Sdílet prostřednictvím

Vyžadování zásad ochrany aplikací na zařízeních s Windows

  • Článek

Ochrana aplikací zásady aplikují správu mobilních aplikací (MAM) na konkrétní aplikace na zařízení. Tyto zásady umožňují zabezpečit data v rámci aplikace a podpořit tak scénáře, jako je BYOD (Přineste si vlastní zařízení).

Snímek obrazovky prohlížeče, který vyžaduje, aby se uživatel přihlásil ke svému profilu Microsoft Edge pro přístup k aplikaci

Požadavky

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

  • Nouzový přístup nebo prolomení účtů, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři jsou všichni správci uzamčeni, váš účet pro správu tísňového volání se dá použít k přihlášení a provedení kroků pro obnovení přístupu.
  • Účty služeb a instanční objekty, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
    • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami.

Vytvořte zásady podmíněného přístupu

Následující zásady se umístí do režimu jen pro sestavy, aby správci mohli určit dopad, který mají na stávající uživatele. Pokud jsou správci spokojení s tím, že zásady platí podle jejich plánu, můžou nasazení přepnout na zapnuto nebo zfázovat přidáním konkrétních skupin a vyloučením ostatních.

Vyžadování zásad ochrany aplikací pro zařízení s Windows

Následující kroky vám pomůžou vytvořit zásady podmíněného přístupu, které vyžadují zásady ochrany aplikací při používání zařízení s Windows při přístupu k seskupování aplikací Office 365 v podmíněném přístupu. Zásady ochrany aplikací musí být také nakonfigurované a přiřazené vašim uživatelům v Microsoft Intune. Další informace o tom, jak vytvořit zásady ochrany aplikací, najdete v článku Ochrana aplikací nastavení zásad pro Windows. Následující zásady zahrnují několik ovládacích prvků, které zařízením umožňují používat zásady ochrany aplikací pro správu mobilních aplikací (MAM) nebo spravovat a dodržovat zásady správy mobilních zařízení (MDM).

Tip

zásady Ochrana aplikací (MAM) podporují nespravovaná zařízení:

  • Pokud už je zařízení spravované prostřednictvím správy mobilních zařízení (MDM), registrace Intune MAM se zablokuje a nastavení zásad ochrany aplikací se nepoužije.
  • Pokud se zařízení stane spravovaným po registraci MAM, nastavení zásad ochrany aplikací se už nepoužije.
  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k zásadám podmíněného přístupu ochrany>>.
  3. Vyberte Možnost Nová zásada.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Možnost Všichni uživatelé.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte aspoň účet tísňového volání nebo účty pro tísňové volání vaší organizace.
  6. V části Cílové prostředky>(dříve cloudové aplikace)>Zahrnout vyberte Office 365.
  7. Za podmínek:
    1. Platformy zařízení jsou nastaveny na Hodnotu Ano.
      1. V části Zahrnout vyberte platformy zařízení.
      2. Zvolte jenom Windows .
      3. Vyberte Hotovo.
    2. Klientské aplikace jsou nastaveny na Hodnotu Ano.
      1. Vyberte pouze prohlížeč .
  8. V části Řízení>přístupu udělte možnost Udělit přístup.
    1. Vyberte Vyžadovat zásady ochrany aplikací a Vyžadovat, aby zařízení bylo označené jako vyhovující.
    2. U více ovládacích prvků vyberte Vyžadovat jeden z vybraných ovládacích prvků.
  9. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
  10. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Tip

Organizace by také měly nasadit zásadu, která blokuje přístup z nepodporovaných nebo neznámých platforem zařízení spolu s touto zásadou .

Přihlášení k zařízením s Windows

Když se uživatelé poprvé pokusí přihlásit k webu chráněnému zásadami ochrany aplikací, zobrazí se jim výzva: Pokud chcete získat přístup ke službě, aplikaci nebo webu, budete se možná muset přihlásit k Microsoft Edgi pomocí username@domain.com nebo zaregistrovat zařízení organization , pokud už jste přihlášení.

Kliknutím na přepnout profil Edge se otevře okno se seznamem svého pracovního nebo školního účtu spolu s možností Přihlásit se a synchronizovat data.

Snímek obrazovky s automaticky otevíranou obrazovkou v Microsoft Edgi s výzvou, aby se uživatel přihlásil

Tento proces otevře okno, které umožní systému Windows zapamatovat si váš účet a automaticky vás přihlásit k vašim aplikacím a webům.

Upozornění

Musíte zrušit zaškrtnutí políčka Povolit organizaci spravovat moje zařízení. Když toto políčko necháte zaškrtnuté, vaše zařízení se zaregistruje ve správě mobilních zařízení (MDM), ne ve správě mobilních aplikací (MAM).

Nevybírejte možnost Ne, přihlaste se jenom k této aplikaci.

Snímek obrazovky s přihlášením ke všem oknem aplikací Zrušte zaškrtnutí políčka Povolit organizaci spravovat moje zařízení.

Po výběru ok se může během použití zásad zobrazit okno průběhu. Po chvíli byste měli vidět okno s informací, že jste všechno nastavené, zásady ochrany aplikací se použijí.

Řešení problému

Běžné problémy

Za určitých okolností se může zobrazit výzva k přihlášení pomocí svého pracovního účtu. K této výzvě může dojít v těchto případech:

  • Váš profil se přidá do Microsoft Edge, ale registrace MAM se stále zpracovává.
  • Váš profil se přidá do Microsoft Edge, ale na stránce s nadpisy jste vybrali jenom tuto aplikaci.
  • Zaregistrovali jste se do MAM, ale platnost vaší registrace vypršela nebo nesplňujete požadavky vaší organizace.

Řešení těchto možných scénářů:

  • Počkejte několik minut a zkuste to znovu na nové kartě.
  • Obraťte se na správce a zkontrolujte, jestli se zásady MAM v Microsoft Intune vztahují na váš účet správně.

Existující účet

Existuje známý problém, kdy existuje už existující, neregistrovaný účet, například user@contoso.com v Microsoft Edgi, nebo pokud se uživatel přihlásí bez registrace pomocí stránky Heads Up Page, pak se účet správně nezaregistruje do MAM. Tato konfigurace blokuje, aby se uživatel správně zaregistroval do MAM.

Další kroky