iOS 应用保护策略设置
本文介绍了适用于 iOS/iPadOS 设备的应用保护策略设置。 设置新策略时,可在门户的“设置”窗格中为应用保护策略配置所述的策略设置。
有三种策略设置类别: 数据重定位、访问要求 以及 条件启动。 在本文中, 术语策略托管应用 是指配置了应用保护策略的应用。
重要
Intune Managed Browser 已停用。 使用 Microsoft Edge 获取受保护的 Intune 浏览器体验。
数据保护
数据传输
设置 | 如何使用 | 默认值 |
---|---|---|
将组织数据备份到 iTunes 和 iCloud 备份 | 选择“阻止”,阻止此应用将工作或学校数据备份到 iTunes 和 iCloud。 选择“允许”,允许此应用将工作或学校数据备份到 iTunes 和 iCloud。 | 允许 |
将组织数据发送到其他应用 | 指定可从此应用接收数据的应用:
聚焦搜索 (允许在应用内搜索数据) 和 Siri 快捷方式被阻止,除非设置为 “所有应用”。 此策略也适用于 iOS/iPadOS 通用链接。 常规 Web 链接由 在 Intune Managed Browser 中打开应用链接 策略设置管理。 默认情况下,Intune 可能允许将数据传输到一些豁免应用和服务。 此外,如果需要允许将数据传输到不支持 Intune 应用 的应用,则可以创建自己的豁免项。 有关详细信息,请参阅 数据传输豁免。 |
所有应用 |
|
当为上一个选项选择 策略托管的应用 时,此选项可用。 | |
|
指定应在指定的 非托管 应用程序中打开的 iOS/iPadOS 通用链接,而非 限制使用其他应用传输 Web 内容 设置指定的受保护的浏览器。 必须联系应用程序开发人员,以确定每个应用程序的正确通用链接格式。 | |
|
指定应在指定的 托管 应用程序中打开的 iOS/iPadOS 通用链接,而非 限制使用其他应用传输 Web 内容 设置指定的受保护的浏览器。 必须联系应用程序开发人员,以确定每个应用程序的正确通用链接格式。 | |
|
选择 阻止 以在此应用中禁用“另存为”选项。 如果想要允许使用“另存为”,则选择“允许”。 如果设置为“阻止”,可以配置“允许用户将副本保存到所选的服务”设置。 注意:
|
允许 |
|
用户可以保存到所选服务(OneDrive for Business、SharePoint、照片库和本地存储)中。 会阻止所有其他服务。 OneDrive for business:可以将文件保存到 OneDrive for business 和 SharePoint Online。 SharePoint:可以将文件保存到本地 SharePoint。 照片库:可以在本地将文件保存到照片库。 本地存储: 托管应用可以在本地保存组织数据的副本。 这不包括将文件保存到本地非托管位置,例如设备上的“文件”应用。 | 未选择任何项 |
|
通常,当用户在应用中选择超链接的电话号码时,会打开一个拨号应用,预填充了该电话号码并随时可供拨打。 对于此设置,请选择此类内容传输从策略托管的应用启动时的处理方式:
注意:此设置需要Intune SDK 12.7.0 及更高版本。如果你的应用依赖于拨号器功能,并且未使用正确的 Intune SDK 版本,作为解决方法,请考虑添加“tel;telprompt“作为数据传输豁免。应用支持正确的Intune SDK 版本后,可以删除豁免。 |
任意拨号器应用 |
|
选择特定拨号应用后,必须提供用于在 iOS 设备上启动拨号应用的拨号应用 URL 方案。 有关详细信息,请参阅 Apple 有关 电话链接 的文档。 | Blank |
|
通常,当用户在应用中选择超链接消息链接时,消息应用将打开并预填充并准备好发送的电话号码。 对于此设置,请选择从策略管理的应用启动此类内容传输时如何处理此类内容传输。 若要使此设置生效,可能需要执行其他步骤。 首先,验证是否已从“选择要免除的应用”列表中删除了短信。 然后,确保应用程序使用较新版本的 Intune SDK (版本 > 19.0.0) 。 对于此设置,请选择此类内容传输从策略托管的应用启动时的处理方式:
注意:此设置需要Intune SDK 19.0.0 及更高版本。 |
任何消息传送应用 |
|
选择特定消息传递应用后,必须提供用于在 iOS 设备上启动消息传递应用的消息传递应用 URL 方案。 有关详细信息,请参阅 Apple 有关 电话链接 的文档。 | Blank |
