在 Intune 中使用應用程式保護原則條件式啟動動作選擇性地抹除數據

  • 發行項

Intune 應用程式保護原則內的條件式啟動動作可讓組織在不符合特定裝置或應用程式條件時封鎖存取或抹除組織數據。

您可以使用這些設定,明確地選擇從終端使用者的裝置抹除公司數據,以採取不符合規範的動作。 針對某些設定,您可以設定多個動作,例如根據不同的指定值封鎖存取和抹除數據。

使用條件式啟動動作建立應用程式保護原則

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [應用程式>應用程式防護 原則]

  3. 取 [建立原則 ],然後選取您原則的裝置平臺。

  4. 取 [設定必要設定 ],以查看可供為原則設定的設定清單。

  5. 在 [設定] 窗格中向下卷動,您會看到標題為 [ 條件式啟動 ] 的區段,其中包含可編輯的數據表。

    Intune 應用程式保護存取動作的螢幕快照

  6. 選取[設定],然後輸入使用者必須符合的[值],才能登入您的公司應用程式。

  7. 選取您想要在使用者不符合您的需求時採取的 動作 。 在某些情況下,單一設定可以設定多個動作。 如需詳細資訊,請 參閱如何建立和指派應用程式保護原則

原則設定

應用程式保護原則設定數據表具有 [ 設定]、[ ] 和 [ 動作] 的數據行

預覽:Windows 原則設定

針對 Windows,您可以使用 [ 設定 ] 下拉式清單來設定下列「健康情況檢查」設定的動作:

  • 已停用帳戶
  • OS 版本上限
  • 最低應用程式版本
  • 最低OS版本
  • 最低 SDK 版本
  • 離線寬限期
  • 允許的裝置威脅等級上限

iOS 原則設定

針對 iOS/iPadOS,您可以使用 [設定] 下拉式清單來設定下列 設定的動作

  • PIN 嘗試次數上限
  • 離線寬限期
  • 已越獄/Root 破解的裝置
  • OS 版本上限
  • 最低OS版本
  • 最低應用程式版本
  • 最低 SDK 版本
  • 裝置型號 ()
  • 允許的裝置威脅等級上限
  • 已停用帳戶

若要使用 裝置型號 (的) 設定,請輸入以分號分隔的 iOS/iPadOS 模型標識符清單。 這些值不區分大小寫。 除了 Intune 報告內的「裝置型號 () 」輸入之外,您也可以在此 第三方 GitHub 存放庫中找到 iOS/iPadOS 模型標識碼。
範例輸入: iPhone5,2;iPhone5,3

在用戶裝置上,Intune 用戶端會根據 Intune 中針對應用程式保護原則指定的裝置型號字串的簡單比對來採取動作。 比對完全取決於裝置所報告的內容。 建議您 (IT 系統管理員) ,藉由根據各種裝置製造商和型號測試此設定,並以小型使用者群組為目標,確保預期的行為會發生。 預設值為 [未設定]
設定下列其中一個動作:

  • 允許指定 (封鎖未指定的)
  • 允許指定 (抹除未指定的)

如果 IT 系統管理員在以相同 Intune 使用者的相同應用程式為目標的原則之間輸入不同的 iOS/iPadOS 模型標識符清單 () ,會發生什麼事?
當設定值的兩個應用程式保護原則發生衝突時,Intune 通常會採用限制最嚴格的方法。 因此,傳送至目標 Intune 使用者所開啟之目標應用程式的結果原則,會是原則 A 和原則 B 中所列 iOS/iPadOS 模型標識碼的交集,而原則 B 則是以相同的應用程式/用戶組合為目標。 例如, 原則 A 指定 「iPhone5,2;iPhone5,3“, While Policy B specifies ”iPhone5,3“, the resultant policy that The Resultant policy that The Intune user targeted by both Policy A and Policy B is ”iPhone5,3“.

