如何创建和分配应用保护策略
了解如何为组织用户创建和分配 Microsoft Intune 应用保护策略 (APP) 。 本文还介绍如何对现有策略进行更改。
开始之前
应用保护策略可以应用于在可能由 Intune 管理或可能不会由 Intune 管理的设备上运行的应用。 有关应用保护策略的工作原理和 Intune 应用保护策略支持的方案的更详细说明,请参阅 应用保护策略概述。
应用保护策略 (APP) 中可用的选项使组织能够根据特定需求调整保护。 对于某些组织而言,实现完整方案所需的策略设置可能并不明显。 为了帮助组织确定移动客户端终结点强化的优先级,Microsoft 为其面向 iOS 和 Android 移动应用管理的 APP 数据保护框架引入了分类法。
APP 数据保护框架分为三个不同的配置级别,每个级别基于上一个级别进行构建:
- 企业基本数据保护(级别 1)可确保应用受 PIN 保护和经过加密处理,并执行选择性擦除操作。 对于 Android 设备,此级别验证 Android 设备证明。 这是一个入门级配置,可在 Exchange Online 邮箱策略中提供类似的数据保护控制,并将 IT 和用户群引入 APP。
- 企业增强型数据保护(级别 2)引入了 APP 数据泄露预防机制和最低 OS 要求。 此配置适用于访问工作或学校数据的大多数移动用户。
- 企业高级数据保护(级别 3)引入了高级数据保护机制、增强的PIN 配置和 APP 移动威胁防御。 此配置适用于访问高风险数据的用户。
若要查看每个配置级别的具体建议以及必须受保护的核心应用,请查看使用应用保护策略的数据保护框架。
如果要查找已集成 Intune SDK 的应用列表,请参阅 Microsoft Intune 保护的应用。
有关将组织的业务线 (LOB) 应用添加到 Microsoft Intune 以准备应用保护策略的信息,请参阅 将应用添加到 Microsoft Intune。
适用于 iOS/iPadOS 和 Android 应用的应用保护策略
为 iOS/iPadOS 和 Android 应用创建应用保护策略时,会遵循新式 Intune 进程流,从而生成新的应用保护策略。 有关为 Windows 应用创建应用保护策略的信息,请参阅 适用于 Windows 的应用保护策略设置。
创建 iOS/iPadOS 或 Android 应用保护策略
- 登录到 Microsoft Intune 管理中心。
- 选择应用>应用保护策略。 此选项将打开 应用保护策略 详细信息,可在其中创建新策略并编辑现有策略。
- 选择 “创建策略” ,然后选择 “iOS/iPadOS” 或 “Android”。 显示 “创建策略” 窗格。
- 在“基本信息”页上,添加以下值:
值 | 说明 |
---|---|
名称 | 此应用保护策略的名称。 |
说明 | [可选]此应用保护策略的说明。 |
单击“ 下一步 ”以显示 “应用” 页。
“ 应用 ”页允许你选择此策略应针对哪些应用。 必须至少添加一个应用。值/选项 说明 目标策略 在“ 目标策略目标 ”下拉框中,选择将应用保护策略定位到 “所有应用”、“ Microsoft应用”或 “核心Microsoft应用”。 - 所有应用 包括集成了 Intune SDK 的所有Microsoft和合作伙伴应用。
- Microsoft应用 包括已集成 Intune SDK 的所有Microsoft应用。
- 核心Microsoft应用 包括以下应用:Microsoft Edge、Excel、Office、OneDrive、OneNote、Outlook、PowerPoint、SharePoint、Teams、To Do 和 Word。
公共应用 如果不想选择其中一个预定义的应用组,可以通过在“目标策略目标”下拉框中选择 “所选应用 ”来选择以单个应用 为目标 。 单击“ 选择公共应用 ”,选择要面向的公共应用。 自定义应用 如果不想选择其中一个预定义的应用组,可以通过在“目标策略目标”下拉框中选择 “所选应用 ”来选择以单个应用 为目标 。 单击“ 选择自定义应用 ”,根据捆绑包 ID 选择要面向的自定义应用。 在同一策略中面向所有公共应用时,不能选择自定义应用。 所选的应用 () 将显示在公共和自定义应用列表中。
注意
支持公共应用 是来自 Microsoft 和合作伙伴的应用,这些应用通常与 Microsoft Intune 配合使用。 这些 Intune 保护的应用通过一组丰富的移动应用程序保护策略支持来启用。 有关详细信息,请参阅 Microsoft Intune 保护的应用。 自定义应用是已与 Intune SDK 集成或由 Intune 应用包装工具包装的 LOB 应用。 有关详细信息,请参阅 Microsoft Intune 应用 SDK 概述 和 为应用保护策略准备业务线应用。
