设置并部署 Intune 的功能、将要管理的应用添加到 Intune 并配置 Intune 中管理的应用后,即可开始创建应用保护策略的过程。 应用保护策略 (应用) 是确保组织数据安全且包含在托管应用中的规则。 这些策略强制最终用户如何访问和移动“公司”数据,以及如何控制在最终用户使用应用时被禁止或监视的操作。 通过此强制措施,可以控制组织中移动设备上的应用访问和共享数据的方式。
此解决方案中提供的内容将帮助你了解每个受支持平台的应用保护的不同方面。 此外,此解决方案将引导你根据我们针对基本、增强和高级应用保护的建议设置创建应用保护策略。
托管应用是通过统一终结点管理提供程序(如 Intune)分配给用户的应用。 托管应用支持应用保护策略以及应用配置策略。 这些应用使用统一终结点管理提供程序提供的移动应用程序管理 (MAM) 。 MAM 使组织能够在应用程序中管理和保护其数据。 Intune 中的托管应用是一个 受保护的应用 ,它应用了 Intune 应用保护策略,并由 Intune 分配和管理。 托管应用已集成 Intune 应用 SDK,或使用 Intune 包装工具来支持应用保护策略 (应用) 和/或应用配置策略。 可以使用 MAM 策略在非托管设备上配置和保护应用,这些设备是未在 Intune 中注册 MDM 的最终用户个人设备。
提示
有关何时应考虑部署 MAM 策略的信息,请参阅迁移指南:设置或移动到Microsoft Intune。
使用应用保护策略可以在应用级别保护组织数据。 对于最终用户,当最终用户在个人上下文中使用应用时,工作效率不受影响,应用保护策略也不适用。 在多种情况下,通常应使用应用保护策略。 例如,如果最终用户使用其个人设备,你可能希望使用应用保护策略通过 PIN 来控制对应用的访问。 你可能希望强制实施数据共享限制,即组织的数据不会与非托管应用共享。 此外,你可能希望阻止最终用户将组织数据保存到个人位置。 有关详细信息,请参阅使用应用保护策略的好处。
重要
可以使用 Intune 帮助为组织强制实施零信任安全策略。 零信任是在设计和实现一组安全原则时要使用的方法。 有关详细信息,请参阅零信任Microsoft Intune和零信任标识和设备访问配置。
组织可以同时使用应用保护策略,且无需移动设备管理 (MDM) 。 例如,考虑最终用户 (员工或组织成员) ,该用户同时使用公司颁发的手机和他们自己的个人平板电脑。 组织颁发的手机在 MDM 中注册并受应用保护策略保护,而个人设备仅受应用保护策略的保护。
支持的平台
在 Intune 中创建应用保护策略时,支持三个主要平台。
| 平台 | 说明 |
|---|---|
| iOS/iPadOS | 可以将应用保护策略应用于已开发以支持 Intune 应用保护功能的 iOS/iPadOS 应用。 你可以对登录 iOS/iPadOS 设备的用户组应用应用保护。 具体而言,可以根据 iOS/iPadOS 应用保护策略中的数据保护、访问要求和条件启动设置来应用保护。 有关详细信息,请参阅 Microsoft Intune 中的 iOS 应用保护策略设置。 |
| Android | 可以将应用保护策略应用于为支持 Intune 应用保护功能而开发的 Android 应用。 可以将应用保护应用于登录 Android 设备的用户组。 具体而言,可以根据 Android 应用保护策略中的数据保护、访问要求和条件启动设置来应用保护。 有关详细信息,请参阅 Microsoft Intune 中的 Android 应用保护策略设置。 |
| Windows | 目前,可以将应用保护策略应用于适用于 Windows 设备的 Microsoft Edge。 使用 Microsoft Edge,可以控制访问组织数据的方式。 你可以对登录 Windows 设备的用户组应用应用保护。 具体而言,可以根据 Windows 应用保护策略中的数据保护和运行状况检查设置应用保护。 借助数据保护设置,可以控制数据传入和移出组织的方式 (组织) 上下文。 组织上下文由指定组织帐户访问的文档、服务和网站定义。 可以使用应用保护策略设置来帮助控制在组织上下文中接收的外部数据和从组织上下文发送的组织数据。 这些设置包括接收和发送组织数据。 此外,还可以 (DLP) 控件实现数据丢失防护,例如剪切、复制、粘贴和另存为限制。 此外,还可以允许或阻止组织数据的打印。 有关详细信息,请参阅 windows 应用保护策略设置。 |
有关受支持平台的详细信息,请参阅 按平台提供的应用管理功能。
受支持的应用
对于 iOS/iPadOS 和 Android 平台,可以将应用保护策略应用于任何为支持 Intune 应用保护功能而开发的托管应用。 托管应用已集成 Intune 应用 SDK,或者已使用 Intune App Wrapping Tool进行包装。 对于 Windows 平台,可以使用 Windows MAM 为个人 Windows 设备上的公司数据启用数据保护。 可在 Windows MAM 中将应用保护策略应用到适用于 Windows 的 Microsoft Edge。 Microsoft Edge 以及大多数 Microsoft 应用程序都已集成,以便使用 Intune 应用 SDK 支持 Intune。 有关包含 SDK 集成的应用列表,请参阅Microsoft Intune受保护的应用。
先决条件
在使用Microsoft Intune保护应用之前,必须遵循一些先决条件来设置 Intune,并了解关键应用管理配置。
注意
如果你不熟悉 Intune,请从Microsoft Intune免费试用版开始。 可以免费试用 Intune 30 天。 完成注册过程后,你将获得一个新租户,可用于评估 Intune。 租户是托管 Intune 订阅的Microsoft Entra ID (Microsoft Entra ID) 的专用实例。 然后,可以配置租户,这涉及许多可用于保护组织的功能。 其中之一涉及为 Intune 添加和配置应用。
如果尚未设置 Intune 并添加需要管理和保护的应用,请执行以下步骤:
- 设置和 部署 Intune
- 了解 应用程序保护
- 了解应用类型
- 向 Intune 添加应用
重要
若要在免费试用版之外使用Microsoft Intune,需要从 Microsoft 获取许可证。 有关包含Microsoft Intune的许可证的详细信息,请参阅Microsoft Intune许可。
虽然可以部署到组织成员的许多应用是免费的,但某些应用可能需要许可证、订阅或帐户才能让每个用户使用该应用。 有关应用许可证的详细信息,请参阅 了解 Intune 中使用的应用许可证。
应用保护
应用保护可以应用于支持的设备平台上的受支持托管应用,这些应用要么已注册Microsoft Intune,要么在第三方移动设备管理 (MDM) 解决方案中注册,要么未在任何移动设备管理解决方案中注册。
创建应用保护策略时,按以下顺序选择以下详细信息:
- 平台
- 要保护的应用
- 应用的数据保护设置
- 应用的访问要求
- 应用的条件启动设置
重要
Android 设备上需要Intune 公司门户应用,因为它使设备用户可以以设备策略控制器的形式接收应用保护策略。 它使设备用户能够接收应用保护策略。 有关详细信息,请参阅如何配置Intune 公司门户应用、公司门户网站和 Intune 应用和自定义和配置公司门户。
按平台应用保护类别
每个受支持的平台都提供了不同的应用保护设置。 请务必认识到 iOS/iPadOS 和 Android 平台具有相同的应用保护类别。 但是,Windows 是不同的。 Windows 平台通过管理通过 Microsoft Edge 到组织的存储位置的数据流来保护组织数据。
提示
若要查看应用保护和合规性策略在整体 Intune 体系结构中的位置,请参阅适用于Microsoft Intune的高级体系结构。
创建应用保护策略时,可以选择平台、要面向的应用,以及应用保护类别中的特定设置。
应用保护策略如何保护应用数据
最终用户 (组织成员) 将移动设备用于个人任务和工作任务。 在确保最终用户能够高效工作的同时,你希望防止组织的数据在有意和无意的情况下移动到无法保护数据的位置。 你还需要保护从非你管理的设备访问的公司数据。 可以使用独立于任何移动设备管理 (MDM) 解决方案的 Intune 应用保护策略。 这种独立性可帮助保护公司数据,无论是否将设备注册到设备管理解决方案中。 通过实施应用级保护策略,可以限制对公司资源的访问,并将数据保留在 IT 部门的权限范围内。
在无限制的情况下使用应用时,公司和个人数据可能混合。 公司数据可能最终位于个人存储空间等位置或传输到监控范围外的应用中,导致数据丢失。 下表提供了有关数据、设备和应用保护的详细信息。
| 数据、设备和应用保护 | 说明 |
|---|---|
| 不具有应用保护策略的应用 | 在无限制的情况下使用应用时,公司和个人数据可能混合。 公司数据可能最终位于个人存储空间等位置或传输到监控范围外的应用中,导致数据丢失。 |
| 采用应用保护策略的数据保护 | 可以使用应用保护策略来防止公司数据保存到设备的本地存储。 还可限制将数据移动到不受应用保护策略保护的其他应用。 |
| 在托管设备上使用应用保护策略进行数据保护 | 提供应用和设备管理和保护。 |
| 通过应用保护策略为没有注册的设备提供数据保护 | 应用保护策略可帮助保护应用级别的公司数据。 但是,存在与部署应用、预配设备证书配置文件和预配设备组织设置相关的限制。 可以通过在 Intune 中注册和管理设备来避免这些限制。 |
有关详细信息,请参阅 应用保护策略如何保护应用数据。
此解决方案中的内容
此解决方案可帮助你了解 Microsoft Intune 中的应用数据保护。 此外,此解决方案提供了在 Intune 中创建特定应用的应用保护策略以及将这些策略分配给组织成员的建议步骤。 完成上述 先决条件后,即可在 Intune 中为组织创建应用保护策略。 在应用管理过程中使用配置和保护策略,组织成员可以安全地使用应用。 通过管理组织中的应用,有助于保护组织的数据。
若要了解 Intune 中的应用保护,请参阅以下主题:
若要在 Intune 中添加应用保护策略时遵循建议的设置,请参阅以下主题:
完成上述步骤后,即可部署、管理和监视组织使用的托管应用。