Android 原則設定

針對 Android,您可以使用 [設定] 下拉式清單來設定下列 設定的動作

  • PIN 嘗試次數上限
  • 離線寬限期
  • 已越獄/Root 破解的裝置
  • 最低OS版本
  • OS 版本上限
  • 最低應用程式版本
  • 最小修補程式版本
  • 裝置製造商 ()
  • 播放完整性決策
  • 需要對應用程式進行威脅掃描
  • 最小 公司入口網站 版本
  • 允許的裝置威脅等級上限
  • 已停用帳戶
  • 需要裝置鎖定

藉由使用最小 公司入口網站 版本,您可以指定在終端使用者裝置上強制執行之 公司入口網站 的特定最小定義版本。 此條件式啟動設定可讓您將值設定為 [封鎖存取]、[ 抹除數據] 和 [當每個值都不符合時發出 警告 ] 動作。 此值的可能格式會遵循 模式 [Major].[Minor][Major].[次要]。[Build], 或 [Major].[次要]。[組建]。[修訂]。 假設某些終端使用者可能不偏好現場強制更新應用程式,在設定此設定時,[警告] 選項可能很理想。 Google Play 商店在只傳送差異位元組以進行應用程式更新時,會執行良好的工作。 不過,如果使用者在更新時使用數據,這仍然可以是使用者可能不想要使用的大量數據。 強制更新和下載更新的應用程式,可能會在更新時產生非預期的數據費用。 如果設定了 [最小 公司入口網站 版本] 設定,將會影響取得 公司入口網站 5.0.4560.0 版的任何終端使用者,以及任何未來的 公司入口網站 版本。 此設定不會影響使用比此功能發行版本還舊的 公司入口網站 版本的使用者。 在裝置上使用應用程式自動更新的終端使用者可能不會看到來自此功能的任何對話框,因為他們可能使用最新的 公司入口網站 版本。 此設定僅適用於已註冊和未註冊裝置的應用程式保護。

若要使用 裝置製造商 (的) 設定,請輸入以分號分隔的 Android 製造商清單。 這些值不區分大小寫。 除了 Intune 報告之外,您還可以在裝置設定下找到裝置的 Android 製造商。
範例輸入: 製造商 A;製造商 B

注意事項

這些是使用 Intune 從裝置回報的一些常見製造商,並可作為輸入:Asus;黑 莓;Bq;Gionee;谷歌;Hmd global;Htc;華為;Infinix;Kyocera;Lemobile;聯想;Lge;摩托羅拉;Oneplus;Oppo;三星;尖銳;索尼;Tecno;體內;沃 達 豐;馬西米;中興;Zuk

在用戶裝置上,Intune 用戶端會根據 Intune 中針對應用程式保護原則指定的裝置型號字串的簡單比對來採取動作。 比對完全取決於裝置所報告的內容。 建議您 (IT 系統管理員) ,藉由根據各種裝置製造商和型號測試此設定,並以小型使用者群組為目標,確保預期的行為會發生。 預設值為 [未設定]
設定下列其中一個動作:

  • 允許在非指定) 上指定 (區塊
  • 允許在未指定的) 上指定 (抹除

如果 IT 系統管理員在以相同 Intune 使用者的相同應用程式為目標的原則之間輸入不同的 Android 製造商清單 () ,會發生什麼事?
當設定值的兩個應用程式保護原則發生衝突時,Intune 通常會採用限制最嚴格的方法。 因此,傳送給目標 Intune 使用者所開啟之目標應用程式的結果原則,會是原則 A 和原則 B 中列出的 Android 製造商交集,而原則 B 則是以相同的應用程式/用戶組合為目標。 例如, 原則 A 指定 「Google;Samsung“, while Policy B specifies ”Google“, the resultant policy that The Resultant policy that The Intune user targeted by policy A and Policy B is ”Google.”

其他設定和動作

根據預設,如果 [需要 PIN 以進行存取] 設定設為 [],數據表會包含已填入的數據列作為離線寬限期所設定的設定,以及 PIN 嘗試上限

若要設定設定,請從 [設定] 資料行下的下拉式清單中選取 設定 。 選取設定之後,如果需要設定值,可編輯的文字框就會在相同數據列的 [值 ] 資料行下啟用。 此外,下拉式清單會在 [ 動作 ] 資料行下啟用,其中包含一組適用於設定的條件式啟動動作。

下列清單提供常見的動作清單:

  • 封鎖存取 – 封鎖終端使用者存取公司應用程式。
  • 抹除數據 – 從終端使用者的裝置抹除公司數據。
  • 警告 – 提供對話框給使用者做為警告訊息。

在某些情況下,例如 [最低 OS 版本 ] 設定,您可以將設定設定為根據不同的版本號碼執行所有適用的動作。

應用程式保護存取動作的螢幕快照 - 最低 OS 版本

設定完全設定之後,數據列會出現在唯讀檢視中,而且隨時都可以編輯。 此外,數據列在 [ 設定 ] 資料行中似乎有可供選取的下拉式清單。 下拉式清單中無法選取不允許多個動作的已設定設定。

後續步驟

如需 Intune 應用程式保護原則的詳細資訊,請參閱: