Typowe zasady dostępu warunkowego: wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji

  • Artykuł

Osoby regularnie używać swoich urządzeń przenośnych do zadań osobistych i służbowych. Jednocześnie upewniając się, że pracownicy mogą być wydajni, organizacje chcą również zapobiec utracie danych z aplikacji na urządzeniach, którymi mogą nie zarządzać w pełni.

Dzięki dostępowi warunkowego organizacje mogą ograniczyć dostęp do zatwierdzonych (nowoczesnych aplikacji uwierzytelniania) klienckich przy użyciu zasad ochrony aplikacji usługi Intune. W przypadku starszych aplikacji klienckich, które mogą nie obsługiwać zasad ochrony aplikacji, administratorzy mogą umożliwić dostęp tylko zatwierdzonym aplikacjom klienckim.

Ostrzeżenie

Ochrona aplikacji zasady są obsługiwane w systemach iOS i Android, w których aplikacje spełniają określone wymagania. Ochrona aplikacji zasady są obsługiwane tylko w systemie Windows w wersji zapoznawczej dla przeglądarki Microsoft Edge.

Nie wszystkie aplikacje, które są obsługiwane jako zatwierdzone aplikacje lub obsługują zasady ochrony aplikacji. Aby uzyskać listę niektórych typowych aplikacji klienckich, zobacz wymagania dotyczące zasad Ochrona aplikacji. Jeśli twoja aplikacja nie znajduje się na liście, skontaktuj się z deweloperem aplikacji.

Aby wymagać zatwierdzonych aplikacji klienckich dla urządzeń z systemami iOS i Android, te urządzenia muszą najpierw zarejestrować się w usłudze Microsoft Entra ID.

Uwaga

"Wymagaj jednej z wybranych kontrolek" w obszarze kontrolek udzielania jest jak klauzula OR. Jest to używane w ramach zasad, aby umożliwić użytkownikom korzystanie z aplikacji obsługujących zasady Wymagaj ochrony aplikacji lub Wymagaj zatwierdzonych mechanizmów udzielania aplikacji klienckich. Wymagaj, aby zasady ochrony aplikacji są wymuszane, gdy aplikacja obsługuje udzielanie kontroli.

Aby uzyskać więcej informacji na temat korzyści z używania zasad ochrony aplikacji, zobacz artykuł Ochrona aplikacji policies overview (Omówienie zasad Ochrona aplikacji).

Tworzenie zasad dostępu warunkowego

Poniższe zasady są umieszczane w trybie tylko do raportu, aby umożliwić administratorom określenie wpływu, jaki będą mieli na istniejących użytkowników. Gdy administratorzy czują się komfortowo, że zasady mają zastosowanie zgodnie z ich zamiarem, mogą przełączyć się na wł. lub przygotować wdrożenie, dodając określone grupy i wykluczając inne.

Wymaganie zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji z urządzeniami przenośnymi

Poniższe kroki pomogą utworzyć zasady dostępu warunkowego wymagające zatwierdzonej aplikacji klienckiej lub zasad ochrony aplikacji podczas korzystania z urządzenia z systemem iOS/iPadOS lub Android. Te zasady uniemożliwią również korzystanie z klientów programu Exchange ActiveSync przy użyciu uwierzytelniania podstawowego na urządzeniach przenośnych. Te zasady działają razem z zasadami ochrony aplikacji utworzonymi w usłudze Microsoft Intune.

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. Nadaj zasadom nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy i wyklucz co najmniej jedno konto, aby uniemożliwić sobie blokowanie. Jeśli nie wykluczysz żadnych kont, nie możesz utworzyć zasad.
  6. W obszarze Docelowe zasoby>Aplikacje>w chmurze Uwzględnij wybierz pozycję Wszystkie aplikacje w chmurze.
  7. W obszarze Warunki>Platformy urządzeń ustaw wartość Konfiguruj na Tak.
    1. W obszarze Uwzględnij wybierz platformy urządzeń.
    2. Wybierz pozycję Android i iOS.
    3. Wybierz pozycję Gotowe.
  8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj zatwierdzonej aplikacji klienckiej i Wymagaj zasad ochrony aplikacji
    2. W przypadku wielu kontrolek wybierz pozycję Wymagaj jednej z wybranych kontrolek
  9. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Napiwek

Organizacje powinny również wdrożyć zasady blokujące dostęp z nieobsługiwanych lub nieznanych platform urządzeń wraz z zasadami.

Blokuj program Exchange ActiveSync na wszystkich urządzeniach

Te zasady blokują wszystkich klientów programu Exchange ActiveSync przy użyciu podstawowego uwierzytelniania podczas nawiązywania połączenia z usługą Exchange Online.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. Nadaj zasadom nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy i wyklucz co najmniej jedno konto, aby uniemożliwić sobie blokowanie. Jeśli nie wykluczysz żadnych kont, nie możesz utworzyć zasad.
    3. Wybierz pozycję Gotowe.
  6. W obszarze Docelowe zasoby>Aplikacje>w chmurze Dołącz wybierz pozycję Wybierz aplikacje.
    1. Wybierz pozycję Office 365 Exchange Online.
    2. Wybierz pozycję Wybierz.
  7. W obszarze Warunki>Aplikacje klienckie ustaw wartość Konfiguruj na Tak.
    1. Usuń zaznaczenie wszystkich opcji z wyjątkiem klientów programu Exchange ActiveSync.
    2. Wybierz pozycję Gotowe.
  8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj zasad ochrony aplikacji
  9. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Następne kroki

Omówienie zasad Ochrona aplikacji

Typowe zasady dostępu warunkowego

Migrowanie zatwierdzonej aplikacji klienckiej do zasad ochrony aplikacji w dostępie warunkowym