iOS 应用保护策略设置

本文介绍了适用于 iOS/iPadOS 设备的应用保护策略设置。 设置新策略时,可在门户的“设置”窗格中为应用保护策略配置所述的策略设置。

有三种策略设置类别: 数据重定位访问要求 以及 条件启动。 在本文中, 术语策略托管应用 是指配置了应用保护策略的应用。

重要

Intune Managed Browser 已停用。 使用 Microsoft Edge 获取受保护的 Intune 浏览器体验。

数据保护

数据传输

设置 如何使用 默认值
将组织数据备份到 iTunes 和 iCloud 备份 选择“阻止”,阻止此应用将工作或学校数据备份到 iTunes 和 iCloud。 选择“允许”,允许此应用将工作或学校数据备份到 iTunes 和 iCloud。 允许
将组织数据发送到其他应用 指定可从此应用接收数据的应用:
  • 所有应用: 允许传输到任何应用。 接收应用将能够读取并编辑数据。
  • :不允许将数据传输到任何应用,包括其他策略托管的应用。 如果用户执行托管的打开方式功能并传输文档,则数据将被加密且不可读。
  • 策略托管的应用: 仅允许传输到其他策略托管的应用。

    注意:用户可以通过 Open-in 或 Share 扩展将内容传输到未注册设备或允许共享到非托管应用的注册设备上的非托管应用。传输的数据由Intune加密,非托管应用无法读取。

  • 具有 OS 共享的策略托管的应用: 仅允许将数据传输到其他策略托管的应用,以及将文件传输到已注册设备上的其他 MDM 托管的应用。

    注意:具有 OS 共享值的策略托管应用仅适用于 MDM 注册的设备。如果此设置面向未注册设备上的用户,则会应用策略托管应用值的行为。用户将能够通过 Open-in 或 Share 扩展将未加密的内容传输到 iOS MDM allowOpenFromManagedtoUnmanaged 设置允许的任何应用程序,前提是发送应用配置了 IntuneMAMUPN 和 IntuneMAMOID;有关详细信息,请参阅如何在 Microsoft Intune 中管理 iOS 应用之间的数据传输。有关此 iOS/iPadOS MDM 设置的详细信息,请参阅 https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf

  • 具有“打开方式/共享”筛选的策略托管的应用: 仅允许传输到其他策略托管的应用,并筛选“OS 打开方式/共享”对话框以仅显示策略托管的应用。 要配置 打开方式/共享 对话框的筛选,其需要充当文件/文档源的应用和可打开此文件/文档的应用,以具有适用于 iOS 版本 8.1.1 或更高版本的 Intune SDK。

    注意:如果应用支持Intune私有数据类型,则用户可以通过 Open-in 或 Share 扩展将内容传输到非托管应用。传输的数据由Intune加密,非托管应用无法读取。


聚焦搜索 (允许在应用内搜索数据) 和 Siri 快捷方式被阻止,除非设置为 “所有应用”。

此策略也适用于 iOS/iPadOS 通用链接。 常规 Web 链接由 在 Intune Managed Browser 中打开应用链接 策略设置管理。

默认情况下,Intune 可能允许将数据传输到一些豁免应用和服务。 此外,如果需要允许将数据传输到不支持 Intune 应用 的应用,则可以创建自己的豁免项。 有关详细信息,请参阅 数据传输豁免

所有应用
    选择要豁免的应用
当为上一个选项选择 策略托管的应用 时,此选项可用。
    选择要豁免的通用链接
指定应在指定的 非托管 应用程序中打开的 iOS/iPadOS 通用链接,而非 限制使用其他应用传输 Web 内容 设置指定的受保护的浏览器。 必须联系应用程序开发人员,以确定每个应用程序的正确通用链接格式。
    选择托管通用链接
指定应在指定的 托管 应用程序中打开的 iOS/iPadOS 通用链接,而非 限制使用其他应用传输 Web 内容 设置指定的受保护的浏览器。 必须联系应用程序开发人员,以确定每个应用程序的正确通用链接格式。
    保存组织数据的副本
选择 阻止 以在此应用中禁用“另存为”选项。 如果想要允许使用“另存为”,则选择“允许”。 如果设置为“阻止”,可以配置“允许用户将副本保存到所选的服务”设置

