Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji

Użytkownicy regularnie używają swoich urządzeń przenośnych zarówno do zadań osobistych, jak i służbowych. Jednocześnie upewniając się, że pracownicy mogą być wydajni, organizacje chcą również zapobiec utracie danych z aplikacji na urządzeniach, którymi mogą nie zarządzać w pełni.

Dzięki dostępowi warunkowemu organizacje mogą ograniczyć dostęp do zatwierdzonych aplikacji klienckich (obsługujących nowoczesne uwierzytelnianie) z zasadami ochrony aplikacji Intune. W przypadku starszych aplikacji klienckich, które mogą nie obsługiwać zasad ochrony aplikacji, administratorzy mogą umożliwić dostęp tylko zatwierdzonym aplikacjom klienckim.

Ostrzeżenie

Zasady ochrony aplikacji są obsługiwane na systemach iOS i Android, w których aplikacje spełniają określone wymagania. Zasady ochrony aplikacji są obsługiwane w systemie Windows tylko w wersji testowej dla przeglądarki Microsoft Edge. Nie wszystkie aplikacje, które są obsługiwane jako zatwierdzone aplikacje, wspierają zasady ochrony aplikacji. Aby zapoznać się z listą niektórych typowych aplikacji klienckich, zobacz sekcję Wymagania dotyczące zasad ochrony aplikacji. Jeśli twoja aplikacja nie znajduje się na liście, skontaktuj się z deweloperem aplikacji. Aby wymagać zatwierdzonych aplikacji klienckich lub wymuszenia zasad ochrony aplikacji dla urządzeń z systemem iOS i Android, te urządzenia muszą najpierw zarejestrować się w usłudze Microsoft Entra ID.

Uwaga

Wymagaj jednego z wybranych elementów sterujących w ramach kontroli przyznawania jest jak klauzula OR. Jest to używane w ramach polityki, aby umożliwić użytkownikom korzystanie z aplikacji, które obsługują politykę ochrony aplikacji lub kontrole udzielania zatwierdzonej aplikacji klienckiej. Zasady ochrony aplikacji są wymuszane, gdy aplikacja obsługuje przyznanie kontroli.

Aby uzyskać więcej informacji na temat korzyści płynących z używania polityk ochrony aplikacji, przeczytaj artykuł Omówienie polityk ochrony aplikacji.

Następujące zasady są ustawione w trybie tylko do odczytu raportów, aby administratorzy mogli określić wpływ, jaki te zasady będą miały na istniejących użytkowników. Gdy administratorzy są pewni, że zasady są stosowane zgodnie z ich zamierzeniami, mogą przełączyć się na Wł. lub przygotować wdrożenie, dodając określone grupy i wykluczając inne.

Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji z urządzeniami przenośnymi.

Poniższe kroki ułatwiają tworzenie zasad dostępu warunkowego wymagających zatwierdzonej aplikacji klienckiej lub zasad ochrony aplikacji podczas korzystania z urządzenia z systemem iOS/iPadOS lub Android. Te zasady uniemożliwiają korzystanie z klientów programu Exchange ActiveSync przy użyciu uwierzytelniania podstawowego na urządzeniach przenośnych. Te zasady działają razem z zasadami ochrony aplikacji utworzonymi w usłudze Microsoft Intune.

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do Ochrona>Dostęp warunkowy.
3. Wybierz pozycję Utwórz nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości dla obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy i wyklucz co najmniej jedno konto, aby uniemożliwić sobie blokowanie. Jeśli nie wykluczysz żadnych kont, nie możesz utworzyć zasad.
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
7. W obszarze Warunki>Platformy urządzeń ustaw wartość Konfiguruj na Tak.
   1. W obszarze Uwzględnij wybierz platformy urządzeń.
   2. Wybierz pozycję Android i iOS.
   3. Wybierz pozycję Gotowe.
8. W obszarze Kontrole dostępu>Udziel wybierz Udziel dostępu.
   1. Wybierz pozycję Wymagaj zatwierdzonej aplikacji klienckiej i Wymagaj zasad ochrony aplikacji
   2. W przypadku wielu kontrolek wybierz pozycję Wymagaj jednej z wybranych kontrolek
9. Potwierdź ustawienia i ustaw opcję Włącz politykę na Tylko raportowanie.
10. Wybierz Utwórz, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie wyłącznie do raportowania, mogą przenieść przełącznik Włącz politykę z trybu raportowania na Włączone.

Napiwek

Organizacje powinny także wdrożyć politykę blokującą dostęp z nieobsługiwanych lub nieznanych platform urządzeń jako część tej polityki.

Blokuj program Exchange ActiveSync na wszystkich urządzeniach

Polityka ta blokuje wszystkich klientów programu Exchange ActiveSync używających podstawowego uwierzytelniania przed nawiązaniem połączenia z usługą Exchange Online.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do Ochrona>Dostęp warunkowy.
3. Wybierz pozycję Utwórz nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy i wyklucz co najmniej jedno konto, aby uniemożliwić sobie blokowanie. Jeśli nie wykluczysz żadnych kont, nie możesz utworzyć zasad.
   3. Wybierz pozycję Gotowe.
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wybierz zasoby.
   1. Wybierz pozycję Office 365 Exchange Online.
   2. Wybierz pozycję Wybierz.
7. W obszarze Warunki>Aplikacje klienckie ustaw wartość Konfiguruj na Tak.
   1. Usuń zaznaczenie wszystkich opcji z wyjątkiem klientów programu Exchange ActiveSync.
   2. Wybierz pozycję Gotowe.
8. W sekcji Kontroli dostępu>Udziel wybierz Udziel dostępu.
   1. Wybierz pozycję Wymagaj zasad ochrony aplikacji
9. Potwierdź swoje ustawienia i ustaw opcję Włącz politykę na tylko raportowanie.
10. Wybierz pozycję Utwórz, aby włączyć swoją zasadę.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportowania, mogą przenieść przełącznik Włącz politykę z trybu raportowania do pozycji Włączony.

Powiązana zawartość

• Omówienie zasad Ochrona aplikacji
• Typowe zasady dostępu warunkowego
• Migracja zatwierdzonej aplikacji klienckiej do polityki zabezpieczeń aplikacji w dostępie warunkowym