使用 Intune 设置基于应用的条件访问策略

为已批准应用列表中的一部分应用设置基于应用的条件访问策略。 已批准应用列表包含经由 Microsoft 测试过的应用。

可以使用基于应用的条件访问策略前，需要将 Intune 应用保护策略应用于应用。

重要

本文逐步介绍了如何添加基于应用的简单条件访问策略。 可以对其他云应用执行相同的步骤。 有关详细信息，请参阅计划条件访问部署

创建基于应用的条件访问策略

条件访问是一种Microsoft Entra技术。 从 Intune 访问的条件访问节点与从 Microsoft Entra ID 访问的节点相同。 由于它是同一节点，因此无需在 Intune 和 Microsoft Entra ID 之间切换来配置策略。

必须先具有Microsoft Entra ID P1 或 P2 许可证，然后才能从 Microsoft Intune 管理中心创建条件访问策略。

创建基于应用的条件访问策略

1. 登录到 Microsoft Intune 管理中心

2. 选择“终结点安全”>“条件访问”>“新策略”。

3. 输入策略“名称”，然后在“分配”下，选择“用户或工作负荷标识”，并将策略应用于“用户和组”。 使用“包括”或“排除”选项来添加策略的组。

4. 选择“云应用或操作”，并将策略应用到“云应用”。 使用“包括”或“排除”选项选择要保护的应用。 例如，依次选择“选择应用”和“Office 365(预览版)”。

5. 选择“条件”>“客户端应用”，将策略应用到应用和浏览器。 例如，选择“是”，然后选择复选框以启用“浏览器”和“移动应用和桌面客户端”。

6. 在“访问控制”下，选择“授予”以基于设备合规性状态应用条件访问。 例如，依次选择“授予访问权限”>“需要已批准的客户端应用”和“需要应用保护策略”，然后选择“需要某一已选控件”。

7. 对于“启用策略”，选择“启用”，然后选择“创建”以保存所做的更改。 默认情况下，“启用策略”设置为“仅报告”。

后续步骤

• 阻止不使用新式验证的应用
• 使用应用保护策略保护应用数据
• 了解Microsoft Entra ID 中的条件访问