Alkalmazásalapú feltételes hozzáférési szabályzatok használata az Intune-nal
Microsoft Intune alkalmazásvédelmi szabályzatok Microsoft Entra feltételes hozzáféréssel együttműködve védik a szervezeti adatokat az alkalmazottak által használt eszközökön. Ezek a szabályzatok az Intune-ban regisztrált eszközökön és a nem regisztrált alkalmazottak tulajdonában lévő eszközökön működnek. Ezek együttesen alkalmazásalapú feltételes hozzáférésre hivatkoznak.
Alkalmazásvédelem szabályzatok olyan szabályok, amelyek biztosítják, hogy a szervezet adatai biztonságosak vagy egy felügyelt alkalmazásban legyenek tárolva:
- Az alkalmazásvédelmi szabályzatok lehetnek olyan szabályok, amelyek akkor lépnek érvénybe, amikor egy felhasználó megpróbálja elérni vagy áthelyezni a szervezeti adatokat, vagy olyan műveletek halmaza, amelyek tiltottak vagy monitorozottak, amikor egy felhasználó felügyelt alkalmazáson belül dolgozik.
- A felügyelt alkalmazások olyan alkalmazások, amelyekhez alkalmazásvédelmi szabályzatok vannak alkalmazva, és az Intune felügyelheti.
- Letilthatja a beépített levelezőalkalmazásokat iOS/iPadOS és Android rendszeren is, ha csak a Microsoft Outlook alkalmazásnak engedélyezi az Exchange Online elérését. Emellett letilthatja azokat az alkalmazásokat is, amelyeken nincs érvényben Az Intune alkalmazásvédelmi szabályzata a SharePoint Online eléréséhez.
Az alkalmazásalapú feltételes hozzáférés az ügyfélalkalmazás-kezeléssel olyan biztonsági réteget ad hozzá, amely biztosítja, hogy csak az Intune alkalmazásvédelmi szabályzatait támogató ügyfélalkalmazások férhessenek hozzá az Exchange Online-hoz és más Microsoft 365-szolgáltatásokhoz.
Tipp
Az alkalmazásalapú feltételes hozzáférési szabályzatok mellett eszközalapú feltételes hozzáférést is használhat az Intune-nal.
Előfeltételek
Alkalmazásalapú feltételes hozzáférési szabályzat létrehozása előtt a következőkre van szüksége:
- Enterprise Mobility + Security (EMS) vagy egy P1 vagy P2 azonosítójú Microsoft Entra-előfizetés
- A felhasználóknak licenccel kell rendelkeznie az EMS-hez vagy Microsoft Entra-azonosítóhoz
További információ: Nagyvállalati mobilitási díjszabás vagy Microsoft Entra díjszabás.
Támogatott alkalmazások
Az alkalmazásalapú feltételes hozzáférést támogató alkalmazások listája a feltételes hozzáférés: Feltételek című részben található a Microsoft Entra dokumentációjában.
Az alkalmazásalapú feltételes hozzáférés az üzletági (LOB) alkalmazásokat is támogatja, de ezeknek az alkalmazásoknak modern Microsoft 365-hitelesítést kell használniuk.
Az alkalmazásalapú feltételes hozzáférés működése
Ebben a példában a rendszergazda alkalmazásvédelmi szabályzatokat alkalmazott az Outlook alkalmazásra, majd egy feltételes hozzáférési szabályt, amely hozzáadja az Outlook alkalmazást a vállalati e-mailek eléréséhez használható alkalmazások jóváhagyott listájához.
Megjegyzés:
Az alábbi folyamatábra más felügyelt alkalmazásokhoz is használható.
A felhasználó megpróbál hitelesíteni, hogy Microsoft Entra azonosítót az Outlook alkalmazásból.
A rendszer átirányítja a felhasználót az alkalmazás-áruházba, hogy közvetítőalkalmazást telepítsen, amikor először próbál hitelesítést végezni. A közvetítő alkalmazás lehet az iOS Rendszerhez készült Microsoft Authenticator vagy az Android-eszközökhöz készült Microsoft Céges portál.
Ha a felhasználók natív levelezőalkalmazást próbálnak használni, a rendszer átirányítja őket az alkalmazás-áruházba, és telepítik az Outlook appot.
A közvetítőalkalmazás települ az eszközre.
A közvetítőalkalmazás elindítja a Microsoft Entra regisztrációs folyamatot, amely létrehoz egy eszközrekordot Microsoft Entra azonosítóban. Ez a folyamat nem ugyanaz, mint a mobileszköz-kezelési (MDM-) regisztrációs folyamat, de erre a rekordra azért van szükség, hogy a feltételes hozzáférési szabályzatok kikényszeríthetők legyenek az eszközön.
A közvetítőalkalmazás megerősíti a Microsoft Entra eszközazonosítót, a felhasználót és az alkalmazást. Ezeket az információkat a rendszer a Microsoft Entra bejelentkezési kiszolgálóknak továbbítja a kért szolgáltatáshoz való hozzáférés ellenőrzéséhez.
A közvetítőalkalmazás elküldi az alkalmazás ügyfél-azonosítóját Microsoft Entra azonosítónak a felhasználóhitelesítési folyamat részeként, hogy ellenőrizze, szerepel-e a szabályzat által jóváhagyott listában.
Microsoft Entra azonosító lehetővé teszi a felhasználó számára az alkalmazás hitelesítését és használatát a szabályzat által jóváhagyott lista alapján. Ha az alkalmazás nem szerepel a listán, Microsoft Entra azonosító letiltja az alkalmazáshoz való hozzáférést.
Az Outlook alkalmazás az Outlook Cloud Service szolgáltatással kommunikálva kezdeményezi a kommunikációt Exchange Online.
Az Outlook Cloud Service kommunikál Microsoft Entra azonosítóval, hogy lekérje Exchange Online szolgáltatás hozzáférési jogkivonatát a felhasználó számára.
Az Outlook alkalmazás Exchange Online kommunikál a felhasználó vállalati e-mail-címének lekéréséhez.
A vállalati e-maileket a rendszer a felhasználó postaládájába kézbesíti.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: