Mewajibkan kepatuhan keamanan perangkat untuk aplikasi Windows dengan Microsoft Intune dan Akses Bersyarat Microsoft Entra

Anda dapat menggunakan kombinasi Akses Bersyarat Microsoft Intune dan Microsoft Entra untuk mengharuskan perangkat pengguna memenuhi persyaratan keamanan spesifik Anda sebelum dapat tersambung ke Azure Virtual Desktop, Windows 365, dan Microsoft Dev Box. Pendekatan ini memungkinkan Anda menerapkan persyaratan keamanan untuk Aplikasi Windows dalam skenario berikut:

Platform perangkat	Manajemen perangkat Intune
iOS/iPadOS	Terkelola atau tidak terkelola
Android¹	Terkelola atau tidak terkelola
Browser web (hanya Microsoft Edge di Windows)	Hanya yang tidak dikelola

1. Tidak menyertakan dukungan untuk Chrome OS.

Untuk informasi tentang menggunakan kebijakan perlindungan aplikasi dengan perangkat terkelola dan tidak terkelola, lihat Kebijakan perlindungan aplikasi target berdasarkan status manajemen perangkat.

Beberapa pengaturan kebijakan yang dapat Anda terapkan termasuk memerlukan PIN, versi sistem operasi tertentu, memblokir keyboard pihak ketiga, dan membatasi operasi potong, salin, dan tempel antara aplikasi lain di perangkat klien lokal. Untuk daftar lengkap pengaturan yang tersedia, lihat pada Peluncuran bersyarat di pengaturan kebijakan perlindungan aplikasi iOS dan Peluncuran bersyarat di pengaturan kebijakan perlindungan aplikasi Android.

Setelah menetapkan persyaratan keamanan, Anda juga dapat mengelola apakah pada perangkat iOS/iPadOS dan Android sumber daya lokal mereka seperti kamera, mikrofon, penyimpanan, dan clipboard dialihkan ke sesi jarak jauh. Mengharuskan kepatuhan keamanan perangkat lokal adalah prasyarat untuk mengelola pengaturan pengalihan perangkat lokal. Untuk mempelajari selengkapnya tentang mengelola pengaturan pengalihan perangkat lokal, lihat Mengelola pengaturan pengalihan perangkat lokal dengan Microsoft Intune.

Pada tingkat tinggi, ada dua area untuk dikonfigurasi:

• Kebijakan perlindungan aplikasi Intune: digunakan untuk menentukan persyaratan keamanan yang harus dipenuhi aplikasi dan perangkat klien lokal. Anda dapat menggunakan filter untuk menargetkan pengguna berdasarkan kriteria tertentu.

• Kebijakan Akses Bersyarat: digunakan untuk mengontrol akses ke Azure Virtual Desktop dan Windows 365 hanya jika kriteria yang ditetapkan dalam kebijakan perlindungan aplikasi terpenuhi.

Prasyarat

Sebelum Anda dapat memerlukan kepatuhan keamanan perangkat klien lokal menggunakan Intune dan Akses Bersyarat, Anda memerlukan:

• Sekumpulan host yang sudah ada dengan host sesi, atau PC Cloud.

• Setidaknya satu grup keamanan Microsoft Entra ID yang berisi pengguna untuk menerapkan kebijakan.

• Hanya untuk perangkat terkelola, Anda perlu menambahkan setiap aplikasi berikut yang ingin Anda gunakan ke Intune:

  • Untuk Aplikasi Windows di iOS/iPadOS, lihat Menambahkan aplikasi penyimpanan iOS ke Microsoft Intune.
  • Untuk Microsoft Edge di Windows, lihat Menambahkan Microsoft Edge untuk Windows 10/11 ke Microsoft Intune.

• Perangkat klien lokal yang menjalankan salah satu versi Aplikasi Windows berikut atau menggunakan Aplikasi Windows di Microsoft Edge:

  • Aplikasi Windows:

    • iOS/iPadOS: 11.1.1 atau yang lebih baru.
    • Android 1.0.0.161 atau yang lebih baru.

  • Microsoft Edge di Windows: 134.0.3124.51 atau yang lebih baru.

• Juga di perangkat klien lokal, Anda memerlukan versi terbaru:

  • iOS/iPadOS: Aplikasi Microsoft Authenticator
  • Android: Aplikasi Portal Perusahaan, diinstal di profil yang sama dengan Aplikasi Windows untuk perangkat pribadi. Kedua aplikasi harus berada di profil pribadi atau di profil kerja, bukan satu di setiap profil.

• Ada lebih banyak prasyarat Intune untuk mengonfigurasi kebijakan perlindungan aplikasi dan kebijakan Akses Bersyarat. Untuk informasi selengkapnya, lihat:

  • Cara membuat dan menetapkan kebijakan perlindungan aplikasi.
  • Gunakan kebijakan Akses Bersyarat berbasis aplikasi dengan Intune.

Membuat filter

Dengan membuat filter, Anda hanya dapat menerapkan pengaturan kebijakan saat kriteria yang ditetapkan dalam filter dicocokkan, memungkinkan Anda mempersempit cakupan penugasan kebijakan. Dengan Aplikasi Windows, Anda dapat menggunakan filter berikut:

• iOS/iPadOS:

  • Buat filter aplikasi terkelola untuk perangkat yang tidak dikelola dan terkelola.
  • Buat filter untuk mengelola perangkat yang terkelola.

• Android:

  • Buat filter aplikasi terkelola untuk perangkat yang tidak dikelola dan terkelola.

• Windows: Filter tidak berlaku untuk Microsoft Edge di Windows.

Gunakan filter untuk mempersempit cakupan penugasan kebijakan. Membuat filter bersifat opsional; jika Anda tidak mengonfigurasi filter, kepatuhan keamanan perangkat dan pengaturan pengalihan perangkat yang sama berlaku untuk pengguna, terlepas dari apakah mereka berada di perangkat terkelola atau tidak terkelola. Apa yang Anda tentukan dalam filter tergantung pada kebutuhan Anda.

Untuk mempelajari tentang filter dan cara membuatnya, lihat Menggunakan filter saat menetapkan aplikasi, kebijakan, dan profil Anda di Microsoft Intune dan Properti filter aplikasi terkelola.

Membuat kebijakan perlindungan aplikasi

Kebijakan perlindungan aplikasi memungkinkan Anda mengontrol cara aplikasi dan perangkat mengakses dan berbagi data. Anda perlu membuat kebijakan perlindungan aplikasi terpisah untuk iOS/iPadOS, Android, dan Microsoft Edge di Windows. Jangan konfigurasikan iOS/iPadOS dan Android dalam kebijakan perlindungan aplikasi yang sama karena Anda tidak dapat mengonfigurasi penargetan kebijakan berdasarkan perangkat terkelola dan tidak dikelola.

Pilih tab yang relevan.

iOS/iPadOS

Untuk membuat dan menerapkan kebijakan perlindungan aplikasi, ikuti langkah-langkah dalam Cara membuat dan menetapkan kebijakan perlindungan aplikasi dan menggunakan pengaturan berikut:

• Buat kebijakan perlindungan aplikasi untuk iOS/iPadOS.

• Pada tab Aplikasi , pilih Pilih aplikasi publik, cari dan pilih Aplikasi Windows, lalu pilih Pilih.

• Pada tab Perlindungan data, hanya pengaturan berikut ini yang relevan dengan Aplikasi Windows. Pengaturan lain tidak berlaku karena Aplikasi Windows berinteraksi dengan host sesi dan bukan dengan data di aplikasi. Pada perangkat seluler, keyboard yang tidak disetujui adalah sumber perekaman penekanan tombol dan pencurian.

