Alkalmazásvédelmi szabályzat megkövetelése Windows rendszerű eszközökön

  • Cikk

Alkalmazásvédelem szabályzatok mobilalkalmazás-kezelést (MAM) alkalmaznak egy adott eszközön lévő alkalmazásokra. These policies allow for securing data within an application in support of scenarios like bring your own device (BYOD). Támogatjuk a szabályzat alkalmazását a Microsoft Edge böngészőre Windows 11 rendszerű eszközökön.

Screenshot of a browser requiring the user to sign in to their Microsoft Edge profile to access an application.

Előfeltételek

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Csatlakozás Szinkronizálási fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem fejezhető be. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférés használata számítási feladatok identitásaihoz szolgáltatásnevekre vonatkozó szabályzatok definiálásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Feltételes hozzáférési szabályzat létrehozása

A következő szabályzat csak jelentés módban indul el, hogy a rendszergazdák megállapíthassák, milyen hatással vannak a meglévő felhasználókra. Ha a rendszergazdák számára kényelmes, hogy a szabályzat a kívánt módon érvényesüljön, bizonyos csoportok hozzáadásával és más csoportok kizárásával átválthatnak az üzembe helyezés bekapcsolására vagy szakaszolására.

Alkalmazásvédelmi szabályzat megkövetelése Windows-eszközökhöz

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely alkalmazásvédelmi szabályzatot igényel az Office 365-alkalmazások feltételes hozzáférésben való csoportosítását elérő Windows-eszköz használatakor. Az alkalmazásvédelmi szabályzatot a Microsoft Intune-ban is konfigurálni és hozzárendelni kell a felhasználókhoz. Az alkalmazásvédelmi szabályzat létrehozásáról további információt a Windows házirend-beállításainak Alkalmazásvédelem című cikkben talál. Az alábbi szabályzat több vezérlőt is tartalmaz, amelyek lehetővé teszik az eszközök számára, hogy alkalmazásvédelmi szabályzatokat használjanak a mobilalkalmazás-kezeléshez (MAM), vagy felügyelhetők és megfeleljenek a mobileszköz-kezelési (MDM-) szabályzatoknak.

Tipp.

Alkalmazásvédelem szabályzatok (MAM) támogatják a nem felügyelt eszközöket:

  • Ha egy eszköz kezelése már mobileszköz-kezeléssel (MDM) történik, akkor az Intune MAM-regisztráció le lesz tiltva, és az alkalmazásvédelmi szabályzat beállításai nem lesznek alkalmazva.
  • Ha egy eszköz a MAM-regisztráció után lesz felügyelve, az alkalmazásvédelmi szabályzat beállításai már nem lesznek alkalmazva.
  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat létrehozása lehetőséget.
  4. Adjon nevet a szabályzatnak. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki legalább a szervezet vészhelyzeti hozzáférését vagy törésüveg-fiókjait.
  6. A Célerőforrások>felhőalkalmazások>belefoglalása területen válassza az Office 365-öt.
  7. Feltételek szerint:
    1. Az eszközplatformok konfigurálását igen értékre állítja.
      1. A Belefoglalás területen válassza ki az eszközplatformokat.
      2. Csak a Windowst válassza.
      3. Válassza a Kész lehetőséget.
    2. Az ügyfélalkalmazások konfigurálását Igen értékre állítja.
      1. Csak a Böngésző lehetőséget választja.
  8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
    1. Válassza az Alkalmazásvédelmi szabályzat megkövetelése és Az eszköz megfelelőként való megjelölésének megkövetelése lehetőséget.
    2. Több vezérlő esetén válassza a Kijelölt vezérlők egyikének megkövetelése lehetőséget
  9. Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
  10. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Tipp.

A szervezeteknek olyan szabályzatot is üzembe kell helyeznie, amely letiltja a nem támogatott vagy ismeretlen eszközplatformok elérését ezzel a szabályzattal együtt.

Bejelentkezés Windows-eszközökre

Amikor a felhasználók először próbálnak bejelentkezni egy alkalmazásvédelmi szabályzattal védett webhelyre, a rendszer a következőt kéri: A szolgáltatáshoz, alkalmazáshoz vagy webhelyhez való hozzáféréshez előfordulhat, hogy be kell jelentkeznie a Microsoft Edge-be username@domain.com , vagy regisztrálnia kell az eszközt organization , ha már bejelentkezett.

A Switch Edge-profilra kattintva megnyílik egy ablak, amelyen a munkahelyi vagy iskolai fiók szerepel, valamint egy lehetőség az adatok szinkronizálására való bejelentkezésre.

Screenshot showing the popup in Microsoft Edge asking user to sign in.

Ez a folyamat megnyit egy ablakajánlatot, amely lehetővé teszi a Windows számára, hogy megjegyezze a fiókját, és automatikusan bejelentkeztethesse Önt az alkalmazásaiba és webhelyeire.

Figyelem

TÖRÖLJE A JELÖLŐNÉGYZETJELÖLÉSÉT, hogy a szervezet felügyelhesse az eszközömet. Ha ezt a jelölőnégyzetet bejelöli, az eszköz nem mobilalkalmazás-felügyelet (MAM) mobileszköz-kezelésben (MDM) regisztrálja az eszközt.

Ne válassza a Nem lehetőséget , csak erre az alkalmazásra jelentkezzen be.

Screenshot showing the stay signed in to all your apps window. Uncheck the allow my organization to manage my device checkbox.

Az OK gomb kiválasztása után előfordulhat, hogy egy folyamatjelző ablak jelenik meg a szabályzat alkalmazása közben. Néhány pillanat múlva megjelenik egy ablak, amely azt jelzi , hogy minden be van állítva, és alkalmazásvédelmi szabályzatok lesznek alkalmazva.

Hibaelhárítás

Common issues

Bizonyos körülmények között előfordulhat, hogy a "Minden be van állítva" lap lekérése után a rendszer továbbra is kérni fogja, hogy jelentkezzen be a munkahelyi fiókjával. Ez a kérés a következő esetekben fordulhat elő:

  • A rendszer hozzáadja a profilját a Microsoft Edge-hez, de a MAM-regisztráció feldolgozása még folyamatban van.
  • A rendszer hozzáadja a profilját a Microsoft Edge-hez, de a "csak ez az alkalmazás" lehetőséget választotta a fej-felfelé lapon.
  • Regisztrált a MAM-ba, de a regisztrációja lejárt, vagy nem felel meg a szervezet követelményeinek.

Az alábbi lehetséges forgatókönyvek megoldásához:

  • Várjon néhány percet, és próbálkozzon újra egy új lapon.
  • Forduljon a rendszergazdához, és ellenőrizze, hogy a Microsoft Intune MAM-szabályzatok megfelelően vannak-e alkalmazva a fiókjára.

Meglévő fiók

Van egy ismert probléma, amely miatt van egy már meglévő, nem regisztrált fiók, például user@contoso.com a Microsoft Edge-ben, vagy ha egy felhasználó anélkül jelentkezik be, hogy regisztrálná a Heads Up page-et, akkor a fiók nincs megfelelően regisztrálva a MAM-ban. Ez a konfiguráció megakadályozza, hogy a felhasználó megfelelően regisztrálva legyen a MAM-ban.

További lépések