2025 年 10 月 14 日,Windows 10 終止支援,不會收到品質和功能更新。 Windows 10 是 Intune 中允許的版本。 執行此版本的裝置仍然可以在 Intune 中註冊並使用符合資格的功能,但無法保證功能,而且可能會有所不同。
您可以啟用受保護的行動應用程式管理 (MAM) 存取個人 Windows 裝置上的組織資料。 此功能使用下列功能:
- Intune 應用程式設定原則 (ACP) ,以自訂組織使用者體驗
- Intune 應用程式保護原則,以保護組織數據並確保用戶端裝置狀況良好
- Windows 安全性中心用戶端威脅防禦與 Intune APP 整合,以偵測個人 Windows 裝置上的本機健康情況威脅
- 應用程式保護條件式存取,以確保裝置受到保護且狀況良好,再透過 Microsoft Entra ID 授與受保護的服務存取權
注意事項
適用於 Windows 的 Intune 行動應用程式管理 (MAM) 適用於 Windows 10、組建 19045.3636 KB5031445 或更新版本,以及Windows 11組建 10.0.22621.2506 KB5031455 (22H2) 或更新版本。 這包括 Microsoft Intune (2309 版本Microsoft) 、適用於 Windows) 和 Windows 安全性 Center (v 1.0.2310.2002 和更新版本) 的 Edge (穩定版和擴充穩定版的支援變更。 應用程式保護條件式存取已正式推出。
政府雲端環境支援 Windows MAM。 如需相關資訊,請參閱 在 GCC High 和 DoD 環境中使用 Intune 部署應用程式。
如需 MAM 的詳細資訊,請參閱 行動應用程式管理 (MAM) 基本概念。
注意事項
Windows 安全性 Center (WSC) 元件的行動威脅防禦 (MTD) 連接器僅在 Windows 11 版本 22631 (23H2) 或更新版本上受支援。
使用者和組織都需要從個人裝置存取受保護的組織存取。 組織需要確保公司數據在個人、非託管設備上受到保護。 身為 Intune 系統管理員,您有責任判斷組織的成員 (終端使用者) 如何以受保護的方式從未受控裝置存取公司資源。 您必須確保在存取組織數據時,非受控裝置狀況良好、應用程式遵守組織數據的保護原則,以及使用者在其裝置上的非受控資產不會受到組織原則的影響。
身為 Intune 系統管理員,您必須具有下列應用程式管理功能:
- 能夠將應用程式保護原則部署至 Intune APP SDK 保護的應用程式/使用者,包括下列項目:
- 資料保護設定
- 健康情況檢查 (又稱條件啟動) 設定
- 能夠透過條件式存取來要求應用程式保護原則
- 能夠執行下列動作,透過 Windows 安全性中心執行其他用戶端健康情況驗證:
- 指定 Windows 安全性中心風險層級,以允許終端使用者存取公司資源
- 設定租用戶型連接器至 Microsoft Intune for Windows 安全性中心
- 能夠將選擇性抹除命令部署至受保護的應用程式
組織成員 (使用者) 期望其帳戶具有下列功能:
- 能夠登入 Microsoft Entra ID 以存取受條件式存取保護的網站
- 能夠驗證用戶端裝置的健康情況狀態,以防裝置被視為狀況不良
- 能夠在裝置狀況不良時撤銷資源的存取權
- 當存取由管理員原則控制時,能夠透過明確的補救步驟獲得通知
注意事項
如需 Microsoft Entra ID 的相關資訊,請參閱 需要 Windows 裝置上的應用程式保護原則。
條件式存取合規性
防止資料遺失是保護組織資料的一部分。 資料外洩防護 (DLP) 只有在無法從任何未受保護的系統或裝置存取您的組織資料時才有效。 應用程式保護條件式存取會使用條件式存取 (CA) 來確保用戶端應用程式中支援並強制執行應用程式保護原則,再允許存取受保護的資源 (例如組織資料) 。 應用程式保護條件式存取將允許具有個人 Windows 裝置的終端使用者使用應用程式保護原則受控應用程式,包括 Microsoft Edge,來存取 Microsoft Entra 資源,而無需完全管理其個人裝置。
此 MAM 服務會將每個使用者、每個應用程式和每個裝置的合規性狀態同步至 Microsoft Entra CA 服務。 這包括從 Windows 安全性 Center 開始的 Mobile Threat Defense (MTD) 供應商收到的威脅資訊。
注意事項
此 MAM 服務會使用相同的條件式存取合規性工作流程,用來 管理 iOS 和 Android 裝置上的 Microsoft Edge。
偵測到變更時,MAM 服務會立即更新裝置合規性狀態。 此服務也包含 MTD 健康情況狀態,作為合規性狀態的一部分。
注意事項
MAM 服務會評估服務中的 MTD 狀態。 這是獨立於 MAM 用戶端和用戶端平臺完成的。
MAM 用戶端會在簽入時將用戶端健康狀態 (或健康情況中繼資料) 傳達給 MAM 服務。 健康情況狀態包括封鎖或抹除條件的 APP 健康情況檢查的任何失敗。 此外,Microsoft Entra ID 會在使用者嘗試存取封鎖的 CA 資源時,引導使用者完成補救步驟。
條件式存取合規性
組織可以使用 Microsoft Entra 條件式存取原則來確保使用者只能使用 Windows 上的原則受控應用程式來存取公司或學校內容。 若要這樣做,您需要以所有潛在使用者為目標的條件式存取原則。 請遵循 在 Windows 裝置上需要應用程式保護原則中的步驟,這會允許適用於 Windows 的 Microsoft Edge,但會封鎖其他網頁瀏覽器連線到 Microsoft 365 端點。
使用條件式存取,您也可以透過 Microsoft Entra 應用程式 Proxy 將向外部使用者公開的內部部署網站設為目標。
如需詳細資訊,請參閱使用 Microsoft Entra 應用程式 Proxy 為遠端使用者發佈內部部署應用程式
威脅防禦健全狀況
在允許存取您的組織資料之前,會先驗證個人擁有裝置的健康狀態。 MAM 威脅偵測可以與 Windows 安全性中心連線。 Windows 安全性中心會透過服務對服務連接器,為 Intune APP 提供用戶端裝置健康情況評定。 此評定支援流量的閘控,以及個人非受控裝置上的組織資料存取。
健康情況狀態包括下列詳細數據:
- 使用者、應用程式和裝置識別碼
- 預先定義的健康情況狀態
- 上次健康情況狀態更新的時間
健康情況狀態只會傳送給 MAM 註冊的使用者。 使用者可以在受保護的應用程式中登出其組織帳戶,以停止傳送資料。 系統管理員可以從 Microsoft Intune 移除 Windows 安全性連接器,以停止傳送數據。
如需相關資訊,請參閱 建立 Windows 的 MTD 應用程式保護原則。
建立 Inunte 應用程式防護原則
應用程式防護原則會定義允許哪些應用程式,以及它們可以對組織的資料採取哪些動作。 應用程式保護原則中可用的選項可讓組織根據其特定需求量身打造保護。 對部分使用者而言,實作完整案例所需的原則設定可能不明顯。
身為系統管理員,您可以設定如何透過應用程式保護原則來保護資料。 此設定適用於原生 Windows 應用程式與資料的互動。 應用程式防護原則設定會分成三個類別:
- 資料保護 - 這些設定可控制資料如何移入和移出使用者的帳戶、文件、位置、服務) (組織內容。
- 條件式啟動) (運作狀態檢查 - 這些設定可控制存取組織資料所需的裝置條件,以及如果不符合條件,則 (修復動作) 。
為了幫助組織確定客戶端點強化的優先級,Microsoft 為其應用程序保護策略引入了分類 數據保護框架 用於移動應用程序管理。
若要查看每個設定層級的特定建議,以及必須保護的最低應用程式,請檢閱 使用應用程式防護原則的資料保護架構。
如需可用設定的詳細資訊,請參閱 Windows 應用程式保護原則設定。