Alkalmazásalapú feltételes hozzáférés az Intune-nalApp-based conditional access with Intune

A következőkre vonatkozik: Intune az Azure PortalonApplies to: Intune in the Azure portal
A klasszikus portálbeli Intune-ról keres dokumentációt?Looking for documentation about Intune in the classic portal? Lépjen tovább ide.Go here.

Az Intune alkalmazásvédelmi szabályzataival védheti vállalati adatait az Intune-ban regisztrált eszközökön.Intune app protection policies help protect your company data on devices that are enrolled into Intune. Az alkalmazásvédelmi szabályzatokat emellett a munkatársak tulajdonában álló, az Intune-ban felügyeletre nem regisztrált eszközökön is alkalmazhatja.You can also use app protection policies on employee owned devices that are not enrolled for management in Intune. Bár ebben az esetben nem a cég felügyeli az eszközt, mégis fontos, hogy a vállalati adatok és erőforrások védve legyenek.In this case, even though your company doesn't manage the device, you still need to make sure that company data and resources are protected.

Az alkalmazásalapú feltételes hozzáférés és a mobileszköz-felügyelet egy biztonsági réteget ad hozzá annak biztosításával, hogy csak az Intune alkalmazásvédelmi szabályzatait támogató mobilalkalmazások férhessenek hozzá az Exchange Online-hoz és más Office 365-szolgáltatásokhoz.App-based conditional access and mobile app management add a security layer by making sure only mobile apps that support Intune app protection policies can access Exchange online and other Office 365 services.

Megjegyzés

A felügyelt alkalmazásra alkalmazásvédelmi szabályzatok vonatkoznak, és az Intune-nal felügyelhető.A managed app is an app that has app protection policies applied to it, and can be managed by Intune.

Azzal, hogy csak a Microsoft Outlook alkalmazásnak engedélyezi az Exchange Online elérését, blokkolhatja az iOS és az Android beépített levelezőalkalmazásait.You can block the built-in mail apps on iOS and Android when you allow only the Microsoft Outlook app to access Exchange Online. Ezenfelül blokkolhatja az Intune alkalmazásvédelmi szabályzattal el nem látott alkalmazások SharePoint Online-elérését is.Additionally, you can block apps that don’t have Intune app protection policies applied from accessing SharePoint Online.

ElőfeltételekPrerequisites

Alkalmazásalapú feltételes hozzáférési szabályzat létrehozásához az alábbiak szükségesek:Before you create an app-based conditional access policy, you must have:

  • Enterprise Mobility + Security (EMS) vagy Prémium szintű Azure Active Directory- (AD-) előfizetésEnterprise Mobility + Security (EMS) or an Azure Active Directory (AD) Premium subscription
  • EMS- vagy Azure AD-licenc a felhasználók számáraUsers must be licensed for EMS or Azure AD

További információt az Enterprise Mobility díjszabását vagy az Azure Active Directory díjszabását ismertető lapon talál.For more information, see Enterprise Mobility pricing or Azure Active Directory pricing.

Támogatott alkalmazásokSupported apps

  • Exchange Online:Exchange Online:
    • Microsoft Outlook Androidra és iOS-reMicrosoft Outlook for Android and iOS.
  • SharePoint OnlineSharePoint Online
    • Microsoft Word iOS-re és AndroidraMicrosoft Word for iOS and Android
    • Microsoft Excel iOS-re és AndroidraMicrosoft Excel for iOS and Android
    • Microsoft PowerPoint iOS-re és AndroidraMicrosoft PowerPoint for iOS and Android
    • Microsoft OneDrive Vállalati verzió iOS-re és AndroidraMicrosoft OneDrive for Business for iOS and Android
    • Microsoft OneNote iOS-reMicrosoft OneNote for iOS
  • Microsoft TeamsMicrosoft Teams

Az alkalmazásalapú feltételes hozzáférés üzletági (LOB-) alkalmazásokkal is használható, de ezeknek az Office 365 modern hitelesítését kell használniuk.App-based conditional access also supports line-of-business (LOB) apps, but these apps need to use Office 365 modern authentication.

Az alkalmazásalapú feltételes hozzáférés működéseHow app-based conditional access works

Ebben a példában a rendszergazda alkalmazásvédelmi szabályzatokkal látta el az Outlook alkalmazást, majd egy feltételes hozzáférési szabállyal felvette az Outlookot a céges levelezés elérésére használható jóváhagyott alkalmazások listájára.In this example, the admin has applied app protection policies to the Outlook app followed by a conditional access rule that adds the Outlook app to an approved list of apps that can be used when accessing corporate e-mail.

Megjegyzés

Az alábbi folyamatábra-struktúra más felügyelt alkalmazásokhoz is használható.The flowchart structure below can be used for other managed apps.

Folyamatábra: alkalmazásalapú feltételes hozzáférés az Intune-nal

  1. A felhasználó az Outlook alkalmazásból hitelesítést próbál végezni az Azure AD-val.The user tries to authenticate to Azure AD from the Outlook app.

  2. A felhasználó az első hitelesítési kísérletkor átirányítódik az alkalmazás-áruházba, ahonnan közvetítő alkalmazást kell telepítenie.The user gets redirected to the app store to install a broker app when trying to authenticate for the first time. Ez lehet az iOS-es Microsoft Authenticator vagy az androidos eszközökre készült Microsoft Intune vállalati portál.The broker app can be either the Microsoft Authenticator for iOS, or the Microsoft Company portal for Android devices.

    Ha egy felhasználó natív levelezőalkalmazást próbál használni, a rendszer az alkalmazásáruházba irányítja át, hogy telepíthesse az Outlookot.If users try to use a native e-mail app, they’ll be redirected to the app store to then install the Outlook app.

  3. A közvetítő alkalmazás települ az eszközre.The broker app gets installed on the device.

  4. A közvetítő alkalmazás megkezdi az Azure AD regisztrációs folyamatát, amely eszközrekordot hoz létre az Azure AD-ben.The broker app starts the Azure AD registration process which creates a device record in Azure AD. Ez nem azonos a mobileszköz-felügyelet (MDM) beléptetési folyamatával, de erre a rekordra is szükség van, hogy a feltételes hozzáférési szabályzatokat be lehessen tartatni az eszközön.This is not the same as the mobile device management (MDM) enrollment process, but this record is necessary so the conditional access policies can be enforced on the device.

  5. A közvetítő alkalmazás ellenőrzi az alkalmazás identitását.The broker app verifies the identity of the app. A közvetítő alkalmazás a biztonsági rétegnek köszönhetően képes ellenőrizni, hogy az alkalmazás engedélyezett-e a felhasználó számára.There’s a security layer so the broker app can validate if the app is authorized to be used by the user.

  6. A közvetítő alkalmazás a felhasználó-hitelesítési folyamat keretében elküldi az alkalmazás ügyfél-azonosítóját az Azure AD-nek, amely ellenőrzi, hogy szerepel-e a szabályzat engedélyezési listáján.The broker app sends the App Client ID to Azure AD as part of the user authentication process to check if it’s in the policy approved list.

  7. Az Azure AD a szabályzat engedélyezési listája alapján engedélyezi a felhasználónak a hitelesítést és az alkalmazás használatát.Azure AD allows the user to authenticate and use the app based on the policy approved list. Ha az alkalmazás nem szerepel a listán, az Azure AD nem engedélyezi az elérését.If the app is not on the list, Azure AD denies access to the app.

  8. Az Outlook alkalmazás az Outlook felhőszolgáltatással kapcsolatba lépve kezdeményezi az Exchange Online-nal való kommunikációt.The Outlook app communicates with Outlook Cloud Service to initiate communication with Exchange Online.

  9. Az Outlook felhőszolgáltatás az Azure AD-vel kommunikálva lekér egy Exchange Online-szolgáltatás-hozzáférési jogkivonatot a felhasználó részére.Outlook Cloud Service communicates with Azure AD to retrieve Exchange Online service access token for the user.

  10. Az Outlook alkalmazás az Exchange Online-nal kommunikálva lekéri a felhasználó céges e-mailjeit.The Outlook app communicates with Exchange Online to retrieve the user's corporate e-mail.

  11. A céges e-mailek kézbesítődnek a felhasználó postafiókjába.Corporate e-mail is delivered to the user's mailbox.

További lépésekNext steps

Alkalmazásalapú feltételes hozzáférési szabályzat létrehozásaCreate an app-based conditional access policy

Modern hitelesítés nélküli alkalmazások blokkolásaBlock apps that do not have modern authentication