MAM 和應用程式保護的常見問題集

MAM 概覽

應用程式防護原則是確保組織資料保持安全或包含在受管理應用程式中的規則。 原則是當使用者嘗試存取或移動「公司」資料時，Intune 會強制執行的規則。 它也可以定義 Intune 在使用者在應用程式中時封鎖或監視的動作。

如需每個應用程式保護原則設定的詳細資訊，請參閱 Android 應用程式保護原則設定 和 iOS/iPadOS 應用程式保護原則設定。

如果您將 MAM 原則套用至使用者，但未設定裝置管理狀態，使用者會在個人裝置上取得 MAM 原則，也稱為自備裝置 (BYOD) ，以及 Intune 受控裝置。 您也可以根據裝置管理狀態套用 MAM 原則。 因此，當您建立應用程式保護原則時，在 [以所有裝置類型上的應用程式為目標] 旁邊，您會選取 [否]。 然後選擇下列其中一個選項：

• 將較不嚴格的 MAM 原則套用至 Intune 受管理的裝置，並將更嚴格的 MAM 原則套用至未註冊 MDM 的裝置。
• 將同樣嚴格的 MAM 原則套用至 Intune 受控裝置和非 Microsoft 受控裝置。
• 僅將 MAM 原則套用至未註冊的裝置。

如需詳細資訊，請參閱 如何監視應用程式保護原則。

任何與 Intune 應用程式 SDK 整合或由 Intune App Wrapping Tool 包裝的應用程式都可以使用 Intune 應用程式保護原則來管理。 請參閱可公開使用的 Intune 管理的應用程式官方清單。

• 使用者必須擁有 Microsoft Entra 帳戶。 如需如何在 Microsoft Entra ID 中建立 Intune 使用者的詳細資訊，請參閱 新增使用者並將系統管理許可權授與 Intune。

• 使用者必須將 Microsoft Intune 授權指派給其 Microsoft Entra 帳戶。 如需如何將 Intune 授權指派給終端使用者的詳細資訊，請參閱 管理 Intune 授權。

• 使用者必須屬於應用程式保護原則所針對的安全性群組。 相同的應用程式保護原則必須針對所使用的特定應用程式。 您可以在 Microsoft Intune 系統管理中心建立和部署應用程式防護原則。 安全性群組目前可以在 Microsoft 365 系統管理中心建立。

• 使用者必須使用其 Microsoft Entra 帳戶登入應用程式。

Intune SDK 開發小組會主動測試並維護使用原生 Android、iOS/iPadOS (Obj-C、Swift) 、Xamarin 和 Xamarin 建置的應用程式支援。Forms 平台。 某些客戶成功將 Intune SDK 與其他平臺整合，例如 React Native 和 NativeScript。 不過，Microsoft 不會為支援的平臺以外的平臺提供指引或外掛程式。

Intune 應用程式 SDK 可以使用 Microsoft 驗證程式庫進行驗證和條件式啟動案例。 它也會依賴 MSAL 向 MAM 服務註冊使用者身分識別，以進行管理，而不需要裝置註冊案例。

• 終端使用者必須在其裝置上安裝 Outlook 行動應用程式 。

• 終端使用者必須有 Microsoft 365 Exchange Online 信箱，並連結至其 Microsoft Entra 帳戶的授權。

  注意事項

  Outlook 行動應用程式目前僅支援具有混合式新式驗證的 Microsoft Exchange Online 和 Exchange Server 的 Intune 應用程式保護，而且不支援 Office 365 專用版中的 Exchange。

• 使用者必須擁有連結至其 Microsoft Entra 帳戶的 Microsoft 365 Apps 商務版或企業版授權。 訂閱必須包含行動裝置上的 Office 應用程式，而且可以包含具有 OneDrive 雲端儲存空間和商務檔案共用的雲端儲存體帳戶。 您可以遵循這些指示，在 Microsoft 365 系統管理中心中指派 Microsoft 365 授權。

• 使用者必須使用「儲存組織資料複本」應用程式保護原則設定下的細微另存新檔功能來設定受控位置。 例如，如果受控位置是 OneDrive，則應該在使用者的 Word、Excel 或 PowerPoint 應用程式中設定 OneDrive 應用程式。

• 如果受控位置是 OneDrive，則應用程式必須以部署至終端使用者的應用程式保護原則為目標。

  注意事項

  Office 行動應用程式目前僅支援 SharePoint Online，而不支援內部部署 SharePoint。

Intune 會將應用程式中的所有數據標示為「公司」或「個人」。當資料源自營業地點時，該資料被視為「公司」。 針對 Office 應用程式，Intune 會將電子郵件 (Exchange) ，以及 OneDrive) (雲端儲存體視為商務位置。

請參閱 商務商務用 Skype 授權需求。 如需商務用 Skype (SfB) 混合式和內部部署設定，請參閱 SfB 和 Exchange 的混合式新式驗證 GA 和 SfB 內部部署的新式驗證 （分別使用Microsoft Entra識別碼）。

多重身分識別支援是 Intune 應用程式 SDK 只將應用程式保護原則套用至登入應用程式的公司或學校帳戶的能力。 如果個人帳戶已登錄應用程序，則數據不會受到影響。

多重身分識別支援可讓應用程式同時具有「公司」和取用者物件 (也就是說，Office 應用程式) 公開發行，並針對「公司」帳戶提供 Intune 應用程式保護功能。

由於 Outlook 具有個人和「公司」電子郵件的合併電子郵件檢視，因此 Outlook 應用程式會在啟動時提示輸入 Intune PIN。

個人識別碼 (PIN) 是用於驗證正確的使用者正在存取應用程式中組織資料的密碼。

當使用者即將存取「公司」數據時，Intune 會提示使用者輸入應用程式 PIN。 在 Word/Excel/PowerPoint 等多重身分識別應用程式中，當使用者嘗試開啟「公司」檔或檔案時，系統會提示使用者輸入 PIN。 在單一身分識別應用程式中，例如使用 Intune App Wrapping Tool 管理的企業營運應用程式，啟動時會提示 PIN，因為 Intune 應用程式 SDK 知道使用者在應用程式中的體驗一律是「公司」。

IT 系統管理員可以在 Microsoft Intune 系統管理中心定義 Intune 應用程式保護原則設定 [) (分鐘後重新檢查存取需求]。 此設定指定在裝置上檢查存取需求之前的時間量，並再次顯示應用程式 PIN 畫面。 不過，影響使用者提示頻率的 PIN 重要詳細資料如下：

• PIN 碼會在相同發行商的應用程式之間共用，以提高可用性： 在 iOS/iPadOS 上，一個應用程式 PIN 會在 相同應用程式發行者的所有應用程式之間共用。 在 Android 上，所有應用程式會共用一個應用程式 PIN。
• 裝置重新啟動後的「 (分鐘後重新檢查存取需求) 」行為： 「PIN 計時器」會追蹤閒置的分鐘數，以決定下次顯示 Intune 應用程式 PIN 的時間。 在 iOS/iPadOS 上，PIN 計時器不會受到裝置重新啟動的影響。 因此，裝置重新啟動不會影響使用者從具有 Intune PIN 原則的 iOS/iPadOS 應用程式處於非作用中的分鐘數。 在 Android 上，PIN 計時器會在裝置重新啟動時重設。 因此，無論 裝置重新啟動之後的 [) (分鐘後重新檢查存取需求] 設定值為何，具有 Intune PIN 原則的 Android 應用程式可能會提示應用程式 PIN。
• 與 PIN 相關聯的計時器的滾動性質： 一旦輸入 PIN 以存取應用程式 (應用程式 A) ，且應用程式會在裝置上離開前景 (主要輸入焦點) ，就會重設該 PIN 的 PIN 計時器。 共用此 PIN 碼 (應用程式 B) 的任何應用程式都不會提示使用者輸入 PIN 碼，因為計時器已重設。 一旦再次滿足「) (分鐘後重新檢查存取需求」值，提示將再次顯示。

在 iOS/iPadOS 裝置上，來自不同發行者的應用程式可以共用相同的 PIN。 不過，當達到 (分鐘後重新檢查存取需求) 值時，如果應用程式不是主要輸入焦點，Intune 會提示使用者輸入 PIN。 因此，例如，使用者擁有來自發行者 X 的應用程式 A，以及來自發行者 Y 的應用程式 B，而這兩個應用程式共用相同的 PIN。 使用者專注於應用程式 A (前景) ，而應用程式 B 會最小化。 符合 (分鐘後重新檢查存取需求) 值且使用者切換至應用程式 B 之後，將需要 PIN。

Intune PIN 會根據閒置型計時器 ([) (分鐘後重新檢查存取需求] 的值來運作 ) 。 因此，Intune PIN 提示會獨立於 Outlook 和 OneDrive 的內建應用程式 PIN 提示顯示，這些提示預設通常與應用程式啟動相關聯。 如果使用者同時收到兩個 PIN 提示，預期的行為應該是 Intune PIN 優先。

PIN 僅允許正確的用戶訪問其組織在應用程序中的數據。 因此，終端使用者必須先使用其公司或學校帳戶登入，才能設定或重設其 Intune 應用程式 PIN。 Microsoft Entra ID 會透過安全的權杖交換來處理此驗證，而且對 Intune 應用程式 SDK 不透明。 從安全性的角度來看，保護工作或學校資料的最佳方式是加密它。 加密與應用程式 PIN 無關，而是其自己的應用程式保護原則。

作為應用程式 PIN 原則的一部分，IT 系統管理員可以設定使用者在鎖定應用程式之前可以嘗試驗證其 PIN 的次數上限。 符合嘗試次數之後，Intune 應用程式 SDK 可以抹除應用程式中的「公司」數據。

iOS/iPadOS 上的 MAM 支援具有英數字元和特殊字元的應用程式層級 PIN， (稱為密碼) 。 若要強制執行密碼設定，Word、Excel、PowerPoint、Outlook、受控瀏覽器和 Yammer 等應用程式必須整合適用於 iOS/iPadOS 的 Intune 應用程式 SDK。 如果沒有此整合，Intune 就無法強制執行這些應用程式的密碼設定。 Intune 在適用於 iOS/iPadOS 的 SDK 7.1.12 版中引進了這項功能。

為了支援這項功能，並維持與舊版 iOS/iPadOS Intune SDK 的相容性，7.1.12 版和更新版本會處理所有 PIN (數字或密碼) ，與舊版中使用的數字 PIN 分開處理。 因此，如果裝置具有來自相同發行者的 7.1.12 之前和 7.1.12 之後的 Intune SDK for iOS/iPadOS 版本的應用程式，則必須設定兩個 PIN。

話雖這麼說，每個應用程序 (的兩個 PIN 碼) 沒有任何關聯。 他們必須遵守套用至應用程式的應用程式保護原則。 因此， 只有 當應用程式 A 和 B 在 PIN) 方面 (套用相同的原則時，使用者才能設定相同的 PIN 兩次。

此行為特定於已啟用 Intune 行動應用程式管理的 iOS/iPadOS 應用程式上的 PIN。 隨著時間推移，隨著應用程式採用適用於 iOS/iPadOS 的更新版本的 Intune SDK，必須在來自相同發行者的應用程式上設定 PIN 兩次，就會變成較少的問題。

IT 系統管理員可以部署需要加密應用程式資料的應用程式保護原則。 作為原則的一部分，IT 系統管理員也可以指定何時加密內容。

Intune 會根據加密的應用程式保護原則設定來加密資料。 如需詳細資訊，請參閱 Android 應用程式保護原則設定 和 iOS/iPadOS 應用程式保護原則設定。

只有標示為「公司」的資料才會根據 IT 系統管理員的應用程式保護原則進行加密。 當資料源自營業地點時，該資料被視為「公司」。 針對 Office 應用程式，Intune 會將電子郵件 (Exchange) ，以及 OneDrive) (雲端儲存體視為商務位置。 對於由 Intune App Wrapping Tool 管理的企業營運應用程式，所有應用程式資料都會被視為「公司」。

Intune 可以透過三種不同的方式抹除應用程式數據：完整裝置抹除、MDM 的選擇性抹除，以及 MAM 選擇性抹除。 如需 MDM 遠端抹除的詳細資訊，請參閱 使用抹除或淘汰移除裝置。 如需使用 MAM 選擇性抹除的詳細資訊，請參閱 淘汰動作 和 如何只從應用程式抹除公司資料。

抹除會 將裝置還原為原廠預設設定，從 裝置 移除所有使用者資料和設定。 裝置會從 Intune 中移除。

MDM 的選擇性抹除只會從裝置中移除公司資料，而不會影響個人資料。 如需詳細資訊，請參閱 移除裝置 - 淘汰。

MAM 的選擇性抹除只會從應用程式中移除公司應用程式資料。 要求是使用 Microsoft Intune 系統管理中心起始。 若要瞭解如何起始抹除要求，請參閱如何 只抹除應用程式中的公司資料。

如果使用者在起始選擇性抹除時使用應用程式，Intune 應用程式 SDK 會每 30 分鐘檢查一次來自 Intune MAM 服務的選擇性抹除要求。 當使用者第一次啟動應用程式並使用其公司或學校帳戶登入時，它也會檢查選擇性抹除。

Intune 應用程式保護取決於使用者的身分識別，以在應用程式與 Intune 應用程式 SDK 之間保持一致。 保證這一點的唯一方法是通過現代身份驗證。 在某些情況下，應用程式可能會使用內部部署設定，但它們不一致或保證。

是！ IT 系統管理員可以部署和設定 Microsoft Edge 應用程式的應用程式保護原則。 IT 系統管理員可以要求使用 Microsoft Edge 應用程式開啟 Intune 管理應用程式中的所有 Web 連結。

公司入口網站應用程式和 Intune 應用程式保護

Intune 應用程式保護原則會以特定順序套用在使用者裝置上，因為他們嘗試從其公司帳戶存取目標應用程式。 一般來說，封鎖會優先，然後是可關閉的警告。 舉例來說，如果適用於特定使用者/應用程式，則會在封鎖使用者存取的最低 Android 修補程式版本設定之後套用警告使用者進行修補程式升級的最低 Android 修補程式版本設定。 因此，在 IT 系統管理員將最低 Android 修補程式版本設定為 2018-03-01，並將最低 Android 修補程式版本 (警告僅) 為 2018-02-01 的情況下，而嘗試存取應用程式的裝置位於修補程式版本 2018-01-01 上，使用者會根據最低 Android 修補程式版本的更嚴格設定來封鎖，這會導致封鎖存取。

處理不同類型的設定時，應用程式版本要求會優先，其次是 Android 作業系統版本要求和 Android 修補程式版本要求。 然後，會檢查相同順序中所有類型設定的任何警告。

Intune 服務會以服務負載所決定的不可設定間隔連絡 Google Play。 任何 IT 系統管理員針對 Google Play 裝置完整性檢查設定設定的動作，都會根據條件式啟動時向 Intune 服務報告的最後結果來採取。 如果 Google 的裝置完整性結果符合規定，系統不會採取任何行動。 如果 Google 的裝置完整性結果不符合規定，系統會立即採取 IT 管理員設定的動作。 如果 Google Play 裝置完整性檢查的要求因任何原因而失敗，上一個要求的快取結果最多會在 24 小時或下次裝置重新啟動時使用 （以先到者為準）。 此時，Intune 應用程式保護原則會封鎖存取，直到取得目前的結果為止。

有關如何執行此操作的說明因設備而異。 一般過程包括前往 Google Play 商店，然後點擊 我的應用程式 & 遊戲，點擊上次應用程式掃描的結果，這將帶您進入 Play 保護選單。 確保掃描 裝置安全威脅 的切換開關已開啟。

Intune 會套用 Google Play 完整性 API，以新增至我們現有的未註冊裝置根偵測檢查。 Google 開發並維護了此 API 集，供 Android 應用程式在不希望其應用程式在 root 裝置上運行時採用。 例如，Android Pay 應用程序就融入了這一點。 雖然 Google 不會公開進行 root 偵測檢查，但我們預期這些 API 能偵測出已將裝置 root 設定的使用者。 然後，可以阻止這些使用者存取，或從其已啟用原則的應用程式中抹除其公司帳戶。 「檢查基本完整性」會告訴您裝置的一般完整性。 Root 裝置、模擬器、虛擬裝置和有竄改跡象的裝置會失敗基本完整性。 「檢查經過認證 & 裝置的基本完整性」會告訴您裝置與 Google 服務的相容性。 只有經過 Google 認證的未修改設備才能通過此檢查。 失敗的裝置包括：

• 無法達到基本完整性的裝置
• 具有未解鎖引導載入程式的裝置
• 具有自訂系統映像/ROM 的裝置
• 製造商未申請或未通過 Google 認證的裝置
• 具有直接從 Android 開放原始碼計畫原始檔建置的系統映像檔的裝置
• 具有 Beta 版/開發人員預覽版系統映像檔的裝置

如需技術詳情，請參閱 Google 的 Play Integrity API 說明文件 。

Google Play Integrity API 檢查要求使用者在線上，至少在執行判斷證明結果的「來回」期間。 如果終端使用者離線，IT 系統管理員仍可預期會從「越獄/root 裝置」設定強制執行結果。 話雖如此，如果終端使用者離線時間過長，「離線寬限期」值就會發揮作用，一旦達到該計時器值，就會封鎖對公司或學校資料的所有存取，直到網路存取可用為止。 開啟這兩個設定可讓您採用分層方法來讓使用者裝置保持正常狀態，這在使用者在行動裝置上存取公司或學校資料時很重要。

「Play 完整性判定」和「應用程式威脅掃描」設定都需要 Google 確定的 Google Play 服務版本才能正常運作。 由於這些設定屬於安全性區域，因此如果使用者是這些設定的目標，且不符合適當的 Google Play 服務版本，或無法存取 Google Play 服務，則會封鎖他們。

Intune 應用程式保護原則只允許控制 Intune 授權使用者的應用程式存取。 控制對應用程序的訪問的方法之一是在支持的設備上要求 Apple 的 Touch ID 或 Face ID。 Intune 會實作一種行為，如果裝置的生物特徵辨識資料庫有任何變更，Intune 會在符合下一個閒置逾時值時提示使用者輸入 PIN。 生物特徵資料的變更包括新增或移除指紋或臉部。 如果 Intune 使用者未設定 PIN，系統會引導他們設定 Intune PIN。

這樣做的目的是繼續在應用程式層級保護應用程式內組織的資料安全並受到保護。 這項功能僅適用於 iOS/iPadOS，而且需要整合適用於 iOS/iPadOS 的 Intune APP SDK 9.0.1 版或更新版本的應用程式參與。 必須整合 SDK，才能在目標應用程式上強制執行行為。 這種整合是滾動式進行的，並且取決於特定的應用程式團隊。 一些參與的應用程序包括 WXP、Outlook、Managed Browser 和 Yammer。

Intune 應用程式保護原則無法控制 iOS 共用延伸模組，而不管理裝置。 因此，Intune 會在 應用程式外部共用「公司」資料之前加密它。 您可以嘗試在受控應用程式外部開啟「公司」檔案來驗證這一點。 檔案應該已加密，且無法在受控應用程式外部開啟。

當使用者嘗試從其公司帳戶存取目標應用程式時，會以特定順序套用在使用者裝置上的 Intune 應用程式保護原則。 一般而言，清除會優先，然後是封鎖，然後是可關閉的警告。 例如，如果適用於特定使用者/應用程式，則會在封鎖使用者存取的最小 iOS/iPadOS 作業系統設定之後套用警告使用者更新其 iOS/iPadOS 版本的最低 iOS/iPadOS 作業系統設定。 因此，在 IT 系統管理員將最低 iOS/iPadOS 作業系統設定為 11.0.0.0 且最低 iOS/iPadOS 作業系統 (警告僅) 為 11.1.0.0 的情況下，當嘗試存取應用程式的裝置位於 iOS/iPadOS 10 上時，使用者會根據最低 iOS/iPadOS 作業系統版本的更嚴格設定來封鎖，這會導致封鎖存取。

處理不同類型的設定時，Intune 應用程式 SDK 版本需求會優先，然後是應用程式版本需求，然後是 iOS/iPadOS 作業系統版本需求。 然後，會檢查相同順序中所有類型設定的任何警告。 建議您只在 Intune 產品小組的指引下設定 Intune 應用程式 SDK 版本需求，以取得基本封鎖案例。

另請參閱

• 部署 Intune
• 建立首度部署計劃
• Microsoft Intune 中的 Android 行動應用程式管理原則設定
• iOS/iPadOS 行動應用程式管理原則設定
• 應用程式防護原則重新整理
• 驗證您的應用程式保護原則
• 為未注冊裝置的受管理應用程式新增應用程式設定原則
• 如何在 Microsoft Intune 中取得支援