他优点，公司可以同时使用应用保护策略与 MDM，也可以单独使用应用保护策略。 例如，组织成员可以拥有公司颁发的电话和他们自己的个人平板电脑。 公司手机可以在 MDM 中注册并受应用保护策略的保护，而个人设备仅受应用保护策略的保护。

在使用 MDM 服务的已注册设备上，应用保护策略可以添加额外的保护层。 例如，用户使用其组织凭据登录到设备。 用户使用该组织数据时，应用保护策略会控制数据的保存方式和共享方式。 当用户使用个人标识登录时，不会应用这些相同的保护 (访问和限制) 。 这样，IT 能够控制组织数据，而最终用户可以保持对其个人数据的控制和私密性。

MDM 解决方案通过提供以下功能增值：

• 注册设备
• 将应用部署到设备
• 提供持续的设备合规性和管理

应用保护策略通过提供以下功能增值：

• 帮助防止公司数据泄露到使用者应用和服务
• 将限制（如“另存为”、“剪贴板”或“PIN”）应用到客户端应用
• 必要时，从应用擦除公司数据而不从设备删除这些应用

使用 Intune 的 MAM 的优势

在 Intune 中管理应用时，管理员可以执行以下操作：

• 在应用级别保护公司数据。 你可以向用户组和设备添加和分配移动应用。 这允许在应用级别保护公司数据。 你可以保护托管和非托管设备上的公司数据，因为移动应用管理不需要设备管理。 管理以用户标识为中心，因而不再需要设备管理。
• 配置应用以在启用特定设置的情况下启动或运行。 此外，还可以更新设备上已有的现有应用。
• 分配策略以限制访问并防止数据在组织外部使用。 可以根据组织的要求为这些策略选择设置。 例如，你能够：
  • 规定在工作环境中打开应用时需使用 PIN。
  • 阻止托管的应用在已越狱或取得 root 权限的设备上运行
  • 控制应用之间的数据共享。
  • 通过使用数据重定位策略（例如 保存组织数据的副本和 限制剪切、复制和粘贴），防止将公司应用数据保存到个人存储位置。
• 支持各种平台和操作系统上的应用。 每个平台都不同。 Intune 专门为每个受支持的平台提供可用设置。
• 查看有关使用的应用的报告，并跟踪其使用情况。 此外，Intune 还提供终结点分析来帮助评估和解决问题。
• 通过仅从应用中删除组织数据执行选择性擦除。
• 确保个人数据与托管数据分开。 不会影响最终用户工作效率，且在个人环境中使用应用时不会应用策略。 这些策略仅应用于工作环境，能够在不接触个人数据的情况下保护公司数据。

向 Intune 添加应用

向组织提供应用的第一步是先将应用添加到 Intune，然后再从 Intune 将应用分配给设备或用户。 虽然可以使用许多不同的应用类型，但基本过程是相同的。 使用 Intune，可以添加不同的应用类型，包括内部 (业务线) 编写的应用、来自应用商店的应用、内置应用和 Web 上的应用。

公司的应用和设备用户（即公司员工）可能具有多个应用要求。 你可能会发现评估和了解若干应用基础知识是有帮助的，然后再将应用添加到 Intune 并向员工提供。 Intune 提供多种类型的应用。 必须确定公司用户所需的应用需求，例如你的员工所需的平台和功能。 必须确定是要使用 Intune 管理设备（包括应用），还是要使用 Intune 管理应用（不包括设备）。 此外，必须确定员工所需的应用和功能，以及需要这些应用和功能的具体人员。 本文的信息可帮助你开始使用。

在将应用添加到 Intune 之前，请考虑查看支持应用类型并评估应用要求。 有关详细信息，请参阅将应用添加到 Microsoft Intune。

提示

若要更好地了解 Intune 的应用类型、应用购买和应用许可证，请参阅为 Microsoft Intune购买和添加应用解决方案。 此解决方案内容还提供了评估应用要求、创建应用类别、购买应用和添加应用的建议步骤。 此外，此解决方案内容介绍了如何管理应用和应用许可证。

添加 Microsoft 应用

Intune 包含许多基于用于 Intune 的 Microsoft 许可证的 Microsoft 应用。 若要详细了解包括 Intune 的不同 Microsoft 企业许可证，请参阅Microsoft Intune许可。 若要比较 Microsoft 365 提供的不同 Microsoft 应用，请参阅 Microsoft 365 提供的许可选项。 若要查看每个计划的所有选项 (包括可用的 Microsoft 应用) ，请下载完整的 Microsoft 订阅比较表，并找到包含Microsoft Intune的计划。

可用的应用类型之一是，适用于 Windows 10 设备的 Microsoft 365 应用。 通过在 Intune 中选择此应用类型，可以将 Microsoft 365 应用分配给管理Windows 10运行的设备并安装 Microsoft 365 应用。 如果你拥有Microsoft Project Online桌面客户端和 Microsoft Visio Online 计划 2 的许可证，还可以分配和安装应用。 可用的 Microsoft 365 应用在 Azure Intune 控制台中的应用列表中显示为单个条目。

将以下核心 Microsoft 应用添加到 Intune：

• Microsoft Edge
• Microsoft Excel
• Microsoft Office
• Microsoft OneDrive
• Microsoft OneNote
• Microsoft Outlook
• Microsoft PowerPoint
• Microsoft SharePoint
• Microsoft Teams
• 微软待办
• Microsoft Word

有关将 Microsoft 应用添加到 Intune 的详细信息，请转到以下主题：

• 将应用添加到 Microsoft Intune
• 使用 Microsoft Intune 向 Windows 10/11 设备添加Microsoft 365 应用版

(可选) 添加应用商店应用

Intune 控制台中显示的许多标准应用商店应用都可供你免费添加和部署到组织成员。 此外，还可以为每个设备平台购买应用商店应用。

下表提供了适用于应用商店应用的不同类别：

应用商店应用类别	说明
免费应用商店应用	可以自由将这些应用添加到 Intune，并将其部署到组织成员。 这些应用不需要任何额外费用即可使用。
购买的应用	在添加到 Intune 之前，必须购买这些应用的许可证。 (Windows、iOS、Android) 的每个设备平台都提供一种标准方法来购买这些应用的许可证。 Intune 提供用于管理每个最终用户的应用许可证的方法。
需要应用开发人员提供帐户、订阅或许可证的应用	可以从 Intune 自由添加和部署这些应用，但应用可能需要应用供应商提供的帐户、订阅或许可证。 有关支持 Intune 管理功能的应用列表，请参阅 合作伙伴生产力应用 和 合作伙伴 UEM 应用。 注意： 对于可能需要帐户、订阅或许可证的应用，必须联系应用供应商以获取特定应用详细信息。
Intune 许可证中包含的应用	与 Microsoft Intune 一起使用的许可证可能包括所需的应用许可证。

注意

除了购买应用许可证，还可以创建 Intune 策略，允许最终用户将个人帐户添加到其设备以购买非托管应用。

有关将 Microsoft 应用添加到 Intune 的详细信息，请转到以下主题：

• 将 Microsoft Store 应用添加到 Microsoft Intune
• 将 iOS 应用商店应用添加到 Microsoft Intune
• 将 Android 应用商店应用添加到 Microsoft Intune

使用 Intune 配置应用

应用配置策略可以通过允许为策略选择配置设置来帮助消除应用设置问题。 然后，在最终用户运行特定应用之前，会将该策略分配给他们。 然后在最终用户设备上配置应用时自动提供设置。 最终用户不需要执行操作。 配置设置对于每个应用都是唯一的。

可以创建和使用应用配置策略，为 iOS/iPadOS 或 Android 应用提供配置设置。 这些配置设置允许使用应用配置和管理自定义应用。 当应用检查这些设置（通常是第一次运行应用）时，将使用配置策略设置。

例如，应用配置设置可能需要指定以下任何详细信息：

• 自定义端口号
• 语言设置
• 安全设置
• 品牌设置，如公司徽标

如果最终用户改为输入这些设置，他们可能会错误地执行此操作。 应用配置策略有助于在整个企业中提供一致性，并减少最终用户尝试自行配置设置的技术支持呼叫。 使用应用配置策略可以更轻松、更快地采用新应用。

可用的配置参数最终由应用的开发人员决定。 应查看来自应用程序供应商的文档，以查看应用是否支持配置以及哪些配置可用。 对于某些应用程序，Intune 将填充可用配置设置。

有关应用配置的详细信息，请转到以下主题：

• Microsoft Intune 的应用配置策略
• 为托管iOS/iPadOS 设备添加应用配置策略
• 为托管 Android Enterprise 设备添加应用配置策略

配置 Microsoft Outlook

Outlook for iOS 和 Android 应用旨在通过汇集电子邮件、日历、联系人和其他文件，使组织中的用户能够从其移动设备执行更多操作。

订阅 企业移动性 + 安全性 套件（包括Microsoft Intune和Microsoft Entra ID P1 或 P2 功能（如条件访问）时，Microsoft 365 数据最丰富、最广泛的保护功能可用。 至少需要部署一个条件访问策略，该策略允许从移动设备连接到 Outlook for iOS 和 Android，以及确保协作体验受到保护的 Intune 应用保护策略。