单击“ 下一步 ”以显示 “数据保护 ”页。
本页提供数据丢失预防 (DLP) 控制的设置,包括剪切、复制、粘贴和另存为限制。 这些设置决定了用户如何与该应用保护策略所适用应用中的数据进行交互。数据保护设置:
- iOS/iPadOS 数据保护 - 有关信息,请参阅 iOS/iPadOS 应用保护策略设置 - 数据保护。
- Android 数据保护 - 有关信息,请参阅 Android 应用保护策略设置 - 数据保护。
单击“ 下一步 ”以显示 “访问要求 ”页。
本页面所提供的设置允许配置用户必须满足的 PIN 和凭证要求,以便在工作环境中访问应用。访问要求设置:
- iOS/iPadOS 访问要求 - 有关详细信息,请参阅 iOS/iPadOS 应用保护策略设置 - 访问要求。
- Android 访问要求 - 有关信息,请参阅 Android 应用保护策略设置 - 访问要求。
单击“ 下一步 ”以显示 “条件启动 ”页。
本页面提供设置,为应用保护策略设置登录安全要求。 选择 “设置” 并输入登录到公司应用时必须满足的 “值”。 然后选择用户不满足要求时要执行的操作。 在某些情况下,可以为单个设置配置多个操作。条件启动设置:
- iOS/iPadOS 条件启动 - 有关详细信息,请参阅 iOS/iPadOS 应用保护策略设置 - 条件启动。
- Android 条件启动 - 有关信息,请参阅 Android 应用保护策略设置 - 条件启动。
单击“下一步”以显示“分配”页面。
“ 分配 ”页允许将应用保护策略分配给用户组。 必须将策略应用于用户组才能使策略生效。单击“ 下一步:查看 + 创建 ”,查看为此应用保护策略输入的值和设置。
完成后,单击“ 创建 ”,在 Intune 中创建应用保护策略。
提示
仅当在工作上下文中使用应用时,才会强制实施这些策略设置。 当最终用户使用应用执行个人任务时,他们不受这些策略的影响。 请注意,创建新文件时,该文件被视为个人文件。
重要
应用保护策略可能需要一段时间才能应用于现有设备。 应用应用应用保护策略时,最终用户将在设备上看到通知。 在应用持续访问规则之前,将应用保护策略应用于设备。
最终用户可以从应用商店或 Google Play 下载应用。 有关更多信息,请参阅:
更改现有策略
可以编辑现有策略并将其应用到目标用户。 有关策略传递计时的详细信息,请参阅 了解应用保护策略传递计时。
更改与策略关联的应用列表
在 “应用保护策略 ”窗格中,选择要更改的策略。
在 “Intune 应用保护 ”窗格中,选择“ 属性”。
在标题为 “应用”的部分旁边,选择“ 编辑”。
“ 应用 ”页允许你选择此策略应针对哪些应用。 必须至少添加一个应用。
值/选项 说明 公共应用 在“ 目标策略目标 ”下拉框中,选择将应用保护策略定位到 “所有公共应用”、“ Microsoft应用”或 “核心Microsoft应用”。 接下来,可以选择“ 查看应用列表”,这些应用将作为目标 ,以查看将受此策略影响的应用列表。 如果需要,可以通过单击“ 选择公共应用”来选择面向单个应用。
自定义应用 单击“ 选择自定义应用 ”,根据捆绑包 ID 选择要面向的自定义应用。 所选的应用 () 将显示在公共和自定义应用列表中。
单击“ 查看 + 创建 ”,查看为此策略选择的应用。
完成后,单击“ 保存 ”更新应用保护策略。
更改用户组列表
在 “应用保护策略 ”窗格中,选择要更改的策略。
在 “Intune 应用保护 ”窗格中,选择“ 属性”。
在标题为 “作业”的部分旁边,选择“ 编辑”。
若要向策略添加新用户组,请在“ 包括 ”选项卡上选择 “选择要包含的组”,然后选择用户组。 选择 “选择” 以添加组。
若要排除用户组,请在“ 排除 ”选项卡上选择 “选择要排除的组”,然后选择用户组。 选择 “选择” 以删除用户组。
若要删除之前添加的组,请在“ 包括 ”或“ 排除 ”选项卡上,选择省略号 (...) ,然后选择“ 删除”。
单击“ 查看 + 创建 ”,查看为此策略选择的用户组。
完成对分配的更改后,选择“ 保存” 以保存配置并将策略部署到新用户集。 如果在保存配置之前选择 “取消 ”,则会放弃对“ 包括 ”和“ 排除 ”选项卡所做的所有更改。
更改策略设置
在 “应用保护策略 ”窗格中,选择要更改的策略。
在 “Intune 应用保护 ”窗格中,选择“ 属性”。
