由 AirWatch 提供支持的 VMware Workspace ONE® 与 Microsoft Intune® 应用保护策略集成,会在两个控制台中移除对 Microsoft Intune 应用保护策略的 DLP 策略管理。

您可以在 Workspace ONE UEM 中为 Microsoft Intune 应用保护配置数据丢失防护 (DLP) 应用程序策略。集成两个系统后,在 Workspace ONE UEM console 中管理 DLP 应用程序策略,以便集成保持最新。

大多数Microsoft Intune应用保护策略适用于 Android 平台和 iOS 平台。

在 Workspace ONE UEM Console 中管理以保持同步

集成两个系统后,在 Workspace ONE UEM console 中管理 DLP 应用程序策略,以便集成保持最新。Workspace ONE UEM 不会收到在集成的其他部分所做的更改。DLP 应用程序策略或安全组分配可能会不同步。

Android 和 iOS 上的用户体验

当用户在与 Intune 成功集成后首次访问应用时,iOS 和 Android 平台具有不同而又类似的用户体验。

iOS 上的体验

当设备用户对 iOS 设备上的 Microsoft Office 365 应用程序进行身份验证并成功推送配置文件时,系统会显示一个弹出窗口,表示您的组织管理应用程序。配置中没有其他步骤。

Android 上的体验

要管理 Android 和 Android Enterprise 设备,用户必须安装 Intune Company Portal 应用程序。此应用程序充当 Intune 应用 SDK 的代理,就像 Workspace ONE Intelligent Hub 充当 Workspace ONE UEM 应用程序的代理一样。

iOS 和 Android 上的常见体验

这两个平台都必须将 Intune 设置为设备上的 MDM 颁发机构。您可以在设备上的 Azure 租户 > 所有资源 > Intune 中配置此设置。从入门通知中启用 Intune MDM 颁发机构

在 Azure 中执行这些操作以集成 Microsoft Intune

要进行集成,请创建一个用户帐户,并为用户分配列出的 Microsoft 许可证。

这些环境在 Workspace ONE UEM console 的目录服务中没有 Azure AD 集成,您必须在 Azure 中添加 AirWatch by VMware 应用。有关详细信息,请访问将 Workspace ONE UEM 配置为使用 Azure AD 作为标识服务

重要事项:

如果您已使用除 Workspace ONE UEM 之外的任何其他 MDM 提供程序设置了开箱即用注册 (OOBE),请添加 AirWatch by VMware,并且不要在 Azure 中输入或编辑任何其他设置。如果输入或编辑配置,则可能会中断现有注册过程。

  • 在 Azure 中创建服务帐户(用户),并为该用户分配适当的角色。
    注:

    这些步骤是一般步骤。有关配置 Azure 的当前详细信息,请参见 Microsoft 文档。

    1. 在浏览器中输入 portal.azure.com,转到 Azure 门户。
    2. 创建用户或将用户与内部部署Active Directory同步。

      为此用户的域禁用 MFA(多因素身份验证)。

    3. 为此用户分配列出的角色。
      • Intune 管理员
      • 应用程序管理员
      • 目录读取者
      • 目录写入者
  • 如果您已在 Azure AD 中创建用户,请使用此帐户登录到 Azure,网址为 portal.azure.com。确保密码有效且不需要更新。
  • 您必须向用户分配 Azure 中列出的许可证。
    • Microsoft Intune应用保护策略
    • Microsoft 企业移动化 + 安全 E3 或 E5

配置 Intune 设置

Workspace ONE UEM console 中,配置数据丢失防护 (DLP) 应用程序策略并将其应用于 Microsoft Intune® 应用保护应用程序和数据。首先配置“身份验证”选项卡,以便系统可以进行通信。然后,配置 DLP 设置并将其分配给组。

Workspace ONE UEM 不会直接在应用程序上强制执行策略。Microsoft SDK 控制并强制执行这些策略。
注:

警告因操作系统版本和应用版本而异。Android 修补程序版本仅通过警告消息通知用户。但是,警告警示不会阻止最终用户使用应用。

必备条件

要配置 DLP 应用程序策略并将其应用于 Intune 应用程序,您必须具有在 Intune 中配置应用策略的权限。

过程

  1. 导航到组与设置 > 所有设置 > 应用 > Microsoft Intune® 应用保护策略
  2. 选择身份验证选项卡,然后输入 Azure 管理员的用户名和密码。

    管理员可以使用 Office 365 DLP 应用程序策略通过 Microsoft Graph API 保护 Office 365 应用和数据。要配置 Office 365 DLP 策略,您需要管理员凭据才能将租户连接到 Workspace ONE UEM

    设置 说明
    用户名 输入用于将租户配置为Workspace ONE UEM的用户名。
    密码 输入用于将租户配置为Workspace ONE UEM的密码。

    Workspace ONE UEM 使用这些凭证搜索 DLP 应用程序策略并将其分配给 Microsoft 安全组。

  3. 选择“数据丢失防护”选项卡,然后配置首选 Microsoft Intune 应用保护策略 DLP 应用程序策略。为受管 Microsoft Intune 应用保护策略应用程序和数据配置 DLP 应用策略。
    数据重定位设置 说明
    禁止备份 禁止用户从其受管应用程序备份数据。
    允许应用将数据传输到其他应用
    • 全部 - 用户可以将数据从受管应用程序发送到任何应用程序。

    • 受限制 - 用户可以将数据从其受管应用程序发送到其他受管应用程序。

    • - 禁止用户将数据从受管应用程序发送到任何应用程序。

    允许应用从其他应用接收数据
    • 全部 - 用户可以接收从应用程序到其受管应用程序的数据。

    • 受限制 - 用户可以接收从其他受管应用程序到其受管应用程序的数据。

    • - 禁止用户接收从所有应用程序到其受管应用程序的数据。

    禁用“另存为” 禁止用户将受管 Microsoft Intune 应用保护策略应用程序数据保存到其他存储系统或区域。
    限制使用其他应用程序执行剪切、复制和粘贴操作
    • 任何应用 - 用户可以在其受管应用程序和任何应用程序之间剪切、复制和粘贴数据。

    • 已阻止 - 禁止用户在受管应用程序和所有应用程序之间剪切、复制和粘贴数据。

    • 策略受管应用 - 用户可以在受管 Microsoft Intune 应用保护策略应用程序之间剪切、复制和粘贴数据。

    • 具有粘贴功能的策略受管应用 - 用户可以从其受管应用程序剪切和复制数据,并将数据粘贴到其他受管应用程序中。

      用户还可以从任何应用程序剪切数据,并将数据复制到其受管应用程序中。

    限制 Web 内容显示在纳管浏览器中 强制受管应用程序中的链接在受管浏览器中打开。
    为应用数据加密 当设备处于选定状态时,加密与受管应用程序相关的数据。系统会加密存储在任何位置的数据,包括外部存储驱动器和 SIM 卡。
    禁用内容同步 禁止受管应用程序将联系人保存到本机通讯录。
    禁用打印 防止用户打印与受管应用程序关联的数据。
    允许的数据存储位置 管理员可以控制用户可以存储受管应用程序数据的位置。
    访问设置 说明
    需要使用 PIN 以进行访问

    要求用户输入 PIN 才能访问受管应用程序。

    用户在初始访问期间创建 PIN。

    在重置 PIN 之前的尝试次数 设置用户在系统重置 PIN 之前尝试的条目数。
    允许使用简单的 PIN 用户可以创建包含重复字符的四位数 PIN。
    PIN 长度 设置用户必须为其 PIN 设置的字符数。
    允许的 PIN 字符 设置用户必须为其 PIN 配置的字符。
    允许使用指纹而不是 PIN 用户可以使用其指纹(而非 PIN)访问受管应用程序。
    需要使用企业凭据进行访问 用户可以使用其企业凭证访问受管应用程序。
    阻止纳管应用在越狱或根设备上运行 禁止用户访问被破解设备上的受管应用程序。
    在(分钟)后重新检查访问要求

