通过

了解应用数据保护

Intune 中的 数据保护 设置确定用户如何与策略托管应用中的组织数据和上下文进行交互。 作为管理员,你可以控制数据传入和移出组织保护上下文的移动。 组织上下文由指定组织帐户访问的文档、服务和网站定义, (Microsoft Entra ID) 最终用户拥有。 应用保护策略设置有助于控制在组织上下文中接收的外部数据和从组织上下文发送的组织数据。

注意

术语 策略托管应用 是指配置了应用保护策略的应用。

数据保护适用于支持 iOS/iPadOSAndroidWindows 平台的策略托管应用。 每个平台都提供一组与数据保护相关的不同设置。

应用 保护 策略中的数据保护设置为每个平台提供以下类别:

数据保护 类别
iOS/iPadOS 数据传输加密功能
Android 数据传输加密功能
Windows 数据传输功能

数据传输

iOS/iPadOS 应用保护策略的数据传输

iOS/iPadOS 特定应用保护策略的数据保护设置的“数据传输”部分包含特定于 iOS/iPadOS 平台的设置。 这些设置确定最终用户如何与设备上的 iOS/iPadOS 应用中的组织数据交互。 选择允许或阻止 iTunes 和 iCloud 备份、确定应用如何发送和接收组织数据、限制最终用户在应用之间启动的数据移动以及阻止第三方键盘的设置。

适用于 iOS/iPadOS 的数据传输 UI。

适用于 Android 应用保护策略的数据传输

Android 特定应用保护策略的数据保护设置的“数据传输”部分包含也特定于 Android 平台的设置。 除了常用的应用保护设置外,Android 应用保护还提供其他设置,例如允许屏幕捕获和 Google 助手。

适用于 Android 的数据传输 UI。

Windows 应用保护策略的数据传输

特定于 Windows 的应用保护策略的数据保护设置的“数据传输”部分包含特定于 Windows 平台的设置。 这些 DLP 设置为 Android 应用提供了三个主要选项。 这些设置涉及如何在应用之间接收、发送和移动数据。

适用于 Windows 的数据传输 UI。

加密

加密适用于 iOS/iPadOS 和 Android,作为应用保护策略的一部分。 “数据传输”部分下的“加密”部分也是数据保护设置的一部分。

重要

必须选择“ 需要 ”,才能在应用中启用工作或学校数据的加密。

iOS/iPadOS 应用保护策略的加密

Intune 强制实施 iOS/iPadOS 设备加密,以保护设备锁定时的应用数据。 应用程序可以选择使用 Intune APP SDK 加密来加密应用数据。 Intune APP SDK 使用 iOS/iPadOS 加密方法以将 256 位 AES 加密应用于应用数据。

启用此设置时,用户可能需要设置并使用 PIN 来访问其设备。 如果没有设备 PIN 且需要加密,则会通过“组织已要求先启用设备 PIN 才可访问此应用”消息提示用户设置 PIN。

注意

转到 Apple 官方文档,查看哪些 iOS 加密模块符合 FIPS 140-2 或挂起的 FIPS 140-2 合规性。

适用于 iOS/iPadOS 的加密 UI。

Android 应用保护策略的加密

Intune 使用 wolfSSL、256 位 AES 加密方案以及 Android 密钥存储系统来安全地加密应用数据。 在文件 I/O 任务期间同步加密数据。 设备存储上的内容始终是加密的。 将使用 256 位密钥加密新文件。 现有的 128 位加密文件将尝试迁移到 256 位密钥,但无法保证该过程能够完成。 使用 128 位密钥加密的文件将保持可读性。

注意

加密方法符合 FIPS 140-2 要求。

适用于 Android 的加密 UI。

功能

功能 ”部分是应用保护策略的 数据保护 设置中的最后一部分。 本部分提供其他数据保护设置。

提示

应用可以通过应用配置策略提供其他配置功能。 有关详细信息,请参阅应用开发人员的文档。

适用于 iOS/iPadOS 和 Android 应用保护策略的功能

对于 iOS/iPadOS 和 Android 应用保护策略,可以选择阻止策略托管应用将数据保存到设备的本机应用 ((如联系人、日历和小组件) ),或阻止在策略托管应用中使用加载项。 如果选择“ 允许”,则策略托管应用可以将数据保存到本机应用或使用加载项,前提是在策略托管应用中支持并启用了这些功能。

此外,可以允许或阻止打印组织数据,限制与其他应用的 Web 内容传输,并确定如何处理组织数据通知。 限制传输 Web 内容时,请考虑仅允许 Web 内容在 Microsoft Edge 中打开。

注意

使用应用保护策略限制传输 Web 内容时,Android 和 iOS/iPadOS 提供了明显不同的选项。 对于 iOS/iPadOS,可以为单个非托管浏览器输入特定协议。 对于 Android,可以输入非托管浏览器 ID 或非托管浏览器名称。

你将看到 iOS/iPadOS 提供略有不同的应用保护功能:

适用于 iOS/iPadOS 的功能 UI。

Android 提供与 iOS/iPadOS 功能类似的功能:

适用于 Android 的功能 UI。

此外,Android 允许你在启动应用保护策略指定的应用时选择与 Microsoft Tunnel VPN 的连接。

Windows 应用保护策略的功能

对于 Windows 应用保护策略,可以选择允许或阻止打印组织数据。

适用于 Windows 的功能 UI。

重要

Windows 应用保护策略仅允许Microsoft Edge 作为策略中指定的托管应用。