A cikk ismerteti, mire lehet számítani olyan alkalmazás használata esetén, amelyre alkalmazásalapú feltételes hozzáférés érvényes.What to expect when using an app with app-based CA

A következőkre vonatkozik: Intune a klasszikus konzolonApplies to: Intune in the classic console
Az Azure-on található Intune-ról keres dokumentációt?Looking for documentation about Intune on Azure? Lépjen tovább ide.Go here.

Az alkalmazásalapú feltételes hozzáférés egy közvetítőalkalmazással ellenőrzi a jóváhagyott alkalmazás azonosságát. A közvetítőalkalmazásnak jelen kell lennie az eszközön:App-based CA verifies the identity of the approved application by means of a broker app that must be present on the device:

  • iOS esetén a közvetítőalkalmazás a Microsoft Authenticator alkalmazás.On iOS, the Azure Authenticator app is the broker app.
  • Android esetén a közvetítőalkalmazás az Intune Vállalati portál alkalmazás.On Android, the Intune Company Portal app is the broker app.

Amikor a végfelhasználók először jelentkeznek be egy olyan alkalmazásba, amelyre alkalmazásalapú feltételes hozzáférés érvényes (például a OneDrive-ba vagy az Outlookba), a rendszer felkéri őket, hogy telepítsék a közvetítőalkalmazást, és regisztrálják az eszközt az Azure Active Directoryban.End-users signing in for the first time, to an app that is supported by app-based CA, like OneDrive or Outlook, are prompted to install the broker app and register the device with Azure AD. Az Azure AD-ba történő eszközregisztráció (korábban Munkahelyi csatlakoztatás) eszközrekordot és tanúsítványt hoz létre, amelyek ellenében jogkivonatokat állítanak ki.Device registration in Azure AD (previously known as Workplace Join) will create a device record and certificate against which tokens are issued. Ez nem ugyanaz, mint az MDM-regisztráció.This is not the same as MDM enrollment. Nincsenek alkalmazott felügyelt profilok vagy szabályzatok, és nincs az eszközön található alkalmazásokról sem leltár.There are no management profiles or policies that are applied, and there is no inventory taken of apps on the device. A közvetítőalkalmazás telepítése és az eszköz regisztrálása csak a felügyelt alkalmazás első használatakor történik meg.The process of installing the broker app and registering the device will only happen on the first use of a managed app.

A következő listán azoknak a tulajdonságoknak a listája látható, amelyek magáról az eszközről származnak:The following is a list of properties that are directly derived from the device:

  • alternativeSecurityIds (az Azure Active Directory-tanúsítvány ujjlenyomata és nyilvános kulcsának kivonata)alternativeSecurityIds (Azure Active Directory Certificate thumbprint and public key hash)
  • deviceOSTypedeviceOSType
  • deviceOSVersiondeviceOSVersion
  • displayNamedisplayName
Megjegyzés

Androidos eszközökön:On Android devices:

  • A Céges portál alkalmazásnak telepítve kell lennie az eszközön, de a végfelhasználónak nem szükséges bejelentkeznie az alkalmazásba.It is required that the Company Portal app is installed on the device, but end-user is not required to log in into app.
  • Az eszközregisztrációt a OneDrive vagy az Outlook alkalmazáson keresztül kell elvégezni.Device registration must be done through the OneDrive or Outlook app.

Eszköz Azure AD-regisztrációjának törlése.To remove a device from Azure AD registration.

Az eszközök regisztrációját az Azure AD felügyeleti konzoljával lehet törölni. Ezt általában a rendszergazda végzi el.You can remove the device registration either through the Azure AD admin console which is typically done by the IT admin. A végfelhasználó is törölheti a regisztrációt, magán az eszközön.It can also be done by the end-user on the device itself.

  • Azure AD felügyeleti konzol: Törölje az Azure AD felügyeleti konzoljából** azt az eszközt, amelyet el szeretne távolítani.Azure AD admin console: In the Azure AD admin console**, delete the device that you want to remove.
  • iOS-eszköz: Nyissa meg a Microsoft Authenticator alkalmazást, pöccintsen balra a fiókon, és válassza a Regisztráció törlése lehetőséget.iOS device: Open the Azure Authenticator app, swipe left on the account, and choose unregister.
  • Androidos eszköz: Távolítsa el a Munkahelyi portál alkalmazást, vagy törölje a fiókot a Rendszerbeállítások területről.Android device: Uninstall the company portal app or remove the account from the System settings.

Alkalmazásalapú feltételes hozzáférés eszközalapú feltételes hozzáférésselApp-based CA with Device-based CA

Az eszköz megfelelőségén alapuló feltételes hozzáférést (Eszköz CA) az Intune felügyeleti konzolon vagy az [Azure AD Premium felügyeleti konzolon (https://manage.windowsazure.com) konfigurálhatja.You can configure Conditional access based on device compliance (Device CA) on the Intune administrator console or the Azure AD Premium management console. Az eszköz megfelelőségén alapuló feltételes hozzáférés előírja, hogy a felhasználók csak az Intune által felügyelt, az Intune eszközmegfelelőségi szabályzatának megfelelő eszközökkel vagy tartományhoz csatlakozó számítógéppel csatlakozzanak az Exchange Online-hoz.Device CA require users to connect to Exchange Online only through Intune-managed devices that are compliant with the Intune device compliance policy or domain-joined PCs. Ha egy felhasználó egy vagy több olyan biztonsági csoport tagja, amelyre vonatkozik az alkalmazásalapú feltételes hozzáférés vagy eszköz megfelelőségén alapuló feltételes hozzáférési szabályzat, akkor az alábbi két követelmény egyikének teljesülnie kell:If a user belongs to one or more security groups that are targeted for both app-based CA and Device CA policies, the user must meet one of the two requirements:

  • A szolgáltatás elérésére használt alkalmazás olyan mobilalkalmazás, amelyet támogat aThe app used to access the service is a mobile app that is supported by
  • , és az eszközre, amelyen ez az alkalmazás fut, telepítve van az iOS Authenticator (iOS-eszköz esetén) vagy a Céges portál alkalmazás (Android-eszköz esetén)., and the device that the app is running on, has iOS Authenticator (for iOS devices), or the Company Portal app (for Android devices) installed.
  • A szolgáltatáshoz való hozzáférésre használt eszköz az Intune által van felügyelve, és megfelel az Intune eszközmegfelelőségi szabályzatának, vagy az eszköz egy tartományhoz csatlakozó számítógép.The device used to access the service is Intune-managed and compliant with the Intune device compliance policy, or it is a domain-joined PC. Álljon itt néhány példa ennek illusztrálására:Here are some examples to help illustrate this:
    • Amennyiben a felhasználó a natív iOS-levelezőalkalmazásból szeretne kapcsolódni, ezt felügyelt és megfelelő eszközzel kell tennie, ugyanis a natív levelezőalkalmazást nem támogatja az alkalmazásalapú feltételes hozzáférés.If a user tries to connect from the native iOS email app, he or she will be required to be on a managed and compliant device since the native mail app is not supported by app-based CA.
    • Ha a felhasználó Windowst futtató otthoni számítógépről csatlakozik, az eszköz megfelelőségén alapuló feltételes hozzáférés alkalmazandó, amely előírja, a felhasználónak, hogy tartományhoz csatlakozó számítógépet kell használnia.If a user tries to connect from a Windows home PC, the Device CA policy will apply, requiring that the he or she must use a domain-joined PC.

További lépésekNext steps

Exchange Online-szabályzat létrehozása MAM-alkalmazásokhozCreate an Exchange Online Policy for MAM apps

Modern hitelesítés nélküli alkalmazások blokkolásaBlock apps that do not have modern authentication

További információSee also

Alkalmazásadatok védelme alkalmazásvédelmi szabályzatokkalProtect app data with app protection policies

A termékről a következő oldalon küldhet visszajelzést Intune Feedback