搭配 Intune 使用以應用程式為基礎的條件式存取原則
Microsoft Intune 應用程式保護原則可與 Microsoft Entra 條件式存取搭配使用,以協助保護員工所使用裝置上的組織數據。 這些原則適用於使用 Intune 註冊的裝置,以及未註冊的員工擁有裝置。 合併後,它們會參考以應用程式為基礎的條件式存取。
應用程式保護原則 是確保組織數據保持安全或包含在受控應用程式中的規則:
- 應用程式保護原則可以是用戶嘗試存取或移動組織數據時強制執行的規則,或是使用者在受控應用程式內工作時所禁止或監視的一組動作。
- 受管理應用程式是已套用應用程式防護原則的應用程式,且可由 Intune 管理。
- 當您只允許Microsoft Outlook 應用程式存取 Exchange Online 時,您也可以封鎖 iOS/iPadOS 和 Android 上的內建郵件應用程式。 此外,您可以封鎖未套用 Intune 應用程式保護原則的應用程式存取 SharePoint Online。
使用用戶端應用程式管理的應用程式型條件式存取會新增安全性層級,確保只有支援 Intune 應用程式保護原則的用戶端應用程式才能存取 Exchange Online 和其他Microsoft 365 服務。
提示
除了以應用程式為基礎的條件式存取原則之外,您還可以搭配 Intune 使用裝置型條件式存取。
先決條件
建立以應用程式為基礎的條件式存取原則之前,您必須具備:
- Enterprise Mobility + Security (EMS) 或 Microsoft Entra ID P1 或 P2 訂用帳戶
- 用戶必須獲得EMS或 Microsoft Entra ID 的授權
如需詳細資訊,請參閱 Enterprise Mobility 定價或 Microsoft Entra 定價。
支援的應用程式
如需支援應用程式型條件式存取的應用程式清單,請參閱 Microsoft Entra 檔案中的條件式存 取:條件 。
應用程式型條件式存取也支援企業營運 (LOB) 應用程式,但這些應用程式需要使用 Microsoft 365 新式驗證。
應用程式型條件式存取的運作方式
在此範例中,系統管理員已將應用程式保護原則套用至 Outlook 應用程式,後面接著條件式存取規則,將 Outlook 應用程式新增至可在存取公司電子郵件時使用的已核准應用程式清單。
注意事項
下列流程圖可用於其他 Managed 應用程式。
用戶嘗試驗證以從 Outlook 應用程式Microsoft Entra ID。
使用者第一次嘗試驗證時,會重新導向至 App Store 以安裝代理人應用程式。 訊息代理程式應用程式可以是適用於 iOS 的 Microsoft 驗證器,或是適用於 Android 裝置Microsoft公司入口網站。
如果用戶嘗試使用原生電子郵件應用程式,系統會將他們重新導向至應用程式市集,然後安裝 Outlook 應用程式。
代理程式應用程式會安裝在裝置上。
Broker 應用程式會啟動 Microsoft Entra 註冊程式,這會在 Microsoft Entra ID 中建立裝置記錄。 此程式與 MDM) 註冊程式 (行動裝置管理不同,但此記錄是必要的,因此可以在裝置上強制執行條件式存取原則。
訊息代理程式應用程式會確認Microsoft裝置標識碼、用戶和應用程式。 此資訊會傳遞至 Microsoft Entra 登入伺服器,以驗證所要求服務的存取權。
訊息代理程式應用程式會將應用程式用戶端標識碼傳送至 Microsoft Entra ID,作為使用者驗證程式的一部分,以檢查它是否在原則核准清單中。
Microsoft Entra ID 可讓使用者根據原則核准清單來驗證和使用應用程式。 如果應用程式不在清單上,Microsoft Entra ID 會拒絕對應用程式的存取。
Outlook 應用程式會與 Outlook 雲端服務通訊,以起始與 Exchange Online 的通訊。
Outlook 雲端服務會與 Microsoft Entra ID 通訊,以擷取使用者的 Exchange Online 服務存取令牌。
Outlook 應用程式會與 Exchange Online 通訊,以擷取使用者的公司電子郵件。
公司電子郵件會傳遞至使用者的信箱。