Vyžadovat dodržení bezpečnostních standardů pro aplikaci na Windows pomocí Microsoft Intune a podmíněného přístupu v Microsoft Entra

Pomocí kombinace Microsoft Intune a podmíněného přístupu Microsoft Entra můžete vyžadovat, aby zařízení uživatelů splňovala vaše konkrétní požadavky na zabezpečení, aby se mohli připojit k Azure Virtual Desktopu, Windows 365 a Microsoft Dev Boxu. Tento přístup umožňuje vynucovat požadavky na zabezpečení pro aplikaci pro Windows v následujících scénářích:

Platforma zařízení	Správa zařízení v Intune
iOS/iPadOS	Spravované nebo nespravované
Android¹	Spravované nebo nespravované
Webový prohlížeč (jenom Microsoft Edge ve Windows)	Pouze nespravovaný

1. Nezahrnuje podporu pro Chrome OS.

Informace o používání zásad ochrany aplikací se spravovanými a nespravovanými zařízeními najdete v tématu Zásady ochrany cílových aplikací na základě stavu správy zařízení.

Mezi některá nastavení zásad, která můžete vynutit, patří vyžadování KÓDU PIN, konkrétní verze operačního systému, blokování klávesnic třetích stran a omezení operací vyjmutí, kopírování a vkládání mezi jinými aplikacemi na místních klientských zařízeních. Úplný seznam dostupných nastavení najdete v tématu Podmíněné spuštění v nastavení zásad ochrany aplikací pro iOS a Podmíněné spuštění v nastavení zásad ochrany aplikací pro Android.

Jakmile nastavíte požadavky na zabezpečení, můžete také spravovat, jestli jsou na zařízeních s iOSem/iPadOS a Androidem místní prostředky, jako jsou kamery, mikrofony, úložiště a schránka, přesměrovány na vzdálenou relaci. Vyžadování dodržování předpisů zabezpečení místního zařízení je předpokladem pro správu nastavení přesměrování místního zařízení. Další informace o správě nastavení přesměrování místního zařízení najdete v tématu Správa nastavení přesměrování místního zařízení pomocí Microsoft Intune.

Na vysoké úrovni existují dvě oblasti, které je potřeba nakonfigurovat:

• Zásady ochrany aplikací Intune: Slouží k určení požadavků na zabezpečení, které musí aplikace a místní klientské zařízení splňovat. Filtry můžete použít k cílení uživatelů na základě konkrétních kritérií.

• Zásady podmíněného přístupu: Slouží k řízení přístupu k Azure Virtual Desktopu a Windows 365 jenom v případě, že jsou splněná kritéria nastavená v zásadách ochrany aplikací.

Požadavky

Než budete moct vyžadovat dodržování předpisů zabezpečení místních klientských zařízení pomocí Intune a podmíněného přístupu, potřebujete:

• Existující fond hostitelů s hostiteli relací nebo cloudovými počítači.

• Alespoň jedna skupina zabezpečení Microsoft Entra ID obsahující uživatele, na které se zásady použijí.

• Jenom pro spravovaná zařízení je potřeba přidat do Intune každou z následujících aplikací, které chcete použít:

  • V případě aplikací pro Windows v iOS/iPadOS si přečtěte článek Přidání aplikací z obchodu pro iOS do Microsoft Intune.
  • Microsoft Edge ve Windows najdete v tématu Přidání Microsoft Edge pro Windows 10/11 do Microsoft Intune.

• Místní klientské zařízení s některou z následujících verzí aplikace pro Windows nebo pomocí aplikace pro Windows v Microsoft Edgi:

  • Aplikace pro Windows:

    • iOS/iPadOS: 11.1.1 nebo novější.
    • Android 1.0.0.161 nebo novější

  • Microsoft Edge ve Windows: 134.0.3124.51 nebo novější.

• Na místním klientském zařízení potřebujete také nejnovější verzi:

  • iOS/iPadOS: Aplikace Microsoft Authenticator
  • Android: Aplikace Portál společnosti, nainstalovaná ve stejném profilu jako aplikace pro Windows určená pro osobní zařízení. Obě aplikace musí být buď v osobním profilu, nebo v pracovním profilu, ne v každém profilu.

• Existují další požadavky Intune pro konfiguraci zásad ochrany aplikací a zásad podmíněného přístupu. Další informace najdete tady:

  • Jak vytvořit a přiřadit zásady ochrany aplikací
  • Použijte zásady podmíněného přístupu založené na aplikacích s Intune.

