需要批准的客户端应用或应用保护策略
员工定期使用其移动设备执行个人和工作任务。 在确保员工能够高效工作的同时,组织还需要防止设备上的应用程序数据丢失,因为这些设备可能并未完全托管。
使用条件访问,组织可以限制对经批准(支持新式身份验证)的客户端应用的访问,这些客户端应用采用了 Intune 应用保护策略。 对于可能不支持应用保护策略的旧客户端应用,管理员可限制对经批准的客户端应用的访问。
警告
在 iOS 和 Android 上,满足特定需求的应用程序中支持应用保护策略。 在 Windows 上,Microsoft Edge 浏览器支持的应用保护策略仅为预览版。 并非所有应用程序都支持用作经批准的应用程序或支持应用程序保护策略。 有关某些常见客户端应用的列表,请参阅应用保护策略要求。 如果你的应用程序未在其中列出,请联系应用程序开发人员。 为了要求使用获批的客户端应用,或强制为 iOS 和 Android 设备使用应用保护策略,必须首先在 Microsoft Entra ID 中注册这些设备。
注意
授权控件下的“需要一个所选控件”与 OR 子句很相似。 它在策略中使用,来让用户能够利用支持“需要应用保护策略”或“需要批准的客户端应用”授权控件的应用 。 当应用支持该授权控件时,会强制实施应用保护策略。
如需详细了解使用应用保护策略的好处,请参阅应用保护策略概述一文。
以下策略将在“仅限报告”模式下启动,以便管理员确定它们对现有用户的影响。 当管理员认为策略按预期应用时,可以通过添加特定组并排除其他组来切换到“开”或暂存部署。
使用移动设备时,需要经批准的客户端应用或应用保护策略。
若使用 iOS/iPadOS 或 Android 设备,可以借助以下步骤创建条件访问策略,此过程需要使用经批准的客户端应用或应用保护策略。 此策略阻止在移动设备上使用应用基础身份验证的 Exchange ActiveSync 客户端。 此策略与 Microsoft Intune 中创建的应用保护策略协同工作。
组织可选择使用以下步骤或条件访问模板来部署此策略。
- 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“保护”>“条件访问”。
- 选择“创建新策略”。
- 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
- 在“分配”下,选择“用户或工作负载标识” 。
- 在“包括”下,选择“所有用户”。
- 在“排除”下,选择“用户和组”,并排除至少一个帐户,以防你被锁定。如果不排除任何帐户,就无法创建策略。
- 在“目标资源”>“资源(以前为云应用)”>“包括”下,选择“所有资源(以前为‘所有云应用’)”。
- 在“条件”>“设备平台”下,将“配置”设置为“是”。
- 在“包括”下,选择“设备平台” 。
- 选择“Android”和“iOS”。
- 选择“完成”。
- 在“访问控制”>“授权”下,选择“授权访问”。
- 选择“需要经批准的客户端应用”和“需要应用保护策略”
- 对于多个控件,选择“需要某一已选控件”
- 确认设置,然后将“启用策略”设置为“仅限报告”。
- 选择“创建”,以便创建启用策略所需的项目。
在管理员使用仅限报告模式确认你的设置后,他们可以将“启用策略”开关从“仅限报告”移至“启用”。
提示
除此策略外,组织还应部署一个策略以阻止来自不受支持或未知的设备平台的访问。
在所有设备上阻止 Exchange ActiveSync
此策略阻止所有使用基础身份验证的 Exchange ActiveSync 客户端连接到 Exchange Online。
- 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“保护”>“条件访问”。
- 选择“创建新策略”。
- 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
- 在“分配”下,选择“用户或工作负载标识” 。
- 在“包括”下,选择“所有用户”。
- 在“排除”下,选择“用户和组”,并排除至少一个帐户,以防你被锁定。如果不排除任何帐户,就无法创建策略 。
- 选择“完成” 。
- 在“目标资源”>“资源(以前为云应用)”>“包括”下,选择“选择资源”。
- 选择“Office 365 Exchange Online”。
- 选择“选择” 。
- 在“条件”>“客户端应用”下,将“配置”设置为“是” 。
- 取消选中除“Exchange ActiveSync 客户端”之外的所有选项。
- 选择“完成”。
- 在“访问控制” > “授权”下,选择“授权访问”。
- 选择“需要应用保护策略”
- 确认设置,然后将“启用策略”设置为“仅限报告”。
- 选择“创建”,以便创建启用策略所需的项目。
在管理员使用仅限报告模式确认你的设置后,他们可以将“启用策略”开关从“仅限报告”移至“启用”。