如何建立和指派應用程式保護原則

瞭解如何為組織的使用者建立和指派 Microsoft Intune 應用程式保護原則。 本文也會說明如何變更現有原則。

開始之前

應用程式防護原則可以套用至在可能由 Intune 管理或可能未由 Intune 管理的裝置上執行的應用程式。 如需應用程式保護原則運作方式的詳細描述，以及 Intune 應用程式保護原則所支援的案例，請參閱 應用程式防護原則概觀。

應用程式保護原則中可用的選項可讓組織根據其特定需求量身打造保護。 對部分使用者而言，實作完整案例所需的原則設定可能不明顯。 為了協助組織排定行動用戶端端點強化的優先順序，Microsoft 已為其應用程式保護原則 iOS 和 Android 行動應用程式管理的資料保護架構引進分類。

應用程式保護原則資料保護架構會組織成三個不同的設定層級，每個層級都以前一個層級為基礎：

• 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密，並執行選擇性抹除作業。 針對 Android 裝置，此層級會驗證 Android 裝置證明。 這是入門層級設定，可在 Exchange Online 信箱原則中提供類似的資料保護控制，並將 IT 和使用者母體引引入應用程式保護原則。
• 企業增強型資料保護 (層級 2) 引進應用程式保護原則、資料外洩防護機制和最低作業系統需求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
• 企業高資料保護 (第 3 級) 引入了進階資料保護機制、增強的 PIN 設定和應用程式保護策略行動威脅防禦。 此設定等級適用於存取高風險資料的使用者。

若要查看每個設定層級的特定建議，以及必須保護的最低應用程式，請檢閱 使用應用程式防護原則的資料保護架構。

如果您要尋找已整合 Intune SDK 的應用程式清單，請參閱 Microsoft Intune 受保護的應用程式。

如需將組織的業務營運 (LOB) 應用程式新增至 Microsoft Intune 以準備應用程式保護原則的資訊，請參閱 將應用程式新增至 Microsoft Intune。

注意事項

若要確保強制執行原則，建議您搭配 Intune 應用程式保護原則搭配使用條件式存取。

iOS/iPadOS 和 Android 應用程式的應用程式防護原則

當您為 iOS/iPadOS 和 Android 應用程式建立應用程式保護原則時，您會遵循新式 Intune 程式流程，以產生新的應用程式保護原則。 如需建立 Windows 應用程式應用程式保護原則的相關資訊，請參閱 Windows 的應用程式防護原則設定。

建立 iOS/iPadOS 或 Android 應用程式保護原則

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [應用程式>保護]。 此選項會開啟 [保護 詳細資料]，您可以在其中建立新原則並編輯現有原則。

3. 選取[建立原則]，然後選取 [iOS/iPadOS]或[Android]。 [建立原則]窗格隨即顯示。

4. 在 [基本] 頁面上，新增下列值：

   值	描述
   名稱	此應用程式保護原則的名稱。
   描述	[選用]此應用程式保護原則的描述。

   

5. 按一下 下一步 以顯示 應用程式 頁面。

   [ 應用程式 ] 頁面可讓您選擇此原則應該以哪些應用程式為目標。 您必須新增至少一個應用程式。

   價值/期權	描述
   將原則設定為	在 [ 目標原則 ] 下拉式方塊中，選擇將應用程式保護原則鎖定為 [所有應用程式]、[Microsoft Apps] 或 [核心 Microsoft Apps]。 所有應用程式 都包含已整合 Intune SDK 的所有 Microsoft 和合作夥伴應用程式。 Microsoft Apps 包含所有已整合 Intune SDK 的 Microsoft 應用程式。 核心 Microsoft Apps 包括以下應用程序：Microsoft Edge、Excel、Office、OneDrive、OneNote、Outlook、PowerPoint、SharePoint、Teams、To Do 和 Word。 接下來，您可以選取 [檢視將以目標為目標的應用程式清單 ] ，以檢視將受此原則影響的應用程式清單。
   公用應用程式	如果您不想選取其中一個預先定義的應用程式群組，您可以在 [ 目標原則至 ] 下拉式方塊中選取 [ 選取的應用程式 ]，以選擇以個別應用程式為目標。 按一下 選取公用應用程式 以選取要鎖定的公用應用程式。
   自訂應用程式	如果您不想選取其中一個預先定義的應用程式群組，您可以在 [ 目標原則至 ] 下拉式方塊中選取 [ 選取的應用程式 ]，以選擇以個別應用程式為目標。 按一下 選取自訂應用程式 ，以根據套件組合 ID 選取要鎖定的自訂應用程式。 當同時以相同原則中的 [所有應用程式]、[Microsoft Apps] 或 [核心 Microsoft Apps] 選項為目標時，您無法選擇自訂應用程式。

   您選擇的應用程式 () 將顯示在公共和自訂應用程式清單中。

   注意事項

   支援的公用應用程式是來自 Microsoft 和合作夥伴的應用程式，這些應用程式通常與 Microsoft Intune 搭配使用。 這些 Intune 受保護的應用程式已啟用一組豐富的行動應用程式保護原則支援。 如需詳細資訊，請參閱 Microsoft Intune 受保護的應用程式。 自訂應用程式是已與 Intune SDK 整合或由 Intune App Wrapping Tool 包裝的 LOB 應用程式。 如需詳細資訊，請參閱 Microsoft Intune 應用程式 SDK 概觀 和 準備應用程式保護原則的企業營運應用程式。

6. 按一下 下一步 以顯示 資料保護 頁面。

   此頁面提供資料外洩防護 (DLP) 控制項的設定，包括剪下、複製、貼上和另存新檔限制。 這些設定決定使用者在套用此應用程式防護原則的應用程式中，如何與資料互動。

   資料保護設定：

   • iOS/iPadOS 資料保護 - 如需詳細資訊，請參閱 iOS/iPadOS 應用程式保護原則設定 - 資料保護。
   • Android 資料保護 - 如需詳細資訊，請參閱 Android 應用程式保護原則設定 - 資料保護。

7. 按一下 下一步 以顯示 存取需求 頁面。

   此頁面提供的設定，可讓您設定使用者必須符合的 PIN 和認證需求，才能在工作環境中存取應用程式。

   存取需求設定：

   • iOS/iPadOS 存取需求 - 如需詳細資訊，請參閱 iOS/iPadOS 應用程式保護原則設定 - 存取需求。
   • Android 存取需求 - 如需詳細資訊，請參閱 Android 應用程式保護原則設定 - 存取需求。

8. 按一下 下一步 以顯示 條件式啟動 頁面。

   此頁面提供的設定，可設定應用程式防護原則的登入安全性需求。 選取[設定]，然後輸入使用者必須符合的[值]，才能登入您的公司應用程式。 然後選取 [ 如果使用者不符合您的需求，您要採取 的動作 ]。 在某些情況下，單一設定可以設定多個動作。

   條件式啟動設定：

   • iOS/iPadOS 條件式啟動 - 如需詳細資訊，請參閱 iOS/iPadOS 應用程式保護原則設定 - 條件式啟動。
   • Android 條件式啟動 - 如需詳細資訊，請參閱 Android 應用程式保護原則設定 - 條件式啟動。

9. 按一下 [下一步] 以顯示 [指派] 頁面。 [ 指派] 頁面可讓您將應用程式保護原則指派給使用者群組。 您必須將原則套用至一組使用者，原則才會生效。

10. 按一下 [下一步：檢閱 + 建立] ，檢閱您為此應用程式保護原則輸入的值和設定。

11. 完成時，按兩下 [ 建立 ] 以在 Intune 中建立應用程式保護原則。

    提示

    只有在工作內容中使用應用程式時，才會強制執行這些原則設定。 當使用者使用應用程式執行個人工作時，他們不會受到這些原則的影響。 請注意，當您建立新檔案時，它會被視為個人檔案。

    重要事項

    應用程式保護原則可能需要一些時間才能套用至現有的裝置。 套用應用程式保護原則時，使用者會在裝置上看到通知。 在套用條件式存取規則之前，請先將應用程式保護原則套用至裝置。

