应用保护策略概述

Intune应用保护策略可确保组织的数据在托管应用中保持安全或包含。 这些策略允许你控制移动设备上的应用访问和共享数据的方式。 当用户尝试访问或移动“公司”数据时，策略可以强制实施规则。 当用户在应用内时，它还可以禁止或监视作。 Intune 中的托管应用是受保护的应用，Intune应用保护策略并管理应用。

Intune应用保护策略提供了多种优势。 这些优势包括无需设备注册即可保护移动设备上的公司数据，以及控制移动设备上的应用访问和共享数据的方式。

将应用保护策略与 Microsoft Intune 结合使用的示例包括：

• 需要 PIN 或指纹才能在移动设备上访问公司电子邮件
• 防止用户将公司数据复制和粘贴到个人应用
• 将对公司数据的访问限制为仅允许已批准的应用

Intune MAM 管理许多生产力应用，例如 Microsoft 365 (Office) 应用。 请参阅可供公众使用的 Microsoft Intune 保护的应用的官方列表。

如何保护应用数据

员工将移动设备用于个人和工作任务。 在确保员工高效工作的同时，防止数据丢失。 这包括有意和无意的数据丢失。 此外，还可以保护从非你管理的设备访问的公司数据。

可使用 Intune 应用保护策略，该策略独立于任何移动设备管理 (MDM) 解决方案。 这种独立性可帮助保护公司数据，无论是否将设备注册到设备管理解决方案中。 通过实施 应用级策略，可以限制对公司资源的访问，并将数据保留在 IT 部门的权限范围内。

设备上的应用保护策略

为在以下设备上运行的应用配置应用保护策略：

• 在 Microsoft Intune 中注册：这些设备通常是公司自有设备。

• 在非Microsoft移动设备管理 (MDM) 解决方案中注册： 这些设备通常是公司拥有的。

  注意

  移动应用管理策略不应与非Microsoft移动应用管理或安全容器解决方案一起使用。

• 未在任何移动设备管理解决方案中注册：这些设备通常为员工自有设备，且未在 Intune 或其他 MDM 解决方案中托管或注册。

使用应用保护策略的好处

使用应用保护策略的重要优势如下：

• 在应用维度级别保护公司数据。 由于移动应用管理不需要设备管理，因此保护托管和非托管设备上的公司数据。 管理以用户标识为中心，因而不再需要设备管理。

• 在个人上下文中使用应用时，用户工作效率不受影响，策略不适用。 Intune仅在工作环境中应用策略，这使你能够在不接触个人数据的情况下保护公司数据。

• 应用保护策略可确保应用层保护到位。 例如：

  • 规定在工作环境中打开应用时需使用 PIN
  • 控制应用之间的数据共享
  • 防止将公司应用数据保存到私人存储位置

• 具有 MAM 的 MDM 可确保设备受到保护。 例如，需要 PIN 才能访问设备，或将托管应用部署到设备。 此外，还可以通过 MDM 解决方案将应用部署到设备，以便更好地控制应用管理。

将 MDM 与应用保护策略结合使用具有更多好处，公司可以同时使用具有和不使用 MDM 的应用保护策略。 例如，假设一位员工同时使用公司发行的手机和他们自己的个人平板电脑。 公司电话已在 MDM 中注册，并受应用保护策略保护。 个人设备仅受应用保护策略的保护。

如果在未设置设备状态的情况下向用户应用 MAM 策略，则用户在 BYOD (自带设备) 和Intune托管设备上获取 MAM 策略。 此外，根据设备管理状态应用 MAM 策略。 有关详细信息，请参阅 基于设备管理状态的目标应用保护策略。 创建应用保护策略时，选择“面向所有应用类型”旁边的“否”。 然后，执行以下任一作：

• 将不太严格的 MAM 策略应用于 Intune 托管设备，并将更严格的 MAM 策略应用于未注册 MDM 的设备。
• 将 MAM 策略仅应用于未注册的设备。

支持应用保护策略的平台

Intune 提供了一系列功能，可帮助你获取需要在设备上运行的应用。 有关详细信息，请参阅按平台分类的应用管理功能。

Intune 应用保护策略平台支持与适用于 Android 和 iOS/iPadOS 设备的 Office 移动应用程序平台支持保持一致。 有关详细信息，请参阅 Office 系统要求的“移动应用”部分。

此外，为 Windows 设备创建应用保护策略。 有关详细信息，请参阅 Windows 设备的应用保护体验。

应用保护策略数据保护框架

应用保护策略中的可用选项使组织能够根据自己的特定需求定制保护。 对于某些人来说，实现完整方案可能需要哪些策略设置可能并不明显。 为了帮助组织确定移动客户端终结点强化的优先级，Microsoft引入了适用于 iOS 和 Android 移动应用管理的应用保护策略数据保护框架的分类。

应用保护策略数据保护框架分为三个不同的配置级别，每个级别都基于上一个级别：

• 企业基本数据保护（级别 1）可确保应用受 PIN 保护和经过加密处理，并执行选择性擦除操作。 对于 Android 设备，此级别验证 Android 设备证明。 级别 1 配置是一种入门级配置，可在Exchange Online邮箱策略中提供类似的数据保护控制，并将 IT 和用户填充引入应用。
• 企业增强型数据保护 (级别 2) 引入了应用保护策略数据泄露防护机制和最低 OS 要求。 级别 2 配置适用于访问工作或学校数据的大多数移动用户。
• 企业高数据保护 (级别 3) 引入了高级数据保护机制、增强的 PIN 配置和应用保护策略移动威胁防御。 对于访问高风险数据的用户，需要级别 3 配置。

若要查看每个配置级别的具体建议以及必须受保护的核心应用，请查看使用应用保护策略的数据保护框架。

应用保护策略如何保护应用数据

不具有应用保护策略的应用

当你无限制地使用应用时，公司和个人数据可能会相互混杂。 公司数据可能最终位于个人存储空间等位置或传输到监控范围外的应用中，导致数据丢失。 下图中的箭头显示了公司应用和个人应用之间以及到存储位置的无限制数据移动。

采用应用保护策略的数据保护

使用应用保护策略防止公司数据保存到设备的本地存储 (如下图所示。) 还将数据移动限制为不受应用保护策略保护的其他应用。 应用保护策略设置包括：

• 数据重定位策略，例如 保存组织数据的副本和 限制剪切、复制和粘贴。
• 访问策略设置，例如“需要简单的 PIN 才能访问”、“阻止在已越狱或取得 root 权限的设备上运行受管理的应用”。

在由 MDM 解决方案管理的设备上，采用 APP 保护数据

下图显示了 MDM 和应用保护策略共同提供的保护层。

MDM 解决方案通过提供以下功能增值：

• 注册设备
• 将应用部署到设备
• 提供持续的设备合规性和管理

应用保护策略通过提供以下功能增值：

• 帮助防止公司数据泄露到使用者应用和服务
• 将限制（如“另存为”、“剪贴板”或“PIN”）应用到客户端应用
• 必要时，从应用擦除公司数据而不从设备删除这些应用

采用适用于未注册设备的 APP 保护数据

下图显示在未实施 MDM 的情况下数据保护策略在应用级别的工作原理。

对于未在任何 MDM 解决方案中注册的 BYOD 设备，应用保护策略可在应用级别帮助保护公司数据。 但是，有一些限制需要注意，如：

• 应用不会部署到设备。 用户从应用商店获取应用。
• 这些设备上未预配证书配置文件。
• 这些设备上未预配公司 Wi-Fi 和 VPN 设置。

可使用应用保护策略进行管理的应用

任何与 Intune SDK 集成或由Intune App Wrapping Tool包装的应用都可以使用Intune应用保护策略进行管理。 请参阅使用这些工具且可供公众使用的Microsoft Intune受保护应用的官方列表。

Intune SDK 开发团队积极测试和维护对使用本机 Android 和 iOS/iPadOS (Obj-C、Swift) 平台构建的应用的支持。 虽然一些客户已成功将 Intune SDK 与其他平台（例如 React Native 和 NativeScript）集成，但除了支持的平台之外，没有为应用开发人员提供明确的指导或插件。

使用应用保护策略的用户要求

以下列表提供了在Intune托管的应用上使用应用保护策略的用户要求：

• 用户必须具有Microsoft Entra帐户。 请参阅添加用户并向 Intune授予管理权限，了解如何在 Microsoft Entra ID 中创建Intune用户。

• 用户必须具有分配给其Microsoft Entra帐户的Microsoft Intune许可证。 请参阅管理Intune许可证，了解如何向用户分配Intune许可证。

• 用户必须属于应用保护策略所针对的安全组。 相同的应用保护策略必须针对正在使用的特定应用。 可以在Microsoft Intune管理中心中创建和部署应用保护策略。 当前可以在 Microsoft 365 管理中心创建安全组。

• 用户必须使用其Microsoft Entra帐户登录到应用。

Microsoft 365 (Office) 应用的应用保护策略

将应用保护策略与 Microsoft 365 (Office) 应用配合使用时，还需要注意一些其他要求。

Outlook 移动应用

使用 Outlook 移动应用 的要求包括：

• 用户必须将 Outlook 移动应用安装到其设备。

• 用户必须具有Microsoft 365 Exchange Online邮箱和许可证链接到其Microsoft Entra帐户。

  注意

  Outlook 移动应用目前仅支持使用混合新式身份验证Microsoft Exchange Online和Exchange Server Intune应用保护，不支持 Office 365 Dedicated 中的 Exchange。

Word、Excel 和 PowerPoint

使用 Word、Excel 和 PowerPoint 应用的要求包括：

• 用户必须具有链接到其Microsoft Entra帐户的Microsoft 365 商业应用版或企业的许可证。 订阅必须包含移动设备上的 Microsoft 365 应用，并且可以包含具有 Microsoft OneDrive 的云存储帐户。 可按照这些说明在 Microsoft 365 管理中心分配 Microsoft 365 许可证。

• 用户必须使用“保存组织数据的副本”应用程序保护策略设置下的粒度保存功能配置托管位置。 例如，如果托管位置为 OneDrive，则应在用户的 Word、Excel 或 PowerPoint 应用中配置 OneDrive 应用。

• 如果托管位置是 OneDrive，则应用必须是部署到用户的应用保护策略的目标。

  注意

  Office 移动应用当前仅支持 SharePoint Online，不支持本地 SharePoint。

Office 所需的托管位置

Office 需要托管位置 (即 OneDrive) 。 Intune将应用中的所有数据标记为“公司”或“个人”。如果数据源自业务位置，则被视为“公司”。 对于 Microsoft 365 应用，Intune将以下内容视为业务位置：电子邮件 (Exchange) 或云存储 (OneDrive 应用中的工作或学校帐户) 。

Skype for Business

使用Skype for Business还有其他要求。 请参阅 Skype for Business 许可证要求。 对于Skype for Business (SfB) 混合和本地配置，请参阅 SfB 和 Exchange 的混合新式身份验证正式版和 SfB 本地新式身份验证，Microsoft Entra ID。

应用保护全局策略

如果 OneDrive 管理员浏览到 admin.onedrive.com 并选择“设备”访问权限，则他们可为 OneDrive 和 SharePoint 客户端应用设置移动应用程序管理控件。

对 OneDrive 管理员控制台可用的设置，配置称为“全局策略”的特殊Intune应用保护策略。 此全局策略适用于租户中的所有用户，且无法控制策略目标设定。

启用后，默认情况下将使用所选设置保护适用于 iOS/iPadOS 和 Android 的 OneDrive 和 SharePoint 应用。 IT 专业人员可以在Microsoft Intune管理中心编辑此策略，以添加更多目标应用并修改任何策略设置。

默认情况下，每个租户仅有一个全局策略。 然而，可使用 Intune 图形 API 来为每个租户创建额外的全局策略，但不推荐这种做法。 不建议创建额外全局策略，因为对此类策略的实施进行故障排除会变得复杂。

虽然全局策略适用于租户中的所有用户，但任何标准Intune应用保护策略都会覆盖这些设置。

应用保护功能

多身份

借助多身份支持，应用可以支持多个受众。 这些受众既是“公司”用户，也是“个人”用户。 “公司”受众使用工作和学校帐户，而消费者受众（如 Microsoft 365 (Office) 用户）将使用个人帐户。 支持多身份的应用可以公开发布，只有在工作和学校（“公司”）环境中使用应用时应用保护策略才适用。 多身份支持使用 Intune SDK 来仅将应用保护策略应用于已登录到应用的工作或学校帐户。 如果个人帐户登录到应用，数据将保持不变。 可使用应用保护策略阻止将工作或学校帐户数据传输到多标识应用内的个人帐户、其他应用内的个人帐户或个人应用内。