  Anda dapat mengonfigurasi pengaturan berikut:

  Pengaturan	Nilai/Deskripsi
  Transfer data
  Mengirim data org ke aplikasi lain	Atur ke Tidak Ada untuk mengaktifkan perlindungan tangkapan layar. Untuk informasi selengkapnya tentang perlindungan tangkapan layar di Azure Virtual Desktop, lihat Mengaktifkan perlindungan tangkapan layar di Azure Virtual Desktop.
  Membatasi pemotongan, penyalinan, dan tempel antara aplikasi lain	Atur ke Diblokir untuk menonaktifkan pengalihan papan klip antara Aplikasi Windows dan perangkat lokal. Gunakan dengan menonaktifkan pengalihan clipboard dalam kebijakan konfigurasi aplikasi.
  Keyboard pihak ketiga	Atur ke Diblokir untuk memblokir keyboard pihak ketiga.

• Pada tab Peluncuran Bersyarat, kami sarankan Anda menambahkan kondisi berikut:

  Keadaan	Jenis kondisi	Nilai	Tindakan
  Versi minimum aplikasi	Kondisi aplikasi	Berdasarkan kebutuhan Anda. Masukkan nomor versi untuk Aplikasi Windows di iOS/iPadOS	Blokir akses
  Versi OS minimal	Kondisi perangkat	Berdasarkan kebutuhan Anda.	Blokir akses
  Layanan MTD utama	Kondisi perangkat	Berdasarkan kebutuhan Anda. Konektor MTD Anda harus dikonfigurasi. Untuk Microsoft Defender for Endpoint, lakukan konfigurasi Microsoft Defender for Endpoint di Intune.	Blokir akses
  Tingkat ancaman perangkat maksimum yang diizinkan	Kondisi perangkat	Terjamin	Blokir akses

  Untuk informasi selengkapnya tentang pengaturan yang tersedia, lihat Peluncuran bersyarat dalam pengaturan kebijakan perlindungan aplikasi iOS.

• Pada tab Penugasan , tetapkan kebijakan ke grup keamanan Anda yang berisi pengguna yang ingin Anda terapkan kebijakannya. Anda harus menerapkan kebijakan ke sekelompok pengguna agar kebijakan tersebut berlaku. Untuk setiap grup, Anda dapat secara opsional memilih filter agar lebih spesifik dalam penargetan kebijakan konfigurasi aplikasi.

Android

Untuk membuat dan menerapkan kebijakan perlindungan aplikasi, ikuti langkah-langkah dalam Cara membuat dan menetapkan kebijakan perlindungan aplikasi dan menggunakan pengaturan berikut:

• Buat kebijakan perlindungan aplikasi untuk Android.

• Pada tab Aplikasi , pilih Pilih aplikasi publik, cari dan pilih Aplikasi Windows, lalu pilih Pilih.

• Pada tab Perlindungan data, hanya pengaturan berikut ini yang relevan dengan Aplikasi Windows. Pengaturan lain tidak berlaku karena Aplikasi Windows berinteraksi dengan host sesi dan bukan dengan data di aplikasi. Pada perangkat seluler, keyboard yang tidak disetujui adalah sumber perekaman penekanan tombol dan pencurian.

  Anda dapat mengonfigurasi pengaturan berikut:

  Pengaturan	Nilai/Deskripsi
  Transfer data
  Membatasi pemotongan, penyalinan, dan tempel antara aplikasi lain	Atur ke Diblokir untuk menonaktifkan pengalihan papan klip antara Aplikasi Windows dan perangkat lokal. Gunakan dengan menonaktifkan pengalihan clipboard dalam kebijakan konfigurasi aplikasi.
  Tangkapan layar dan Asisten Google	Atur ke Blokir untuk memblokir perlindungan tangkapan layar dan Asisten Google. Untuk informasi selengkapnya tentang perlindungan tangkapan layar di Azure Virtual Desktop, lihat Mengaktifkan perlindungan tangkapan layar di Azure Virtual Desktop.
  Keyboard yang disetujui	Atur keyboard untuk disetujui dari daftar yang tersedia atau tambahkan entri khusus.