注意:
  • Microsoft Excel、OneNote、Outlook、PowerPoint、Word 和 Microsoft Edge 支持此设置。 第三方和 LOB 应用也可以支持它。
  • 只有“将组织数据发送到其他应用”设置设为“策略托管应用”、“具有 OS 共享功能的策略托管应用”或“具有‘打开方式/共享’筛选功能的策略托管应用”时,此设置才可配置。
  • 将“ 将组织数据发送到其他应用 ”设置为“ 所有应用”时,此设置将为“允许”。
  • 将“ 将组织数据发送到其他应用 ”设置为“ ”时,此设置将为“阻止”且不允许的服务位置。
允许
      允许用户将副本保存到所选的服务
用户可以保存到所选服务(OneDrive for Business、SharePoint、照片库和本地存储)中。 会阻止所有其他服务。 OneDrive for business:可以将文件保存到 OneDrive for business 和 SharePoint Online。 SharePoint:可以将文件保存到本地 SharePoint。 照片库:可以在本地将文件保存到照片库。 本地存储: 托管应用可以在本地保存组织数据的副本。 这不包括将文件保存到本地非托管位置,例如设备上的“文件”应用。 未选择任何项
    将电信数据传输到
通常,当用户在应用中选择超链接的电话号码时,会打开一个拨号应用,预填充了该电话号码并随时可供拨打。 对于此设置,请选择此类内容传输从策略托管的应用启动时的处理方式:
  • 无,请勿在应用之间传输此数据:检测到电话号码时不传输通信数据。
  • 特定拨号程序应用:允许特定托管拨号程序应用在检测到电话号码时启动联系人。
  • 任何拨号程序应用:允许在检测到电话号码时使用任何托管拨号程序应用启动联系人。

注意此设置需要Intune SDK 12.7.0 及更高版本。如果你的应用依赖于拨号器功能,并且未使用正确的 Intune SDK 版本,作为解决方法,请考虑添加“tel;telprompt“作为数据传输豁免。应用支持正确的Intune SDK 版本后,可以删除豁免。

任意拨号器应用
      拨号器应用 URL 方案
选择特定拨号应用后,必须提供用于在 iOS 设备上启动拨号应用的拨号应用 URL 方案。 有关详细信息,请参阅 Apple 有关 电话链接 的文档。 Blank
    将消息传递数据传输到
通常,当用户在应用中选择超链接消息链接时,消息应用将打开并预填充并准备好发送的电话号码。 对于此设置,请选择从策略管理的应用启动此类内容传输时如何处理此类内容传输。 若要使此设置生效,可能需要执行其他步骤。 首先,验证是否已从“选择要免除的应用”列表中删除了短信。 然后,确保应用程序使用较新版本的 Intune SDK (版本 > 19.0.0) 。 对于此设置,请选择此类内容传输从策略托管的应用启动时的处理方式:
  • 无,请勿在应用之间传输此数据:检测到电话号码时不传输通信数据。
  • 特定消息传递应用:允许特定托管消息应用在检测到电话号码时启动联系。
  • 任何消息传递应用:允许在检测到电话号码时使用任何托管消息应用发起联系。

注意:此设置需要Intune SDK 19.0.0 及更高版本。

任何消息传送应用
      消息传递应用 URL 方案
选择特定消息传递应用后,必须提供用于在 iOS 设备上启动消息传递应用的消息传递应用 URL 方案。 有关详细信息,请参阅 Apple 有关 电话链接 的文档。 Blank
从其他应用接收数据 指定可将数据传输到此应用的应用:
  • 所有应用: 允许从任何应用传输数据。
  • :不允许从任何应用(包括其他策略管理的应用)传输数据。
  • 策略托管的应用: 仅允许从其他策略托管的应用进行传输。
  • 所有具有传入组织数据的应用: 允许从任何应用传输数据。 将所有不带用户标识的传入数据视为组织中的数据。 数据将使用已注册 MDM 的用户的标识进行标记,如 IntuneMAMUPN 设置所定义。

    注意:具有传入组织数据的所有应用值仅适用于已注册 MDM 的设备。如果此设置面向未注册设备上的用户,则应用“任何应用”值的行为。

如果将此设置配置为“无”或“策略托管应用”,则启用多身份 MAM 的应用程序将尝试切换到非托管帐户。 如果没有非托管帐户登录到应用或应用无法切换,则传入数据将被阻止。

所有应用
    在组织文档中打开数据
选择“阻止”以禁止使用“打开”选项或其他选项在此应用的帐户之间共享数据。 如果想要允许使用“打开”,请选择“允许”

设置为 “阻止” 时,可以配置 “允许用户打开所选服务中的数据 ”,以指定组织数据位置允许哪些服务。

注意:
  • 仅当“从其他应用接收数据”设置设为“策略托管应用”时,此设置才可配置。
  • 将“ 从其他应用接收数据 ”设置为“ 所有应用 ”或“ 包含传入组织数据的所有应用”时,此设置将为“允许”。
  • 当“从其他应用接收数据”设置设为“无”时,此设置将为“阻止”。
  • 以下应用支持此设置:
    • OneDrive 11.45.3 或更高版本。
    • iOS 版 Outlook 4.60.0 或更高版本。
    • iOS 版 Teams 3.17.0 或更高版本。
允许
      允许用户从选定服务打开数据
选择用户可从中打开数据的应用程序存储服务。 会阻止所有其他服务。 选择无服务将阻止用户打开外部位置的数据。
注意: 此控件旨在处理企业容器外部的数据。