对于“个人”上下文的示例，请考虑在 Word 中启动新文档的用户，这被视为个人上下文，因此不会应用Intune应用保护策略。 将文档保存在“公司”OneDrive 帐户上后，将它视为“公司”上下文，并Intune应用应用保护策略。

参考以下工作或“公司”环境示例：

• 用户使用其工作帐户启动 OneDrive 应用。 在工作环境中，他们无法将文件移动到私人存储位置。 之后当用户通过其个人帐户使用 OneDrive 时，可无限制地从个人 OneDrive 复制和移动数据。
• 用户开始在 Outlook 应用中起草电子邮件。 填写主题或邮件正文后，用户将无法将“发件人”地址从工作环境切换到个人环境，因为主题和邮件正文受应用保护策略保护。

Intune 应用 PIN

个人标识号 (PIN) 是一种密码，用于验证是否是正确的用户在应用程序中访问组织的数据。

PIN 提示
当用户要访问“公司”数据时，Intune 才会提示输入用户的应用 PIN。 在诸如 Word、Excel、PowerPoint 等多身份应用中，当用户尝试打开“公司”文档或文件时，会向他们提示输入 PIN。 在单标识应用（例如使用 Intune App Wrapping Tool 管理的业务线应用）中，启动时会提示 PIN，因为Intune SDK 知道用户在应用中的体验始终是“企业体验”。

PIN 提示或公司凭据提示、频率
IT 管理员可以定义Intune应用保护策略设置，在Microsoft Intune管理中心) (分钟后重新检查访问要求。 此设置指定在设备上检测访问要求，并再次显示应用程序 PIN 屏幕或公司凭据提示之前的时长。 但是，影响用户被提示频率的 PIN 的重要详细信息如下：

• 在同一发布者的应用之间共享 PIN 以提高可用性：
  在 iOS/iPadOS 上，同一应用 发布者的所有应用之间共享一个应用 PIN。 例如，所有 Microsoft 应用都共享同一 PIN。 在 Android 上，所有应用之间共享一个应用 PIN。
• 在设备重启后“以下时间过后重新检查访问要求(分钟)”的行为：
  计时器跟踪确定何时显示下一个 Intune 应用 PIN 或公司凭据提示的不活动分钟数。 在 iOS/iPadOS 上，计时器不受设备重启影响。 因此，设备重启不会影响用户在 iOS/iPadOS 应用中保持非活动状态的分钟数，Intune PIN (或公司凭据) 策略目标。 在 Android 上，计时器在设备重启后重置。 因此，Intune PIN (或公司凭据) 策略的 Android 应用可能会提示输入应用 PIN 或公司凭据提示，而不管设备重新启动后“ (分钟后重新检查访问要求) ”设置值如何。
• 与 PIN 关联的计时器的滚动特性：
  输入 PIN 以访问应用（应用 A）后，该应用会离开设备主屏幕（主输入焦点），并且该计时器会进行重置。 共享此 PIN 的任何应用 (应用 B) 都不会提示用户输入 PIN，因为计时器已重置。 再次满足“ (分钟后重新检查访问要求) ”值后，提示再次显示。

对于 iOS/iPadOS 设备，即使 PIN 在不同发布者的应用之间共享，在 (分钟后重新检查访问要求时 ，再次满足不是主要输入焦点的应用) 值时，提示也会再次显示。 因此，例如，某一用户具有来自发行商 X 的应用 A 和来自发行商 Y 的应用 B，并且这两个应用共享相同 PIN。 该用户将焦点置于应用 A（前景），并最小化应用 B。 在满足 (分钟后重新检查访问要求) 值并且用户切换到应用 B 后，需要 PIN。

Outlook 和 OneDrive 的内置应用 PIN
Intune PIN 基于基于非活动状态的计时器工作， () () 分钟后重新检查访问要求 的值。 因此，Intune PIN 提示独立于 Outlook 和 OneDrive 的内置应用 PIN 提示显示，默认情况下，这些提示通常与应用启动相关联。 如果用户同时收到两个 PIN 提示，则预期行为是Intune PIN 优先。

Intune PIN 安全性
PIN 仅允许正确的用户在应用中访问其组织数据。 因此，用户必须先使用其工作或学校帐户登录，然后才能设置或重置其Intune应用 PIN。 Microsoft Entra ID通过安全令牌交换处理此身份验证，Intune SDK 看不到它。 从安全性的角度来看，保护工作或学校数据的最佳方法便是对其进行加密。 加密与应用 PIN 无关，而是其自己的应用保护策略。

防止暴力攻击和 Intune PIN
作为应用 PIN 策略的一部分，IT 管理员可以设置在锁定应用之前用户可尝试验证其 PIN 的最大次数。 满足尝试次数后，Intune SDK 可以擦除应用中的“公司”数据。

Intune PIN 和选择性擦除
在 iOS/iPadOS 上，应用程序级 PIN 信息存储在具有同一发布者的应用之间共享的密钥链中，例如所有第一方 Microsoft 应用。 此 PIN 信息也绑定到用户帐户。 选择性擦除一个应用不会影响其他应用。

例如，为登录用户的 Outlook 设置的 PIN 存储在共享密钥链中。 当用户登录到由Microsoft) 发布的 OneDrive (时，他们会看到与 Outlook 相同的 PIN，因为它使用相同的共享密钥链。 注销 Outlook 或擦除 Outlook 中的用户数据时，Intune SDK 不会清除该密钥链，因为 OneDrive 可能仍使用该 PIN。 因此，选择性擦除不会清除共享密钥链（包括 PIN）。 即使设备上只存在一个发布者应用程序，此行为仍保持不变。

由于 PIN 在具有相同发布者的应用之间共享，因此，如果擦除作转到单个应用，Intune SDK 将不知道设备上是否有同一发布者的任何其他应用。 因此，Intune SDK 不会清除 PIN，因为它可能仍可用于其他应用。 预期是在某些 OS 清理过程中最终删除来自该发布服务器的最后一个应用时，应用 PIN 将被擦除。

如果观察到某些设备上正在擦除 PIN，则可能会发生以下行为：由于 PIN 绑定到标识，如果用户在擦除后使用其他帐户登录，系统会提示他们输入新的 PIN。 但是，如果他们使用以前现有的帐户登录，则可以使用存储在密钥链中的 PIN 进行登录。

要在来自同一个发布者的应用上设置 PIN 两次？
iOS/iPadOS) 上的 MAM (目前允许使用字母数字和特殊字符的应用程序级 PIN， (称为“密码”) 这需要应用程序 (（即 WXP、Outlook Viva Engage) ）参与，以集成适用于 iOS 的 Intune SDK。 如果没有此设置，则不会为目标应用程序正确强制实施密码设置。 这是 Intune SDK for iOS v. 7.1.12 中发布的一项功能。

为了支持此功能并确保与以前版本的 Intune SDK for iOS/iPadOS 兼容，7.1.12+ 中 (数字或密码) 的所有 PIN 均与以前版本的 SDK 中的数字 PIN 分开处理。 Intune SDK for iOS v14.6.0 中引入了另一项更改，这导致 14.6.0+ 中的所有 PIN 与 SDK 以前版本中的任何 PIN 分开处理。

因此，如果设备具有Intune SDK for iOS 版本（低于 7.1.12 和 7.1.12）的应用程序（来自同一发布者 (或 14.6.0 之前版本和 14.6.0 之后的版本) ），则它们必须设置两个 PIN。 每个应用 (的两个 PIN) 没有任何关联 (也就是说，它们必须遵守应用于应用) 的应用保护策略。 因此，如果应用 A 和 B 对 PIN) 应用了 (相同的策略，则用户可能会设置同一 PIN 两次。

此行为只针对使用 Intune 移动应用管理 (MAM) 启用的 iOS/iPadOS 应用程序上的 PIN。 日后，随着应用采用更高版本的 Intune SDK for iOS/iPadOS，需要针对同一发布者的应用设置 PIN 两次的问题就会减少。

应用数据加密

IT 管理员可以部署要求对应用数据进行加密的应用保护策略。 作为该策略的一部分，IT 管理员还可指定何时加密内容。

Intune 数据加密过程
请参阅 Android 应用保护策略设置和 iOS/iPadOS 应用保护策略设置，获取有关加密应用保护策略设置的详细信息。

加密的数据
根据 IT 管理员的应用保护策略，仅对标记为“公司”的数据进行加密。 数据源于业务位置时会被视为“公司”数据。 对于 Microsoft 365 应用，Intune将以下内容视为业务位置：

