分享方式:


Microsoft Intune App SDK 概觀

適用於 iOS 和 Android 的 Intune App SDK 可讓您的應用程式支援 Intune 應用程式保護原則。 當您的應用程式已對其套用應用程式防護原則時,它可以由 Intune 管理,且 Intune 會識別為受管理的應用程式。 SDK 致力於將應用程式開發人員所需的程式代碼變更量降至最低。 您會發現您可以啟用大部分的 SDK 功能,而不需要變更應用程式的行為。 如需增強的使用者和 IT 系統管理員體驗,您可以利用 SDK 的 API 來自定義您的應用程式行為,以支援需要您應用程式參與的功能。

啟用應用程式以支援 Intune 應用程式保護原則之後,IT 系統管理員就可以部署這些原則來保護應用程式內的公司數據。

應用程式保護功能

以下是可使用 SDK 啟用的 Intune 應用程式保護功能範例。

控制用戶移動公司檔案的能力

IT 系統管理員可以控制應用程式中公司或學校數據可以移動的位置。 例如,他們可以部署原則來停用應用程式,使其無法將公司數據備份至雲端。

設定剪貼簿限制

IT 系統管理員可以在 Intune 管理的應用程式中設定剪貼簿行為。 例如,他們可以部署原則,以防止使用者從應用程式剪下或複製數據,並貼到非受控的個人應用程式。

對儲存的數據強制加密

IT 系統管理員可以強制執行原則,以確保應用程式儲存到裝置的數據已加密。

從遠端抹除公司數據

IT 系統管理員可以從 Intune 管理的應用程式遠端抹除公司數據。 這項功能是以身分識別為基礎,只會刪除與使用者的公司身分識別相關聯的檔案。 若要這樣做,此功能需要應用程式的參與。 應用程式可以指定應該根據使用者設定進行抹除的身分識別。 如果沒有來自應用程式的這些指定使用者設定,預設行為是抹除應用程式目錄,並通知使用者已移除存取權。

強制使用Managed瀏覽器

IT 系統管理員可以強制使用 Microsoft Edge 應用程式開啟應用程式中的 Web 連結。 這項功能可確保出現在公司環境中的連結會保留在 Intune 受控應用程式的網域內。

強制執行 PIN 原則

IT 系統管理員可以在存取應用程式中的公司數據之前,要求使用者輸入 PIN。 這可確保使用應用程式的人員與最初使用其公司或學校帳戶登入的人員相同。 當用戶設定其 PIN 時,Intune App SDK 會使用 Microsoft Entra ID 來驗證使用者對已註冊 Intune 帳戶的認證。

要求使用者使用公司或學校帳戶登入以存取應用程式

IT 系統管理員可以要求使用者使用其公司或學校帳戶登入,才能存取應用程式。 Intune App SDK 會使用 Microsoft Entra ID 來提供單一登錄體驗,其中輸入的認證會重複用於後續登入。 我們也支援使用 Microsoft Entra ID 同盟的身分識別管理解決方案驗證。

檢查裝置健康情況與合規性

IT 系統管理員可以在終端使用者存取應用程式之前,檢查裝置的健康情況及其與 Intune 原則的合規性。 在 iOS/iPadOS 上,此原則會檢查裝置是否已越獄。 在Android上,此原則會檢查裝置是否已進行Root破解。

支援多重身分識別

多重身分識別支援是 SDK 的一項功能,可讓受原則管理的 (公司) 和 Unmanaged (單一應用程式中的個人) 帳戶共存。

例如,許多使用者會在iOS和Android版 Office 行動裝置應用程式中設定公司和個人電子郵件帳戶。 當使用者使用其公司帳戶存取數據時,IT 系統管理員必須確信將會套用應用程式保護原則。 不過,當使用者存取個人電子郵件帳戶時,該數據應該不在IT系統管理員的控制範圍之外。 Intune App SDK 可藉由將應用程式保護原則設為 限應用程式中的公司身分識別來達成此目的。

多重身分識別功能可協助解決組織在支持個人和工作帳戶的市集應用程式時所遇到的數據保護問題。

不註冊裝置的應用程式保護

重要事項

Intune App Wrapping Tools、適用於 Android 的 Intune App SDK、適用於 iOS 的 Intune App SDK 和 Intune App SDK Xamarin 系結提供不需裝置註冊的 Intune 應用程式保護。

許多具有個人裝置的使用者都想要存取公司數據,而不需向行動裝置管理 (MDM) 提供者註冊其個人裝置。 由於 MDM 註冊需要全域控制裝置,因此使用者通常會對將個人裝置的控制權授與公司,

不註冊裝置的應用程式保護可讓 Microsoft Intune 服務直接將應用程式保護原則部署至應用程式,而不需要依賴裝置管理通道來部署原則。

後續步驟