隨著愈多組織執行行動裝置策略來存取公司或學校資料,保護防範資料外洩就變得至關重要。 Intune 用於防止資料外洩的行動應用程式管理解決方案是應用程式保護政策。 這些政策是確保組織資料安全或被管理的應用程式所保存的規則,無論裝置是否已註冊。 欲了解更多資訊,請參閱應用程式防護政策概述。
當您設定應用程式保護政策時,眾多不同的設定與選項讓組織能依其特定需求量身打造保護措施。 由於這種彈性,實施完整情境所需的政策設定排列組合可能不明顯。 為了協助組織優先處理用戶端端點強化工作,Microsoft 推出了一套新的 Windows 10 安全配置分類法,而 Intune 也在其應用程式保護政策——行動應用管理的資料保護框架中採用類似的分類法。
應用程式保護政策的資料保護配置框架組織為三個不同的設定情境:
第一級企業基本資料保護——Microsoft 建議此配置作為企業裝置的最低資料保護配置。
第二級企業增強資料保護——Microsoft 建議此配置適用於使用者存取敏感或機密資訊的裝置。 此設定適用於多數存取公司或學校資料的行動使用者。 部分控制措施可能會影響使用者體驗。
第三級企業高資料保護——Microsoft建議由擁有較大或更先進安全團隊的組織所操作的裝置,或是風險極高的特定使用者或群組, (處理高度敏感資料且未經授權揭露會對組織) 造成重大損失的使用者。 一個可能成為資金雄厚且老練對手目標的組織,應該追求這種配置。
應用程式防護政策資料保護框架部署方法論
如同任何新軟體、功能或設定的部署,Microsoft 建議在部署應用程式保護政策資料保護框架前,投資於一套環狀方法論以測試驗證。 定義部署環通常是一次性事件 (或至少不頻繁) ,但 IT 應重新檢視這些群組,以確保序列仍然正確。
Microsoft 建議以下部署環方法用於應用程式保護政策的資料保護框架:
| 部署通道 | 租用戶 | 評定小組 | 輸出 | 時間表 |
|---|---|---|---|---|
| 品質保證 | 預製作租戶 | 行動功能擁有者、安全性、風險評定、隱私權、UX | 功能案例驗證、草稿文件 | 0-30 天 |
| 預覽 | 生產租用戶 | 行動功能擁有者、UX | 終端使用者案例驗證、使用者互動文件 | 7-14 天,品質保證後 |
| 生產環境 | 生產租用戶 | 行動功能擁有者、IT 支援人員 | 不適用 | 7 天到數週,預覽後 |
如上表所示,所有應用程式保護政策的變更都應先在預生產環境中執行,以了解政策設定的影響。 測試完成後,變更可移至生產環境,並套用給部分生產用戶,通常是 IT 部門及其他相關團體。 最後,這次的推廣可以完成給行動用戶社群。 隨著變更影響的程度,正式上線可能需要更長時間。 若無使用者影響,變更應迅速推展;若變更產生使用者影響,則推送速度可能因需向使用者群溝通變更而放緩。
在測試應用程式保護政策變更時,請注意 交付時間。 可以監控特定使用者的應用程式保護政策交付狀態。 欲了解更多資訊,請參閱 如何監控應用程式保護政策。
每個應用程式的個別保護政策設定,都可以在裝置上透過 Microsoft Edge 及網址 about:Intunehelp 驗證。 欲了解更多資訊,請參閱 檢視用戶端應用程式保護日誌 ,並使用 iOS 與 Android 版 Microsoft Edge 存取受管應用程式日誌。
應用程式防護政策資料保護框架設定
以下應用程式保護政策設定應為適用應用程式啟用,並分配給所有行動使用者。 欲了解更多關於各政策設定的資訊,請參閱 iOS 應用程式保護政策設定 及 Android 應用程式保護政策設定。
Microsoft 建議先審查並分類使用情境,然後依照該層級的規範性指引來設定使用者。 如同任何框架,根據組織需求,資料保護必須評估威脅環境、風險偏好及可用性影響,調整相應層級的設定。
管理員可透過匯入 Intune 的 PowerShell 腳本,將範例 Intune 應用程式保護政策組態框架 JSON 範本納入其環狀部署方法論中,進行測試與生產使用。
注意事項
使用 Windows 的 MAM 時,請參閱 Windows 的應用程式防護政策設定。
條件存取政策
