应用保护策略概述

应用保护策略概述

应用保护策略（APP）是可确保组织数据在托管应用中保持安全或

受到控制的规则。策略可以是在用户尝试访问或移动“公司”数据时

强制执行的规则，或在用户位于应用内时受到禁止或监视的一组操作。

受管理应用是一种自身执行应用保护策略的应用，可由Intune管理。

借助移动应用管理（MAM）应用保护策略，可以管理和保护应用程

序内的组织数据。通过无需注册的MAM（MAM-WE）,可以在几乎任何设

备上管理包含敏感数据的工作或学校相关应用，包括自带设备办公

（BYOD）场景下的个人设备。许多实现高效工作的应用（如Microsoft

Office应用）可由IntuneMAM进行管理。请参阅可供公众使用的

MicrosoftIntune保护的应用的官方列表。

员工将移动设备用于个人和工作任务。在确保员工可以高效工作

的同时，你希望防止有意和无意数据丢失。你还需要保护他人设备（不

由你管理的设备）访问的公司数据。

可使用Intune应用保护策略，该策略独立于任何移动设备管理（MDM）

解决方案。这种独立性可帮助保护公司数据，无论是否将设备注册到

设备管理解决方案中。通过实现应用级别策略，即可限制对公司资源

的访问，并让数据处于IT部门的监控范围之内。

可对运行在设备上的应用进行配置的应用保护策略包括:

在MicrosoftIntune中注册：这些设备通常是公司自有设备。

在第三方移动设备管理(MDM)解决方案中注册：这些设备通常为

公司自有设备。

未在任何移动设备管理解决方案中注册：这些设•备通常为员工自

有设备，且未在Intune或其他MDM解决方案中托管或注册。

以下是使用应用保护策略的主要优点：

在应用维度级别保护公司数据。由于移动应用管理不需要设备管

理，因此可在受管理和不受管理设备上保护公司数据。管理以用户标

识为中心，因而不再需要设备管理。

不会影响最终用户工作效率，且在个人环境中使用应用时不会应用

策略。这些策略仅应用于工作环境，能够在不接触个人数据的情况下

保护公司数据。

应用保护策略确保应用层的保护措施到位。例如，你能够：

规定在工作环境中打开应用时需使用PIN

控制应用之间的数据共享

防止将公司应用数据保存到私人存储位置

MDM和MAM确保该设备受到保护。例如，你可以要求使用PIN以访

问设备，或将托管应用部署到设备。还可通过MDM解决方案将应用部

署到设备，以便更好地控制应用管理。

将MDM与应用保护策略一起使用还有其他优点，公司可以同时使

用应用保护策略与MDM,也可以单独使用应用保护策略。例如这样一

种情况：员工同时使用公司电话和其个人平板电脑。公司的手机在MDM

中注册且受应用保护策略保护，而个人设备仅受应用保护策略保护。

如果在不设置设备状态的情况下将MAM策略应用于用户，用户将

同时在BYOD设备和Intune托管设备上获得MAM策略。还可以根据

托管状态应用MAM策略。因此，在创建应用保护策略时，应在“面向

所有应用类型”旁边选择"否二然后，执行以下任意操作：

将不太严格的MAM策略应用于Intune托管设备，并将更严格的MAM

策略应用于未注册MDM的设备。

将MAM策略仅应用于未注册的设备。

Intune提供了一系列功能，可帮助你获取需要在设备上运行的应用,有

关详细信息，请参阅按平台分类的应用管理功能。

Intune应用保护策略平台支持与适用于Android和iOS/iPadOS设

备的Office移动应用程序平台支持保持一致。有关详细信息，请参

阅Office系统要求的“移动应用”部分。

存储位置的无限制数据移动。

可使用应用保护策略以防将公司数据保存到设备的本地存储中（请

参阅下图）。还可限制将数据移动到不受应用保护策略保护的其他应用。

应用保护策略设置包括：

数据重定位策喀，例如“保存原始数据副本”和“限制剪切、复制

和粘贴”。

访问策略设置，例如“需要简单的PIN才能访问”、“阻止在已越狱或

取得root权限的设备上运行受管理的应用:

