共用方式為

Microsoft Intune 中的 Android 應用程式防護原則設定

  • 發行項

本文說明 Android 裝置的應用程式保護原則設定。 您可以在入口網站的 [設定] 窗格,針對應用程式保護原則設定所描述的原則設定。 原則設定有三種類別:數據保護設定、存取需求和條件式啟動。 在本文中,原則 管理的應用程式 一詞是指使用應用程式保護原則設定的應用程式。

重要事項

裝置上需要 Intune 公司入口網站 才能接收 Android 裝置的應用程式保護原則。

Intune Managed Browser 已淘汰。 針對受保護的 Intune 瀏覽器體驗,請使用 Microsoft Edge。

資料保護

數據傳輸

設定 如何使用 預設值
將組織數據備份至 Android 備份服務 取 [封鎖 ] 以防止此應用程式將公司或學校數據備 份至 Android 備份服務

取[允許 ] 以允許此應用程式備份公司或學校數據。		 Allow
將組織數據傳送至其他應用程式 指定哪些應用程式可以從此應用程式接收資料:
  • 受原則管理的應用程式:只允許傳送至其他受原則管理的應用程式。
  • 所有應用程式:允許傳送至任何應用程式。
  • :不允許將數據傳輸至任何應用程式,包括其他受原則管理的應用程式。

有些豁免應用程式和服務 Intune 預設可能會允許數據傳輸。 此外,如果您需要允許數據傳輸至不支援應用程式 Intune 應用程式,您可以建立自己的豁免。 如需詳細資訊,請 參閱數據傳輸豁免

此原則也可以套用至 Android 應用程式連結。 一般 Web 連結是由 [在原則中開啟應用程式連結 Intune Managed Browser 管理。

注意事項

Intune 目前不支援Android Instant Apps功能。 Intune 會封鎖與應用程式之間的任何數據連線。 如需詳細資訊,請參閱 Android 開發人員檔中的 Android Instant Apps

如果將 組織數據傳送至其他應用程式 設定為 [所有應用程式],文字數據仍可透過OS共用傳輸至剪貼簿。

 所有應用程式
    選取要豁免的應用程式
 當您針對上一個選項選取受 原則管理的應用程式 時,可以使用此選項。
    儲存組織數據的複本
 選擇 [封鎖 ] 以停用此應用程式中 [另存新檔] 選項的使用。 如果您想要允許使用另存新檔,請選擇 [允許]。 當設定為 [封鎖] 時,您可以設定 [ 允許使用者將複本儲存至選取的服務] 設定。

注意:
  • 此設定支援Microsoft Excel、OneNote、PowerPoint、Word 和 Edge。 第三方和 LOB 應用程式可能也支援此功能。
  • 只有當 [將 組織數據傳送至其他應用程式 ] 設定為 [受原則 管理的應用程式] 設定時,才能設定此設定。
  • 當 [將 組織數據傳送至其他應用程式 ] 設定設定為 [ 所有應用程式] 時,此設定會是 [允許]。
  • 當 [將 組織數據傳送至其他應用程式 ] 設定設定為 [ ] 時,此設定會是 「封鎖」且不允許的服務位置。
  • 如果 [加密 組織數據 ] 設定為 [ 需要],此設定會將檔案儲存為加密。
Allow
      允許使用者將複本儲存至選取的服務
 用戶可以儲存至選取的服務 (商務用 OneDrive、SharePoint、相片媒體櫃、Box 和本機記憶體) 。 所有其他服務都會遭到封鎖。 已選取 0 個
    將電信數據傳輸至
 一般而言,當使用者在應用程式中選取超連結電話號碼時,撥號應用程式將會開啟,並預先填入電話號碼並準備好撥打電話。 針對此設定,選擇從受原則管理的應用程式起始時,如何處理這種類型的內容傳輸:
  • 無,請勿在應用程式之間傳輸此數據:偵測到電話號碼時,請勿傳輸通訊數據。
  • 特定撥號程式應用程式:允許特定撥號程式應用程式在偵測到電話號碼時起始聯繫人。
  • 任何受原則管理的撥號程式應用程式:允許任何受原則管理的撥號程式應用程式在偵測到電話號碼時起始聯繫人。
  • 任何撥號程式應用程式:允許在偵測到電話號碼時,使用任何撥號程式應用程式來起始聯繫人。
 任何撥號程式應用程式
      撥號程式應用程式套件識別碼
 選取特定撥號程式應用程式時,您必須提供 應用程式套件識別碼 Blank
      撥號應用程式名稱
 選取特定撥號程式應用程式時,您必須提供撥號程式應用程式的名稱。 Blank
    將傳訊數據傳輸至
 一般而言,當使用者在應用程式中選取超連結電話號碼時,撥號應用程式將會開啟,並預先填入電話號碼並準備好撥打電話。 針對此設定,選擇從受原則管理的應用程式起始時,如何處理這種類型的內容傳輸。 針對此設定,選擇從受原則管理的應用程式起始時,如何處理這種類型的內容傳輸:
  • 無,請勿在應用程式之間傳輸此數據:偵測到電話號碼時,請勿傳輸通訊數據。
  • 特定訊息應用程式:允許在偵測到電話號碼時,使用特定的訊息應用程式來起始聯繫人。
  • 任何受原則管理的傳訊應用程式:允許在偵測到電話號碼時,使用任何受原則管理的傳訊應用程式來起始聯繫人。
  • 任何訊息應用程式:允許在偵測到電話號碼時,使用任何傳訊應用程式來起始聯繫人。
 任何傳訊應用程式
      傳訊應用程式套件識別碼
 選取特定傳訊應用程式時,您必須提供 應用程式套件識別碼 Blank
      傳訊應用程式名稱
 選取特定的傳訊應用程式時,您必須提供傳訊應用程式的名稱。 Blank
從其他應用程式接收數據 指定哪些應用程式可以將資料傳輸至此應用程式:
  • 受原則管理的應用程式:只允許從其他受原則管理的應用程式傳輸。
  • 所有應用程式:允許從任何應用程式傳輸數據。
  • :不允許從任何應用程式傳輸數據,包括其他受原則管理的應用程式。

