Microsoft Intune 應用程式保護原則會與 Microsoft Entra 條件式存取搭配使用,以協助保護員工使用裝置上的組織數據。 這些原則適用於向 Intune 註冊的裝置,以及未註冊的員工擁有的裝置。 結合使用,它們會稱為應用程式型條件式存取。
應用程式防護原則是確保組織資料保持安全或包含在受控應用程式中的規則:
- 應用程式保護原則可以是使用者嘗試存取或移動組織資料時強制執行的規則,也可以是使用者在受控應用程式內工作時禁止或監視的一組動作。
- 受管理應用程式是已套用應用程式防護原則的應用程式,且可由 Intune 管理。
- 當您只允許 Microsoft Outlook 應用程式存取 Exchange Online 時,您也可以封鎖 iOS/iPadOS 和 Android 上的內建郵件應用程式。 此外,您可以封鎖未套用 Intune 應用程式保護原則的應用程式存取 SharePoint Online。
具有用戶端應用程式管理的應用程式型條件式存取會新增安全性層,確保只有支援 Intune 應用程式保護原則的用戶端應用程式才能存取 Exchange Online 和其他 Microsoft 365 服務。
提示
除了以應用程式為基礎的條件式存取原則之外,您還可以 搭配 Intune 使用裝置型條件式存取。
必要條件
建立應用程式型條件式存取原則之前,您必須具備:
- Enterprise Mobility + Security (EMS) 或 Microsoft Entra ID P1 或 P2 訂閱
- 使用者必須獲得 EMS 或 Microsoft Entra ID 的授權
如需詳細資訊,請參閱 企業行動性定價 或 Microsoft Entra 定價。
支援的應用程式
您可以在 Microsoft Entra 檔中的條件式存取:條件中找到支援應用程式型條件式存取的應用程式清單。
應用程式型條件式存取 也支援企業營運 (LOB) 應用程式,但這些應用程式必須使用 Microsoft 365 新式驗證。
應用程式型條件式存取的運作方式
在此範例中,系統管理員已將應用程式保護原則套用至 Outlook 應用程式,後面接著條件式存取規則,將 Outlook 應用程式新增至存取公司電子郵件時可以使用的已核准應用程式清單。
注意事項
下列流程圖可用於其他受管理應用程式。
使用者會嘗試從 Outlook 應用程式向 Microsoft Entra ID 進行驗證。
使用者第一次嘗試驗證時,會重新導向至 App Store 以安裝代理人應用程式。 代理程式應用程式可以是適用於 iOS 的 Microsoft Authenticator,或適用於 Android 裝置的 Microsoft 公司入口網站。
如果使用者嘗試使用原生電子郵件應用程式,系統會將他們重新導向至應用程式市集,然後安裝 Outlook 應用程式。
代理程式應用程式會安裝在裝置上。
代理程式應用程式會啟動 Microsoft Entra 註冊程式,這會在 Microsoft Entra ID 中建立裝置記錄。 此程式與行動裝置管理 (MDM) 註冊程式不同,但此記錄是必要的,才能在裝置上強制執行條件式存取原則。
代理程式應用程式會確認 Microsoft Entra 裝置識別碼、使用者和應用程式。 此資訊會傳遞至 Microsoft Entra 登入伺服器,以驗證所要求服務的存取權。
代理程式應用程式會在使用者驗證程式中將應用程式用戶端識別碼傳送至 Microsoft Entra ID,以檢查它是否在原則核准清單中。
Microsoft Entra ID 可讓使用者根據原則核准清單進行驗證和使用應用程式。 如果應用程式不在清單中,Microsoft Entra ID 會拒絕存取應用程式。
Outlook 應用程式會與 Outlook 雲端服務通訊,以起始與 Exchange Online 的通訊。
Outlook 雲端服務會與 Microsoft Entra ID 通訊,以擷取使用者的 Exchange Online 服務存取權杖。
Outlook 應用程式會與 Exchange Online 通訊,以擷取使用者的公司電子郵件。
公司電子郵件會傳遞至使用者的信箱。