Поделиться через


Требовать утвержденные клиентские приложения или политику защиты приложений

Сотрудники регулярно используют мобильные устройства как в личных целях, так и для выполнения рабочих задач. Организации хотят обеспечить продуктивность работы и при этом предотвратить потери данных в приложениях на устройствах, которыми они не могут полностью управлять.

С функцией условного доступа организации могут разрешить доступ только к утвержденным клиентским приложениям с поддержкой современной проверки подлинности, используя политики защиты приложений Intune. Для старых клиентских приложений, которые могут не поддерживать политики защиты приложений, администраторы могут разрешить доступ только к утвержденным клиентским приложениям.

Предупреждение

политики защита приложений поддерживаются в iOS и Android, где приложения соответствуют определенным требованиям. защита приложений политики поддерживаются в Windows в предварительной версии только для браузера Microsoft Edge. Не все приложения поддерживаются в качестве утвержденных или поддерживают политики защиты приложений. Список некоторых распространенных клиентских приложений см. в разделе Требование политики защиты приложений. Если вашего приложение нет в этом списке, обратитесь к разработчику приложения. Чтобы требовать утвержденные клиентские приложения или применять политики защиты приложений для устройств iOS и Android, эти устройства должны сначала зарегистрировать в Идентификаторе Microsoft Entra.

Примечание.

Требовать, чтобы один из выбранных элементов управления под элементами управления предоставления был похож на предложение OR . Этот параметр в политике позволяет использовать приложения, которые поддерживают управление разрешением Требовать политику защиты приложений или Требовать утвержденное клиентское приложение. Параметр Требовать политику защиты приложений применяется, если приложение поддерживает соответствующий элемент предоставления разрешений.

Дополнительные сведения о преимуществах использования политик защиты приложений см. в статье Общие сведения о политиках защиты приложений.

Следующие политики помещаются в режим только для отчетов, чтобы администраторы могли определить влияние, которое они будут иметь на существующих пользователей. Когда администраторы проверят действие политики, они могут включить ее или выполнить промежуточное развертывание, добавляя определенные группы и исключая другие.

Требовать утвержденные клиентские приложения или политику защиты приложений с мобильными устройствами.

Ниже описано, как создать политику условного доступа, требующую утвержденного клиентского приложения или политики защиты приложений при использовании устройства iOS/iPadOS или Android. Эта политика предотвращает использование клиентов Exchange ActiveSync с помощью базовой проверки подлинности на мобильных устройствах. Эта политика работает совместно с политикой защиты приложений, созданной в Microsoft Intune.

Организации могут развернуть эту политику, выполнив следующие действия или шаблоны условного доступа.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к условному доступу к защите>.
  3. Выберите команду Создать политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы и исключите по крайней мере одну учетную запись, чтобы предотвратить блокировку. Если вы не исключите ни одну учетную запись, вы не сможете создать политику.
  6. В разделе "Целевые ресурсы>" (ранее облачные приложения)>Включите все ресурсы (ранее — "Все облачные приложения").
  7. В разделе Условия>Платформы устройств для параметра Настроить установите значение Да.
    1. В разделе Исключить выберите Выбрать платформы устройств.
    2. Выберите Android и iOS.
    3. Нажмите кнопку Готово.
  8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
    1. Выберите Требовать утвержденное клиентское приложение и Требовать политику защиты приложений.
    2. В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Совет

Организации также должны развернуть политику, которая блокирует доступ с неподдерживаемых или неизвестных платформ устройств вместе с этой политикой.

Блокировка Exchange ActiveSync на всех устройствах

Эта политика блокирует подключение всех клиентов Exchange ActiveSync с помощью базовой проверки подлинности к Exchange Online.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к условному доступу к защите>.
  3. Выберите команду Создать политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы и исключите по крайней мере одну учетную запись, чтобы предотвратить блокировку. Если вы не исключите ни одну учетную запись, вы не сможете создать политику.
    3. Нажмите кнопку Готово.
  6. В разделе "Целевые ресурсы>" (ранее облачные приложения)>Включить выберите "Выбрать ресурсы".
    1. Выберите Office 365 Exchange Online.
    2. Выберите Выбрать.
  7. В разделе Условия>Клиентские приложения установите для параметра Настроить значение Да.
    1. Снимите флажки для всех параметров, кроме Клиенты Exchange ActiveSync.
    2. Нажмите кнопку Готово.
  8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
    1. Выберите Требовать политику защиты приложений
  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.