分享方式:


Windows MAM 的數據保護

您可以啟用受保護的行動應用程式管理 (MAM) 存取個人 Windows 裝置上的組織數據。 這項功能會使用下列功能:

  • Intune 應用程式設定原則 (ACP) 來自定義組織用戶體驗
  • Intune 應用程式保護原則 (應用程式) 來保護組織數據,並確保用戶端裝置狀況良好
  • Windows 安全性 Center 用戶端威脅防護與 Intune 應用程式整合,以偵測個人 Windows 裝置上的本機健康情況威脅
  • 應用程式保護條件式存取,以確保裝置在透過 Microsoft Entra ID 授與受保護的服務存取權之前受到保護且狀況良好

注意事項

Intune 適用於 Windows 的行動應用程式管理 (MAM) 適用於 Windows 10、組建 19045.3636、KB5031445 或更新版本和 Windows 11、組建 10.0.22621.2506、KB5031455 (22H2) 或更新版本。 這包括 Microsoft Intune (2309 版本) 、Microsoft Edge (v117 穩定分支的支持變更,以及適用於 Windows 11) 和 Windows 安全性 Center (1.0.2310.2002 版和更新版本) Windows 11 和 v118.0.2088.71 和更新版本的支持變更。 應用程式保護條件式存取已正式推出。

政府雲端環境中支援 Windows MAM。 如需相關信息,請參閱在 GCC High 和 DoD 環境中使用 Intune 部署應用程式

如需 MAM 的詳細資訊,請 參閱行動應用程式管理 (MAM) 基本概念

注意事項

Windows 安全性 Center (WSC) 元件的 Mobile Threat Defense (MTD) 連接器僅在 Windows 11 22631 (23H2) 版或更新版本上受到支援。

終端使用者和組織都必須具有來自個人裝置的受保護組織存取權。 組織必須確保公司數據在個人、非受控裝置上受到保護。 身為 Intune 系統管理員,您必須負責判斷組織 (使用者) 成員如何從非受控裝置以受保護的方式存取公司資源。 您需要確保存取組織數據時,Unmanaged 裝置狀況良好、應用程式遵守貴組織數據的保護原則,以及使用者在其裝置上的非受控資產不會受到貴組織的原則影響。

身為 Intune 系統管理員,您必須具備下列應用程式管理功能:

  • 能夠將應用程式保護原則部署到受 Intune APP SDK 保護的應用程式/使用者,包括下列各項:
    • 資料保護設定
    • 健康情況檢查 (也稱為條件式啟動) 設定
  • 能夠透過條件式存取要求應用程式保護原則
  • 執行下列動作以透過 Windows 安全性 中心執行其他用戶端健康情況驗證的能力:
    • 指定 Windows 安全性 中心風險層級,以允許終端使用者存取公司資源
    • 針對 Windows 安全性 Center 設定租使用者型連接器至 Microsoft Intune
  • 將選擇性抹除命令部署至受保護應用程式的能力

貴組織的成員 (使用者) 預期其帳戶具有下列功能:

  • 能夠登入 Microsoft Entra ID 存取受條件式存取保護的網站
  • 在裝置被視為狀況不良的情況下,能夠驗證用戶端裝置的健康情況狀態
  • 當裝置維持狀況不良時,撤銷資源存取權的能力
  • 當系統管理員原則控制存取權時,能夠透過明確的補救步驟獲得通知

注意事項

如需 Microsoft Entra ID 的相關信息,請參閱 Windows 裝置上需要應用程式保護原則

條件式存取合規性

防止數據遺失是保護組織數據的一部分。 只有在您的組織數據無法從任何未受保護的系統或裝置存取時,數據外洩防護 (DLP) 才有效。 應用程式保護條件式存取會使用條件式存取 (CA) ,以確保在用戶端應用程式中支援並強制執行應用程式保護原則 (應用程式) ,然後才允許存取受保護的資源 (例如組織數據) 。 APP CA 可讓具有個人 Windows 裝置的使用者使用應用程式管理的應用程式,包括 Microsoft Edge,存取 Microsoft Entra 資源,而不需要完全管理其個人裝置。

此 MAM 服務會將每個使用者、每個應用程式和每個裝置的合規性狀態同步至 Microsoft Entra CA 服務。 這包括從Mobile Threat Defense (MTD) 廠商收到的威脅資訊,從 Windows 安全性 中心開始。

注意事項

此 MAM 服務使用相同的條件式存取合規性工作流程,用來 管理 iOS 和 Android 裝置上的 Microsoft Edge

偵測到變更時,MAM 服務會立即更新裝置合規性狀態。 服務也包含 MTD 健康情況狀態作為合規性狀態的一部分。

注意事項

MAM 服務會評估服務中的 MTD 狀態。 這是從 MAM 用戶端和用戶端平台獨立完成。

MAM 用戶端會在簽入時,將用戶端健康狀態 (或健康情況元數據) 傳達給 MAM 服務。 健康情況狀態包括 封鎖抹除 條件的APP健康情況檢查失敗。 此外,Microsoft Entra ID 會在用戶嘗試存取封鎖的 CA 資源時,引導使用者完成補救步驟。

條件式存取合規性

組織可以使用 Microsoft Entra 條件式存取原則,以確保使用者只能使用 Windows 上受原則管理的應用程式來存取公司或學校內容。 若要這樣做,您需要以所有潛在使用者為目標的條件式存取原則。 請遵循在 Windows 裝置上要求應用程式保護原則中的步驟,這會允許 Microsoft Edge for Windows,但會封鎖其他網頁瀏覽器連線到 Microsoft 365 端點。

使用條件式存取,您也可以透過 Microsoft Entra 應用程式 Proxy 將向外部使用者公開的內部部署網站設為目標。

威脅防禦健康情況

在允許存取組織數據之前,會先驗證個人擁有裝置的健康情況狀態。 MAM 威脅偵測可以與 Windows 安全性 中心連線。 Windows 安全性 中心會透過服務對服務連接器提供用戶端裝置健康情況評估,以 Intune APP。 此評量支援控制流程,以及在個人非受控裝置上存取組織數據。

健康情況狀態包含下列詳細資料:

  • 使用者、應用程式和裝置標識碼
  • 預先定義的健康情況狀態
  • 上次健康情況狀態更新的時間

健康情況狀態只會傳送給已註冊 MAM 的使用者。 終端使用者可能會在受保護的應用程式中註銷其組織帳戶,以停止傳送數據。 系統管理員可以從 Microsoft Intune 移除 Windows 安全性 連接器,以停止傳送數據。

如需相關信息,請 參閱建立適用於 Windows 的 MTD 應用程式保護原則

建立 Inunte 應用程式防護原則

應用程式防護原則 (APP) 定義允許哪些應用程式,以及這些應用程式可以對組織資料執行什麼動作。 APP 中可用的選項可讓組織根據其特定需求量身打造保護。 對部分使用者而言,實作完整案例所需的原則設定可能不明顯。

身為系統管理員,您可以設定如何透過APP保護數據。 此設定適用於原生 Windows 應用程式與數據的互動。 應用程式設定分成三個類別:

  • 數據保護 - 這些設定可控制數據如何移入或移出組織內容, (帳戶、檔、位置、服務) 使用者。
  • 健康情況檢查 (條件式啟動) - 這些設定可控制存取組織數據所需的裝置條件,以及不符合條件時 () 補救動作。

為了協助組織排定用戶端端點強化的優先順序,Microsoft已針對其應用程式數據保護架構導入分類法,以進行行動應用程式管理。

若要查看每個設定層級的特定建議,以及必須保護的最低應用程式,請檢閱 使用應用程式防護原則的資料保護架構

如需可用設定的詳細資訊,請參閱 Windows 應用程式保護原則設定

後續步驟