将经批准的客户端应用迁移到条件访问中的应用保护策略

本文介绍了如何从经批准的客户端应用条件访问授权迁移到应用保护策略授权。 应用保护策略除了提供与经批准的客户端应用策略相同的数据丢失和保护之外,还具有其他优势。 如需详细了解使用应用保护策略的好处,请参阅应用保护策略概述一文。

经批准的客户端应用授权将于 2026 年 3 月初停用。 组织必须在 2026 年 3 月前将使用“需要经批准的客户端应用授权”控件的所有当前条件访问策略,迁移到“需要经批准的客户端应用”“应用保护策略”。 此外,如果是新的条件访问策略,请仅应用“需要应用保护策略授权”。

2026 年 3 月后,Microsoft 将不再强制要求实施经批准的客户端应用控制,就如同未选择此授权一样。 2026 年 3 月之前,使用以下步骤来保护组织的数据。

编辑现有条件访问策略

移动设备需要使用经批准的客户端应用或应用保护策略

若使用 iOS/iPadOS 或 Android 设备,可以借助以下步骤将现有的条件访问策略设置为需要使用经批准的客户端应用或应用保护策略。 此策略与 Microsoft Intune 中创建的应用保护策略协同工作。

组织可以选择使用以下步骤更新其策略。

  1. 以条件访问管理员、安全管理员或全局管理员的身份登录到 Azure 门户。
  2. 浏览到“Microsoft Entra ID”>“安全性”>“条件访问”。
  3. 选择使用经批准的客户端应用授予的策略。
  4. 在“访问控制” > “授权”下,选择“授权访问”。
    1. 选择“需要经批准的客户端应用”和“需要应用保护策略”
    2. 对于多个控件,选择“需要某一已选控件”
  5. 确认设置,然后将“启用策略”设置为“仅限报告”。
  6. 选择“创建”,以便创建启用策略所需的项目。

管理员在确认使用仅报告模式的设置后,可将“启用策略”切换开关从“仅报告”移至“开”。

对使用经批准的客户端应用授权的所有策略,重复上述步骤。

警告

并非所有应用程序都支持用作经批准的应用程序或支持应用程序保护策略。 有关某些常见客户端应用的列表,请参阅应用保护策略要求。 如果你的应用程序未在其中列出,请联系应用程序开发人员。

创建条件访问策略

移动设备需要应用保护策略

若使用 iOS/iPadOS 或 Android 设备,可以借助以下步骤创建条件访问策略,此过程需要使用经批准的客户端应用或应用保护策略。 此策略与 Microsoft Intune 中创建的应用保护策略协同工作。

组织可以选择使用以下步骤部署此策略。

  1. 以条件访问管理员、安全管理员或全局管理员的身份登录到 Azure 门户。
  2. 浏览到“Microsoft Entra ID”>“安全性”>“条件访问”。
  3. 选择“创建新策略”
  4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
  5. 在“分配”下,选择“用户或工作负载标识” 。
    1. 在“包括”下,选择“所有用户”。
    2. 在“排除”下,选择“用户和组”,并排除至少一个帐户,以防你被锁定。如果不排除任何帐户,就无法创建策略。
  6. 在“目标资源”>“资源(以前为云应用)”>“包括”下,选择“所有资源(以前为‘所有云应用’)”下
  7. “条件”>“设备平台”下,将“配置”设置为“是”。
    1. 在“包括”下,选择“设备平台” 。
    2. 选择“Android”和“iOS”
    3. 选择“完成”。
  8. “访问控制”>“授权”下,选择“授权访问”。
    1. 选择“需要经批准的客户端应用”和“需要应用保护策略”
    2. 对于多个控件,选择“需要某一已选控件”
  9. 确认设置,然后将“启用策略”设置为“仅限报告”。
  10. 选择“创建”,以便创建启用策略所需的项目。

管理员在确认使用仅报告模式的设置后,可将“启用策略”切换开关从“仅报告”移至“开”。

注意

如果应用不支持“需要应用保护策略”,则将会阻止最终用户试图访问该应用中的资源。

后续步骤

有关应用保护策略的更多信息,请参阅:

应用保护策略概述