Udostępnij za pośrednictwem


Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji

Użytkownicy regularnie używają swoich urządzeń przenośnych zarówno do zadań osobistych, jak i służbowych. Jednocześnie upewniając się, że pracownicy mogą być wydajni, organizacje chcą również zapobiec utracie danych z aplikacji na urządzeniach, którymi mogą nie zarządzać w pełni.

Dzięki dostępowi warunkowego organizacje mogą ograniczyć dostęp do zatwierdzonych (nowoczesnych aplikacji uwierzytelniania) klienckich przy użyciu zasad ochrony aplikacji usługi Intune. W przypadku starszych aplikacji klienckich, które mogą nie obsługiwać zasad ochrony aplikacji, administratorzy mogą umożliwić dostęp tylko zatwierdzonym aplikacjom klienckim.

Ostrzeżenie

Ochrona aplikacji zasady są obsługiwane w systemach iOS i Android, w których aplikacje spełniają określone wymagania. Ochrona aplikacji zasady są obsługiwane tylko w systemie Windows w wersji zapoznawczej dla przeglądarki Microsoft Edge. Nie wszystkie aplikacje, które są obsługiwane jako zatwierdzone aplikacje lub obsługują zasady ochrony aplikacji. Aby uzyskać listę niektórych typowych aplikacji klienckich, zobacz wymagania dotyczące zasad Ochrona aplikacji. Jeśli twoja aplikacja nie znajduje się na liście, skontaktuj się z deweloperem aplikacji. Aby wymagać zatwierdzonych aplikacji klienckich lub wymuszenia zasad ochrony aplikacji dla urządzeń z systemem iOS i Android, te urządzenia muszą najpierw zarejestrować się w usłudze Microsoft Entra ID.

Uwaga

Wymagaj jednej z wybranych kontrolek w ramach kontrolek udzielania jest jak klauzula OR . Jest to używane w ramach zasad, aby umożliwić użytkownikom korzystanie z aplikacji obsługujących zasady Wymagaj ochrony aplikacji lub Wymagaj zatwierdzonych mechanizmów udzielania aplikacji klienckich. Wymagaj, aby zasady ochrony aplikacji są wymuszane, gdy aplikacja obsługuje udzielanie kontroli.

Aby uzyskać więcej informacji na temat korzyści z używania zasad ochrony aplikacji, zobacz artykuł Ochrona aplikacji policies overview (Omówienie zasad Ochrona aplikacji).

Następujące zasady są umieszczane w trybie tylko do raportów, aby administratorzy mogli określić wpływ, jaki będą mieli na istniejących użytkowników. Gdy administratorzy czują się komfortowo, że zasady mają zastosowanie zgodnie z ich zamiarem, mogą przełączyć się na wł. lub przygotować wdrożenie, dodając określone grupy i wykluczając inne.

Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji z urządzeniami przenośnymi.

Poniższe kroki ułatwiają tworzenie zasad dostępu warunkowego wymagających zatwierdzonej aplikacji klienckiej lub zasad ochrony aplikacji podczas korzystania z urządzenia z systemem iOS/iPadOS lub Android. Te zasady uniemożliwiają korzystanie z klientów programu Exchange ActiveSync przy użyciu uwierzytelniania podstawowego na urządzeniach przenośnych. Te zasady działają razem z zasadami ochrony aplikacji utworzonymi w usłudze Microsoft Intune.

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy i wyklucz co najmniej jedno konto, aby uniemożliwić sobie blokowanie. Jeśli nie wykluczysz żadnych kont, nie możesz utworzyć zasad.
  6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
  7. W obszarze Warunki>Platformy urządzeń ustaw wartość Konfiguruj na Tak.
    1. W obszarze Uwzględnij wybierz platformy urządzeń.
    2. Wybierz pozycję Android i iOS.
    3. Wybierz pozycję Gotowe.
  8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj zatwierdzonej aplikacji klienckiej i Wymagaj zasad ochrony aplikacji
    2. W przypadku wielu kontrolek wybierz pozycję Wymagaj jednej z wybranych kontrolek
  9. Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raport.
  10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Napiwek

Organizacje powinny również wdrożyć zasady blokujące dostęp z nieobsługiwanych lub nieznanych platform urządzeń wraz z zasadami.

Blokuj program Exchange ActiveSync na wszystkich urządzeniach

Te zasady blokują wszystkich klientów programu Exchange ActiveSync przy użyciu podstawowego uwierzytelniania z nawiązywania połączenia z usługą Exchange Online.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy i wyklucz co najmniej jedno konto, aby uniemożliwić sobie blokowanie. Jeśli nie wykluczysz żadnych kont, nie możesz utworzyć zasad.
    3. Wybierz pozycję Gotowe.
  6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wybierz zasoby.
    1. Wybierz pozycję Office 365 Exchange Online.
    2. Wybierz pozycję Wybierz.
  7. W obszarze Warunki>Aplikacje klienckie ustaw wartość Konfiguruj na Tak.
    1. Usuń zaznaczenie wszystkich opcji z wyjątkiem klientów programu Exchange ActiveSync.
    2. Wybierz pozycję Gotowe.
  8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj zasad ochrony aplikacji
  9. Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raport.
  10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.