Wymaganie zasad ochrony aplikacji na urządzeniach z systemem Windows

  • Artykuł

Ochrona aplikacji zasady stosują zarządzanie aplikacjami mobilnymi (MAM) do określonych aplikacji na urządzeniu. Te zasady umożliwiają zabezpieczanie danych w aplikacji w scenariuszach, takich jak bring your own device (BYOD). Obsługujemy stosowanie zasad do przeglądarki Microsoft Edge na urządzeniach z systemem Windows 11.

Screenshot of a browser requiring the user to sign in to their Microsoft Edge profile to access an application.

Wymagania wstępne

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

  • Dostęp awaryjny lub konta typu break-glass, aby zapobiec blokadzie konta dla całej dzierżawy. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani z dzierżawy, konto administracyjne dostępu awaryjnego może służyć do logowania się do dzierżawy w celu podjęcia kroków w celu odzyskania dostępu.
  • Konta usług i jednostki usług, takie jak konto microsoft Entra Połączenie Sync. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza umożliwiające programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Konta usług, takie jak te, powinny zostać wykluczone, ponieważ nie można programowo ukończyć uwierzytelniania wieloskładnikowego. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usługi.
    • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi. Jako tymczasowe obejście można wykluczyć te określone konta z zasad punktu odniesienia.

Tworzenie zasad dostępu warunkowego

Następujące zasady są umieszczane w trybie tylko do raportowania, aby administratorzy mogli określić wpływ na istniejących użytkowników. Gdy administratorzy czują się komfortowo, że zasady mają zastosowanie zgodnie z oczekiwaniami, mogą przełączyć się na wł. lub przygotować wdrożenie, dodając określone grupy i wykluczając inne.

Wymaganie zasad ochrony aplikacji dla urządzeń z systemem Windows

Poniższe kroki ułatwiają tworzenie zasad dostępu warunkowego wymagających zasad ochrony aplikacji podczas korzystania z urządzenia z systemem Windows, które uzyskuje dostęp do grupowania aplikacji usługi Office 365 w dostępie warunkowym. Zasady ochrony aplikacji muszą być również skonfigurowane i przypisane do użytkowników w usłudze Microsoft Intune. Aby uzyskać więcej informacji na temat tworzenia zasad ochrony aplikacji, zobacz artykuł Ochrona aplikacji ustawienia zasad dla systemu Windows. Poniższe zasady obejmują wiele mechanizmów kontroli, które umożliwiają urządzeniom używanie zasad ochrony aplikacji na potrzeby zarządzania aplikacjami mobilnymi (MAM) lub zarządzania nimi i zgodności z zasadami zarządzania urządzeniami przenośnymi (MDM).

Napiwek

zasady Ochrona aplikacji obsługują urządzenia niezarządzane:

  • Jeśli urządzenie jest już zarządzane za pomocą zarządzania urządzeniami przenośnymi (MDM), rejestracja w usłudze Intune mam jest zablokowana, a ustawienia zasad ochrony aplikacji nie są stosowane.
  • Jeśli urządzenie stanie się zarządzane po rejestracji zarządzania aplikacjami mobilnymi, ustawienia zasad ochrony aplikacji nie będą już stosowane.
  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. Nadaj zasadom nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz co najmniej konta awaryjne lub konta awaryjne w organizacji.
  6. W obszarze Zasoby docelowe>Aplikacje>w chmurze Dołącz wybierz pozycję Office 365.
  7. W warunkach:
    1. Na platformach urządzeń ustawiono wartość Konfiguruj na Wartość Tak.
      1. W obszarze Uwzględnij wybierz platformy urządzeń.
      2. Wybierz tylko system Windows .
      3. Wybierz pozycję Gotowe.
    2. Aplikacje klienckie mają ustawioną wartość Konfiguruj na Wartość Tak.
      1. Wybierz pozycję Tylko przeglądarka .
  8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj zasad ochrony aplikacji i Wymagaj, aby urządzenie było oznaczone jako zgodne.
    2. W przypadku wielu kontrolek wybierz pozycję Wymagaj jednej z wybranych kontrolek
  9. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Napiwek

Organizacje powinny również wdrożyć zasady blokujące dostęp z nieobsługiwanych lub nieznanych platform urządzeń wraz z zasadami.

Logowanie się na urządzeniach z systemem Windows

Gdy użytkownicy próbują zalogować się do witryny chronionej przez zasady ochrony aplikacji po raz pierwszy, zostanie wyświetlony monit: Aby uzyskać dostęp do usługi, aplikacji lub witryny internetowej, może być konieczne zalogowanie się do przeglądarki Microsoft Edge przy użyciu username@domain.com lub zarejestrowanie urządzenia organization , jeśli już się zalogowano.

Kliknięcie pozycji Przełącz profil przeglądarki Edge powoduje otwarcie okna z listą konta służbowego wraz z opcją Zaloguj się w celu zsynchronizowania danych.

Screenshot showing the popup in Microsoft Edge asking user to sign in.

Ten proces otwiera ofertę okna umożliwiającą systemowi Windows zapamiętanie konta i automatyczne zalogowanie się do aplikacji i witryn internetowych.

Uwaga

Należy WYCZYŚCIć POLE WYBORUZezwalaj mojej organizacji na zarządzanie moim urządzeniem. Pozostawienie tego zaznaczenia powoduje zarejestrowanie urządzenia w rozwiązaniu do zarządzania urządzeniami przenośnymi (MDM), a nie zarządzania aplikacjami mobilnymi (MAM).

Nie wybieraj pozycji Nie, zaloguj się tylko do tej aplikacji.

Screenshot showing the stay signed in to all your apps window. Uncheck the allow my organization to manage my device checkbox.

Po wybraniu przycisku OK może zostać wyświetlone okno postępu po zastosowaniu zasad. Po kilku chwilach powinno zostać wyświetlone okno z informacją Wszystko jest ustawione, zasady ochrony aplikacji są stosowane.

Rozwiązywanie problemów

Typowe problemy

W niektórych okolicznościach po otrzymaniu strony "Wszystko gotowe" może być nadal wyświetlany monit o zalogowanie się przy użyciu konta służbowego. Ten monit może wystąpić, gdy:

  • Twój profil jest dodawany do przeglądarki Microsoft Edge, ale rejestracja mam jest nadal przetwarzana.
  • Twój profil jest dodawany do przeglądarki Microsoft Edge, ale wybrano opcję "ta aplikacja tylko" na stronie głównej.
  • Rejestracja została zarejestrowana w usłudze MAM, ale rejestracja wygasła lub nie jest zgodna z wymaganiami organizacji.

Aby rozwiązać te możliwe scenariusze:

  • Poczekaj kilka minut i spróbuj ponownie na nowej karcie.
  • Skontaktuj się z administratorem, aby sprawdzić, czy zasady zarządzania aplikacjami mobilnymi w usłudze Microsoft Intune są prawidłowo stosowane do Twojego konta.

Istniejące konto

Istnieje znany problem polegający na tym, że istnieje wstępnie istniejące, niezarejestrowane konto, na przykład user@contoso.com w przeglądarce Microsoft Edge, lub jeśli użytkownik loguje się bez rejestrowania przy użyciu strony head up, konto nie jest poprawnie zarejestrowane w usłudze MAM. Ta konfiguracja uniemożliwia prawidłowe zarejestrowanie użytkownika w usłudze MAM.

Następne kroki