Co očekávat při používání aplikace s podmíněným přístupem založeným na aplikaciWhat to expect when using an app with app-based CA

Platí pro: Intune v klasické konzoleApplies to: Intune in the classic console
Hledáte dokumentaci k Intune v Azure?Looking for documentation about Intune on Azure? Přejděte sem.Go here.

Podmíněný přístup založený na aplikaci ověřuje identitu schválené aplikace pomocí zprostředkující aplikace, která musí existovat v zařízení:App-based CA verifies the identity of the approved application by means of a broker app that must be present on the device:

  • Zprostředkující aplikací pro iOS je aplikace Azure Authenticator.On iOS, the Azure Authenticator app is the broker app.
  • Zprostředkující aplikací pro Android je aplikace Portál společnosti Intune.On Android, the Intune Company Portal app is the broker app.

Koncoví uživatelé, kteří se poprvé přihlašují k aplikaci s podporou podmíněného přístupu založeného na aplikaci (jako je OneDrive nebo Outlook), jsou vyzváni k instalaci zprostředkující aplikace a registraci zařízení v Azure AD.End-users signing in for the first time, to an app that is supported by app-based CA, like OneDrive or Outlook, are prompted to install the broker app and register the device with Azure AD. Při registraci zařízení v Azure AD (dříve označované jako připojení k pracovišti) se vytvoří záznam zařízení a certifikát, vůči kterému se vydávají tokeny.Device registration in Azure AD (previously known as Workplace Join) will create a device record and certificate against which tokens are issued. Není to totéž jako registrace MDM.This is not the same as MDM enrollment. Neuplatňují se žádné profily ani zásady správy a nepořizuje se žádný inventář aplikací, které zařízení obsahuje.There are no management profiles or policies that are applied, and there is no inventory taken of apps on the device. Proces instalace zprostředkující aplikace a registrace zařízení proběhne jenom při prvním použití nějaké spravované aplikace.The process of installing the broker app and registering the device will only happen on the first use of a managed app.

V následujícím seznamu jsou vlastnosti odvozené přímo ze zařízení:The following is a list of properties that are directly derived from the device:

  • alternativeSecurityIds (kryptografický otisk certifikátu služby Azure Active Directory a hodnota hash veřejného klíče)alternativeSecurityIds (Azure Active Directory Certificate thumbprint and public key hash)
  • deviceOSTypedeviceOSType
  • deviceOSVersiondeviceOSVersion
  • displayNamedisplayName
Poznámka

Na zařízeních s Androidem:On Android devices:

  • V zařízení musí být nainstalovaná aplikace Portál společnosti, ale koncový uživatel se k aplikaci nemusí přihlásit.It is required that the Company Portal app is installed on the device, but end-user is not required to log in into app.
  • Registrace zařízení se musí provést prostřednictvím aplikace OneDrive nebo Outlook.Device registration must be done through the OneDrive or Outlook app.

Odebrání zařízení z registrace Azure ADTo remove a device from Azure AD registration.

Registraci zařízení můžete odebrat prostřednictvím konzoly správce Azure AD. To obvykle dělá správce IT.You can remove the device registration either through the Azure AD admin console which is typically done by the IT admin. Může to také udělat koncový uživatel na samotném zařízení.It can also be done by the end-user on the device itself.

  • Konzola správce Azure AD: V konzole správce Azure AD** odstraňte zařízení, které chcete odebrat.Azure AD admin console: In the Azure AD admin console**, delete the device that you want to remove.
  • Zařízení s iOS: Otevřete aplikaci Azure Authenticator, přejeďte po účtu prstem doleva a zvolte zrušení registrace.iOS device: Open the Azure Authenticator app, swipe left on the account, and choose unregister.
  • Zařízení s Androidem: Odinstalujte aplikaci portálu společnosti nebo odeberte účet z Nastavení systému.Android device: Uninstall the company portal app or remove the account from the System settings.

Podmíněný přístup založený na aplikaci s podmíněným přístupem založeným na zařízeníApp-based CA with Device-based CA

Podmíněný přístup na základě dodržování předpisů pro zařízení (podmíněný přístup zařízení) můžete nakonfigurovat v konzole pro správce Intune nebo v konzole pro správu služby Azure AD Premium.You can configure Conditional access based on device compliance (Device CA) on the Intune administrator console or the Azure AD Premium management console. Podmíněný přístup zařízení vyžaduje, aby se uživatelé připojili k Exchangi Online jenom přes zařízení spravovaná službou Intune, která vyhovují její zásadě dodržování předpisů pro zařízení, nebo přes počítače připojené k doméně.Device CA require users to connect to Exchange Online only through Intune-managed devices that are compliant with the Intune device compliance policy or domain-joined PCs. Pokud uživatel patří do některých skupin zabezpečení, které používají zásady podmíněného přístupu založeného na aplikaci i zásady podmíněného přístupu zařízení, musí splňovat jeden z těchto dvou požadavků:If a user belongs to one or more security groups that are targeted for both app-based CA and Device CA policies, the user must meet one of the two requirements:

  • Aplikace použitá pro přístup ke službě je mobilní aplikace podporovanáThe app used to access the service is a mobile app that is supported by
  • podmíněným přístupem založeným na aplikaci, přičemž v zařízení, na kterém tato aplikace běží, je nainstalovaný iOS Authenticator (pro zařízení s iOSem) nebo aplikace Portál společnosti (pro zařízení s Androidem)., and the device that the app is running on, has iOS Authenticator (for iOS devices), or the Company Portal app (for Android devices) installed.
  • Zařízení použité pro přístup ke službě je spravované přes Intune a vyhovuje zásadě dodržování předpisů pro zařízení, nebo se jedná o počítač připojený k doméně.The device used to access the service is Intune-managed and compliant with the Intune device compliance policy, or it is a domain-joined PC. Tuto situaci ilustrují následující příklady:Here are some examples to help illustrate this:
    • Když se uživatel pokusí připojit z nativní e-mailové aplikace pro iOS, bude muset používat spravované a vyhovující zařízení, protože nativní poštovní aplikace není podporovaná podmíněným přístupem založeným na aplikaci.If a user tries to connect from the native iOS email app, he or she will be required to be on a managed and compliant device since the native mail app is not supported by app-based CA.
    • Když se uživatel pokusí připojit z domácího počítače s Windows, uplatní se zásada podmíněného přístupu zařízení, která vyžaduje, aby se použil počítač připojený k doméně.If a user tries to connect from a Windows home PC, the Device CA policy will apply, requiring that the he or she must use a domain-joined PC.

Další krokyNext steps

Vytvoření zásad Exchange Online pro aplikace MAMCreate an Exchange Online Policy for MAM apps

Blokování aplikací, které nepoužívají moderní ověřováníBlock apps that do not have modern authentication

Související témataSee also

Ochrana dat aplikací pomocí zásad ochrany aplikacíProtect app data with app protection policies

Pokud chcete odeslat svůj názor na produkt, navštivte Intune Feedback