受支持的服务:
  • OneDrive for Business
  • SharePoint Online
  • 照相机
  • 照片库
注意: 相机不包括“照片”或“照片库”访问权限。 在 Intune 的“允许用户打开所选服务中的数据”设置中选择“照片库”后,可让托管帐户允许从设备照片库到托管应用的 传入 数据。
已选择所有项
限制在其他应用之间进行剪切、复制和粘贴 指定剪切、复制和粘贴操作可用于此应用的时间。 从以下选项中进行选择:
  • 已阻止:不允许在此应用与任何其他应用之间执行剪切、复制和粘贴操作。
  • 策略托管的应用: 允许在此应用和其他策略托管的应用之间执行剪切、复制和粘贴操作。
  • 带粘贴的策略托管应用:允许在此应用和其他策略托管应用间进行剪切或复制。 允许将任何应用中的数据粘贴到此应用。
  • 任何应用: 不限制从此应用进行剪切、复制和粘贴,或剪切、复制和粘贴到此应用。
任何应用
    剪切和复制任何应用的字符限制
指定可从组织数据和帐户中剪切或复制的字符数。 这允许将指定数量的字符共享到任何应用程序,而不受“限制使用其他应用剪切、复制和粘贴”设置的限制

默认值 = 0

注意: 要求应用具有 Intune SDK 版本 9.0.14 或更高版本。

0
第三方键盘 选择“阻止”来阻止在托管应用程序中使用第三方键盘。

启用此设置后,用户会收到一条一次性消息,说明已阻止使用第三方键盘。 当用户首次与需要使用键盘的组织数据交互时,会出现此消息。 使用托管应用程序时,只能使用标准的 iOS/iPadOS 键盘,所有其他键盘选项都将禁用。 此设置将影响多身份应用程序的组织和个人帐户。 此设置不会影响在非托管应用程序中使用第三方键盘。

注意: 此功能要求应用使用 Intune SDK 版本 12.0.16 或更高版本。 SDK 版本从 8.0.14 到(包括 12.0.15)的应用不会将此功能正确应用于多标识应用。 有关详细信息,请参阅 已知问题:个人帐户的 iOS/iPadOS 中未阻止第三方键盘

允许

注意

对于托管设备,IntuneMAMUPN 需要应用保护策略。 这也适用于需要注册设备的任何设置。

加密

设置 如何使用 默认值
对组织数据进行加密 选择“需要”以在此应用中启用工作或学校数据加密。 Intune强制实施 iOS/iPadOS 设备级加密,以在设备锁定时保护应用数据。 此外,应用程序还可使用 Intune APP SDK 加密选择性地加密应用数据。 Intune APP SDK 使用 iOS/iPadOS 加密方法以将 256 位 AES 加密应用于应用数据。

启用此设置时,用户可能需要设置并使用设备 PIN 才能访问其设备。 如果没有设备 PIN 且需要加密,则会通过“组织已要求先启用设备 PIN 才可访问此应用”消息提示用户设置 PIN。

转到 Apple 官方文档 ,详细了解其数据保护类,这是其 Apple 平台安全性的一部分。
需要

功能

设置 如何使用 默认值
将策略托管应用数据与本机应用或加载项同步 选择“阻止”可阻止策略托管应用将数据保存到设备的本机应用 (联系人、日历和小组件) ,并阻止在策略托管应用中使用加载项。 如果应用程序不支持,则允许将数据保存到本机应用并使用加载项。

如果选择“允许”,则策略托管应用可以将数据保存到本机应用或使用加载项(如果这些功能在策略托管应用中受支持和启用)。

应用程序可能会提供其他控件来自定义特定本机应用的数据同步行为,或者不遵循此控件。

注意:执行选择性擦除以从应用中删除工作或学校数据时,将删除直接从策略托管应用同步到本机应用的数据。 不会擦除从本机应用同步到另一外部源的任何数据。

注意以下应用支持此功能:
允许
打印组织数据 选择“阻止”,阻止应用打印工作或学校数据。 如果将此设置保留为“允许”(默认值),用户将能够导出和打印所有组织数据 允许
限制使用其他应用传输 Web 内容 指定如何从策略托管的应用程序打开 Web 内容(http/https 链接)。 从以下项中进行选择:
  • 任何应用: 允许任何应用中的 Web 链接。
  • Intune Managed Browser: 仅允许在 Intune Managed Browser 中打开 Web 内容。 此浏览器为策略托管的浏览器。
  • Microsoft Edge: 仅允许在 Microsoft Edge 中打开 Web 内容。 此浏览器为策略托管的浏览器。
  • 非托管浏览器: 仅允许在 非托管浏览器协议 设置定义的非托管浏览器中打开 Web 内容。 Web 内容在目标浏览器中将处于非托管状态。
    注意: 要求应用具有 Intune SDK 版本 11.0.9 或更高版本。
如果正在使用 Intune 管理设备,请参阅 通过 Microsoft Intune 使用托管浏览器策略管理 Internet 访问

如果需要但未安装策略管理的浏览器,系统会提示最终用户安装 Microsoft Edge。

如果需要策略托管浏览器,则 iOS/iPadOS 通用链接由 “将组织数据发送到其他应用” 策略设置进行管理。

Intune 设备注册
如果使用 Intune 管理设备,请参阅“使用 Microsoft Intune 的托管浏览器策略管理 Internet 访问”。

策略托管的 Microsoft Edge
移动设备(iOS/iPadOS 和 Android)的 Microsoft Edge 浏览器支持 Intune 应用保护策略。 在 Microsoft Edge 浏览器应用程序中使用公司Microsoft Entra帐户登录的用户将受到Intune的保护。 Microsoft Edge 浏览器集成了 Intune SDK 并支持其所有数据保护策略(除阻止之外):

  • 另存为:Microsoft Edge 浏览器不允许用户将直接的应用内连接添加到云存储提供程序 (,例如 OneDrive) 。
  • 联系人同步:Microsoft Edge 浏览器不会保存到本机联系人列表。

注意: Intune SDK 无法确定目标应用是否为浏览器。在 iOS/iPadOS 设备上,不允许使用其他托管浏览器应用。
未配置
    非托管浏览器协议
输入单个非托管浏览器的协议。 来自策略托管的应用程序的 Web 内容(http/https 链接)将在任何支持此协议的浏览器中打开。 Web 内容在目标浏览器中将处于非托管状态。

仅当你想要与未使用Intune应用保护策略启用的特定浏览器共享受保护的内容时,才应使用此功能。 必须联系浏览器供应商,以确定所需的浏览器支持该协议。

注意: 仅包含协议前缀。如果浏览器需要表单 mybrowser://www.microsoft.com 的链接,请输入 mybrowser
链接将转换为:
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
Blank
组织数据通知 指定如何针对组织帐户通过 OS 通知共享组织数据。 此策略设置将影响本地设备和所有连接设备,例如可穿戴设备和智能扬声器。 应用可能会提供其他控件来自定义通知行为,或者可以选择不接受所有值。 从以下选项中进行选择:
  • 已阻止:不共享通知。
    • 如果应用程序不支持此选项,则将允许通知。
  • 阻止组织数据:例如,不要在通知中共享组织数据。
    • “你有新邮件”;“你有会议”。
    • 如果应用程序不支持此选项,则将允许通知。
  • 允许: 在通知中共享“组织”数据。

注意
此设置需要以下应用支持:

  • Outlook for iOS 4.34.0 或更高版本
  • 适用于 iOS 2.0.22 或更高版本的 Teams
  • Microsoft 365 (Office) for iOS 2.72 或更高版本
允许

注意

没有任何数据保护设置会控制 iOS/iPadOS 设备上 Apple 托管的打开方式功能。 要使用“管理 Apple 打开方式”,请参阅使用 Microsoft Intune 管理 iOS/iPadOS 应用之间的数据传输

数据传输豁免

有一些豁免应用和平台服务,Intune 应用保护策略可能会允许在某些情况下向其或从其传输数据。 此列表可能会发生更改,并反映被认为对安全生产力有用的服务和应用。

第三方非托管应用可以添加到免除列表,此列表可能允许数据传输例外。 如需了解其他详细信息和示例,请参阅如何为 Intune 应用保护策略(应用)数据传输策略创建例外情况。 必须基于 iOS URL 协议来调用免除的非托管应用。 例如,如果为非托管应用添加数据传输例外,则它仍会阻止用户执行剪切、复制和粘贴操作(如果受策略限制)。 这种类型的豁免还会阻止用户在托管应用中使用 “打开” 操作来共享或保存数据以免除应用,因为它不基于 iOS URL 协议。 有关打开方式的详细信息,请参阅将应用保护用于 iOS 应用

应用/服务名称 说明
skype Skype
app-settings 设备设置
itms; itmss; itms-apps; itms-appss; itms-services App Store
calshow 本机日历

