Требования соответствия требованиям безопасности устройств для приложений Windows с использованием Microsoft Intune и условного доступа Microsoft Entra

Вы можете использовать сочетание условного доступа Microsoft Intune и Microsoft Entra, чтобы требовать, чтобы устройства пользователей соответствовали определенным требованиям безопасности, прежде чем они смогут подключиться к виртуальному рабочему столу Azure, Windows 365 и Microsoft Dev Box. Этот подход позволяет применять требования к безопасности для приложения Windows в следующих сценариях:

Платформа устройства	управление устройствами Intune.
iOS/iPadOS	Управляемый или неуправляемый
Android	Управляемый или неуправляемый
Веб-браузер (только Microsoft Edge в Windows)	Только неуправляемые

1. Не включает поддержку Chrome OS.

Сведения об использовании политик защиты приложений с управляемыми и неуправляемыми устройствами см. в разделе "Целевые политики защиты приложений" на основе состояния управления устройствами.

Некоторые параметры политики, которые можно применить, включают требование ПИН-кода, определенную версию операционной системы, блокировку сторонних клавиатур и ограничение операций вырезания, копирования и вставки между другими приложениями на локальных клиентских устройствах. Полный список доступных параметров см. в разделе "Условный запуск" в параметрах политики защиты приложений iOS и условном запуске в параметрах политики защиты приложений Android.

После установки требований к безопасности вы также можете управлять тем, будут ли локальные ресурсы устройств iOS/iPadOS и Android, такие как камеры, микрофоны, хранилище и буфер обмена, перенаправляться в удаленный сеанс. Требование соответствия безопасности локального устройства является обязательным условием для управления параметрами перенаправления локальных устройств. Дополнительные сведения об управлении параметрами перенаправления локальных устройств см. в статье "Управление параметрами перенаправления локальных устройств" с помощью Microsoft Intune.

На высоком уровне существует две области, которые необходимо настроить:

• Политика защиты приложений Intune: используется для указания требований безопасности, которые должны соответствовать приложению и локальному клиентскому устройству. Фильтры можно использовать для целевых пользователей на основе определенных критериев.

• Политика условного доступа: используется для управления доступом к виртуальному рабочему столу Azure и Windows 365 только в том случае, если выполнены критерии, заданные в политиках защиты приложений.

Предпосылки

Прежде чем требовать соответствие безопасности локального клиентского устройства с помощью Intune и условного доступа, вам потребуется:

• Существующий пул узлов с серверами сеансов, или облачными компьютерами.

• По крайней мере, одна группа безопасности Microsoft Entra ID, содержащая пользователей, к которым будут применяться политики.

• Только для управляемых устройств необходимо добавить в Intune каждое из следующих приложений:

  • Для приложения Windows на iOS/iPadOS см. Добавление приложений из магазина iOS в Microsoft Intune.
  • Сведения о Microsoft Edge в Windows см. в статье "Добавление Microsoft Edge для Windows 10/11 в Microsoft Intune".

• Локальное клиентское устройство с одной из следующих версий приложения Windows или с помощью приложения Windows в Microsoft Edge:

  • Приложение Для Windows:

    • iOS/iPadOS: 11.1.1 или более поздней версии.
    • Android 1.0.0.161 или более поздней версии.

  • Microsoft Edge в Windows: 134.0.3124.51 или более поздней версии.

• Кроме того, на локальном клиентском устройстве требуется последняя версия:

  • iOS/iPadOS: приложение Microsoft Authenticator
  • Android: приложение Портал компании, установленное в том же профиле, что и приложение Windows для персональных устройств. Оба приложения должны находиться либо в личном профиле, либо в рабочем профиле, а не одно в каждом профиле.

• Существуют дополнительные предварительные требования Intune для настройки политик защиты приложений и политик условного доступа. Дополнительные сведения можно найти здесь

  • Создание и назначение политик защиты приложений.
  • Используйте политики условного доступа на основе приложений с Intune.

Создание фильтра

Создав фильтр, вы можете применить параметры политики только в том случае, если соответствующие критерии, заданные в фильтре, позволяют сузить область назначения политики. С помощью приложения Windows можно использовать следующие фильтры:

• iOS/iPadOS:

  • Создайте фильтр управляемых приложений для неуправляемых и управляемых устройств.
  • Создайте фильтр для управляемых устройств.

• Андроид:

  • Создайте фильтр управляемых приложений для неуправляемых и управляемых устройств.

• Windows: фильтры не применимы к Microsoft Edge в Windows.

Используйте фильтры, чтобы сузить область назначения политики. Создание фильтра является необязательным; Если фильтр не настроен, те же параметры соответствия безопасности устройства и перенаправления устройств применяются к пользователю независимо от того, находятся ли они на управляемом или неуправляемом устройстве. То, что вы указываете в фильтре, зависит от ваших требований.

Дополнительные сведения о фильтрах и их создании см. в разделе "Использование фильтров" при назначении приложений, политик и профилей в свойствах фильтра приложений Microsoft Intune и управляемых приложений.

Создание политики защиты приложений

Политики защиты приложений позволяют управлять доступом приложений и устройств к данным. Необходимо создать отдельную политику защиты приложений для iOS/iPadOS, Android и Microsoft Edge в Windows. Не настраивайте как iOS, так и iPadOS и Android в одной политике защиты приложений, так как вы не можете настроить назначение политики на основе управляемых и неуправляемых устройств.

Выберите соответствующую вкладку.

iOS/iPadOS

Чтобы создать и применить политику защиты приложений, выполните действия, описанные в разделе "Создание и назначение политик защиты приложений" и использование следующих параметров:

• Создайте политику защиты приложений для iOS/iPadOS.

• На вкладке "Приложения" выберите "Выбрать общедоступные приложения", найдите и выберите приложение Windows, а затем выберите "Выбрать".

• На вкладке "Защита данных " применимы только следующие параметры к приложению Windows. Другие параметры не применяются, так как приложение Windows взаимодействует с узлом сеанса, а не с данными в приложении. На мобильных устройствах неутвержденные клавиатуры являются источником ведения журнала нажатия клавиш и кражи.

  Можно настроить следующие параметры.

  Параметр	Значение и описание
  Передача данных
  Отправка данных организации в другие приложения	Установите значение None , чтобы включить защиту захвата экрана. Дополнительные сведения о защите захвата экрана в Виртуальном рабочем столе Azure см. в статье "Включение защиты захвата экрана" в виртуальном рабочем столе Azure.
  Ограничьте вырезание, копирование и вставку между приложениями	Установите значение "Заблокировано ", чтобы отключить перенаправление буфера обмена между приложением Windows и локальным устройством. Использование в сочетании с отключением перенаправления буфера обмена в политике конфигурации приложения.
  Клавиатуры сторонних производителей	Установите значение "Заблокировано ", чтобы заблокировать сторонние клавиатуры.

• На вкладке условного запуска рекомендуется добавить следующие условия:

  Состояние	Тип условия	Ценность	Действие
  Минимальная версия приложения	Условие приложения	На основе ваших требований. Введите номер версии для приложения Windows в iOS/iPadOS	Блокировка доступа
  Минимальная версия ОС	Состояние устройства	На основе ваших требований.	Блокировка доступа
  Основная служба MTD	Состояние устройства	На основе ваших требований. Необходимо настроить соединитель MTD. Для Microsoft Defender для конечной точки настройте его в Intune.	Блокировка доступа
  Максимальный допустимый уровень угроз для устройства	Состояние устройства	Защищенная	Блокировка доступа

  Дополнительные сведения о доступных параметрах см. в разделе "Условный запуск" в параметрах политики защиты приложений iOS.

• На вкладке "Назначения" назначьте политику группе безопасности, содержащей пользователей, к которым нужно применить политику. Чтобы политика вступила в силу, необходимо применить политику к группе пользователей. Для каждой группы можно выбрать фильтр, который будет более конкретным в целевой политике конфигурации приложения.

Андроид

Чтобы создать и применить политику защиты приложений, выполните действия, описанные в разделе "Создание и назначение политик защиты приложений" и использование следующих параметров:

• Создайте политику защиты приложений для Android.

• На вкладке "Приложения" выберите "Выбрать общедоступные приложения", найдите и выберите приложение Windows, а затем выберите "Выбрать".

• На вкладке "Защита данных " применимы только следующие параметры к приложению Windows. Другие параметры не применяются, так как приложение Windows взаимодействует с узлом сеанса, а не с данными в приложении. На мобильных устройствах неутвержденные клавиатуры являются источником ведения журнала нажатия клавиш и кражи.

  Можно настроить следующие параметры.

  Параметр	Значение и описание
  Передача данных
  Ограничьте вырезание, копирование и вставку между приложениями	Установите значение "Заблокировано ", чтобы отключить перенаправление буфера обмена между приложением Windows и локальным устройством. Использование в сочетании с отключением перенаправления буфера обмена в политике конфигурации приложения.
  Снимок экрана и Google Assistant	Установите для блокировки защиту захвата экрана и Помощник Google. Дополнительные сведения о защите захвата экрана в Виртуальном рабочем столе Azure см. в статье "Включение защиты захвата экрана" в виртуальном рабочем столе Azure.
  Утвержденные клавиатуры	Задайте клавиатуры для утверждения из списка или добавления пользовательских записей.

• На вкладке условного запуска рекомендуется добавить следующие условия:

  Состояние	Тип условия	Ценность	Действие
  Минимальная версия приложения	Условие приложения	На основе ваших требований. Введите номер версии для приложения Windows в Android.	Блокировка доступа
  Минимальная версия ОС	Состояние устройства	На основе ваших требований.	Блокировка доступа
  Основная служба MTD	Состояние устройства	На основе ваших требований. Необходимо настроить соединитель MTD. Для Microsoft Defender для конечной точки настройте его в Intune.	Блокировка доступа
  Максимальный допустимый уровень угроз для устройства	Состояние устройства	Защищенная	Блокировка доступа

  Дополнительные сведения о доступных параметрах см. в разделе "Условный запуск" в параметрах политики защиты приложений Android.

• На вкладке "Назначения" назначьте политику группе безопасности, содержащей пользователей, к которым нужно применить политику. Чтобы политика вступила в силу, необходимо применить политику к группе пользователей. Для каждой группы можно выбрать фильтр, который будет более конкретным в целевой политике конфигурации приложения.

веб-браузер

Чтобы создать и применить политику защиты приложений для Microsoft Edge в Windows:

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите "Приложения", а затем в разделе "Управление приложениями" выберите "Защита".

3. Нажмите кнопку "Создать", а затем выберите Windows. Отобразится панель Создать политику.

4. На вкладке "Основы" выполните следующие сведения:

   Параметр	Значение и описание
   Имя	Введите имя этой политики защиты приложений.
   Описание	При необходимости введите описание.

   После завершения этой вкладки нажмите кнопку "Далее".

5. На вкладке "Приложения" выберите "Выбрать приложения". В открывающейся области найдите и выберите Microsoft Edge, а затем нажмите кнопку "Выбрать". После того как Microsoft Edge появится в списке выбранных приложений, нажмите кнопку "Далее".

6. На вкладке "Защита данных" можно настроить следующие параметры:

   Параметр	Значение и описание
   Передача данных
   Получение данных из	Установите значение "Нет источников ", чтобы отключить перенаправление дисков из приложения Windows. Также необходимо настроить отправку данных организации в указанный пункт.
   Отправка данных организации по	Установите значение "Нет назначений", чтобы отключить перенаправление дисков в приложение Windows. Также необходимо настроить получение данных из.
   Разрешить вырезать, копировать и вставлять для	Установите значение "Нет назначения или источника", чтобы отключить перенаправление буфера обмена между приложением Windows и локальным устройством.
   Функция
   Печать данных организации	Установите значение "Блокировать" , чтобы предотвратить печать из приложения Windows.

   Замечание

   Этот сценарий предназначен для Windows App в веб-браузере Microsoft Edge, используя политику защиты приложений, что отличается от использования нативно установленных версий Windows App.

   • Вы не можете разрешить перенаправление дисков и блокировку печати. Печать из удаленного сеанса, работающего через веб-интерфейс, зависит от параметров передачи данных. Другие методы можно использовать для блокировки печати, таких как параметры пула узлов Виртуального рабочего стола Azure, а также настройка узлов сеансов или облачных компьютеров вместо локального устройства. Кроме того, используйте одну из встроенных версий приложения Windows. Дополнительные сведения см. в разделе "Настройка перенаправления принтера по протоколу удаленного рабочего стола".

   • Вы можете заблокировать перенаправление диска и разрешить печать.

• На вкладке "Проверки работоспособности " рекомендуется добавить следующие условия:

  Состояние	Тип условия	Ценность	Действие
  Минимальная версия приложения	Условие приложения	На основе ваших требований. Введите номер версии для Microsoft Edge с версией 134.0.3124.51 в качестве самой ранней поддерживаемой версии.	Блокировка доступа
  Минимальная версия ОС	Состояние устройства	На основе ваших требований. Введите номер сборки для Windows в одном из следующих форматов: major.minormajor.minor.build, major.minor.build.revisionнапример, 10.0.26100.3476. Номера сборок Windows можно найти на странице состояния выпусков Windows и выбрав ссылку на информацию о выпуске для каждой операционной системы.	Блокировка доступа
  Максимальный допустимый уровень угроз для устройства	Состояние устройства	Защищенная	Блокировка доступа

  Дополнительные сведения о доступных параметрах см. в разделе "Проверки работоспособности" в параметрах политики защиты приложений для Windows.

• На вкладке "Назначения" назначьте политику группе безопасности, содержащей пользователей, к которым нужно применить политику. Чтобы политика вступила в силу, необходимо применить политику к группе пользователей. Для каждой группы можно выбрать фильтр, который будет более конкретным в целевой политике конфигурации приложения.

Создание политики условного доступа

Политика условного доступа позволяет управлять доступом к виртуальному рабочему столу Azure, Windows 365 и Microsoft Dev Box на основе определенных критериев подключения пользователя и используемого устройства. Рекомендуется создать несколько политик условного доступа, чтобы обеспечить детализированные сценарии на основе ваших требований. Некоторые примеры политик приведены в следующих разделах.

Это важно

Тщательно рассмотрите диапазон облачных служб, устройств и версий приложения Windows, которые вы хотите, чтобы пользователи могли использовать. В этих примерах политики условного доступа не охватывают все сценарии, и не забудьте непреднамеренно блокировать доступ. Необходимо создать политики и настроить параметры на основе ваших требований.

Чтобы создать и применить политику условного доступа, выполните действия, описанные в разделе "Настройка политик условного доступа на основе приложений с помощью Intune " и использование сведений и параметров в следующих примерах.

Пример 1. Разрешить доступ только в том случае, если политика защиты приложений применяется с приложением Windows

Этот пример разрешает доступ только в том случае, если политика защиты приложений применяется с приложением Windows:

• Для назначений в разделе "Пользователи" или "Удостоверения рабочей нагрузки" сначала выберите 0 пользователей или удостоверения рабочей нагрузки, а затем добавьте группу безопасности, содержащую пользователей, к которым будет применена политика. Чтобы политика вступила в силу, необходимо применить политику к группе пользователей.