下图显示了MDM和应用保护策略共同提供的保护层。

MDM解决方案通过提供以下功能增值：

注册设备

将应用部署到设备

提供持续的设备合规性和管理

应用保护策略通过提供以下功能增值：

帮助防止公司数据泄露到使用者应用和服务

将限制（如“另存为”、“剪贴板”或“PIN制应用到客户端应用

必要时，从应用擦除公司数据而不从设备删除这些应用

下图显示在未实施MDM的情况下数据保护策略在应用级别的工作原理。

对于未在任何MDM解决方案中注册的BYOD设备，应用保护策略

可在应用级别帮助保护公司数据。

但是，有一些限制需要注意，如：

无法将应用部署到设备。最终用户必须从应用商店获取应用。

无法在这些设备上预配证书配置文件。

无法在这些设备上设置公司Wi-Fi和VPN设置。

任何已与IntuneSDK集成或通过IntuneAppWrappingTooI包装的

应用都可使用Intune应用保护策略进行管理。请参阅使用以下工具

构建并可供公众使用的MicrosoftIntune保护的应用的官方列表。

IntuneSDK开发团队主动测试和维护对使用原生Android、iOS/iPadOS

(Obj-CsSwift)、Xamarin>Xamarin.Forms平台生成的应用的支持。

虽然某些客户已成功将IntuneSDK与ReactNative和NativeScript

等其他平台集成，但我们不会使用受支持平台之外的任何方式为应用开

发人员提供明确的指导或插件。

下面的列表说明对于在Intune托管应用上使用应用保护策略的最

终用户要求:

最终用户必须拥有AzureActiveDirectory(AzureAD)帐户。请

参阅添加用户并授予对Intune的管理权限，了解如何在AzureActive

Directory中创建Intune用户。

最终用户必须拥有向其AzureActiveDirectory帐户分配的

MicrosoftIntune许可证。请参阅管理Intune许可证，以了解如何

向最终用户分配Intune许可证。

最终用户必须属于应用保护策略针对的安全组。相同的应用保护

策略必须针对正在使用的特定应用。可在MicrosoftEndpointManager

管理中心创建和部署应用保护策略。当前可以在Microsoft365管理

中心创建安全组。

最终用户必须使用AzureAD帐户登录到应用。

将应用保护策略用于MicrosoftOffice应用时，有一些其他需要

注意的要求。

对于使用Outlook移动应用的其他要求包括：

最终用户必须将Outlook移动应用安装到其设备上。

最终用户必须具有链接到其AzureActiveDirectory帐户的

Microsoft365ExchangeOnline邮箱和许可证。

对于使用Word^ExceI和PowerPoint应用的其他要求包括:

最终用户必须具有链接到其AzureActiveDirectory帐户的

Microsoft365商业或企业应用版许可证。订阅必须包括移动设备上

的Office应用，可以包括OneDriveforBusiness云存储帐户。可

按照这些说明在Microsoft365管理中心分配Microsoft365许可证。

最终用户必须具有使用粒度另存为功能进行配置的托管位置（该功

能位于“保存组织数据的副本”应用程序保护策略设置下）。例如，如

果托管位置为OneDrive,则应在最终用户的Word、ExceI或PowerPoint

应用中对OneDrive应用进行配置。

如果托管的位置为OneDrive,则部署到最终用户的应用保护策略

必须针对该应用。

Office需要一个托管位置（即OneDrive）oIntune会将应用中

的所有数据标记为“公司”或“个人”。数据源于业务位置时会被视为

“公司”数据。对于Office应用，Intune将以下数据视为业务位置：

电子邮件（Exchange）或云存储（包含OneDriveforBusiness联户

的OneDrive应用）0

对于使用SkypeforBusiness有其他要求。请参阅Skypefor

Business许可证要求。对于SkypeforBusiness（SfB）混合配置和

本地配置，请分别参阅正式发布适用于SfB和Exchange的混合新式

身份验证和使用AzureAD实现适用于SfBOnPrem的新式身份验证。

如果OneDrive管理员浏览到admin,onedrive.com并选择“设备”

访问权限，则他们可为OneDrive和SharePoint客户端应用设置移动

应用程序管理控件。

这些设置可供OneDrive管理控制台使用，可配置名为全局策略

的特殊Intune应用保护策略。此全局策略适用于租户中的所有用户，

且无法控制策略目标设定。

启用后，默认情况下将使用所选设置保护适用于iOS/iPadOS和

Android的OneDrive和SharePoint应用©IT专业人员可在Intune

控制台中编辑此策略，以添加更多目标应用并修改任何策略设置。

默认情况下，每个租户仅有一个全局策略。然而，可使用Intune

图形API来为每个租户创建额外的全局策略，但不推荐这种做法。不

建议创建额外全局策略，因为对此类策略的实施进行故障排除会变得复

杂。

虽然全局策略适用于租户中的所有用户，但任何标准的Intune应

用保护策略都将覆盖这些设置。

借助多身份支持，应用可以支持多个受众。这些受众既是“公司”

用户，也是“个人”用户。“公司”受众使用工作和学校帐户，而个

人帐户用于使用者受众，如MicrosoftOffice用户。支持多身份的

应用可以公开发布，只有在工作和学校（“公司”）环境中使用应用时应

用保护策喀才适用。多身份支持使用IntuneSDK来仅将应用保护策

略应用于已登录到应用的工作或学校帐户。如果个人帐户登录到应用，

数据将保持不变。可使用应用保护策略阻止将工作或学校帐户数据传

输到多标识应用内的个人帐户、其他应用内的个人帐户或个人应用内。

例如个人环境的情况：用户在Word中开始一个新文档，这被视为

“个人”环境，因此不会应用Intune应用保护策略。使用“公司”