為確保只有支援應用程式保護政策的應用程式才能存取工作或學校帳號資料,Microsoft Entra 條件存取政策是必須的。 這些原則會在 條件式存取: 需要核准的用戶端應用程式或應用程式防護原則 中說明。
請參閱條件存取中的「要求核准客戶端應用程式或應用程式保護政策」,以了解實施具體政策的步驟。 最後,實作「 封鎖舊有認證 」中的步驟,封鎖支援舊有認證的 iOS 和 Android 應用程式。
注意事項
這些政策利用了補助控制措施 ,包括「必須核准客戶應用程式 」和 「要求應用程式保護政策」。
應用程式應納入應用程式保護政策
針對每個應用程式保護政策,核心 Microsoft Apps 群組都被鎖定,包含以下應用程式:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- To Do
- Word
政策應包含基於業務需求的其他Microsoft應用、整合組織內使用的 Intune SDK 的第三方公開應用,以及整合 Intune SDK (或已包裝) 的業務線應用。
第一級企業基本資料保護
第一級是企業行動裝置的最低資料保護配置。 此配置取代了基本的 Exchange Online 裝置存取政策,要求使用 PIN 碼存取工作或學校資料,並加密工作或學校帳號資料,並提供選擇性清除學校或工作資料的能力。 然而,與 Exchange Online 裝置存取政策不同,以下的應用程式保護政策設定適用於政策中所選的所有應用程式,確保資料存取在行動通訊情境之外受到保護。
第一層的政策在執行合理的資料存取等級的同時,將對使用者的影響降到最低,並在 Microsoft Intune 內建立應用程式保護政策時,鏡像出預設的資料保護與存取需求設定。
資料保護
| 設定 | 場景描述 | 值 | 平台 |
|---|---|---|---|
| 資料傳輸 | 備份組織資料到... | 允許 | iOS/iPadOS、Android |
| 資料傳輸 | 將組織資料傳送到其他應用程式 | 所有應用程式 | iOS/iPadOS、Android |
| 資料傳輸 | 將組織資料傳送到 | 所有目的地 | Windows |
| 資料傳輸 | 接收來自其他應用程式的資料 | 所有應用程式 | iOS/iPadOS、Android |
| 資料傳輸 | 接收資料來自 | 所有資料來源 | Windows |
| 資料傳輸 | 限制應用程式間的剪切、複製與貼上 | 任何應用程式 | iOS/iPadOS、Android |
| 資料傳輸 | 允許剪切、複製並貼上 | 任何目的地和任何來源 | Windows |
| 資料傳輸 | 第三方鍵盤 | 允許 | iOS/iPadOS |
| 資料傳輸 | 核准鍵盤 | 不需要 | Android |
| 資料傳輸 | 螢幕擷取與 Google 助理 | 允許 | Android |
| 加密 | Encrypt org data | 需 | iOS/iPadOS、Android |
| 加密 | 加密已註冊裝置上的組織資料 | 需 | Android |
| 功能 | 同步應用程式與原生聯絡人應用程式 | 允許 | iOS/iPadOS、Android |
| 功能 | 列印組織資料 | 允許 | iOS/iPadOS、Android、Windows |
| 功能 | 限制與其他應用程式之間的網頁內容傳輸 | 任何應用程式 | iOS/iPadOS、Android |
| 功能 | 組織資料通知 | 允許 | iOS/iPadOS、Android |
進入要求
| 設定 | 值 | 平台 | 附註 |
|---|---|---|---|
| 存取 PIN 碼 | 需 | iOS/iPadOS、Android | |
| PIN 類型 | 數值 | iOS/iPadOS、Android | |
| 簡單 PIN 碼 | 允許 | iOS/iPadOS、Android | |
| 選擇最小密碼長度 | 4 | iOS/iPadOS、Android | |
| 使用 Touch ID 代替 PIN,即可存取 iOS 8+/iPadOS () | 允許 | iOS/iPadOS | |
