Wymaganie zasad ochrony aplikacji na urządzeniach z systemem Windows

Ochrona aplikacji zasady stosują zarządzanie aplikacjami mobilnymi (MAM) do określonych aplikacji na urządzeniu. Te zasady umożliwiają zabezpieczanie danych w aplikacji w scenariuszach, takich jak bring your own device (BYOD).

Wymagania wstępne

• Obsługujemy stosowanie zasad do przeglądarki Microsoft Edge na urządzeniach z systemami Windows 11 i Windows 10 w wersji 20H2 lub nowszej z KB5031445.
• Skonfigurowano zasady ochrony aplikacji przeznaczone dla urządzeń z systemem Windows.
• Obecnie nieobsługiwane w suwerennych chmurach.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta typu break-glass, aby zapobiec blokadzie konta dla całej dzierżawy. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani z dzierżawy, konto administracyjne dostępu awaryjnego może służyć do logowania się do dzierżawy w celu podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usług, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Konta usług tego typu powinny zostać wykluczone, ponieważ nie da się programowo ukończyć asystenta folderów zarządzanych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi. Jako tymczasowe obejście można wykluczyć te określone konta z zasad punktu odniesienia.

Tworzenie zasady dostępu warunkowego

Następujące zasady są umieszczane w trybie tylko do raportowania, aby administratorzy mogli określić wpływ na istniejących użytkowników. Gdy administratorzy czują się komfortowo, że zasady mają zastosowanie zgodnie z oczekiwaniami, mogą przełączyć się na wł. lub przygotować wdrożenie, dodając określone grupy i wykluczając inne.

Wymaganie zasad ochrony aplikacji dla urządzeń z systemem Windows

Poniższe kroki ułatwiają tworzenie zasad dostępu warunkowego wymagających zasad ochrony aplikacji podczas korzystania z urządzenia z systemem Windows, które uzyskuje dostęp do grupowania aplikacji usługi Office 365 w dostępie warunkowym. Zasady ochrony aplikacji muszą być również skonfigurowane i przypisane do użytkowników w usłudze Microsoft Intune. Aby uzyskać więcej informacji na temat tworzenia zasad ochrony aplikacji, zobacz artykuł Ochrona aplikacji ustawienia zasad dla systemu Windows. Poniższe zasady obejmują wiele mechanizmów kontroli, które umożliwiają urządzeniom używanie zasad ochrony aplikacji na potrzeby zarządzania aplikacjami mobilnymi (MAM) lub zarządzania nimi i zgodności z zasadami zarządzania urządzeniami przenośnymi (MDM).

Napiwek

zasady Ochrona aplikacji obsługują urządzenia niezarządzane:

• Jeśli urządzenie jest już zarządzane za pomocą zarządzania urządzeniami przenośnymi (MDM), rejestracja w usłudze Intune mam jest zablokowana, a ustawienia zasad ochrony aplikacji nie są stosowane.
• Jeśli urządzenie stanie się zarządzane po rejestracji zarządzania aplikacjami mobilnymi, ustawienia zasad ochrony aplikacji nie będą już stosowane.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do strony Ochrona>zasad dostępu>warunkowego.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz co najmniej konta awaryjne lub konta awaryjne w organizacji.
6. W obszarze Zasoby docelowe>Aplikacje>w chmurze Dołącz wybierz pozycję Office 365.
7. W warunkach:
   1. Na platformach urządzeń ustawiono wartość Konfiguruj na Wartość Tak.
      1. W obszarze Uwzględnij wybierz platformy urządzeń.
      2. Wybierz tylko system Windows .
      3. Wybierz pozycję Gotowe.
   2. Aplikacje klienckie mają ustawioną wartość Konfiguruj na Wartość Tak.
      1. Wybierz pozycję Tylko przeglądarka .
8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj zasad ochrony aplikacji i Wymagaj, aby urządzenie było oznaczone jako zgodne.
   2. W przypadku wielu kontrolek wybierz pozycję Wymagaj jednej z wybranych kontrolek
9. Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raport.
10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Napiwek

Organizacje powinny również wdrożyć zasady blokujące dostęp z nieobsługiwanych lub nieznanych platform urządzeń wraz z zasadami.

Logowanie się na urządzeniach z systemem Windows

Gdy użytkownicy próbują zalogować się do witryny chronionej przez zasady ochrony aplikacji po raz pierwszy, zostanie wyświetlony monit: Aby uzyskać dostęp do usługi, aplikacji lub witryny internetowej, może być konieczne zalogowanie się do przeglądarki Microsoft Edge przy użyciu username@domain.com lub zarejestrowanie urządzenia organization , jeśli już się zalogowano.

Kliknięcie pozycji Przełącz profil przeglądarki Edge powoduje otwarcie okna z listą konta służbowego wraz z opcją Zaloguj się w celu zsynchronizowania danych.

Ten proces otwiera ofertę okna umożliwiającą systemowi Windows zapamiętanie konta i automatyczne zalogowanie się do aplikacji i witryn internetowych.

Uwaga

Należy WYCZYŚCIć POLE WYBORU Zezwalaj mojej organizacji na zarządzanie moim urządzeniem. Pozostawienie tego zaznaczenia powoduje zarejestrowanie urządzenia w rozwiązaniu do zarządzania urządzeniami przenośnymi (MDM), a nie zarządzania aplikacjami mobilnymi (MAM).

Nie wybieraj pozycji Nie, zaloguj się tylko do tej aplikacji.

Po wybraniu przycisku OK może zostać wyświetlone okno postępu po zastosowaniu zasad. Po kilku chwilach powinno zostać wyświetlone okno z informacją Wszystko jest ustawione, zasady ochrony aplikacji są stosowane.

Rozwiązywanie problemów

Typowe problemy

W niektórych okolicznościach po otrzymaniu strony "Wszystko gotowe" może być nadal wyświetlany monit o zalogowanie się przy użyciu konta służbowego. Ten monit może wystąpić, gdy:

• Twój profil jest dodawany do przeglądarki Microsoft Edge, ale rejestracja mam jest nadal przetwarzana.
• Twój profil jest dodawany do przeglądarki Microsoft Edge, ale wybrano opcję "ta aplikacja tylko" na stronie głównej.
• Rejestracja została zarejestrowana w usłudze MAM, ale rejestracja wygasła lub nie jest zgodna z wymaganiami organizacji.

Aby rozwiązać te możliwe scenariusze:

• Poczekaj kilka minut i spróbuj ponownie na nowej karcie.
• Skontaktuj się z administratorem, aby sprawdzić, czy zasady zarządzania aplikacjami mobilnymi w usłudze Microsoft Intune są prawidłowo stosowane do Twojego konta.

Istniejące konto

Istnieje znany problem polegający na tym, że istnieje wstępnie istniejące, niezarejestrowane konto, na przykład user@contoso.com w przeglądarce Microsoft Edge, lub jeśli użytkownik loguje się bez rejestrowania przy użyciu strony head up, konto nie jest poprawnie zarejestrowane w usłudze MAM. Ta konfiguracja uniemożliwia prawidłowe zarejestrowanie użytkownika w usłudze MAM.

Następne kroki

• Co to jest zarządzanie aplikacjami w usłudze Microsoft Intune?
• Omówienie zasad Ochrona aplikacji