OneDrive帐户保存文档后，该文档将被视为“公司”环境，因此会应

用Intune应用保护策略。

参考以下工作或“公司”环境示例：

用户使用其工作帐户启动OneDrive应用。在工作环境中，他们

无法将文件移动到私人存储位置。之后当用户通过其个人帐户使用

OneDrive时，可无限制地从个人OneDrive复制和移动数据。

用户开始在Outlook应用中起草电子邮件。填写主题或邮件正文后，

用户将无法将“发件人”地址从工作环境切换到个人环境，因为主题和

邮件正文受应用保护策略保护。

个人标识号（PIN）是一种密码，用于脸证是否是正确的用户在应用程

序中访问组织的数据。

PIN提示

当用户要访问“公司”数据时，Intune才会提示输入用户的应用PIN。

在诸如Word、Excel>PowerPoint等多身份应用中，当用户尝试打开

“公司”文档或文件时，会向他们提示输入PINo在单身份应用中，

例如使用IntuneAppWrappingTooI托管的业务线应用，会在启动时

提示输入PIN,因为IntuneSDK知道用户在应用中的体脸始终是针对

“公司"的。

PIN提示或公司凭据提示、频率

IT管理员可在Intune管理控制台中定义Intune应用保护策略

设置“以下时间过后重新检查访问要求（分钟）此设置指定在设备上

检测访问要求，并再次显示应用程序PIN屏幕或公司凭据提示之前的

时长。但是，请注意以下关于PIN的重要详细信息，它们会影响用户

收到提示的频率：

在同一发布者的应用之间共享PIN以提高可用性：

在iOS/iPadOS上，同一应用发布者的所有应用之间共享一个应用

PIN码。例如，所有Microsoft应用都共享同一PINo在Android上，

所有应用共享一个应用PINo

在设备重启后“以下时间过后重新检查访问要求（分钟）”的行为：

计时器跟踪确定何时显示下一个Intune应用PIN或公司凭据提

示的不活动分钟数。在iOS/iPadOS上，计时器不受设备重启影响。因

此，设备重启对用户在以IntunePIN（或公司凭据）策略为目标的

iOS/iPadOS应用中处于非活动状态的分钟数没有影响。在Android上,

计时器在设备重启后重置。因此，使用IntunePIN（或公司凭据）策

略的Android应用可能会提示你输入应用PIN（或公司凭据），而设备

重启后的“以下时间过后重新检查访问要求（分钟）”设置值不受此影

响。

与PIN关联的计时器的滚动特性：

输入PIN以访问应用（应用A）后，该应用会离开设备主屏幕（主

输入焦点），并且该计时器会进行重置。共享此PIN的任何应用（应

用B）均不会提示用户输入PIN,因为计时器已重置。再次达到“以

下时间过后重新检查访问要求（分钟）”值后，就会再次显示该提示。

对于iOS/iPadOS设备，当不是主要输入焦点的应用再次满足“在一定

时间后重新检查访问要求（分钟）”值时，即使在不同发行商的应用之间

共享PIN,也会再次显示提示。因此，例如，某一用户具有来自发行

商X的应用A和来自发行商Y的应用B,并且这两个应用共享相同PINo

该用户将焦点置于应用A（前景），并最小化应用Bo当满足“以下时

间过后重新检查访问要求（分钟）”值并且用户切换到应用B时，将需

要此PINo

OutIook和OneDrive的内置应用PIN

IntunePIN基于非活动状态计时器（“以下时间过后重新检查访问

要求（分钟）”的值）执行操作。因此，IntunePIN提示与Outlook和

OneDrive的内置应用PIN提示（默认情况下与应用启动直接关联）相

互独立显示。如果用户同时收到两个PIN提示，预期行为应以Intune

PIN为准。

IntunePIN安全性

PIN仅允许正确的用户在应用中访问其组织数据。因此，最终用

户必须使用其工作或学校帐户登录，然后才能设置或重置其Intune应

用PIN。这种身份验证通过安全的令牌交换由AzureActiveDirectory

执行，且不对IntuneSDK公开。从安全性的角度来看，保护工作或

学校数据的最佳方法便是对其进行加密。加密与应用PIN无关，它本

身是一项应用保护策略。

防止暴力攻击和IntunePIN

作为应用PIN策略的一部分，IT管理员可以设置在锁定应用之前

用户可尝试验证其PIN的最大次数。达到最大尝试次数后，IntuneSDK

可以擦除应用中的“公司”数据。

IntunePIN和选择性擦除

在iOS/iPadOS上，应用程序级PIN信息存储在具有同一发布者

的应用之间共享的密钥链中，例如所有第一方Microsoft应用。此PIN

信息还与最终用户帐户关联。一项应用的选择性擦除不应影响到其他

应用。

例如，为登录用户的Outlook设置的PIN存储在共享密钥链中。

当用户登录到OneDrive（也由Microsoft发布）时，他们将看到与

Outlook相同的PIN,因为它使用相同的共享密钥链。当你在Outlook

中注销Outlook或擦除用户数据时，IntuneSDK不会清除密钥链，因

为OneDrive可能仍在使用该PIN。因此，选择性擦除不会清除共享

密钥链（包括PINK即使设备上只存在一个发布者应用程序，此行为

仍保持不变。

由于PIN是在具有同一发布者的应用间共享的，因此，如果在单

个应用擦除，IntuneSDK不知道设备上是否有该相同发布者的其他应

用程序。因此，IntuneSDK不会清除PIN,因为它可能仍用于其他应

用。预期是：当来自该发布者的最后一个应用最终将作为某些OS清

理的一部分被删除时，应删除应用PINo

如果观察到某些设备上的PIN被擦除，可能会发生以下情况：由

于PIN绑定到标识，因此，如果用户在擦除后使用其他帐户登录，系

统将提示他们输入新PIN。但是，如果用户使用以前存在的帐户登录，

则可以使用存储在密钥链中的PIN登录。

要在来自同一个发布者的应用上设置PIN两次？

目前，MAM（在iOS/iPadOS上）允许使用包含字母数字和特殊字

符（称为“密码”）的应用程序级PIN,该功能需要一些应用程序（即WXP、

OutIook>ManagedBrowserYammer）的参与，以便集成IntuneSDKfor

iOSo如果没有应用程序的参与，将无法对目标应用程序正确执行密码

设置。这是在IntuneSDKforiOS版本7.1.12中发布的功能。

为了支持此功能，并确保与旧版IntuneSDKforiOS/iPadOS的

后向兼容性，版本7.1.12及更高版本中的所有PIN（数字或密码）都

与旧版SDK中的数字PIN分开处理。IntuneSDKforiOSv14.6.0中

引入了另一项更改，这导致14.6.0+中的所有PIN与SDK以前版本

中的任何PIN分开处理。

因此，如果设备中同一发布者的应用使用了版本低于和高于7.1.12

的IntuneSDKforiOS（或低于和高于14.6.0的版本），就需要设置

两个PINo这两个PIN（对于每个应用）不以任何方式相关（即必须

遵守应用到应用的应用保护策略）。这样，只有当应用A和B都应

用了相同的策略（对于PIN）,用户才需要设置相同的PIN两次。

此行为只针对使用Intune移动应用管理（MAM）启用的iOS/iPadOS

应用程序上的PIN。日后，随着应用采用更高版本的IntuneSDKfor

iOS/iPadOS,需要针对同一发布者的应用设置PIN两次的问题就会减

少。有关示例，请参阅下面的注意事项。

IT管理员可以部署要求对应用数据进行加密的应用保护策略。作

为该策喀的一部分，IT管理员还可指定何时加密内容。

Intune数据加密过程

请参阅Android应用保护策略设置和iOS/iPadOS应用保护策略

设置，获取有关加密应用保护策略设置的详细信息。

加密的数据

根据IT管理员的应用保护策略，仅对标记为“公司”的数据进行

加密。数据源于业务位置时会被视为“公司”数据。对于Office应

用，Intune将以下内容视为业务位置：

电子邮件(Exchange)

云存储(有OneDriveforBusiness帐户的OneDrive应用)

