Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzat megkövetelése

Áttekintés

A felhasználók rendszeresen használják mobileszközeiket személyes és munkahelyi feladatokhoz is. Miközben a munkatársak hatékonyságát biztosítják, a szervezetek arra is törekednek, hogy megakadályozzák az adatvesztést olyan eszközökön lévő alkalmazásokból, amelyeket esetleg nem teljesen kezelnek.

A feltételes hozzáféréssel a szervezetek korlátozhatják a jóváhagyott (modern hitelesítésre képes) ügyfélalkalmazásokhoz való hozzáférést az Intune alkalmazásvédelmi szabályzataival. Az olyan régebbi ügyfélalkalmazások esetében, amelyek nem támogatják az alkalmazásvédelmi szabályzatokat, a rendszergazdák korlátozhatják a jóváhagyott ügyfélalkalmazásokhoz való hozzáférést.

Figyelmeztetés

Alkalmazásvédelem szabályzatok támogatottak iOS és Android rendszeren, ahol az alkalmazások megfelelnek bizonyos követelményeknek. Alkalmazásvédelem szabályok csak előzetesen támogatottak a Microsoft Edge böngészőben Windows alatt. Nem minden alkalmazás támogatott jóváhagyott alkalmazásként vagy alkalmazásvédelmi szabályzatként. Néhány gyakori ügyfélalkalmazás listájáért lásd Alkalmazásvédelem szabályzatkövetelményt. Ha az alkalmazás nem szerepel a listán, forduljon az alkalmazás fejlesztőjéhez. Ahhoz, hogy jóváhagyott ügyfélalkalmazásokat igényeljen, vagy alkalmazásvédelmi szabályzatokat kényszerítsen ki iOS- és Android-eszközökre, ezeknek az eszközöknek először regisztrálniuk kell a Microsoft Entra ID.

Feljegyzés

A kiválasztott vezérlők egyikének megkövetelése a támogatási vezérlők alatt olyan, mint egy "OR" záradék. Ez a szabályzaton belül arra szolgál, hogy a felhasználók olyan alkalmazásokat használhassanak, amelyek támogatják az alkalmazásvédelmi szabályzatot, vagy a jóváhagyott ügyfélalkalmazások megkövetelésének vezérlőit. Az alkalmazásvédelmi szabályzat megkövetelése akkor lép érvénybe, ha az alkalmazás támogatja az engedélyezés ellenőrzését.

A app protection szabályzatok használatának előnyeiről a Alkalmazásvédelem szabályzatok áttekintésével foglalkozó cikkben talál további információt.

A következő szabályzatok csak jelentés módba kerülnek, hogy a rendszergazdák megállapíthassák, milyen hatással lesznek a meglévő felhasználókra. Ha a rendszergazdák jól érzik magukat abban, hogy a szabályzatok a szándékuknak megfelelően vannak alkalmazva, bizonyos csoportok hozzáadásával és más csoportok kizárásával átválthatnak az üzembe helyezés bekapcsolására vagy szakaszolására.

Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzat megkövetelése mobileszközökkel.

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely jóváhagyott ügyfélalkalmazást vagy alkalmazásvédelmi szabályzatot igényel iOS/iPadOS vagy Android-eszköz használatakor. Ez a szabályzat megakadályozza, hogy Exchange ActiveSync protokoll ügyfelek alapszintű hitelesítést használjanak mobileszközökön. Ez a szabályzat együttműködik egy Microsoft Intune-ban létrehozott app védelmi szabályzattal.

A szervezetek a következő lépésekkel vagy a feltételes hozzáférési sablonok használatával telepíthetik ezt a szabályzatot.

1. Jelentkezzen be a Microsoft Entra felügyeleti központ legalább Kondíciós hozzáférés-rendszergazdaként.
2. Keresse meg a Entra ID>Feltételes hozzáférés.
3. Válassza az Új szabályzat létrehozása lehetőséget.
4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
   1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
   2. A Kizárás csoportban válassza a Felhasználók és csoportok lehetőséget, és zárjon ki legalább egy fiókot, hogy megakadályozza a kizárást. Ha nem zár ki fiókokat, nem hozhatja létre a szabályzatot.
6. A Célerőforrások>erőforrások (korábbi nevén felhőalkalmazások)>területen válassza a Minden erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
7. Az feltételek>eszközplatformok között állítsa Konfigurálás értékét Igen-re.
   1. A Belefoglalás területen válassza ki az eszközplatformokat.
   2. Válassza az Android és az iOS lehetőséget.
   3. Válassza a Kész lehetőséget.
8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
   1. Válassza a Jóváhagyott ügyfélalkalmazás megkövetelése és az Alkalmazásvédelmi szabályzat megkövetelése lehetőséget
   2. Több vezérlő esetén válassza a Kijelölt vezérlők egyikének megkövetelése lehetőséget
9. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezésecsak jelentésre beállítást.
10. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Feljegyzés

Ha egy szabályzat csak jelentés módban jön létre az "Alkalmazásvédelmi szabályzat megkövetelése" vezérlőhöz, a bejelentkezési napló a "Csak jelentés: Hiba" eredményt jelenítheti meg a "Feltételes hozzáférés" lapon, ha az összes konfigurált házirendfeltétel teljesült. Ennek az az oka, hogy az ellenőrzés nem volt kielégített csak jelentési módban. Miután engedélyezte a szabályzatot, a rendszer alkalmazza a vezérlőt az alkalmazásra, és a bejelentkezés nem lesz letiltva.

Miután megerősítette a beállításokat a szabályzat hatása vagy a csak jelentés mód használatával, kapcsolja át a Szabályzat engedélyezése kapcsolót a Csak jelentés funkcióról Be.

Tipp

A szervezeteknek olyan szabályzatot is üzembe kell helyeznie, amely letiltja a nem támogatott vagy ismeretlen eszközplatformok elérését ezzel a szabályzattal együtt.

Exchange ActiveSync protokoll letiltása az összes eszközön

Ez a szabályzat megakadályozza, hogy az alapszintű hitelesítést használó összes Exchange ActiveSync protokoll ügyfél csatlakozzon Exchange Online.

1. Jelentkezzen be a Microsoft Entra felügyeleti központ legalább Kondíciós hozzáférés-rendszergazdaként.
2. Keresse meg a Entra ID>Feltételes hozzáférés.
3. Válassza az Új szabályzat létrehozása lehetőséget.
4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
   1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
   2. A Kizárás csoportban válassza a Felhasználók és csoportok lehetőséget, és zárjon ki legalább egy fiókot, hogy megakadályozza a kizárást. Ha nem zár ki fiókokat, nem hozhatja létre a szabályzatot.
   3. Válassza a Kész lehetőséget.
6. A Célerőforrások>erőforrások (korábbi nevén felhőalkalmazások)>területen válassza az Erőforrások kiválasztása lehetőséget.
   1. Válassza a Office 365 Exchange Online lehetőséget.
   2. Válassza a Kiválasztás lehetőséget.
7. A Feltételek>ügyfélalkalmazások területen állítsa a Konfigurálásigen értékre.
   1. Törölje az összes beállítás jelölését, kivéve a Exchange ActiveSync protokoll klienseket.
   2. Válassza a Kész lehetőséget.
8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
   1. Válassza az Alkalmazásvédelmi szabályzat megkövetelése lehetőséget
9. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezésecsak jelentésre beállítást.
10. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután megerősítette a beállításokat a szabályzat hatása vagy a csak jelentés mód használatával, kapcsolja át a Szabályzat engedélyezése kapcsolót a Csak jelentés funkcióról Be.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök. Javasoljuk, hogy zárja ki a következő fiókokat a szabályzataiból:

• Vészhelyzeti hozzáférési vagy vészkijárati fiókok a szabályzat helytelen konfigurációja miatti zárolás megakadályozása érdekében. Abban a valószínűtlen esetben, amikor az összes rendszergazda ki van zárva, a segélyhívási hozzáférés felügyeleti fiókja használható a bejelentkezéshez és a hozzáférés helyreállításához.
  • További információt a A segélyhívási fiókok kezelése Microsoft Entra ID című cikkben talál.
• Service-fiókok és Szolgáltatásfőkulcsok, például a Microsoft Entra Connect Sync fiók. A szolgáltatásfiókok neminteraktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában a háttérszolgáltatások használják az alkalmazások programozott hozzáférésének engedélyezésére, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezésre. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférés használata a feladatidentitásokhoz a szolgáltatási alapegységekre vonatkozó szabályzatok meghatározásához.
  • Ha a szervezet szkriptekben vagy kódban használja ezeket a fiókokat, cserélje le őket felügyelt identitásokra.

Kapcsolódó tartalom

• Alkalmazásvédelem szabályzatok áttekintése
• A feltételes hozzáférés gyakori szabályzatai
• Jóváhagyott ügyfélalkalmazás migrálása alkalmazásvédelmi szabályzatba feltételes hozzáféréssel