从其他应用接收数据 | 指定可将数据传输到此应用的应用:
|
所有应用 |
|
选择“阻止”以禁止使用“打开”选项或其他选项在此应用的帐户之间共享数据。 如果想要允许使用“打开”,请选择“允许”。 设置为 “阻止” 时,可以配置 “允许用户打开所选服务中的数据 ”,以指定组织数据位置允许哪些服务。 注意:
|
允许 |
|
选择用户可从中打开数据的应用程序存储服务。 会阻止所有其他服务。 选择无服务将阻止用户打开外部位置的数据。 注意: 此控件旨在处理企业容器外部的数据。 受支持的服务:
|
已选择所有项 |
限制在其他应用之间进行剪切、复制和粘贴 | 指定剪切、复制和粘贴操作可用于此应用的时间。 从以下选项中进行选择:
|
任何应用 |
|
指定可从组织数据和帐户中剪切或复制的字符数。 这允许将指定数量的字符共享到任何应用程序,而不受“限制使用其他应用剪切、复制和粘贴”设置的限制。 默认值 = 0 注意: 要求应用具有 Intune SDK 版本 9.0.14 或更高版本。 |
0 |
第三方键盘 | 选择“阻止”来阻止在托管应用程序中使用第三方键盘。 启用此设置后,用户会收到一条一次性消息,说明已阻止使用第三方键盘。 当用户首次与需要使用键盘的组织数据交互时,会出现此消息。 使用托管应用程序时,只能使用标准的 iOS/iPadOS 键盘,所有其他键盘选项都将禁用。 此设置将影响多身份应用程序的组织和个人帐户。 此设置不会影响在非托管应用程序中使用第三方键盘。 注意: 此功能要求应用使用 Intune SDK 版本 12.0.16 或更高版本。 SDK 版本从 8.0.14 到(包括 12.0.15)的应用不会将此功能正确应用于多标识应用。 有关详细信息,请参阅 已知问题:个人帐户的 iOS/iPadOS 中未阻止第三方键盘。 |
允许 |
注意
对于托管设备,IntuneMAMUPN 需要应用保护策略。 这也适用于需要注册设备的任何设置。
加密
设置 | 如何使用 | 默认值 |
---|---|---|
对组织数据进行加密 | 选择“需要”以在此应用中启用工作或学校数据加密。 Intune强制实施 iOS/iPadOS 设备级加密,以在设备锁定时保护应用数据。 此外,应用程序还可使用 Intune APP SDK 加密选择性地加密应用数据。 Intune APP SDK 使用 iOS/iPadOS 加密方法以将 256 位 AES 加密应用于应用数据。 启用此设置时,用户可能需要设置并使用设备 PIN 才能访问其设备。 如果没有设备 PIN 且需要加密,则会通过“组织已要求先启用设备 PIN 才可访问此应用”消息提示用户设置 PIN。 转到 Apple 官方文档 ,详细了解其数据保护类,这是其 Apple 平台安全性的一部分。 |
需要 |
功能
设置 | 如何使用 | 默认值 |
---|---|---|
将策略托管应用数据与本机应用或加载项同步 | 选择“阻止”可阻止策略托管应用将数据保存到设备的本机应用 (联系人、日历和小组件) ,并阻止在策略托管应用中使用加载项。 如果应用程序不支持,则允许将数据保存到本机应用并使用加载项。 如果选择“允许”,则策略托管应用可以将数据保存到本机应用或使用加载项(如果这些功能在策略托管应用中受支持和启用)。 应用程序可能会提供其他控件来自定义特定本机应用的数据同步行为,或者不遵循此控件。 注意:执行选择性擦除以从应用中删除工作或学校数据时,将删除直接从策略托管应用同步到本机应用的数据。 不会擦除从本机应用同步到另一外部源的任何数据。 注意: 以下应用支持此功能:
|
允许 |
打印组织数据 | 选择“阻止”,阻止应用打印工作或学校数据。 如果将此设置保留为“允许”(默认值),用户将能够导出和打印所有组织数据。 | 允许 |
限制使用其他应用传输 Web 内容 | 指定如何从策略托管的应用程序打开 Web 内容(http/https 链接)。 从以下项中进行选择:
如果需要但未安装策略管理的浏览器,系统会提示最终用户安装 Microsoft Edge。 如果需要策略托管浏览器,则 iOS/iPadOS 通用链接由 “将组织数据发送到其他应用” 策略设置进行管理。
Intune 设备注册
策略托管的 Microsoft Edge
注意: Intune SDK 无法确定目标应用是否为浏览器。在 iOS/iPadOS 设备上,不允许使用其他托管浏览器应用。 |
未配置 |
|