| 逾時後會用 PIN 覆蓋生物識別 | 需 | iOS/iPadOS、Android | |
| 暫停 (活動分鐘) | 1440 | iOS/iPadOS、Android | |
| 使用 Face ID 取代 PIN 來存取 iOS 11+/iPadOS () | 允許 | iOS/iPadOS | |
| 存取時的生物識別而非 PIN 碼 | 允許 | iOS/iPadOS、Android | |
| PIN 碼在幾天後重置 | 否 | iOS/iPadOS、Android | |
| 選擇保留先前 PIN 碼數的數量 | 0 | Android | |
| 裝置 PIN 設定時的應用程式 PIN | 需 | iOS/iPadOS、Android | 如果裝置已註冊在 Intune,管理員可以考慮將此設定為「非必要」,前提是他們透過裝置合規政策強制執行強裝置 PIN碼。 |
| 工作或學校帳號憑證以供存取 | 不需要 | iOS/iPadOS、Android | |
| (分鐘未操作後,重新檢查存取要求) | 30 | iOS/iPadOS、Android |
條件式啟動
| 設定 | 場景描述 | 價值 / 行動 | 平台 | 附註 |
|---|---|---|---|---|
| 應用程式條件 | 最大 PIN 嘗試次數 | 5 / 重置 PIN | iOS/iPadOS、Android | |
| 應用程式條件 | 離線寬限期 | 10080 / 封鎖存取時間 (分鐘) | iOS/iPadOS、Android、Windows | |
| 應用程式條件 | 離線寬限期 | 90 / 清除資料 (天) | iOS/iPadOS、Android、Windows | |
| 裝置條件 | 越獄/被 root 的裝置 | 不適用 / 封鎖存取權 | iOS/iPadOS、Android | |
| 裝置條件 | 安全網裝置認證 | 基本完整性與認證裝置 / 區塊存取 | Android | 此設定用於設定 Google Play 對終端使用者裝置的完整性檢查。 基本完整性驗證裝置的完整性。 被 root 的裝置、模擬器、虛擬裝置,以及有竄改跡象的裝置,基本完整性都不合格。 基本完整性與認證裝置驗證了裝置與 Google 服務的相容性。 只有經過 Google 認證的未改裝裝置才能通過此檢查。 |
| 裝置條件 | 要求應用程式進行威脅掃描 | 不適用 / 封鎖存取權 | Android | 此設定確保 Google 的 Verify Apps 掃描在終端使用者裝置上被啟用。 若設定完成,終端使用者將被封鎖,直到他們在 Android 裝置上開啟 Google 的應用程式掃描功能。 |
| 裝置條件 | 裝置允許的最大威脅等級 | 低/區塊存取 | Windows | |
| 裝置條件 | 要求裝置鎖定 | 低/警告 | Android | 此設定確保 Android 裝置的密碼符合最低密碼要求。 |
注意事項
Windows 的條件啟動設定標示為 健康檢查。
企業級二級強化資料保護
第二級是建議用於使用者存取較敏感資訊裝置的標準資料保護配置。 這些裝置如今已成為企業的自然目標。 這些建議並不假設擁有大量高技能的安全從業人員,因此大多數企業組織都能取得。 此配置擴展於第一關的配置。 它限制了資料傳輸的情境,並要求最低作業系統版本。
重要事項
第二層執行的政策設定包含第一層推薦的所有政策設定。 然而,第二層只列出那些新增或變更的設定,以實作比第一層更複雜的控制與更複雜的設定。 這些設定對使用者或應用程式的影響可能稍大一些。 他們執行的資料保護層級,更貼近用戶在行動裝置上接觸敏感資訊所面臨的風險。
資料保護
| 設定 | 場景描述 | 值 | 平台 | 附註 |
|---|---|---|---|---|
| 資料傳輸 | 備份組織資料到... | 封鎖 | iOS/iPadOS、Android | |
