搭載 AirWatch 的 VMware Workspace ONE® 會與 Microsoft Intune® 應用程式防護原則整合,在兩個主控台中移除 Microsoft Intune 應用程式防護原則的 DLP 原則管理。

您可以在 Workspace ONE UEM中為 Microsoft Intune 應用程式防護設定資料遺失防護 (DLP) 應用程式原則。整合這兩個系統之後,請在 Workspace ONE UEM Console 中管理 DLP 應用程式原則,讓整合保持最新狀態。

大多數 Microsoft Intune 應用程式防護原則可在 Android 平台和 iOS 平台上使用。

在 Workspace ONE UEM Console 中管理以保持同步

整合這兩個系統之後,請在 Workspace ONE UEM Console 中管理 DLP 應用程式原則,讓整合保持最新狀態。Workspace ONE UEM 不會收到在整合的其他部分中所做的變更。DLP 應用程式原則或安全性群組指派可能會不同步。

Android 和 iOS 上的使用者體驗

與 Intune 成功整合後,使用者首次存取應用程式時,iOS 和 Android 平台會提供不同和類似的使用者體驗。

iOS 上的體驗

當裝置使用者向 iOS 裝置上的 Microsoft Office 365 應用程式進行驗證,且成功推送設定檔時,系統會出現快顯視窗,說明您的組織管理應用程式。組態中沒有其他步驟。

Android 上的體驗

要管理 Android 和 Android Enterprise 裝置,使用者必須安裝 Intune 公司入口網站應用程式。此應用程式可做為 Intune App SDK 的代理程式,這跟 Workspace ONE Intelligent Hub 做為 Workspace ONE UEM 應用程式的代理程式一樣。

iOS 和 Android 上的常見體驗

兩個平台都必須將 Intune 設定為裝置上的 MDM 授權單位。您可以在 Azure 租用戶 > 所有資源 > Intune 中為此裝置進行這項設定。從開始使用通知啟用 Intune MDM 授權單位

在 Azure 中執行這些動作,來整合 Microsoft Intune

進行整合前,請建立使用者帳戶,並為使用者指派列出的 Microsoft 授權。

未在 Workspace ONE UEM Console 的目錄服務中整合 Azure AD 的環境,您必須在 Azure 中新增 AirWatch by VMware 應用程式。如需詳細資訊,請存取設定 Workspace ONE UEM 以使用 Azure AD 作為識別服務

重要:

如果您已使用 Workspace ONE UEM 以外的任何其他 MDM 提供者設定可立即使用的註冊 (OOBE),請新增 AirWatch by VMware,且不要在 Azure 中輸入或編輯任何其他設定。如果您輸入或編輯組態,可能會中斷目前的註冊流程。

  • 在 Azure 建立服務帳戶 (使用者),然後為使用者指派適當的角色。
    備註:

    這些步驟是一般步驟。如需有關設定 Azure 的最新詳細資料,請參閱 Microsoft 說明文件。

    1. 在瀏覽器中輸入 portal.azure.com,前往 Azure 入口網站。
    2. 建立使用者,或將使用者與內部部署 Active Directory 同步。

      停用此使用者網域的 MFA (多重要素驗證)。

    3. 將列出的角色指派給此使用者。
      • Intune 管理員
      • 應用程式管理員
      • 目錄讀取者
      • 目錄寫入者
  • 如果您已在 Azure AD 中建立使用者,請使用此帳戶在 portal.azure.com 登入 Azure。確認密碼有效,且不需要更新。
  • 您必須為使用者指派 Azure 中列出的授權。
    • Microsoft Intune 應用程式防護原則
    • Microsoft Enterprise Mobility + Security E3 或 E5

配置 Intune 設定

Workspace ONE UEM Console 中設定資料遺失防護 (DLP) 應用程式原則,並套用至 Microsoft Intune® 應用程式防護應用程式和資料。請先設定 [驗證] 索引標籤,讓系統能夠進行通訊。接著配置 DLP 設定,並將其指派給群組。

Workspace ONE UEM 不會直接在應用程式上強制執行原則。Microsoft SDK 會控制並強制執行原則。
備註:

警告會因作業系統版本與應用程式版本而異。Android 修補程式版本只會以警告訊息通知使用者。不過,警告警示並不會阻止終端使用者使用應用程式。

必要條件

若要設定 DLP 應用程式原則,並將其套用至 Intune 應用程式,您必須具有在 Intune 中設定應用程式原則的許可權。

操作程序

  1. 導覽至群組與設定 > 所有設定 > 應用程式 > Microsoft Intune® 應用程式防護原則
  2. 選取驗證索引標籤,然後輸入 Azure 管理員的使用者名稱和密碼。

    管理員可以使用 Office 365 DLP 應用程式原則,透過 Microsoft Graph API 保護 Office 365 應用程式和資料。若要設定 Office 365 DLP 原則,您需要管理員認證才能將租用戶連線至 Workspace ONE UEM

    設定 描述
    使用者名稱 輸入將租用戶設定至 Workspace ONE UEM 的使用者名稱。
    密碼 輸入將租用戶設定至 Workspace ONE UEM 的密碼。

    Workspace ONE UEM 會使用這些認證來搜尋 DLP 應用程式原則,並將其指派給 Microsoft 安全性群組。

  3. 選取 [資料遺失防護] 索引標籤,並設定偏好的 Microsoft Intune 應用程式防護原則 DLP 應用程式原則。為受管理 Microsoft Intune 應用程式防護原則應用程式和資料設定 DLP 應用程式原則。
    資料重新配置的設定 描述
    禁止備份 防止使用者備份來自受管理應用程式的資料。
    允許應用程式將資料傳輸到其他應用程式
    • 全部 - 使用者可以將資料從受管理應用程式傳送至任何應用程式。

    • 受限制 - 使用者可以將資料從受管理應用程式傳送至其他受管理應用程式。

    • - 避免使用者將資料從受管理應用程式傳送至任何應用程式。

    允許應用程式接收從其他應用程式傳來的資料
    • 全部 - 使用者可以接收從應用程式傳來的資料,並放至其受管理應用程式。

    • 受限制 - 使用者可以接收從其他受管理應用程式傳來的資料,並放至其受管理應用程式。

    • - 防止使用者接收從所有應用程式傳來的資料,並放至其受管理應用程式。

    禁止「另存新檔」 防止使用者將受管理 Microsoft Intune 應用程式防護原則應用程式資料儲存到另一個儲存系統或區域。
    限制與其他應用程式之間進行剪下、複製與貼上
    • 任何應用程式 - 使用者可以在其受管理應用程式與任何應用程式之間進行剪下、複製與貼上資料。

    • 已封鎖 - 防止使用者在受管理應用程式與所有應用程式之間進行剪下、複製和貼上資料。

    • 原則管理應用程式 - 使用者可以在受管理 Microsoft Intune 應用程式防護原則應用程式之間進行剪下、複製和貼上資料。

    • 原則管理應用程式可貼入 - 使用者可以從其受管理應用程式中剪下和複製資料,以及將資料貼入其他受管理應用程式。

      使用者也可以將任何應用程式的資料剪下並複製到其受管理應用程式中。

    限制在受管理瀏覽器中顯示 Web 內容 強制受管理應用程式中的連結在受管理瀏覽器中開啟。
    加密應用程式資料 當裝置處於所選狀態時,加密與受管理應用程式相關的資料。系統會加密儲存在任何位置的資料,包括外部儲存磁碟機和 SIM 卡。
    停用內容同步 防止受管理應用程式將聯絡人儲存到本機通訊錄。
    禁止列印 防止使用者列印與受管理應用程式相關聯的資料。
    允許的資料儲存位置 管理員可以控制使用者儲存受管理應用程式資料的位置。
    存取的設定 描述
    需要使用 PIN 碼以進行存取

    需要使用者輸入 PIN 碼才能存取受管理應用程式。

    使用者會在初始存取期間建立 PIN 碼。

    重設 PIN 碼前嘗試的次數 設定使用者在系統重設 PIN 碼之前嘗試的輸入次數。
    允許簡單的 PIN 碼 使用者可以建立包含重複字元的四位數 PIN 碼。
    PIN 碼長度 設定使用者必須為其 PIN 碼設定的字元數。
    允許的 PIN 碼字元 設定使用者必須為其 PIN 碼設定的字元。
    允許使用指紋而不是 PIN 碼 使用者可以使用指紋而非 PIN 碼存取受管理應用程式。
    要求使用公司認證存取 使用者可使用其企業認證存取受管理應用程式。
    封鎖在破解或刷機過的裝置上執行受管理應用程式。 防止使用者存取遭破解裝置上的受管理應用程式。
    (分鐘) 後重新檢查存取要求

    設定系統,以便在存取工作階段達到其中一個時間間隔時,驗證存取 PIN 碼、指紋或認證資訊。

    • 逾時 - 受管理應用程式的存取工作階段閒置分鐘數。

    • 離線寬限期 - 搭載受管理應用程式裝置的離線分鐘數。

    抹除應用程式資料前的離線間隔 (天) 設定系統在裝置離線達一定天數時,從裝置上移除受管理應用程式資料。
    Android 的設定 描述
    封鎖螢幕擷取和 Android Assistant 如果選取,則使用 Office 應用程式時,無法使用螢幕擷取和 Android Assistant 應用程式掃描。
    要求的最低作業系統版本 輸入要求使用者應具備的最低 Android 作業系統版本編號,以取得對應用程式的安全存取。
    要求的最低作業系統版本 (僅為警告警示) 輸入要求使用者應具備的最低 Android 作業系統版本編號,以取得對應用程式的安全存取。
    要求的最低應用程式版本 輸入要求使用者應具備的最低應用程式版本編號,以取得對應用程式的安全存取。
    要求的最低應用程式版本 (僅為警告警示) 輸入使用者應具備的最低應用程式版本編號,以取得對應用程式的安全存取。
    要求的最低 Android 修補程式版本 輸入要求使用者應具備的最舊 Android 安全性修補程式層級,以取得對應用程式的安全存取。
    要求的最低 Android 修補程式版本 (僅為警告警示) 輸入使用者可擁有的最舊 Android 安全性修補程式層級,以取得對應用程式的安全存取。
  4. 選取指派群組索引標籤,然後將 DLP 應用程式原則指派給 Microsoft 安全性群組。先前已在 Azure 中設定安全性群組。
    設定 描述
    所有安全性群組

    輸入安全性群組的名稱,並將其指派給 DLP 應用程式原則。從輸入後顯示的清單中選取。

    選取新增群組,並將 DLP 應用程式原則指派給安全性群組。

    指派給 O365 原則的安全性群組

    列出指派給 DLP 應用程式原則的安全性群組。

    選取移除群組,然後從安全性群組中移除指派。

已刪除和已修改原則的警告訊息

載入 Microsoft Intune 應用程式防護原則後,Workspace ONE UEM Console 會在 Azure 入口網站的 Intune 中檢查刪除和修改。受管理原則可能會與已部署原則不同步。為了警告管理員可能的刪除和修改,Workspace ONE UEM Console 會根據案例顯示警告訊息。

  • 已在 Microsoft Intune 入口網站上刪除原則。按一下 [刪除設定],從 UEM 刪除原則設定。

    某人刪除部署在 Intune 中的 iOS 和 Android 原則 (其中一個,或兩個都刪除) 後,Workspace ONE UEM Console 會顯示此訊息。選取刪除設定會從 Workspace ONE UEM Console 移除這兩個原則的設定,無需修改 Azure 端的任何內容。主控台頁面不會自動重新整理。

    使用者可以將新的 iOS 和 Android 原則部署至 Azure,而不會發生錯誤。

    備註: 如果在 Azure 中僅刪除了其中一個原則 (iOS 或 Android),另一個原則仍會保留在 Azure 中。如果使用者選擇不保留過去的設定,則必須手動刪除另一個原則。
  • 已在 Microsoft Intune 入口網站上更新原則設定,並且不與 Workspace ONE UEM 同步。按一下 [同步設定],以在 UEM 中更新此原則。
    某人在 Azure 入口網站中修改 Intune 的 iOS 和 Android 原則後, Workspace ONE UEM Console 會顯示此訊息,且兩個原則之間的原則設定仍相符。選取 同步設定會更新 Workspace ONE UEM 中這兩個原則的設定,以符合從 Azure 原則中提取的設定。主控台頁面不會自動重新整理。
    備註: 此案例會排除 iOS 或 Android 專用的設定,例如 iOS SDK 設定和 Android Assistant 設定。
  • 在 Azure 入口網站中,Android 原則和 iOS 原則的「接收其他應用程式之間的資料」原則有所不同。此設定必須相同,Workspace ONE UEM 才能同步 Android 和 iOS 原則。請聯絡 IT 管理員以解決此問題。
    在 Azure 入口網站中,Android 原則和 iOS 原則的「接收其他應用程式之間的資料」和「將組織資料傳送至其他應用程式」的原則各有不同。這些設定必須相同,Workspace ONE UEM 才能同步 Android 和 iOS 原則。請聯絡 IT 管理員以解決此問題。
    在 Azure 入口網站中,Android 原則和 iOS 原則的「禁止備份」、「接收其他應用程式之間的資料」和「將組織資料傳送至其他應用程式」原則有所不同。這些設定必須相同,Workspace ONE UEM 才能同步 Android 和 iOS 原則。請聯絡 IT 管理員以解決此問題。 

    若某人在 Azure 入口網站中修改 Intune 的這兩個原則,但兩個原則之間的原則設定不相同,則 Workspace ONE UEM Console 會顯示這些訊息。這些訊息會列出 Azure 中兩個原則之間的設定不一致狀況。此外也會列出 Azure 中所列原則名稱,而不是由 Workspace ONE UEM Console 使用的原則名稱。

    請先解決訊息中列出的衝突,再使用 Workspace ONE UEM Console 中的同步設定功能表項目。

    備註: 此案例會排除 iOS 或 Android 專用的設定,例如 iOS SDK 設定和 Android Assistant 設定。

刪除設定功能表項目和同步設定功能表項目不會修改 Azure 入口網站中 Intune 的任何設定。