Vyžadování zásad ochrany aplikací na zařízeních s Windows

  • Článek

Ochrana aplikací zásady aplikují správu mobilních aplikací (MAM) na konkrétní aplikace na zařízení. Tyto zásady umožňují zabezpečit data v rámci aplikace a podpořit tak scénáře, jako je BYOD (Přineste si vlastní zařízení). Podporujeme použití zásad v prohlížeči Microsoft Edge na zařízeních s Windows 11.

Screenshot of a browser requiring the user to sign in to their Microsoft Edge profile to access an application.

Požadavky

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

  • Nouzový přístup nebo prolomení účtů, aby se zabránilo uzamčení účtu v rámci celého tenanta. V nepravděpodobném scénáři jsou všichni správci uzamčeni z vašeho tenanta, váš účet pro správu tísňového volání se dá použít k přihlášení k tenantovi a provést kroky pro obnovení přístupu.
  • Účty služeb a instanční objekty, jako je účet Microsoft Entra Připojení Sync. Účty služeb jsou neinteraktivní účty, které nejsou svázané s žádným konkrétním uživatelem. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení k systémům pro účely správy. Účty služeb, jako jsou tyto, by se měly vyloučit, protože vícefaktorové ověřování není možné dokončit programově. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
    • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami. Jako dočasné alternativní řešení můžete tyto konkrétní účty vyloučit ze základních zásad.

Vytvoření zásad podmíněného přístupu

Následující zásady se umístí do režimu jen pro sestavy, aby správci mohli určit dopad, který mají na stávající uživatele. Pokud jsou správci spokojení s tím, že zásady platí podle jejich plánu, můžou nasazení přepnout na zapnuto nebo zfázovat přidáním konkrétních skupin a vyloučením ostatních.

Vyžadování zásad ochrany aplikací pro zařízení s Windows

Následující kroky vám pomůžou vytvořit zásady podmíněného přístupu, které vyžadují zásady ochrany aplikací při používání zařízení s Windows při přístupu k seskupování aplikací Office 365 v podmíněném přístupu. Zásady ochrany aplikací musí být také nakonfigurované a přiřazené vašim uživatelům v Microsoft Intune. Další informace o tom, jak vytvořit zásady ochrany aplikací, najdete v článku Ochrana aplikací nastavení zásad pro Windows. Následující zásady zahrnují několik ovládacích prvků, které zařízením umožňují používat zásady ochrany aplikací pro správu mobilních aplikací (MAM) nebo spravovat a dodržovat zásady správy mobilních zařízení (MDM).

Tip

zásady Ochrana aplikací (MAM) podporují nespravovaná zařízení:

  • Pokud už je zařízení spravované prostřednictvím správy mobilních zařízení (MDM), registrace Intune MAM se zablokuje a nastavení zásad ochrany aplikací se nepoužije.
  • Pokud se zařízení stane spravovaným po registraci MAM, nastavení zásad ochrany aplikací se už nepoužije.
  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.
  2. Přejděte k podmíněnému přístupu k ochraně>.
  3. Vyberte Vytvořit novou zásadu.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Možnost Všichni uživatelé.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte aspoň účet tísňového volání nebo účty pro tísňové volání vaší organizace.
  6. V části Cílové prostředky>: Zahrnout cloudové aplikace>vyberte Office 365.
  7. Za podmínek:
    1. Platformy zařízení jsou nastaveny na Hodnotu Ano.
      1. V části Zahrnout vyberte platformy zařízení.
      2. Zvolte jenom Windows .
      3. Vyberte Hotovo.
    2. Klientské aplikace jsou nastaveny na Hodnotu Ano.
      1. Vyberte pouze prohlížeč .
  8. V části Řízení>přístupu udělte možnost Udělit přístup.
    1. Vyberte Vyžadovat zásady ochrany aplikací a Vyžadovat, aby zařízení bylo označené jako vyhovující.
    2. U více ovládacích prvků vyberte Vyžadovat jeden z vybraných ovládacích prvků.
  9. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
  10. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Tip

Organizace by také měly nasadit zásadu, která blokuje přístup z nepodporovaných nebo neznámých platforem zařízení spolu s touto zásadou .

Přihlášení k zařízením s Windows

Když se uživatelé poprvé pokusí přihlásit k webu chráněnému zásadami ochrany aplikací, zobrazí se jim výzva: Pokud chcete získat přístup ke službě, aplikaci nebo webu, budete se možná muset přihlásit k Microsoft Edgi pomocí username@domain.com nebo zaregistrovat zařízení organization , pokud už jste přihlášení.

Kliknutím na přepnout profil Edge se otevře okno se seznamem svého pracovního nebo školního účtu spolu s možností Přihlásit se a synchronizovat data.

Screenshot showing the popup in Microsoft Edge asking user to sign in.

Tento proces otevře okno, které umožní systému Windows zapamatovat si váš účet a automaticky vás přihlásit k vašim aplikacím a webům.

Upozornění

Musíte zrušit zaškrtnutí políčkaPovolit organizaci spravovat moje zařízení. Když toto políčko necháte zaškrtnuté, vaše zařízení se zaregistruje ve správě mobilních zařízení (MDM), ne ve správě mobilních aplikací (MAM).

Nevybírejte možnost Ne, přihlaste se jenom k této aplikaci.

Screenshot showing the stay signed in to all your apps window. Uncheck the allow my organization to manage my device checkbox.

Po výběru ok se může během použití zásad zobrazit okno průběhu. Po chvíli byste měli vidět okno s informací, že jste všechno nastavené, zásady ochrany aplikací se použijí.

Řešení problému

Běžné problémy

Za určitých okolností se může zobrazit výzva k přihlášení pomocí svého pracovního účtu. K této výzvě může dojít v těchto případech:

  • Váš profil se přidá do Microsoft Edge, ale registrace MAM se stále zpracovává.
  • Váš profil se přidá do Microsoft Edge, ale na stránce s nadpisy jste vybrali jenom tuto aplikaci.
  • Zaregistrovali jste se do MAM, ale platnost vaší registrace vypršela nebo nesplňujete požadavky vaší organizace.

Řešení těchto možných scénářů:

  • Počkejte několik minut a zkuste to znovu na nové kartě.
  • Obraťte se na správce a zkontrolujte, jestli se zásady MAM v Microsoft Intune vztahují na váš účet správně.

Existující účet

Existuje známý problém, kdy existuje už existující, neregistrovaný účet, například user@contoso.com v Microsoft Edgi, nebo pokud se uživatel přihlásí bez registrace pomocí stránky Heads Up Page, pak se účet správně nezaregistruje do MAM. Tato konfigurace blokuje, aby se uživatel správně zaregistroval do MAM.

Další kroky