输入单个非托管浏览器的协议。 来自策略托管的应用程序的 Web 内容(http/https 链接)将在任何支持此协议的浏览器中打开。 Web 内容在目标浏览器中将处于非托管状态。 仅当你想要与未使用Intune应用保护策略启用的特定浏览器共享受保护的内容时,才应使用此功能。 必须联系浏览器供应商,以确定所需的浏览器支持该协议。 注意: 仅包含协议前缀。如果浏览器需要表单 mybrowser://www.microsoft.com 的链接,请输入 mybrowser 。链接将转换为:
|
Blank |
组织数据通知 | 指定如何针对组织帐户通过 OS 通知共享组织数据。 此策略设置将影响本地设备和所有连接设备,例如可穿戴设备和智能扬声器。 应用可能会提供其他控件来自定义通知行为,或者可以选择不接受所有值。 从以下选项中进行选择:
注意:
|
允许 |
注意
没有任何数据保护设置会控制 iOS/iPadOS 设备上 Apple 托管的打开方式功能。 要使用“管理 Apple 打开方式”,请参阅使用 Microsoft Intune 管理 iOS/iPadOS 应用之间的数据传输。
数据传输豁免
有一些豁免应用和平台服务,Intune 应用保护策略可能会允许在某些情况下向其或从其传输数据。 此列表可能会发生更改,并反映被认为对安全生产力有用的服务和应用。
第三方非托管应用可以添加到免除列表,此列表可能允许数据传输例外。 如需了解其他详细信息和示例,请参阅如何为 Intune 应用保护策略(应用)数据传输策略创建例外情况。 必须基于 iOS URL 协议来调用免除的非托管应用。 例如,如果为非托管应用添加数据传输例外,则它仍会阻止用户执行剪切、复制和粘贴操作(如果受策略限制)。 这种类型的豁免还会阻止用户在托管应用中使用 “打开” 操作来共享或保存数据以免除应用,因为它不基于 iOS URL 协议。 有关打开方式的详细信息,请参阅将应用保护用于 iOS 应用。
应用/服务名称 | 说明 |
---|---|
skype |
Skype |
app-settings |
设备设置 |
itms; itmss; itms-apps; itms-appss; itms-services |
App Store |
calshow |
本机日历 |
重要
2020 年 6 月 15 日之前创建的应用保护策略将 tel 和 telprompt URL 方案作为默认数据传输豁免的一部分。 这些 URL 方案允许管理的应用启动拨号器。 应用保护策略设置“将电信数据传输到”已替换此功能。 管理员应从数据传输豁免中删除 tel;telprompt; 并依赖于应用保护策略设置,前提是启动拨号器功能的托管应用包含 Intune SDK 12.7.0 或更高版本。
重要
在 Intune SDK 14.5.0 或更高版本中,包含数据传输豁免中的 sms 和 mailto URL 方案还将允许将“组织”数据共享到策略托管的应用程序内的 MFMessageCompose (用于 短信)和 MFMailCompose (用于 mailto) 视图控制器。
通用链接
通用链接允许用户直接启动与链接关联的应用程序,而非 限制使用其他应用传输 Web 内容 设置指定的受保护的浏览器。 必须联系应用程序开发人员,以确定每个应用程序的正确通用链接格式。
默认应用剪辑链接也由通用链接策略管理。
豁免通用链接
通过将通用链接添加到 非托管 应用,可以启动指定的应用程序。 要添加应用,必须将链接添加到豁免列表。
警告
这些通用链接的目标应用程序为非托管应用程序,添加豁免可能会导致数据安全泄漏。
默认的应用通用链接豁免如下:
应用通用链接 | 说明 |
---|---|
http://maps.apple.com;
https://maps.apple.com
|
地图应用 |
http://facetime.apple.com;
https://facetime.apple.com
|
FaceTime 应用 |
如果不想允许默认的通用链接豁免,则可以将其删除。 还可以为第三方或 LOB 应用添加通用链接。 免除的通用链接允许通配符,如 http://*.sharepoint-df.com/*
。
托管通用链接
通过将通用链接添加到 托管 应用,可以安全启动指定的应用程序。 若要添加应用,必须将应用的通用链接添加到托管列表。 如果目标应用程序支持Intune应用保护策略,则选择链接将尝试启动应用。 如果应用无法打开,则会在受保护的浏览器中打开链接。 如果目标应用程序未集成 Intune SDK,选择链接将启动受保护的浏览器。
默认的托管通用链接如下:
托管应用通用链接 | 说明 |
---|---|
http://*.onedrive.com/*;
https://*.onedrive.com/*;
|
OneDrive |
http://*.appsplatform.us/*;
http://*.powerapps.cn/*;
http://*.powerapps.com/*;
http://*.powerapps.us/*;
https://*.powerbi.com/*;
https://app.powerbi.cn/*;
https://app.powerbigov.us/*;
https://app.powerbi.de/*;
|
PowerApps |
http://*.powerbi.com/*;
http://app.powerbi.cn/*;
http://app.powerbigov.us/*;
http://app.powerbi.de/*;
https://*.appsplatform.us/*;
https://*.powerapps.cn/*;
https://*.powerapps.com/*;
https://*.powerapps.us/*;
|
Power BI |
http://*.service-now.com/*;
https://*.service-now.com/*;
|
ServiceNow |
http://*.sharepoint.com/*;
http://*.sharepoint-df.com/*;
https://*.sharepoint.com/*;
https://*.sharepoint-df.com/*;
|
SharePoint |
http://web.microsoftstream.com/video/*;
http://msit.microsoftstream.com/video/*;
https://web.microsoftstream.com/video/*;
https://msit.microsoftstream.com/video/*;
|
Stream |
http://*teams.microsoft.com/l/*;
http://*devspaces.skype.com/l/*;
http://*teams.live.com/l/*;
http://*collab.apps.mil/l/*;
http://*teams.microsoft.us/l/*;
http://*teams-fl.microsoft.com/l/*;
https://*teams.microsoft.com/l/*;
https://*devspaces.skype.com/l/*;
https://*teams.live.com/l/*;
https://*collab.apps.mil/l/*;
https://*teams.microsoft.us/l/*;
https://*teams-fl.microsoft.com/l/*;
|
Teams |
http://tasks.office.com/*;
https://tasks.office.com/*;
http://to-do.microsoft.com/sharing*;
https://to-do.microsoft.com/sharing*;
|
待办事项 |
http://*.yammer.com/*;
https://*.yammer.com/*;
|
Viva Engage |
http://*.zoom.us/*;
https://*.zoom.us/*;
|
缩放 |
如果不想允许默认的托管通用链接,则可以将其删除。 还可以为第三方或 LOB 应用添加通用链接。
访问要求
设置 | 如何使用 | 默认值 |
---|---|---|
需要 PIN 才能进行访问 | 选择“需要”,要求使用 PIN 才能使用此应用。 当用户首次在工作或学校上下文中运行该应用时,会提示其设置此 PIN。 联机或脱机工作时会应用该 PIN。 可以使用“需要 PIN 才能进行访问”部分下提供的设置配置 PIN 强度。 注意: 允许访问应用的最终用户可以重置应用 PIN。 在某些情况下,此设置在 iOS 设备上可能不可见。 iOS 设备的最大限制为四个可用快捷方式。 若要查看重置应用 PIN 快捷方式,最终用户可能需要从其他托管应用访问该快捷方式。 |
需要 |
|
在访问已应用应用保护策略的应用之前,请设置数值或密码类型 PIN 的要求。 数值要求仅涉及数字,而密码可以使用至少 1 个字母 或 至少 1 个特殊字符定义。 注意:若要配置密码类型,需要应用Intune SDK 版本 7.1.12 或更高版本。数值类型没有Intune SDK 版本限制。允许的特殊字符包括 iOS/iPadOS 英语键盘上的特殊字符和符号。 |
数值 |
|
选择“允许”,允许用户使用 1234、1111、abcd 或 aaaa 等简单的 PIN 序列。 选择 阻止 以阻止其使用简单序列。 在 3 个字符滑动窗口中检查简单序列。 如果配置了 阻止 ,则最终用户不会接受 1235 或 1112 作为 PIN 设置,但将允许 1122。 注意: 如果已配置密码类型 PIN,且“允许简单 PIN”设置为“是”,则用户在其 PIN 中需要至少 1 个字母 或 至少 1 个特殊字符。如果已配置密码类型 PIN,且“允许简单 PI”设置为“否”,则用户在其 PIN 中需要至少 1 个数字 和、1 个字母 和 以及至少 1 个特殊字符。 |
允许 |
|
指定 PIN 序列中的最小位数。 | 4 |
|
选择“允许”,允许用户使用 Touch ID 而非 PIN 进行应用访问。 | 允许 |
|
要使用此设置,请选择 需要,然后配置非活动超时。 | 需要 |
|
指定在密码或数值 PIN(如配置所示)将覆盖指纹或人脸访问方法前要等待的时间(以分钟为单位)。 此超时值应大于在‘(非活动分钟数)后重新检查访问要求’下指定的值。 | 30 |
|
选择“允许”,允许用户使用面部识别技术对 iOS/iPadOS 设备上的用户进行身份验证。 如果已允许,则必须使用 Face ID 在支持 Face ID 的设备上访问应用。 | 允许 |
|
选择 是 以要求用户在设定的时间段(以天为单位)后更改其应用 PIN。 如果设置为“是”,然后配置 PIN 重置所需的间隔天数。 |
否 |
|
配置需重置 PIN 前的天数。 | 90 |
|
选择 禁用 以在已配置公司门户的已注册设备上检测到设备锁时禁用应用 PIN。 注意:要求应用Intune SDK 版本 7.0.1 或更高版本。必须配置 IntuneMAMUPN 设置,以便应用程序检测注册状态。 在 iOS/iPadOS 设备上,可以允许用户使用 Touch ID 或 Face ID 而非 PIN 来证明其身份。 Intune 使用 LocalAuthentication API 以通过Touch ID 和 Face ID 对用户进行身份验证。 要了解有关 Touch ID 和 Face ID 的详细信息,请参阅 iOS 安全指南。 当用户尝试通过其工作或学校帐户使用此应用时,会提示其提供指纹标识或人脸标识,而不是输入 PIN。 启用此设置后,当使用工作或学校帐户时,应用切换器预览映像将模糊显示。 如果设备的生物识别数据库有任何更改,Intune在满足下一个非活动超时值时提示用户输入 PIN。 对生物识别数据的更改包括添加或删除指纹或人脸以进行身份验证。 如果Intune用户没有设置 PIN,则会引导他们设置Intune PIN。 |
Enable |
用于访问的工作或学校帐户凭据 | 选择“需要”,要求用户使用其工作或学校帐户而非输入 PIN 进行登录以访问应用。 如果将此设置为“需要”,并且 PIN 或生物识别提示已打开,则会显示公司凭据以及 PIN 或生物识别提示。 | 不需要 |
在(非活动状态的分钟数)后重新检查访问要求 | 配置应用要求用户再次指定访问要求前必须经过的非活动状态的分钟数。 例如,管理员打开 PIN 并阻止策略中的 root 设备,用户打开Intune管理的应用,必须输入 PIN,并且必须在非根设备上使用该应用。 使用此设置时,用户无需在任何Intune托管应用上输入 PIN 或进行另一个根检测检查等于配置的值。 注意:在 iOS/iPadOS 上,PIN 在同一发布者的所有Intune托管应用之间共享。应用离开设备上的前台后,将重置特定 PIN 的 PIN 计时器。在此设置定义的超时期限内,用户不必在任何共享其 PIN 的Intune托管应用上输入 PIN。此策略设置格式支持正整数。 |
30 |
注意
要详细了解在“访问权限”部分配置给同一组应用和用户的多个 Intune 应用保护设置如何在 iOS/iPadOS 上运行,请参阅 Intune MAM 常见问题和在 Intune 中使用应用保护策略访问操作选择性地擦除数据。