重要

2020 年 6 月 15 日之前创建的应用保护策略将 tel 和 telprompt URL 方案作为默认数据传输豁免的一部分。 这些 URL 方案允许管理的应用启动拨号器。 应用保护策略设置“将电信数据传输到”已替换此功能。 管理员应从数据传输豁免中删除 tel;telprompt; 并依赖于应用保护策略设置,前提是启动拨号器功能的托管应用包含 Intune SDK 12.7.0 或更高版本。

重要

在 Intune SDK 14.5.0 或更高版本中,包含数据传输豁免中的 smsmailto URL 方案还将允许将“组织”数据共享到策略托管的应用程序内的 MFMessageCompose (用于 短信)和 MFMailCompose (用于 mailto) 视图控制器。

通用链接允许用户直接启动与链接关联的应用程序,而非 限制使用其他应用传输 Web 内容 设置指定的受保护的浏览器。 必须联系应用程序开发人员,以确定每个应用程序的正确通用链接格式。

默认应用剪辑链接也由通用链接策略管理。

通过将通用链接添加到 非托管 应用,可以启动指定的应用程序。 要添加应用,必须将链接添加到豁免列表。

警告

这些通用链接的目标应用程序为非托管应用程序,添加豁免可能会导致数据安全泄漏。

默认的应用通用链接豁免如下:

应用通用链接 说明
http://maps.apple.com; https://maps.apple.com 地图应用
http://facetime.apple.com; https://facetime.apple.com FaceTime 应用

如果不想允许默认的通用链接豁免,则可以将其删除。 还可以为第三方或 LOB 应用添加通用链接。 免除的通用链接允许通配符,如 http://*.sharepoint-df.com/*

通过将通用链接添加到 托管 应用,可以安全启动指定的应用程序。 若要添加应用,必须将应用的通用链接添加到托管列表。 如果目标应用程序支持Intune应用保护策略,则选择链接将尝试启动应用。 如果应用无法打开,则会在受保护的浏览器中打开链接。 如果目标应用程序未集成 Intune SDK,选择链接将启动受保护的浏览器。

默认的托管通用链接如下:

托管应用通用链接 说明
http://*.onedrive.com/*; https://*.onedrive.com/*; OneDrive
http://*.appsplatform.us/*; http://*.powerapps.cn/*; http://*.powerapps.com/*; http://*.powerapps.us/*; https://*.powerbi.com/*; https://app.powerbi.cn/*; https://app.powerbigov.us/*; https://app.powerbi.de/*; PowerApps
http://*.powerbi.com/*; http://app.powerbi.cn/*; http://app.powerbigov.us/*; http://app.powerbi.de/*; https://*.appsplatform.us/*; https://*.powerapps.cn/*; https://*.powerapps.com/*; https://*.powerapps.us/*; Power BI
http://*.service-now.com/*; https://*.service-now.com/*; ServiceNow
http://*.sharepoint.com/*; http://*.sharepoint-df.com/*; https://*.sharepoint.com/*; https://*.sharepoint-df.com/*; SharePoint
http://web.microsoftstream.com/video/*; http://msit.microsoftstream.com/video/*; https://web.microsoftstream.com/video/*; https://msit.microsoftstream.com/video/*; Stream
http://*teams.microsoft.com/l/*; http://*devspaces.skype.com/l/*; http://*teams.live.com/l/*; http://*collab.apps.mil/l/*; http://*teams.microsoft.us/l/*; http://*teams-fl.microsoft.com/l/*; https://*teams.microsoft.com/l/*; https://*devspaces.skype.com/l/*; https://*teams.live.com/l/*; https://*collab.apps.mil/l/*; https://*teams.microsoft.us/l/*; https://*teams-fl.microsoft.com/l/*; Teams
http://tasks.office.com/*; https://tasks.office.com/*; http://to-do.microsoft.com/sharing*; https://to-do.microsoft.com/sharing*; 待办事项
http://*.yammer.com/*; https://*.yammer.com/*; Viva Engage
http://*.zoom.us/*; https://*.zoom.us/*; 缩放

如果不想允许默认的托管通用链接,则可以将其删除。 还可以为第三方或 LOB 应用添加通用链接。

访问要求

设置 如何使用 默认值
需要 PIN 才能进行访问 选择“需要”,要求使用 PIN 才能使用此应用。 当用户首次在工作或学校上下文中运行该应用时,会提示其设置此 PIN。 联机或脱机工作时会应用该 PIN。

