應用程式保護政策概述

Intune 應用程式保護政策確保組織資料安全或被管理於受管理的應用程式中。 這些政策讓您能控制行動裝置應用程式如何存取和分享資料。 當使用者嘗試存取或移動「企業」資料時，政策可以強制執行規則。 它也可能禁止或監控使用者在應用程式內的行為。 Intune 中的受管理應用程式是指受保護的應用程式，Intune 會套用應用程式保護政策並管理該應用程式。

Intune 應用程式保護政策提供多項好處。 這些好處包括在不需裝置註冊的情況下保護企業資料，以及控制應用程式如何存取與分享資料。

使用 Microsoft Intune 應用程式保護政策的範例包括：

• 在行動裝置上存取企業電子郵件時，要求輸入 PIN 碼或指紋
• 防止使用者將企業資料複製貼上到個人應用程式中
• 限制企業資料存取權僅限於核准應用程式

Intune MAM 管理許多生產力應用程式，例如 Microsoft 365 (Office) 應用程式。 請參閱可公開使用的 Microsoft Intune 受保護應用程式官方清單。

如何保護應用程式資料

您的員工會使用行動裝置來處理個人和工作事務。 在確保員工能有效率的同時，也要防止資料外洩。 這包括有意與無意的資料遺失。 同時也要保護那些非你管理的裝置存取的公司資料。

你可以獨立於任何行動裝置管理 (MDM) 解決方案使用Intune應用程式保護政策。 無論是否在裝置備管理解決方案中註冊裝置，這種獨立性可以幫助您保護公司的資料。 透過實施 應用程式層級的政策，您可以限制對公司資源的存取，並將資料保留在 IT 部門的管轄範圍內。

裝置上的應用程式防護原則

為以下裝置上執行的應用程式設定應用程式保護政策：

• 註冊於 Microsoft Intune：這些裝置通常是企業擁有的。

• 已加入非Microsoft的行動裝置管理 (MDM) 解決方案： 這些裝置通常是企業擁有的。

  注意事項

  行動應用程式管理政策不應與非 Microsoft 的行動應用程式管理或安全容器解決方案一起使用。

• 未加入任何行動裝置管理解決方案：這些裝置通常是員工擁有的裝置，未被管理或註冊於 Intune 或其他 MDM 解決方案中。

使用應用程式防護原則的好處

使用應用程式保護政策的重要好處如下：

• 在應用程式層級保護公司資料。 因為行動應用程式管理不需要裝置管理，請保護公司資料在受管理與非受管理裝置上。 此管理會以使用者身分識別為中心，這會對移除裝置管理的需求。

• 使用者生產力不受影響，且在個人情境下使用應用程式時，政策也不會適用。 Intune 僅在工作情境中執行政策，讓您能在不觸及個人資料的情況下保護公司資料。

• 應用程式防護政策確保應用程式層的保護措施已經到位。 例如：

  • 需要 PIN 碼才能在工作內容中開啟應用程式
  • 控制應用程式之間的資料共用
  • 防止將公司應用程式資料儲存到個人儲存位置

• 結合 MAM 的 MDM 確保裝置受到保護。 例如，要求輸入 PIN 才能存取裝置，或部署受管應用程式到裝置。 同時也透過你的 MDM 解決方案部署應用程式到裝置，讓管理應用程式有更多控制權。

搭配應用程式保護政策的 MDM 有更多好處，企業可以同時使用有或不使用 MDM 的應用程式保護政策。 舉例來說，考慮一位員工同時使用公司配發的手機和自己的平板電腦。 公司手機已在 MDM 中註冊，並且受到應用程式防護原則保護。 個人裝置僅受應用程式保護政策保護。

如果你對使用者套用 MAM 政策但未設定裝置狀態，使用者會同時取得 MAM 政策， (帶自己的裝置) ，以及Intune管理裝置。 同時也會根據裝置管理狀態套用 MAM 政策。 欲了解更多資訊，請參閱 基於裝置管理狀態的目標應用程式保護政策。 當你建立應用程式保護政策時，請在所有應用程式類型中選擇「目標」旁邊的「否」。 接著，請做以下任一項：

• 將較不嚴格的 MAM 原則套用至 Intune 受管理的裝置，並將更嚴格的 MAM 原則套用至未註冊 MDM 的裝置。
• 僅將 MAM 原則套用至未註冊的裝置。

應用程式防護原則支援的平臺

Intune 提供一系列功能，可協助您在您想要的裝置上，取得所需的應用程式。 欲了解更多資訊，請參閱 依平台管理應用程式的能力。

Intune 應用程式保護政策平台支援與 Office 行動應用程式平台對 Android 及 iOS/iPadOS 裝置的支援相符。 詳情請參閱 Office 系統需求中的行動應用程式章節。

另外，為 Windows 裝置建立應用程式保護政策。 詳情請參閱 Windows 裝置的應用程式防護體驗。

應用程式防護政策資料保護框架

應用程式保護政策中的選擇，使組織能依其特定需求量身打造保護。 對某些人來說，實施完整情境可能需要哪些政策設定並不明顯。 為協助組織優先強化行動用戶端端點，Microsoft 為其應用程式保護政策——iOS 與 Android 行動應用程式管理的資料保護框架引入了分類法。

應用程式保護政策的資料保護框架組織為三個不同的設定層級，每個層級都建立在前一層之上：

• 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密，並執行選擇性抹除作業。 針對 Android 裝置，此層級會驗證 Android 裝置證明。 第一層組態是一種入門級配置，提供類似的資料保護控制Exchange Online信箱政策，並引入 IT 與使用者群體至 APP。
• 企業級強化資料保護 (第二級) 引入應用程式保護政策、資料外洩防止機制及最低作業系統要求。 第二層配置適用於大多數存取工作或學校資料的行動使用者。
• 企業級高資料保護 (三級) 引入先進的資料保護機制、強化的PIN配置，以及應用程式保護政策——行動威脅防禦。 對於存取高風險資料的使用者來說，第三層級配置是理想的。

若要查看每個設定層級的特定建議，以及必須保護的最低應用程式，請檢閱 使用應用程式防護原則的資料保護架構。

應用程式保護政策如何保護應用程式資料

沒有應用程式防護原則的應用程式

當你使用無限制的應用程式時，公司與個人資料可能會混淆。 公司資料最終可能會位於個人儲存體等位置，或傳輸至您 Purview 以外的應用程式，並導致資料遺失。 下列圖表的箭號顯示公司和個人應用程式之間，以及儲存體位置之間的不受限制資料移動。

使用應用程式防護原則的資料保護

請使用應用程式防護政策防止公司資料儲存到裝置的本地儲存， (請參考以下圖片。) 同時也限制資料移動至未受應用程式防護政策保護的其他應用程式。 應用程式防護原則設定包括：

• 資料重置政策，例如 「儲存組織資料的副本」，以及 限制剪切、複製和貼上。
• 存取政策設定像是 「要求簡單 PIN 才能存取」，以及 「阻止受管理應用程式在越獄或 root 裝置上執行」。

在由 MDM 解決方案管理的裝置上，使用 APP 進行資料保護

下圖展示了 MDM 與應用程式防護政策共同提供的多層防護。

MDM 解決方案透過提供以下功能來增加價值：

• 註冊裝置
• 將應用程式部署至裝置
• 提供持續的裝置合規性與管理

應用程式防護政策透過提供以下價值來增加價值：

• 協助保護公司資料免於洩漏給消費者應用程式與服務
• 對用戶端應用程式施加像是 另存新檔、 剪貼簿或 PIN 碼等限制
• 必要時從應用程式中清除公司資料，但不會移除這些應用程式

使用 APP 保護未註冊裝置的資料

下圖說明資料防護原則在沒有 MDM 的情況下，如何在應用層級運作。

對於未在任何 MDM 解決方案中註冊的 BYOD 裝置，應用程式防護原則可協助保護應用層級的公司資料。 但是，要注意有某些限制，像是：

• 應用程式不會部署到裝置上。 使用者是從商店取得應用程式的。
• 這些裝置上沒有設定憑證設定檔。
• 這些裝置沒有提供公司 Wi-Fi 和 VPN 設定。

你可以用應用程式保護政策來管理應用程式

任何與 Intune SDK 整合或被 Intune App Wrapping Tool 包裝的應用程式，都可以利用Intune應用程式保護政策來管理。 請參閱使用這些工具且可供公開使用的 Microsoft Intune 保護應用程式官方清單。

Intune SDK 開發團隊積極測試並維護原生 Android 及 iOS/iPadOS (Obj-C、Swift) 平台所建應用程式的支援。 雖然部分客戶成功將 Intune SDK 整合至其他平台，如 React Native 和 NativeScript，但對於使用非支援平台的應用程式開發者，並未提供明確的指引或外掛。

使用者使用應用程式保護政策的要求

以下清單列出使用者在 Intune 管理的應用程式上使用應用程式保護政策的需求：

• 使用者必須擁有 Microsoft Entra 帳號。 請參閱新增使用者並授權 Intune 管理權限，了解如何在 Microsoft Entra ID 中建立 Intune 使用者。