最終用戶可以從 App Store 或 Google Play 下載應用程序。 如需詳細資訊，請參閱：

• 在哪裡尋找適用於 iOS/iPadOS 的公司或學校應用程式
• 在哪裡尋找適用於 Android 的公司或學校應用程式

變更現有政策

您可以編輯現有的原則，並將其套用至目標使用者。 如需原則傳遞時間的詳細資訊，請參閱 瞭解應用程式保護原則傳遞時間。

變更與原則相關聯的應用程式清單

1. 在 [ 保護 ] 窗格中，選取您要變更的原則。

2. 在 [Intune 應用程式保護] 窗格中，選取 [屬性]。

3. 在標題為「應用程式」的區段旁邊，選取「編輯」。

4. [ 應用程式 ] 頁面可讓您選擇此原則應該以哪些應用程式為目標。 您必須新增至少一個應用程式。

   價值/期權	描述
   公用應用程式	在 [ 目標原則 ] 下拉式方塊中，選擇將應用程式保護原則目標為 [所有公用應用程式]、[Microsoft Apps] 或 [核心 Microsoft Apps]。 接下來，您可以選取 [檢視將以目標為目標的應用程式清單 ] ，以檢視將受此原則影響的應用程式清單。 如有需要，您可以按一下「 選取公用應用程式」來選擇以個別應用程式為目標。
   自訂應用程式	按一下 選取自訂應用程式 ，以根據套件組合 ID 選取要鎖定的自訂應用程式。

   您選擇的應用程式 () 將顯示在公共和自訂應用程式清單中。

5. 按一下 [檢閱 + 建立 ] 以檢閱為此原則選取的應用程式。

6. 完成後，按一下 [儲存] 以更新應用程式保護原則。

變更使用者群組清單

1. 在 [ 保護 ] 窗格中，選取您要變更的原則。

2. 在 [Intune 應用程式保護] 窗格中，選取 [屬性]。

3. 在標題為「指派」的區段旁邊，選取「編輯」。

4. 若要將新的使用者群組新增至原則，請在 [包含 ] 索引標籤上選擇 [選取要包含的群組]，然後選取使用者群組。 選擇 [選取] 以新增群組。

5. 若要排除使用者群組，請在 [ 排除 ] 索引標籤上選擇 [ 選取要排除的群組]，然後選取使用者群組。 選擇 Select （選取） 以移除使用者群組。

6. 若要刪除先前新增的群組，請在 [包含] 或 [排除] 索引標籤上，選取省略符號 (...) ，然後選取 [刪除]。

7. 按一下 檢閱 + 建立 ，以檢閱為此原則選取的使用者群組。

8. 變更指派就緒之後，請選取 [儲存] 以儲存設定，並將原則部署至新的使用者集。 如果您在儲存設定之前選取 [取消] ，您將捨棄對 [包含 ] 和 [排除] 索引標籤所做的所有變更。

變更原則設定

1. 在 [ 保護 ] 窗格中，選取您要變更的原則。

2. 接下來，選擇屬性。

3. 在與您要變更的設定相對應的區段旁邊，選取 [編輯]。 然後將設定變更為新值。

4. 按一下 檢閱 + 建立 ，以檢閱此原則的更新設定。

5. 選取 儲存 以儲存您的變更。 重複此程序以選取設定區域並修改，然後儲存變更，直到所有變更完成為止。 然後，您可以關閉 [Intune 應用程式保護 - 屬性] 窗格。

根據裝置管理狀態鎖定應用程式保護原則

在許多組織中，通常允許使用者同時使用 Intune 行動裝置裝置管理 (MDM) 受控裝置，例如公司擁有的裝置，以及僅受 Intune 應用程式保護原則保護的非受控裝置。 非託管裝置通常稱為自帶裝置 (BYOD) 。

由於 Intune 應用程式保護原則以使用者的身分識別為目標，因此使用者的保護設定可以套用至已註冊 (MDM 受控) ，以及未註冊的裝置， (沒有 MDM) 。 因此，您可以使用篩選，將 Intune 應用程式保護原則鎖定為 Intune 已註冊或取消註冊的 iOS/iPadOS 和 Android 裝置。 如需有關建立篩選器的詳細資訊，請參閱指派 原則時使用篩選 器。 您可以針對未受管理的裝置設定一個保護原則，其中有嚴格的資料外洩防護 (DLP) 控制，而針對 MDM 受控裝置設定個別的保護原則，其中 DLP 控制可能會稍微寬鬆一些。 如需這在個人 Android Enterprise 裝置上運作方式的詳細資訊，請參閱 應用程式防護原則和工作設定檔。

若要在指派原則時使用這些篩選，請流覽至 Intune 系統管理中心中的 應用程式>保護 ，然後選取 [ 建立原則]。 您也可以編輯現有的應用程式保護原則。 導覽至 [指派 ] 頁面，然後選取 [編輯篩選器] 以包含或排除指派群組的篩選器。