    将系统设置为在访问会话达到某个时间间隔时验证访问 PIN、指纹或凭证信息。

    • 超时 - 受管应用程序的访问会话处于空闲状态的分钟数。

    • 脱机宽限期 - 具有受管应用程序的设备脱机的分钟数。

    擦除应用程序数据之前的脱机间隔(天数) 设置系统在设备处于脱机状态一定天数后从设备中移除受管应用程序数据。
    Android 的设置 说明
    阻止屏幕捕获和 Android Assistant 如果选择,则在使用 Office 应用时,将无法使用截屏和 Android Assistant 应用扫描。
    所需的最低操作系统版本 输入用户必须具备的安全访问应用所需的最低 Android 操作系统版本号。
    所需的最低操作系统版本 (仅限警告警报) 输入用户必须具备的安全访问应用的最低 Android 操作系统版本号。
    所需的最低应用程序版本 输入用户必须具备的安全访问应用所需的最低应用版本号。
    所需的最低应用程序版本 (仅限警告警报) 输入用户必须具备的安全访问应用的最低应用版本号。
    所需的最低 Android 修补程序版本 输入用户必须具备的安全访问应用所需的最旧 Android 安全修补程序级别。
    所需的最低 Android 修补程序版本 (仅限警告警报) 输入用户必须具备的安全访问应用的最旧 Android 安全修补程序级别。
  4. 选择分配的组选项卡,然后将 DLP 应用程序策略分配给 Microsoft 安全组。安全组之前是在 Azure 中配置的。
    设置 说明
    所有安全组

    输入安全组的名称,并将其分配给 DLP 应用策略。从系统在输入后显示的列表中进行选择。

    选择添加组并将 DLP 应用策略分配给安全组。

    分配给 O365 策略的安全组

    列出分配给 DLP 应用策略的安全组。

    选择移除组并从安全组中移除分配。

已删除和已修改策略的警告消息

加载 Microsoft Intune 应用保护策略后,Workspace ONE UEM console 会检查 Azure 门户的 Intune 中是否存在删除和修改。受管策略可能会与已部署的策略不同步。要警告管理员可能的删除和修改,Workspace ONE UEM console 会根据方案显示警告消息。

  • 已在 Microsoft Intune 门户上删除策略。单击“删除设置”以从 UEM 中删除策略设置。

    当有人删除 Intune 中部署的 iOS 或 Android 策略或是两者同时删除时,Workspace ONE UEM console 会显示此消息。选择删除设置会从 Workspace ONE UEM console 中同时移除两个策略的设置,不会修改 Azure 端的任何设置。控制台页面不会自动刷新。

    用户可以将新的 iOS 和 Android 策略部署到 Azure,而不会出现错误。

    注: 如果仅在 Azure 中删除其中一个策略(iOS 或 Android),另一个策略仍会保留在 Azure 中。如果用户选择不保留过去的设置,则必须手动删除其他策略。
  • 策略设置已在 Microsoft Intune 门户上更新,并且与 Workspace ONE UEM 不同步。请单击“同步设置”以更新 UEM 中的此策略。
    当有人在 Azure 门户的 Intune 中同时修改 iOS 和 Android 策略,并且两个策略之间的策略设置仍然匹配时, Workspace ONE UEM console 会显示此消息。选择 同步设置将同时更新 Workspace ONE UEM 中两个策略的设置,以便与从 Azure 中的策略提取的设置相匹配。控制台页面不会自动刷新。
    注: 此方案不包括特定于 iOS 或 Android 的设置,例如 iOS SDK 设置和 Android Assistant 设置。
  • 对于 Azure 门户中的 Android 策略和 iOS 策略,“接收其他应用之间的数据”策略不同。此设置必须相同,Workspace ONE UEM 才能同步 Android 和 iOS 策略。请联系 IT 管理员以解决该问题。
    对于 Azure 门户中的 Android 策略和 iOS 策略,“接收其他应用之间的数据”和“将组织数据发送到其他应用”策略不同。这些设置必须相同,Workspace ONE UEM 才能同步 Android 和 iOS 策略。请联系 IT 管理员以解决该问题。
    对于 Azure 门户中的 Android 策略和 iOS 策略,“禁止备份”、“接收其他应用之间的数据”和“将组织数据发送到其他应用”策略不同。这些设置必须相同,Workspace ONE UEM 才能同步 Android 和 iOS 策略。请联系 IT 管理员以解决该问题。 

    当有人在 Azure 门户的 Intune 中同时修改两个策略,而两个策略之间的策略设置不匹配时,Workspace ONE UEM console 会显示这些消息。这些消息列出了 Azure 中两个策略之间的设置差异。它们还会列出 Azure 中列出的策略名称,而不是由 Workspace ONE UEM console 使用的策略名称。

    在使用 Workspace ONE UEM console 中的同步设置菜单项之前,请解决消息中列出的冲突。

    注: 此方案不包括特定于 iOS 或 Android 的设置,例如 iOS SDK 设置和 Android Assistant 设置。

删除设置菜单项和同步设置菜单项不会修改 Azure 门户中 Intune 的任何设置。