可以使用“需要 PIN 才能进行访问”部分下提供的设置配置 PIN 强度

注意: 允许访问应用的最终用户可以重置应用 PIN。 在某些情况下,此设置在 iOS 设备上可能不可见。 iOS 设备的最大限制为四个可用快捷方式。 若要查看重置应用 PIN 快捷方式,最终用户可能需要从其他托管应用访问该快捷方式。
需要
    PIN 类型
在访问已应用应用保护策略的应用之前,请设置数值或密码类型 PIN 的要求。 数值要求仅涉及数字,而密码可以使用至少 1 个字母 至少 1 个特殊字符定义。

注意:若要配置密码类型,需要应用Intune SDK 版本 7.1.12 或更高版本。数值类型没有Intune SDK 版本限制。允许的特殊字符包括 iOS/iPadOS 英语键盘上的特殊字符和符号。
数值
    简单 PIN
选择“允许”,允许用户使用 1234、1111、abcd 或 aaaa 等简单的 PIN 序列。 选择 阻止 以阻止其使用简单序列。 在 3 个字符滑动窗口中检查简单序列。 如果配置了 阻止 ,则最终用户不会接受 1235 或 1112 作为 PIN 设置,但将允许 1122。

注意: 如果已配置密码类型 PIN,且“允许简单 PIN”设置为“是”,则用户在其 PIN 中需要至少 1 个字母 至少 1 个特殊字符。如果已配置密码类型 PIN,且“允许简单 PI”设置为“否”,则用户在其 PIN 中需要至少 1 个数字 、1 个字母 以及至少 1 个特殊字符。
允许
    选择最小 PIN 长度
指定 PIN 序列中的最小位数。 4
    使用 Touch ID,而不是 PIN 进行访问 (iOS 8 +)
选择“允许”,允许用户使用 Touch ID 而非 PIN 进行应用访问 允许
      超时后使用 PIN 覆盖 Touch ID
要使用此设置,请选择 需要,然后配置非活动超时。 需要
        超时(非活动状态的分钟数)
指定在密码或数值 PIN(如配置所示)将覆盖指纹或人脸访问方法前要等待的时间(以分钟为单位)。 此超时值应大于在‘(非活动分钟数)后重新检查访问要求’下指定的值。 30
      使用 Face ID 而非 PIN 进行访问(iOS 11+)
选择“允许”,允许用户使用面部识别技术对 iOS/iPadOS 设备上的用户进行身份验证。 如果已允许,则必须使用 Face ID 在支持 Face ID 的设备上访问应用。 允许
    数天后重置 PIN
选择 以要求用户在设定的时间段(以天为单位)后更改其应用 PIN。

如果设置为“是”,然后配置 PIN 重置所需的间隔天数
      天数
配置需重置 PIN 前的天数。 90
    设置设备 PIN 时的应用 PIN
选择 禁用 以在已配置公司门户的已注册设备上检测到设备锁时禁用应用 PIN。

注意:要求应用Intune SDK 版本 7.0.1 或更高版本。必须配置 IntuneMAMUPN 设置,以便应用程序检测注册状态。

在 iOS/iPadOS 设备上,可以允许用户使用 Touch IDFace ID 而非 PIN 来证明其身份。 Intune 使用 LocalAuthentication API 以通过Touch ID 和 Face ID 对用户进行身份验证。 要了解有关 Touch ID 和 Face ID 的详细信息,请参阅 iOS 安全指南

当用户尝试通过其工作或学校帐户使用此应用时,会提示其提供指纹标识或人脸标识,而不是输入 PIN。 启用此设置后,当使用工作或学校帐户时,应用切换器预览映像将模糊显示。 如果设备的生物识别数据库有任何更改,Intune在满足下一个非活动超时值时提示用户输入 PIN。 对生物识别数据的更改包括添加或删除指纹或人脸以进行身份验证。 如果Intune用户没有设置 PIN,则会引导他们设置Intune PIN。
Enable
用于访问的工作或学校帐户凭据 选择“需要”,要求用户使用其工作或学校帐户而非输入 PIN 进行登录以访问应用。 如果将此设置为“需要”,并且 PIN 或生物识别提示已打开,则会显示公司凭据以及 PIN 或生物识别提示 不需要
在(非活动状态的分钟数)后重新检查访问要求 配置应用要求用户再次指定访问要求前必须经过的非活动状态的分钟数。

例如,管理员打开 PIN 并阻止策略中的 root 设备,用户打开Intune管理的应用,必须输入 PIN,并且必须在非根设备上使用该应用。 使用此设置时,用户无需在任何Intune托管应用上输入 PIN 或进行另一个根检测检查等于配置的值。

注意:在 iOS/iPadOS 上,PIN 在同一发布者的所有Intune托管应用之间共享。应用离开设备上的前台后,将重置特定 PIN 的 PIN 计时器。在此设置定义的超时期限内,用户不必在任何共享其 PIN 的Intune托管应用上输入 PIN。此策略设置格式支持正整数。
30

