常用条件访问策略：需要经批准的客户端应用或应用保护策略

员工定期使用其移动设备执行个人和工作任务。 在确保员工能够高效工作的同时，组织还需要防止设备上的应用程序数据丢失，因为这些设备可能并未完全托管。

使用条件访问，组织可以限制对经批准（支持新式身份验证）的客户端应用的访问，这些客户端应用采用了 Intune 应用保护策略。 对于可能不支持应用保护策略的旧客户端应用，管理员可限制对经批准的客户端应用的访问。

如需详细了解使用应用保护策略的好处，请参阅应用保护策略概述一文。

创建条件访问策略

以下策略将在“仅限报告”模式下启用，以便管理员确定它们对现有用户的影响。 当管理员认为策略按预期应用时，可以通过添加特定组并排除其他组来切换到“开”或暂存部署。

移动设备需要使用经批准的客户端应用或应用保护策略

若使用 iOS/iPadOS 或 Android 设备，可以借助以下步骤创建条件访问策略，此过程需要使用经批准的客户端应用或应用保护策略。 此策略还将阻止在移动设备上使用应用基础身份验证的 Exchange ActiveSync 客户端。 此策略与 Microsoft Intune 中创建的应用保护策略协同工作。

组织可以选择使用下面概述的步骤或使用条件访问模板来部署此策略。

1. 以条件访问管理员、安全管理员或全局管理员的身份登录到 Azure 门户。
2. 浏览到“Microsoft Entra ID”>“安全性”>“条件访问”。
3. 选择“新策略” 。
4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
5. 在“分配”下，选择“用户或工作负载标识” 。
   1. 在“包括”下，选择“所有用户”。
   2. 在“排除”下，选择“用户和组”，并排除至少一个帐户，以防你被锁定。如果不排除任何帐户，就无法创建策略 。
6. 在“目标资源”>“云应用”>“包括”下，选择“所有云应用”。
7. 在“条件”>“设备平台”下，将“配置”设置为“是” 。
   1. 在“包括”下，选择“设备平台” 。
   2. 选择“Android”和“iOS”。
   3. 选择“完成”。
8. 在“访问控制” > “授权”下，选择“授权访问”。
   1. 选择“需要经批准的客户端应用”和“需要应用保护策略”
   2. 对于多个控件，选择“需要某一已选控件”
9. 确认设置，然后将“启用策略”设置为“仅限报告”。
10. 选择“创建” ，以便创建启用策略所需的项目。

管理员在确认使用仅报告模式的设置后，可将“启用策略”切换开关从“仅报告”移至“开”。

在所有设备上阻止 Exchange ActiveSync

此策略将阻止所有使用基础身份验证的 Exchange ActiveSync 客户端连接到 Exchange Online。

1. 以条件访问管理员、安全管理员或全局管理员的身份登录到 Azure 门户。
2. 浏览到“Microsoft Entra ID”>“安全性”>“条件访问”。
3. 选择“新策略” 。
4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
5. 在“分配”下，选择“用户或工作负载标识” 。
   1. 在“包括”下，选择“所有用户”。
   2. 在“排除”下，选择“用户和组”，并排除至少一个帐户，以防你被锁定。如果不排除任何帐户，就无法创建策略 。
   3. 选择“完成”。
6. 在“目标资源”>“云应用”>“包括”下，选择“选择应用”。
   1. 选择“Office 365 Exchange Online”。
   2. 选择“选择” 。
7. 在“条件”>“客户端应用”下，将“配置”设置为“是” 。
   1. 取消选中除“Exchange ActiveSync 客户端”之外的所有选项。
   2. 选择“完成”。
8. 在“访问控制” > “授权”下，选择“授权访问”。
   1. 选择“需要应用保护策略”
9. 确认设置，然后将“启用策略”设置为“仅限报告”。
10. 选择“创建” ，以便创建启用策略所需的项目。

管理员在确认使用仅报告模式的设置后，可将“启用策略”切换开关从“仅报告”移至“开”。

后续步骤

应用保护策略概述

条件访问常见策略

将经批准的客户端应用迁移到条件访问中的应用保护策略