裝置管理類型

重要事項

Android 裝置管理員 (DA) 管理功能已淘汰，且無法再適用於可存取 Google Mobile Services (GMS) 的裝置。 如果您目前使用 DA 管理，我們建議您切換到其他 Android 管理選項。 支援和說明文件仍適用於部分未搭載 GMS 的 Android 15 及更早版本裝置。 如需詳細資訊，請參閱 終止對 GMS 裝置上 Android 裝置管理員的支援。

• 非受控：針對 iOS/iPadOS 裝置，未受控裝置是 Intune MDM 管理或第三方 MDM/EMM 解決方案未傳遞 IntuneMAMUPN 金鑰的任何裝置。 針對 Android 裝置，未受控裝置是尚未偵測到 Intune MDM 管理的裝置。 這包括由第三方 MDM 供應商管理的裝置。
• Intune 受控裝置：受控裝置是由 Intune MDM 管理。
• Android 裝置系統管理員：使用 Android 裝置管理 API 的 Intune 管理裝置。
• Android Enterprise：使用 Android Enterprise 工作配置檔或 Android Enterprise 完整裝置管理的 Intune 管理裝置。
• 具有 Microsoft Entra 共用裝置模式的 Android Enterprise 公司擁有專用裝置：使用 Android Enterprise 專用裝置搭配共用裝置模式的 Intune 管理裝置。
• Android (AOSP) 使用者相關聯的裝置：使用 AOSP 使用者相關聯管理的 Intune 管理裝置。
• Android (AOSP) 無使用者裝置：使用 AOSP 無使用者裝置的 Intune 管理裝置。 這些裝置也會利用 Microsoft Entra 共用裝置模式。

在 Android 上，Android 裝置會提示安裝 Intune 公司入口網站 應用程式，無論選擇哪種裝置管理類型為何。 例如，如果您選取 [Android Enterprise]，則系統仍會提示使用未受管理 Android 裝置的使用者。

針對 iOS/iPadOS，若要將裝置管理類型強制執行至 Intune 受控裝置，需要其他應用程式組態設定。 這些設定會與應用程式保護原則服務通訊，以指出應用程式已受管理。 因此，在您部署應用程式設定原則之前，應用程式保護原則設定將不會套用。 以下是應用程式組態設定：

• IntuneMAMUPN 和 IntuneMAMOID 必須針對所有 MDM 受控應用程式進行設定。 如需詳細資訊，請參閱 如何在 Microsoft Intune 中管理 iOS/iPadOS 應用程式之間的資料傳輸。
• IntuneMAMDeviceID 必須針對所有協力廠商和企業營運 MDM 受控應用程式進行設定。 IntuneMAMDeviceID 應該設定為裝置標識碼權杖。 例如，key=IntuneMAMDeviceID, value={{deviceID}}。 如需詳細資訊，請參閱 新增受控 iOS/iPadOS 裝置的應用程式設定原則。
• 如果只設定 IntuneMAMDeviceID，Intune 應用程式保護原則會將裝置視為未受控。

重要事項

從 Intune 的 9 月 (2409) 服務版本開始，IntuneMAMUPN、IntuneMAMOID 和 IntuneMAMDeviceID 應用程式設定值會自動傳送至 Intune 已註冊 iOS 裝置上的受控應用程式，適用於下列應用程式：Microsoft Excel、Microsoft Outlook、Microsoft PowerPoint、Microsoft Teams 和 Microsoft Word。 Intune 會繼續展開此清單，以包含其他受控應用程式。

如果未針對 iOS 裝置正確設定這些值，則原則可能無法傳遞至應用程式，或傳遞錯誤的原則。 如需詳細資訊，請參閱 支援提示：在極少數情況下，iOS/iPadOS 無使用者裝置上的 Intune MAM 使用者可能會遭到封鎖。

原則設定

若要查看 iOS/iPadOS 和 Android 原則設定的完整清單，請選取下列其中一個連結：

• iOS/iPadOS 原則
• Android 政策

後續步驟

監控合規性和使用者狀態

另請參閱

• 在哪裡尋找適用於 Android 的公司或學校應用程式 (使用者說明)
• 在哪裡尋找適用於 iOS/iPadOS 的公司或學校應用程式 (使用者說明)