Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací
Lidé pravidelně používají svá mobilní zařízení pro osobní i pracovní úkoly. Organizace také chtějí zabránit ztrátě dat z aplikací na zařízeních, která nemusí plně spravovat, a zajistit produktivitu zaměstnanců.
Pomocí podmíněného přístupu můžou organizace omezit přístup ke schváleným (moderním ověřovacím) klientským aplikacím pomocí zásad ochrany aplikací Intune. U starších klientských aplikací, které nemusí podporovat zásady ochrany aplikací, můžou správci omezit přístup ke schváleným klientským aplikacím.
Upozorňující
Ochrana aplikací zásady jsou podporovány v iOSu a Androidu, kde aplikace splňují konkrétní požadavky. Ochrana aplikací zásady jsou podporované jenom ve Windows ve verzi Preview pro prohlížeč Microsoft Edge. Ne všechny aplikace podporované jako schválené aplikace nebo podporují zásady ochrany aplikací. Seznam některých běžných klientských aplikací najdete v tématu Ochrana aplikací požadavek na zásady. Pokud tam vaše aplikace není uvedená, obraťte se na vývojáře aplikace. Aby bylo možné vyžadovat schválené klientské aplikace nebo vynutit zásady ochrany aplikací pro zařízení s iOSem a Androidem, musí se tato zařízení nejprve zaregistrovat v Microsoft Entra ID.
Poznámka:
Vyžadovat jeden z vybraných ovládacích prvků v ovládacích prvcích udělení je jako klauzule OR . To se používá v rámci zásad, které uživatelům umožňují využívat aplikace, které podporují zásady ochrany aplikací nebo Vyžadovat schválené řízení udělení klientských aplikací . Vyžadování zásad ochrany aplikací se vynucuje, když aplikace podporuje řízení udělením oprávnění.
Další informace o výhodách používání zásad ochrany aplikací najdete v článku Ochrana aplikací přehled zásad.
Následující zásady se umístí do režimu jen pro sestavy, aby správci mohli určit dopad, který budou mít na stávající uživatele. Pokud jsou správci spokojení s tím, že zásady platí podle jejich plánu, můžou nasazení přepnout na zapnuto nebo zfázovat přidáním konkrétních skupin a vyloučením ostatních.
Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací u mobilních zařízení
Následující kroky vám pomůžou vytvořit zásady podmíněného přístupu, které vyžadují schválenou klientskou aplikaci nebo zásady ochrany aplikací při použití zařízení s iOS/iPadOS nebo Androidem. Tato zásada brání použití klientů protokol Exchange ActiveSync pomocí základního ověřování na mobilních zařízeních. Tato zásada funguje společně se zásadami ochrany aplikací vytvořenými v Microsoft Intune.
Organizace si můžou tuto zásadu nasadit pomocí následujících kroků nebo pomocí šablon podmíněného přístupu.
- Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
- Přejděte k podmíněnému přístupu k ochraně>.
- Vyberte Vytvořit novou zásadu.
- Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
- V části Přiřazení vyberte Uživatelé nebo identity úloh.
- V části Zahrnout vyberte Možnost Všichni uživatelé.
- V části Vyloučit vyberte Uživatelé a skupiny a vyloučíte aspoň jeden účet, abyste se vyhnuli uzamčení. Pokud žádné účty nevyloučíte, nemůžete zásadu vytvořit.
- V části Cílové prostředky>(dříve cloudové aplikace)>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
- V části Platformy zařízení podmínek>nastavte možnost Konfigurovat na ano.
- V části Zahrnout vyberte platformy zařízení.
- Zvolte Android a iOS.
- Vyberte Hotovo.
- V části Řízení>přístupu udělte možnost Udělit přístup.
- Vyberte Vyžadovat schválenou klientskou aplikaci a Vyžadovat zásadu ochrany aplikací.
- U více ovládacích prvků vyberte Vyžadovat jeden z vybraných ovládacích prvků.
- Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
- Pokud chcete zásadu povolit, vyberte Vytvořit .
Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.
Tip
Organizace by také měly nasadit zásadu, která blokuje přístup z nepodporovaných nebo neznámých platforem zařízení spolu s touto zásadou .
Blokování protokol Exchange ActiveSync na všech zařízeních
Tato zásada blokuje všechny klienty protokol Exchange ActiveSync, kteří používají základní ověřování, aby se připojili k Exchangi Online.
- Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
- Přejděte k podmíněnému přístupu k ochraně>.
- Vyberte Vytvořit novou zásadu.
- Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
- V části Přiřazení vyberte Uživatelé nebo identity úloh.
- V části Zahrnout vyberte Možnost Všichni uživatelé.
- V části Vyloučit vyberte Uživatelé a skupiny a vyloučíte aspoň jeden účet, abyste se vyhnuli uzamčení. Pokud žádné účty nevyloučíte, nemůžete zásadu vytvořit.
- Vyberte Hotovo.
- V části Cílové prostředky>(dříve cloudové aplikace)>Zahrnout vyberte Vybrat prostředky.
- Vyberte Office 365 Exchange Online.
- Zvolte Zvolit.
- V části Podmínky>Klientské aplikace nastavte možnost Konfigurovat na ano.
- Zrušte zaškrtnutí všech možností kromě protokol Exchange ActiveSync klientů.
- Vyberte Hotovo.
- V části Řízení>přístupu udělte možnost Udělit přístup.
- Vyberte Vyžadovat zásady ochrany aplikací.
- Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
- Pokud chcete zásadu povolit, vyberte Vytvořit .
Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.