implementing-mobile-application-management
实施移动应用管理(MAM)策略,通过应用级控制(包括数据防泄漏、选择性擦除、应用配置和容器化) 在托管和非托管移动设备上保护企业数据。适用于保护 BYOD 设备上的企业应用、实施 Intune 应用保护策略,或强制执行个人与工作应用之间的数据隔离。针对 MAM 部署、应用保护策略、 移动容器化或 BYOD 安全请求激活。
Best use case
implementing-mobile-application-management is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
实施移动应用管理(MAM)策略,通过应用级控制(包括数据防泄漏、选择性擦除、应用配置和容器化) 在托管和非托管移动设备上保护企业数据。适用于保护 BYOD 设备上的企业应用、实施 Intune 应用保护策略,或强制执行个人与工作应用之间的数据隔离。针对 MAM 部署、应用保护策略、 移动容器化或 BYOD 安全请求激活。
Teams using implementing-mobile-application-management should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/implementing-mobile-application-management/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How implementing-mobile-application-management Compares
| Feature / Agent | implementing-mobile-application-management | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
实施移动应用管理(MAM)策略,通过应用级控制(包括数据防泄漏、选择性擦除、应用配置和容器化) 在托管和非托管移动设备上保护企业数据。适用于保护 BYOD 设备上的企业应用、实施 Intune 应用保护策略,或强制执行个人与工作应用之间的数据隔离。针对 MAM 部署、应用保护策略、 移动容器化或 BYOD 安全请求激活。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 实施移动应用管理(MAM)
## 适用场景
适用于以下情况:
- 在不进行完整设备管理(MDM)的情况下部署企业移动应用保护
- 实施 BYOD 策略,在保护企业数据的同时尊重个人隐私
- 为 iOS 和 Android 配置 Microsoft Intune 应用保护策略
- 对托管移动应用强制执行数据防泄漏(DLP)控制
**不适用于**已部署完整设备管理(MDM)且已满足需求的情况——当 MDM 已提供所需控制时,MAM 会增加不必要的复杂性。
## 前置条件
- Microsoft Intune 或同等 MAM 平台(VMware Workspace ONE、MobileIron)
- 用于身份和条件访问策略的 Azure AD
- 目标应用已集成 Intune App SDK(或使用 Intune App Wrapping Tool)
- 测试设备(Android 10+ 和 iOS 15+)
- 用于条件访问的 Azure AD Premium P1 或 P2 许可证
## 工作流程
### 步骤 1:定义应用保护策略需求
对数据敏感性进行分类并定义保护等级:
| 等级 | 数据类型 | 控制措施 |
|------|----------|----------|
| 等级 1 - 基础 | 通用企业邮件 | 要求 PIN、禁止截图 |
| 等级 2 - 增强 | 财务数据、HR 记录 | 加密应用数据、限制剪切/复制/粘贴 |
| 等级 3 - 高级 | PII、医疗、法律 | 选择性擦除、离线访问限制、DLP |
### 步骤 2:配置 Intune 应用保护策略
**Android 应用保护策略:**
```json
{
"displayName": "Corporate App Protection - Tier 2",
"platform": "android",
"dataProtectionSettings": {
"allowedDataStorageLocations": ["oneDriveForBusiness", "sharePoint"],
"blockDataTransferToOtherApps": "managedApps",
"blockDataTransferFromOtherApps": "managedApps",
"saveAsBlocked": true,
"clipboardSharingLevel": "managedAppsWithPasteIn",
"screenCaptureBlocked": true,
"encryptAppData": true,
"backupBlocked": true
},
"accessSettings": {
"pinRequired": true,
"minimumPinLength": 6,
"biometricEnabled": true,
"offlineGracePeriod": 720,
"offlineWipeInterval": 90
},
"conditionalLaunchSettings": {
"maxOsVersion": "15.0",
"minOsVersion": "12.0",
"jailbreakBlocked": true,
"maxPinRetries": 5
}
}
```
### 步骤 3:实施应用配置策略
部署托管应用配置以实现端点自动化设置:
```json
{
"displayName": "Email App Configuration",
"targetedManagedApps": ["com.microsoft.outlooklite"],
"settings": [
{"key": "com.microsoft.outlook.EmailProfile.AccountType", "value": "ModernAuth"},
{"key": "com.microsoft.outlook.EmailProfile.ServerName", "value": "outlook.office365.com"},
{"key": "com.microsoft.outlook.EmailProfile.AllowedDomains", "value": "corporate.com"}
]
}
```
### 步骤 4:部署条件访问集成
```
Azure AD > 条件访问 > 新建策略:
- 用户:所有使用企业应用的用户
- 云应用:Office 365、自定义 LOB 应用
- 条件:所有平台
- 授予:要求应用保护策略
- 会话:应用强制限制
```
