應用程式防護原則概觀

應用程式) (Intune 應用程式保護原則是確保組織數據保持安全或包含在受控應用程式中的規則。 這些原則可讓您控制行動裝置上的應用程式存取和共享數據的方式。 原則可以是當使用者嘗試存取或移動「企業」資料時所強制執行的規則，或當使用者位於應用程式內時所禁止或監視的一組動作。 Intune 中的受控應用程式是受 保護的應用程式 ，其已套用 Intune 應用程式保護原則，並由 Intune 管理。

使用 Intune 應用程式保護原則有幾個 優點 ，包括保護行動裝置上的公司數據，而不需要裝置註冊，以及控制行動裝置上的應用程式存取和共用數據的方式。

搭配 Microsoft Intune 使用應用程式保護原則的範例包括：

• 需要 PIN 或指紋才能存取行動裝置上的公司電子郵件
• 防止使用者將公司數據複製並貼到個人應用程式中
• 將公司數據的存取限制為僅限核准的應用程式

許多生產力應用程式，例如 Microsoft 365 (Office) 應用程式，都可以使用 Intune MAM 來管理。 請參閱可公開使用的 Microsoft Intune 受保護應用程式官方清單。

如何保護應用程式資料

您的員工會使用行動裝置來處理個人和工作事務。 在確保員工生產力的同時，您也會想要防止故意與無意的資料遺失。 您也想要保護從不受您管理之裝置存取的公司數據。

您可以使用與任何行動裝置管理無關的 Intune 應用程式保護原則 (MDM) 解決方案。 無論是否在裝置備管理解決方案中註冊裝置，這種獨立性可以幫助您保護公司的資料。 藉由實作 應用層級原則，您可以限制對公司資源的存取，並將數據保留在 IT 部門的檢視範圍內。

裝置上的應用程式防護原則

您可以針對在下列裝置上執行的應用程式設定應用程式防護原則：

• 註冊 Microsoft Intune：這些裝置通常是公司擁有的裝置。

• 在 MDM) 解決方案 (第三方行動裝置管理中註冊： 這些裝置通常是公司擁有的。

  注意事項

  行動應用程式管理原則不應與第三方行動應用程式管理或安全容器解決方案搭配使用。

• 未在任何行動裝置管理解決方案中註冊： 這些裝置通常是員工擁有的裝置，未在 Intune 或其他 MDM 解決方案中管理或註冊。

重要事項

您可以為連線到 Microsoft 365 服務的 Office 行動裝置應用程式建立行動裝置應用程式管理原則。 您也可以為啟用混合式新式驗證的 iOS/iPadOS 和 Android 版 Outlook 建立 Intune 應用程式防護原則，以保護 Exchange 內部部署信箱的存取權。 使用此功能之前，請確定您符合 iOS/iPadOS 和 Android 版 Outlook 的需求。 連線到內部部署 Exchange 或 SharePoint 服務的其他應用程式不支援應用程式防護原則。

使用 應用程式防護 原則的優點

使用 應用程式防護 原則的重要優點如下：

• 在應用程式層級保護公司資料。 因為行動裝置應用程式管理不需要裝置管理，所以您可以保護受管理和未受管理裝置上的公司資料。 此管理會以使用者身分識別為中心，這會對移除裝置管理的需求。

• 用戶生產力不會受到影響，且在個人內容中使用應用程式時不會套用原則。 這些原則只會套用在工作內容中，讓您能夠保護公司資料，而不需要觸碰個人資料。

• 應用程式防護原則可確保實施應用程式層保護。 例如，您可以：

  • 需要 PIN 碼才能在工作內容中開啟應用程式
  • 控制應用程式之間的資料共用
  • 防止將公司應用程式資料儲存到個人儲存位置

• 除了 MAM 之外，MDM 也可確保裝置受到保護。 您可以要求 PIN 碼以存取裝置，或是將受管理應用程式部署到裝置。 您也可以透過 MDM 解決方案將應用程式部署到裝置，讓您更充分掌控應用程式管理。

搭配使用 MDM 與 應用程式防護 原則還有其他優點，而且公司可以同時使用具有和不含 MDM 的 應用程式防護 原則。 例如，假設有員工同時使用公司所簽發的電話，以及自己的個人平板電腦。 公司電話已在 MDM 中註冊，並受到 應用程式防護 原則保護，而個人裝置僅受 應用程式防護 原則保護。

如果您在未設定裝置狀態的情況下將 MAM 原則套用至使用者，則使用者會在 BYOD 裝置和受 Intune 管理的裝置上取得 MAM 原則。 您也可以根據受管理狀態套用 MAM 原則。 因此，當您建立應用程式保護原則時，在 [ 所有應用程式類型的目標] 旁，您會選取 [ 否]。 然後執行下列任何一項：

• 將較不嚴格的 MAM 原則套用至 Intune 受管理的裝置，並將更嚴格的 MAM 原則套用至未註冊 MDM 的裝置。
• 僅將 MAM 原則套用至未註冊的裝置。

應用程式防護原則支援的平臺

Intune 提供一系列功能，可協助您在您想要的裝置上，取得所需的應用程式。 如需詳細資訊，請參閱 依平臺的應用程式管理功能。

Intune 應用程式保護原則平台支援與 Android 和 iOS/iPadOS 裝置的 Office 行動應用程式平台支援一致。 如需詳細資訊，請參閱 Office 系統需求的行動應用程式一節。

預覽：此外，您可以建立適用於 Windows 裝置的應用程式保護原則。 如需詳細資訊，請參閱 windows 裝置 應用程式防護 體驗。

重要事項

裝置上需要 Intune 公司入口網站，才能在 Android 上接收應用程式防護原則。

應用程式防護 原則數據保護架構

應用程式保護原則中可用的選項 (APP) 可讓組織根據其特定需求量身打造保護。 對部分使用者而言，實作完整案例所需的原則設定可能不明顯。 為了協助組織排定行動裝置用戶端端點強化的優先順序，Microsoft 為其 iOS 和 Android 版行動裝置應用程式管理的 APP 資料保護架構推出了分類法。

APP 資料保護架構會組織成三個不同的設定層級，其中每個層級會根據上一個層級來建置:

• 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密，並執行選擇性抹除作業。 針對 Android 裝置，此層級會驗證 Android 裝置證明。 這是一種進入層級設定，可在 Exchange Online 信箱原則中提供類似的資料保護控制，並將 IT 和使用者母體引入 APP。
• 企業增強的資料保護 (層級 2) 引進 APP 資料外泄防護機制和最低作業系統需求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
• 企業高資料保護 (層級 3) 引進進階資料保護機制、增強的 PIN 設定，以及 APP 行動威脅防禦。 此設定等級適用於存取高風險資料的使用者。

若要查看每個設定層級的特定建議，以及必須保護的最低應用程式，請檢閱 使用應用程式防護原則的資料保護架構。

應用程式保護原則如何保護應用程式數據

沒有應用程式防護原則的應用程式

使用沒有限制的應用程式時，公司和個人資料可能會交集在一起。 公司資料最終可能會位於個人儲存體等位置，或傳輸至您 Purview 以外的應用程式，並導致資料遺失。 下圖中的箭號顯示公司和個人應用程式之間，以及記憶體位置之間的不受限制數據移動。

應用程式) (使用應用程式保護原則進行數據保護

您可以使用 應用程式防護 原則來防止公司資料儲存至裝置的本機記憶體 (請參閱下圖) 。 您也可以將資料移動限制為不受 應用程式防護 原則保護的其他應用程式。 應用程式防護原則設定包括：

• 數據重新配置原則，例如 儲存組織數據的複本，以及 限制剪下、複製和貼上。
• 存取原則設定，例如 需要簡單的 PIN 以進行存取，以及 封鎖受控應用程式在已越獄或 Root 破解的裝置上執行。

在 MDM 解決方案所管理的裝置上使用 APP 進行數據保護

下圖顯示 MDM 和 應用程式防護 原則一起提供的保護層級。

MDM 解決方案藉由提供下列專案來增加價值：

• 註冊裝置
• 將應用程式部署至裝置
• 提供持續的裝置合規性與管理

應用程式防護 原則會藉由提供下列專案來增加價值：

• 協助保護公司數據免於洩漏至取用者應用程式和服務
• 將另 存新檔、 剪貼簿或 PIN 等限制套用至用戶端應用程式
• 視需要從應用程式抹除公司數據，而不從裝置移除這些應用程式

在不註冊的裝置上使用APP保護數據

下圖說明資料防護原則在沒有 MDM 的情況下，如何在應用層級運作。

對於未在任何 MDM 解決方案中註冊的 BYOD 裝置，應用程式防護原則可協助保護應用層級的公司資料。 但是，要注意有某些限制，像是：

• 您無法將應用程式部署到裝置。 終端使用者必須從市集取得應用程式。
• 您無法在這些裝置上佈建憑證設定檔。
• 您無法在這些裝置上佈建公司Wi-Fi和 VPN 設定。

您可以使用應用程式保護原則管理的應用程式

任何已與 Intune SDK 整合或由 Intune App Wrapping Tool 包裝的應用程式，都可以使用 Intune 應用程式保護原則來管理。 請參閱已使用這些工具建置並可供公開使用的受保護 Microsoft Intune 應用程式官方清單。

Intune SDK 開發小組會主動測試並維護使用原生 Android、iOS/iPadOS (Obj-C、Swift) 、Xamarin 和 Xamarin.Forms 平臺建置的應用程式支援。 雖然有些客戶已成功將 Intune SDK 與其他平臺整合，例如 React Native 和 NativeScript，但我們並未提供明確的指引或外掛程式，讓應用程式開發人員使用支持的平臺以外的任何專案。

使用應用程式保護原則的使用者需求

下列清單提供在受 Intune 管理的應用程式上使用應用程式保護原則的使用者需求：

• 終端用戶必須具有 Microsoft Entra 帳戶。 請參閱新增使用者並將系統管理許可權授與 Intune，以瞭解如何在 Microsoft Entra ID 中建立 Intune 使用者。

• 用戶必須擁有指派給其 Microsoft Entra 帳戶 Microsoft Intune 授權。 請 參閱管理 Intune 授權 ，以瞭解如何將 Intune 授權指派給使用者。

• 使用者必須屬於應用程式保護原則的目標安全性群組。 相同的應用程式保護原則必須針對所使用的特定應用程式。 應用程式防護 原則可以在 Microsoft Intune 系統管理中心建立和部署。 安全組目前可在 Microsoft 365 系統管理中心 中建立。

• 終端用戶必須使用其 Microsoft Entra 帳戶登入應用程式。

Microsoft 365 (Office) 應用程式的 應用程式防護 原則

搭配 Microsoft 365 (Office) 應用程式使用 應用程式防護 原則時，有一些您想要注意的其他需求。

Outlook 行動應用程式

使用 Outlook 行動應用程式 的其他需求包括：

• 終端用戶必須將 Outlook 行動裝置應用程式安裝到其裝置上。

• 終端用戶必須擁有連結至其 Microsoft Entra 帳戶的 Microsoft 365 Exchange Online 信箱和授權。

  注意事項

  Outlook 行動應用程式目前僅支援適用於 Microsoft Exchange Online 的 Intune 應用程式保護，並 Exchange Server 混合式新式驗證，且不支援 Office 365 Dedicated 中的 Exchange。

Word、Excel 和 PowerPoint

使用 Word、Excel 和 PowerPoint 應用程式的其他需求包括：

• 用戶必須擁有連結至其 Microsoft Entra 帳戶之 Microsoft 365 Apps 商務版 或企業的授權。 訂用帳戶必須包含行動裝置上的 Office 應用程式，而且可以包含具有 商務用 OneDrive的雲端記憶體帳戶。 您可以依照這些指示，在 Microsoft 365 系統管理中心 中指派 Microsoft 365 授權。

• 終端用戶必須在 [儲存組織數據的複本] 應用程式保護原則設定下，使用細微的儲存功能來設定受控位置。 例如，如果受控位置是 OneDrive，則應該在使用者的 Word、Excel 或 PowerPoint 應用程式中設定 OneDrive 應用程式。

• 如果受控位置是 OneDrive，則應用程式必須以部署至終端使用者的應用程式保護原則為目標。

  注意事項

  Office 行動應用程式目前僅支援 SharePoint Online，不支援 SharePoint 內部部署。

Office 所需的管理位置

受控位置 (即 Office 需要 OneDrive) 。 Intune 會將應用程式中的所有數據標示為「公司」或「個人」。 數據源自商務位置時會被視為「公司」。 針對 Office 應用程式，Intune 會將下列專案視為商務位置：具有 商務用 OneDrive 帳戶) 的電子郵件 (Exchange) 或雲端記憶體 (OneDrive 應用程式。

商務用 Skype

使用 商務用 Skype 還有其他需求。 請參閱 商務用 Skype 授權需求。 如需 商務用 Skype (SfB) 混合式和內部部署組態，請分別參閱混合式新式 SfB 驗證和 Exchange 的 GA 和 SfB OnPrem 與 Microsoft Entra ID 的新式驗證。

應用程式防護 全域原則

如果 OneDrive 系統管理員流覽至 [admin.onedrive.com ]，並選取 [ 裝置存取]，他們可以將行動 應用程式管理 控件設定為 OneDrive 和 SharePoint 用戶端應用程式。

OneDrive 管理員 主控台提供的設定會設定稱為全域原則的特殊 Intune 應用程式保護原則。 此全域原則適用於您租使用者中的所有使用者，而且無法控制原則目標。

啟用之後，iOS/iPadOS 和 Android 的 OneDrive 和 SharePoint 應用程式預設會受到所選設定的保護。 IT 專業人員可以在 Microsoft Intune 系統管理中心編輯此原則，以新增更具目標的應用程式，以及修改任何原則設定。

根據預設，每個租使用者只能有一個 全域 原則。 不過，您可以使用 Intune Graph API 為每個租使用者建立額外的全域原則，但不建議這麼做。 不建議建立額外的全域原則，因為針對這類原則的實作進行疑難解答可能會變得複雜。

雖然 全域 原則會套用至租使用者中的所有使用者，但任何標準 Intune 應用程式保護原則都會覆寫這些設定。

注意事項

OneDrive 管理員 Center 中的原則設定已不再更新。 Microsoft Intune 可以改用。 如需詳細資訊，請參閱 控制對 OneDrive 和 SharePoint 行動裝置應用程式中功能的存取。

應用程式防護 功能

多重身分識別

多重身分識別支援可讓應用程式支援多個物件。 這些物件同時是「公司」使用者和「個人」使用者。 公司和學校帳戶是由「公司」物件使用，而個人帳戶則會用於取用者物件，例如 Microsoft 365 (Office) 使用者。 支援多重身分識別的應用程式可以公開發行，其中應用程式保護原則僅適用於在公司與學校 (「公司」) 內容中使用應用程式時。 多重身分識別支援會使用 Intune SDK ，只將應用程式保護原則套用至已登入應用程式的公司或學校帳戶。 如果個人帳戶已登入應用程式，數據就會保持不變。 應用程式防護 原則可用來防止將公司或學校帳戶數據傳輸至多重身分識別應用程式內的個人帳戶、其他應用程式內的個人帳戶或個人應用程式。

重要事項

不論應用程式是否支援多重身分識別，只有單一「公司」身分識別可以套用Intune 應用程式保護原則。

如需「個人」內容的範例，請考慮在 Word 中啟動新檔的使用者，這會被視為個人內容，因此不會套用 Intune 應用程式保護原則。 將檔儲存在「公司」OneDrive 帳戶之後，就會被視為「公司」內容，並套用 Intune 應用程式保護原則。

請考慮下列工作或「公司」內容範例：

• 使用者使用其工作帳戶啟動 OneDrive 應用程式。 在工作內容中，他們無法將檔案移至個人儲存位置。 稍後，當他們使用 OneDrive 搭配其個人帳戶時，他們可以從個人 OneDrive 複製和行動數據，而不受限制。
• 用戶開始在 Outlook 應用程式中草擬電子郵件。 一旦填入主旨或訊息本文，使用者就無法將FROM位址從工作內容切換到個人內容，因為主旨和訊息本文會受到應用程式保護原則的保護。

注意事項

Outlook 具有「個人」和「公司」電子郵件的合併電子郵件檢視。 在此情況下，Outlook 應用程式會在啟動時提示輸入 Intune PIN。

重要事項

雖然 Edge 是在「公司」內容中，但使用者可以刻意將 OneDrive「公司」內容檔案移至未知的個人雲端儲存位置。 若要避免這種情況，請 參閱管理受限制的網站 ，並設定Edge允許/封鎖的網站清單。

Intune 應用程式 PIN

PIN) (個人識別碼是密碼，用來確認正確的使用者正在應用程式中存取組織的數據。

PIN 提示
當使用者即將存取「公司」數據時，Intune 會提示使用者輸入應用程式 PIN。 在 Word、Excel 或 PowerPoint 等多重身分識別應用程式中，當使用者嘗試開啟「公司」檔或檔案時，系統會提示他們輸入 PIN。 在單一身分識別應用程式中，例如使用 Intune App Wrapping Tool 管理的企業營運應用程式，會在啟動時提示 PIN，因為 Intune SDK 知道使用者在應用程式中的體驗一律為「公司」。

PIN 提示或公司認證提示頻率
IT 系統管理員可以在 Microsoft Intune 系統管理中心) (分鐘後，定義 Intune 應用程式保護原則設定 [重新檢查存取 需求]。 此設定會指定在裝置上檢查存取需求之前的時間量，並再次顯示應用程式 PIN 畫面或公司認證提示。 不過，會影響使用者提示頻率的 PIN 重要詳細資料如下：

• PIN 會在相同發行者的應用程式之間共用，以改善可用性：
  在 iOS/iPadOS 上， 相同應用程式發行者的所有應用程式之間會共用一個應用程式 PIN。 例如，所有 Microsoft 應用程式都會共用相同的 PIN。 在Android上，一個應用程式 PIN 會在所有應用程式之間共用。
• 在裝置重新啟動 后 (分鐘) 行為之後，重新檢查存取 需求：
  定時器會追蹤非使用狀態的分鐘數，以決定下一步顯示Intune 應用程式 PIN 或公司認證提示的時機。 在 iOS/iPadOS 上，定時器不會受到裝置重新啟動的影響。 因此，裝置重新啟動不會影響使用者從iOS/iPadOS 應用程式使用Intune PIN (或公司認證) 原則為目標的非使用中分鐘數。 在Android上，定時器會在裝置重新啟動時重設。 因此，具有 Intune PIN (或公司認證) 原則的 Android 應用程式可能會提示應用程式 PIN 或公司認證提示，不論 裝置重新啟動後「在 (分鐘後重新檢查存取需求) 」設定值。
• 與 PIN 相關聯之定時器的滾動本質：
  一旦輸入 PIN 以存取應用程式 (應用程式 A) ，且應用程式離開前景 (裝置上的主要輸入焦點) ，該 PIN 的定時器就會重設。 共用此 PIN 的任何應用程式 (應用程式 B) 都不會提示使用者輸入 PIN，因為定時器已重設。 再次符合「在 (分鐘之後重新檢查存取需求) 」值之後，就會再次顯示提示。

針對 iOS/iPadOS 裝置，即使 PIN 是在不同發行者的應用程式之間共用，當 重新檢查存取需求 (分鐘後 ，系統會再次顯示提示，) 值再次符合不是主要輸入焦點的應用程式。 因此，例如，用戶擁有來自發行者 X 的應用程式 A 和發行者 Y 的應用程式 B，而這兩個應用程式共用相同的 PIN。 用戶著重於應用程式 A (前景) ，並將應用程式 B 最小化。 在 (分鐘後重新檢查存取需求之後，) 值符合，且使用者切換至應用程式 B，則需要 PIN。

注意事項

若要更頻繁地驗證使用者的存取需求， (也就是 PIN 提示) ，特別是針對經常使用的應用程式，建議您減少[在 (分鐘後重新檢查存取需求) ' 設定的值。

適用於 Outlook 和 OneDrive 的內建應用程式 PIN
Intune PIN 會根據非活動定時器運作， ( (分鐘之後重新檢查存取需求的值，) ) 。 因此，Intune PIN 提示會與 Outlook 和 OneDrive 的內建應用程式 PIN 提示分開顯示，這些提示通常會與預設的應用程式啟動系結。 如果用戶同時收到這兩個 PIN 提示，預期的行為應該是 Intune PIN 優先。

Intune PIN 安全性
PIN 可用來只允許正確的使用者存取其組織在應用程式中的數據。 因此，用戶必須先使用其公司或學校帳戶登入，才能設定或重設其 Intune 應用程式 PIN。 此驗證是由 Microsoft Entra ID 透過安全令牌交換來處理，對Intune SDK 而言並不透明。 從安全性觀點來看，保護公司或學校數據的最佳方式是加密數據。 加密與應用程式 PIN 無關，而是它自己的應用程式保護原則。

防範暴力密碼破解攻擊和 Intune PIN
作為應用程式 PIN 原則的一部分，IT 系統管理員可以設定使用者在鎖定應用程式之前，可以嘗試驗證其 PIN 的次數上限。 達到嘗試次數之後， Intune SDK 就可以抹除應用程式中的「公司」數據。

Intune PIN 和選擇性抹除
在 iOS/iPadOS 上，應用層級 PIN 資訊會儲存在具有相同發行者的應用程式之間共用的金鑰鏈中，例如所有第一方 Microsoft 應用程式。 此 PIN 資訊也會系結至用戶帳戶。 選擇性抹除一個應用程式不應影響不同的應用程式。

例如，已登入使用者的 Outlook PIN 集會儲存在共用密鑰鏈中。 當使用者登入由 Microsoft) 發佈的 OneDrive (時，他們會看到與 Outlook 相同的 PIN 碼，因為它使用相同的共用密鑰鏈。 註銷 Outlook 或抹除 Outlook 中的用戶數據時，Intune SDK 不會清除該密鑰鏈，因為 OneDrive 可能仍在使用該 PIN。 因此，選擇性抹除不會清除該共用密鑰鏈，包括 PIN。 即使裝置上只有發行者有一個應用程式，此行為仍維持不變。

由於 PIN 是在具有相同發行者的應用程式之間共用，因此，如果抹除移至單一應用程式，Intune SDK 就不會知道裝置上是否有任何其他應用程式具有相同的發行者。 因此，Intune SDK 不會清除 PIN，因為它可能仍可用於其他應用程式。 預期是，當最後一個來自該發行者的應用程式最終會在某些操作系統清理過程中移除時，應該抹除應用程式 PIN。

如果您觀察到在某些裝置上抹除 PIN，可能會發生下列情況：因為 PIN 系結至身分識別，如果使用者在抹除之後使用不同的帳戶登入，系統會提示他們輸入新的 PIN。 不過，如果他們使用先前現有的帳戶登入，儲存在密鑰鏈中的 PIN 就已經可以用來登入。

在來自相同發行者的應用程式上設定 PIN 兩次？
iOS/iPadOS) 上的 MAM (目前允許具有英數位元和特殊字元的應用層級 PIN， (稱為「密碼」) 這需要應用程式參與 (例如 WXP、Outlook、Managed Browser，Viva Engage) 整合適用於 iOS 的 Intune SDK。 如果沒有，目標應用程式的密碼設定將不會正確強制執行。 這是 Intune SDK for iOS v. 7.1.12 中發行的功能。

為了支援這項功能，並確保與舊版 Intune SDK for iOS/iPadOS 的回溯相容性，7.1.12+ 中 (數值或密碼) 的所有 PIN 都會與舊版 SDK 中的數值 PIN 分開處理。 Intune SDK for iOS v 14.6.0 引進了另一項變更，導致 14.6.0+ 中的所有 PIN 都與舊版 SDK 中的任何 PIN 分開處理。

因此，如果裝置在 7.1.12 之前和 7.1.12 之後，從相同發行者 (或 14.6.0 之前的版本，以及 14.6.0 之後的 14.6.0) 之後，具有 Intune SDK for iOS 版本的應用程式，則必須設定兩個 PIN。 每個應用程式) 的兩個 PIN (以任何方式都不相關 (亦即，它們必須遵守套用至應用程式) 的應用程式保護原則。 因此， 只有在 應用程式 A 和 B 套用與 PIN) (相同的原則時，使用者才能設定相同的 PIN 兩次。

此行為專屬於使用 Intune 行動應用程式管理啟用的 iOS/iPadOS 應用程式上的 PIN。 經過一段時間后，當應用程式採用較新版本的 Intune SDK for iOS/iPadOS 時，必須在同一個發行者的應用程式上設定 PIN 兩次就變得較不成問題。 如需範例，請參閱下列附注。

注意事項

例如，如果應用程式 A 是以 7.1.12 之前的版本建置， (或 14.6.0) ，而應用程式 B 的版本大於或等於 7.1.12 (或來自相同發行者的 14.6.0) ， 如果兩者都安裝在 iOS/iPadOS 裝置上，終端使用者就必須分別設定 A 和 B 的 PIN。

如果已在裝置上安裝 SDK 7.1.9 版 (或 14.5.0) 的應用程式 C，它會與應用程式 A 共用相同的 PIN。

使用 7.1.14 (或 14.6.2) 建置的應用程式 D，將會與應用程式 B 共用相同的 PIN。

如果裝置上只安裝應用程式 A 和 C，則必須設定一個 PIN。 如果裝置上只安裝應用程式 B 和 D，則適用相同的方式。

應用程式數據加密

IT 系統管理員可以部署需要加密應用程式數據的應用程式保護原則。 作為原則的一部分，IT 系統管理員也可以指定何時加密內容。

Intune 數據加密程式如何
如需加密 應用程式保護原則設定的 詳細資訊，請參閱 Android 應用程式保護原則設定和 iOS/iPadOS 應用程式 保護原則設定。

加密的數據
只有標示為「公司」的數據會根據IT系統管理員的應用程式保護原則進行加密。 數據源自商務位置時會被視為「公司」。 針對 Office 應用程式，Intune 會將下列專案視為商務位置：

• Email (Exchange)
• 具有 商務用 OneDrive 帳戶的雲端記憶體 (OneDrive 應用程式)

針對由 Intune App Wrapping Tool 管理的企業營運應用程式，所有應用程式數據都會被視為「公司」。

選擇性抹除

從遠端抹除數據
Intune 可以使用三種不同的方式抹除應用程式數據：

• 完整裝置抹除
• MDM 的選擇性抹除
• MAM 選擇性抹除

如需 MDM 遠端抹除的詳細資訊，請參閱 使用抹除或淘汰來移除裝置。 如需使用 MAM 選擇性抹除的詳細資訊，請 參閱淘汰動作 和 如何只抹除應用程式中的公司數據。

完整裝置抹除 會將裝置還原為原廠預設設定，以從 裝置 移除所有用戶數據和設定。 裝置會從 Intune 中移除。

注意事項

只有向 Intune 行動裝置管理註冊的裝置 (MDM) ，才能完成 MDM 的完整裝置抹除和選擇性抹除。

MDM 的選擇性抹除
請參閱 移除裝置 - 淘汰 以閱讀移除公司數據的相關信息。

MAM 的選擇性抹除
MAM 的選擇性抹除只會從應用程式移除公司應用程式數據。 要求是使用 Intune 起始。 若要瞭解如何起始抹除要求，請參閱 如何只抹除應用程式中的公司數據。

如果使用者在起始選擇性抹除時使用應用程式， Intune SDK 會每隔 30 分鐘檢查一次 Intune MAM 服務的選擇性抹除要求。 它也會在使用者第一次啟動應用程式時檢查選擇性抹除，並使用其公司或學校帳戶登入。

當內部部署 (內部部署) 服務無法與受 Intune 保護的應用程式搭配使用時
Intune 應用程式保護取決於使用者的身分識別，才能在應用程式與 Intune SDK 之間保持一致。 保證的唯一方法是透過新式驗證。 在某些情況下，應用程式可能會使用內部部署組態，但它們既不一致也不保證。

從受控應用程式開啟 Web 連結的安全方式
IT 系統管理員可以部署和設定 Microsoft Edge 的應用程式保護原則，Microsoft Edge 是可使用 Intune 輕鬆管理的網頁瀏覽器。 IT 系統管理員可以要求使用受管理的瀏覽器開啟 Intune 管理之應用程式中的所有 Web 連結。

iOS 裝置的 應用程式防護 體驗

裝置指紋或臉部標識碼

Intune 應用程式保護原則只允許對 Intune 授權使用者的應用程式存取進行控制。 控制應用程式存取的其中一種方式是在支援的裝置上要求Apple的觸控標識碼或臉部標識碼。 Intune 會實作一種行為，如果裝置的生物特徵辨識資料庫有任何變更，Intune 會在符合下一個閑置逾時值時提示使用者輸入 PIN。 生物特徵辨識數據的變更包括新增或移除指紋或臉部。 如果 Intune 使用者沒有 PIN 集，系統會引導他們設定 Intune PIN。

此程式的目的是要繼續在應用程式內保護組織的數據，並在應用層級受到保護。 這項功能僅適用於 iOS/iPadOS，且需要整合 iOS/iPadOS 版 Intune SDK 9.0.1 版或更新版本的應用程式參與。 必須整合SDK，才能在目標應用程式上強制執行行為。 這項整合會以滾動為基礎進行，且取決於特定的應用程式小組。 部分參與的應用程式包括 WXP、Outlook、Managed Browser 和 Viva Engage。

iOS 共用擴充功能

您可以使用 iOS/iPadOS 共用延伸模組，在非受控應用程式中開啟公司或學校數據，即使數據傳輸原則設定為僅限受 管理的應用程式 或 沒有應用程式。 Intune 應用程式保護原則無法在未管理裝置的情況下控制 iOS/iPadOS 共用擴充功能。 因此，Intune 會 先加密「公司」數據，再於應用程式外部共用。 您可以嘗試在受控應用程式外部開啟「公司」檔案，以驗證此加密行為。 檔案應加密，且無法在受控應用程式外部開啟。

通用連結支援

根據預設，Intune 應用程式保護原則會防止存取未經授權的應用程式內容。 在 iOS/iPadOS 中，有功能可使用 通用連結開啟特定內容或應用程式。

用戶可以在 Safari 中瀏覽應用程式的通用連結，然後選取 [在新索引標籤 中開 啟] 或 [ 開啟]，以停用應用程式的通用連結。 若要搭配 Intune 應用程式保護原則使用通用連結，請務必重新啟用通用連結。 在長按對應的鏈接之後，終端用戶必須在 Safari 中執行 [在應用程式中<開啟] 名稱>。 這應該會提示任何其他受保護的應用程式將所有通用連結路由傳送至裝置上受保護的應用程式。

相同一組應用程式和使用者的多個 Intune 應用程式保護存取設定

用戶裝置嘗試從其公司帳戶存取目標應用程式時，會以特定順序套用存取的 Intune 應用程式保護原則。 一般而言，抹除會優先，後面接著區塊，然後是可關閉的警告。 例如，如果適用於特定使用者/應用程式，則會在封鎖使用者存取的最低iOS/iPadOS作業系統設定之後套用警告使用者更新其iOS/iPadOS 版本的最低iOS/iPadOS 操作系統設定。 因此，在IT系統管理員將最小iOS作業系統設定為11.0.0.0和最小iOS操作系統 (警告只會) 為11.1.1.0.0的案例中，當嘗試存取應用程式的裝置是在iOS 10上時，用戶會根據導致封鎖存取的最小 iOS 操作系統版本更嚴格的設定進行封鎖。

處理不同類型的設定時，Intune SDK 版本需求會優先，然後是應用程式版本需求，後面接著 iOS/iPadOS 操作系統版本需求。 然後，會檢查所有類型設定以相同順序出現的任何警告。 我們建議您只在 Intune 產品小組針對基本封鎖案例的指引下，設定 Intune SDK 版本需求。

Android 裝置的 應用程式防護 體驗

注意事項

沒有共享裝置模式的 Intune 受控 Android Enterprise 專用裝置不支援 (APP) 的 應用程式防護 原則。 在這些裝置上，需要 公司入口網站 安裝，APP 封鎖原則才會生效，而不會影響使用者。 使用共用裝置模式的 Intune 受控 Android Enterprise 專用裝置，以及利用共用裝置模式的 AOSP 無使用者裝置，都支援 應用程式防護 原則。

Microsoft Teams Android 裝置

Microsoft Teams Android 裝置上的 Teams 應用程式不支援 APP (不會透過 公司入口網站 應用程式) 接收原則。 這表示應用程式保護原則設定不會套用至 Microsoft Teams Android 裝置上的 Teams。 如果您已針對這些裝置設定應用程式保護原則，請考慮建立一組Teams裝置使用者，並將該群組從相關的應用程式保護原則中排除。 此外，請考慮修改您的 Intune 註冊原則、條件式存取原則和 Intune 合規性原則，使其具有支持的設定。 如果您無法變更現有的原則，則必須) 裝置篩選器設定 (排除。 根據現有的條件式存取組態和 Intune 合規性政策確認每個設定，以瞭解您是否有不支持的設定。 如需相關信息，請參閱適用於 Microsoft Teams 會議室 和 Teams Android 裝置的支援條件式存取和 Intune 裝置合規性原則。 如需 Microsoft Teams 會議室 的相關信息，請參閱 Microsoft Teams 會議室 的條件式存取和 Intune 合規性。

裝置生物特徵辨識驗證

對於支援生物特徵辨識驗證的 Android 裝置，您可以允許終端使用者使用指紋或臉部解除鎖定，視其 Android 裝置支援的內容而定。 您可以設定是否可以使用指紋以外的所有生物特徵辨識類型來進行驗證。 請注意，指紋和臉部解除鎖定僅適用於製造來支持這些生物特徵辨識類型的裝置，並執行正確的 Android 版本。 指紋需要 Android 6 和更新版本，且臉部解除鎖定需要 Android 10 和更新版本。

公司入口網站 應用程式和 Intune 應用程式保護

大部分的應用程式保護功能都內建在 公司入口網站 應用程式中。 即使一律需要 公司入口網站 應用程式，也不需要註冊裝置。 針對行動應用程式管理 (MAM) ，使用者只需要在裝置上安裝 公司入口網站 應用程式即可。

相同一組應用程式和使用者的多個 Intune 應用程式保護存取設定

用戶裝置嘗試從其公司帳戶存取目標應用程式時，會以特定順序套用存取的 Intune 應用程式保護原則。 一般而言，區塊會優先，然後出現可關閉的警告。 例如，如果適用於特定使用者/應用程式，則會在封鎖使用者存取的最低 Android 修補程式版本設定之後套用警告用戶進行修補程式升級的最低 Android 修補程式版本設定。 因此，在IT系統管理員將最低Android修補程式版本設定為2018-03-01，而最小 Android 修補程式版本 (警告只會) 至 2018-02-01 的案例中， 當嘗試存取應用程式的裝置在修補程式版本 2018-01-01 上時，會根據最小 Android 修補程式版本的更嚴格設定來封鎖終端使用者，進而導致封鎖存取。

處理不同類型的設定時，應用程式版本需求會優先，後面接著Android作業系統版本需求和Android修補程式版本需求。 然後，會以相同的順序檢查所有類型的設定是否有任何警告。

適用於 Android 裝置的 Intune 應用程式保護原則和 Google Play 的裝置完整性檢查

Intune 應用程式保護原則可讓系統管理員要求使用者裝置通過適用於 Android 裝置的 Google Play 裝置完整性檢查。 新的Google Play服務判斷會在Intune服務決定的間隔向IT系統管理員報告。 由於負載，服務呼叫的頻率會受到節流處理，因此此值會在內部維護且無法設定。 針對 Google 裝置完整性設定設定的任何 IT 系統管理員設定動作，都會根據條件式啟動時最後回報給 Intune 服務的結果來採取。 如果沒有數據，則會根據沒有其他條件式啟動檢查失敗而允許存取，而用來判斷證明結果的 Google Play 服務「往返」會從後端開始，並在裝置失敗時以異步方式提示使用者。 如果有過時的數據，將會封鎖或允許存取，視上次報告的結果而定，同樣地，用來判斷證明結果的 Google Play 服務「往返」將會開始，並在裝置失敗時以異步方式提示使用者。

Intune 應用程式保護原則和 Google 的 Android 裝置驗證應用程式 API

Intune 應用程式保護原則可讓系統管理員要求使用者裝置透過Google的Android裝置驗證應用程式 API 傳送訊號。 如何執行這項操作的指示會因裝置而稍有不同。 一般程式牽涉到移至 Google Play 商店，然後按下 我的應用程式 & 遊戲，按兩下最後一個應用程式掃描的結果，這會帶您前往 [播放保護] 選單。 請確定已開啟 [掃描裝置是否有安全性威脅 ] 的切換開關。

Google 的播放完整性 API

Intune 會利用Google的 Play 完整性 API，將未註冊裝置的現有根偵測檢查新增至其中。 Google 已開發並維護此 API 集合，讓 Android 應用程式不想要在根目錄裝置上執行應用程式時採用。 例如，Android Pay 應用程式已納入此專案。 雖然 Google 不會公開分享所發生的整個根偵測檢查，但我們預期這些 API 會偵測已破解其裝置的使用者。 這些用戶接著可能會遭到封鎖而無法存取，或從已啟用原則的應用程式抹除其公司帳戶。 檢查基本完整性 會告訴您裝置的一般完整性。 具有竄改徵兆的根裝置、模擬器、虛擬設備和裝置，會失敗基本完整性。 檢查認證裝置 & 的基本完整 性會告訴您裝置與Google服務的相容性。 只有經過Google認證的未修改裝置才能通過這項檢查。 將會失敗的裝置包括下列專案：

• 不符合基本完整性的裝置
• 具有解除鎖定開機載入器的裝置
• 具有自定義系統映像/ROM 的裝置
• 製造商未申請或通過Google認證的裝置
• 具有直接從 Android 開放原始碼計劃來源檔案建置系統映像的裝置
• 具有 Beta/開發人員預覽系統映像的裝置

如需技術詳細數據，請參閱 Google 的 Play 完整性 API 檔。

播放完整性決策設定和 [已越獄/Root 破解的裝置] 設定

播放完整性決策需要使用者在在線，至少在判斷證明結果的「往返」執行期間。 如果終端用戶離線，IT系統管理員仍可預期會從 已越獄/Root 破解的裝置 設定強制執行結果。 也就是說，如果終端用戶離線的時間太長， 離線寬限期 值就會生效，而且一旦達到該定時器值，所有對公司或學校數據的存取都會遭到封鎖，直到有網路存取可用為止。 開啟這兩個設定可讓使用者裝置保持健全狀況的多層式方法，這在使用者存取行動裝置上的公司或學校數據時很重要。

Google Play 保護 API 和 Google Play 服務

利用Google Play保護 API 的應用程式保護原則設定需要Google Play服務才能運作。 Play 完整性決策和應用程式設定的威脅掃描都需要 Google 決定的 Google Play 服務版本才能正確運作。 由於這些設定屬於安全性領域，因此，如果使用者已以這些設定為目標，且不符合適當的 Google Play 服務版本，或沒有 Google Play 服務的存取權，則會封鎖終端使用者。

預覽：windows 裝置的 應用程式防護 體驗

原則設定有兩種類別： 數據保護 和 健康情況檢查。 原則 管理的應用程式 一詞是指使用應用程式保護原則設定的應用程式。

資料保護

數據保護設定會影響組織數據和內容。 身為系統管理員，您可以控制將數據移入和移出組織保護的內容。 組織內容是由指定組織帳戶存取的檔、服務和網站所定義。 下列原則設定有助於控制接收到組織內容的外部數據，以及從組織內容傳送的組織數據。

健康情況檢查

健康情況檢查可讓您設定條件式啟動功能。 若要這樣做，您必須設定應用程式保護原則的健康情況檢查條件。 選取 [設定 ]，然後輸入用戶必須符合才能存取組織數據的 [值 ]。 然後選取您想要在使用者不符合條件時採取的 動作 。 在某些情況下，單一設定可以設定多個動作。

後續步驟

如何使用 Microsoft Intune 建立及部署應用程式保護原則

具有 Microsoft Intune的可用 Android 應用程式保護原則設定

可用的 iOS/iPadOS 應用程式保護原則設定與 Microsoft Intune