將已核准的用戶端應用程式移轉至條件式存取中的應用程式保護原則
在本文中,您將了解如何從核准的用戶端應用程式條件式存取授與移轉至應用程式保護原則授與。 應用程式保護原則提供與已核准用戶端應用程式原則相同的資料遺失和保護,但具有其他優點。 如需應用程式保護原則使用優點的詳細資訊,請參閱應用程式保護原則概觀。
已核准的用戶端應用程式授與將於 2026 年 3 月初淘汰。 組織必須在 2026 年 3 月之前,將只使用 [需要核准的用戶端應用程式] 授與控制權的所有目前條件式存取原則,轉換為 [需要核准的用戶端應用程式] 或 [應用程式保護原則]。 此外,針對任何新的條件式存取原則,只會套用 [需要應用程式保護原則] 授與。
2026 年 3 月之後,Microsoft 會停止強制執行需要核准的用戶端應用程式控制,而且會如同未選取此授與一樣。 在 2026 年 3 月之前使用下列步驟來保護組織的資料。
編輯現有的條件式存取原則
使用行動裝置時需要已核准用戶端應用程式或應用程式保護原則
下列步驟使現有條件式存取原則在使用 iOS/iPadOS 或 Android 裝置時,需要核准的用戶端應用程式或應用程式保護原則。 此原則可與 Microsoft Intune 中建立的應用程式保護原則搭配使用。
組織可以選擇使用下列步驟來更新其原則。
- 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護] > [條件式存取] > [原則]。
- 選取使用核准的用戶端應用程式授與的原則。
- 在 [存取控制]>[授與] 下,選取 [授與存取權]。
- 選取 [需要已核准的用戶端應用程式] 和 [需要應用程式保護原則]
- 針對多個控制項,選取 [需要其中一個選取的控制項]
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。
針對所有使用核准的用戶端應用程式授與的原則重複上述步驟。
警告
並非所有應用程式都支援作為已核准的應用程式,或支援應用程式保護原則。 如需一些常見用戶端應用程式的清單,請參閱應用程式保護原則需求。 如果您的應用程式未列在該處,則請連絡應用程式開發人員。
建立條件式存取原則
需要行動裝置的應用程式保護原則
下列步驟可協助建立在使用 iOS/iPadOS 或 Android 裝置時需要核准的用戶端應用程式或應用程式保護原則的條件式存取原則。 此原則可與 Microsoft Intune 中建立的應用程式保護原則搭配使用。
組織可以選擇使用下列步驟來部署此原則。
- 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護] > [條件式存取] > [原則]。
- 選取 [新增原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 下,選取 [使用者和群組],並排除至少一個帳戶,以防止自己遭到鎖定。若未排除任何帳戶,則無法建立原則。
- 在 [目標資源] > [雲端應用程式] > [包含] 底下,選取 [所有雲端應用程式]
- 在 [條件] > [裝置平台] 底下,將 [設定] 設定為 [是]。
- 在 [包含] 底下,選取 [裝置平台]。
- 選擇 [Android] 和 [iOS]
- 選取完成。
- 在 [存取控制]>[授與] 下,選取 [授與存取權]。
- 選取 [需要已核准的用戶端應用程式] 和 [需要應用程式保護原則]
- 針對多個控制項,選取 [需要其中一個選取的控制項]
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。
注意
如果應用程式不支援 [需要應用程式保護原則],將會封鎖嘗試從該應用程式存取資源的終端使用者。
下一步
如需應用程式保護原則的詳細資訊,請參閱:
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: