步驟 2. 套用增強型數據保護
層級 1 是企業行動裝置的最低數據保護組態。 此設定會藉由要求 PIN 存取公司或學校數據、加密公司或學校帳戶數據,以及提供選擇性抹除學校或公司數據的功能,來取代基本 Exchange Online 裝置存取原則的需求。 不過,與 Exchange Online 裝置存取原則不同,下列應用程式保護原則設定會套用至原則中選取的所有應用程式,藉此確保數據存取受到行動訊息案例以外的保護。
層級 1 中的原則會強制執行合理的數據存取層級,同時將對使用者的影響降到最低,並在 Microsoft Intune 內建立應用程式保護原則時鏡像預設的數據保護和存取需求設定。
建議的應用程式保護設定
建立及套用層級 2 企業增強型數據保護的應用程式保護 Intune 時,請使用下列建議的應用程式保護設定。
層級 2 企業增強型數據保護
層級 2 是建議作為標準的數據保護設定,適用於使用者存取更敏感性資訊的裝置。 這些裝置是現今企業中的自然目標。 這些建議不會假設有大量高技能的安全性從業人員,因此大部分的企業組織都應該能夠存取這些建議。 此設定會藉由限制數據傳輸案例並要求最低操作系統版本,來擴充層級 1 中的設定。
重要事項
層級 2 中強制執行的原則設定包含針對層級 1 建議的所有原則設定。 不過,層級 2 只會列出已新增或變更的設定,以實作比層級 1 更複雜的控件和更複雜的設定。 雖然這些設定可能會對使用者或應用程式產生稍微較高的影響,但其強制執行的數據保護層級更符合使用者在行動裝置上存取敏感性資訊所面臨的風險。
資料保護
設定 | 設定描述 | 值 | 平台 | 附註 |
---|---|---|---|---|
數據傳輸 | 將組織資料備份到... | 封鎖 | iOS/iPadOS、Android | |
數據傳輸 | 將組織數據傳送至其他應用程式 | 受原則管理的應用程式 | iOS/iPadOS、Android | 使用 iOS/iPadOS,系統管理員可以將此值設定為「受原則管理的應用程式」、「具有 OS 共用的原則受控應用程式」或「具有開啟/共用篩選的原則受控應用程式」。 當裝置也向 Intune 註冊時,可以使用具有OS共用的原則受控應用程式。 此設定允許將數據傳輸至其他受原則管理的應用程式,以及將檔案傳輸至由 Intune 管理的其他應用程式。 使用 [開啟/共用] 篩選的原則受控應用程式會篩選 OS [開啟/共用] 對話框,只顯示受原則管理的應用程式。 如需詳細資訊,請參閱 iOS 應用程式保護原則設定。 |
數據傳輸 | 傳送或將數據傳送至 | 沒有目的地 | Windows | |
數據傳輸 | 從接收數據 | 沒有來源 | Windows | |
數據傳輸 | 選取要豁免的應用程式 | 默認 /Skype;app-settings;calshow;itms;itmss;itms-apps;itms-appss;itms-services; | iOS/iPadOS | |
數據傳輸 | 儲存組織數據的複本 | 封鎖 | iOS/iPadOS、Android | |
數據傳輸 | 允許使用者將複本儲存至選取的服務 | 商務用 OneDrive、SharePoint Online、相片媒體櫃 | iOS/iPadOS、Android | |
數據傳輸 | 將電信數據傳輸至 | 任何撥號程式應用程式 | iOS/iPadOS、Android | |
數據傳輸 | 限制應用程式之間的剪下、複製和貼上 | 貼入的原則受控應用程式 | iOS/iPadOS、Android | |
數據傳輸 | 允許剪下、複製和貼上 | 沒有目的地或來源 | Windows | |
數據傳輸 | 螢幕擷取和Google Assistant | 封鎖 | Android | |
功能 | 限制與其他應用程式的 Web 內容傳輸 | Microsoft Edge | iOS/iPadOS、Android | |
功能 | 組織數據通知 | 封鎖組織數據 | iOS/iPadOS、Android | 如需支援此設定的應用程式清單,請參閱 iOS 應用程式保護原則設定 和 Android 應用程式保護原則設定。 |
條件式啟動
設定 | 設定描述 | 值/動作 | 平台 | 附註 |
---|---|---|---|---|
應用程式條件 | 已停用帳戶 | N/A / 封鎖存取 | iOS/iPadOS、Android、Windows | |
裝置條件 | 最低OS版本 |
格式:Major.Minor.Build 範例:14.8 / 封鎖存取 |
iOS/iPadOS | Microsoft建議設定最低 iOS 主要版本,以符合Microsoft應用程式支援的 iOS 版本。 Microsoft應用程式支援 N-1 方法,其中 N 是目前的 iOS 主要發行版。 針對次要和組建版本值,Microsoft建議確保裝置具有個別安全性更新的最新狀態。 如需 Apple 的最新建議,請參閱 Apple 安全性更新 |
裝置條件 | 最低OS版本 |
格式:Major.Minor 範例:9.0 / 封鎖存取 |
Android | Microsoft建議設定最低 Android 主要版本,以符合Microsoft應用程式支援的 Android 版本。 符合 Android Enterprise 建議需求的 OEM 和裝置必須支援目前的出貨版本 + 一個字母升級。 目前,Android 針對知識工作者建議使用 Android 9.0 和更新版本。 如需 Android 的最新建議,請參閱 Android Enterprise 建議 需求 |
裝置條件 | 最低OS版本 |
格式:組建 範例:10.0.22621.2506 / 封鎖存取 |
Windows | Microsoft建議設定最小 Windows 組建,以符合Microsoft應用程式支援的 Windows 版本。 目前,Microsoft建議下列專案:
|
裝置條件 | 最小修補程式版本 |
格式:YYYY-MM-DD 範例:2020-01-01 / 封鎖存取 |
Android | Android 裝置可以接收每月安全性修補程式,但版本取決於 OEM 和/或貨運公司。 組織應該確保已部署的 Android 裝置在實作此設定之前,確實會收到安全性更新。 如需最新的修補程式版本,請參閱 Android 安全性布告 欄。 |
裝置條件 | 必要的 SafetyNet 評估類型 | 硬體支援的金鑰 | Android | 硬體支持的證明藉由套用名為 Hardware Backed 的新評估類型,提供更強固的根偵測來回應較新類型的根目錄工具和方法,而這些工具和方法不一定會由軟體專用解決方案可靠地偵測,藉此增強現有的 Google Play 完整性服務檢查。 正如其名稱所示,硬體支援的證明會使用硬體型元件,隨附隨附於 Android 8.1 和更新版本安裝的裝置。 從舊版 Android 升級至 Android 8.1 的裝置不太可能有硬體支持證明所需的硬體型元件。 雖然從 Android 8.1 隨附的裝置開始應該廣泛支援此設定,Microsoft強烈建議您在廣泛啟用此原則設定之前,先個別測試裝置。 |
裝置條件 | 需要裝置鎖定 | 中型/區塊存取 | Android | 此設定可確保 Android 裝置具有符合最低密碼需求的裝置密碼。 |
裝置條件 | Samsung Knox 裝置證明 | 封鎖存取 | Android | Microsoft建議將 Samsung Knox 裝置證明 設定設定為 [封鎖存取 ],以確保如果裝置不符合 Samsung 的 Knox 硬體型裝置健康情況驗證,用戶帳戶會遭到封鎖而無法存取。 此設定會驗證 Intune 服務的所有 Intune MAM 用戶端回應都是從狀況良好的裝置傳送。 此設定適用於所有目標裝置。 若只要將此設定套用至 Samsung 裝置,您可以使用「受控應用程式」指派篩選。 如需指派篩選的詳細資訊,請參閱在 Microsoft Intune 中指派應用程式、原則和配置檔時使用篩選。 |
應用程式條件 | 離線寬限期 | 30 / 抹除資料 (天) | iOS/iPadOS、Android、Windows |
注意事項
Windows 條件式啟動設定會標示為 健康情況檢查。
下一步
繼續進行步驟 3,在 Microsoft Intune 中套用高數據保護。