对于由Intune应用包装工具托管的业务线应用，所有应用数据都会被

视为“公司”数据。

远程擦除数据

Intune可以通过以下三种不同方式擦除应用数据：

完全设备擦除

MDM选择性擦除

MAM选择性擦除

有关MDM远程擦除的详细信息，请参阅使用擦除或停用操作删除设备。

有关使用MAM进行选择性擦除的详细信息，请参阅“停用”操作和如

何仅擦除应用中的公司数据。

完全设备擦除会通过将设备还原到其出厂默认设置，从“设备”中

删除所有用户数据和设置。设备将从Intune中删除。

MDM选择性擦除

请参阅删除设备-停用，了解删除公司数据的相关信息。

MAM选择性擦除

MAM选择性擦除仅删除应用中的公司应用数据。使用Intune启

动请求。若要了解如何启动擦除请求，请参阅如何仅擦除应用中的公

司数据。

如果用户在启用了选择性擦除的情况下使用应用，那么IntuneSDK

会每30分钟检查一次来自IntuneMAM服务的选择性擦除请求。它

还会在用户第一次启动应用并使用其工作或学校帐户登录时检查选择

性擦除。

本地服务不适用于Intune保护的应用时

Intune应用保护要求用户的身份在应用程序与IntuneSDK之间

保持一致。保证此种一致的唯一方法是通过新式身份验证。在某些情

况下应用可能适用于本地配置，但它们既不一致也无法得到保证。

从托管应用中打开Web链接的安全方法

IT管理员可为MicrosoftEdge（可使用Intune轻松管理的Web

浏览器）部署和设置应用保护策略。IT管理员可要求Intune托管的

应用中的所有Web链接均使用托管浏览器打开。

Intune应用保护策略允许将应用访问权限控制在仅限Intune许

可用户访问。控制对应用的访问权限的方去之一是支持的设备上需要

具有Apple的TouchID或FaceIDOIntune执行某个行为后，如

果对设备的生物识别数据库有任何更改，则在满足下一个非活动超时值

时，Intune会提示用户输入PIN。对生物识别数据的更改包括添加或

删除指纹或人脸。如果Intune用户未设置PIN,则会引导他们设置

IntunePIN。

此过程旨在继续确保应用中的组织数据安全并在应用级别受保护。

此功能仅适用于iOS/iPadOS,并且需要集成了IntuneSDKfor

iOS/iPadOS版本9.0.1或更高版本的应用程序参与。必须集成SDK,

以便可以在目标应用程序上强制执行行为。此集成陆续进行，取决于

特定应用程序团队c参与的一些应用包括WXP、Outlook.Managed

Browser和Yammer0

即使将数据传输策略设置为“仅托管应用”或“无应用”，也可使

用iOS/iPadOS共享扩展在非托管应用中打开工作或学校数据。在不

管理设备的情况下，Intune应用保护策略不能控制iOS/iPadOS共享

扩展。因此，Intune会在对“公司”数据进行应用外共享之前对其进

行加密。可以通过在托管应用外部打开“公司”文件来验证此加密行

为。该文件应进行加密，且无法在托管应用外打开。

默认情况下，Intune应用保护策略将阻止访问未经授权的应用程

序内容。iOS/iPadOS中提供了使用通用链接打开特定内容或应用程序

的功能。

用户可在Safari中访问应用的通用链接并选择“在新选项卡中打

开”或“打开”，通过这种方式来禁用这些挂接：。若要通过Intune应

用保护策略使用通用链接，需要重新启用通用链接。最终用户在长按

相应链接后，需要在Safari中执行“在＜应用名称》中打开”操作。

这会提示任何其他受保护的应用将所有通用链接路由到设备上受保护

的应用程序。

当用户尝试从公司帐户访问目标应用时，系统将在最终用户设备上

按特定顺序应用Intune应用访问保护策略。通常先访问擦除，然后

是块，再是可取消的警告。例如，如果适用于特定用户/应用，则先应

用阻止用户访问的最低iOS/iPadOS操作系统设置，再应用警告用户更

新其iOS/iPadOS版本的最低iOS/iPadOS操作系统设置。因此，如

果IT管理员将最低iOS操作系统配置为11.0.0.0并将最低iOS操

作系统（仅限警告）配置为11.1.0.0,则当尝试访问该应用的设备具

有iOS10时，系统将基于更严格的最低iOS操作系统版本设置阻止

最终用户的访问。

处理不同类型的设置时，先处理IntuneSDK版本要求，其次处理

应用版本要求，再处理iOS/iPadOS操作系统版本要求。然后，按相

同顺序检查各类型设置的所有警告。建议仅根据Intune产品团队针

对关键阻止方案提供的指导配置IntuneSDK版本要求。

MicrosoftTeamsAndroid设备上的Teams应用不支持APP(不

通过公司门户应用接收策略)。这意味着应用保护策略设置不会应用于

MicrosoftTeamsAndroid设备上的Teamso

对于支持生物识别身份验证的Android设备，你可以允许最终用

户使用指纹或人脸解锁，具体取决于其Android设备支持的条件。你

可以配置是否可以使用指纹之外的所有生物特征类型来进行身份验证。

请注意，指纹和人脸解锁仅适用于支持这些生物识别类型且运行正确

Android版本的设备。指纹需要Android6及更高版本，而人脸解锁

需要Android10及更高版本。

应用保护的许多功能都内置于公司门户应用中。虽然始终需要公

司门户应用，但设备注册是不必要的。对于无需注册的移动应用管理

(MAM-WE),最终用户只需在设备上安装公司门户应用即可。

当用户尝试从公司帐户访问目标应用时，系统将在最终用户设备上

按特定顺序应用Intune应用访问保护策略。通常是先访问块，寻访

问可取消的警告。例如，如果适用于特定用户/应用，则先应用阻止用

户访问的Android修补程序最低版本设置，再应用警告用户进行修补

程序升级的Android修补程序最低版本设置。因此，如果IT管理员

将Android修补程序最低版本配置为2018-03-01,并将Android修

补程序最低版本（仅限警告）配置为2018-02-01,则当尝试访问该应

用的设备具有2018-01-01版修补程序时，系统将基于更严格的Android

修补程序最低版本设置阻止最终用户的访问。

处理不同类型的设置时，先处理应用版本要求，其次是Android操

作系统版本要求，再是Android修补程序版本要求。然后，按相同顺

序检查各类型设置的所有警告。

凭借Intune应用保护策略，管理员能够要求最终用户设备通过GoogIe

的适用于Android设备的SafetyNet认证。新的GooglePlay服务

决定将按照Intune服务确定的时间间隔报告给IT管理员。由于负

载原因，服务调用频率受限，因此该值在内部维护，并且不可配置。IT

管理员针对GoogleSafetyNet认证设置配置的任何操作都将在条件启

动时根据最后报告的结果发送到Intune服务。如果没有数据，若无

其他条件启动检查失败，则允许访问，用于确定认证结果的GooglePlay

服务“往返”将在后端开始，并在设备失败时以异步方式提示用户。如