有一些豁免應用程式和服務 Intune 允許數據傳輸。 如需應用程式和服務的完整清單,請參閱 數據傳輸豁免

 所有應用程式
    將數據開啟至組織檔
 取 [封鎖 ] 以停用 [ 啟] 選項或其他選項,以在此應用程式的帳戶之間共享數據。 如果您想要允許使用 Open,請選取 [允許]

當設定為 [封鎖 ] 時,您可以設定 [ 允許使用者從選取的服務開啟數據 ],以針對組織數據位置允許哪些服務。

注意:
  • 只有當 [ 從其他應用程式接收數據 ] 設定為 [受原則 管理的應用程式] 設定時,才能設定此設定。
  • 當 [ 從其他應用程式接收數據 ] 設定設定為 [ 所有應用程式] 時,此設定會是 [允許]。
  • 當 [ 從其他應用程式接收數據 ] 設定設定為 [ ] 時,此設定會是 「封鎖」,且不允許服務位置。
  • 下列應用程式支援此設定:
    • OneDrive 6.14.1 或更新版本。
    • Android 版 Outlook 4.2039.2 或更新版本。
    • Teams for Android 1416/1.0.0.2021173701 或更新版本。

Allow
      允許使用者從選取的服務開啟數據
 選取使用者可以從中開啟資料的應用程式記憶體服務。 所有其他服務都會遭到封鎖。 選取任何服務會防止使用者開啟數據。

支援的服務:
  • 商務用 OneDrive
  • SharePoint Online
  • 相機
  • 相片媒體櫃
注意: 相機不包含相片或相片庫存取。 選取 [相片媒體櫃 (包含 Android 的相片選擇器工具) 在 [允許使用者從 Intune 內選取的服務開啟數據] 設定中,您可以允許受管理的帳戶允許從其裝置的本機記憶體傳入影像/視訊到其受控應用程式。		 全部選取
限制其他應用程式之間的剪下、複製和貼上 指定何時可以搭配此應用程式使用剪下、複製和貼上動作。 從下列項目中選擇:
  • 已封鎖:不允許在此應用程式與任何其他應用程式之間進行剪下、複製和貼上動作。
  • 受原則管理的應用程式:允許在此應用程式與其他受原則管理的應用程式之間進行剪下、複製和貼上動作。
  • 使用貼上方式管理的原則:允許在此應用程式與其他受原則管理的應用程式之間進行剪下或複製。 允許將來自任何應用程式的數據貼到此應用程式。
  • 任何應用程式:在此應用程式中剪下、複製和貼上沒有任何限制。
 任何應用程式
    任何應用程式的剪下和複製字元限制
 指定可從組織數據和帳戶剪下或複製的字元數。 這將允許共用指定的字元數,否則會遭到 [限制與其他應用程式的剪下、複製和貼上] 設定封鎖。

預設值 = 0

注意:需要 Intune 公司入口網站 5.0.4364.0 版或更新版本。

 0
螢幕擷取和Google Assistant 選取 [封鎖 ] 以封鎖螢幕擷取、封鎖 Circle to Search,以及在使用此應用程式時封鎖 Google Assistant 存取裝置上的組織數據。 選擇 [封鎖 ] 也會在搭配公司或學校帳戶使用此應用程式時模糊應用程式切換器預覽映像。

注意:在未存取組織數據的案例中,使用者可以存取Google Assistant。

 封鎖
核准的鍵盤 取 [需要 ],然後為此原則指定核准的鍵盤清單。

未使用已核准鍵盤的使用者會收到下載並安裝已核准鍵盤的提示,然後才可以使用受保護的應用程式。 此設定需要應用程式具有 Intune SDK for Android 6.2.0 版或更新版本。

 不需要
    選取要核准的鍵盤
 當您針對上一個選項選取 [ 需要 ] 時,可以使用此選項。 選擇 [選取 ] 以管理可與受此原則保護之應用程式搭配使用的鍵盤和輸入方法清單。 您可以將其他鍵盤新增至清單,並移除任何預設選項。 您必須至少有一個核准的鍵盤才能儲存設定。 經過一段時間后,Microsoft可能會將其他鍵盤新增至新應用程式保護原則的清單,這會要求系統管理員視需要檢視和更新現有的原則。

若要新增鍵盤,請指定:

  • 名稱:識別鍵盤的易記名稱,用戶可以看見這個名稱。
  • 套件標識碼:Google Play 商店中應用程式的套件識別碼。 例如,如果 Play 商店中應用程式的 URL 是 https://play.google.com/store/details?id=com.contoskeyboard.android.prod,則套件識別碼為 com.contosokeyboard.android.prod。 此套件識別碼會以簡單的鏈接呈現給使用者,以從 Google Play 下載鍵盤。

注意: 指派多個應用程式保護原則的使用者將只能使用所有原則通用的已核准鍵盤。

加密

設定 如何使用 預設值
加密組織數據 選擇 [需要 ] 以在此應用程式中啟用公司或學校數據的加密。 Intune 會使用一個 256 位的 256 位 AES 加密配置以及 Android 金鑰存放區系統,安全地加密應用程式數據。 數據會在檔案 I/O 工作期間同步加密。 裝置記憶體上的內容一律會加密,而且只能由支援 Intune 應用程式保護原則並已指派原則的應用程式開啟。 新的檔案將會以 256 位金鑰加密。 現有的128位加密檔案將會嘗試移轉至256位密鑰,但不保證程式。 使用128位金鑰加密的檔案仍可讀取。

加密方法已驗證 FIPS 140-2;如需詳細資訊,請 參閱加密 FIPS 140-2 和 FIPS 140-3		 需要
    加密已註冊裝置上的組織數據
 取 [需要] 以在所有裝置上使用 Intune 應用層加密來強制加密組織數據。 選取 [不需要] 以在已註冊的裝置上使用 Intune 應用層加密來強制加密組織數據。 需要

功能

設定 如何使用 預設值
使用原生應用程式或載入巨集同步處理受原則管理的應用程式數據 選擇 [封鎖] 以防止受原則管理的應用程式將數據儲存到裝置的原生應用程式, (聯繫人、行事歷和小工具) ,並防止在受原則管理的應用程式內使用載入巨集。 如果應用程式不支援,則會允許將資料儲存至原生應用程式並使用載入巨集。

如果您選擇 [允許],受原則管理的應用程式可以在受原則管理的應用程式內支援並啟用這些功能時,將數據儲存至原生應用程式或使用載入巨集。

應用程式可能會提供額外的控制項,以自定義特定原生應用程式的數據同步處理行為,或不接受此控制件。

注意:當您執行選擇性抹除以從應用程式移除工作或學校數據時,會移除直接從受原則管理的應用程式同步至原生應用程式的數據。 任何從原生應用程式同步至另一個外部來源的數據都不會抹除。

注意下列應用程式支援這項功能:		 Allow
列印組織數據 選擇 [封鎖 ] 以防止應用程式列印公司或學校數據。 如果您將此設定保留為預設值 Allow,則使用者將能夠匯出和列印所有組織數據。 Allow
限制與其他應用程式的 Web 內容傳輸 指定如何從受原則管理的應用程式開啟web內容 (HTTP/HTTPs 連結) 。 從下列項目中選擇:
  • 任何應用程式:允許任何應用程式中的 Web 連結。
  • Intune Managed Browser:只允許在 Intune Managed Browser 中開啟 Web 內容。 此瀏覽器是受原則管理的瀏覽器。
  • Microsoft Edge:只允許在 Microsoft Edge 中開啟 Web 內容。 此瀏覽器是受原則管理的瀏覽器。
  • 非受控瀏覽器:只允許在 Unmanaged 瀏覽 器通訊協定設定所定義的非受控瀏覽器中開啟網頁內容。 Web 內容將會在目標瀏覽器中非受控。
    注意:需要 Intune 公司入口網站 5.0.4415.0 版或更新版本。


    • 受原則管理的瀏覽器
    在 Android 上,如果未安裝 Intune Managed Browser 或Microsoft Edge,您的終端使用者可以選擇支援 HTTP/https 連結的其他受原則管理應用程式。

    如果需要原則管理的瀏覽器,但未安裝,系統會提示您的終端使用者安裝Microsoft Edge。

    如果需要受原則管理的瀏覽器,Android 應用程式連結會由 [ 允許應用程式將數據傳輸至其他應用程式 ] 原則設定來管理。

    Intune 裝置註冊
    如果您使用 Intune 來管理裝置,請參閱使用受管理的瀏覽器原則搭配 Microsoft Intune 來管理因特網存取。

    受原則管理的 Microsoft Edge
    適用於 iOS/iPadOS 和 Android (行動裝置的 Microsoft Edge 瀏覽器) 支援 Intune 應用程式保護原則。 在 Microsoft Edge 瀏覽器應用程式中使用其公司 Microsoft Entra 帳戶登入的使用者將會受到 Intune 保護。 Microsoft Edge 瀏覽器會整合 APP SDK 並支援其所有數據保護原則,但防止:

    • 另存新檔:Microsoft Edge 瀏覽器不允許使用者將直接的應用程式內連線新增至雲端記憶體提供者, (例如 OneDrive) 。
    • 聯繫人同步處理:Microsoft Edge 瀏覽器不會儲存至原生聯繫人清單。
    注意:APP SDK 無法判斷目標應用程式是否為瀏覽器。在 Android 裝置上,允許支援 HTTP/https 意圖的其他受管理瀏覽器應用程式。
 未設定
    非受控瀏覽器標識碼
 輸入單一瀏覽器的應用程式識別碼。 從受原則管理應用程式) (HTTP/HTTPs 連結的 Web 內容將會在指定的瀏覽器中開啟。 Web 內容將會在目標瀏覽器中非受控。 Blank
    非受控瀏覽器名稱
 輸入與 Unmanaged 瀏覽器識別碼相關聯之瀏覽器的應用程式名稱。 如果未安裝指定的瀏覽器,則會向用戶顯示此名稱。 Blank
組織數據通知 指定組織帳戶的 OS 通知可共用多少組織數據。 此原則設定會影響本機裝置和任何連線的裝置,例如穿戴式裝置和智慧型手機喇叭。 應用程式可以提供額外的控制項來自定義通知行為,或選擇不接受所有值。 從下列項目選取:
  • 封鎖:不要共用通知。
    • 如果應用程式不支援,則會允許通知。
  • 封鎖組織數據:不要在通知中共用組織數據。 例如,“You have new mail”;「您有會議」。
    • 如果應用程式不支援,將會封鎖通知。
  • 允許:在通知中共用組織數據

注意此設定需要應用程式支援:

  • Android 版 Outlook 4.0.95 或更新版本
  • Android 版 Teams 1416/1.0.0.2020092202 或更新版本。
 Allow

數據傳輸豁免

有一些豁免應用程式和平臺服務,Intune 應用程式保護原則允許數據來回傳輸。 例如,Android 上所有 Intune 管理的應用程式都必須能夠在 Google 文字到語音轉換中來回傳輸數據,才能大聲朗讀來自行動裝置畫面的文字。 這份清單可能會有所變更,並反映被視為對安全生產力有用的服務和應用程式。

完整豁免

這些應用程式和服務完全允許 Intune管理的應用程式來回傳輸數據。

應用程式/服務名稱 描述
com.android.phone 原生手機應用程式
com.android.vending Google Play 商店
com.google.android.webview WebView,這是許多應用程式的必要專案,包括 Outlook。
com.android.webview Webview,這是許多應用程式的必要專案,包括 Outlook。
com.google.android.tts Google 文字到語音轉換
com.android.providers.settings Android 系統設定
com.android.settings Android 系統設定
com.azure.authenticator Azure Authenticator 應用程式,這是在許多案例中成功驗證的必要專案。
com.microsoft.windowsintune.companyportal Intune 公司入口網站
com.android.providers.contacts 原生聯繫人應用程式

條件式豁免

在特定情況下,這些應用程式和服務只能從 Intune 管理的應用程式來回傳輸數據。

應用程式/服務名稱 描述 豁免條件
com.android.chrome Google Chrome Browser Chrome 用於 Android 7.0+ 上的某些 WebView 元件,而且永遠不會從檢視中隱藏。 不過,從應用程式來回的數據流一律會受到限制。
com.Skype.版 Skype Skype應用程式只能用於導致撥打電話的特定動作。
com.android.providers.media Android 媒體內容提供者 媒體內容提供者只允許用於鈴聲選取動作。
com.google.android.gms;com.google.android.gsf Google Play 服務套件 Google 雲端通訊動作允許這些套件,例如推播通知。
com.google.android.apps.maps Google Maps 允許地址進行導覽。
com.android.documentsui Android 檔案選擇器 開啟或建立檔案時允許。
com.google.android.documentsui Android 檔選擇器 (Android 10+) 開啟或建立檔案時允許。

如需詳細資訊,請 參閱應用程式的數據傳輸原則例外狀況

存取需求

設定 如何使用
用於存取的 PIN 取 [需要 ] 以要求 PIN 才能使用此應用程式。 第一次在公司或學校內容中執行應用程式時,系統會提示使用者設定此 PIN。

預設值 = 需要

您可以使用 [PIN 以供存取] 區段下提供的設定來設定 PIN 強度。

注意: 允許存取應用程式的使用者可以重設應用程式 PIN。 在某些情況下,在Android裝置上可能看不到此設定。 Android 裝置有四個可用快捷方式的限制上限。 達到最大值時,用戶必須移除任何個人化的快捷方式 (,或從不同的受控應用程式檢視存取快捷方式) 以檢視重設APP PIN快捷方式。 或者,用戶可以將快捷方式釘選到其首頁。

    PIN 類型
 在存取已套用應用程式保護原則的應用程式之前,設定數值或密碼類型 PIN 的需求。 數值需求只涉及數位,而密碼可以使用至少 1 個字母 至少 1 個特殊字元來定義。

預設值 =

注意: 允許的特殊字元包括 Android 英文版鍵盤上的特殊字元和符號。
    簡單 PIN
 取 [允許 ] 以允許使用者使用簡單的 PIN 序列,例如 12341111abcdaaaa。 選 取 [區塊 ] 以防止它們使用簡單的序列。 簡單序列會在 3 個字元滑動視窗中核取。 如果 已設定 Block ,則不會將 1235 或 1112 接受為使用者設定的 PIN,但會允許 1122。

預設值 = 允許

注意: 如果已設定密碼類型 PIN,且 [簡單 PIN] 設定為 [允許],則使用者的 PIN 中至少需要一個字母 至少一個特殊字元。 如果已設定密碼類型 PIN,且 [簡單 PIN] 設定為 [封鎖],則使用者的 PIN 中至少需要一個數位 一個字母 ,以及 至少一個特殊字元。
    選取 PIN 長度下限
 指定 PIN 序列中的位數下限。

預設值 = 4
    生物特徵辨識,而不是 PIN 以供存取
 取 [允許 ] 以允許使用者使用生物特徵辨識來驗證 Android 裝置上的使用者。 如果允許,會使用生物特徵辨識來存取 Android 10 或更新版本裝置上的應用程式。
    逾時後使用 PIN 覆寫生物特徵辨識
 若要使用此設定,請選取 [ 需要 ],然後設定閑置逾時。

預設值 = 需要
      閑置 (分鐘的逾時)
指定密碼或數值 (設定為) PIN 會覆寫生物特徵辨識的使用時間,以分鐘為單位。 此逾時值應大於 「在閑置) (分鐘後重新檢查存取需求」底下指定的值。

預設值 = 30
    Android 9.0+ (類別 3 生物特徵辨識)
取 [需要 ] 要求使用者使用類別 3 生物識別技術登入。 如需類別 3 生物特徵辨識的詳細資訊,請參閱 Google 檔中的 生物特徵 辨識。
    在生物特徵辨識更新之後使用 PIN 覆寫生物特徵辨識
 選取 [需要 ] 以在偵測到生物特徵辨識變更時,覆寫搭配 PIN 使用生物特徵辨識。

注意事項:
只有在使用生物特徵辨識來存取應用程式之後,此設定才會生效。 視 Android 裝置製造商而定,並非所有形式的生物特徵辨識都支援密碼編譯作業。 目前,任何生物特徵辨識 (都支援密碼編譯作業,例如,裝置上的指紋、鳶尾花或臉部) 符合或超過 Android 檔中所定義之類別 3 生物特徵辨識的需求。 請參 BIOMETRIC_STRONGBiometricManager.Authenticators 介面的常數和 authenticateBiometricPrompt 類別的 方法。 您可能需要連絡裝置製造商,以了解裝置特定的限制。
    在天數之後重設 PIN
 選取 [是 ],要求使用者在一段設定的一段時間之後,以天為單位變更其應用程式 PIN。

當設定為 [是] 時,您接著會設定需要 PIN 重設之前的天數。

預設值 =
      天數
 設定需要 PIN 重設之前的天數。

預設值 = 90
    選取要維護的先前 PIN 值數目
 此設定會指定 Intune 將維護的先前 PIN 數目。 任何新的 PIN 都必須與 Intune 維護的 PIN 不同。

預設值 = 0
    設定裝置 PIN 時的應用程式 PIN
 選取 [不需要] 以在已設定 公司入口網站 的已註冊裝置上偵測到裝置鎖定時停用應用程式 PIN。

預設值 = 需要
用於存取的公司或學校帳戶認證 選擇 [需要 ] 要求使用者使用其公司或學校帳戶登入,而不是輸入 PIN 以存取應用程式。 當設定為 [需要],且已開啟 PIN 或生物特徵辨識提示時,會顯示公司認證和 PIN 或生物特徵辨識提示。

預設值 = 不需要
在閑置 (分鐘後重新檢查存取需求) 設定下列設定:
  • 逾時:這是重新檢查原則) 稍早定義 (存取需求之前的分鐘數。 例如,系統管理員在原則中開啟 PIN 和封鎖根目錄裝置、使用者開啟 Intune 管理的應用程式、必須輸入 PIN,而且必須在非 Root 破解的裝置上使用應用程式。 使用此設定時,使用者不需要輸入 PIN,或在任何受 Intune 管理的應用程式上進行另一個根偵測檢查,一段時間就等於設定的值。

    此原則設定格式支援正整數。

    預設值 = 30 分鐘

    注意:在 Android 上,PIN 會與所有 Intune 管理的應用程式共用。 當應用程式離開裝置的前景時,會重設 PIN 定時器。 使用者不需要在任何 Intune 管理的應用程式上輸入 PIN,該應用程式會在此設定中定義的逾時期間內共用其 PIN 碼。

注意事項

若要深入瞭解同一組應用程式和使用者的存取一節中設定的多個 Intune 應用程式保護設定如何在Android上運作,請參閱 Intune MAM 常見問題,以及在 Intune 中使用應用程式保護原則存取動作選擇性地抹除數據

條件式啟動

設定條件式啟動設定,以設定應用程式保護原則的登入安全性需求。

根據預設,系統會提供數個設定與預先設定的值和動作。 您可以刪除一些設定,例如 Min OS 版本。 您也可以從 [選取 一個 ] 下拉式清單中選取其他設定。

應用程式條件

設定 如何使用
PIN 嘗試次數上限 指定使用者在採取設定的動作之前,必須成功輸入 PIN 的嘗試次數。 如果使用者在 PIN 嘗試次數上限之後無法成功輸入 PIN,用戶必須在成功登入其帳戶並完成 Multi-Factor Authentication (MFA) 挑戰之後重設其 PIN 碼。 此原則設定格式支援正整數。

動作 包括:

  • 重設 PIN - 用戶必須重設其 PIN。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
預設值 = 5
離線寬限期 Managed 應用程式可離線執行的分鐘數。 指定重新檢查應用程式存取需求之前) 分鐘 (的時間。

動作 包括:

  • 封鎖存取 (分鐘) - 受控應用程式可脫機執行的分鐘數。 指定重新檢查應用程式存取需求之前) 分鐘 (的時間。 在這段期間到期之後,應用程式需要用戶驗證才能 Microsoft Entra ID,應用程式才能繼續執行。

    此原則設定格式支援正整數。

    默認值 = 1440 分鐘 (24 小時)

    注意: 將離線寬限期定時器設定為封鎖存取小於預設值,可能會在重新整理原則時導致更頻繁的用戶中斷。 不建議選擇小於 30 分鐘的值,因為這可能會導致使用者在每次應用程式啟動或繼續時中斷。
  • ) (天抹除數據 - 在系統管理員) 定義這幾天 (離線執行之後,應用程式將要求使用者連線到網路並重新驗證。 如果使用者成功驗證,他們可以繼續存取其數據,並重設離線間隔。 如果使用者無法驗證,應用程式將會執行使用者帳戶和數據的選擇性抹除。 如需詳細資訊,請參閱如何只抹除受控應用程式 Intune 公司數據。 此原則設定格式支援正整數。

    預設值 = 90 天
此專案可能會出現多次,且每個實例都支援不同的動作。
最低應用程式版本 指定最低應用程式版本值的值。

動作 包括:

  • 警告 - 如果裝置上的應用程式版本不符合需求,使用者會看到通知。 此通知可以關閉。
  • 封鎖存取 - 如果裝置上的應用程式版本不符合需求,則會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
由於應用程式之間通常會有不同的版本控制配置,因此請建立一個以一個應用程式為目標之最小應用程式版本的原則 (例如 ,Outlook 版本原則) 。

此專案可能會出現多次,且每個實例都支援不同的動作。

此原則設定格式支援 major.minor、major.minor.build、major.minor.build.revision。

此外,您可以設定終端使用者可在 何處 取得企業營運 (LOB) 應用程式的更新版本。 終端使用者會在 [最低應用程式版本 條件式啟動] 對話方塊中看到此資訊,這會提示終端使用者更新為最低版本的 LOB 應用程式。 在Android上,此功能會使用 公司入口網站。 若要設定終端使用者應該更新 LOB 應用程式的位置,應用程式需要使用金鑰 傳送給它的受控應用程式設定原則com.microsoft.intune.myappstore 傳送的值會定義終端使用者將從哪個存放區下載應用程式。 如果應用程式是透過 公司入口網站 部署,則值必須是 CompanyPortal。 針對任何其他存放區,您必須輸入完整的 URL。
已停用帳戶 此設定沒有要設定的值。

動作 包括:

  • 封鎖存取 - 因為使用者的帳戶已停用,所以遭到封鎖而無法存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
非工作時間 此設定沒有要設定的值。

動作 包括:

  • 封鎖存取 - 使用者遭到封鎖而無法存取,因為與應用程式相關聯的使用者帳戶處於非工作時間。
  • 警告 - 如果與應用程式相關聯的使用者帳戶處於非工作時間,使用者會看到通知。 可以關閉通知。
注意:只有在租使用者已與 工作時間 API 整合時,才必須設定此設定。 如需整合此設定與 工作時間 API 的詳細資訊,請參閱 在一線員工脫機時限制Microsoft Teams 的存取權。 設定此設定而不與工作時間 API 整合,可能會導致帳戶因為與應用程式相關聯的受管理帳戶遺失工作時間狀態而遭到封鎖。

下列應用程式透過 v5.0.5849.0 或更新版本 公司入口網站 支援這項功能:

  • Android 版 Teams v1416/1.0.0.2023226005 (2023226050) 或更新版本
  • Android 版 Edge v125.0.2535.96 或更新版本

裝置條件

設定 如何使用
已越獄/Root 破解的裝置 指定是否要封鎖裝置的存取,或抹除已越獄/Root 破解裝置的裝置數據。 動作 包括:
  • 封鎖存取 - 防止此應用程式在已越獄或 Root 破解的裝置上執行。 使用者仍可繼續使用此應用程式進行個人工作,但必須使用不同的裝置來存取此應用程式中的工作或學校數據。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
最低OS版本 指定使用此應用程式所需的最低 Android 作業系統。 指定的 MIN OS 版本下方的作業系統版本 將會觸發動作。 動作 包括:
  • 警告 - 如果裝置上的 Android 版本不符合需求,使用者會看到通知。 此通知可以關閉。
  • 封鎖存取 - 如果裝置上的 Android 版本不符合此需求,將會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
此原則設定格式支援 major.minor、major.minor.build、major.minor.build.revision。
OS 版本上限 指定使用此應用程式所需的 Android 作業系統上限。 指定 最大OS版本以下的作業系統版本 將會觸發動作。 動作 包括:
  • 警告 - 如果裝置上的 Android 版本不符合需求,使用者會看到通知。 此通知可以關閉。
  • 封鎖存取 - 如果裝置上的 Android 版本不符合此需求,將會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
此原則設定格式支援 major.minor、major.minor.build、major.minor.build.revision。
最小修補程式版本 要求裝置具有Google發行的最低Android安全性修補程式。
  • 警告 - 如果裝置上的 Android 版本不符合需求,使用者會看到通知。 此通知可以關閉。
  • 封鎖存取 - 如果裝置上的 Android 版本不符合此需求,將會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
此原則設定支援 YYYY-MM-DD的日期格式。
裝置製造商 (的) 指定製造商 () 的分號分隔清單。 這些值不區分大小寫。 動作 包括:
  • 允許指定 (封鎖未指定的) - 只有符合指定製造商的裝置才能使用應用程式。 所有其他裝置都會遭到封鎖。
  • 允許指定 (抹除未指定的) - 與應用程式相關聯的使用者帳戶會從裝置抹除。
如需使用此設定的詳細資訊,請參 閱條件式啟動動作
播放完整性決策 應用程式防護 原則支援某些 Google Play 完整性 API。 此設定特別會設定用戶裝置上的 Google Play 完整性 檢查,以驗證這些裝置的完整性。 指定 基本完整性基本完整性和裝置完整性

基本完整性 會告訴您裝置的一般完整性。 具有竄改徵兆的根裝置、模擬器、虛擬設備和裝置,會失敗基本完整性。 認證裝置 & 的基本完整性 會告訴您裝置與Google服務的相容性。 只有經過Google認證的未修改裝置才能通過這項檢查。

如果您選取條件式啟動所需的 播放完整性決策 ,您可以指定使用強式完整性檢查作為評估類型。 因為評估類型存在強式完整性檢查,表示裝置的完整性更高。 不支援強式完整性檢查的裝置,如果以此設定為目標,MAM 原則將會封鎖這些裝置。 強式完整性檢查提供更強固的根偵測,以回應較新類型的根目錄工具和方法,這些工具和方法永遠無法由軟體專用解決方案可靠地偵測。 在 APP 中,硬體證明的啟用方式是將 [播放完整性] 決策評估類型設定為 [設定播放完整性檢查強式完整性],並在設定裝置完整性檢查之後,將 [必要的 SafetyNet 評估類型] 設定為強完整性檢查。 硬體支持的證明會利用隨附於 Android 8.1 和更新版本所安裝裝置的硬體型元件。 從舊版 Android 升級至 Android 8.1 的裝置不太可能有硬體支持證明所需的硬體型元件。 雖然從 Android 8.1 隨附的裝置開始應該廣泛支援此設定,Microsoft強烈建議您在廣泛啟用此原則設定之前,先個別測試裝置。

重要: 不支援此評估類型的裝置將會根據裝置完整性檢查動作遭到封鎖或抹除。 想要使用這項功能的組織必須確保使用者有支援的裝置。 如需 Google 建議裝置的詳細資訊,請參閱 Android Enterprise 建議需求

動作 包括:

  • 警告 - 如果裝置不符合根據所設定值的 Google 裝置完整性檢查,使用者會看到通知。 此通知可以關閉。
  • 封鎖存取 - 如果裝置不符合Google的裝置完整性檢查,則會根據設定的值封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
如需與此設定相關的常見問題,請 參閱 MAM 和應用程式保護的常見問題
需要對應用程式進行威脅掃描 應用程式防護 原則支援某些 Google Play 保護的 API。 此設定特別可確保已針對終端使用者裝置開啟Google的驗證應用程式掃描。 如果設定,使用者將會遭到封鎖而無法存取,直到他們在其 Android 裝置上開啟 Google 的應用程式掃描為止。 動作 包括:
  • 警告 - 如果未開啟 Google 在裝置上的驗證應用程式掃描,使用者會看到通知。 此通知可以關閉。
  • 封鎖存取 - 如果未開啟 Google 在裝置上的驗證應用程式掃描,使用者會遭到封鎖而無法存取。
Google 的驗證應用程式掃描結果會顯示在控制台中 的潛在有害應用程式 報告中。
必要的 SafetyNet 評估類型 硬體支持的證明可增強現有的 SafetyNet 證明服務檢查。 您可以在設定 SafteyNet 裝置證明之後,將值設定為硬體支援的金鑰
需要裝置鎖定 此設定會決定Android裝置是否有符合最低密碼需求的裝置 PIN。 如果裝置鎖定不符合最低密碼需求,應用程式防護 原則可以採取動作。

包括:

  • 低複雜度
  • 中度複雜度
  • 高複雜度

此複雜度值是以Android 12+ 為目標。 對於在 Android 11 和更早版本上運作的裝置,將複雜度值設定為低、中或高會預設為 低複雜度的預期行為。 如需詳細資訊,請參閱 Google 的開發人員檔 getPasswordComplexityPASSWORD_COMPLEXITY_LOWPASSWORD_COMPLEXITY_MEDIUMPASSWORD_COMPLEXITY_HIGH

動作 包括:

  • 警告 - 如果裝置鎖定不符合最低密碼需求,使用者會看到通知。 可以關閉通知。
  • 封鎖存取 - 如果裝置鎖定不符合最低密碼需求,將會封鎖使用者存取。
  • 抹除數據 - 如果裝置鎖定不符合最低密碼需求,則會從裝置抹除與應用程式相關聯的用戶帳戶。
最小 公司入口網站 版本 藉由使用 Min 公司入口網站 版本,您可以指定在終端使用者裝置上強制執行之 公司入口網站 的特定最小定義版本。 此條件式啟動設定可讓您將值設定為 [封鎖存取]、[ 抹除數據] 和 [當每個值都不符合時發出 警告 ] 動作。 此值的可能格式會遵循 模式 [Major].[Minor][Major].[次要]。[Build], 或 [Major].[次要]。[組建]。[修訂]。 假設某些終端使用者可能不偏好現場強制更新應用程式,在設定此設定時,[警告] 選項可能很理想。 Google Play 商店在只傳送應用程式更新的差異位元組方面有不錯的效能,但如果使用者在更新時正在處理數據,這仍然可以是大量使用者可能不想要利用的數據。 強制更新,因而下載更新的應用程式,可能會在更新時產生非預期的數據費用。 如需詳細資訊,請參閱 Android 原則設定
) (天 公司入口網站 版本存留期上限 您可以將 Android 裝置 公司入口網站 (CP) 版本的存留期設定為天數上限。 此設定可確保使用者在) 天數內 (特定範圍的 CP 版本。 值必須介於 0 到 365 天之間。 當不符合裝置的設定時,會觸發此設定的動作。 動作包括 封鎖存取抹除數據警告。 如需相關信息,請參閱 Android 原則設定注意:公司入口網站 組建的存留期取決於用戶裝置上的Google Play
Samsung Knox 裝置證明 指定是否需要 Samsung Knox 裝置證明檢查。 只有已由 Samsung 驗證的未修改裝置才能通過這項檢查。 如需支援的裝置清單,請 參閱 samsungknox.com

使用此設定,Microsoft Intune 也會確認從 公司入口網站 到 Intune 服務的通訊是從狀況良好的裝置傳送。

動作 包括:
  • 警告 - 如果裝置不符合 Samsung Knox 裝置證明檢查,使用者會看到通知。 此通知可以關閉。
  • 封鎖存取 - 如果裝置不符合 Samsung 的 Knox 裝置證明檢查,用戶帳戶會遭到封鎖而無法存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。

注意: 用戶必須接受 Samsung Knox 條款,才能執行裝置證明檢查。 如果使用者不接受 Samsung Knox 條款,則會發生指定的動作。

注意: 此設定將套用至所有目標裝置。 若只要將此設定套用至 Samsung 裝置,您可以使用「受控應用程式」指派篩選。 如需指派篩選的詳細資訊,請參閱在 Microsoft Intune 中指派應用程式、原則和配置檔時使用篩選
允許的裝置威脅等級上限 應用程式防護 原則可以利用 Intune-MTD 連接器。 指定可接受使用此應用程式的最大威脅層級。 威脅取決於您在終端使用者裝置上選擇的Mobile Threat Defense (MTD) 廠商應用程式。 指定 [安全]、 [低]、[ 中] 或 [ 高]受保護不需要裝置上的威脅,而且是最嚴格的可設定值,而 High 基本上需要使用中 Intune 對 MTD 連線。

動作 包括:

  • 封鎖存取 - 如果您在終端使用者裝置上選擇的Mobile Threat Defense (MTD) 廠商應用程式所決定的威脅層級不符合此需求,則會封鎖使用者存取。
  • 抹除數據 - 與應用程式相關聯的用戶帳戶會從裝置抹除。
如需使用此設定的詳細資訊,請參閱在未註冊裝置的 Intune 中啟用Mobile Threat Defense 連接器
主要 MTD 服務 如果您已設定多個 Intune-MTD 連接器,請指定應在終端使用者裝置上使用的主要 MTD 廠商應用程式。

包括:

  • 適用於端點的 Microsoft Defender - 如果已設定 MTD 連接器,請指定 適用於端點的 Microsoft Defender 將提供裝置威脅等級資訊。
  • Mobile Threat Defense (非Microsoft) - 如果已設定 MTD 連接器,請指定非Microsoft MTD 會提供裝置威脅等級資訊。

您必須設定 [允許的裝置威脅等級上限] 設定,才能使用此設定。

此設定沒有 動作