Udostępnij za pośrednictwem


Wymaganie zasad ochrony aplikacji na urządzeniach z systemem Windows

Zasady ochrony aplikacji stosowane są w ramach zarządzania aplikacjami mobilnymi (MAM) do określonych aplikacji na urządzeniu. Te zasady umożliwiają zabezpieczanie danych w aplikacji w scenariuszach, takich jak bring your own device (BYOD).

Zrzut ekranu przedstawiający przeglądarkę, która wymaga od użytkownika zalogowania się do profilu przeglądarki Microsoft Edge w celu uzyskania dostępu do aplikacji.

Wymagania wstępne

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

  • Dostęp awaryjny lub konty awaryjne, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez reprezentantów usługi nie będą blokowane przez zasady dostępu warunkowego dotyczące użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
    • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Tworzenie zasady dostępu warunkowego

Następujące zasady są początkowo umieszczane w trybie jedynie raportowania, aby administratorzy mogli określić wpływ na istniejących użytkowników. Gdy administratorzy są pewni, że polityka ma zastosowanie zgodnie z oczekiwaniami, mogą przełączyć się na Wł lub przygotować wdrożenie, dodając określone grupy i wykluczając inne.

Wymaganie zasad ochrony aplikacji dla urządzeń z systemem Windows

Poniższe kroki ułatwiają tworzenie zasad dostępu warunkowego wymagających zasad ochrony aplikacji podczas korzystania z urządzenia z systemem Windows, które uzyskuje dostęp do grupowania aplikacji usługi Office 365 w dostępie warunkowym. Zasady ochrony aplikacji muszą być również skonfigurowane i przypisane do użytkowników w usłudze Microsoft Intune. Aby uzyskać więcej informacji na temat tworzenia zasad ochrony aplikacji, zobacz artykuł Ochrona aplikacji ustawienia zasad dla systemu Windows. Poniższe zasady obejmują wiele mechanizmów kontroli, które umożliwiają urządzeniom używanie zasad ochrony aplikacji na potrzeby zarządzania aplikacjami mobilnymi (MAM) lub zarządzania nimi i zgodności z zasadami zarządzania urządzeniami przenośnymi (MDM).

Napiwek

Polityki ochrony aplikacji (MAM) obsługują te urządzenia niezarządzane:

  • Jeśli urządzenie jest już zarządzane za pomocą zarządzania urządzeniami przenośnymi (MDM), rejestracja w usłudze Intune mam jest zablokowana, a ustawienia zasad ochrony aplikacji nie są stosowane.
  • Jeśli urządzenie stanie się zarządzane po rejestracji MAM, ustawienia polityk ochrony aplikacji nie będą już stosowane.
  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do Ochrona>dostępu warunkowego>zasady.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W sekcji Przypisania wybierz Użytkownicy lub tożsamości obciążenia.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy, a następnie wybierz co najmniej konta awaryjne do uzyskania dostępu awaryjnego lub konta break-glass w organizacji.
  6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Office 365.
  7. W warunkach:
    1. Na platformach urządzeń ustawiono wartość Konfiguruj na Wartość Tak.
      1. W obszarze Uwzględnij wybierz platformy urządzeń.
      2. Wybierz tylko system Windows .
      3. Wybierz pozycję Gotowe.
    2. Aplikacje klienckie mają ustawioną wartość Konfiguruj na Wartość Tak.
      1. Wybierz tylko przeglądarkę.
  8. W obszarze Kontroli dostępu>Udziel wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj zasad ochrony aplikacji i Wymagaj, aby urządzenie było oznaczone jako zgodne.
    2. W przypadku wielu kontrolek wybierz pozycję Wymagaj jednej z wybranych kontrolek
  9. Potwierdź ustawienia i ustaw Włącz politykę na Tryb wyłącznie raportowania.
  10. Wybierz pozycję Utwórz, aby włączyć swoją politykę.

Notatka

Jeśli ustawisz wartość Wymagaj wszystkich wybranych kontrolek lub po prostu użyjesz Wymagaj zasad ochrony aplikacji samodzielnie, musisz upewnić się, że kierujesz te ustawienia tylko na urządzenia niezarządzane lub że urządzenia nie są zarządzane przez rozwiązanie MDM. W przeciwnym razie zasady zablokują dostęp do wszystkich aplikacji, ponieważ nie będą mogły ocenić, czy aplikacja jest zgodna z zasadami.

Po potwierdzeniu przez administratorów ustawień w trybie raportowania, mogą przenieść przełącznik Włącz zasady z Raportowania do Włączone.

Napiwek

Organizacje powinny również wdrożyć politykę, która blokuje dostęp z nieobsługiwanych lub nieznanych platform urządzeń wraz z tą polityką.

Logowanie się na urządzeniach z systemem Windows

Gdy użytkownicy próbują zalogować się do witryny chronionej przez zasady ochrony aplikacji po raz pierwszy, zostanie wyświetlony monit: Aby uzyskać dostęp do usługi, aplikacji lub witryny internetowej, może być konieczne zalogowanie się do przeglądarki Microsoft Edge przy użyciu username@domain.com lub zarejestrowanie urządzenia organization , jeśli już się zalogowano.

Kliknięcie opcji Przełącz profil Edge powoduje otwarcie okna z listą ich konta służbowego lub szkolnego wraz z opcją Zaloguj się w celu zsynchronizowania danych.

Zrzut ekranu przedstawiający wyskakujące okienko w przeglądarce Microsoft Edge z prośbą o zalogowanie się użytkownika.

Ten proces otwiera okno umożliwiające systemowi Windows zapamiętanie konta i automatyczne logowanie się do aplikacji i witryn internetowych.

Uwaga

Należy WYCZYŚCIĆ POLE WYBORUZezwól, aby moja organizacja zarządzała moim urządzeniem. Pozostawienie tego zaznaczenia powoduje zarejestrowanie urządzenia w rozwiązaniu do zarządzania urządzeniami przenośnymi (MDM), a nie zarządzania aplikacjami mobilnymi (MAM).

Nie wybieraj pozycji Nie, zaloguj się tylko do tej aplikacji.

Zrzut ekranu przedstawiający okno pozostawania zalogowanym we wszystkich aplikacjach. Usuń zaznaczenie pola wyboru „Zezwalaj organizacji na zarządzanie moim urządzeniem”.

Po wybraniu OK może zostać wyświetlone okno postępu w trakcie stosowania zasad. Po kilku chwilach powinno zostać wyświetlone okno z informacją Wszystko jest ustawione, zasady ochrony aplikacji są stosowane.

Rozwiązywanie problemów

Typowe problemy

W niektórych okolicznościach po otrzymaniu strony "Wszystko gotowe" może być nadal wyświetlany monit o zalogowanie się przy użyciu konta służbowego. Ten monit może wystąpić, gdy:

  • Twój profil został dodany do przeglądarki Microsoft Edge, ale rejestracja MAM jest nadal przetwarzana.
  • Twój profil został dodany do przeglądarki Microsoft Edge, ale wybrałeś opcję "tylko ta aplikacja" na stronie informacyjnej.
  • Zarejestrowałeś się do usługi MAM, ale Twoja rejestracja wygasła lub nie spełniasz wymagań organizacji.

Aby rozwiązać te możliwe scenariusze:

  • Poczekaj kilka minut i spróbuj ponownie na nowej karcie.
  • Skontaktuj się z administratorem, aby sprawdzić, czy zasady zarządzania aplikacjami mobilnymi w usłudze Microsoft Intune są prawidłowo stosowane do Twojego konta.

Istniejące konto

Istnieje znany problem polegający na tym, że istnieje wstępnie istniejące, niezarejestrowane konto, na przykład user@contoso.com w przeglądarce Microsoft Edge, lub jeśli użytkownik loguje się bez rejestrowania przy użyciu strony head up, konto nie jest poprawnie zarejestrowane w usłudze MAM. Ta konfiguracja uniemożliwia prawidłowe zarejestrowanie użytkownika w usłudze MAM.

Następne kroki