Oczekiwany przebieg korzystania z aplikacji z dostępem warunkowym opartym na aplikacjiWhat to expect when using an app with app-based CA

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

Dostęp warunkowy oparty na aplikacji weryfikuje tożsamość zatwierdzonych aplikacji za pomocą aplikacji brokera, która musi być obecna na urządzeniu:App-based CA verifies the identity of the approved application by means of a broker app that must be present on the device:

  • W systemie iOS aplikacją brokera jest aplikacja Azure Authenticator.On iOS, the Azure Authenticator app is the broker app.
  • W systemie Android aplikacją brokera jest aplikacja Portal firmy usługi Intune.On Android, the Intune Company Portal app is the broker app.

Użytkownicy końcowi, którzy logują się po raz pierwszy do aplikacji obsługiwanej przez dostęp warunkowy oparty na aplikacji, takiej jak OneDrive lub Outlook, zostaną poproszeni o zainstalowanie aplikacji brokera i zarejestrowanie urządzenia w usłudze Azure AD.End-users signing in for the first time, to an app that is supported by app-based CA, like OneDrive or Outlook, are prompted to install the broker app and register the device with Azure AD. Rejestracja urządzenia w usłudze Azure AD (znana wcześniej jako funkcja dołączania w miejscu pracy) spowoduje utworzenie rekordu urządzenia i certyfikatu, względem którego wydawane są tokeny.Device registration in Azure AD (previously known as Workplace Join) will create a device record and certificate against which tokens are issued. To nie jest to samo, co rejestracja w usłudze zarządzania urządzeniami przenośnymi.This is not the same as MDM enrollment. Nie ma żadnych profilów zarządzania ani stosowanych zasad, nie jest także tworzony spis aplikacji na urządzeniu.There are no management profiles or policies that are applied, and there is no inventory taken of apps on the device. Proces instalacji aplikacji brokera i rejestracji urządzenia nastąpi tylko przy pierwszym użyciu zarządzanej aplikacji.The process of installing the broker app and registering the device will only happen on the first use of a managed app.

Poniżej przedstawiono listę właściwości, które pochodzą bezpośrednio z urządzenia:The following is a list of properties that are directly derived from the device:

  • alternativeSecurityIds (skrót klucza publicznego i odcisk palca certyfikatu usługi Azure Active Directory)alternativeSecurityIds (Azure Active Directory Certificate thumbprint and public key hash)
  • deviceOSTypedeviceOSType
  • deviceOSVersiondeviceOSVersion
  • displayNamedisplayName

Uwaga

Urządzenia z systemem Android:On Android devices:

  • Na urządzeniu musi być zainstalowana aplikacja Portal firmy, ale użytkownik końcowy nie musi logować się do tej aplikacji.It is required that the Company Portal app is installed on the device, but end-user is not required to log in into app.
  • Rejestracja urządzenia musi zostać przeprowadzona przez aplikację OneDrive lub Outlook.Device registration must be done through the OneDrive or Outlook app.

Aby usunąć urządzenie zarejestrowane w usłudze Azure ADTo remove a device from Azure AD registration.

Zarejestrowane urządzenie można usunąć na przykład za pomocą konsoli administracyjnej usługi Azure AD, co zazwyczaj jest wykonywane przez administratora IT. Usunąć urządzenie może także użytkownik końcowy za pomocą swojego urządzenia.You can remove the device registration either through the Azure AD admin console which is typically done by the IT admin. It can also be done by the end-user on the device itself.

  • Konsola administracyjna usługi Azure AD: w konsoli administracyjnej usługi Azure AD** usuń odpowiednie urządzenie.Azure AD admin console: In the Azure AD admin console**, delete the device that you want to remove.
  • Urządzenie z systemem iOS: otwórz aplikację Azure Authenticator, przesuń w lewo na koncie i wybierz opcję wyrejestrowania.iOS device: Open the Azure Authenticator app, swipe left on the account, and choose unregister.
  • Urządzenie z systemem Android: odinstaluj aplikację portalu firmy lub usuń konto w obszarze Ustawienia systemu.Android device: Uninstall the company portal app or remove the account from the System settings.

Dostęp warunkowy oparty na aplikacji z dostępem warunkowym opartym na urządzeniuApp-based CA with Device-based CA

Dostęp warunkowy oparty na zgodności urządzeń (dostęp warunkowy do urządzenia) można skonfigurować przy użyciu konsoli administratora usługi Intune lub konsoli zarządzania usługi Azure AD Premium.You can configure Conditional access based on device compliance (Device CA) on the Intune administrator console or the Azure AD Premium management console. Dostęp warunkowy do urządzenia wymaga od użytkowników nawiązania połączenia z usługą Exchange Online tylko za pośrednictwem urządzeń zarządzanych przez usługę Intune, które są zgodne z zasadami zgodności urządzeń usługi Intune, lub komputerów połączonych z domeną.Device CA require users to connect to Exchange Online only through Intune-managed devices that are compliant with the Intune device compliance policy or domain-joined PCs. Jeśli użytkownik należy do co najmniej jednej grupy zabezpieczeń, w której stosowane są zarówno zasady dostępu warunkowego opartego na aplikacji, jak i zasady dostępu warunkowego do urządzeń, musi spełnić jedno z poniższych wymagań:If a user belongs to one or more security groups that are targeted for both app-based CA and Device CA policies, the user must meet one of the two requirements:

  • Aplikacja, za pomocą której uzyskuje się dostęp do usługi, jest aplikacją mobilną obsługiwaną przezThe app used to access the service is a mobile app that is supported by
  • , a urządzenie, na którym działa aplikacja, ma zainstalowane narzędzie iOS Authenticator (w przypadku urządzeń z systemem iOS) lub aplikację Portal firmy (w przypadku urządzeń z systemem Android)., and the device that the app is running on, has iOS Authenticator (for iOS devices), or the Company Portal app (for Android devices) installed.
  • Urządzenie używane do uzyskiwania dostępu do usługi jest zarządzane przez usługę Intune i zgodne z zasadami zgodności urządzeń usługi Intune lub jest komputerem połączonym z domeną.The device used to access the service is Intune-managed and compliant with the Intune device compliance policy, or it is a domain-joined PC. Oto kilka przykładów ilustrujących tę sytuację:Here are some examples to help illustrate this:
    • W przypadku próby nawiązania połączenia z poziomu natywnej aplikacji poczty e-mail w systemie iOS wymagane będzie, aby użytkownik korzystał z zarządzanego i zgodnego urządzenia, ponieważ natywna aplikacja poczty e-mail nie jest obsługiwana przez dostęp warunkowy oparty na aplikacji.If a user tries to connect from the native iOS email app, he or she will be required to be on a managed and compliant device since the native mail app is not supported by app-based CA.
    • W przypadku próby nawiązania połączenia z komputera domowego z systemem Windows zostaną zastosowane zasady dostępu warunkowego do urządzenia, które wymagają, aby użytkownik użył komputera połączonego z domeną.If a user tries to connect from a Windows home PC, the Device CA policy will apply, requiring that the he or she must use a domain-joined PC.

Następne krokiNext steps

Tworzenie zasad usługi Exchange Online dla aplikacji z obsługą zarządzania aplikacjami mobilnymiCreate an Exchange Online Policy for MAM apps

Blokowanie aplikacji, które nie obsługują nowoczesnego uwierzytelnianiaBlock apps that do not have modern authentication

Zobacz takżeSee also

Ochrona danych aplikacji za pomocą zasad ochrony aplikacjiProtect app data with app protection policies