有关配置 Microsoft Outlook 的详细信息，请转到以下主题：

• 使用 Outlook for iOS 和 Android 和 Microsoft Intune 管理消息协作访问

配置 Microsoft Edge

适用于 iOS 和 Android 的 Edge 旨在使用户能够浏览 Web 并支持多身份。 用户可以添加工作帐户和个人帐户进行浏览。 这两个标识完全分离，这与其他 Microsoft 移动应用中提供的内容类似。

有关配置 Microsoft Edge 的详细信息，请转到以下主题：

• 使用 Intune 在 iOS 和 Android 上管理 Microsoft Edge

配置 VPN

虚拟专用网络 (VPN) 允许用户远程访问组织资源，包括从家里、酒店、咖啡馆等。 在 Microsoft Intune 中，可以使用应用配置策略在 Android Enterprise 设备上配置 VPN 客户端应用。 然后，将此策略及其 VPN 配置部署到组织中的设备。

还可以创建特定应用使用的 VPN 策略。 此功能称为每应用 VPN。 当应用处于活动状态时，它可以连接到 VPN，并通过 VPN 访问资源。 当应用不处于活动状态时，不使用 VPN。

有关配置电子邮件的详细信息，请转到以下主题：

• 在 Microsoft Intune 的 Android Enterprise 设备上使用 VPN 和按应用 VPN 策略

使用 Intune 保护应用

应用保护策略 (APP) 是可确保组织数据在托管应用中保持安全或受到控制的规则。 策略可以是在用户尝试访问或移动“公司”数据时强制执行的规则，或在用户位于应用内时受到禁止或监视的一组操作。 受管理应用是一种自身执行应用保护策略的应用，可由 Intune 管理。

借助移动应用管理 (MAM) 应用保护策略，可以管理和保护应用程序内的组织数据。 许多实现高效工作的应用（如 Microsoft Office 应用）可由 Intune MAM 进行管理。 请参阅可供公众使用的 Microsoft Intune 保护的应用的官方列表。

Intune 提供移动应用安全性的主要方式之一是通过策略。 应用保护策略允许执行以下操作：

• 使用Microsoft Entra标识将组织数据与个人数据隔离开来。 因此，个人信息与组织 IT 识别隔离。 使用组织凭据访问的数据被授予其他安全保护。
• 通过限制用户可以对组织数据执行的操作（例如复制和粘贴、保存和查看），帮助保护个人设备上的访问。
• 在 Intune 中注册、在另一移动设备管理 (MDM) 服务中注册或未在任何 MDM 服务中注册的设备上创建和部署。

注意

应用保护策略旨在跨一组应用统一应用，例如在所有 Office 移动应用中应用策略。

组织可以同时使用具有和不使用 MDM 的应用保护策略。 例如，假设一位员工同时使用公司发行的平板电脑和他们自己的个人手机。 公司平板电脑在 MDM 中注册并受应用保护策略保护，而其个人手机仅受应用保护策略的保护。

有关 Intune 中的应用保护的详细信息，请转到以下主题：

• 应用保护策略概述
• 如何创建和分配应用保护策略。

应用保护级别

随着越来越多的组织实施移动设备策略来访问工作或学校数据，防止数据泄露变得至关重要。 Intune 用于防止数据泄漏的移动应用程序管理解决方案是应用保护策略 (APP) 。 APP 是确保组织数据在托管应用中保持安全或包含在托管应用中的规则，无论设备是否已注册。

配置应用保护策略时，可用的不同设置和选项允许组织根据其特定需求自定义保护。 由于这种灵活性，实现完整方案可能需要哪种策略设置排列可能并不明显。 为了帮助组织确定客户端终结点强化工作的优先级，Microsoft 在 Windows 10 中引入了新的安全配置分类，Intune 正在利用类似的分类来对其移动应用管理的 APP 数据保护框架。

APP 数据保护配置框架分为三种不同的配置方案：

• 级别 1 企业基本数据保护 - Microsoft 建议将此配置作为企业设备的最低数据保护配置。

• 级别 2 企业增强数据保护 - Microsoft 建议对用户访问敏感或机密信息的设备使用此配置。 此配置适用于访问工作或学校数据的大多数移动用户。 某些控制可能会影响用户体验。

• 级别 3 企业高数据保护 - Microsoft 建议将此配置用于由具有更大或更复杂安全团队的组织运行的设备，或者对于具有独特高风险的特定用户或组， (处理高度敏感数据的用户，其中未经授权的披露会导致组织) 遭受重大重大损失。 一个组织可能成为资金雄厚的复杂攻击者的目标，应该渴望这种配置。

基本应用保护 (级别 1)

Intune (级别 1) 中的基本应用保护是企业移动设备的最低数据保护配置。 此配置通过要求 PIN 访问工作或学校数据、加密工作或学校帐户数据以及提供选择性擦除学校或工作数据的功能，取代了对基本Exchange Online设备访问策略的需求。 但是，与Exchange Online设备访问策略不同，以下应用保护策略设置适用于策略中选择的所有应用，从而确保数据访问不受移动消息传送方案保护。

级别 1 中的策略强制实施合理的数据访问级别，同时尽量减少对用户的影响，并在 Microsoft Intune 内创建应用保护策略时镜像默认的数据保护和访问要求设置。

有关基本应用保护的特定数据保护、访问要求和条件启动设置，请转到以下主题：

• 级别 1 企业基本数据保护。

增强的应用保护 (级别 2)

Intune (级别 2) 中增强的应用保护是建议作为用户访问敏感信息的设备的标准数据保护配置。 这些设备如今是企业中的自然目标。 这些建议不假设大量高技能的安全从业者，因此大多数企业组织应该可以访问这些建议。 此配置通过限制数据传输方案和要求最低操作系统版本来扩展级别 1 中的配置。

在级别 2 中强制实施的策略设置包括针对级别 1 建议的所有策略设置，但仅列出以下已添加或更改的设置，以实现比级别 1 更多的控件和更复杂的配置。 虽然这些设置对用户或应用程序的影响可能略高一些，但它们强制执行的数据保护级别与用户访问移动设备上的敏感信息时面临的风险更相称。

有关用于增强应用保护的特定数据保护和条件启动设置，请转到以下主题：

• 级别 2 企业增强型数据保护。

高级应用保护 (级别 3)

针对 Intune (级别 3) 的高应用保护是建议作为具有大型复杂安全组织的组织或特定用户和组（将作为攻击者唯一目标的特定用户和组）的标准数据保护配置。 此类组织通常以资金雄厚的老练对手为目标，因此需要所述的其他约束和控制。 此配置通过限制其他数据传输方案、增加 PIN 配置的复杂性以及添加移动威胁检测，扩展了级别 2 中的配置。

在级别 3 中强制实施的策略设置包括针对级别 2 建议的所有策略设置，但仅列出以下已添加或更改的设置，以实现比级别 2 更多的控件和更复杂的配置。 这些策略设置可能会对用户或应用程序产生潜在重大影响，从而强制执行与目标组织面临的风险相称的安全级别。

有关基本应用保护的特定数据保护、访问要求和条件启动设置，请转到以下主题：

• 级别 3 企业高数据保护。

保护托管设备上的 Exchange Online 电子邮件

可以将设备符合性策略与条件访问结合使用，以确保组织的设备仅当受 Intune 管理并使用批准的电子邮件应用时才能访问Exchange Online电子邮件。 可以创建 Intune 设备符合性策略，以设置设备必须满足才能被视为合规的条件。 还可以创建Microsoft Entra条件访问策略，该策略要求设备在 Intune 中注册、符合 Intune 策略，并使用批准的 Outlook 移动应用访问Exchange Online电子邮件。

有关保护Exchange Online的详细信息，请转到以下主题：

• 教程：保护托管设备上的 Exchange Online 电子邮件

对于使用应用保护策略的最终用户要求

以下列表提供了在 Intune 管理的应用上使用应用保护策略的最终用户要求，其中包括：

• 最终用户必须具有Microsoft Entra帐户。 请参阅向 Intune 添加用户和授予管理权限，了解如何使用 Microsoft Entra ID 创建 Intune 用户。
• 最终用户必须具有分配给其Microsoft Entra帐户Microsoft Intune的许可证。 请参阅管理 Intune 许可证，以了解如何向最终用户分配 Intune 许可证。
• 最终用户必须属于应用保护策略针对的安全组。 相同的应用保护策略必须针对正在使用的特定应用。 可以在Microsoft Intune管理中心中创建和部署应用保护策略。 当前可以在 Microsoft 365 管理中心创建安全组。
• 最终用户必须使用其Microsoft Entra帐户登录到应用。

遵循建议的最低基线策略

1. 设置 Microsoft Intune
2. 🡺 (添加、配置和保护应用)
3. 规划合规性策略
4. 配置设备功能
5. 注册设备