• 使用者必須在其 Microsoft Entra 帳號上擁有 Microsoft Intune 授權。 請參閱管理 Intune 授權，了解如何將 Intune 授權分配給使用者。

• 使用者必須屬於一個受應用程式保護政策鎖定的安全群組。 相同的應用程式保護原則必須針對所使用的特定應用程式。 應用程式防護政策可在 Microsoft Intune 管理中心建立並部署。 安全群組目前可在 Microsoft 365 系統管理中心建立。

• 使用者必須使用他們的 Microsoft Entra 帳號登入該應用程式。

應用程式防護 Microsoft 365 (Office) 應用程式的政策

在使用 應用程式防護 保單搭配 365 (Office) 應用程式時，還有幾項Microsoft需要注意的事項。

Outlook 行動應用程式

使用 Outlook 行動應用程式 的條件包括以下幾項：

• 使用者必須在裝置上安裝 Outlook 行動應用程式。

• 使用者必須擁有與其 Microsoft Entra 帳戶連結的 Microsoft 365 Exchange Online 信箱及授權。

  注意事項

  Outlook 行動應用程式目前僅支援 Microsoft Exchange Online 與 Exchange Server 的 Intune 應用程式保護，並未支援 Office 365 專用版的 Exchange。

Word、Excel 與 PowerPoint

使用 Word、Excel 和 PowerPoint 應用程式的要求包括以下幾項：

• 使用者必須持有與其 Microsoft Entra 帳戶連結的 Microsoft 365 Apps 商務版或企業版應用程式授權。 訂閱必須包含行動裝置上的 Microsoft 365 應用程式，並可包含 Microsoft OneDrive 的雲端儲存帳號。 依照這些指示，可以在 Microsoft 365 系統管理中心分配 Microsoft 365 授權。

• 使用者必須在「儲存組織資料副本」應用程式保護政策設定中，使用細緻的另存為功能來設定一個受管理位置。 例如，如果管理的地點是 OneDrive，OneDrive 應用程式應該在使用者的 Word、Excel 或 PowerPoint 應用程式中設定。

• 若受管理位置為 OneDrive，該應用程式必須被部署給使用者的應用程式保護政策鎖定。

  注意事項

  Office 行動應用程式目前僅支援 SharePoint Online，並不支援 SharePoint 本地部署。

Office 需要管理位置

管理位置 (，也就是 OneDrive) ，是 Office 的必要條件。 Intune 會將應用程式中的所有資料標記為「企業」或「個人」資料。當資料來自商業地點時，即被視為「企業」資料。 對於Microsoft 365應用程式，Intune將以下視為商業地點：電子郵件 (Exchange) 或雲端儲存 (OneDrive 應用程式，並搭配工作或學校的 OneDrive 帳號) 。

商務用 Skype

使用商務用 Skype還有更多要求。 請參閱 商務用 Skype 授權要求。 關於商務用 Skype (SfB) 混合與本地部署配置，請參見 SfB 與 Exchange 的混合現代認證 GA 及 SfB 本地的現代認證 Microsoft Entra ID。

應用程式防護全球政策

如果 OneDrive 管理員瀏覽 admin.onedrive.com 並選擇 裝置存取，他們可以將 行動應用程式管理 控制設定為 OneDrive 和 SharePoint 用戶端應用程式。

OneDrive 管理員主控台提供的設定，會設定一個特殊的 Intune 應用程式保護政策，稱為全域政策。 此全域政策適用於租戶中的所有使用者，無法控制政策目標設定。

啟用後，iOS/iPadOS 和 Android 的 OneDrive 和 SharePoint 應用程式預設會受到所選設定的保護。 IT 專業人員可以在 Microsoft Intune 管理中心編輯此政策，新增更多目標應用程式並修改任何政策設定。

預設情況下，每個租戶只能有一個 全域 政策。 不過，你可以使用 Intune Graph API 為每個租戶建立額外的全域政策，但不建議這麼做。 不建議建立額外的全球政策，因為這類政策的實施過程可能會變得複雜。

雖然 Global 政策適用於您租戶中的所有使用者，但任何標準的 Intune 應用程式保護政策都會覆蓋這些設定。

應用程式防護功能

多重身份

多重身份支援讓應用程式能支援多種受眾。 這些受眾既有「企業」用戶，也有「個人」用戶。 「企業」受眾使用工作及學校帳號，而消費者受眾，如 Microsoft 365 (Office) 用戶，則使用個人帳號。 支援多重身份的應用程式可以公開發布，且應用程式保護政策僅適用於該應用程式在工作與學校 (「企業」) 情境中使用時。 多重身份支援使用 Intune SDK 只對登入應用程式的工作或學校帳號套用應用程式保護政策。 如果是個人帳號登入應用程式，資料就不會被動過。 應用程式防護政策可用來防止工作或學校帳號資料轉移至多重身份應用程式內的個人帳戶、其他應用程式中的個人帳戶，或個人應用程式。

舉個「個人」情境的例子，假設有使用者在 Word 中開始新文件，這被視為個人情境，因此不會套用 Intune 應用程式保護政策。 一旦文件儲存在「企業」OneDrive 帳號，就會被視為「企業」上下文，並套用 Intune 應用程式保護政策。

請參考以下工作或「企業」情境的例子：

• 使用者是透過工作帳號啟動 OneDrive 應用程式。 在工作場合，他們無法將檔案移到個人儲存地點。 之後，當他們用個人帳號使用 OneDrive 時，可以毫無限制地複製和移動個人 OneDrive 的資料。
• 使用者開始在 Outlook 應用程式中草擬電子郵件。 一旦主旨或訊息主體被填入，使用者就無法將 FROM 位址從工作情境切換到個人情境，因為主旨與訊息正文受應用程式保護政策保護。

Intune 應用程式 PIN 碼

個人識別號碼 (PIN) 是一種密碼，用以驗證正確使用者正在應用程式中存取組織的資料。

PIN 提示
當用戶即將存取「企業」資料時，Intune 會提示輸入應用程式的 PIN 碼。 在多重身份應用程式如 Word、Excel 或 PowerPoint 中，使用者嘗試開啟「企業」文件或檔案時，會被要求輸入 PIN 碼。 在單一身份應用程式中，例如使用Intune App Wrapping Tool管理的業務線應用程式，啟動時會提示輸入 PIN 碼，因為 Intune SDK 知道使用者在應用程式中的體驗始終是「企業化」的。

PIN 提示，或企業憑證提示，頻率
IT 管理員可以在 Microsoft Intune 管理中心) (分鐘後重新檢查存取需求，定義 Intune 應用程式保護政策設定。 此設定指定在裝置檢查存取需求前的多長時間，並再次顯示應用程式 PIN 畫面或企業憑證提示。 然而，關於 PIN 的重要細節會影響使用者被提示的頻率：

• PIN碼在同一出版商的應用程式間共享，以提升可用性：
  在 iOS/iPadOS 上， 同一應用程式發佈者的所有應用程式共用同一個 PIN 碼。 例如，所有 Microsoft 應用程式共用相同的 PIN 碼。 在 Android 上，所有應用程式共用一個應用程式的 PIN 碼。
• 重新啟動後 (分鐘後重新檢查存取需求) 行為：
  計時器會追蹤未使用的時間，決定何時顯示 Intune 應用程式的 PIN 碼或企業憑證提示。 在 iOS/iPadOS 上，裝置重啟不會影響計時器。 因此，裝置重啟不會影響用戶在 iOS/iPadOS 應用程式中未活躍的分鐘數Intune且 PIN (或企業憑證) 政策目標。 在 Android 上，裝置重啟時計時器會重置。 因此，Intune帶有 PIN (或企業憑證) 政策的 Android 應用程式，很可能還是會提示應用程式 PIN 碼或企業憑證提示，無論裝置重啟後設定為「 (分鐘後) 重新檢查存取要求」的值。
• 與 PIN 相關的定時器具有滾動性質：
  一旦輸入 PIN 以存取應用程式 (應用程式 A) ，且該應用程式離開裝置 (主要輸入焦點) 前景，該 PIN 的計時器就會重置。 任何應用程式 (應用程式B) 共用這個PIN碼，都不會提示使用者輸入PIN碼，因為計時器已經重置。 當「 (分鐘後重新檢查存取需求」的數值再次達成時，提示又會出現) 。

對於 iOS/iPadOS 裝置，即使 PIN 是不同發行商的應用程式共享，當 (分鐘後) 再次符合非主要輸入焦點的應用程式值時，提示仍會再次出現。 舉例來說，使用者從出版商 X 擁有應用程式 A，從出版商 Y 擁有應用程式 B，這兩個應用程式共用相同的 PIN 碼。 使用者會專注於應用程式 A ， (前景) ，應用程式 B 則被最小化。 在重新 檢查存取條件後， (分鐘 內達成) 值，使用者切換到 應用程式 B 時，需輸入 PIN。

Outlook 與 OneDrive 內建應用程式 PIN
Intune PIN 是根據一個基於非活動的計時器運作， ( (分鐘後) ) 後重新檢查存取需求 。 因此，Intune PIN 提示會獨立於 Outlook 和 OneDrive 內建的 PIN 提示，而這些提示通常預設與應用程式啟動綁定。 如果使用者同時收到兩個 PIN 提示，預期的行為是 Intune PIN 優先。

Intune PIN 安全性
PIN 碼僅允許正確的使用者在應用程式中存取組織資料。 因此，使用者必須先用工作或學校帳號登入，才能設定或重設 Intune 應用程式的 PIN 碼。 Microsoft Entra ID 透過安全權杖交換來處理此認證，而 Intune SDK 無法偵測到。 從安全角度來看，保護工作或學校資料的最佳方式是加密。 加密與應用程式 PIN 無關，而是它自己的應用程式保護政策。

防範暴力破解攻擊與 Intune PIN 碼
作為應用程式 PIN 政策的一部分，IT 管理員可以設定使用者在鎖定應用程式前，最多嘗試驗證 PIN 的次數。 當嘗試次數達到目標後，Intune SDK 可以清除應用程式中的「企業」資料。

Intune PIN 與選擇性清除
在 iOS/iPadOS 上，應用程式層級的 PIN 資訊會儲存在鑰匙串中，該鑰匙串會在同一出版商的應用程式間共享，例如所有第一方 Microsoft 應用程式。 這個 PIN 資訊也會綁定到使用者帳號。 選擇性清空一個應用程式不會影響另一個應用程式。

例如，登入使用者的 Outlook PIN 碼會儲存在共用的鑰匙圈中。 當使用者登入 OneDrive (也是由) 發布Microsoft時，他們會看到與 Outlook 相同的 PIN 碼，因為 Outlook 使用相同的共用鑰匙圈。 當你登出 Outlook 或在 Outlook 中抹除使用者資料時，Intune SDK 不會清除那個鑰匙串，因為 OneDrive 可能仍然使用那個 PIN。 因此，選擇性擦除不會清除共用的鑰匙圈，包括密碼。 即使裝置上只有一個發行商的應用程式，這種行為依然不變。

由於 PIN 是在同一出版商的應用程式間共享的，如果清除只發生在單一應用程式，Intune SDK 就無法知道該裝置上是否有其他同一個出版商的應用程式。 因此，Intune SDK 不會清除 PIN，因為它可能仍被用於其他應用程式。 預期的是當該出版商最後一個應用程式被移除時，應用程式的 PIN 會被清除，這是作業系統清理的一部分。

如果你觀察到某些裝置的 PIN 被清除，可能發生以下行為：由於 PIN 與身份綁定，若用戶在清除後用不同帳號登入，系統會提示他們輸入新的 PIN。 不過，如果他們用先前已有的帳號登入，鑰匙圈裡儲存的 PIN 碼可以用來登入。

在同一出版商的應用程式上設定兩次 PIN 碼？
在 iOS/iPadOS 上的 MAM () 目前允許應用程式層級的 PIN 碼，包含字母數字和特殊字元，稱為「密碼」 () 這需要應用程式 (WXP、Outlook Viva Engage) 參與，才能整合 Intune SDK for iOS。 沒有這個，密碼設定就無法正確執行給目標應用程式。 這是 Intune SDK for iOS 7.1.12 版本釋出的功能。

為了支援此功能並確保與 iOS/iPadOS 先前版本的 Intune SDK 相容，7.1.12+ 中所有 (數字或密碼碼) 的 PIN 與先前版本的數字 PIN 分開處理。 另一項變更是在 Intune SDK for iOS 14.6.0 中引入，使得 14.6.0+ 中的所有 PIN 碼與先前版本的 SDK 中的任何 PIN 分開處理。

因此，如果裝置有同一個發行商 (Intune 7.1.12 之前和 7.1.12 之後的 iOS SDK 版本，或是 14.6.0 之前和 14.6.0) 之後的版本，他們必須設定兩個 PIN。 每個應用程式 (的兩個 PIN 碼) 沒有任何關聯 (也就是說，它們必須遵守套用在該應用程式) 的應用程式保護政策。 因此，如果應用程式 A 和 B 在 PIN) 上套用相同的政策 (，使用者可能會重複設定相同的 PIN。

此行為僅針對啟用 Intune 行動應用程式管理的 iOS/iPadOS 應用程式的 PIN 碼。 隨著應用程式採用 iOS/iPadOS 版本的 Intune SDK，對於同一出版商的應用程式設定兩次 PIN 碼的問題變得減少。

應用程式資料加密

IT 管理員可以部署一套應用程式保護政策，要求應用程式資料必須加密。 作為政策的一部分，IT 管理員也可以指定內容何時加密。

Intune 如何處理資料加密
請參閱 Android 應用程式保護政策設定 以及 iOS/iPadOS 應用程式保護政策設定 ，以了解加密應用程式保護政策設定的詳細資訊。

加密的資料
只有標示為「企業」的資料會依照 IT 管理員的應用程式保護政策加密。 當資料來自商業地點時，即被視為「企業」資料。 對於 Microsoft 365 應用程式，Intune 將以下地點視為商業地點：

• Email (交換)
• 雲端儲存 (OneDrive 應用程式搭配工作或學校帳號)

對於由Intune App Wrapping Tool管理的業務線應用程式，所有應用程式資料都被視為「企業」資料。

選擇性抹除

遠端清除資料
Intune 可以用三種不同方式清除應用程式資料：

• 完全清除裝置
• MDM 的選擇性擦除
• MAM 選擇性擦除

欲了解更多關於 MDM 遠端抹除的資訊，請參閱 「使用抹除移除裝置或退休」。 欲了解更多使用 MAM 選擇性清除的資訊，請參閱 「退休行動 」及 「如何只從應用程式中抹除企業資料」。

完全裝置清除會將裝置恢復出廠設定，移除所有使用者資料和設定。 該裝置已從 Intune 移除。

MDM 的選擇性擦除
請參閱 「移除裝置 - 退休 」，了解如何移除公司資料。

MAM 的選擇性擦除
MAM 的選擇性清除是從應用程式中移除公司應用程式的資料。 請求是透過 Intune 發起的。 想了解如何啟動清除請求，請參閱 「如何只從應用程式中清除企業資料」。

如果使用者在選擇性清除啟動時正在使用該應用程式，Intune SDK 會每 30 分鐘檢查一次來自 Intune MAM 服務的選擇性清除請求。 當使用者首次啟動應用程式並以工作或學校帳號登入時，它還會檢查是否有選擇性清除。

當本地部署 (本地) 服務無法支援Intune受保護的應用程式時
Intune 應用程式的保護依賴使用者身份，以確保應用程式與 Intune SDK 之間的一致性。 唯一能保證這點的方法就是現代認證。 有些情況下應用程式可能會用本地部署的配置，但這些設定並不一致或保證。

從受管理應用程式開啟網頁連結的安全方法
IT 管理員可以部署並設定 Microsoft Edge 的應用程式保護政策，這款瀏覽器可透過 Intune 輕鬆管理。 IT 管理員可以要求使用 Microsoft Edge 開啟所有 Intune 管理應用程式中的網頁連結。

iOS 裝置的應用程式防護體驗

裝置指紋或臉部識別

Intune 應用程式保護政策僅允許 Intune 授權使用者控制應用程式存取權限。 控制應用程式存取權的一種方式是要求支援裝置使用蘋果的 Touch ID 或 Face ID。 Intune 實作一種行為，當裝置的生物辨識資料庫有任何變動時，當下一個不活動逾時值達到時，Intune 會提示使用者輸入 PIN。 生物特徵資料的變更包括新增或移除指紋或臉部。 如果 Intune 使用者沒有設定 PIN，他們會被引導去設定 Intune PIN。

此流程的目的是持續在應用程式層級保護組織內的資料安全與保護。 此功能僅支援 iOS/iPadOS，且需整合 Intune SDK for iOS/iPadOS 9.0.1 版本的應用程式參與。 整合 SDK 是必要的，以便能在目標應用程式上強制執行此行為。 此整合以滾動方式進行，並依據具體的應用團隊而定。 參與的應用程式包括 WXP、Outlook 和 Viva Engage。

iOS 分享擴充功能

使用 iOS/iPadOS 的分享擴充功能，在未受管理的應用程式中開啟工作或學校資料，即使資料傳輸政策設 為僅管理應用程式 或 不開啟應用程式。 Intune 應用程式保護政策無法在不管理裝置的情況下控制 iOS/iPadOS 的共享擴充功能。 因此，Intune 會在「企業」資料分享到應用程式外之前加密。 嘗試在管理應用程式外開啟一個「企業」檔案來驗證這種加密行為。 檔案應該是加密的，且無法在管理應用程式外開啟。

Universal Links 支援

預設情況下，Intune 應用程式保護政策會阻止存取未經授權的應用程式內容。 在 iOS/iPadOS 中，有功能可以使用 Universal Link 開啟特定內容或應用程式。

