Memerlukan kebijakan perlindungan aplikasi pada perangkat Windows

Perlindungan aplikasi kebijakan menerapkan manajemen aplikasi seluler (MAM) ke aplikasi tertentu pada perangkat. Kebijakan ini memungkinkan pengamanan data dalam aplikasi untuk mendukung skenario seperti membawa perangkat Anda sendiri (BYOD). Kami mendukung penerapan kebijakan ke browser Microsoft Edge di perangkat Windows 11.

Prasyarat

• Kami mendukung penerapan kebijakan ke browser Microsoft Edge pada perangkat yang menjalankan Windows 11 dan Windows 10 versi 20H2 dan yang lebih tinggi dengan KB5031445.
• Kebijakan perlindungan aplikasi yang dikonfigurasi menargetkan perangkat Windows.
• Saat ini tidak didukung di sovereign cloud.

Pengecualian pengguna

Kebijakan Akses Bersyarah adalah alat yang canggih, sebaiknya kecualikan akun berikut dari kebijakan Anda:

• Akses darurat atau akun pemecah kaca untuk mencegah penguncian akun di seluruh penyewa. Dalam skenario yang tidak mungkin saat semua administrator dikunci dari penyewa Anda, akun administratif akses darurat Anda dapat digunakan untuk masuk ke penyewa dan mengambil langkah-langkah pemulihan akses.
  • Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
• Akun layanan dan perwakilan layanan, seperti Akun Microsoft Entra Koneksi Sync. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Akun layanan seperti ini harus dikecualikan karena MFA tidak dapat diselesaikan secara terprogram. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
  • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola. Sebagai solusi sementara, Anda dapat mengecualikan akun tertentu seperti ini dari kebijakan dasar.

Membuat Kebijakan Akses Bersyarat

Kebijakan berikut dimasukkan ke mode Khusus laporan untuk memulai sehingga administrator dapat menentukan dampak yang mereka alami pada pengguna yang ada. Ketika administrator merasa nyaman bahwa kebijakan berlaku sesuai yang diinginkan, mereka dapat beralih ke Aktif atau tahap penerapan dengan menambahkan grup tertentu dan mengecualikan yang lain.

Memerlukan kebijakan perlindungan aplikasi untuk perangkat Windows

Langkah-langkah berikut membantu membuat kebijakan Akses Bersyarat yang memerlukan kebijakan perlindungan aplikasi saat menggunakan perangkat Windows yang mengakses pengelompokan aplikasi Office 365 di Akses Bersyarat. Kebijakan perlindungan aplikasi juga harus dikonfigurasi dan ditetapkan untuk pengguna Anda di Microsoft Intune. Untuk informasi selengkapnya tentang cara membuat kebijakan perlindungan aplikasi, lihat artikel Perlindungan aplikasi pengaturan kebijakan untuk Windows. Kebijakan berikut mencakup beberapa kontrol yang memungkinkan perangkat menggunakan kebijakan perlindungan aplikasi untuk manajemen aplikasi seluler (MAM) atau dikelola dan mematuhi kebijakan manajemen perangkat seluler (MDM).

Tip

kebijakan Perlindungan aplikasi (MAM) mendukung perangkat yang tidak dikelola:

• Jika perangkat sudah dikelola melalui manajemen perangkat seluler (MDM), pendaftaran Intune MAM diblokir, dan pengaturan kebijakan perlindungan aplikasi tidak diterapkan.
• Jika perangkat dikelola setelah pendaftaran MAM, pengaturan kebijakan perlindungan aplikasi tidak lagi diterapkan.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
2. Telusuri Ke Akses Bersyar perlindungan>.
3. Pilih Buat kebijakan baru.
4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
   1. Di Sertakan, pilih Semua pengguna.
   2. Di bawah Kecualikan, pilih Pengguna dan grup dan pilih setidaknya akses darurat organisasi Anda atau akun break-glass.
6. Di bawah Sumber daya>target Aplikasi>cloud Sertakan, pilih Office 365.
7. Di bawah Kondisi:
   1. Platform perangkat mengatur Konfigurasikan ke Ya.
      1. Pada Sertakan, Pilih platform perangkat.
      2. Pilih Windows saja.
      3. Pilih Selesai.
   2. Aplikasi klien diatur Konfigurasikan ke Ya.
      1. Pilih Browser saja.
8. Di bawah Kontrol akses>Hibah, pilih Beri akses.
   1. Pilih Perlu kebijakan perlindungan aplikasi dan Wajibkan perangkat ditandai sebagai sesuai.
   2. Untuk multi-kontrol, pilih Memerlukan salah satu kontrol yang dipilih
9. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
10. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Tip

Organisasi juga harus menyebarkan kebijakan yang memblokir akses dari platform perangkat yang tidak didukung atau tidak diketahui bersama dengan kebijakan ini.

Masuk ke perangkat Windows

Saat pengguna mencoba masuk ke situs yang dilindungi oleh kebijakan perlindungan aplikasi untuk pertama kalinya, mereka diminta: Untuk mengakses layanan, aplikasi, atau situs web Anda, Anda mungkin perlu masuk ke Microsoft Edge menggunakan username@domain.com atau mendaftarkan perangkat organization Anda jika Anda sudah masuk.

Mengklik profil Switch Edge membuka jendela yang mencantumkan akun Kantor atau sekolah mereka bersama dengan opsi untuk Masuk untuk menyinkronkan data.

Proses ini membuka penawaran jendela untuk memungkinkan Windows mengingat akun Anda dan secara otomatis memasukkan Anda ke aplikasi dan situs web Anda.

Perhatian

Anda harus MENGHAPUS KOTAKCENTANG Izinkan organisasi saya mengelola perangkat saya. Membiarkan pemeriksaan ini mendaftarkan perangkat Anda dalam manajemen perangkat seluler (MDM) bukan manajemen aplikasi seluler (MAM).

Jangan pilih Tidak, masuk ke aplikasi ini saja.

Setelah memilih OK, Anda mungkin melihat jendela kemajuan saat kebijakan diterapkan. Setelah beberapa saat, Anda akan melihat jendela yang mengatakan Anda sudah siap, kebijakan perlindungan aplikasi diterapkan.

Pemecahan Masalah

Masalah umum

Dalam beberapa keadaan, setelah mendapatkan halaman "Anda sudah siap" Anda mungkin masih diminta untuk masuk dengan akun kerja Anda. Perintah ini mungkin terjadi ketika:

• Profil Anda ditambahkan ke Microsoft Edge, tetapi pendaftaran MAM masih diproses.
• Profil Anda ditambahkan ke Microsoft Edge, tetapi Anda memilih "aplikasi ini saja" di halaman head up.
• Anda mendaftar ke MAM tetapi pendaftaran Anda kedaluwarsa atau Anda tidak mematuhi persyaratan organisasi Anda.

Untuk mengatasi kemungkinan skenario ini:

• Tunggu beberapa menit dan coba lagi di tab baru.
• Hubungi administrator Anda untuk memeriksa apakah kebijakan Microsoft Intune MAM berlaku untuk akun Anda dengan benar.

Akun yang sudah ada

Ada masalah yang diketahui di mana ada akun yang sudah ada dan tidak terdaftar sebelumnya, seperti user@contoso.com di Microsoft Edge, atau jika pengguna masuk tanpa mendaftar menggunakan Halaman Heads Up, maka akun tidak terdaftar dengan benar di MAM. Konfigurasi ini memblokir pengguna agar tidak terdaftar dengan benar di MAM.

Langkah berikutnya

• Apa itu manajemen aplikasi Microsoft Intune?
• Ringkasan kebijakan Perlindungan aplikasi