| 資料傳輸 | 將組織資料傳送到其他應用程式 | 受原則管理的應用程式 | iOS/iPadOS、Android | 在 iOS/iPadOS 中,管理員可以將此值設定為「政策管理應用程式」、「具備作業系統共享的政策管理應用程式」或「具有開放式/分享過濾的政策管理應用程式」。 當裝置同時註冊 Intune 時,則可使用具備作業系統共享的政策管理應用程式。 此設定允許資料傳輸至其他政策管理的應用程式,以及檔案傳輸至由 Intune 管理的其他應用程式。 具有 Open-In/Share 過濾功能的政策管理應用程式會過濾作業系統的 Open-in/Share 對話框,只顯示政策管理的應用程式。 欲了解更多資訊,請參閱 iOS 應用程式保護政策設定。 |
| 資料傳輸 | 傳送或資料至 | 沒有目的地 | Windows | |
| 資料傳輸 | 接收資料來自 | 沒有來源 | Windows | |
| 資料傳輸 | 選擇豁免應用程式 | 預設 / Skype;app-settings;Calshow;ITMS;ITMSS;itms-apps;itms-appss;ITMS-服務; | iOS/iPadOS | |
| 資料傳輸 | 儲存組織資料的副本 | 封鎖 | iOS/iPadOS、Android | |
| 資料傳輸 | 允許使用者將副本儲存至指定服務 | 商務用 OneDrive、SharePoint 與照片庫 | iOS/iPadOS、Android | |
| 資料傳輸 | 傳輸電信資料至 | 任何撥號器應用程式 | iOS/iPadOS、Android | |
| 資料傳輸 | 限制應用程式間的剪切、複製與貼上 | 有貼上功能 Policy 管理的應用程式 | iOS/iPadOS、Android | |
| 資料傳輸 | 允許剪切、複製並貼上 | 沒有目的地或來源 | Windows | |
| 資料傳輸 | 螢幕擷取與 Google 助理 | 封鎖 | Android | |
| 功能 | 限制與其他應用程式之間的網頁內容傳輸 | Microsoft Edge | iOS/iPadOS、Android | |
| 功能 | 組織資料通知 | 區塊組織資料 | iOS/iPadOS、Android | 關於支援此設定的應用程式清單,請參閱 iOS 應用程式保護政策設定與Android 應用程式保護政策設定。 |
條件式啟動
| 設定 | 場景描述 | 價值 / 行動 | 平台 | 附註 |
|---|---|---|---|---|
| 應用程式條件 | 失效帳號 | 不適用 / 封鎖存取權 | iOS/iPadOS、Android、Windows | |
| 應用程式條件 | 離線寬限期 | 30 / 清除資料 (天) | iOS/iPadOS、Android、Windows | |
| 裝置條件 | 最低作業系統版本 |
格式:主。副建。建置 範例:14.8 / 區塊存取 |
iOS/iPadOS | Microsoft 建議設定 iOS 主版本的最低標準,以符合 Microsoft 應用程式支援的 iOS 版本。 Microsoft 應用程式支援 N-1 方式,其中 N 是目前 iOS 的主要版本。 對於次要及建構版本值,Microsoft 建議確保裝置已更新相應的安全更新。 請參閱 Apple 最新安全更新 |
| 裝置條件 | 最低作業系統版本 |
格式:大調.小調 範例:9.0 / 區塊存取 |
Android | Microsoft 建議將 Android 的主要版本設定為與 Microsoft 應用程式支援的 Android 版本相符。 遵循 Android Enterprise 建議需求的 OEM 及裝置必須支援當前發行版本 + 一個字母升級。 目前,Android 推薦知識工作者使用 Android 9.0 及以後版本。 請參閱 Android Enterprise 推薦需求 以了解 Android 最新建議 |
| 裝置條件 | 最低作業系統版本 |
賽制:建造 範例:10.0.26200.6899 / 區塊存取 |
Windows | Microsoft 建議將最小 Windows 建置設定為與支援的 Windows 版本相符的 Microsoft 應用程式。 目前,Microsoft 建議採用以下版本:
|
| 裝置條件 | 最小補丁版本 |