在与要更改的设置对应的部分旁边,选择 “编辑”。 然后将设置更改为新值。
单击“ 查看 + 创建 ”,查看此策略的更新设置。
选择“ 保存” 以保存更改。 重复此过程以选择设置区域并修改并保存更改,直到所有更改都完成。 然后,可以关闭 “Intune 应用保护 - 属性 ”窗格。
基于设备管理状态的目标应用保护策略
在许多组织中,通常允许最终用户使用 Intune 移动设备管理 (MDM) 托管设备(例如公司拥有的设备)和仅受 Intune 应用保护策略保护的非托管设备。 非托管设备通常称为“自带设备 (BYOD) 。
由于 Intune 应用保护策略面向用户的标识,因此用户的保护设置可以应用于已注册 (MDM 托管) 和非注册设备, (没有 MDM) 。 因此,可以使用筛选器将 Intune 应用保护策略定向到已注册或未注册的 Intune iOS/iPadOS 和 Android 设备。 有关创建筛选器的详细信息,请参阅 分配策略时使用筛选器 。 你可以为非托管设备设置一个保护策略,其中严格的数据丢失防护 (DLP) 控制措施,以及针对 MDM 托管设备的单独保护策略,其中 DLP 控制可能更宽松一点。 有关此功能在个人 Android Enterprise 设备上的工作方式的详细信息,请参阅 应用保护策略和工作配置文件。
若要在分配策略时使用这些筛选器,请在 Intune 管理中心浏览到 应用>应用保护策略 ,然后选择“ 创建策略”。 还可以编辑现有应用保护策略。 导航到 “分配” 页,然后选择“ 编辑筛选器” ,以包括或排除已分配组的筛选器。
设备管理类型
重要
Microsoft Intune 已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。
-
非托管:对于 iOS/iPadOS 设备,非托管设备是 Intune MDM 管理或第三方 MDM/EMM 解决方案未传递
IntuneMAMUPN
密钥的任何设备。 对于 Android 设备,非托管设备是未检测到 Intune MDM 管理的设备。 这包括由第三方 MDM 供应商管理的设备。 - Intune 托管设备:托管设备由 Intune MDM 管理。
- Android 设备管理员:使用 Android 设备管理 API 的 Intune 管理设备。
- Android Enterprise:使用 Android Enterprise Work Profiles 或 Android Enterprise Full Device Management 的 Intune 托管设备。
- 具有 Microsoft Entra 共享设备模式的 Android Enterprise 公司拥有的专用设备:使用具有共享设备模式的 Android Enterprise 专用设备的 Intune 托管设备。
- Android (AOSP) 用户关联的设备:使用 AOSP 用户关联管理的 Intune 托管设备。
- Android (AOSP) 无用户设备:使用 AOSP 无用户设备的 Intune 托管设备。 这些设备还利用Microsoft Entra 共享设备模式。
在 Android 上,无论选择哪种设备管理类型,Android 设备都会提示安装 Intune 公司门户应用。 例如,如果选择“Android Enterprise”,则仍会提示具有非托管 Android 设备的用户。
对于 iOS/iPadOS,若要对 Intune 托管设备强制实施设备管理类型,则需要其他应用配置设置。 这些设置与应用 (应用保护策略) 服务通信,以指示应用是托管的。 因此,在部署应用配置策略之前,应用设置将不适用。 下面是应用配置设置:
- 必须为所有 MDM 托管应用程序配置 IntuneMAMUPN 和 IntuneMAMOID。 有关详细信息,请参阅 如何在 Microsoft Intune 中管理 iOS/iPadOS 应用之间的数据传输。
- 必须为所有第三方和业务线 MDM 托管应用程序配置 IntuneMAMDeviceID。 应将 IntuneMAMDeviceID 配置为设备 ID 令牌。 例如,
key=IntuneMAMDeviceID, value={{deviceID}}
。 有关详细信息,请参阅 为托管 iOS/iPadOS 设备添加应用配置策略。 - 如果仅配置 了 IntuneMAMDeviceID ,则 Intune 应用会将设备视为非托管设备。
策略设置
若要查看适用于 iOS/iPadOS 和 Android 的策略设置的完整列表,请选择以下链接之一: