Uygulama tabanlı CA ile bir uygulama kullanırken beklenmesi gerekenlerWhat to expect when using an app with app-based CA

Şunlar için geçerlidir: Klasik portalda IntuneApplies to: Intune in the classic portal
Azure portalında Intune hakkında belgeler mi arıyorsunuz?Looking for documentation about Intune in the Azure portal? Buraya gidin.Go here.

Uygulama tabanlı CA, onaylanan uygulamanın kimliğini, cihazda bulunması gereken bir aracı uygulama ile doğrular:App-based CA verifies the identity of the approved application by means of a broker app that must be present on the device:

  • iOS’ta, Azure Authenticator uygulaması aracı uygulamadır.On iOS, the Azure Authenticator app is the broker app.
  • Android’de, Intune Şirket Portalı uygulaması aracı uygulamadır.On Android, the Intune Company Portal app is the broker app.

OneDrive veya Outlook gibi uygulama tabanlı CA tarafından desteklenen bir uygulamada ilk kez oturum açan son kullanıcılardan aracı uygulamayı yüklemeleri ve cihazı Azure AD’ye kaydetmeleri istenir.End-users signing in for the first time, to an app that is supported by app-based CA, like OneDrive or Outlook, are prompted to install the broker app and register the device with Azure AD. Azure AD'de cihaz kaydetmek (eski adı Çalışma Alanına Katılma idi) bir cihaz kaydı ve karşılığında belirteçlerin yayınlandığı bir sertifika oluşturur.Device registration in Azure AD (previously known as Workplace Join) will create a device record and certificate against which tokens are issued. Bu MDM kaydı ile aynı değildir.This is not the same as MDM enrollment. Yönetim profilleri veya ilkeleri uygulanmaz ve cihazdaki uygulamalardan envanter alınmaz.There are no management profiles or policies that are applied, and there is no inventory taken of apps on the device. Aracı uygulamayı yükleme ve cihazı kaydetme işlemi yalnızca yönetilen bir uygulama ilk kez kullanıldığında gerçekleştirilir.The process of installing the broker app and registering the device will only happen on the first use of a managed app.

Aşağıda doğrudan cihazdan türetilen özelliklerin listesi verilmiştir:The following is a list of properties that are directly derived from the device:

  • alternativeSecurityIds (Azure Active Directory Sertifika parmak izi ve ortak anahtar karması)alternativeSecurityIds (Azure Active Directory Certificate thumbprint and public key hash)
  • deviceOSTypedeviceOSType
  • deviceOSVersiondeviceOSVersion
  • displayNamedisplayName

Not

Android cihazlarda:On Android devices:

  • Cihazda Şirket Portalı uygulamasının yüklü olması gerekir, ancak son kullanıcının uygulamada oturum açması gerekli değildir.It is required that the Company Portal app is installed on the device, but end-user is not required to log in into app.
  • Cihaz kaydı OneDrive veya Outlook uygulaması aracılığıyla yapılmalıdır.Device registration must be done through the OneDrive or Outlook app.

Azure AD kaydından bir cihazı kaldırmak için.To remove a device from Azure AD registration.

Cihaz kaydını kaldırmanın bir yolu, Azure AD yönetici konsolundan kaldırmaktır ve bu işlem genelde BT yöneticileri tarafından yapılır. Kaldırma işlemi aynı zamanda son kullanıcının cihazında da gerçekleştirilebilir.You can remove the device registration either through the Azure AD admin console which is typically done by the IT admin. It can also be done by the end-user on the device itself.

  • Azure AD yönetici konsolu: Azure AD yönetici konsolunda** kaldırmak istediğiniz cihazı silin.Azure AD admin console: In the Azure AD admin console**, delete the device that you want to remove.
  • iOS cihazı: Azure Authenticator uygulamasını açın, hesabı sola kaydırın ve kaydı silin.iOS device: Open the Azure Authenticator app, swipe left on the account, and choose unregister.
  • Android cihazı: Şirket portalı uygulamasını kaldırın veya hesabı Sistem ayarları sayfasından silin.Android device: Uninstall the company portal app or remove the account from the System settings.

Cihaz tabanlı CA ile uygulama tabanlı CAApp-based CA with Device-based CA

Cihaz uyumluluğu tabanlı koşullu erişimi (Cihaz CA) Intune yönetici konsolunda veya Azure AD Premium yönetici konsolunda yapılandırabilirsiniz.You can configure Conditional access based on device compliance (Device CA) on the Intune administrator console or the Azure AD Premium management console. Cihaz CA, kullanıcıların yalnızca Intune cihaz uyumluluk ilkesi ile uyumlu Intune yönetilen cihazlarla veya etki alanına katılan bilgisayarlarla Exchange Online’a bağlanmasına izin verir.Device CA require users to connect to Exchange Online only through Intune-managed devices that are compliant with the Intune device compliance policy or domain-joined PCs. Bir kullanıcı, hem uygulama tabanlı CA hem de Cihaz CA ilkeleri için hedeflenen bir veya daha fazla kullanıcı grubuna dahilse, kullanıcının iki gereksinimden birini karşılaması gerekir:If a user belongs to one or more security groups that are targeted for both app-based CA and Device CA policies, the user must meet one of the two requirements:

  • Hizmete erişmek için kullanılan uygulama,The app used to access the service is a mobile app that is supported by
  • tarafından desteklenen bir mobil uygulamadır ve uygulamanın üzerinde çalıştığı cihazda, iOS Authenticator (iOS cihazlar için) veya Şirket Portalı uygulaması (Android cihazlar için) yüklüdür., and the device that the app is running on, has iOS Authenticator (for iOS devices), or the Company Portal app (for Android devices) installed.
  • Hizmete erişmek için Intune tarafından yönetilen ve Intune cihaz uyumluluğu ilkesi ile uyumlu bir cihaz veya bir etki alanına katılan bilgisayar kullanılır.The device used to access the service is Intune-managed and compliant with the Intune device compliance policy, or it is a domain-joined PC. Aşağıda bunu göstermeye yardımcı olmaya yönelik bazı örnekler verilmiştir:Here are some examples to help illustrate this:
    • Bir kullanıcı, yerel iOS e-posta uygulamasından bağlanmayı deniyorsa, yerel posta uygulaması uygulama tabanlı CA tarafından desteklenmediği için yönetilen ve uyumlu bir cihaz kullanmalıdır.If a user tries to connect from the native iOS email app, he or she will be required to be on a managed and compliant device since the native mail app is not supported by app-based CA.
    • Bir kullanıcı Windows ev bilgisayarından bağlanmayı denerse, etki alanına katılan bir bilgisayar kullanmasını gerektiren Cihaz CA ilkesi uygulanır.If a user tries to connect from a Windows home PC, the Device CA policy will apply, requiring that the he or she must use a domain-joined PC.

Sonraki adımlarNext steps

MAM uygulamaları için bir Exchange Online İlkesi oluşturmaCreate an Exchange Online Policy for MAM apps

Modern kimlik doğrulaması olmayan uygulamaları engellemeBlock apps that do not have modern authentication

Ayrıca bkz.See also

Uygulama verilerini uygulama koruma ilkeleriyle korumaProtect app data with app protection policies