注意

要详细了解在“访问权限”部分配置给同一组应用和用户的多个 Intune 应用保护设置如何在 iOS/iPadOS 上运行,请参阅 Intune MAM 常见问题在 Intune 中使用应用保护策略访问操作选择性地擦除数据

条件启动

配置条件启动设置以设置访问保护策略的登录安全要求。

默认情况下,为多个设置提供已预配置的值和操作。 可以删除某些设置,例如“最低 OS 版本”。 还可以从 选择一个 下拉列表中选择其他设置。

设置 如何使用
最高 OS 版本 指定要使用此应用所需的最高 iOS/iPadOS 操作系统版本。

操作 包括:

  • 警告 - 如果设备上的 iOS/iPadOS 版本不符合此要求,用户将看到一个通知。 可消除此通知。
  • 阻止访问 - 如果设备上的 iOS/iPadOS 版本不符合此要求,将阻止用户访问。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。

此项可以出现多次,且每个实例支持不同的操作。

此策略设置格式支持 major.minor、major.minor.build 以及 major.minor.build.revision。

注意:要求应用Intune SDK 版本 14.4.0 或更高版本。
最低 OS 版本 指定要使用此应用所需的最低 iOS/iPadOS 操作系统版本。

操作 包括:

  • 警告 - 如果设备上的 iOS/iPadOS 版本不符合此要求,用户将看到一个通知。 可消除此通知。
  • 阻止访问 - 如果设备上的 iOS/iPadOS 版本不符合此要求,将阻止用户访问。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。
此项可以出现多次,且每个实例支持不同的操作。

此策略设置格式支持 major.minor、major.minor.build 以及 major.minor.build.revision。

注意:要求应用Intune SDK 版本 7.0.1 或更高版本。
最大 PIN 尝试次数 指定在执行配置操作前用户必须成功输入其 PIN 的尝试次数。 如果用户在最大 PIN 尝试次数后未能成功输入其 PIN,则必须在成功登录帐户并完成多重身份验证(MFA)质询(如果需要)后重置其 PIN。 此策略设置格式支持正整数。

操作 包括:

  • 重置 PIN - 用户必须重置其 PIN。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。
默认值 = 5
离线宽限期 策略托管的应用可以脱机运行的分钟数。 指定重新检查应用访问要求前的时间(以分钟为单位)。

操作 包括:

  • 阻止访问(分钟数) - 策略托管的应用可以脱机运行的分钟数。 指定重新检查应用访问要求前的时间(以分钟为单位)。 在已配置的期限过期后,应用会阻止对工作或学校数据进行访问,直到网络访问可用。 阻止数据访问的脱机宽限期计时器根据Intune服务的最后一个检查为每个应用单独计算。 此策略设置格式支持正整数。

    默认值 = 1440 分钟 (24 小时)

    注意: 将用于阻止访问的脱机宽限期计时器配置为小于默认值可能会导致在刷新策略时出现更频繁的用户中断。 不建议选择小于 30 分钟的值,因为这可能会导致每次应用程序启动或恢复时出现用户中断。

    注意: 停止脱机宽限期策略刷新(包括关闭或挂起应用程序)将导致用户在下一次应用启动或恢复时中断。

  • 擦除数据(天数) - 在脱机运行这么多天(由管理员定义)后,应用将要求用户连接到网络并重新进行身份验证。 如果用户成功进行身份验证,则其可以继续访问其数据,且脱机间隔将重置。 如果用户未能通过身份验证,则应用会对用户帐户和数据执行选择性擦除。 请参阅 如何仅从 Intune 托管的应用擦除企业数据,以详细了解选择性擦除所删除的数据。 根据上次使用 Intune 服务进行的签入,分别为每个应用计算用于擦除数据的脱机宽限期计时器。 此策略设置格式支持正整数。

    默认值 = 90 天
此项可以出现多次,且每个实例支持不同的操作。
已越狱/获得 root 权限的设备 此设置没有可设置的值。

操作 包括:

  • 阻止访问 - 阻止在已越狱或取得 root 权限的设备上运行此应用。 用户仍能够将此应用用于个人任务,但必须使用其他设备才能访问此应用中的工作或学校数据。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。
已禁用帐户 没有要为此设置设置的值。

操作 包括:

  • 阻止访问 - 当我们确认用户已在Microsoft Entra ID中被禁用时,应用将阻止访问工作或学校数据。
  • 擦除数据 - 当我们确认已在 Microsoft Entra ID 中禁用用户时,应用将选择性地擦除用户的帐户和数据。
最低应用版本 指定最低应用程序版本值的值。

操作 包括:

  • 警告 - 如果设备上的应用版本不符合要求,则用户会看到一条通知。 可消除此通知。
  • 阻止访问 - 如果设备上的应用版本不符合要求,则会阻止用户访问。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。
由于应用之间通常具有不同的版本控制方案,因此请创建策略,其中包含面向应用的最低应用版本(例如,Outlook 版本策略)。

此项可以出现多次,且每个实例支持不同的操作。

此策略设置支持匹配的 iOS 应用捆绑包版本格式 (major.minor 或 major.minor.patch) 。

注意:要求应用Intune SDK 版本 7.0.1 或更高版本。

此外,还可以配置最终用户可获取业务线(LOB)应用已更新版本的 位置。 最终用户将在 最低应用版本 条件启动对话框中看到此内容,该对话框将提示最终用户更新到 LOB 应用的最低版本。 在 iOS/iPadOS 上,此功能要求使用包装工具) 将应用与适用于 iOS v. 10.0.7 或更高版本的 Intune SDK 集成 (或包装。 要配置最终用户应更新 LOB 应用的位置,应用需要使用键 com.microsoft.intune.myappstore 向其发送托管的 应用配置策略。 发送的值将定义最终用户将从哪个应用商店中下载应用。 如果应用是通过公司门户部署的,则值必须为 CompanyPortal。 对于任何其他应用商店,必须输入完整的 URL。
最低 SDK 版本 指定 Intune SDK 版本的分钟值。

操作 包括:

  • 阻止访问 - 如果应用的 Intune 应用保护策略 SDK 版本不符合此要求,将阻止用户访问。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。
  • 警告 - 如果应用的 iOS/iPadOS SDK 版本不符合最低 SDK 要求,用户将看到通知。 系统将指示用户升级到应用的最新版本。 可消除此通知。
要详细了解 Intune 应用保护策略 SDK,请参阅 Intune App SDK 概述。 由于各应用通常具有不同的 Intune SDK 版本,因此,请创建针对一个应用的一个最低 Intune SDK 版本的策略(例如适用于 Outlook 的 Intune SDK 版本策略)

此项可以出现多次,且每个实例支持不同的操作。
设备模型 指定以分号分隔的模型标识符列表。 这些值不区分大小写。

操作 包括:

  • 允许指定项(阻止非指定项) - 仅与指定设备型号匹配的设备才能使用该应用。 所有其他设备型号将被阻止。
  • 允许指定项(擦除非指定项) - 从设备中擦除与应用程序关联的用户帐户。
有关使用此设置的详细信息,请参阅 条件启动操作
允许的最大设备威胁级别 应用保护策略可以利用 Intune-MTD 连接器。 指定使用此应用可接受的最高威胁级别。 威胁由最终用户设备上选择的移动威胁防御 (MTD) 供应商应用确定。 指定安全、低、中或高。 “安全”要求设备上没有任何威胁,是可配置的限制性最强的值,而“高”实质上要求存在 Intune 到 MTD 的活动连接

操作 包括:

  • 阻止访问 - 如果你选择的移动威胁防御 (MTD) 供应商应用确定最终用户设备上的威胁级别不满足此要求,则将阻止用户访问。
  • 擦除数据 - 从设备中擦除与应用程序关联的用户帐户。
注意:要求应用Intune SDK 版本 12.0.15 或更高版本。

有关使用此设置的详细信息,请参阅 为未注册设备启用 MTD
主要 MTD 服务 如果已配置多个 Intune-MTD 连接器,请指定应在最终用户设备上使用的主要 MTD 供应商应用。

包括:

  • Microsoft Defender for Endpoint - 如果配置了 MTD 连接器,请指定Microsoft Defender for Endpoint将提供设备威胁级别信息。
  • 移动威胁防御 (非Microsoft) - 如果配置了 MTD 连接器,请指定非Microsoft MTD 将提供设备威胁级别信息。

必须配置“允许的最大设备威胁级别”设置才能使用此设置。

此设置没有 操作

非工作时间 此设置没有可设置的值。

操作 包括:

  • 阻止访问 - 阻止用户访问,因为与应用程序关联的用户帐户处于非工作时间。
  • 警告 - 如果与应用程序关联的用户帐户处于非工作时间,则用户会看到通知。 通知可以消除。
注意:仅当租户已与 工作时间 API 集成时,才能配置此设置。 有关将此设置与 工作时间 API 集成的详细信息,请参阅 在一线员工下班时限制对 Microsoft Teams 的访问。 配置此设置而不与工作时间 API 集成可能会导致帐户因缺少与应用程序关联的托管帐户的工作时间状态而被阻止。

以下应用支持此功能:

  • 适用于 iOS v6.9.2 或更高版本的 Teams
  • 适用于 iOS v126.2592.56 或更高版本的 Edge

了解详细信息