• Для целевых ресурсов выберите, чтобы применить политику к ресурсам, затем для включенных выберите Выбрать ресурсы. Найдите и выберите следующие ресурсы. У вас доступны только эти ресурсы, если вы зарегистрировали соответствующую службу в тенанте.

  Имя ресурса	Идентификатор приложения	Примечания.
  Виртуальный рабочий стол Azure	9cdead84-a844-4324-93f2-b2e6bb768d07	Вместо этого его можно назвать виртуальным рабочим столом Windows . Проверьте идентификатор приложения.
  Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Также относится к Microsoft Dev Box.
  Вход в Windows Cloud	270efc09-cd0d-444b-a71f-39af4910ec45	Доступно после регистрации одной из других служб.

• Для условий:

  • Выберите платформы устройств, для настройки выберите "Да", а затем в разделе "Включить", выберите " Выбрать платформы устройств " и проверьте iOS и Android.
  • Выберите клиентские приложения, для настройки выберите "Да", а затем проверьте браузер и мобильные приложения и классические клиенты.

• Для элементов управления доступом в разделе "Предоставить доступ" выберите 0 элементов управления, а затем установите флажок " Требовать политику защиты приложений " и установите переключатель для параметра "Требовать все выбранные элементы управления".

• Чтобы включить политику, установите для нее значение "Вкл.".

Пример 2. Требовать политику защиты приложений для устройств Windows

В этом примере неуправляемые личные устройства Windows ограничиваются использованием Microsoft Edge для доступа к удаленному сеансу, пользуясь приложением Windows только в веб-браузере. Дополнительные сведения об этом сценарии см. в статье "Требовать политику защиты приложений для устройств Windows".

• Для назначений в разделе "Пользователи" или "Удостоверения рабочей нагрузки" сначала выберите 0 пользователей или удостоверения рабочей нагрузки, а затем добавьте группу безопасности, содержащую пользователей, к которым будет применена политика. Чтобы политика вступила в силу, необходимо применить политику к группе пользователей.

• Для целевых ресурсов выберите, чтобы применить политику к ресурсам, затем для включенных выберите Выбрать ресурсы. Найдите и выберите следующие ресурсы. У вас доступны только эти ресурсы, если вы зарегистрировали соответствующую службу в тенанте.

  Имя ресурса	Идентификатор приложения	Примечания.
  Виртуальный рабочий стол Azure	9cdead84-a844-4324-93f2-b2e6bb768d07	Вместо этого его можно назвать виртуальным рабочим столом Windows . Проверьте идентификатор приложения.
  Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Также относится к Microsoft Dev Box.
  Вход в Windows Cloud	270efc09-cd0d-444b-a71f-39af4910ec45	Доступно после регистрации одной из других служб.

• Для условий:

  • Выберите платформы устройств, для настройки выберите "Да", а затем в разделе "Включить", выберите " Выбрать платформы устройств " и проверьте Windows.
  • Выберите клиентские приложения, для настройки нажмите кнопку "Да", а затем проверьте браузер.

• Для элементов управления доступом выберите "Предоставить доступ", а затем установите флажок " Требовать политику защиты приложений " и нажмите переключатель для параметра "Требовать один из выбранных элементов управления".

• Чтобы включить политику, установите для нее значение "Вкл.".

Проверка конфигурации

Теперь, когда вы настроите Intune и условный доступ для обеспечения соответствия безопасности устройств на личных устройствах, вы можете проверить конфигурацию, подключившись к удаленному сеансу. Что необходимо проверить, зависит от того, применяются ли настроенные политики к зарегистрированным или незарегистрированных устройствам, которые платформы и параметры защиты данных заданы. Убедитесь, что вы можете выполнять только те действия, которые можно выполнить в соответствии с ожидаемыми действиями.

Связанный контент

• Управление параметрами перенаправления локальных устройств с помощью Microsoft Intune