Изменить

Общая политика условного доступа. Требовать утвержденные клиентские приложения или политику защиты приложений

  • Практическое руководство

Сотрудники регулярно используют мобильные устройства как в личных целях, так и для выполнения рабочих задач. Организации хотят обеспечить продуктивность работы и при этом предотвратить потери данных в приложениях на устройствах, которыми они не могут полностью управлять.

С функцией условного доступа организации могут разрешить доступ только к утвержденным клиентским приложениям с поддержкой современной проверки подлинности, используя политики защиты приложений Intune. Для старых клиентских приложений, которые могут не поддерживать политики защиты приложений, администраторы могут разрешить доступ только к утвержденным клиентским приложениям.

Предупреждение

политики защита приложений поддерживаются в iOS и Android, где приложения соответствуют определенным требованиям. защита приложений политики поддерживаются в Windows в предварительной версии только для браузера Microsoft Edge. Не все приложения поддерживаются в качестве утвержденных или поддерживают политики защиты приложений. Список некоторых распространенных клиентских приложений см. в разделе Требование политики защиты приложений. Если вашего приложение нет в этом списке, обратитесь к разработчику приложения. Чтобы требовать утвержденные клиентские приложения для устройств iOS и Android, эти устройства должны сначала зарегистрировать в идентификаторе Microsoft Entra.

Примечание.

Параметр "Требуется один из выбранных элементов управления" в разделе представления прав действует аналогично предложению "или". Этот параметр в политике позволяет использовать приложения, которые поддерживают управление разрешением Требовать политику защиты приложений или Требовать утвержденное клиентское приложение. Параметр Требовать политику защиты приложений применяется, если приложение поддерживает соответствующий элемент предоставления разрешений.

Дополнительные сведения о преимуществах использования политик защиты приложений см. в статье Общие сведения о политиках защиты приложений.

Следующие политики помещаются в режим только для отчетов, чтобы администраторы могли определить влияние, которое они будут иметь на существующих пользователей. Когда администраторы проверят действие политики, они могут включить ее или выполнить промежуточное развертывание, добавляя определенные группы и исключая другие.

Необходимые компоненты

нет

Требовать утвержденные клиентские приложения или политику защиты приложений с мобильными устройствами.

Следующие шаги помогут создать политику условного доступа, которая требует использовать одобренное клиентское приложение или политику защиты приложений при использовании устройства iOS/iPadOS или Android. Эта политика также запрещает использование клиентов Exchange ActiveSync, которые используют обычную проверку подлинности на мобильных устройствах. Эта политика работает совместно с политикой защиты приложений, созданной в Microsoft Intune.

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.

  2. Перейдите к условному доступу к защите>.

  3. Выберите команду Создать политику.

  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.

  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.

    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы и исключите по крайней мере одну учетную запись, чтобы предотвратить блокировку. Если вы не исключите ни одну учетную запись, вы не сможете создать политику.

  6. В разделе "Целевые ресурсы>Облачные приложения включают" выберите "Все облачные приложения".>

  7. В разделе Условия>Платформы устройств для параметра Настроить установите значение Да.

    1. В разделе Исключить выберите Выбрать платформы устройств.
    2. Выберите Android и iOS.
    3. Нажмите кнопку Готово.

  8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.

    1. Выберите Требовать утвержденное клиентское приложение и Требовать политику защиты приложений.
    2. В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.

  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.

  10. Нажмите Создать, чтобы создать и включить политику.

    После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

    Совет

    Организации также должны развернуть политику, которая блокирует доступ с неподдерживаемых или неизвестных платформ устройств вместе с этой политикой.

Блокировка Exchange ActiveSync на всех устройствах

Эта политика будет блокировать подключение к Exchange Online всех клиентов Exchange ActiveSync, которые используют обычную проверку подлинности.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.

  2. Перейдите к условному доступу к защите>.

  3. Выберите команду Создать политику.

  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.

  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.

    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы и исключите по крайней мере одну учетную запись, чтобы предотвратить блокировку. Если вы не исключите ни одну учетную запись, вы не сможете создать политику.
    3. Нажмите кнопку Готово.

  6. В разделе "Целевые ресурсы>Облачные приложения>включить" выберите "Выбрать приложения".

    1. Выберите Office 365 Exchange Online.
    2. Выберите Выбрать.

  7. В разделе Условия>Клиентские приложения установите для параметра Настроить значение Да.

    1. Снимите флажки для всех параметров, кроме Клиенты Exchange ActiveSync.
    2. Нажмите кнопку Готово.

  8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.

    1. Выберите Требовать политику защиты приложений

  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.

  10. Нажмите Создать, чтобы создать и включить политику.

    После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Связанный контент