Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji

Użytkownicy regularnie używają swoich urządzeń przenośnych zarówno do zadań osobistych, jak i służbowych. Jednocześnie upewniając się, że pracownicy mogą być wydajni, organizacje chcą również zapobiec utracie danych z aplikacji na urządzeniach, którymi mogą nie zarządzać w pełni.

Dzięki dostępowi warunkowemu organizacje mogą ograniczyć dostęp do zatwierdzonych aplikacji klienckich (obsługujących nowoczesne uwierzytelnianie) z zasadami ochrony aplikacji Intune. W przypadku starszych aplikacji klienckich, które mogą nie obsługiwać zasad ochrony aplikacji, administratorzy mogą ograniczyć dostęp do zatwierdzonych aplikacji klienckich.

Ostrzeżenie

Zasady ochrony aplikacji są obsługiwane na systemach iOS i Android, w których aplikacje spełniają określone wymagania. Zasady ochrony aplikacji są obsługiwane w systemie Windows tylko w wersji testowej dla przeglądarki Microsoft Edge. Nie wszystkie aplikacje, które są obsługiwane jako zatwierdzone aplikacje, wspierają zasady ochrony aplikacji. Aby uzyskać listę niektórych typowych aplikacji klienckich, zobacz Wymagania dotyczące zasad ochrony aplikacji. Jeśli twoja aplikacja nie znajduje się na liście, skontaktuj się z deweloperem aplikacji. Aby wymagać zatwierdzonych aplikacji klienckich lub wymuszenia zasad ochrony aplikacji dla urządzeń z systemem iOS i Android, te urządzenia muszą najpierw zarejestrować się w usłudze Microsoft Entra ID.

Uwaga

Wymagaj jednej z wybranych kontrolek w ramach kontroli przyznawania jest jak klauzula OR. Jest to używane w ramach zasad, aby umożliwić użytkownikom korzystanie z aplikacji wspierających politykę ochrony aplikacji lub sankcjonowane kontrolki aplikacji klienckich. Polityka ochrony aplikacji jest wymuszana, gdy aplikacja obsługuje przyznawanie kontroli.

Aby uzyskać więcej informacji na temat korzyści z używania zasad ochrony aplikacji, zobacz artykuł Zasady ochrony aplikacji — omówienie.

Następujące zasady zostają ustawione na tryb wyłącznie raportowania, aby administratorzy mogli określić wpływ, jaki będą mieli na istniejących użytkowników. Gdy administratorzy czują się pewni, że zasady stosują się zgodnie z ich zamiarem, mogą przełączyć się na wł. lub etapować wdrożenie, dodając określone grupy i wyłączając inne.

Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji z urządzeniami przenośnymi.

Poniższe kroki ułatwiają tworzenie zasad dostępu warunkowego wymagających zatwierdzonej aplikacji klienckiej lub zasad ochrony aplikacji podczas korzystania z urządzenia z systemem iOS/iPadOS lub Android. Te zasady uniemożliwiają korzystanie z klientów programu Exchange ActiveSync przy użyciu uwierzytelniania podstawowego na urządzeniach przenośnych. Te zasady działają razem z zasadami ochrony aplikacji utworzonymi w usłudze Microsoft Intune.

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
2. Przejdź do adresu Entra ID>— dostęp warunkowy.
3. Wybierz pozycję Utwórz nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W sekcji Przypisania wybierz pozycję Użytkownicy lub tożsamości dla obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy i wyklucz co najmniej jedno konto, aby uniemożliwić sobie blokowanie. Jeśli nie wykluczysz żadnych kont, nie możesz utworzyć zasad.
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
7. W obszarze Warunki>Platformy urządzeń ustaw wartość Konfiguruj na Tak.
   1. W obszarze Uwzględnijwybierz platformy urządzeń.
   2. Wybierz pozycję Android i iOS.
   3. Wybierz pozycję Gotowe.
8. W obszarze Kontrole dostępu>Udziel wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj zatwierdzonej aplikacji klienckiej i Wymagaj zasad ochrony aplikacji
   2. W przypadku wielu kontrolek wybierz pozycję Wymagaj jednej z wybranych kontrolek
9. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
10. Wybierz Utwórz, aby włączyć swoją zasadę.

Uwaga

Po utworzeniu zasad w trybie tylko raportu dla kontrolki "Wymagaj zasad ochrony aplikacji" dziennik logowania może wyświetlić wynik "Tylko raport: Niepowodzenie" na karcie "Dostęp warunkowy", gdy wszystkie skonfigurowane warunki zasad zostały spełnione. Wynika to z faktu, że kontrola nie była spełniona w trybie tylko raportowania. Po włączeniu polityki kontrola zostanie zastosowana do aplikacji, a logowanie nie zostanie zablokowane.

Gdy administratorzy ocenią ustawienia zasad przy użyciu trybu wpływu polityki lub trybu tylko raport, mogą zmienić przełącznik Włącz zasady z opcji tylko raport na Włączone.

Napiwek

Organizacje powinny także wdrożyć politykę blokującą dostęp z nieobsługiwanych lub nieznanych platform urządzeń jako część tej polityki.

Blokuj program Exchange ActiveSync na wszystkich urządzeniach

Polityka ta blokuje wszystkich klientów programu Exchange ActiveSync używających podstawowego uwierzytelniania przed nawiązaniem połączenia z usługą Exchange Online.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
2. Przejdź do adresu Entra ID>— dostęp warunkowy.
3. Wybierz pozycję Utwórz nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W sekcji Przypisania wybierz pozycję Użytkownicy lub tożsamości dla obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy i wyklucz co najmniej jedno konto, aby uniemożliwić sobie blokowanie. Jeśli nie wykluczysz żadnych kont, nie możesz utworzyć zasad.
   3. Wybierz pozycję Gotowe.
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wybierz zasoby.
   1. Wybierz pozycję Office 365 Exchange Online.
   2. Wybierz Wybierz.
7. W obszarze Warunki>Aplikacje klienckie ustaw wartość Konfiguruj na Tak.
   1. Usuń zaznaczenie wszystkich opcji z wyjątkiem klientów programu Exchange ActiveSync.
   2. Wybierz pozycję Gotowe.
8. W obszarze Kontrole dostępu>Udziel wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj zasad ochrony aplikacji
9. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
10. Wybierz Utwórz, aby włączyć swoją zasadę.

Gdy administratorzy ocenią ustawienia zasad przy użyciu trybu wpływu polityki lub trybu tylko raport, mogą zmienić przełącznik Włącz zasady z opcji tylko raport na Włączone.

Powiązana zawartość

• Omówienie zasad ochrony aplikacji
• Typowe zasady dostępu warunkowego
• Migrowanie zatwierdzonej aplikacji klienckiej do zasad ochrony aplikacji w dostępie warunkowym