Поделиться через

Использование политик условного доступа на основе приложений в Intune

  • Статья

Microsoft Intune политики защиты приложений работают с условным доступом Microsoft Entra для защиты корпоративных данных на устройствах, используемых сотрудниками. Эти политики работают на устройствах, которые зарегистрированы в Intune, и на устройствах сотрудников, которые не незарегистрированы. В сочетании они относятся к условному доступу на основе приложений.

защита приложений политики — это правила, гарантирующие безопасность данных организации или их хранение в управляемом приложении:

  • Политика защиты приложений может быть правилом, которое применяется при попытке пользователя получить доступ к данным организации или их перемещение, или набором действий, которые запрещены или отслеживаются, когда пользователь работает в управляемом приложении.
  • Под управляемым понимается приложение, к которому применены политики защиты приложений и которое может управляться в Intune.
  • Вы можете заблокировать встроенные приложения электронной почты iOS/iPadOS и Android и разрешить доступ к Exchange Online только для приложения Microsoft Outlook. Кроме того, вы можете заблокировать доступ к SharePoint Online для приложений, к которым не применяются политики защиты приложений Intune.

Условный доступ на основе приложений с управлением клиентскими приложениями добавляет уровень безопасности, обеспечивающий доступ к Exchange Online и другим службам Microsoft 365 только клиентским приложениям, поддерживающим Intune политики защиты приложений.

Совет

В дополнение к политикам условного доступа на основе приложений можно использовать условный доступ на основе устройств с Intune.

Предварительные требования

Требования для создания политики условного доступа на основе приложений:

  • Enterprise Mobility + Security (EMS) или подписка Microsoft Entra ID P1 или P2
  • Пользователи должны иметь лицензию на EMS или Microsoft Entra ID

Дополнительные сведения см. в разделе Цены на Enterprise Mobility или цены на Microsoft Entra.

Поддерживаемые приложения

Список приложений, поддерживающих условный доступ на основе приложений, см. в статье Условный доступ: условия документации по Microsoft Entra.

Модель условного доступа на основе приложений также поддерживает бизнес-приложения, однако такие приложения должны использовать современную проверку подлинности Microsoft 365.

Принципы реализации условного доступа на основе приложений

В этом примере администратор применил политики защиты приложений к приложению Outlook, за которым следует правило условного доступа, которое добавляет приложение Outlook в утвержденный список приложений, которые можно использовать при доступе к корпоративной электронной почте.

Примечание.

Следующую блок-схему можно использовать для других управляемых приложений.

Процесс условного доступа на основе приложений проиллюстрирован на схеме

  1. Пользователь пытается пройти проверку подлинности для Microsoft Entra ID из приложения Outlook.

  2. При первичной проверке подлинности пользователь перенаправляется в магазин приложений, чтобы установить приложение посредника. Приложение брокера может быть Microsoft Authenticator для iOS или Корпоративный портал Майкрософт для устройств Android.

    Если пользователи пытаются использовать собственное почтовое приложение, они перенаправляются в магазин приложений, чтобы затем установить приложение Outlook.

  3. Приложение посредника устанавливается на устройстве.

  4. Приложение брокера запускает процесс регистрации Microsoft Entra, который создает запись устройства в Microsoft Entra ID. Этот процесс отличается от процесса регистрации для функции управления мобильными устройствами (MDM), однако такая запись необходима для применения политик условного доступа к устройству.

  5. Приложение брокера подтверждает Microsoft Entra идентификатор устройства, пользователя и приложение. Эти сведения передаются на серверы входа Microsoft Entra для проверки доступа к запрошенной службе.

  6. Приложение брокера отправляет идентификатор клиента приложения Microsoft Entra ID в рамках процесса проверки подлинности пользователя, чтобы проверка, если он находится в списке, утвержденном политикой.

  7. Microsoft Entra ID позволяет пользователю проходить проверку подлинности и использовать приложение на основе списка, утвержденного политикой. Если приложение отсутствует в списке, Microsoft Entra ID запрещает доступ к приложению.

  8. Приложение Outlook обменивается данными с облачной службой Outlook, инициируя взаимодействие с Exchange Online.

  9. Облачная служба Outlook взаимодействует с Microsoft Entra ID для получения маркера доступа Exchange Online службы для пользователя.

  10. Приложение Outlook взаимодействует с Exchange Online для получения корпоративной электронной почты пользователя.

  11. Корпоративная электронная почта доставляется в почтовый ящик пользователя.

Дальнейшие действия