Требовать политику защиты приложений на устройствах Windows

политики защита приложений применяют управление мобильными приложениями (MAM) к определенным приложениям на устройстве. Эти политики позволяют защитить данные в приложении, поддерживая такие сценарии, как перенос собственных устройств (BYOD).

Необходимые компоненты

• Мы поддерживаем применение политики к браузеру Microsoft Edge на устройствах под управлением Windows 11 и Windows 10 версии 20H2 и более поздних версий с KB5031445.
• Настроена политика защиты приложений, предназначенная для устройств Windows.
• В настоящее время не поддерживается в национальных облаках.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Учетные записи для аварийного доступа и учетные записи для обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора. Если все администраторы заблокированы для вашего арендатора (хотя это маловероятная ситуация), можно использовать учетную запись администратора для аварийного доступа, чтобы войти в систему арендатора и восстановить доступ.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Такие учетные записи служб должны быть исключены, так как MFA невозможно выполнить программным способом. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями. В качестве временного решения проблемы можно исключить эти конкретные учетные записи пользователей из базовой политики.

Создание политики условного доступа

Следующая политика помещается в режим только для отчетов, чтобы администраторы могли определить влияние, которое они оказывают на существующих пользователей. Когда администраторы проверят действие политики, они могут включить ее или выполнить промежуточное развертывание, добавляя определенные группы и исключая другие.

Требовать политику защиты приложений для устройств Windows

Следующие действия помогут создать политику условного доступа, требующую политики защиты приложений при использовании устройства Windows, обращаюющегося к приложениям Office 365 в группе условного доступа. Политика защиты приложений также должна быть настроена и назначена пользователям в Microsoft Intune. Дополнительные сведения о создании политики защиты приложений см. в статье защита приложений параметров политики для Windows. Следующая политика включает несколько элементов управления, позволяющих устройствам использовать политики защиты приложений для управления мобильными приложениями (MAM) или управлять и соответствовать политикам управления мобильными устройствами (MDM).

Совет

политики защита приложений (MAM) поддерживают неуправляемые устройства:

• Если устройство уже управляется с помощью управления мобильными устройствами (MDM), регистрация Intune MAM блокируется, а параметры политики защиты приложений не применяются.
• Если устройство становится управляемым после регистрации MAM, параметры политики защиты приложений больше не применяются.

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к политикам условного доступа>защиты>.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе "Исключить" выберите "Пользователи и группы " и выберите по крайней мере экстренный доступ вашей организации или учетные записи с разрывом.
6. В разделе "Целевые ресурсы>Облачные приложения>" выберите Office 365.
7. В условиях:
   1. Платформы устройств задают значение "Настроить" на "Да".
      1. В разделе Исключить выберите Выбрать платформы устройств.
      2. Выберите только Windows .
      3. Нажмите кнопку Готово.
   2. Клиентские приложения задают значение Configure to Yes.
      1. Выберите только браузер .
8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите " Требовать политику защиты приложений" и "Требовать, чтобы устройство было помечено как соответствующее".
   2. В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Совет

Организации также должны развернуть политику, которая блокирует доступ с неподдерживаемых или неизвестных платформ устройств вместе с этой политикой.

Вход на устройства Windows

Когда пользователи пытаются войти на сайт, защищенный политикой защиты приложений в первый раз, им будет предложено получить доступ к службе, приложению или веб-сайту, возможно, потребуется войти в Microsoft Edge с помощью username@domain.com или зарегистрировать устройство organization , если вы уже вошли в систему.

Щелкнув профиль Switch Edge, откроется окно со списком своей рабочей или учебной учетной записи вместе с параметром для входа в систему для синхронизации данных.

Откроется окно, позволяющее Windows запоминать свою учетную запись и автоматически входить в приложения и веб-сайты.

Внимание

Необходимо ОЧИСТИТЬ ФЛАЖОК РАЗРЕШИТЬ моей организации управлять устройством. При выходе из этой проверки устройство регистрируется в управлении мобильными устройствами (MDM), а не в управлении мобильными приложениями (MAM).

Не нажимайте кнопку "Нет", войдите только в это приложение.

После нажатия кнопки "ОК" во время применения политики может появиться окно хода выполнения. Через несколько минут появится окно с сообщением о том, что все задано, применяются политики защиты приложений.

Устранение неполадок

Распространенные проблемы

В некоторых случаях после получения страницы "Все задано", вам может потребоваться войти с помощью рабочей учетной записи. Это может произойти, когда:

• Профиль добавляется в Microsoft Edge, но регистрация MAM по-прежнему обрабатывается.
• Ваш профиль добавляется в Microsoft Edge, но на странице вверх выбрано только это приложение.
• Вы зарегистрировались в MAM, но срок действия регистрации истек или не соответствует требованиям вашей организации.

Чтобы устранить эти возможные сценарии, выполните следующие действия.

• Подождите несколько минут и повторите попытку на новой вкладке.
• Обратитесь к администратору, чтобы убедиться, что политики Microsoft Intune MAM применяются к вашей учетной записи правильно.

Имеющаяся учетная запись

Существует известная проблема, из-за которой существует предварительная, незарегистрированная учетная запись, например user@contoso.com в Microsoft Edge, или если пользователь входит без регистрации с помощью страницы "Головы вверх", то учетная запись не зарегистрирована в MAM. Эта конфигурация блокирует правильно зарегистрированного пользователя в MAM.

Следующие шаги

• Что такое управление приложениями с помощью Microsoft Intune?
• Обзор политик защита приложений