需要 Windows 设备的应用保护策略

应用保护策略将移动应用程序管理 (MAM) 应用于设备上的特定应用程序。 这些策略允许保护应用程序中的数据,从而支持自带设备 (BYOD) 等场景。

浏览器的屏幕截图,要求用户登录到Microsoft Edge 配置文件才能访问应用程序。

先决条件

排除用户

条件访问策略是功能强大的工具,建议从策略中排除以下帐户:

  • 紧急访问不受限帐户,用于防止因策略错误配置导致的锁定。 在极少数情况下,所有管理员都被锁定,这时可以使用紧急访问管理帐户登录,以采取措施来恢复访问。
  • 服务帐户服务主体,例如 Microsoft Entra Connect 同步帐户。 服务帐户是不与任何特定用户关联的非交互式帐户。 它们通常由后端服务使用,以便可以对应用程序进行编程访问,不过也会用于登录系统以进行管理。 范围限定为用户的条件访问策略将不会阻止由服务主体进行的调用。 对工作负载标识使用条件访问来定义面向服务主体的策略。
    • 如果组织在脚本或代码中使用这些帐户,请考虑将其替换为托管标识

创建条件访问策略

以下策略启动时设为仅限报告模式,以便管理员确定他们对现有用户的影响。 当管理员认为策略按预期方式应用时,可以通过添加特定组并排除其他组来切换到“开”或暂存部署。

要求适用于 Windows 设备的应用保护策略

以下步骤可帮助创建在使用 Windows 设备访问条件访问中的 Office 365 应用分组时需要某个应用保护策略的条件访问策略。 还必须配置应用保护策略并将其分配给 Microsoft Intune 中的用户。 若要详细了解如何创建应用保护策略,请参阅 Windows 的应用保护策略设置一文。 以下策略包括多种控制,使设备能够将应用保护策略用于移动应用管理 (MAM),或使设备能够接受管理并符合移动设备管理 (MDM) 策略。

提示

应用保护策略 (MAM) 支持非管理的设备:

  • 如果设备已通过移动设备管理 (MDM) 进行管理,会阻止 Intune MAM 注册,并且不会实施应用保护策略设置。
  • 如果设备在 MAM 注册后变为托管设备,则不再实施应用保护策略设置。
  1. 最低以条件访问管理员身份登录到 Azure 门户
  2. 浏览到“Microsoft Entra ID”>“安全性”>“条件访问”。
  3. 选择“创建新策略”。
  4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
  5. 在“分配”下,选择“用户或工作负载标识” 。
    1. 在“包括”下,选择“所有用户”。
    2. 在“排除”下,选择“用户和组”,并至少选择组织的紧急访问或不受限帐户。
  6. 在“目标资源”>“资源(以前为云应用)”>“包括”,选择“Office 365”。
  7. 在“条件”下,执行以下操作:
    1. 设备平台将“配置”设置为“是”。
      1. 在“包括”下,选择“设备平台” 。
      2. 选择“仅限Windows”。
      3. 选择“完成”。
    2. 客户端应用将“配置”设置为“是”。
      1. 选择“仅限浏览器”。
  8. 在“访问控制” > “授权”下,选择“授权访问”。
    1. 选择“需要应用保护策略”和“要求将设备标记为合规”。
    2. 对于多个控件,选择“需要某一已选控件”
  9. 确认设置,然后将“启用策略”设置为“仅限报告”。
  10. 选择“创建”,以便创建启用策略所需的项目。

管理员在确认使用仅报告模式的设置后,可将“启用策略”切换开关从“仅报告”移至“开”。

提示

除此策略外,组织还应部署一个策略以阻止来自不受支持或未知的设备平台的访问

登录到 Windows 设备

当用户首次尝试登录到受应用保护策略保护的站点时,他们会得到提示:要访问服务、应用或网站,可能需要使用 username@domain.com 登录到 Microsoft Edge,或者使用 organization 注册设备(如果已登录)。

点击“Switch Edge 配置文件”会打开窗口,其中列出了其工作或学校帐户以及“登录以同步数据”的选项。

屏幕截图显示了 Microsoft Edge 中的弹出窗口要求用户登录。

此过程会打开窗口,允许 Windows 记住你的帐户,并自动将你登录到应用和网站。

注意

必须清除允许组织管理我的设备”复选框。 如果选中此项,设备会注册到移动设备管理 (MDM) 而不是移动应用程序管理 (MAM) 中。

请勿选择“否,只登录此应用”。

屏幕截图显示了在所有应用窗口中保持登录状态。取消选中“允许组织管理我的设备”复选框。

选择“确定”后,可能会在应用策略时看到一个进度窗口。 片刻后,应会看到显示“已全部设置”的窗口,表示应用保护策略已应用。

疑难解答

常见问题

在一些情况下,获取“已全部设置”页面后,仍然可能提示你使用工作帐户登录。 以下情况可能会出现此提示:

  • 配置文件已添加到 Microsoft Edge,但 MAM 注册仍在处理中。
  • 配置文件已添加到 Microsoft Edge,但在提醒页面选择了“仅限此应用”。
  • 已注册到 MAM,但注册已过期或者你不符合组织要求。

要解决这些可能的情况:

  • 请等待几分钟,然后在新选项卡中重试。
  • 联系管理员,检查 Microsoft Intune MAM 策略正确应用于你的帐户。

现有帐户

如果存在已有预先存在的未注册帐户(例如 Microsoft Edge 中的 user@contoso.com)的问题,或者如果用户在未使用“提醒页面”注册的情况下登录,则表示该帐户未在 MAM 中正确注册。 此配置会阻止用户在 MAM 中正确注册。

后续步骤