Używanie zasad dostępu warunkowego opartego na aplikacji w usłudze Intune
Microsoft Intune zasady ochrony aplikacji współpracują z Microsoft Entra dostępem warunkowym, aby chronić dane organizacji na urządzeniach używanych przez pracowników. Te zasady działają na urządzeniach zarejestrowanych w usłudze Intune i na urządzeniach należących do pracowników, które nie są rejestrowane. Łącznie są one określane jako dostęp warunkowy oparty na aplikacji.
Ochrona aplikacji zasady to reguły, które zapewniają, że dane organizacji pozostają bezpieczne lub zawarte w zarządzanej aplikacji:
- Zasady ochrony aplikacji mogą być regułą wymuszaną, gdy użytkownik próbuje uzyskać dostęp do danych organizacji lub przenieść je, lub zestawem akcji, które są zabronione lub monitorowane, gdy użytkownik pracuje w zarządzanej aplikacji.
- Aplikacja zarządzana to aplikacja, która ma zastosowane zasady ochrony aplikacji i może być zarządzana przez usługę Intune.
- Możesz również zablokować wbudowane aplikacje poczty w systemach iOS/iPadOS i Android, jeśli zezwalasz tylko aplikacji Microsoft Outlook na dostęp do Exchange Online. Ponadto możesz zablokować dostęp do usługi SharePoint Online aplikacjom, które nie mają zastosowanych zasad ochrony aplikacji usługi Intune.
Dostęp warunkowy oparty na aplikacji z zarządzaniem aplikacjami klienckimi dodaje warstwę zabezpieczeń, która zapewnia, że tylko aplikacje klienckie obsługujące zasady ochrony aplikacji usługi Intune mogą uzyskiwać dostęp do usługi Exchange Online i innych usług Platformy Microsoft 365.
Porada
Oprócz zasad dostępu warunkowego opartego na aplikacji można używać dostępu warunkowego opartego na urządzeniach w usłudze Intune.
Wymagania wstępne
Przed utworzeniem zasad dostępu warunkowego opartego na aplikacji musisz mieć następujące elementy:
- Enterprise Mobility + Security (EMS) lub subskrypcja Microsoft Entra identyfikatora P1 lub P2
- Użytkownicy muszą mieć licencję na usługę EMS lub identyfikator Microsoft Entra
Aby uzyskać więcej informacji, zobacz Cennik usługi Enterprise Mobility lub cennik Microsoft Entra.
Obsługiwane aplikacje
Listę aplikacji obsługujących dostęp warunkowy oparty na aplikacji można znaleźć w temacie Dostęp warunkowy: Warunki w dokumentacji Microsoft Entra.
Dostęp warunkowy oparty na aplikacji obsługuje również aplikacje biznesowe, ale te aplikacje muszą korzystać z nowoczesnego uwierzytelniania platformy Microsoft 365.
Jak działa dostęp warunkowy oparty na aplikacji
W tym przykładzie administrator zastosował zasady ochrony aplikacji do aplikacji Outlook, a następnie regułę dostępu warunkowego, która dodaje aplikację Outlook do zatwierdzonej listy aplikacji, których można używać podczas uzyskiwania dostępu do firmowej poczty e-mail.
Uwaga
W przypadku innych zarządzanych aplikacji można użyć następującego schematu blokowego.
Użytkownik próbuje uwierzytelnić się w celu Microsoft Entra identyfikatora z aplikacji Outlook.
Użytkownik zostaje przekierowany do sklepu z aplikacjami w celu zainstalowania aplikacji brokera podczas próby uwierzytelnienia po raz pierwszy. Aplikacja brokera może być aplikacją Microsoft Authenticator dla systemu iOS lub portalem firmy Microsoft dla urządzeń z systemem Android.
Jeśli użytkownicy spróbują użyć natywnej aplikacji poczty e-mail, nastąpi przekierowanie do sklepu z aplikacjami w celu zainstalowania aplikacji Outlook.
Aplikacja brokera jest instalowana na urządzeniu.
Aplikacja brokera uruchamia proces rejestracji Microsoft Entra, który tworzy rekord urządzenia w Microsoft Entra identyfikatorze. Ten proces nie jest taki sam jak proces rejestracji zarządzania urządzeniami przenośnymi (MDM), ale ten rekord jest niezbędny, aby można było wymusić zasady dostępu warunkowego na urządzeniu.
Aplikacja brokera potwierdza identyfikator urządzenia Microsoft Entra, użytkownika i aplikację. Te informacje są przekazywane do Microsoft Entra serwerów logowania w celu zweryfikowania dostępu do żądanej usługi.
Aplikacja brokera wysyła identyfikator klienta aplikacji do Microsoft Entra identyfikatora w ramach procesu uwierzytelniania użytkownika, aby sprawdzić, czy znajduje się na liście zatwierdzonych zasad.
Microsoft Entra identyfikator umożliwia użytkownikowi uwierzytelnianie i używanie aplikacji na podstawie listy zatwierdzonych przez zasady. Jeśli aplikacja nie znajduje się na liście, Microsoft Entra identyfikator nie zezwala na dostęp do aplikacji.
Aplikacja Outlook komunikuje się z usługą Outlook Cloud Service w celu zainicjowania komunikacji z Exchange Online.
Usługa Outlook Cloud Service komunikuje się z identyfikatorem Microsoft Entra w celu pobrania tokenu dostępu Exchange Online usługi dla użytkownika.
Aplikacja Outlook komunikuje się z Exchange Online w celu pobrania firmowej poczty e-mail użytkownika.
Firmowa wiadomość e-mail jest dostarczana do skrzynki pocztowej użytkownika.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla