需要核准的用戶端應用程式或應用程式保護政策

一般人平常使用其行動裝置來處理個人和工作事務。 組織在確保員工生產力的同時，也想要防止可能無法完全管理的裝置上的應用程式所造成的資料遺失。

透過條件式存取，組織可以使用 Intune 應用程式保護原則來限制對已核准（新式驗證支援）用戶端應用程式的存取。 對於可能不支援應用程式保護原則的較舊用戶端應用程式，系統管理員可以限制對 已核准用戶端應用程式的存取。

警告

應用程式符合特定需求的 iOS 和 Android 支援應用程式保護原則。 Windows 預覽版僅支援 Microsoft Edge 瀏覽器的應用程式保護原則。 並非所有應用程式都支援作為已核准的應用程式，或支援應用程式保護原則。 如需一些常見用戶端應用程式的清單，請參閱 應用程式保護原則需求。 如果您的應用程式未列在該處，則請連絡應用程式開發人員。 若需要已核准的用戶端應用程式，或要為 iOS 和 Android 裝置強制執行應用程式保護原則，這些裝置都必須先在 Microsoft Entra ID 中註冊。

注意

授權控件下需要其中一個已選擇的控件，類似 OR 子句。 這是在原則內使用的，可以讓使用者利用支援「需要應用程式保護原則」或「需要已核准的用戶端應用程式」授權控制的應用程式。 [應用程式保護政策要求] 會在應用程式支援該控制授予時強制執行。

如需使用應用程式保護原則之優點的詳細資訊，請參閱 應用程式保護原則概觀一文。

下列原則會設定為 僅限報表模式 以啟動，讓系統管理員可以判斷他們對現有用戶的影響。 當管理員確信政策會如預期套用時，可以切換至「開啟」，或新增特定群組以及排除其他群組來進行階段部署。

使用行動裝置時需要已核准用戶端應用程式或應用程式保護原則。

下列步驟有助於在使用 iOS/iPadOS 或 Android 裝置時，建立需要核准用戶端應用程式 或 應用程式保護原則的條件式存取原則。 此原則也可防止使用在行動裝置上使用基本驗證的 Exchange ActiveSync 用戶端。 此原則會與 Microsoft Intune 中建立的應用程式保護原則搭配運作。

組織可以選擇使用下列步驟或使用 條件式存取範本來部署此原則。

1. 以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
2. 流覽至 Entra ID>條件式存取。
3. 選取 [建立新原則]。
4. 給您的政策命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [包含] 下，選取 [所有使用者]。
   2. 在 [排除] 底下，選取 [使用者和群組] 並排除至少一個帳戶，以防止自己遭到鎖定。若未排除任何帳戶，您就無法建立原則。
6. 在 [目標資源]>（先前稱為雲端應用程式）>包含下，選取 [所有資源]（先前為 [所有雲端應用程式]）。
7. 在 [條件] >[裝置平台] 底下，將 [設定] 設定為 [是]。
   1. 在 [包含] 底下，選取 [裝置平台]。
   2. 選擇 [Android] 和 [iOS]。
   3. 選取 [完成]。
8. 在 [存取控制]>[授權] 下，選取 [授予存取權限]。
   1. 選取 [需要已核准的用戶端應用程式] 和 [需要應用程式保護原則]
   2. 針對多個控件，選取 [需要其中一個選取的控件]
9. 確認您的設定，並將 [啟用原則] 設為 [報告專用]。
10. 選取 [建立] 以建立並啟用您的原則。

注意

在「需要應用程式保護政策」控管中建立僅報告模式的政策時，如果滿足所有已設定的政策條件，登入記錄可能會在「條件式存取」索引標籤中顯示為「僅限報告：失敗」。 這是因為控制在僅限報表模式下未被滿足。 啟用原則之後，控件就會套用至應用程式，而且不會封鎖登入。

系統管理員使用原則影響或僅限報表模式評估原則設定之後，就可以將啟用原則的切換從僅限報表移至開啟。

提示

組織也應該部署一項策略，阻止來自不支援或未知裝置平臺的存取。

封鎖所有裝置上的 Exchange ActiveSync

此原則可封鎖使用基本驗證的所有 Exchange ActiveSync 用戶端，使其無法連線至 Exchange Online。

1. 以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
2. 流覽至 Entra ID>條件式存取。
3. 選取 [建立新原則]。
4. 給您的政策命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [包含] 下，選取 [所有使用者]。
   2. 在 [排除] 底下，選取 [使用者和群組] 並排除至少一個帳戶，以防止自己遭到鎖定。若未排除任何帳戶，您就無法建立原則。
   3. 選取 [完成]。
6. 在 目標資源（先前稱為雲端應用程式）包含之下，選取選取資源。
   1. 選取 [Office 365 Exchange Online]。
   2. 選取 選取。
7. 在 [條件]>[用戶端應用程式] 下，將 [設定] 設定為 [是]。
   1. 取消核取 [Exchange ActiveSync 用戶端] 以外的所有選項。
   2. 選取 [完成]。
8. 在 [存取控制]>[授權] 下，選取 [授予存取權限]。
   1. 選取 [強制應用程式保護政策]
9. 確認您的設定，並將 [啟用原則] 設為 [報告專用]。
10. 選取 [建立] 以建立並啟用您的原則。

系統管理員使用原則影響或僅限報表模式評估原則設定之後，就可以將啟用原則的切換從僅限報表移至開啟。

相關內容

• 應用程式保護原則概觀
• 條件式存取一般原則
• 將已核准的用戶端應用程式移轉至條件式存取中的應用程式保護原則