Megosztás a következőn keresztül:

Alkalmazásvédelmi szabályzat megkövetelése Windows rendszerű eszközökön

  • Cikk

Alkalmazásvédelem szabályzatok mobilalkalmazás-kezelést (MAM) alkalmaznak egy adott eszközön lévő alkalmazásokra. Ezek a házirendek lehetővé teszik az adatok biztosítását egy alkalmazáson belül olyan forgatókönyvek támogatására, mint például a saját eszközök használata (BYOD).

Képernyőkép egy olyan böngészőről, amelyben a felhasználónak be kell jelentkeznie a Microsoft Edge-profiljába egy alkalmazás eléréséhez.

Előfeltételek

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA nem végezhető el programozott módon. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Feltételes hozzáférési házirend létrehozása

A következő szabályzat csak jelentés módban indul el, hogy a rendszergazdák megállapíthassák, milyen hatással vannak a meglévő felhasználókra. Ha a rendszergazdák számára kényelmes, hogy a szabályzat a kívánt módon érvényesüljön, bizonyos csoportok hozzáadásával és más csoportok kizárásával átválthatnak az üzembe helyezés bekapcsolására vagy szakaszolására.

Alkalmazásvédelmi szabályzat megkövetelése Windows-eszközökhöz

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely alkalmazásvédelmi szabályzatot igényel az Office 365-alkalmazások feltételes hozzáférésben való csoportosítását elérő Windows-eszköz használatakor. Az alkalmazásvédelmi szabályzatot a Microsoft Intune-ban is konfigurálni és hozzárendelni kell a felhasználókhoz. Az alkalmazásvédelmi szabályzat létrehozásáról további információt a Windows házirend-beállításainak Alkalmazásvédelem című cikkben talál. Az alábbi szabályzat több vezérlőt is tartalmaz, amelyek lehetővé teszik az eszközök számára, hogy alkalmazásvédelmi szabályzatokat használjanak a mobilalkalmazás-kezeléshez (MAM), vagy felügyelhetők és megfeleljenek a mobileszköz-kezelési (MDM-) szabályzatoknak.

Tipp.

Alkalmazásvédelem szabályzatok (MAM) támogatják a nem felügyelt eszközöket:

  • Ha egy eszköz kezelése már mobileszköz-kezeléssel (MDM) történik, akkor az Intune MAM-regisztráció le lesz tiltva, és az alkalmazásvédelmi szabályzat beállításai nem lesznek alkalmazva.
  • Ha egy eszköz a MAM-regisztráció után lesz felügyelve, az alkalmazásvédelmi szabályzat beállításai már nem lesznek alkalmazva.
  1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférési>szabályzatokat.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki legalább a szervezet vészhelyzeti hozzáférését vagy törésüveg-fiókjait.
  6. A Célerőforrások>felhőalkalmazások>belefoglalása területen válassza az Office 365-öt.
  7. Feltételek szerint:
    1. Az eszközplatformok konfigurálását igen értékre állítja.
      1. A Belefoglalás területen válassza ki az eszközplatformokat.
      2. Csak a Windowst válassza.
      3. Válassza a Kész lehetőséget.
    2. Az ügyfélalkalmazások konfigurálását Igen értékre állítja.
      1. Csak a Böngésző lehetőséget választja.
  8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
    1. Válassza az Alkalmazásvédelmi szabályzat megkövetelése és Az eszköz megfelelőként való megjelölésének megkövetelése lehetőséget.
    2. Több vezérlő esetén válassza a Kijelölt vezérlők egyikének megkövetelése lehetőséget
  9. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
  10. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Tipp.

A szervezeteknek olyan szabályzatot is üzembe kell helyeznie, amely letiltja a nem támogatott vagy ismeretlen eszközplatformok elérését ezzel a szabályzattal együtt.

Bejelentkezés Windows-eszközökre

Amikor a felhasználók először próbálnak bejelentkezni egy alkalmazásvédelmi szabályzattal védett webhelyre, a rendszer a következőt kéri: A szolgáltatáshoz, alkalmazáshoz vagy webhelyhez való hozzáféréshez előfordulhat, hogy be kell jelentkeznie a Microsoft Edge-be username@domain.com , vagy regisztrálnia kell az eszközt organization , ha már bejelentkezett.

A Switch Edge-profilra kattintva megnyílik egy ablak, amelyen a munkahelyi vagy iskolai fiók szerepel, valamint egy lehetőség az adatok szinkronizálására való bejelentkezésre.

Képernyőkép a Microsoft Edge előugró ablakról, amely arra kéri a felhasználót, hogy jelentkezzen be.

Ez a folyamat megnyit egy ablakajánlatot, amely lehetővé teszi a Windows számára, hogy megjegyezze a fiókját, és automatikusan bejelentkeztethesse Önt az alkalmazásaiba és webhelyeire.

Figyelemfelhívás

TÖRÖLJE A JELÖLŐNÉGYZET JELÖLÉSÉT, hogy a szervezet felügyelhesse az eszközömet. Ha ezt a jelölőnégyzetet bejelöli, az eszköz nem mobilalkalmazás-felügyelet (MAM) mobileszköz-kezelésben (MDM) regisztrálja az eszközt.

Ne válassza a Nem lehetőséget , csak erre az alkalmazásra jelentkezzen be.

Képernyőkép az összes alkalmazásablakba bejelentkezett tartózkodásról. Törölje annak jelölését, hogy a szervezetem kezelheti-e az eszközöm jelölőnégyzetét.

Az OK gomb kiválasztása után előfordulhat, hogy egy folyamatjelző ablak jelenik meg a szabályzat alkalmazása közben. Néhány pillanat múlva megjelenik egy ablak, amely azt jelzi , hogy minden be van állítva, és alkalmazásvédelmi szabályzatok lesznek alkalmazva.

Hibaelhárítás

Gyakori problémák

Bizonyos körülmények között előfordulhat, hogy a "Minden be van állítva" lap lekérése után a rendszer továbbra is kérni fogja, hogy jelentkezzen be a munkahelyi fiókjával. Ez a kérés a következő esetekben fordulhat elő:

  • A rendszer hozzáadja a profilját a Microsoft Edge-hez, de a MAM-regisztráció feldolgozása még folyamatban van.
  • A rendszer hozzáadja a profilját a Microsoft Edge-hez, de a "csak ez az alkalmazás" lehetőséget választotta a fej-felfelé lapon.
  • Regisztrált a MAM-ba, de a regisztrációja lejárt, vagy nem felel meg a szervezet követelményeinek.

Az alábbi lehetséges forgatókönyvek megoldásához:

  • Várjon néhány percet, és próbálkozzon újra egy új lapon.
  • Forduljon a rendszergazdához, és ellenőrizze, hogy a Microsoft Intune MAM-szabályzatok megfelelően vannak-e alkalmazva a fiókjára.

Meglévő fiók

Van egy ismert probléma, amely miatt van egy már meglévő, nem regisztrált fiók, például user@contoso.com a Microsoft Edge-ben, vagy ha egy felhasználó anélkül jelentkezik be, hogy regisztrálná a Heads Up page-et, akkor a fiók nincs megfelelően regisztrálva a MAM-ban. Ez a konfiguráció megakadályozza, hogy a felhasználó megfelelően regisztrálva legyen a MAM-ban.

Következő lépések