搭配 Intune 使用以應用程式為基礎的條件式存取原則

Microsoft Intune應用程式保護原則可與Microsoft Entra條件式存取搭配使用，以協助保護員工所使用裝置上的組織資料。 這些原則適用于使用 Intune 註冊的裝置，以及未註冊的員工擁有裝置。 合併後，它們會參考以應用程式為基礎的條件式存取。

應用程式防護原則是確保組織資料保持安全或包含在受控應用程式中的規則：

• 應用程式保護原則可以是使用者嘗試存取或移動組織資料時強制執行的規則，或是使用者在受控應用程式內工作時所禁止或監視的一組動作。
• 受管理應用程式是已套用應用程式防護原則的應用程式，且可由 Intune 管理。
• 當您只允許 Microsoft Outlook 應用程式存取Exchange Online時，您也可以封鎖 iOS/iPadOS 和 Android 上的內建郵件應用程式。 此外，您可以封鎖未套用 Intune 應用程式保護原則的應用程式存取 SharePoint Online。

使用用戶端應用程式管理的應用程式型條件式存取會新增安全性層級，確保只有支援 Intune 應用程式保護原則的用戶端應用程式才能存取 Exchange Online 和其他 Microsoft 365 服務。

提示

除了以應用程式為基礎的條件式存取原則之外，您還可以搭配 Intune 使用裝置型條件式存取。

必要條件

建立以應用程式為基礎的條件式存取原則之前，您必須具備：

• Enterprise Mobility + Security (EMS) 或Microsoft Entra識別碼 P1 或 P2 訂用帳戶
• 使用者必須獲得 EMS 或Microsoft Entra識別碼的授權

如需詳細資訊，請參閱Enterprise Mobility 定價或Microsoft Entra定價。

支援的應用程式

如需支援應用程式型條件式存取的應用程式清單，請參閱條件式存取：Microsoft Entra檔中的條件。

應用程式型條件式存取 也支援企業營運 (LOB) 應用程式，但這些應用程式需要使用 Microsoft 365 新式驗證。

應用程式型條件式存取的運作方式

在此範例中，系統管理員已將應用程式保護原則套用至 Outlook 應用程式，後面接著條件式存取規則，將 Outlook 應用程式新增至可在存取公司電子郵件時使用的已核准應用程式清單。

注意事項

下列流程圖可用於其他 Managed 應用程式。

1. 使用者嘗試驗證以從 Outlook 應用程式Microsoft Entra識別碼。

2. 使用者第一次嘗試驗證時，會重新導向至 App Store 以安裝代理人應用程式。 訊息代理程式應用程式可以是適用于 iOS 的 Microsoft Authenticator，或適用于 Android 裝置的 Microsoft 公司入口網站。

   如果使用者嘗試使用原生電子郵件應用程式，系統會將他們重新導向至應用程式市集，然後安裝 Outlook 應用程式。

3. 代理程式應用程式會安裝在裝置上。

4. 訊息代理程式應用程式會啟動Microsoft Entra註冊程式，以Microsoft Entra識別碼建立裝置記錄。 此程式與 MDM) 註冊程式 (行動裝置管理不同，但此記錄是必要的，因此可以在裝置上強制執行條件式存取原則。

5. 訊息代理程式應用程式會確認Microsoft Entra裝置識別碼、使用者和應用程式。 此資訊會傳遞至Microsoft Entra登入伺服器，以驗證對所要求服務的存取權。

6. 訊息代理程式應用程式會將應用程式用戶端識別碼傳送至Microsoft Entra識別碼，作為使用者驗證程式的一部分，以檢查它是否在原則核准清單中。

7. Microsoft Entra識別碼可讓使用者根據原則核准清單來驗證和使用應用程式。 如果應用程式不在清單上，Microsoft Entra識別碼會拒絕存取應用程式。

8. Outlook 應用程式會與 Outlook 雲端服務通訊，以起始與Exchange Online的通訊。

9. Outlook 雲端服務會與Microsoft Entra識別碼通訊，以擷取使用者Exchange Online服務存取權杖。

10. Outlook 應用程式會與Exchange Online通訊，以擷取使用者的公司電子郵件。

11. 公司電子郵件會傳遞至使用者的信箱。

後續步驟

• 建立以應用程式為基礎的條件式存取原則
• 封鎖沒有新式驗證的應用程式