使用者可以透過在 Safari 中造訪應用程式並選擇「 在新分頁開啟 」或「 開啟」來停用應用程式的通用連結。 要使用帶有 Intune 應用程式保護政策的通用連結，必須重新啟用通用連結。 使用者需要在 Safari 裡長按對應連結後，先在應用程式內開啟<。> 這應該會提示任何受保護的應用程式將所有通用連結路由到該裝置上的受保護應用程式。

針對同一組應用程式和使用者，有多個 Intune 應用程式保護的存取設定

Intune 應用程式的存取保護政策會依特定順序套用在使用者裝置上，當他們嘗試從企業帳號存取目標應用程式時。 一般來說，先抹除，接著封鎖，然後是可撤銷的警告。 例如，若適用於特定使用者或應用程式，則會在 iOS/iPadOS 作業系統的最低設定後，套用最低 iOS/iPadOS 作業系統設定，提醒使用者更新 iOS/iPadOS 版本。 所以，如果 IT 管理員將最低 iOS 作業系統設定為 11.0.0.0，最低 iOS (Warning 只) 到 11.1.0.0，而嘗試存取該應用程式的裝置是 iOS 10，使用者會因為最低 iOS 作業系統版本的限制設定而被封鎖，導致存取被封鎖。

處理不同類型的設定時，先是 Intune SDK 版本需求，接著是應用程式版本需求，最後是 iOS/iPadOS 作業系統版本需求。 接著，檢查所有設定中相同順序的警告。 僅在 Intune 產品團隊指導下，針對關鍵阻擋情境設定 Intune SDK 版本要求。

Android 裝置的應用程式防護體驗

Microsoft Teams Android 裝置

Microsoft Teams Android 裝置上的 Teams 應用程式不支援應用程式保護政策 (無法透過 公司入口網站 應用程式) 接收政策。 這表示應用程式保護政策設定不會套用到 Microsoft Teams Android 裝置上的 Teams。 如果你為這些裝置設定了應用程式保護政策，可以考慮建立一組 Teams 裝置使用者，並將該群組排除在相關的應用程式保護政策之外。 另外，建議修改你的 Intune 註冊政策、條件存取政策和 Intune 合規政策，使其包含支援的設定。 如果你無法更改現有的政策，你必須設定排除) 裝置過濾器 (。 請將每個設定與現有的條件存取設定及 Intune 合規政策核對，以判斷是否包含不支援的設定。 欲了解更多資訊，請參閱 Microsoft Teams 會議室及 Teams Android 裝置的支援條件存取與 Intune 裝置合規政策。 有關 Microsoft Teams 會議室的資訊，請參閱 Microsoft Teams 會議室的條件存取與 Intune 合規。

裝置生物辨識認證

對於支援生物辨識認證的 Android 裝置，允許使用者使用指紋或臉部解鎖，視其裝置支援而定。 設定除指紋外的所有生物辨識類型是否都能用於驗證。 指紋辨識和臉部解鎖僅適用於支援這些生物辨識類型且運行正確版本 Android 的裝置。 指紋辨識需要 Android 6 及以上，臉部解鎖則需 Android 10 以上。

公司入口網站應用程式與 Intune 應用程式保護

許多應用程式保護功能內建於公司入口網站應用程式中。 裝置註冊並非必需*，儘管公司入口網站應用程式始終是必備的。 若要 (MAM) 行動應用程式管理，使用者必須在裝置上安裝 公司入口網站 應用程式。

針對同一組應用程式和使用者，有多個 Intune 應用程式保護的存取設定

Intune 應用程式的存取保護政策會依特定順序套用在使用者裝置上，當他們嘗試從企業帳號存取目標應用程式時。 一般來說，封鎖會優先，然後才是可駁回的警告。 例如，若適用於特定使用者或應用程式，則會在阻止使用者存取的最低 Android 補丁版本設定之後，套用以警告使用者進行補丁升級。 所以，如果 IT 管理員將最小 Android 補丁版本設定為 2018-03-01 ，最低 Android 補丁版本 (警告只) ， 2018-02-01而嘗試存取該應用程式的裝置仍是補丁版本 2018-01-01，使用者會因為更嚴格的最低 Android 補丁版本設定而被封鎖，導致存取被封鎖。

處理不同類型的設定時，應用程式版本要求會優先，接著是 Android 作業系統版本要求和 Android 補丁版本要求。 接著，所有類型設定的警告都會依照相同順序檢查。

Intune 應用程式保護政策與 Google Play 對 Android 裝置的完整性檢查

Intune 應用程式保護政策允許管理員要求使用者裝置通過 Google Play 對 Android 裝置的裝置完整性檢查。 新的 Google Play 服務判定結果會依 Intune 服務設定的間隔回報給 IT 管理員。 服務呼叫的頻率會因負載而被限速，因此這個數值是內部維護的，無法設定。 任何 IT 管理員為 Google 裝置完整性設定設定的操作，都是根據條件啟動時最後回報給 Intune 服務的結果來執行。 如果沒有資料，則允許存取，前提是沒有其他條件啟動檢查失敗，Google Play 服務的「往返」會從後端開始，並會在裝置失敗時非同步提示使用者確認。 如果資料過時，根據最後回報的結果，存取會被封鎖或被允許，同樣地，Google Play 服務會開始「往返」以確認認證結果，並在裝置失敗時非同步提醒使用者。

Intune 應用程式保護政策與 Google 的 Verify Apps API 適用於 Android 裝置

Intune 應用程式保護政策允許管理員要求使用者裝置透過 Google 的 Verify Apps API 針對 Android 裝置發送訊號。 操作說明會因裝置而略有差異。 一般流程是先到 Google Play 商店，選擇 「我的應用程式 & 遊戲」，再選擇最後一次應用程式掃描的結果，然後進入 Play 保護選單。 確保安全 威脅掃描裝置 的開關已開啟。

Google 的 Play Integrity API

Intune 利用 Google 的 Play Integrity API 來新增對未註冊裝置的根偵測檢查。 Google 開發並維護這組 API 給 Android 應用程式採用，如果他們不希望自己的應用程式在已 root 的裝置上運行。 例如 Android Pay 應用程式就包含了這個功能。 雖然 Google 並未公開所有的 root 偵測檢查，但這些 API 會偵測到對裝置進行 root 的使用者。 這些用戶可能會被封鎖存取，或將其企業帳號從啟用政策的應用程式中清除。 檢查基本完整性 可以告訴你裝置的整體完整性。 被 root 的裝置、模擬器、虛擬裝置，以及有竄改跡象的裝置，基本完整性都不合格。 檢查基本完整性 & 認證裝置 能告訴你該裝置與 Google 服務的相容性。 只有未經修改且經 Google 認證的裝置才能通過此檢查。 故障的裝置包括以下幾種：

• 基本完整性失效的裝置
• 解鎖開機載入程式的裝置
• 擁有自訂系統映像/ROM 的裝置
• 製造商未申請或通過 Google 認證的裝置
• 直接從 Android 開源程式原始碼檔案建立系統映像的裝置
• 擁有測試版/開發者預覽系統映像的裝置

技術細節請參閱 Google 關於 Google Play Integrity API 的文件。

播放完整性判決設定和「越獄/root裝置」設定

遊戲誠信判決要求使用者至少在執行「往返」確認結果期間在線。 如果使用者離線，IT 管理員仍可預期會根據 越獄/被 root 裝置 設定強制執行結果。 然而，如果使用者離線時間過長，離線寬 限 期就會生效，當計時器達到該值後，所有工作或學校資料的存取都會被封鎖，直到網路連線可用為止。 同時開啟這兩個設定，能提供分層的維護方式，讓使用者裝置健康無虞，這對於使用者在行動裝置上存取工作或學校資料時非常重要。

Google Play Protect API 與 Google Play 服務

使用 Google Play Protect API 的應用程式保護政策設定需要 Google Play 服務才能正常運作。 Play 完整性的判斷以及 應用程式設定中的威脅掃描 ，都要求 Google 指定的 Google Play 服務版本才能正常運作。 由於這些設定屬於安全範疇，若使用者被針對這些設定，且未符合 Google Play 服務的適當版本或無法存取 Google Play 服務，則會被封鎖。

Windows 裝置的應用程式防護體驗

政策設定分為兩類： 資料保護 與 健康檢查。 所謂 政策管理應用程式 ，是指那些已設定為應用程式保護政策的應用程式。

資料保護

資料保護設定會影響組織的資料和上下文。 作為管理員，你可以控制資料在組織保護情境中的流動。 組織上下文由指定的組織帳號所存取的文件、服務及網站所定義。 以下政策設定有助於控制外部資料進入組織情境，以及從組織情境發送出去的資料。

健康檢查

健康檢查允許你設定條件啟動功能。 為此，您必須設定應用程式保護政策的健康檢查條件。 選擇一個 設定 ，並輸入使用者必須達成的 值 以存取您的組織資料。 然後選擇如果使用者未符合條件，你想採取的 行動 。 在某些情況下，單一設定可以設定多個動作。

後續步驟

如何使用 Microsoft Intune 建立並部署應用程式保護政策

可用 Microsoft Intune 的 Android 應用程式保護政策設定

可用 iOS/iPadOS 應用程式保護政策設定，適用於 Microsoft Intune