### 步骤 5:测试并验证 MAM 控制
在两个平台上测试每项策略控制:
```bash
# 验证数据传输限制
1. 打开托管应用(Outlook)
2. 复制邮件正文中的文本
3. 尝试粘贴到非托管应用(备忘录)-- 应被阻断
4. 尝试粘贴到托管应用(Teams)-- 应可以粘贴
# 验证选择性擦除
1. 使用 MAM 注册测试设备
2. 在托管应用中访问企业数据
3. 从 Intune 门户触发选择性擦除
4. 验证企业数据已删除,个人数据完好无损
# 验证离线宽限期
1. 联网状态下访问托管应用
2. 断开网络连接
3. 宽限期到期后,验证应用访问被阻断
```
### 步骤 6:监控与响应
配置 MAM 监控仪表板:
- 应用保护策略分配状态
- 不合规设备/用户报告
- 选择性擦除执行日志
- 越狱/Root 检测告警
- PIN 尝试失败追踪
## 核心概念
| 术语 | 定义 |
|------|------|
| **MAM(移动应用管理)** | 无需完整设备注册的应用级策略,即 Mobile Application Management |
| **应用保护策略(App Protection Policy)** | 在应用级别强制执行数据保护的规则集(加密、DLP、访问控制) |
| **选择性擦除(Selective Wipe)** | 从托管应用中仅删除企业数据,同时保留个人数据 |
| **应用包装(App Wrapping)** | 在不修改源代码的情况下,在构建后对应用应用 MAM SDK 策略的过程 |
| **容器化(Containerization)** | 将企业应用数据隔离在独立于个人应用的加密容器中 |
## 工具与系统
- **Microsoft Intune**:基于云的 MAM/MDM 平台,具有应用保护策略功能
- **Intune App SDK**:用于将 MAM 控制集成到自定义 iOS/Android 应用的 SDK
- **Intune App Wrapping Tool**:无需代码更改即可应用 MAM 策略的编译后工具
- **VMware Workspace ONE**:具有应用容器化功能的替代 MAM 平台
- **Azure AD Conditional Access**:将 MAM 注册作为访问条件强制执行的策略引擎
## 常见陷阱
- **SDK 版本不匹配**:Intune App SDK 版本必须与策略版本匹配。过时的 SDK 版本可能会静默失败,无法执行新策略。
- **iOS 托管剪贴板**:iOS 通过托管剪贴板强制执行粘贴限制,需要应用通过 Intune SDK 集成选择启用。
- **应用包装限制**:已包装的应用无法使用某些功能(某些平台上的推送通知)。对于完整功能,首选 SDK 集成。
- **用户体验摩擦**:过度限制的策略会导致用户不满和影子 IT。从等级 1 开始,根据数据敏感性逐步升级。Related Skills
testing-mobile-api-authentication
测试移动应用 API 的认证与授权机制,识别认证失效、不安全的令牌管理、会话固定、 权限提升和 IDOR 漏洞。适用于对移动应用后端进行 API 安全评估、测试 JWT 实现、 评估 OAuth 流程或评估会话管理的场景。适合涉及移动 API 认证测试、令牌安全评估、 OAuth 移动端流程测试或 API 授权绕过的相关请求。
performing-web-application-vulnerability-triage
使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。
performing-web-application-scanning-with-nikto
Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。
performing-web-application-penetration-test
遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。
performing-web-application-firewall-bypass
使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。
performing-thick-client-application-penetration-test
使用 dnSpy、Procmon 和 Burp Suite 对桌面应用程序执行厚客户端(胖客户端)渗透测试,识别不安全的本地存储、硬编码凭据、DLL 劫持、内存操控和不安全的 API 通信等漏洞。
performing-ssl-certificate-lifecycle-management
SSL/TLS 证书生命周期管理涵盖请求、颁发、部署、监控、续期和吊销 X.509 证书的完整流程。不当的证书管理是导致中断和安全事件的主要原因。本技能涵盖使用 Python 和 ACME 协议工具自动化整个证书生命周期。
performing-mobile-device-forensics-with-cellebrite
使用 Cellebrite UFED 和开源工具获取和分析移动设备数据,提取通信记录、位置数据和应用程序制品。
performing-mobile-app-certificate-pinning-bypass
在授权安全评估期间,绕过 Android 和 iOS 应用中的 SSL/TLS 证书固定实现,以启用流量拦截。 涵盖使用 Frida、Objection 和自定义脚本对 OkHttp、TrustManager、NSURLSession 及第三方固定库的绕过技术。适合证书固定绕过、SSL 固定破解、移动 TLS 拦截 或代理抗性应用测试相关请求。
performing-indicator-lifecycle-management
指标生命周期管理跟踪 IOC 从初始发现到验证、富化、部署、监控和最终停用的全过程。本技能涵盖实施 IOC 质量评估、老化策略、置信度衰减评分、误报跟踪、命中率监控和自动到期的系统化流程,以维护高质量、可操作的指标数据库,最大限度减少分析师疲劳并提高检测效能。
performing-cryptographic-audit-of-application
密码学审计(Cryptographic Audit)系统性地审查应用程序对密码学原语、协议和密钥管理的使用,以识别弱算法、不安全模式、硬编码密钥、熵不足和协议配置错误等漏洞。本技能涵盖构建自动化密码学审计工具,扫描 Python 和配置文件中的常见密码学弱点。
intercepting-mobile-traffic-with-burpsuite
使用 Burp Suite 代理拦截和分析移动应用的 HTTP/HTTPS 流量,以识别不安全的 API 通信、 认证缺陷、数据泄露和服务器端漏洞。适用于移动应用渗透测试、API 安全评估或 评估客户端-服务器通信模式。适合移动流量拦截、Burp Suite 移动代理、API 安全测试 或移动 HTTPS 分析相关请求。