格式:YYYY-MM-DD 範例:2020-01-01 / 封鎖存取 |
Android | Android 裝置可以每月收到安全修補程式,但更新時間取決於 OEM 廠商和/或電信業者。 組織應確保部署的 Android 裝置在實施此設定前會收到安全更新。 最新修補程式可參考 Android 安全公告 。 |
| 裝置條件 | 必須的 SafetyNet 評估類型 | 硬體支援金鑰 | Android | 硬體支持的證明透過新增的 硬體支持 評估類型,強化了現有的 Google Play Integrity 服務檢查。 它提供更強的根偵測,以應對軟體解決方案無法可靠識別的新 root 工具與技術。 顧名思義,硬體支援認證使用硬體元件,隨安裝 Android 8.1 及更新版本的裝置而出貨。 從舊版 Android 升級到 Android 8.1 的裝置,通常不會具備硬體支援所需的硬體元件。 雖然此設定應從搭載 Android 8.1 的裝置開始廣泛支援,但 Microsoft 強烈建議在廣泛啟用此政策前,先個別測試裝置。 |
| 裝置條件 | 要求裝置鎖定 | 中型/區塊存取 | Android | 此設定確保 Android 裝置的密碼符合最低密碼要求。 |
| 裝置條件 | 三星諾克斯裝置認證 | 封鎖存取 | Android | Microsoft 建議將 Samsung Knox 裝置認證 設定設定為 「阻擋存取 」,以確保若裝置未符合三星基於 Knox 硬體的裝置健康驗證,使用者帳號將被封鎖。 此設定驗證所有 Intune MAM 用戶端對 Intune 服務的回應皆來自健康裝置。 此設定適用於所有被鎖定的裝置。 若要只套用此設定給三星裝置,可以使用「受管理應用程式」指派篩選器。 欲了解更多關於指派篩選器的資訊,請參閱在 Microsoft Intune 中指派應用程式、政策與設定檔時使用篩選器。 |
注意事項
Windows 的條件啟動設定標示為 健康檢查。
第三級企業高資料保護
第三層級是推薦給擁有大型且先進安全組織的組織,或針對特定使用者與群體,這些使用者和群體將成為攻擊者獨特目標的標準資料保護配置。 這類組織通常會受到資金充足且技術精明的對手攻擊,因此需要額外的限制與控制措施。 此配置在第二層的配置基礎上擴展,限制更多資料傳輸情境,增加 PIN 配置的複雜度,並新增行動威脅偵測功能。
重要事項
第三層強制執行的政策設定包含了第二層所有建議的政策設定,但僅列出那些已新增或變更以實施更多控制與更複雜配置的設定。 這些政策設定可能對使用者或應用程式產生重大影響,強制執行與目標組織面臨風險相稱的安全等級。
資料保護
| 設定 | 場景描述 | 值 | 平台 | 附註 |
|---|---|---|---|---|
| 資料傳輸 | 傳輸電信資料至 | 任何政策管理的撥號器應用程式 | Android | 管理員也可以設定此設定,使用不支援應用程式保護政策的撥號器應用程式,方法是選擇 特定的撥號器應用程式 ,並提供 撥號器應用程式套件 ID 與 撥號器應用程式名稱 值。 |
| 資料傳輸 | 傳輸電信資料至 | 專用撥號器應用程式 | iOS/iPadOS | |
| 資料傳輸 | 撥號應用程式網址方案 | replace_with_dialer_app_url_scheme | iOS/iPadOS | 在 iOS/iPadOS 上,這個值必須替換成所使用的自訂撥號器應用程式的 URL 方案。 如果不知道該 URL 方案,請聯絡應用程式開發者以獲得更多資訊。 欲了解更多關於 URL 方案的資訊,請參閱 「為您的應用程式定義自訂 URL 方案」。 |
| 資料傳輸 | 接收來自其他應用程式的資料 | 受原則管理的應用程式 | iOS/iPadOS、Android | |
| 資料傳輸 | 將開放資料整合進組織文件 | 封鎖 | iOS/iPadOS、Android | |
| 資料傳輸 | 允許使用者從特定服務開啟資料 | 商務用 OneDrive、SharePoint、相機、照片庫 | iOS/iPadOS、Android | 相關資訊請參閱 Android 應用程式保護政策設定 及 iOS 應用程式保護政策設定。 |
| 資料傳輸 | 第三方鍵盤 | 封鎖 | iOS/iPadOS | 在 iOS/iPadOS 上,這會阻止所有第三方鍵盤在應用程式內運作。 |
| 資料傳輸 | 核准鍵盤 | 需 | Android | |
| 資料傳輸 | 選擇可核對的鍵盤 | 新增/移除鍵盤 | Android | 在 Android 中,鍵盤必須根據你部署的 Android 裝置選擇才能使用。 |
| 功能 | 列印組織資料 | 封鎖 | iOS/iPadOS、Android、Windows |
進入要求
| 設定 | 值 | 平台 |
|---|---|---|
| 簡單 PIN 碼 | 封鎖 | iOS/iPadOS、Android |
| 選擇最小密碼長度 | 6 | iOS/iPadOS、Android |
| PIN 碼在幾天後重置 | 是 | iOS/iPadOS、Android |
| 天數 | 365 | iOS/iPadOS、Android |
| Android 9.0+ (三級生物識別) | 需 | Android |
| 在生物識別更新後,會用 PIN 來覆蓋生物識別 | 需 | Android |
條件式啟動
| 設定 | 場景描述 | 價值 / 行動 | 平台 | 附註 |
|---|---|---|---|---|
| 裝置條件 | 要求裝置鎖定 | 高樓/區塊通道 | Android | 此設定確保 Android 裝置的密碼符合最低密碼要求。 |
| 裝置條件 | 裝置允許的最大威脅等級 | 安全/封鎖存取 | Windows | |
| 裝置條件 | 越獄/被 root 的裝置 | 不該 / 清除資料 | iOS/iPadOS、Android | |
| 裝置條件 | Max 允許的威脅等級 | 安全/封鎖存取 | iOS/iPadOS、Android | 未註冊的裝置可利用行動威脅防禦(Mobile Threat Defense)進行威脅檢查。 欲了解更多資訊,請參閱 未註冊裝置的行動威脅防禦(Mobile Threat Defense)。 若裝置已註冊,則可跳過此設定,轉而部署行動威脅防禦(Mobile Threat Defense)以支援已註冊裝置。 欲了解更多資訊,請參閱已 註冊裝置的行動威脅防禦(Mobile Threat Defense)。 |
| 裝置條件 | 最高作業系統版本 |
格式:大調.小調 範例:11.0 / 區塊存取 |
Android | Microsoft 建議設定 Android 的主要版本,以確保不會使用測試版或不支援版本的作業系統。 請參閱 Android Enterprise 推薦需求 以了解 Android 最新建議 |
| 裝置條件 | 最高作業系統版本 |
格式:主。副建。建置 範例:15.0 / 區塊存取 |
iOS/iPadOS | Microsoft 建議設定 iOS/iPadOS 最大主要版本,以確保不會使用測試版或不支援版本的作業系統。 請參閱 Apple 最新安全更新 |
| 裝置條件 | 最高作業系統版本 |
格式:大調.小調 範例:22631。 / 封鎖存取權 |
Windows | Microsoft 建議設定 Windows 的主要版本,以確保不會使用測試版或不支援版本的作業系統。 |
| 裝置條件 | 三星諾克斯裝置認證 | 抹除資料 | Android | Microsoft 建議將 Samsung Knox 裝置認證 設定設定為 清除資料 ,以確保若裝置未符合三星硬體硬體的裝置健康驗證,組織資料會被移除。 此設定驗證所有 Intune MAM 用戶端對 Intune 服務的回應皆來自健康裝置。 此設定將適用於所有目標裝置。 若要只套用此設定給三星裝置,可以使用「受管理應用程式」指派篩選器。 欲了解更多關於指派篩選器的資訊,請參閱在 Microsoft Intune 中指派應用程式、政策與設定檔時使用篩選器。 |
後續步驟
管理員可透過匯入應用程式保護政策組態框架範例範本,將上述組態層級納入其環部署方法論中,用於測試與生產環境使用,Intune Intune 的 PowerShell 腳本。