Office 365 MAM 策略
Office 365 移动应用管理 (MAM) 策略允许组织保护任何 Office 365 应用中的企业数据。MDM 允许组织强制执行管理数据访问和应用间传输的策略。它还允许在应用不符合组织安全标准时阻止访问或清除数据。
当用户在任何 Apple 或 Android 设备上下载应用并使用其企业 Entra ID(前称 Azure AD)凭据登录时,Office 365 MAM 策略将被应用。这意味着 MAM 策略可以在 BYOD 部署中添加一层安全保障。
前提条件
- 组织必须拥有 Entra ID(前称 Azure AD)账户。
- 组织必须为所有需要应用 MAM 策略的用户购买 Microsoft Intune 许可证,且此要求由 Microsoft 强制执行。详情请参见 此文档。
步骤
按照以下步骤在 Office 365 应用上应用 MAM 策略
- 在 MDM 控制台,导航至 设备管理 -> Office 365 MAM 策略 位于 条件访问.
- 点击 开始 并集成您的企业 Entra ID(前称 Azure AD)账户。
- 集成成功后,点击 创建策略 并选择策略适用于 Android 或 Apple 设备。
- 为策略命名,点击 下一步.
- 选择您要应用 MAM 策略的应用,点击 下一步.
- 配置数据传输、访问要求和条件启动策略。有关策略详情,请参阅下表。
- 点击 创建 以创建策略,并通过点击 关联分组.
| 功能 | 描述 | ANDROID | IOS |
|---|---|---|---|
| 数据保护 | |||
| 数据传输 | |||
| 备份企业数据至 Android 备份服务 | 指定应用是否允许备份企业数据到 Android 备份服务。 |  |
 |
| 备份企业数据至 iTunes 和 iCloud 备份 | 指定应用是否允许备份企业数据到 iTunes 和 iCloud。 | |
|
| 向其他应用发送企业数据 | 指定应用是否允许将数据传输给其他应用。限制此选项可确保未授权应用无法访问企业数据。 | |
|
| 从其他应用接收数据 | 指定应用是否允许接收来自其他应用的数据。限制此选项可确保这些应用不会访问恶意内容。 | |
|
| 剪切、复制、粘贴 | 选择用户是否可以在这些应用之间剪切、复制或粘贴企业内容。 可选设置如下: 允许:允许所有应用间的剪切、复制、粘贴 限制:限制所有应用间的剪切、复制、粘贴 仅允许策略应用的应用间:仅允许已应用策略的应用间剪切、复制、粘贴。 允许从已应用策略的应用粘贴进来:允许从其他已应用策略的应用向该应用粘贴内容。 |
|
|
| 屏幕截图和 Google 助理 | 指定在使用该应用时是否允许屏幕截图和 Google 助理。 | |
|
| 加密 | |||
| 加密企业数据 | 指定应用中的企业数据是否应该被加密。 | |
|
| 功能 | |||
| 与本地联系人应用同步 | 指定应用是否可以与设备上安装的本地联系人应用同步数据,确保电话应用可以访问这些应用中的企业联系人。 | |
|
| 打印企业数据 | 指定应用是否可以打印企业数据。 | |
|
| 访问要求 | |||
| 访问 PIN | 指定访问应用是否需要 PIN。 | |
|
| PIN 类型 | 选择用户必须在设备上设置的 PIN 类型。您可以选择数字 PIN 或字母数字密码。 | |
|
| 简单 PIN | 指定用户是否可以设置简单 PIN 访问应用。 | |
|
| 最小 PIN 长度 | 指定用户配置的 PIN 最小长度。 | |
|
| 使用指纹代替 PIN | 指定用户是否可以使用指纹访问应用代替已配置的 PIN。 | |
|
| 使用 TouchID 代替 PIN | 指定用户是否可以使用 TouchID 访问应用代替已配置的 PIN。 | |
|
| 使用 FaceID 代替 PIN | 指定用户是否可以使用 FaceID 访问应用代替已配置的 PIN。 | |
|
| PIN 重置时间 | 指定用户多少天后需要重新设置访问应用的新 PIN。 | |
|
| 设备已设置 PIN 时是否需设置应用 PIN | 指定如果设备已设置 PIN,是否仍需设置应用 PIN 以保护企业数据。如选择“需要”,则用户必须同时配置设备 PIN 和应用 PIN。 | |
|
| 工作或学校账户 | 指定访问企业数据是否需要指定工作或学校账户。如选择“需要”,用户必须输入应用 PIN 和工作或学校账户。 | |
|
| 非活动时重新检查访问要求 | 指定应用需要在多长时间非活动后检查访问要求和条件启动设置以授予访问权限。 | |
|
| 条件启动 | |||
| 应用条件 | |||
| 最大 PIN 尝试次数 | 指定错误 PIN 输入次数超过该数后,应用中的企业数据将被清除。 | |
|
| 离线宽限期 | 指定离线访问时长,超过该时长后应清除企业数据或阻止访问应用。 | |
|
| 最低应用版本 | 指定访问企业数据所需安装在设备上的最低应用版本。您可以配置两个版本对应不同动作,可选择通知用户或阻止访问直到应用更新。 | |
|
| 最低 SDK 版本 | 指定访问企业数据所需的最低 Intune 应用保护 SDK 版本。您可以配置两个版本对应不同动作,可选择通知用户或阻止访问直到 SDK 更新。 | |
|
| 设备条件 | |||
| 最低操作系统版本 | 指定访问企业数据所需的最低操作系统版本。您可以配置两个版本对应不同动作,可选择通知用户或阻止访问直到操作系统更新。 | |
|
| 最低补丁版本 | 指定访问企业数据所需的最低补丁版本。您可以配置两个版本对应不同动作,可选择通知用户或阻止访问直到补丁更新。 | |
|
跳转至