Alkalmazásalapú feltételes hozzáférési szabályzatok használata Intune

Microsoft Intune alkalmazásvédelmi szabályzatok Microsoft Entra feltételes hozzáféréssel együttműködve védik a szervezeti adatokat az alkalmazottak által használt eszközökön. Ezek a szabályzatok az Intune regisztrált eszközökön és a nem regisztrált alkalmazottak tulajdonában lévő eszközökön működnek. Ezek együttesen alkalmazásalapú feltételes hozzáférésre hivatkoznak.

Alkalmazásvédelem szabályzatok olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságosak vagy egy felügyelt alkalmazásban legyenek tárolva:

  • Az alkalmazásvédelmi szabályzatok lehetnek olyan szabályok, amelyek akkor lépnek érvénybe, amikor egy felhasználó megpróbálja elérni vagy áthelyezni a szervezeti adatokat, vagy olyan műveletek halmaza, amelyek tiltottak vagy monitorozottak, amikor egy felhasználó felügyelt alkalmazáson belül dolgozik.
  • A felügyelt alkalmazások olyan alkalmazások, amelyekre alkalmazásvédelmi szabályzatok vonatkoznak, és Intune felügyelhetők.
  • Letilthatja a beépített levelezőalkalmazásokat iOS/iPadOS és Android rendszeren is, ha csak a Microsoft Outlook alkalmazásnak engedélyezi az Exchange Online elérését. Emellett letilthatja azokat az alkalmazásokat, amelyek nem rendelkeznek Intune alkalmazásvédelmi szabályzatokkal a SharePoint Online eléréséhez.

Az alkalmazásalapú feltételes hozzáférés az ügyfélalkalmazás-kezeléssel olyan biztonsági réteget ad hozzá, amely biztosítja, hogy csak az Intune alkalmazásvédelmi szabályzatokat támogató ügyfélalkalmazások férhessenek hozzá az Exchange Online-hoz és más Microsoft 365-szolgáltatásokhoz.

Tipp

Az alkalmazásalapú feltételes hozzáférési szabályzatok mellett eszközalapú feltételes hozzáférést is használhat Intune.

Előfeltételek

Alkalmazásalapú feltételes hozzáférési szabályzat létrehozása előtt a következőkre van szüksége:

  • Enterprise Mobility + Security (EMS) vagy Microsoft Entra ID P1 vagy P2 előfizetés
  • A felhasználóknak ems- vagy Microsoft Entra ID licenccel kell rendelkeznie

További információ: Nagyvállalati mobilitási díjszabás vagy Microsoft Entra díjszabás.

Támogatott alkalmazások

Az alkalmazásalapú feltételes hozzáférést támogató alkalmazások listája a feltételes hozzáférés: Feltételek című részben található a Microsoft Entra dokumentációjában.

Az alkalmazásalapú feltételes hozzáférés az üzletági (LOB) alkalmazásokat is támogatja, de ezeknek az alkalmazásoknak modern Microsoft 365-hitelesítést kell használniuk.

Az alkalmazásalapú feltételes hozzáférés működése

Ebben a példában a rendszergazda alkalmazásvédelmi szabályzatokat alkalmazott az Outlook alkalmazásra, majd egy feltételes hozzáférési szabályt, amely hozzáadja az Outlook alkalmazást a vállalati e-mailek eléréséhez használható alkalmazások jóváhagyott listájához.

Megjegyzés:

Az alábbi folyamatábra más felügyelt alkalmazásokhoz is használható.

Folyamatábra által illusztrált alkalmazásalapú feltételes hozzáférési folyamat

  1. A felhasználó megpróbál hitelesítést végezni az Outlook alkalmazásból Microsoft Entra ID.

  2. A rendszer átirányítja a felhasználót az alkalmazás-áruházba, hogy közvetítőalkalmazást telepítsen, amikor először próbál hitelesítést végezni. A közvetítő alkalmazás lehet az iOS Rendszerhez készült Microsoft Authenticator vagy az Android-eszközökhöz készült Microsoft Céges portál.

    Ha a felhasználók natív levelezőalkalmazást próbálnak használni, a rendszer átirányítja őket az alkalmazás-áruházba, és telepítik az Outlook appot.

  3. A közvetítőalkalmazás települ az eszközre.

  4. A közvetítőalkalmazás elindítja a Microsoft Entra regisztrációs folyamatot, amely létrehoz egy eszközrekordot Microsoft Entra ID. Ez a folyamat nem ugyanaz, mint a mobileszköz-kezelési (MDM-) regisztrációs folyamat, de erre a rekordra azért van szükség, hogy a feltételes hozzáférési szabályzatok kikényszeríthetők legyenek az eszközön.

  5. A közvetítőalkalmazás megerősíti a Microsoft Entra eszközazonosítót, a felhasználót és az alkalmazást. Ezeket az információkat a rendszer a Microsoft Entra bejelentkezési kiszolgálóknak továbbítja a kért szolgáltatáshoz való hozzáférés ellenőrzéséhez.

  6. A közvetítőalkalmazás elküldi az alkalmazás ügyfél-azonosítóját a Microsoft Entra ID a felhasználói hitelesítési folyamat részeként annak ellenőrzéséhez, hogy szerepel-e a szabályzat által jóváhagyott listában.

  7. Microsoft Entra ID lehetővé teszi a felhasználó számára az alkalmazás hitelesítését és használatát a szabályzat által jóváhagyott lista alapján. Ha az alkalmazás nem szerepel a listán, Microsoft Entra ID letiltja az alkalmazáshoz való hozzáférést.

  8. Az Outlook alkalmazás az Outlook Cloud Service szolgáltatással kommunikálva kezdeményezi a kommunikációt Exchange Online.

  9. Az Outlook Cloud Service kommunikál az Microsoft Entra ID, hogy lekérje Exchange Online szolgáltatás hozzáférési jogkivonatát a felhasználó számára.

  10. Az Outlook alkalmazás Exchange Online kommunikál a felhasználó vállalati e-mail-címének lekéréséhez.

  11. A vállalati e-maileket a rendszer a felhasználó postaládájába kézbesíti.

Következő lépések

  • Last updated on