• 电子邮件 (Exchange)
• 云存储 (OneDrive 应用，其中包含 OneDrive for Work 或 School 帐户)

对于由Intune App Wrapping Tool管理的业务线应用，所有应用数据都被视为“公司数据”。

选择性擦除

远程擦除数据
Intune 可以通过以下三种不同方式擦除应用数据：

• 完全设备擦除
• MDM 选择性擦除
• MAM 选择性擦除

有关 MDM 远程擦除的详细信息，请参阅使用擦除或停用操作删除设备。 有关使用 MAM 进行选择性擦除的详细信息，请参阅“停用”操作和如何仅擦除应用中的公司数据。

完全设备擦除会通过将设备还原到其出厂默认设置，从“设备”中删除所有用户数据和设置。 设备将从 Intune 中删除。

MDM 选择性擦除
请参阅删除设备 - 停用，了解删除公司数据的相关信息。

MAM 选择性擦除
MAM 的选择性擦除会从应用中删除公司应用数据。 使用 Intune 启动请求。 若要了解如何启动擦除请求，请参阅如何仅擦除应用中的公司数据。

如果用户在启用了选择性擦除的情况下使用应用，那么 Intune SDK 会每 30 分钟检查一次来自 Intune MAM 服务的选择性擦除请求。 它还会在用户第一次启动应用并使用其工作或学校帐户登录时检查选择性擦除。

本地服务不适用于 Intune 保护的应用时
Intune 应用保护要求用户的身份在应用程序与 Intune SDK 之间保持一致。 保证此种一致的唯一方法是通过新式身份验证。 在某些情况下，应用可能适用于本地配置，但它们不一致或不能保证。

从托管应用中打开 Web 链接的安全方法
IT 管理员可为 Microsoft Edge（可使用 Intune 轻松管理的 Web 浏览器）部署和设置应用保护策略。 IT 管理员可以要求使用 Microsoft Edge 打开Intune托管应用中的所有 Web 链接。

适用于 iOS 设备的应用保护体验

设备指纹或 Face ID

Intune 应用保护策略允许将应用访问权限控制在仅限 Intune 许可用户访问。 控制对应用的访问权限的方法之一是支持的设备上需要具有 Apple 的 Touch ID 或 Face ID。 Intune实现一种行为，其中，如果设备的生物识别数据库有任何更改，Intune在满足下一个非活动超时值时提示用户输入 PIN。 对生物识别数据的更改包括添加或删除指纹或人脸。 如果Intune用户没有设置 PIN，则会引导他们设置Intune PIN。

此过程旨在继续确保应用中的组织数据安全并在应用级别受保护。 此功能仅适用于 iOS/iPadOS，并且需要集成了 Intune SDK for iOS/iPadOS 版本 9.0.1 或更高版本的应用程序参与。 必须集成 SDK，以便可以在目标应用程序上强制执行行为。 此集成陆续进行，取决于特定应用程序团队。 参与的一些应用包括 WXP、Outlook 和 Viva Engage。

iOS 共享扩展

使用 iOS/iPadOS 共享扩展在非托管应用中打开工作或学校数据，即使数据传输策略设置为 “仅托管应用 ”或 “无托管应用”也是如此。 Intune应用保护策略无法在不管理设备的情况下控制 iOS/iPadOS 共享扩展。 因此，Intune 会在对“公司”数据进行应用外共享之前对其进行加密。 通过尝试在托管应用外部打开“公司”文件来验证此加密行为。 该文件应进行加密，且无法在托管应用外打开。

通用链接支持

默认情况下，Intune应用保护策略阻止访问未经授权的应用程序内容。 在 iOS/iPadOS 中，可以使用 通用链接打开特定内容或应用程序。

用户可在 Safari 中访问应用的通用链接并选择“在新选项卡中打开”或“打开”，通过这种方式来禁用这些链接：。 若要将通用链接与Intune应用保护策略配合使用，请务必重新启用通用链接。 用户在长时间按下相应链接后，需要在 Safari 中执行“在应用名称>中<打开”。 这应提示任何受保护的应用将所有通用链接路由到设备上的受保护应用程序。

