Windows 裝置上需要應用程式保護原則

  • 文章

應用程式防護 原則會將行動應用程式管理 (MAM) 套用至裝置上的特定應用程式。 這些原則允許在應用程式內保障資料安全,支援比方攜帶自己裝置 (BYOD) 的案例。 我們支援將原則套用至 Windows 11 裝置上的 Microsoft Edge 瀏覽器。

Screenshot of a browser requiring the user to sign in to their Microsoft Edge profile to access an application.

必要條件

使用者排除

條件式存取原則是功能強大的工具,建議您從您的原則中排除下列帳戶:

  • 緊急存取急用帳戶,以防止整個租用戶帳戶鎖定。 在不太可能的情況下,所有系統管理員都會鎖定您的租使用者,您的緊急存取系統管理帳戶可用來登入租使用者,以採取復原存取權的步驟。
  • [服務帳戶] 和 [服務主體],例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未繫結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們,允許以程式設計方式存取應用程式,但也可用來登入系統以進行系統管理。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為用戶的條件式存取原則封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
    • 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶,暫時解決此問題。

建立條件式存取原則

下列原則會設定為 僅限報表模式 以啟動,讓系統管理員可以判斷他們對現有用戶的影響。 當系統管理員覺得原則如所要套用時,可以藉由新增特定群組並排除其他人,切換至 開啟 或暫存部署。

需要 Windows 裝置的應用程式保護原則

下列步驟有助於在使用條件式存取中存取 Office 365 應用程式群組的 Windows 裝置時,建立需要應用程式保護原則的條件式存取原則。 應用程式保護原則也必須在 Microsoft Intune 中設定並指派給您的使用者。 如需如何建立應用程式保護原則的詳細資訊,請參閱 windows 應用程式防護 原則設定一文。 下列原則包含多個控件,可讓裝置使用應用程式保護原則進行行動應用程式管理 (MAM),或受管理並符合行動裝置管理 (MDM) 原則。

提示

應用程式防護 原則 (MAM) 支援非受控裝置:

  • 如果裝置已透過行動裝置管理進行管理(MDM),則會封鎖Intune MAM 註冊,且不會套用應用程式保護原則設定。
  • 如果裝置在 MAM 註冊後變成受管理,則不再套用應用程式保護原則設定。
  1. 以至少條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>條件式存取]。
  3. 選取 [ 建立新原則]。
  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者或工作負載身分識別]。
    1. 在 [包含] 下,選取 [所有使用者]
    2. 在 [排除],選取 [使用者和群組],然後選擇至少您組織的緊急存取權或中斷帳戶。
  6. 在 [目標資源>雲端應用程式>包含] 下,選取 [Office 365]。
  7. 在條件
    1. 裝置平臺會將 [設定] 設定為 []。
      1. 在 [包含] 底下選取裝置平臺
      2. 僅選擇 [Windows ]。
      3. 選取完成
    2. 用戶端應用程式會將 [設定] 設定為 []。
      1. 僅選取 [ 瀏覽器 ]。
  8. 在 [存取控制]>[授與] 下,選取 [授與存取權]
    1. 選取 [要求應用程式保護原則 ] 和 [要求裝置標示為兼容]。
    2. 針對多個控件 ,選取 [需要其中一個選取的控件]
  9. 確認您的設定,並將 [啟用原則] 設定[僅報告]。
  10. 選取 [建立] 以建立並啟用您的原則。

系統管理員使用僅限報表模式確認設定之後,可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。

提示

組織也應該部署原則,以 封鎖來自不支援或未知裝置平臺 的存取,以及此原則。

登入 Windows 裝置

當使用者第一次嘗試登入受應用程式保護原則保護的網站時,系統會提示他們:若要存取您的服務、應用程式或網站,您可能需要使用 username@domain.com 登入 Microsoft Edge,或登入您的裝置 organization

按兩下 [ 切換Edge 設定檔 ] 會開啟一個視窗,其中列出其公司或學校帳戶,以及登入 以同步處理數據的選項。

Screenshot showing the popup in Microsoft Edge asking user to sign in.

此程式會開啟視窗供應專案,以允許 Windows 記住您的帳戶,並自動將您登入您的應用程式和網站。

警告

您必須清除 [允許我的組織管理我的裝置] 複選框。 將此檢查的裝置留在行動裝置管理 (MDM) 中註冊,而不是行動應用程式管理 (MAM)。

請勿選取 [否],請只登入此應用程式。

Screenshot showing the stay signed in to all your apps window. Uncheck the allow my organization to manage my device checkbox.

選取 [ 確定] 之後,您可能會在套用原則時看到進度視窗。 幾分鐘后,您應該會看到一個視窗,指出 您已設定好應用程式保護原則。

疑難排解

常見問題

在某些情況下,取得[您已設定好] 頁面之後,仍可能會提示您使用工作帳戶登入。 當下列情況時,可能會發生此提示:

  • 您的配置檔已新增至 Microsoft Edge,但 MAM 註冊仍在處理中。
  • 您的配置檔會新增至 Microsoft Edge,但您已在頁首頁面上選取 [僅限此應用程式]。
  • 您已註冊 MAM,但您的註冊已過期,或不符合組織的需求。

若要解決這些可能的案例:

  • 請稍候幾分鐘,然後在新的索引標籤中再試一次。
  • 請連絡您的系統管理員,確認 Microsoft Intune MAM 原則是否已正確套用至您的帳戶。

現有帳戶

已知有一個已知問題,例如在 Microsoft Edge 中,有 user@contoso.com 預先存在的未註冊帳戶,或者如果使用者在沒有使用 [頭頭] 頁面註冊的情況下登入,則帳戶未正確註冊 MAM。 此設定會封鎖使用者在 MAM 中正確註冊。

下一步