適用於 Windows 的應用程式保護原則設定

發行項
07/30/2024

本文說明適用於 Windows 的應用程式) 設定 (應用程式保護原則。當您建立新原則時，可以在 Intune 系統管理中心的 [設定 ] 窗格 上，針對應用程式保護原則設定所描述的原則設定。

您可以透過個人 Windows 裝置上的 Microsoft Edge，啟用受保護的 MAM 存取組織數據。這項功能稱為 Windows MAM ，可使用 Intune 應用程式設定原則 (ACP) 、Intune 應用程式保護原則 (APP) 、Windows 資訊安全中心客戶端威脅防護和應用程式保護條件式存取來提供功能。如需 Windows MAM 的詳細資訊，請參閱 Windows MAM 的數據保護、建立適用於 Windows 的 MTD 應用程式保護原則，以及使用 Intune 設定適用於 Windows 的 Microsoft Edge。

適用於 Windows 的應用程式保護原則設定有兩種類別：

重要事項

Windows 上的 Intune MAM 支援非受控裝置。如果裝置已受管理，則會封鎖 Intune MAM 註冊，且不會套用應用程式設定。如果裝置在 MAM 註冊之後變成受控，將不再套用應用程式設定。

資料保護

數據保護設定會影響組織數據和內容。身為系統管理員，您可以控制將數據移入和移出組織保護的內容。組織內容是由指定組織帳戶存取的檔、服務和網站所定義。下列原則設定有助於控制接收到組織內容的外部數據，以及從組織內容傳送的組織數據。

數據傳輸

設定	如何使用	預設值
從接收數據	選取下列其中一個選項，以指定組織使用者可以接收資料的來源：所有來源：組織使用者可以從任何帳戶、檔、位置或應用程式將數據開啟到組織內容。沒有來源：組織使用者無法從外部帳戶、檔、位置或應用程式將數據開啟至組織內容。注意：針對 Microsoft Edge，沒有任何來源可透過拖放或開啟檔案對話框來控制檔案上傳行為。將會封鎖在網站/索引標籤之間檢視和共用檔案的本機檔案。	所有來源
將組織數據傳送至	選取下列其中一個選項來指定組織使用者可以傳送資料的目的地：所有目的地：組織使用者可以將組織數據傳送至任何帳戶、檔、位置或應用程式。沒有目的地：組織使用者無法從組織內容將組織數據傳送至外部帳戶、檔、位置或應用程式。注意：針對 Microsoft Edge，沒有目的地會封鎖檔案下載。這表示將會封鎖網站/索引標籤之間的共享檔案。	所有目的地
允許剪下、複製和貼上	選取下列其中一個選項，以指定使用者可以剪下或複製或貼上組織資料的來源和目的地組織：任何目的地和任何來源：組織使用者可以貼上來自的數據，並將數據剪下/複製到任何帳戶、檔、位置或應用程式。沒有目的地或來源：組織使用者無法將數據從外部帳戶、檔、位置或應用程式剪下、複製或貼到組織內容中或從外部帳戶、檔、位置或應用程式剪下、複製或貼到組織內容中。注意：針對 Microsoft Edge，沒有任何目的地或來源區塊只會在 Web 內容中剪下、複製和貼上行為。所有 Web 內容都會停用剪下、複製和貼上，但不會停用應用程式控制件，包括網址列。	任何目的地和任何來源

功能

設定	如何使用	預設值
列印組織數據	選取 [封鎖 ] 以防止列印組織數據。選取 [允許 ] 以允許列印組織數據。個人或非受控數據不會受到影響。	Allow

健康情況檢查

設定應用程式保護原則的健康情況檢查條件。選取 [設定 ]，然後輸入用戶必須符合才能存取組織數據的 [值 ]。然後選取您想要在使用者不符合條件時採取的動作。在某些情況下，單一設定可以設定多個動作。如需詳細資訊，請參閱健康情況檢查動作。

應用程式條件

設定下列健康情況檢查設定，以在允許存取組織帳戶和數據之前驗證應用程式組態。

注意事項

原則 管理的應用程式 一詞是指使用應用程式保護原則設定的應用程式。

設定	如何使用	預設值
離線寬限期	受原則管理的應用程式可以離線執行的分鐘數。指定重新檢查應用程式存取需求之前) 分鐘 (的時間。動作包括：封鎖存取 (分鐘) ：受原則管理的應用程式可以脫機執行的分鐘數。指定重新檢查應用程式存取需求之前) 分鐘 (的時間。設定的期間到期之後，應用程式會封鎖對公司或學校數據的存取，直到有網路存取權。封鎖數據存取的離線寬限期定時器會根據上次簽入 Intune 服務來計算。此原則設定格式支援正整數。 ) (天抹除數據：在系統管理員) 定義這幾天 (離線執行之後，應用程式會要求用戶連線到網路並重新驗證。如果使用者成功驗證，他們可以繼續存取其數據，並重設離線間隔。如果使用者無法驗證，應用程式將會執行使用者帳戶和數據的選擇性抹除。如需使用選擇性抹除移除哪些數據的詳細資訊，請參閱如何只抹除來自 Intune 受控應用程式的公司數據。抹除數據的離線寬限期定時器是由應用程式根據上次簽入 Intune 服務來計算。此原則設定格式支援正整數。此專案可能會出現多次，且每個實例都支援不同的動作。	封鎖存取 (分鐘) ： 720 分鐘 (12 小時) ) (天抹除數據： 90 天
最低應用程式版本	指定最低應用程式版本值的值。動作包括：警告 - 如果裝置上的應用程式版本不符合需求，使用者會看到通知。此通知可以關閉。封鎖存取 - 如果裝置上的應用程式版本不符合需求，則會封鎖使用者存取。抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。由於應用程式之間通常會有不同的版本控制配置，因此請建立一個以一個應用程式為目標之最低應用程式版本的原則。此專案可能會出現多次，且每個實例都支援不同的動作。此原則設定支援比對 windows 應用程式套件組合版本格式， (major.minor 或 major.minor.patch) 。	沒有預設值
最低 SDK 版本	指定 Intune SDK 版本的最小值。動作包括：封鎖存取 - 如果應用程式的 Intune 應用程式保護原則 SDK 版本不符合需求，則會封鎖使用者存取。抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。此專案可能會出現多次，且每個實例都支援不同的動作。	沒有預設值
已停用帳戶	如果停用使用者的 Microsoft Entra 帳戶，請指定自動化動作。系統管理員只能指定一個動作。此設定沒有要設定的值。動作包括：封鎖存取 - 當我們確認使用者已在 Microsoft Entra ID 中停用時，應用程式會封鎖對公司或學校數據的存取。抹除數據 - 當我們確認使用者已在 Microsoft Entra ID 中停用時，應用程式將會執行使用者帳戶和數據的選擇性抹除。注意：如果因連線、驗證或任何其他原因而無法確認用戶狀態，將不會強制執行封鎖存取和抹除數據) (這些動作。	沒有預設值

裝置條件

設定下列健康情況檢查設定，以在允許存取組織帳戶和數據之前驗證裝置設定。您可以為已註冊的裝置設定類似的裝置型設定。深入瞭解如何設定已註冊裝置的裝置相容性設定。

設定如何使用預設值

設定	如何使用	預設值
最低OS版本	指定使用此應用程式的最低 Windows 作業系統。動作包括：警告 - 如果裝置上的 Windows 版本不符合需求，使用者會看到通知。此通知可以關閉。封鎖存取 - 如果裝置上的 Windows 版本不符合此需求，將會封鎖使用者存取。抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。此專案可能會出現多次，且每個實例都支援不同的動作。此原則設定格式支援 major.minor、major.minor.build、major.minor.build.revision。若要尋找 Windows 版本，請開啟命令提示字元。版本會顯示在 [命令提示字元] 視窗的頂端。要使用的版本格式範例是 10.0.22631.3155。請注意，如果您使用 `winver` 命令，您只會看到OS組建 (，例如22631.3155) ，這不是要使用的正確格式。
OS 版本上限	指定使用此應用程式的最大 Windows 作業系統。動作包括：警告 - 如果裝置上的 Windows 版本不符合需求，使用者會看到通知。此通知可以關閉。封鎖存取 - 如果裝置上的 Windows 版本不符合此需求，將會封鎖使用者存取。抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。此專案可能會出現多次，且每個實例都支援不同的動作。此原則設定格式支援 major.minor、major.minor.build、major.minor.build.revision。
允許的裝置威脅等級上限	應用程式保護原則可以利用 Intune-MTD 連接器。指定可接受使用此應用程式的最大威脅層級。威脅取決於您在終端使用者裝置上選擇的Mobile Threat Defense (MTD) 廠商應用程式。指定 [安全]、 [低]、[ 中] 或 [ 高]。受保護不需要裝置上的威脅，而且是最嚴格的可設定值，而 High 基本上需要使用中的 Intune 對 MTD 連線。動作包括：封鎖存取 - 如果您在終端使用者裝置上選擇的Mobile Threat Defense (MTD) 廠商應用程式所決定的威脅層級不符合此需求，則會封鎖使用者存取。抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。如需使用此設定的詳細資訊，請參閱為未註冊的裝置啟用 MTD。

最低OS版本

指定使用此應用程式的最低 Windows 作業系統。

動作包括：

警告 - 如果裝置上的 Windows 版本不符合需求，使用者會看到通知。此通知可以關閉。
封鎖存取 - 如果裝置上的 Windows 版本不符合此需求，將會封鎖使用者存取。
抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。

此專案可能會出現多次，且每個實例都支援不同的動作。

此原則設定格式支援 major.minor、major.minor.build、major.minor.build.revision。

若要尋找 Windows 版本，請開啟命令提示字元。版本會顯示在 [命令提示字元] 視窗的頂端。要使用的版本格式範例是 10.0.22631.3155。請注意，如果您使用 winver 命令，您只會看到OS組建 (，例如22631.3155) ，這不是要使用的正確格式。

OS 版本上限

指定使用此應用程式的最大 Windows 作業系統。

動作包括：

警告 - 如果裝置上的 Windows 版本不符合需求，使用者會看到通知。此通知可以關閉。
封鎖存取 - 如果裝置上的 Windows 版本不符合此需求，將會封鎖使用者存取。
抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。

此專案可能會出現多次，且每個實例都支援不同的動作。

此原則設定格式支援 major.minor、major.minor.build、major.minor.build.revision。

允許的裝置威脅等級上限

應用程式保護原則可以利用 Intune-MTD 連接器。指定可接受使用此應用程式的最大威脅層級。威脅取決於您在終端使用者裝置上選擇的Mobile Threat Defense (MTD) 廠商應用程式。指定 [安全]、 [低]、[ 中] 或 [ 高]。 受保護 不需要裝置上的威脅，而且是最嚴格的可設定值，而 High 基本上需要使用中的 Intune 對 MTD 連線。

動作包括：

封鎖存取 - 如果您在終端使用者裝置上選擇的Mobile Threat Defense (MTD) 廠商應用程式所決定的威脅層級不符合此需求，則會封鎖使用者存取。
抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。

如需使用此設定的詳細資訊，請參閱為未註冊的裝置啟用 MTD。

其他資訊

如需適用於 Windows 裝置之 APP 的詳細資訊，請參閱下列資源：

共用方式為

適用於 Windows 的應用程式保護原則設定

資料保護

數據傳輸

功能

健康情況檢查

應用程式條件

裝置條件

其他資訊

意見反應

其他資源