• Pada tab Peluncuran Bersyarat, kami sarankan Anda menambahkan kondisi berikut:

  Keadaan	Jenis kondisi	Nilai	Tindakan
  Versi minimum aplikasi	Kondisi aplikasi	Berdasarkan kebutuhan Anda. Masukkan nomor versi untuk Aplikasi Windows di Android.	Blokir akses
  Versi OS minimal	Kondisi perangkat	Berdasarkan kebutuhan Anda.	Blokir akses
  Layanan MTD utama	Kondisi perangkat	Berdasarkan kebutuhan Anda. Konektor MTD Anda harus dikonfigurasi. Untuk Microsoft Defender for Endpoint, lakukan konfigurasi Microsoft Defender for Endpoint di Intune.	Blokir akses
  Tingkat ancaman perangkat maksimum yang diizinkan	Kondisi perangkat	Terjamin	Blokir akses

  Untuk informasi selengkapnya tentang pengaturan yang tersedia, lihat Peluncuran berskala di pengaturan kebijakan perlindungan aplikasi Android.

• Pada tab Penugasan , tetapkan kebijakan ke grup keamanan Anda yang berisi pengguna yang ingin Anda terapkan kebijakannya. Anda harus menerapkan kebijakan ke sekelompok pengguna agar kebijakan tersebut berlaku. Untuk setiap grup, Anda dapat secara opsional memilih filter agar lebih spesifik dalam penargetan kebijakan konfigurasi aplikasi.

peramban web

Untuk membuat dan menerapkan kebijakan perlindungan aplikasi untuk Microsoft Edge di Windows:

1. Masuk ke pusat admin Microsoft Intune .

2. Pilih Aplikasi, lalu di bawah Kelola aplikasi, pilih Perlindungan.

3. Pilih Buat, lalu pilih Windows. Panel Buat kebijakan ditampilkan.

4. Pada tab Dasar , lengkapi informasi berikut ini:

   Pengaturan	Nilai/Deskripsi
   Nama	Masukkan nama untuk kebijakan perlindungan aplikasi ini.
   Deskripsi	Secara opsional masukkan deskripsi.

   Setelah Anda menyelesaikan tab ini, pilih Berikutnya.

5. Pada tab Aplikasi , pilih Pilih aplikasi. Di panel yang terbuka, cari dan pilih Microsoft Edge, lalu pilih Pilih. Setelah Microsoft Edge tercantum dalam daftar aplikasi yang dipilih, pilih Berikutnya.

6. Pada tab Perlindungan data, Anda bisa mengonfigurasi pengaturan berikut:

   Pengaturan	Nilai/Deskripsi
   Transfer data
   Menerima data dari	Atur ke Tidak ada sumber daya untuk menonaktifkan pengalihan drive dari aplikasi Windows. Juga harus mengonfigurasi Kirim data org ke.
   Mengirim data organisasi ke	Atur ke Tidak ada tujuan untuk menonaktifkan pengalihan drive ke Aplikasi Windows. Juga harus mengonfigurasi Terima data dari.
   Izinkan potong, salin, dan tempel untuk	Atur ke Tidak ada tujuan atau sumber untuk menonaktifkan pengalihan papan klip antara Aplikasi Windows dan perangkat lokal.
   Fungsionalitas
   Mencetak data organisasi	Atur ke Blokir untuk mencegah pencetakan dari Aplikasi Windows.

   Nota

   Skenario ini menargetkan Aplikasi Windows di browser web dengan Microsoft Edge menggunakan kebijakan perlindungan aplikasi, yang berbeda dari menggunakan versi Aplikasi Windows yang diinstal secara asli.

   • Anda tidak dapat mengizinkan pengalihan perangkat penyimpanan dan memblokir pencetakan. Mencetak dari sesi jarak jauh berbasis web bergantung pada pengaturan transfer data. Anda dapat menggunakan metode lain untuk memblokir pencetakan, seperti pengaturan kumpulan host Azure Virtual Desktop atau mengonfigurasi host sesi atau PC Cloud, bukan perangkat lokal. Atau, gunakan salah satu versi Aplikasi Windows yang diinstal secara asli. Untuk informasi selengkapnya, lihat Mengonfigurasi pengalihan printer melalui Protokol Desktop Jarak Jauh.

   • Anda dapat memblokir pengalihan drive dan mengizinkan pencetakan.

• Pada tab Pemeriksaan Kesehatan , kami sarankan Anda menambahkan kondisi berikut:

  Keadaan	Jenis kondisi	Nilai	Tindakan
  Versi minimum aplikasi	Kondisi aplikasi	Berdasarkan kebutuhan Anda. Masukkan nomor versi untuk Microsoft Edge, dengan 134.0.3124.51 sebagai versi paling awal yang didukung.	Blokir akses
  Versi OS minimal	Kondisi perangkat	Berdasarkan kebutuhan Anda. Masukkan nomor build untuk Windows dalam salah satu format berikut: major.minor, , major.minor.buildmajor.minor.build.revision, misalnya 10.0.26100.3476. Anda dapat menemukan nomor build Windows di kesehatan rilis Windows dan memilih tautan untuk informasi rilis untuk setiap sistem operasi.	Blokir akses
  Tingkat ancaman perangkat maksimum yang diizinkan	Kondisi perangkat	Terjamin	Blokir akses

  Untuk informasi selengkapnya tentang pengaturan yang tersedia, lihat Pemeriksaan kesehatan di pengaturan kebijakan perlindungan aplikasi untuk Windows.

• Pada tab Penugasan , tetapkan kebijakan ke grup keamanan Anda yang berisi pengguna yang ingin Anda terapkan kebijakannya. Anda harus menerapkan kebijakan ke sekelompok pengguna agar kebijakan tersebut berlaku. Untuk setiap grup, Anda dapat secara opsional memilih filter agar lebih spesifik dalam penargetan kebijakan konfigurasi aplikasi.

Membuat kebijakan Akses Bersyarat

Kebijakan Akses Bersyarat memungkinkan Anda mengontrol akses ke Azure Virtual Desktop, Windows 365, dan Microsoft Dev Box berdasarkan kriteria tertentu dari pengguna yang terhubung dan perangkat yang mereka gunakan. Sebaiknya Anda membuat beberapa kebijakan Akses Kondisional untuk mencapai skenario yang lebih terperinci berdasarkan kebutuhan Anda. Beberapa contoh kebijakan ada di bagian berikut.

Penting

Pertimbangkan dengan cermat berbagai layanan cloud, perangkat, dan versi Aplikasi Windows yang Anda inginkan agar dapat digunakan pengguna Anda. Contoh kebijakan Akses Bersyariah ini tidak mencakup semua skenario dan Anda perlu berhati-hati untuk tidak memblokir akses secara tidak sengaja. Anda harus membuat kebijakan dan menyesuaikan pengaturan berdasarkan kebutuhan Anda.

Untuk membuat dan menerapkan kebijakan Akses Bersyar, ikuti langkah-langkah dalam Menyiapkan kebijakan Akses Bersyar berbasis aplikasi dengan Intune dan gunakan informasi dan pengaturan dalam contoh berikut.

Contoh 1: Izinkan akses hanya saat kebijakan perlindungan aplikasi diterapkan dengan Aplikasi Windows

Contoh ini hanya memungkinkan akses saat kebijakan perlindungan aplikasi diterapkan dengan Aplikasi Windows:

• Untuk Penugasan, di bawah Pengguna atau identitas beban kerja, pilih 0 pengguna atau identitas beban kerja yang dipilih, lalu sertakan grup keamanan yang berisi pengguna untuk menerapkan kebijakan. Anda harus menerapkan kebijakan ke sekelompok pengguna agar kebijakan tersebut berlaku.

• Untuk Sumber daya target, pilih untuk menerapkan kebijakan ke Sumber Daya, lalu untuk Sertakan, pilih Pilih sumber daya. Cari dan pilih sumber daya berikut. Anda hanya memiliki sumber daya ini jika Anda mendaftarkan layanan yang relevan di penyewa Anda.

  Nama Sumber Daya	ID aplikasi	Catatan
  Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Ini mungkin disebut Windows Virtual Desktop sebagai gantinya. Verifikasi dengan ID aplikasi.
  Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Juga berlaku untuk Microsoft Dev Box.
  Masuk Windows Cloud	270efc09-cd0d-444b-a71f-39af4910ec45	Tersedia setelah salah satu layanan lain terdaftar.

• Untuk Kondisi:

  • Pilih Platform perangkat, untuk Konfigurasikan, pilih Ya, lalu di bawah Sertakan, pilih Pilih platform perangkat dan periksa iOS dan Android.
  • Pilih Aplikasi klien, untuk Konfigurasikan pilih Ya, lalu periksa Browser dan Aplikasi seluler dan klien desktop.

• Untuk Kontrol akses, di bawah Berikan akses, pilih 0 kontrol dipilih, lalu centang kotak untuk Memerlukan kebijakan perlindungan aplikasi dan pilih tombol radio untuk Memerlukan semua kontrol yang dipilih.

• Untuk Aktifkan kebijakan, atur ke Aktif.

Contoh 2: Memerlukan kebijakan perlindungan aplikasi untuk perangkat Windows

Contoh ini membatasi perangkat Windows pribadi yang tidak dikelola untuk menggunakan Microsoft Edge untuk mengakses sesi jarak jauh menggunakan Aplikasi Windows hanya di browser web. Untuk detail selengkapnya tentang skenario ini, lihat Memerlukan kebijakan perlindungan aplikasi untuk perangkat Windows.

• Untuk Penugasan, di bawah Pengguna atau identitas beban kerja, pilih 0 pengguna atau identitas beban kerja yang dipilih, lalu sertakan grup keamanan yang berisi pengguna untuk menerapkan kebijakan. Anda harus menerapkan kebijakan ke sekelompok pengguna agar kebijakan tersebut berlaku.

• Untuk Sumber daya target, pilih untuk menerapkan kebijakan ke Sumber Daya, lalu untuk Sertakan, pilih Pilih sumber daya. Cari dan pilih sumber daya berikut. Anda hanya memiliki sumber daya ini jika Anda mendaftarkan layanan yang relevan di penyewa Anda.

  Nama Sumber Daya	ID aplikasi	Catatan
  Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Ini mungkin disebut Windows Virtual Desktop sebagai gantinya. Verifikasi dengan ID aplikasi.
  Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Juga berlaku untuk Microsoft Dev Box.
  Masuk Windows Cloud	270efc09-cd0d-444b-a71f-39af4910ec45	Tersedia setelah salah satu layanan lain terdaftar.

• Untuk Kondisi:

  • Pilih Platform perangkat, untuk Konfigurasikan, pilih Ya, lalu di bawah Sertakan, pilih Pilih platform perangkat dan periksa Windows.
  • Pilih Aplikasi klien, untuk Konfigurasikan pilih Ya, lalu centang Browser.

• Untuk Kontrol akses, pilih Berikan akses, lalu centang kotak untuk Memerlukan kebijakan perlindungan aplikasi dan pilih tombol radio untuk Memerlukan salah satu kontrol yang dipilih.

• Untuk Aktifkan kebijakan, atur ke Aktif.

Verifikasi konfigurasi

Setelah mengonfigurasi Intune dan Akses Bersyarat untuk memerlukan kepatuhan keamanan perangkat pada perangkat pribadi, Anda dapat memverifikasi konfigurasi Anda dengan menyambungkan ke sesi jarak jauh. Apa yang harus Anda uji tergantung pada apakah Anda mengonfigurasi kebijakan untuk diterapkan ke perangkat terdaftar atau tidak terdaftar, platform mana, dan pengaturan perlindungan data yang Anda tetapkan. Verifikasi bahwa Anda hanya dapat melakukan tindakan yang dapat Anda lakukan sesuai dengan apa yang Anda harapkan.

Konten terkait

• Mengelola pengaturan pengalihan perangkat lokal dengan Microsoft Intune