Windows MAM 的數據保護

您可以啟用受保護的行動應用程式管理 (MAM) 存取個人 Windows 裝置上的組織數據。 這項功能會使用下列功能：

• Intune 應用程式設定原則 (ACP) 來自定義組織用戶體驗
• Intune 應用程式保護原則 (APP) 來保護組織數據，並確保用戶端裝置狀況良好
• Windows 安全性 Center 用戶端威脅防護與 Intune APP 整合，以偵測個人 Windows 裝置上的本機健康情況威脅
• 應用程式保護條件式存取，確保裝置在透過 Microsoft Entra標識符授與受保護的服務存取權之前受到保護且狀況良好

注意事項

適用於 Windows 的 Intune 行動應用程式管理 (MAM) 適用於 Windows 10、組建 19045.3636、KB5031445 或更新版本，Windows 11、組建 10.0.22621.2506、KB5031455 (22H2) 或更新版本。 這包括 Microsoft Intune (2309 版本) 的支持變更、適用於 Windows 11 的 Microsoft Edge (v117 穩定分支和更新版本，以及 Windows 11) 和 Windows 安全性 Center (1.0.2310.2002 版和更新版本的 v118.0.2088.71 和更新版本) 。 應用程式保護條件式存取已正式推出。

政府雲端環境中支援 Windows MAM。 如需相關信息，請 參閱在 GCC High 和 DoD 環境中使用 Intune 部署應用程式。

如需 MAM 的詳細資訊，請 參閱行動應用程式管理 (MAM) 基本概念。

終端使用者和組織都必須具有來自個人裝置的受保護組織存取權。 組織必須確保公司數據在個人、非受控裝置上受到保護。 身為 Intune 系統管理員，您必須負責判斷成員 (組織) 成員如何從非受控裝置以受保護的方式存取公司資源。 您需要確保存取組織數據時，Unmanaged 裝置狀況良好、應用程式遵守貴組織數據的保護原則，以及使用者在其裝置上的非受控資產不會受到貴組織的原則影響。

身為 Intune 系統管理員，您必須具備下列應用程式管理功能：

• 能夠將應用程式保護原則部署到受 Intune APP SDK 保護的應用程式/使用者，包括下列各項：
  • 資料保護設定
  • 健康情況檢查 (也稱為條件式啟動) 設定
• 能夠透過條件式存取要求應用程式保護原則
• 執行下列動作以透過 Windows 安全性 中心執行其他用戶端健康情況驗證的能力：
  • 指定 Windows 安全性 中心風險層級，以允許終端使用者存取公司資源
  • 將租使用者型連接器設定為 Windows 安全性 Center 的 Microsoft Intune
• 將選擇性抹除命令部署至受保護應用程式的能力

貴組織的成員 (使用者) 預期其帳戶具有下列功能：

• 能夠登入 Microsoft Entra 標識符，以存取受條件式存取保護的網站
• 在裝置被視為狀況不良的情況下，能夠驗證用戶端裝置的健康情況狀態
• 當裝置維持狀況不良時，撤銷資源存取權的能力
• 當系統管理員原則控制存取權時，能夠透過明確的補救步驟獲得通知

注意事項

如需 Microsoft Entra 標識符的相關信息，請參閱 Windows 裝置上需要應用程式保護原則。

條件式存取合規性

防止數據遺失是保護組織數據的一部分。 只有在您的組織數據無法從任何未受保護的系統或裝置存取時，數據外洩防護 (DLP) 才有效。 應用程式保護條件式存取會使用條件式存取 (CA) ，以確保在用戶端應用程式中支援並強制執行應用程式保護原則 (應用程式) ，然後才允許存取受保護的資源 (例如組織數據) 。 APP CA 可讓具有個人 Windows 裝置的使用者使用應用程式管理的應用程式，包括 Microsoft Edge，存取 Microsoft Entra 資源，而不需要完全管理其個人裝置。

此 MAM 服務會將每個使用者、每個應用程式和每個裝置的合規性狀態同步至 Microsoft Entra CA 服務。 這包括從Mobile Threat Defense (MTD) 廠商收到的威脅資訊，從 Windows 安全性 中心開始。

注意事項

此 MAM 服務使用與 在 iOS 和 Android 裝置上管理 Microsoft Edge 相同的條件式存取合規性工作流程。

偵測到變更時，MAM 服務會立即更新裝置合規性狀態。 服務也包含 MTD 健康情況狀態作為合規性狀態的一部分。

注意事項

MAM 服務會評估服務中的 MTD 狀態。 這是從 MAM 用戶端和用戶端平台獨立完成。

MAM 用戶端會在簽入時，將用戶端健康狀態 (或健康情況元數據) 傳達給 MAM 服務。 健康情況狀態包括 封鎖 或 抹除 條件的APP健康情況檢查失敗。 此外，Microsoft Entra標識碼會在用戶嘗試存取封鎖的 CA 資源時，引導使用者完成補救步驟。

條件式存取合規性

組織可以使用 Microsoft Entra 條件式存取原則，以確保使用者只能使用 Windows 上受原則管理的應用程式來存取公司或學校內容。 若要這樣做，您需要以所有潛在使用者為目標的條件式存取原則。 請遵循在 Windows 裝置上要求應用程式保護原則中的步驟，這會允許適用於 Windows 的 Microsoft Edge，但會封鎖其他網頁瀏覽器連線到 Microsoft 365 端點。

使用條件式存取，您也可以透過 Microsoft Entra 應用程式 Proxy 將向外部使用者公開的內部部署網站設為目標。

威脅防禦健康情況

在允許存取組織數據之前，會先驗證個人擁有裝置的健康情況狀態。 MAM 威脅偵測可以與 Windows 安全性 中心連線。 Windows 安全性 中心會透過服務對服務連接器，為Intune APP 提供用戶端裝置健康情況評估。 此評量支援控制流程，以及在個人非受控裝置上存取組織數據。

健康情況狀態包含下列詳細資料：

• 使用者、應用程式和裝置標識碼
• 預先定義的健康情況狀態
• 上次健康情況狀態更新的時間

健康情況狀態只會傳送給已註冊 MAM 的使用者。 終端使用者可能會在受保護的應用程式中註銷其組織帳戶，以停止傳送數據。 系統管理員可以從 Microsoft Intune 移除 Windows 安全性 連接器，以停止傳送數據。

如需相關信息，請 參閱建立適用於 Windows 的 MTD 應用程式保護原則。

建立 Inunte 應用程式防護原則

應用程式防護原則 (APP) 定義允許哪些應用程式，以及這些應用程式可以對組織資料執行什麼動作。 APP 中可用的選項可讓組織根據其特定需求量身打造保護。 對部分使用者而言，實作完整案例所需的原則設定可能不明顯。

身為系統管理員，您可以設定如何透過APP保護數據。 此設定適用於原生 Windows 應用程式與數據的互動。 應用程式設定分成三個類別：

• 數據保護 - 這些設定可控制數據如何移入或移出組織內容， (帳戶、檔、位置、服務) 使用者。

• 健康情況檢查 (條件式啟動) - 這些設定可控制存取組織數據所需的裝置條件，以及不符合條件時 () 補救動作。

為了協助組織排定用戶端端點強化的優先順序，Microsoft 已針對其應用程式數據保護架構引進分類法，以進行行動應用程式管理。

若要查看每個設定層級的特定建議，以及必須保護的最低應用程式，請檢閱 使用應用程式防護原則的資料保護架構。

如需可用設定的詳細資訊，請參閱 Windows 應用程式保護原則設定。

後續步驟

• 什麼是應用程式防護原則?
• Microsoft Intune 的應用程式組態原則