編輯

分享方式:

一般條件式存取原則:需要核准的用戶端應用程式或應用程式保護原則

  • 作法

一般人平常使用其行動裝置來處理個人和工作事務。 組織在確保員工生產力的同時,也想要防止可能無法完全管理的裝置上的應用程式所造成的資料遺失。

透過條件式存取,組織可以限制對具有 Intune 應用程式保護原則的已核准 (具備新式驗證功能) 用戶端應用程式的存取。 對於可能不支援應用程式保護原則的舊版用戶端應用程式,管理員可以限制對已核准的用戶端應用程式的存取。

警告

應用程式符合特定需求的 iOS 和 Android 支援應用程式保護原則。 Windows 預覽版僅支援 Microsoft Edge 瀏覽器的應用程式保護原則。 並非所有應用程式都支援作為已核准的應用程式,或支援應用程式保護原則。 如需一些常見用戶端應用程式的清單,請參閱應用程式保護原則需求。 如果您的應用程式未列在該處,則請連絡應用程式開發人員。 若需要已核准的用戶端應用程式,或要為 iOS 和 Android 裝置強制執行應用程式保護原則,這些裝置都必須先在 Microsoft Entra ID 中註冊。

注意

授與控制項下的 [需要其中一個選取的控制項] 就像 OR 子句。 這用於原則內,可讓使用者利用支援 [需要應用程式保護原則] 或 [需要已核准的用戶端應用程式]授與控制項的應用程式。 [需要應用程式保護原則] 會在應用程式支援該授與控制項時強制執行。

如需應用程式保護原則使用優點的詳細資訊,請參閱應用程式保護原則概觀

下列原則會以報告專用模式推出,讓管理員可以判斷對現有使用者的影響。 當管理員確信原則會如預期套用時,可以切換至 [開啟],或新增特定群組以及排除其他群組來進行階段部署。

必要條件

使用行動裝置時需要已核准用戶端應用程式或應用程式保護原則。

下列步驟可協助建立在使用 iOS/iPadOS 或 Android 裝置時需要已核准的用戶端應用程式應用程式保護原則的條件式存取原則。 此原則也可防止使用在行動裝置上使用基本驗證的 Exchange ActiveSync 用戶端。 此原則可與 Microsoft Intune 中建立的應用程式保護原則搭配使用。

組織可以選擇使用下列步驟,或使用條件式存取範本來部署此原則。

  1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [保護]>[條件式存取]

  3. 選取 [建立新原則]

  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

  5. 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]

    1. 在 [包含] 下,選取 [所有使用者]
    2. 在 [排除] 下,選取 [使用者和群組] 並排除至少一個帳戶,以防止自己遭到鎖定。若未排除任何帳戶,您就無法建立原則。

  6. 在 [目標資源]>[雲端應用程式]>[包含] 底下,選取 [所有雲端應用程式]

  7. 在 [條件] > [裝置平台] 底下,將 [設定] 設定為 [是]

    1. 在 [包含] 底下,選取 [裝置平台]
    2. 選擇 [Android] 和 [iOS]
    3. 選取完成

  8. 在 [存取控制]>[授與] 下,選取 [授與存取權]

    1. 選取 [需要已核准的用戶端應用程式] 和 [需要應用程式保護原則]
    2. 針對多個控制項,選取 [需要其中一個選取的控制項]

  9. 確認您的設定,並將 [啟用原則] 設為 [報告專用]

  10. 選取 [建立] 以建立並啟用您的原則。

    管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]

    提示

    組織也應該部署原則,以封鎖來自不支援或未知裝置平台的存取以及此原則。

封鎖所有裝置上的 Exchange ActiveSync

此原則可封鎖使用基本驗證的所有 Exchange ActiveSync 用戶端,使其無法連線至 Exchange Online。

  1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [保護]>[條件式存取]

  3. 選取 [建立新原則]

  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

  5. 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]

    1. 在 [包含] 下,選取 [所有使用者]
    2. 在 [排除] 下,選取 [使用者和群組] 並排除至少一個帳戶,以防止自己遭到鎖定。若未排除任何帳戶,您就無法建立原則。
    3. 選取完成

  6. 在 [目標資源]>[雲端應用程式]>[包含] 底下,選取 [選取應用程式]

    1. 選取 [Office 365 Exchange Online]
    2. 選取選取

  7. 在 [條件] > [用戶端應用程式 (預覽)] 下,將 [設定] 設定為 [是]

    1. 取消核取 [Exchange ActiveSync 用戶端] 以外的所有選項。
    2. 選取完成

  8. 在 [存取控制]>[授與] 下,選取 [授與存取權]

    1. 選取 [需要應用程式保護原則]

  9. 確認您的設定,並將 [啟用原則] 設為 [報告專用]

  10. 選取 [建立] 以建立並啟用您的原則。

    管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]

相關內容