步驟 1. 套用企業基本數據保護
一旦您遵循 必要條件、決定您必須在組織支援哪些平臺、瞭解 每個支援平臺可用的不同應用程式數據保護類別,以及完成 套用應用程式保護架構之前所需的步驟,您就可以開始新增應用程式保護原則。
層級 1 是企業行動裝置的最低數據保護組態。 此設定會藉由要求 PIN 存取公司或學校數據、加密公司或學校帳戶數據,以及提供選擇性抹除學校或公司數據的功能,來取代基本 Exchange Online 裝置存取原則的需求。 不過,與 Exchange Online 裝置存取原則不同,下列應用程式保護原則設定會套用至原則中選取的所有應用程式,藉此確保數據存取受到行動訊息案例以外的保護。
層級 1 中的原則會強制執行合理的數據存取層級,同時將對使用者的影響降到最低,並在 Microsoft Intune 內建立應用程式保護原則時鏡像預設的數據保護和存取需求設定。
建議的應用程式保護設定
建立及套用第一層企業基本數據保護的應用程式保護 Intune 時,請使用下列建議的應用程式保護設定。
層級 1 企業基本數據保護
層級 1 是企業行動裝置的最低數據保護組態。 此設定會藉由要求 PIN 存取公司或學校數據、加密公司或學校帳戶數據,以及提供選擇性抹除學校或公司數據的功能,來取代基本 Exchange Online 裝置存取原則的需求。 不過,與 Exchange Online 裝置存取原則不同,下列應用程式保護原則設定會套用至原則中選取的所有應用程式,藉此確保數據存取受到行動訊息案例以外的保護。
層級 1 中的原則會強制執行合理的數據存取層級,同時將對使用者的影響降到最低,並在 Microsoft Intune 內建立應用程式保護原則時鏡像預設的數據保護和存取需求設定。
資料保護
設定 | 設定描述 | 值 | 平台 |
---|---|---|---|
數據傳輸 | 將組織資料備份到... | 允許 | iOS/iPadOS、Android |
數據傳輸 | 將組織數據傳送至其他應用程式 | 所有應用程式 | iOS/iPadOS、Android |
數據傳輸 | 將組織數據傳送至 | 所有目的地 | Windows |
數據傳輸 | 從其他應用程式接收數據 | 所有應用程式 | iOS/iPadOS、Android |
數據傳輸 | 從接收數據 | 所有來源 | Windows |
數據傳輸 | 限制應用程式之間的剪下、複製和貼上 | 任何應用程式 | iOS/iPadOS、Android |
數據傳輸 | 允許剪下、複製和貼上 | 任何目的地和任何來源 | Windows |
數據傳輸 | 第三方鍵盤 | 允許 | iOS/iPadOS |
數據傳輸 | 核准的鍵盤 | 不需要 | Android |
數據傳輸 | 螢幕擷取和Google Assistant | 允許 | Android |
加密 | 加密組織數據 | 需要 | iOS/iPadOS、Android |
加密 | 加密已註冊裝置上的組織數據 | 需要 | Android |
功能 | 同步處理應用程式與原生聯繫人應用程式 | 允許 | iOS/iPadOS、Android |
功能 | 列印組織數據 | 允許 | iOS/iPadOS、Android、Windows |
功能 | 限制與其他應用程式的 Web 內容傳輸 | 任何應用程式 | iOS/iPadOS、Android |
功能 | 組織數據通知 | 允許 | iOS/iPadOS、Android |
存取需求
設定 | 值 | 平台 | 附註 |
---|---|---|---|
用於存取的 PIN | 需要 | iOS/iPadOS、Android | |
PIN 類型 | 數值 | iOS/iPadOS、Android | |
簡單 PIN | 允許 | iOS/iPadOS、Android | |
選取 PIN 長度下限 | 4 | iOS/iPadOS、Android | |
用於存取 iOS 8+/iPadOS (的觸控識別碼,而不是 PIN) | 允許 | iOS/iPadOS | |
逾時後使用 PIN 覆寫生物特徵辨識 | 需要 | iOS/iPadOS、Android | |
活動 (分鐘的逾時) | 1440 | iOS/iPadOS、Android | |
用於存取 iOS 11+/iPadOS (的臉部標識碼,而不是 PIN) | 允許 | iOS/iPadOS | |
用於存取的生物特徵辨識而非 PIN | 允許 | iOS/iPadOS、Android | |
在天數之後重設 PIN | 否 | iOS/iPadOS、Android | |
選取要維護的先前 PIN 值數目 | 0 | Android | |
設定裝置 PIN 時的應用程式 PIN | 需要 | iOS/iPadOS、Android | 如果裝置已在 Intune 註冊,如果系統管理員透過裝置合規性政策強制執行強式裝置 PIN,則可以考慮將此設定為「不需要」。 |
用於存取的公司或學校帳戶認證 | 不需要 | iOS/iPadOS、Android | |
在閑置 (分鐘後重新檢查存取需求) | 30 | iOS/iPadOS、Android |
條件式啟動
設定 | 設定描述 | 值/動作 | 平台 | 附註 |
---|---|---|---|---|
應用程式條件 | PIN 嘗試次數上限 | 5 / 重設 PIN | iOS/iPadOS、Android | |
應用程式條件 | 離線寬限期 | 1440 / 封鎖存取 (分鐘) | iOS/iPadOS、Android、Windows | |
應用程式條件 | 離線寬限期 | 90 / 抹除資料 (天) | iOS/iPadOS、Android、Windows | |
裝置條件 | 已越獄/Root 破解的裝置 | N/A / 封鎖存取 | iOS/iPadOS、Android | |
裝置條件 | SafetyNet 裝置證明 | 基本完整性和認證的裝置/封鎖存取 | Android | 此設定會在使用者裝置上設定Google Play的裝置完整性檢查。 基本完整性會驗證裝置的完整性。 具有竄改徵兆的根裝置、模擬器、虛擬設備和裝置,會失敗基本完整性。 基本完整性和認證的裝置會驗證裝置與Google服務的相容性。 只有經過Google認證的未修改裝置才能通過這項檢查。 |
裝置條件 | 需要對應用程式進行威脅掃描 | N/A / 封鎖存取 | Android | 此設定可確保已針對終端使用者裝置開啟Google的驗證應用程式掃描。 如果設定,使用者將會遭到封鎖而無法存取,直到他們在其 Android 裝置上開啟 Google 的應用程式掃描為止。 |
裝置條件 | 允許的裝置威脅等級上限 | 低/封鎖存取 | Windows | |
裝置條件 | 需要裝置鎖定 | 低/警告 | Android | 此設定可確保 Android 裝置具有符合最低密碼需求的裝置密碼。 |
注意事項
Windows 條件式啟動設定會標示為 健康情況檢查。
下一步
繼續進行步驟 2,以在 Microsoft Intune 中套用增強型數據保護。