implementing-mobile-application-management

实施移动应用管理（MAM）

适用场景

适用于以下情况：

• 在不进行完整设备管理（MDM）的情况下部署企业移动应用保护
• 实施 BYOD 策略，在保护企业数据的同时尊重个人隐私
• 为 iOS 和 Android 配置 Microsoft Intune 应用保护策略
• 对托管移动应用强制执行数据防泄漏（DLP）控制

不适用于已部署完整设备管理（MDM）且已满足需求的情况——当 MDM 已提供所需控制时，MAM 会增加不必要的复杂性。

前置条件

• Microsoft Intune 或同等 MAM 平台（VMware Workspace ONE、MobileIron）
• 用于身份和条件访问策略的 Azure AD
• 目标应用已集成 Intune App SDK（或使用 Intune App Wrapping Tool）
• 测试设备（Android 10+ 和 iOS 15+）
• 用于条件访问的 Azure AD Premium P1 或 P2 许可证

工作流程

步骤 1：定义应用保护策略需求

对数据敏感性进行分类并定义保护等级：

等级	数据类型	控制措施
等级 1 - 基础	通用企业邮件	要求 PIN、禁止截图
等级 2 - 增强	财务数据、HR 记录	加密应用数据、限制剪切/复制/粘贴
等级 3 - 高级	PII、医疗、法律	选择性擦除、离线访问限制、DLP

步骤 2：配置 Intune 应用保护策略

Android 应用保护策略：

{
    "displayName": "Corporate App Protection - Tier 2",
    "platform": "android",
    "dataProtectionSettings": {
        "allowedDataStorageLocations": ["oneDriveForBusiness", "sharePoint"],
        "blockDataTransferToOtherApps": "managedApps",
        "blockDataTransferFromOtherApps": "managedApps",
        "saveAsBlocked": true,
        "clipboardSharingLevel": "managedAppsWithPasteIn",
        "screenCaptureBlocked": true,
        "encryptAppData": true,
        "backupBlocked": true
    },
    "accessSettings": {
        "pinRequired": true,
        "minimumPinLength": 6,
        "biometricEnabled": true,
        "offlineGracePeriod": 720,
        "offlineWipeInterval": 90
    },
    "conditionalLaunchSettings": {
        "maxOsVersion": "15.0",
        "minOsVersion": "12.0",
        "jailbreakBlocked": true,
        "maxPinRetries": 5
    }
}

步骤 3：实施应用配置策略

部署托管应用配置以实现端点自动化设置：

{
    "displayName": "Email App Configuration",
    "targetedManagedApps": ["com.microsoft.outlooklite"],
    "settings": [
        {"key": "com.microsoft.outlook.EmailProfile.AccountType", "value": "ModernAuth"},
        {"key": "com.microsoft.outlook.EmailProfile.ServerName", "value": "outlook.office365.com"},
        {"key": "com.microsoft.outlook.EmailProfile.AllowedDomains", "value": "corporate.com"}
    ]
}

步骤 4：部署条件访问集成

Azure AD > 条件访问 > 新建策略：
- 用户：所有使用企业应用的用户
- 云应用：Office 365、自定义 LOB 应用
- 条件：所有平台
- 授予：要求应用保护策略
- 会话：应用强制限制

步骤 5：测试并验证 MAM 控制

在两个平台上测试每项策略控制：

# 验证数据传输限制
1. 打开托管应用（Outlook）
2. 复制邮件正文中的文本
3. 尝试粘贴到非托管应用（备忘录）-- 应被阻断
4. 尝试粘贴到托管应用（Teams）-- 应可以粘贴

# 验证选择性擦除
1. 使用 MAM 注册测试设备
2. 在托管应用中访问企业数据
3. 从 Intune 门户触发选择性擦除
4. 验证企业数据已删除，个人数据完好无损

# 验证离线宽限期
1. 联网状态下访问托管应用
2. 断开网络连接
3. 宽限期到期后，验证应用访问被阻断

步骤 6：监控与响应

配置 MAM 监控仪表板：

• 应用保护策略分配状态
• 不合规设备/用户报告
• 选择性擦除执行日志
• 越狱/Root 检测告警
• PIN 尝试失败追踪

核心概念

术语	定义
MAM（移动应用管理）	无需完整设备注册的应用级策略，即 Mobile Application Management
应用保护策略（App Protection Policy）	在应用级别强制执行数据保护的规则集（加密、DLP、访问控制）
选择性擦除（Selective Wipe）	从托管应用中仅删除企业数据，同时保留个人数据
应用包装（App Wrapping）	在不修改源代码的情况下，在构建后对应用应用 MAM SDK 策略的过程
容器化（Containerization）	将企业应用数据隔离在独立于个人应用的加密容器中

工具与系统

• Microsoft Intune：基于云的 MAM/MDM 平台，具有应用保护策略功能
• Intune App SDK：用于将 MAM 控制集成到自定义 iOS/Android 应用的 SDK
• Intune App Wrapping Tool：无需代码更改即可应用 MAM 策略的编译后工具
• VMware Workspace ONE：具有应用容器化功能的替代 MAM 平台
• Azure AD Conditional Access：将 MAM 注册作为访问条件强制执行的策略引擎

常见陷阱

• SDK 版本不匹配：Intune App SDK 版本必须与策略版本匹配。过时的 SDK 版本可能会静默失败，无法执行新策略。
• iOS 托管剪贴板：iOS 通过托管剪贴板强制执行粘贴限制，需要应用通过 Intune SDK 集成选择启用。
• 应用包装限制：已包装的应用无法使用某些功能（某些平台上的推送通知）。对于完整功能，首选 SDK 集成。
• 用户体验摩擦：过度限制的策略会导致用户不满和影子 IT。从等级 1 开始，根据数据敏感性逐步升级。