Použití zásad podmíněného přístupu na základě aplikací s Intune
Microsoft Intune zásady ochrany aplikací fungují s Microsoft Entra podmíněným přístupem a pomáhají chránit data organizace na zařízeních, která používají vaši zaměstnanci. Tyto zásady fungují na zařízeních, která se zaregistrují v Intune, a na zařízeních vlastněných zaměstnanci, která se neregistrují. V kombinaci se označují jako podmíněný přístup založený na aplikacích.
Ochrana aplikací zásady jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci:
- Zásady ochrany aplikací můžou být pravidlo, které se vynucuje, když se uživatel pokusí získat přístup k datům organizace nebo je přesunout, nebo sada akcí, které jsou zakázané nebo monitorované, když uživatel pracuje ve spravované aplikaci.
- Spravovaná aplikace je aplikace, která má použité zásady ochrany aplikací a kterou můžete spravovat pomocí Intune.
- Pokud povolíte přístup k Exchange Online jenom aplikaci Microsoft Outlook, můžete také blokovat integrované poštovní aplikace v iOS/iPadOS a Androidu. Kromě toho můžete aplikacím, které nemají použité zásady ochrany aplikací Intune, zablokovat přístup k SharePointu Online.
Podmíněný přístup založený na aplikaci se správou klientských aplikací přidává vrstvu zabezpečení, která zajišťuje, aby přístup k Exchangi Online a dalším službám Microsoftu 365 mohly přistupovat jenom klientské aplikace, které podporují zásady ochrany aplikací Intune.
Tip
Kromě zásad podmíněného přístupu založených na aplikacích můžete s Intune používat podmíněný přístup založený na zařízení.
Požadavky
Než vytvoříte zásadu podmíněného přístupu na základě aplikace, musíte mít:
- předplatné Enterprise Mobility + Security (EMS) nebo id Microsoft Entra P1 nebo P2
- Uživatelé musí mít licenci pro EMS nebo ID Microsoft Entra.
Další informace najdete v tématu Ceny služby Enterprise Mobility nebo ceny Microsoft Entra.
Podporované aplikace
Seznam aplikací, které podporují podmíněný přístup na základě aplikací, najdete v tématu Podmíněný přístup: Podmínky v dokumentaci k Microsoft Entra.
Podmíněný přístup založený na aplikacích také podporuje obchodní aplikace, ale tyto aplikace musí používat moderní ověřování Microsoft 365.
Jak funguje podmíněný přístup na základě aplikací
V tomto příkladu správce použil zásady ochrany aplikací pro aplikaci Outlook následované pravidlem podmíněného přístupu, které aplikaci Outlook přidá do seznamu schválených aplikací, které se dají použít při přístupu k podnikovému e-mailu.
Poznámka
Následující vývojový diagram je možné použít pro jiné spravované aplikace.
Uživatel se pokusí ověřit Microsoft Entra ID z aplikace Outlook.
Uživatel se při prvním pokusu o ověření přesměruje do Obchodu s aplikacemi, aby nainstaloval zprostředkující aplikaci. Zprostředkující aplikací může být Microsoft Authenticator pro iOS nebo Portál společnosti Microsoft pro zařízení s Androidem.
Pokud se uživatelé pokusí použít nativní e-mailovou aplikaci, přesměrují se do App Storu, kde si aplikaci Outlook nainstalují.
Na zařízení se nainstaluje zprostředkovaná aplikace.
Zprostředkovatelské aplikace spustí proces registrace Microsoft Entra, který vytvoří záznam zařízení ve Microsoft Entra ID. Tento proces není stejný jako proces registrace správy mobilních zařízení (MDM), ale tento záznam je nezbytný, aby bylo možné na zařízení vynutit zásady podmíněného přístupu.
Aplikace zprostředkovatele potvrdí ID zařízení Microsoft Entra, uživatele a aplikaci. Tyto informace se předají Microsoft Entra přihlašovacím serverům za účelem ověření přístupu k požadované službě.
Zprostředkovatelská aplikace odešle ID klienta aplikace Microsoft Entra ID v rámci procesu ověřování uživatele, aby zkontrolovala, jestli je v seznamu schválených zásad.
Microsoft Entra ID umožňuje uživateli ověřit a používat aplikaci na základě seznamu schválených zásad. Pokud aplikace není v seznamu, id Microsoft Entra odepře přístup k aplikaci.
Aplikace Outlook komunikuje s cloudovou službou Outlooku za účelem zahájení komunikace s Exchange Online.
Cloudová služba Outlooku komunikuje s id Microsoft Entra, aby pro uživatele načetla přístupový token Exchange Online služby.
Aplikace Outlook komunikuje s Exchange Online, aby načetla firemní e-mail uživatele.
Firemní e-maily se doručí do poštovní schránky uživatele.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro