Требовать утвержденные клиентские приложения или политику защиты приложений

Обзор

Сотрудники регулярно используют мобильные устройства как в личных целях, так и для выполнения рабочих задач. Организации хотят обеспечить продуктивность работы и при этом предотвратить потери данных в приложениях на устройствах, которыми они не могут полностью управлять.

С функцией условного доступа организации могут разрешить доступ только к утвержденным клиентским приложениям с поддержкой современной проверки подлинности, используя политики защиты приложений Intune. Для старых клиентских приложений, которые могут не поддерживать политики защиты приложений, администраторы могут разрешить доступ только к утвержденным клиентским приложениям.

Предупреждение

политики защита приложений поддерживаются в iOS и Android, где приложения соответствуют определенным требованиям. политики защита приложений поддерживаются в Windows в предварительной версии только для браузера Microsoft Edge. Не все приложения поддерживаются в качестве утвержденных или поддерживают политики защиты приложений. Список распространенных клиентских приложений см. в разделе Требования политики защиты приложений. Если вашего приложение нет в этом списке, обратитесь к разработчику приложения. Чтобы требовать утвержденные клиентские приложения или применять политики защиты приложений для устройств iOS и Android, эти устройства должны сначала зарегистрировать в Microsoft Entra ID.

Примечание.

Требование, чтобы один из выбранных элементов управления в элементах управления предоставления было похоже на условие ИЛИ. Этот параметр в политике используется для того, чтобы пользователи могли использовать приложения, которые поддерживают либо Требовать политику защиты приложений, либо Требовать утвержденное клиентское приложение как элементы управления предоставлением доступа. Параметр Требовать политику защиты приложений применяется, если приложение поддерживает соответствующий элемент предоставления разрешений.

Дополнительную информацию о преимуществах использования политик защиты приложений см. в статье Обзор политик защиты приложений.

Следующие политики помещаются в режим только для отчетов, чтобы администраторы могли определить влияние, которое они будут иметь на существующих пользователей. Когда администраторы будут уверены, что политики применяются так, как они запланировали, они могут включить их или выполнить промежуточное развертывание, добавляя определенные группы и исключая другие.

Требовать утвержденные клиентские приложения или политику защиты приложений с мобильными устройствами.

Ниже описано, как создать политику условного доступа, требующую утвержденного клиентского приложения или политики защиты приложений при использовании устройства iOS/iPadOS или Android. Эта политика предотвращает использование Exchange ActiveSync клиентов с помощью базовой проверки подлинности на мобильных устройствах. Эта политика работает в тандеме с политикой защиты app, созданной в Microsoft Intune.

Организации могут развернуть эту политику, используя следующие действия или шаблоны условного доступа.

  1. Войдите в Центр администрирования Microsoft Entra с правами не ниже, чем Администратора условного доступа.
  2. Перейдите к Entra ID>Conditional Access.
  3. Выберите команду Создать политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы и исключите по крайней мере одну учетную запись, чтобы предотвратить блокировку. Если вы не исключите ни одну учетную запись, вы не сможете создать политику.
  6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>ВыберитеВсе ресурсы (ранее "Все облачные приложения").
  7. В разделе Условия>Платформы устройств для параметра Настроить установите значение Да.
    1. В разделе Включить выберите платформы устройств.
    2. Выберите Android и iOS.
    3. Нажмите кнопку Готово.
  8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
    1. Выберите Требовать утвержденное клиентское приложение и Требовать политику защиты приложений.
    2. В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  10. Щелкните Создать, чтобы включить эту политику.

Примечание.

Если политика создается в режиме «только отчет» для элемента управления "Требовать политику защиты приложений", журнал входа может показать результат как "Только отчет: сбой" во вкладке "Условный доступ", когда выполнены все заданные условия политики. Это связано с тем, что элемент управления не был удовлетворен в режиме только отчетов. После включения политики управление применяется к приложению, и блокировка входа не произойдет.

После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".

Совет

Организации также должны развернуть политику, которая блокирует доступ с неподдерживаемых или неизвестных платформ устройств вместе с этой политикой.

Блокировка Exchange ActiveSync на всех устройствах

Эта политика блокирует подключение всех клиентов Exchange ActiveSync с помощью базовой проверки подлинности к Exchange Online.

  1. Войдите в Центр администрирования Microsoft Entra с правами не ниже, чем Администратора условного доступа.
  2. Перейдите к Entra ID>Conditional Access.
  3. Выберите команду Создать политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы и исключите по крайней мере одну учетную запись, чтобы предотвратить блокировку. Если вы не исключите ни одну учетную запись, вы не сможете создать политику.
    3. Нажмите кнопку Готово.
  6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>Включить выберите Выбрать ресурсы.
    1. Выберите Office 365 Exchange Online.
    2. Выберите Выберите.
  7. В разделе Условия>Клиентские приложения установите для параметра Настроить значение Да.
    1. Снимите флажок всех параметров, кроме клиентов Exchange ActiveSync.
    2. Нажмите кнопку Готово.
  8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
    1. Выберите Требовать политику защиты приложений
  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  10. Щелкните Создать, чтобы включить эту политику.

После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".

Пользовательские исключения

Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:

  • Аварийный доступ или резервные учетные записи, чтобы предотвратить блокировку из-за ошибок в настройке политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
  • Учетные записи служб и служебные принципы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые основными компонентами службы, не блокируются правилами условного доступа, применяемыми к пользователям. Используйте условный доступ для рабочих идентификаторов, чтобы определить политики, предназначенные для сервисных субъектов.

Связанный контент

  • Last updated on