常見的條件式存取原則:需要核准的用戶端應用程式或應用程式保護原則

  • 發行項

一般人平常使用其行動裝置來處理個人和工作事務。 雖然確保員工可以有生產力,但組織也想要防止資料遺失裝置上的應用程式,這些應用程式可能無法完全管理。

透過條件式存取,組織可以使用 Intune 應用程式保護 原則來限制對已核准(新式驗證支援)用戶端應用程式的存取 。 對於可能不支援應用程式保護原則的舊版用戶端應用程式,管理員可以限制對已核准的用戶端應用程式的存取。

警告

iOS 和 Android 支援應用程式防護原則,其中應用程式符合特定需求。 只有 Microsoft Edge 瀏覽器的預覽版 Windows 支援應用程式防護原則。

並非所有支援為已核准應用程式的應用程式,或支援應用程式保護原則。 如需一些常見的用戶端應用程式清單,請參閱 應用程式防護原則需求 。 如果您的應用程式未列于該處,請連絡應用程式開發人員。

若要針對 iOS 和 Android 裝置要求經過核准的用戶端應用程式,您必須先在 Microsoft Entra ID 中註冊這些裝置。

注意

授與控制項下的「需要其中一個選取的控制項」就像是 OR 子句。 這會用於原則內,讓使用者利用支援 [需要應用程式保護原則 ] 或 [要求核准的用戶端應用程式授與控制項] 的應用程式 當應用程式支援授與控制權時,會強制執行應用程式保護 原則。

如需使用應用程式保護原則之優點的詳細資訊,請參閱應用程式防護原則概觀 一文

建立條件式存取原則

下列原則會設定為 僅限報表模式 以啟動,讓系統管理員可以判斷它們對現有使用者的影響。 當系統管理員覺得原則會依其想要套用時,可以藉由新增特定群組並排除其他人,切換至 開啟 或暫存部署。

需要具有行動裝置的已核准用戶端應用程式或應用程式保護原則

下列步驟將有助於在使用 iOS/iPadOS 或 Android 裝置時,建立需要核准用戶端應用程式 應用程式保護原則的條件式存取原則。 此原則也會防止在行動裝置上使用基本驗證的 Exchange ActiveSync 用戶端。 此原則會與 Microsoft Intune 中建立的應用程式保護原則搭配運作。

組織可以選擇使用下列步驟或使用 條件式存取範本 來部署此原則。

  1. 以至少條件 式存取管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護 > 條件式存取]。
  3. 選取 [ 建立新原則 ]。
  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下 ,選取 [ 使用者或工作負載身分識別 ]。
    1. 在 [包含] 下,選取 [所有使用者]
    2. 在 [排除] ,選取 [ 使用者和群組 ],並排除至少一個帳戶,以防止自己遭到鎖定。如果您未排除任何帳戶,則無法建立原則。
  6. 在 [目標資源 > 雲端應用程式 > 包含 ] 下 ,選取 [ 所有雲端應用程式]。
  7. 在 [條件 > 裝置平臺] ,將 [設定 ] 設定 為 [ 是]。
    1. 在 [包含] 底下 選取裝置平臺
    2. 選擇 [Android ] 和 [iOS ]。
    3. 選取完成
  8. 在 [存取控制]>[授與] 下,選取 [授與存取權]
    1. 選取 [需要核准的用戶端應用程式 ] 和 [要求應用程式保護原則]
    2. 針對多個控制項 ,選取 [需要其中一個選取的控制項]
  9. 確認您的設定,並將 [啟用原則 ] 設定 [僅 報告]。
  10. 選取 [建立] 以建立並啟用您的原則。

系統管理員使用 僅限報表模式 確認設定之後,可以將 [ 啟用原則 ] 切換從 [僅限 報表] 移至 [開啟 ]。

提示

組織也應該部署原則,以 封鎖來自不支援或未知裝置平臺 的存取,以及此原則。

封鎖所有裝置上的 Exchange ActiveSync

此原則會封鎖所有使用基本驗證的 Exchange ActiveSync 用戶端連線到 Exchange Online。

  1. 以至少條件 式存取管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護 > 條件式存取]。
  3. 選取 [ 建立新原則 ]。
  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下 ,選取 [ 使用者或工作負載身分識別 ]。
    1. 在 [包含] 下,選取 [所有使用者]
    2. 在 [排除] ,選取 [ 使用者和群組 ],並排除至少一個帳戶,以防止自己遭到鎖定。如果您未排除任何帳戶,則無法建立原則。
    3. 選取完成
  6. 在 [目標資源 > ][雲端應用程式 > 包含 ] 下 ,選取 [ 選取應用程式]。
    1. 選取 [Office 365 Exchange Online ]。
    2. 選取選取
  7. 在 [條件 > 用戶端應用程式] 底 ,將 [設定 ] 設定 為 [ 是]。
    1. 取消核取 Exchange ActiveSync 用戶端 以外的 所有選項。
    2. 選取完成
  8. 在 [存取控制]>[授與] 下,選取 [授與存取權]
    1. 選取 [需要應用程式保護原則]
  9. 確認您的設定,並將 [啟用原則 ] 設定 [僅 報告]。
  10. 選取 [建立] 以建立並啟用您的原則。

系統管理員使用 僅限報表模式 確認設定之後,可以將 [ 啟用原則 ] 切換從 [僅限 報表] 移至 [開啟 ]。

下一步

應用程式防護原則概觀

條件式存取一般原則

將已核准的用戶端應用程式移轉至條件式存取中的應用程式保護原則