Vytvoření filtru

Vytvořením filtru můžete použít nastavení zásad pouze v případě, že se kritéria nastavená ve filtru shodují a umožní vám zúžit rozsah přiřazení zásady. V aplikaci pro Windows můžete použít následující filtry:

• iOS/iPadOS:

  • Vytvořte filtr spravovaných aplikací pro nespravovaná a spravovaná zařízení.
  • Vytvořte filtr spravovaných zařízení pro spravovaná zařízení.

• Android:

  • Vytvořte filtr spravovaných aplikací pro nespravovaná a spravovaná zařízení.

• Windows: Filtry se nevztahují na Microsoft Edge ve Windows.

Pomocí filtrů zúžte rozsah přiřazení politiky. Vytvoření filtru je volitelné; Pokud filtr nenakonfigurujete, platí pro uživatele stejné nastavení dodržování předpisů zabezpečení zařízení a přesměrování zařízení bez ohledu na to, jestli jsou na spravovaném nebo nespravovaném zařízení. To, co zadáte ve filtru, závisí na vašich požadavcích.

Informace o filtrech a jejich vytváření najdete v tématu Použití filtrů při přiřazování aplikací, zásad a profilů vevlastnostech filtru spravovaných aplikací v Microsoft Intune.

Vytvoření zásady ochrany aplikací

Zásady ochrany aplikací umožňují řídit, jak aplikace a zařízení přistupovat k datům a sdílet je. Musíte vytvořit samostatné zásady ochrany aplikací pro iOS/iPadOS, Android a Microsoft Edge ve Windows. Ve stejných zásadách ochrany aplikací nekonfigurujte jak iOS/iPadOS, tak i Android, protože nemůžete konfigurovat cílení zásad na základě spravovaných a nespravovaných zařízení.

Vyberte příslušnou kartu.

iOS/iPadOS

Pokud chcete vytvořit a použít zásady ochrany aplikací, postupujte podle kroků v tématu Vytvoření a přiřazení zásad ochrany aplikací a použití následujících nastavení:

• Vytvořte zásady ochrany aplikací pro iOS/iPadOS.

• Na kartě Aplikace vyberte Vybrat veřejné aplikace, vyhledejte a vyberte Aplikaci pro Windows a pak vyberte Vybrat.

• Na kartě Ochrana dat jsou pro aplikaci pro Windows relevantní pouze následující nastavení. Ostatní nastavení se nevztahují, protože aplikace pro Windows komunikuje s hostitelem relace a ne s daty v aplikaci. Na mobilních zařízeních jsou neschválené klávesnice zdrojem protokolování a krádeže klávesových zkratek.

  Můžete nakonfigurovat následující nastavení:

  Parametr	Hodnota/popis
  Přenos dat
  Odesílání dat organizace do jiných aplikací	Pokud chcete povolit ochranu zachytávání obrazovky, nastavte na Hodnotu Žádná . Další informace o ochraně zachytávání obrazovky ve službě Azure Virtual Desktop najdete v tématu Povolení ochrany zachytávání obrazovky ve službě Azure Virtual Desktop.
  Omezit vyjmutí, kopírování a vkládání mezi ostatními aplikacemi	Pokud chcete zakázat přesměrování schránky mezi aplikací pro Windows a místním zařízením, nastavte na Blokovat. Používá se se zákazem přesměrování schránky v zásadách konfigurace aplikace.
  Klávesnice třetích stran	Pokud chcete blokovat klávesnice třetích stran, nastavte na blokované .

• Na kartě Podmíněné spuštění doporučujeme přidat následující podmínky:

  Podmínka	Typ podmínky	Hodnota	Činnost
  Minimální verze aplikace	Podmínka aplikace	Na základě vašich požadavků. Zadejte číslo verze aplikace pro Windows v iOS/iPadOS.	Blokování přístupu
  Minimální verze operačního systému	Podmínka zařízení	Na základě vašich požadavků.	Blokování přístupu
  Primární služba MTD	Podmínka zařízení	Na základě vašich požadavků. Konektor MTD musí být nastavený. Pro Microsoft Defender for Endpointnakonfigurujte Microsoft Defender for Endpoint v Intune.	Blokování přístupu
  Maximální povolená úroveň hrozby zařízení	Podmínka zařízení	Zabezpečený	Blokování přístupu

  Další informace o dostupných nastaveních najdete v tématu Podmíněné spuštění v nastavení zásad ochrany aplikací pro iOS.

