Použití zásad podmíněného přístupu na základě aplikací s Intune
Microsoft Intune zásady ochrany aplikací fungují s Microsoft Entra podmíněným přístupem a pomáhají chránit data organizace na zařízeních, která používají vaši zaměstnanci. Tyto zásady fungují na zařízeních, která se zaregistrují pomocí Intune, a na zařízeních vlastněných zaměstnanci, která se neregistrují. V kombinaci se označují jako podmíněný přístup založený na aplikacích.
Ochrana aplikací zásady jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci:
- Zásady ochrany aplikací můžou být pravidlo, které se vynucuje, když se uživatel pokusí získat přístup k datům organizace nebo je přesunout, nebo sada akcí, které jsou zakázané nebo monitorované, když uživatel pracuje ve spravované aplikaci.
- Spravovaná aplikace je aplikace, která má použité zásady ochrany aplikací a je možné ji spravovat pomocí Intune.
- Pokud povolíte přístup k Exchange Online jenom aplikaci Microsoft Outlook, můžete také blokovat integrované poštovní aplikace v iOS/iPadOS a Androidu. Kromě toho můžete zablokovat přístup k SharePointu Online aplikacím, které nemají použité zásady ochrany aplikací Intune.
Podmíněný přístup založený na aplikacích se správou klientských aplikací přidává vrstvu zabezpečení, která zajišťuje, aby přístup k Exchangi Online a dalším službám Microsoftu 365 mohly přistupovat jenom klientské aplikace, které podporují zásady ochrany aplikací Intune.
Tip
Kromě zásad podmíněného přístupu založených na aplikacích můžete používat podmíněný přístup založený na zařízení s Intune.
Požadavky
Než vytvoříte zásadu podmíněného přístupu na základě aplikace, musíte mít:
- Enterprise Mobility + Security (EMS) nebo předplatné Microsoft Entra ID P1 nebo P2
- Uživatelé musí mít licenci pro EMS nebo Microsoft Entra ID
Další informace najdete v tématu Ceny služby Enterprise Mobility nebo ceny Microsoft Entra.
Podporované aplikace
Seznam aplikací, které podporují podmíněný přístup na základě aplikací, najdete v tématu Podmíněný přístup: Podmínky v dokumentaci k Microsoft Entra.
Podmíněný přístup založený na aplikacích také podporuje obchodní aplikace, ale tyto aplikace musí používat moderní ověřování Microsoft 365.
Jak funguje podmíněný přístup na základě aplikací
V tomto příkladu správce použil zásady ochrany aplikací pro aplikaci Outlook následované pravidlem podmíněného přístupu, které aplikaci Outlook přidá do seznamu schválených aplikací, které se dají použít při přístupu k podnikovému e-mailu.
Poznámka
Následující vývojový diagram je možné použít pro jiné spravované aplikace.
Uživatel se pokusí ověřit Microsoft Entra ID z aplikace Outlook.
Uživatel se při prvním pokusu o ověření přesměruje do Obchodu s aplikacemi, aby nainstaloval zprostředkující aplikaci. Zprostředkující aplikací může být Microsoft Authenticator pro iOS nebo Portál společnosti Microsoft pro zařízení s Androidem.
Pokud se uživatelé pokusí použít nativní e-mailovou aplikaci, přesměrují se do App Storu, kde si aplikaci Outlook nainstalují.
Na zařízení se nainstaluje zprostředkovaná aplikace.
Aplikace zprostředkovatele spustí proces registrace Microsoft Entra, který vytvoří záznam zařízení v Microsoft Entra ID. Tento proces není stejný jako proces registrace správy mobilních zařízení (MDM), ale tento záznam je nezbytný, aby bylo možné na zařízení vynutit zásady podmíněného přístupu.
Aplikace zprostředkovatele potvrdí ID zařízení Microsoft Entra, uživatele a aplikaci. Tyto informace se předají Microsoft Entra přihlašovacím serverům za účelem ověření přístupu k požadované službě.
Zprostředkovatelská aplikace odešle ID klienta aplikace Microsoft Entra ID v rámci procesu ověřování uživatele, aby zkontrolovala, jestli je v seznamu schválených zásad.
Microsoft Entra ID umožňuje uživateli ověřit a používat aplikaci na základě seznamu schválených zásad. Pokud aplikace není v seznamu, Microsoft Entra ID přístup k aplikaci odepře.
Aplikace Outlook komunikuje s cloudovou službou Outlooku za účelem zahájení komunikace s Exchange Online.
Cloudová služba Outlooku komunikuje s Microsoft Entra ID za účelem načtení přístupového tokenu Exchange Online služby pro uživatele.
Aplikace Outlook komunikuje s Exchange Online, aby načetla firemní e-mail uživatele.
Firemní e-maily se doručí do poštovní schránky uživatele.