适用于同一组应用和用户的多个 Intune 应用保护访问设置

Intune应用保护策略在尝试从其公司帐户访问目标应用时，会按特定顺序在用户设备上应用。 通常先访问擦除，然后是块，再是可取消的警告。 例如，如果适用于特定用户/应用，则会在阻止用户访问的最低 iOS/iPadOS作系统设置之后应用警告用户更新其 iOS/iPadOS 版本的最低 iOS/iPadOS作系统设置。 因此，在 IT 管理员将最小 iOS作系统配置为 11.0.0.0，最小 iOS作系统 (警告仅) 为 11.1.0.0 的情况下，当尝试访问应用的设备在 iOS 10 上时，系统会根据对最小 iOS作系统版本的更严格的设置来阻止用户，导致访问被阻止。

处理不同类型的设置时，先处理 Intune SDK 版本要求，其次处理应用版本要求，再处理 iOS/iPadOS 操作系统版本要求。 然后，按相同顺序检查各类型设置的所有警告。 仅在Intune产品团队的指导下配置Intune SDK 版本要求，以用于基本阻塞方案。

适用于 Android 设备的应用保护体验

Microsoft Teams Android 应用

Microsoft Teams Android 设备上的 Teams 应用不支持应用保护策略， (不会通过 公司门户 应用) 接收策略。 这意味着应用保护策略设置不会应用于Microsoft Teams Android 设备上的 Teams。 如果为这些设备配置了应用保护策略，请考虑创建一组 Teams 设备用户，并从相关的应用保护策略中排除该组。 此外，请考虑修改Intune注册策略、条件访问策略和Intune合规性策略，使其包含受支持的设置。 如果无法更改现有策略，则必须配置 (排除) 设备筛选器。 针对现有条件访问配置验证每个设置，并Intune合规性策略，以了解是否包含不受支持的设置。 有关详细信息，请参阅适用于 Microsoft Teams 会议室 和 Teams Android 设备的受支持条件访问和Intune设备符合性策略。 有关 Microsoft Teams 会议室的信息，请参阅 适用于 Microsoft Teams 会议室的条件访问和 Intune 合规性。

设备生物识别身份验证

对于支持生物识别身份验证的 Android 设备，允许用户使用指纹或人脸解锁，具体取决于其 Android 设备支持的内容。 配置是否可以使用指纹以外的所有生物识别类型进行身份验证。 指纹和人脸解锁仅适用于为支持这些生物识别类型而制造并运行正确版本的 Android 的设备。 指纹需要 Android 6 及更高版本，而人脸解锁需要 Android 10 及更高版本。

公司门户应用和 Intune 应用保护

应用保护的许多功能都内置于公司门户应用中。 即使始终需要公司门户应用，也不要求注册设备* 。 对于移动应用程序管理 (MAM) ，用户需要在设备上安装 公司门户 应用。

适用于同一组应用和用户的多个 Intune 应用保护访问设置

Intune应用保护策略在尝试从其公司帐户访问目标应用时，会按特定顺序在用户设备上应用。 通常，块优先，然后是可解除的警告。 例如，如果适用于特定用户/应用，则会在阻止用户访问的最低 Android 修补程序版本设置之后应用警告用户进行修补程序升级的最低 Android 修补程序版本设置。 因此，在 IT 管理员将最小 Android 修补程序版本 2018-03-01 配置为 和最小 Android 修补程序版本 (警告仅) 的情况下 2018-02-01，当尝试访问应用的设备使用修补程序版本 2018-01-01时，系统会根据对最小 Android 修补程序版本的更严格的设置来阻止用户，这会导致访问被阻止。

处理不同类型的设置时，应用版本要求优先，其次是 Android作系统版本要求和 Android 修补程序版本要求。 然后，将按相同顺序检查所有类型的设置的任何警告。

Intune应用保护策略和适用于 Android 设备的 Google Play 设备完整性检查

Intune应用保护策略使管理员能够要求用户设备为 Android 设备传递 Google Play 的设备完整性检查。 新的 Google Play 服务确定按Intune服务确定的间隔报告给 IT 管理员。 服务调用的频率因负载而受到限制，因此此值在内部维护且不可配置。 针对 Google 设备完整性设置的任何 IT 管理员配置作都是基于条件启动时对 Intune 服务的最后报告结果执行的。 如果没有数据，则允许访问，具体取决于没有其他条件启动检查失败，并且 Google Play 服务用于确定证明结果的“往返”从后端开始，并在设备发生故障时异步提示用户。 如果存在过时的数据，将根据上次报告的结果阻止或允许访问，同样，用于确定证明结果的 Google Play 服务“往返”将开始，并在设备发生故障时异步提示用户。

Intune 应用保护策略和 Google 的适用于 Android 设备的 Verify Apps API

Intune应用保护策略使管理员能够要求用户设备通过 Google 的适用于 Android 设备的验证应用 API 发送信号。 如何执行此操作的说明根据设备略有不同。 一般过程包括转到 Google Play 商店，然后选择 “我的应用 & 游戏”，选择最后一次应用扫描的结果，这会转到“播放保护”菜单。 确保“扫描设备以检测安全隐患”开关为开启状态。

Google 的 Play Integrity API

Intune使用 Google 的 Play 完整性 API 将添加到未注册设备的现有根检测检查中。 如果 Android 应用不希望其应用在 root 设备上运行，Google 会开发和维护此 API 集，以供其采用。 例如，Android Pay 应用包含此内容。 虽然 Google 不会公开共享发生的全部根检测检查，但这些 API 会检测其设备生根的用户。 然后，可以阻止这些用户访问，或者可以从启用策略的应用中擦除其公司帐户。 “检查基本完整性”描述设备的总体完整性。 已取得根权限的设备、模拟器、虚拟设备以及具有篡改迹象的设备无法通过基本完整性检查。 “检查基本完整性和认证设备”描述设备与 Google 服务的兼容性。 只有 Google 认证的未修改设备才能通过此检查。 失败的设备包括：

• 基本完整性检查未通过的设备
• 具有未锁定引导装入程序的设备
• 具有自定义系统映像/ROM 的设备
• 制造商未申请或未通过 Google 认证的设备
• 系统映像直接通过 Android 开源程序源文件生成的设备
• 具有 beta 版本/开发者预览版系统映像的设备

有关技术详细信息，请参阅 Google 关于 Google Play Integrity API 的文档。

播放完整性判决设置和“越狱/rooted devices”设置

游戏完整性判决要求用户处于联机状态，至少在确定证明结果的“往返”执行期间。 如果用户处于脱机状态，IT 管理员仍可能期望从 越狱/rooted 设备 设置强制实施结果。 但是，如果用户保持脱机太长时间， 则脱机宽限期 值将发挥作用，并且一旦达到该计时器值，将阻止对工作或学校数据的所有访问，直到网络访问可用。 启用这两个设置允许采用分层方法来保持用户设备正常运行，当用户在移动设备上访问工作或学校数据时，这一点非常重要。

Google Play 保护 API 和 Google Play Services

使用 Google Play 保护 API 的应用保护策略设置需要 Google Play 服务才能正常运行。 应用设置的 Play 完整性判断和 威胁扫描 都需要 Google 确定的 Google Play Services 版本才能正常运行。 由于这些设置属于安全领域，因此如果用户成为这些设置的目标，并且不符合 Google Play Services 的相应版本或无权访问 Google Play Services，则会被阻止。

适用于 Windows 设备的应用保护体验

有两类策略设置： 数据保护 和 运行状况检查。 术语 策略托管应用 是指配置了应用保护策略的应用。

数据保护

数据保护设置会影响组织数据和上下文。 作为管理员，你可以控制数据传入和移出组织保护上下文的移动。 组织上下文由指定组织帐户访问的文档、服务和网站定义。 以下策略设置有助于控制接收到组织上下文中的外部数据和从组织上下文发送的组织数据。

运行状况检查

运行状况检查允许配置条件启动功能。 为此，必须为应用保护策略设置运行状况检查条件。 选择 “设置” ，并输入用户访问组织数据时必须满足 的值 。 然后选择用户不符合条件时要执行的作。 在某些情况下，可以为单个设置配置多个操作。

后续步骤

如何使用 Microsoft Intune 创建和部署应用保护策略

Microsoft Intune 中提供的 Android 应用保护策略设置

Microsoft Intune 中提供的 iOS/iPadOS 应用保护策略设置