条件启动
配置条件启动设置以设置访问保护策略的登录安全要求。
默认情况下,为多个设置提供已预配置的值和操作。 可以删除某些设置,例如“最低 OS 版本”。 还可以从 选择一个 下拉列表中选择其他设置。
设置 | 如何使用 |
---|---|
最高 OS 版本 | 指定要使用此应用所需的最高 iOS/iPadOS 操作系统版本。
操作 包括:
此项可以出现多次,且每个实例支持不同的操作。 此策略设置格式支持 major.minor、major.minor.build 以及 major.minor.build.revision。 注意:要求应用Intune SDK 版本 14.4.0 或更高版本。 |
最低 OS 版本 | 指定要使用此应用所需的最低 iOS/iPadOS 操作系统版本。
操作 包括:
此策略设置格式支持 major.minor、major.minor.build 以及 major.minor.build.revision。 注意:要求应用Intune SDK 版本 7.0.1 或更高版本。 |
最大 PIN 尝试次数 | 指定在执行配置操作前用户必须成功输入其 PIN 的尝试次数。 如果用户在最大 PIN 尝试次数后未能成功输入其 PIN,则必须在成功登录帐户并完成多重身份验证(MFA)质询(如果需要)后重置其 PIN。 此策略设置格式支持正整数。
操作 包括:
|
离线宽限期 | 策略托管的应用可以脱机运行的分钟数。 指定重新检查应用访问要求前的时间(以分钟为单位)。
操作 包括:
|
已越狱/获得 root 权限的设备 | 此设置没有可设置的值。
操作 包括:
|
已禁用帐户 | 没有要为此设置设置的值。
操作 包括:
|
最低应用版本 | 指定最低应用程序版本值的值。
操作 包括:
此项可以出现多次,且每个实例支持不同的操作。 此策略设置支持匹配的 iOS 应用捆绑包版本格式 (major.minor 或 major.minor.patch) 。 注意:要求应用Intune SDK 版本 7.0.1 或更高版本。 此外,还可以配置最终用户可获取业务线(LOB)应用已更新版本的 位置。 最终用户将在 最低应用版本 条件启动对话框中看到此内容,该对话框将提示最终用户更新到 LOB 应用的最低版本。 在 iOS/iPadOS 上,此功能要求使用包装工具) 将应用与适用于 iOS v. 10.0.7 或更高版本的 Intune SDK 集成 (或包装。 要配置最终用户应更新 LOB 应用的位置,应用需要使用键 com.microsoft.intune.myappstore 向其发送托管的 应用配置策略。 发送的值将定义最终用户将从哪个应用商店中下载应用。 如果应用是通过公司门户部署的,则值必须为 CompanyPortal 。 对于任何其他应用商店,必须输入完整的 URL。 |
最低 SDK 版本 | 指定 Intune SDK 版本的分钟值。
操作 包括:
此项可以出现多次,且每个实例支持不同的操作。 |
设备模型 | 指定以分号分隔的模型标识符列表。 这些值不区分大小写。
操作 包括:
|
允许的最大设备威胁级别 | 应用保护策略可以利用 Intune-MTD 连接器。 指定使用此应用可接受的最高威胁级别。 威胁由最终用户设备上选择的移动威胁防御 (MTD) 供应商应用确定。 指定安全、低、中或高。 “安全”要求设备上没有任何威胁,是可配置的限制性最强的值,而“高”实质上要求存在 Intune 到 MTD 的活动连接。
操作 包括:
有关使用此设置的详细信息,请参阅 为未注册设备启用 MTD。 |
主要 MTD 服务 | 如果已配置多个 Intune-MTD 连接器,请指定应在最终用户设备上使用的主要 MTD 供应商应用。
值 包括:
必须配置“允许的最大设备威胁级别”设置才能使用此设置。 此设置没有 操作 。 |
非工作时间 | 此设置没有可设置的值。
操作 包括:
以下应用支持此功能:
|
了解详细信息
- 了解 Microsoft 应用中的领英信息和功能。
- 在 Microsoft 365 路线图页了解 LinkedIn 帐户连接版本。
- 了解 配置领英帐户连接。
- 有关用户的 LinkedIn 和 Microsoft 工作或学校帐户之间共享的数据的详细信息,请参阅工作或学校的 Microsoft 应用程序中的 LinkedIn。