• Na kartě Zadání přiřaďte zásadu skupině zabezpečení obsahující uživatele, na které chcete zásadu použít. Aby se zásady projevily, musíte je použít na skupinu uživatelů. Pro každou skupinu můžete volitelně vybrat filtr, který bude konkrétnější v cílení zásad konfigurace aplikace.

Android

Pokud chcete vytvořit a použít zásady ochrany aplikací, postupujte podle kroků v tématu Vytvoření a přiřazení zásad ochrany aplikací a použití následujících nastavení:

• Vytvořte zásadu ochrany aplikací pro Android.

• Na kartě Aplikace vyberte Vybrat veřejné aplikace, vyhledejte a vyberte Aplikaci pro Windows a pak vyberte Vybrat.

• Na kartě Ochrana dat jsou pro aplikaci pro Windows relevantní pouze následující nastavení. Ostatní nastavení se nevztahují, protože aplikace pro Windows komunikuje s hostitelem relace a ne s daty v aplikaci. Na mobilních zařízeních jsou neschválené klávesnice zdrojem protokolování a krádeže klávesových zkratek.

  Můžete nakonfigurovat následující nastavení:

  Parametr	Hodnota/popis
  Přenos dat
  Omezit vyjmutí, kopírování a vkládání mezi ostatními aplikacemi	Pokud chcete zakázat přesměrování schránky mezi aplikací pro Windows a místním zařízením, nastavte na Blokovat. Používá se se zákazem přesměrování schránky v zásadách konfigurace aplikace.
  Snímek obrazovky a Google Assistant	Nastavte na Blokovat blokování ochrany zachytávání obrazovky a Google Assistanta. Další informace o ochraně zachytávání obrazovky ve službě Azure Virtual Desktop najdete v tématu Povolení ochrany zachytávání obrazovky ve službě Azure Virtual Desktop.
  Schválené klávesnice	Nastavte klávesnice ke schválení ze seznamu nebo přidejte vlastní položky.

• Na kartě Podmíněné spuštění doporučujeme přidat následující podmínky:

  Podmínka	Typ podmínky	Hodnota	Činnost
  Minimální verze aplikace	Podmínka aplikace	Na základě vašich požadavků. Zadejte číslo verze aplikace pro Windows v Androidu.	Blokování přístupu
  Minimální verze operačního systému	Podmínka zařízení	Na základě vašich požadavků.	Blokování přístupu
  Primární služba MTD	Podmínka zařízení	Na základě vašich požadavků. Konektor MTD musí být nastavený. Pro Microsoft Defender for Endpointnakonfigurujte Microsoft Defender for Endpoint v Intune.	Blokování přístupu
  Maximální povolená úroveň hrozby zařízení	Podmínka zařízení	Zabezpečený	Blokování přístupu

  Další informace o dostupných nastaveních najdete v tématu Podmíněné spuštění v nastavení zásad ochrany aplikací pro Android.

• Na kartě Zadání přiřaďte zásadu skupině zabezpečení obsahující uživatele, na které chcete zásadu použít. Aby se zásady projevily, musíte je použít na skupinu uživatelů. Pro každou skupinu můžete volitelně vybrat filtr, který bude konkrétnější v cílení zásad konfigurace aplikace.

Webový prohlížeč

Vytvoření a použití zásad ochrany aplikací pro Microsoft Edge ve Windows:

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte Aplikace a pak v části Spravovat aplikace vyberte Možnost Ochrana.

3. Vyberte Vytvořit a pak vyberte Windows. Je zobrazeno podokno Vytvořit zásadu.

4. Na kartě Základy vyplňte následující informace:

   Parametr	Hodnota/popis
   Název	Zadejte název této zásady ochrany aplikací.
   Popis	Volitelně zadejte popis.

   Po dokončení této záložky vyberte Další.

5. Na kartě Aplikace vyberte Vybrat aplikace. V podokně, které se otevře, vyhledejte a vyberte Microsoft Edge a pak vyberte Vybrat. Jakmile je Microsoft Edge uvedený v seznamu vybraných aplikací, vyberte Další.

6. Na kartě Ochrana dat můžete nakonfigurovat následující nastavení:

   Parametr	Hodnota/popis
   Přenos dat
   Příjem dat z	Nastavte na Žádné zdroje pro zakázání přesměrování jednotek z aplikace pro Windows. Musí také nakonfigurovat odesílání dat organizace do.
   Odeslání dat organizace na adresu	Chcete-li zakázat přesměrování disků do aplikace pro Windows, nastavte na Žádné cíle. Musí také nakonfigurovat příjem dat z.
   Povolit vyjmutí, kopírování a vložení pro	Pokud chcete zakázat přesměrování schránky mezi aplikací pro Windows a místním zařízením, nastavte možnost Žádný cíl nebo zdroj.
   Funkčnost
   Tisk dat organizace	Pokud chcete zabránit tisku z aplikace pro Windows, nastavte na možnost Blokovat .

   Poznámka:

   Tento scénář cílí na aplikaci pro Windows ve webovém prohlížeči s Microsoft Edge pomocí zásad ochrany aplikací, které se liší od nativních nainstalovaných verzí aplikací pro Windows.

   • Nelze povolit přesměrování jednotek a blokovat tisk. Tisk z webové vzdálené relace závisí na nastavení přenosu dat. K blokování tisku můžete použít jiné metody, jako je nastavení fondu hostitelů služby Azure Virtual Desktop nebo konfigurace hostitelů relací nebo cloudových počítačů místo místního zařízení. Případně můžete použít některou z nativně nainstalovaných verzí aplikace pro Windows. Další informace naleznete v tématu Konfigurace přesměrování tiskárny přes protokol Remote Desktop Protocol.

   • Přesměrování jednotky můžete blokovat a povolit tisk.

• Na kartě Kontroly stavu doporučujeme přidat následující podmínky:

  Podmínka	Typ podmínky	Hodnota	Činnost
  Minimální verze aplikace	Podmínka aplikace	Na základě vašich požadavků. Zadejte číslo verze pro Microsoft Edge s 134.0.3124.51 jako nejstarší podporovanou verzí.	Blokování přístupu
  Minimální verze operačního systému	Podmínka zařízení	Na základě vašich požadavků. Zadejte číslo buildu pro Windows v jednom z těchto formátů: major.minor, major.minor.buildmajor.minor.build.revisionnapříklad 10.0.26100.3476. Čísla buildů Windows najdete ve stavu vydané verze Systému Windows a výběrem odkazu pro informace o vydání jednotlivých operačních systémů.	Blokování přístupu
  Maximální povolená úroveň hrozby zařízení	Podmínka zařízení	Zabezpečený	Blokování přístupu

  Další informace o dostupných nastaveních najdete v tématu Kontroly stavu v nastavení zásad ochrany aplikací pro Windows.

• Na kartě Zadání přiřaďte zásadu skupině zabezpečení obsahující uživatele, na které chcete zásadu použít. Aby se zásady projevily, musíte je použít na skupinu uživatelů. Pro každou skupinu můžete volitelně vybrat filtr, který bude konkrétnější v cílení zásad konfigurace aplikace.

Vytvořte zásady podmíněného přístupu

Zásady podmíněného přístupu umožňují řídit přístup k Azure Virtual Desktopu, Windows 365 a Microsoft Dev Boxu na základě konkrétních kritérií uživatele, který se připojuje, a zařízení, které používá. Doporučujeme vytvořit několik zásad podmíněného přístupu, abyste dosáhli podrobných scénářů na základě vašich požadavků. Některé ukázkové zásady jsou uvedené v následujících částech.

Důležité

Pečlivě zvažte rozsah cloudových služeb, zařízení a verzí aplikací pro Windows, které chcete, aby vaši uživatelé mohli používat. Tyto ukázkové zásady podmíněného přístupu nepokrývají všechny scénáře a musíte být opatrní, abyste neúmyslně nezablokovali přístup. Měli byste vytvořit zásady a upravit nastavení na základě vašich požadavků.

Pokud chcete vytvořit a použít zásady podmíněného přístupu, postupujte podle kroků v tématu Nastavení zásad podmíněného přístupu na základě aplikací v Intune a použití informací a nastavení v následujících příkladech.

Příklad 1: Povolení přístupu pouze v případě, že se u aplikace pro Windows použijí zásady ochrany aplikací

Tento příklad umožňuje přístup jenom v případě, že se v aplikaci pro Windows použijí zásady ochrany aplikací:

• V části Přiřazení v části Uživatelé nebo identity úloh vyberte 0 uživatelů nebo identit úloh a pak zahrňte skupinu zabezpečení obsahující uživatele, na které se mají zásady použít. Aby se zásady projevily, musíte je použít na skupinu uživatelů.

• V části Cílové prostředky vyberte, pokud chcete zásadu použít u prostředků, a pak v části Zahrnout vyberte Vybrat prostředky. Vyhledejte a vyberte následující zdroje informací. Tyto prostředky máte jenom v případě, že jste ve svém tenantovi zaregistrovali příslušnou službu.

  Název prostředku	Identifikátor aplikace	Poznámky
  Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Místo toho se může jmenovat Windows Virtual Desktop . Ověřte pomocí ID aplikace.
  Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Platí také pro Microsoft Dev Box.
  Přihlášení ke cloudu Windows	270efc09-cd0d-444b-a71f-39af4910ec45	K dispozici po registraci jedné z dalších služeb.

• Podmínky:

  • Vyberte Platformy zařízení, jako Konfigurovat, vyberte Ano, pak v části Zahrnout vyberte Vybrat platformy zařízení a zkontrolujte iOS a Android.
  • Vyberte Klientské aplikace, volbou Konfigurovat vyberte Ano a pak zkontrolujte prohlížeč a mobilní aplikace a desktopové klienty.

• U řízení přístupu v části Udělit přístup zaškrtněte políčko 0 ovládacích prvků, zaškrtněte políčko Vyžadovat zásady ochrany aplikací a vyberte přepínač Vyžadovat všechny vybrané ovládací prvky.

• Pokud chcete povolit zásadu, nastavte ji na Zapnuto.

Příklad 2: Vyžadování zásad ochrany aplikací pro zařízení s Windows

Tento příklad omezuje nespravovaná osobní zařízení s Windows tak, aby používala Microsoft Edge k přístupu ke vzdálené relaci pomocí aplikace pro Windows jenom ve webovém prohlížeči. Další podrobnosti o tomto scénáři najdete v tématu Vyžadování zásad ochrany aplikací pro zařízení s Windows.

• V části Přiřazení v části Uživatelé nebo identity úloh vyberte 0 uživatelů nebo identit úloh a pak zahrňte skupinu zabezpečení obsahující uživatele, na které se mají zásady použít. Aby se zásady projevily, musíte je použít na skupinu uživatelů.

• V části Cílové prostředky vyberte, pokud chcete zásadu použít u prostředků, a pak v části Zahrnout vyberte Vybrat prostředky. Vyhledejte a vyberte následující zdroje informací. Tyto prostředky máte jenom v případě, že jste ve svém tenantovi zaregistrovali příslušnou službu.

  Název prostředku	Identifikátor aplikace	Poznámky
  Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Místo toho se může jmenovat Windows Virtual Desktop . Ověřte pomocí ID aplikace.
  Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Platí také pro Microsoft Dev Box.
  Přihlášení ke cloudu Windows	270efc09-cd0d-444b-a71f-39af4910ec45	K dispozici po registraci jedné z dalších služeb.

• Podmínky:

  • Vyberte Platformy zařízení, v části Konfigurovat vyberte Ano a pak v části Zahrnout vyberte Vybrat platformy zařízení a zkontrolujte Windows.
  • Vyberte Klientské aplikace, pro konfigurovat vyberte Ano a pak zkontrolujte Prohlížeč.

• Pro řízení přístupu vyberte Udělit přístup, zaškrtněte políčko Vyžadovat zásady ochrany aplikací a vyberte rádiové tlačítko Vyžadovat jeden z vybraných ovládacích prvků.

• Pokud chcete povolit zásadu, nastavte ji na Zapnuto.

Ověření konfigurace

Teď, když nakonfigurujete Intune a podmíněný přístup tak, aby vyžadoval dodržování předpisů zabezpečení zařízení na osobních zařízeních, můžete konfiguraci ověřit připojením ke vzdálené relaci. To, co byste měli testovat, závisí na tom, jestli jste nakonfigurovali zásady pro zaregistrovaná nebo nezaregistrovaná zařízení, které platformy a nastavení ochrany dat jste nastavili. Ověřte, že můžete provádět pouze akce, které můžete provést, aby odpovídaly tomu, co očekáváte.

Související obsah

• Správa nastavení přesměrování místního zařízení pomocí Microsoft Intune