Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Możesz użyć kombinacji usługi Microsoft Intune i dostępu warunkowego firmy Microsoft Entra, aby wymagać, aby urządzenia użytkowników spełniały określone wymagania dotyczące zabezpieczeń, zanim będą mogły łączyć się z usługą Azure Virtual Desktop, Windows 365 i Microsoft Dev Box. Takie podejście umożliwia wymuszanie wymagań dotyczących zabezpieczeń aplikacji systemu Windows w następujących scenariuszach:
| Platforma urządzeń | Zarządzanie urządzeniami w usłudze Intune |
|---|---|
| iOS/iPadOS | Zarządzane lub niezarządzane |
| Android¹ | Zarządzane lub niezarządzane |
| Przeglądarka sieci Web (tylko przeglądarka Microsoft Edge w systemie Windows) | Tylko niezarządzane |
- Nie obejmuje obsługi systemu operacyjnego Chrome.
Aby uzyskać informacje na temat używania zasad ochrony aplikacji z urządzeniami zarządzanymi i niezarządzanymi, zobacz Określanie docelowych zasad ochrony aplikacji na podstawie stanu zarządzania urządzeniami.
Niektóre ustawienia zasad, które można wymusić, obejmują wymaganie numeru PIN, określonej wersji systemu operacyjnego, blokowanie klawiatur innych firm oraz ograniczanie operacji wycinania, kopiowania i wklejania między innymi aplikacjami na lokalnych urządzeniach klienckich. Aby uzyskać pełną listę dostępnych ustawień, zobacz Uruchamianie warunkowe w ustawieniach zasad ochrony aplikacji systemu iOS i Uruchamianie warunkowe w ustawieniach zasad ochrony aplikacji systemu Android.
Po ustawieniu wymagań dotyczących zabezpieczeń, możesz również zarządzać, czy na urządzeniach z systemami iOS/iPadOS oraz Android ich lokalne zasoby, takie jak kamery, mikrofony, pamięć urządzenia i schowek są przekierowywane do sesji zdalnej. Wymaganie zgodności z zabezpieczeniami urządzeń lokalnych jest wymaganiem wstępnym do zarządzania ustawieniami przekierowywania urządzeń lokalnych. Aby dowiedzieć się więcej na temat zarządzania ustawieniami przekierowywania urządzeń lokalnych, zobacz Zarządzanie ustawieniami przekierowywania urządzeń lokalnych za pomocą usługi Microsoft Intune.
Na wysokim poziomie istnieją dwa obszary do skonfigurowania:
Zasady ochrony aplikacji usługi Intune: służy do określania wymagań dotyczących zabezpieczeń, które musi spełniać aplikacja i lokalne urządzenie klienckie. Za pomocą filtrów można kierować użytkowników na podstawie określonych kryteriów.
Zasady dostępu warunkowego: służy do kontrolowania dostępu do usług Azure Virtual Desktop i Windows 365 tylko wtedy, gdy są spełnione kryteria określone w zasadach ochrony aplikacji.
Wymagania wstępne
Aby wymagać zgodności z zabezpieczeniami lokalnego urządzenia klienckiego przy użyciu usługi Intune i dostępu warunkowego, potrzebne są następujące elementy:
Istniejąca pula hostów z hostami sesji lub komputerami w chmurze.
Co najmniej jedna grupa zabezpieczeń Microsoft Entra ID zawierająca użytkowników, do której mają zastosowanie zasady.
Tylko w przypadku urządzeń zarządzanych należy dodać każdą z następujących aplikacji, których chcesz użyć do usługi Intune:
- Aby uzyskać informacje o aplikacji systemu Windows w systemie iOS/iPadOS, zobacz Dodawanie aplikacji ze sklepu dla systemu iOS do usługi Microsoft Intune.
- W przypadku przeglądarki Microsoft Edge w systemie Windows zobacz Dodawanie przeglądarki Microsoft Edge dla systemu Windows 10/11 do usługi Microsoft Intune.
Lokalne urządzenie klienckie z jedną z następujących wersji aplikacji systemu Windows lub przy użyciu aplikacji systemu Windows w przeglądarce Microsoft Edge:
Aplikacja systemu Windows:
- iOS/iPadOS: 11.1.1 lub nowszy.
- System Android 1.0.0.161 lub nowszy.
Przeglądarka Microsoft Edge w systemie Windows: 134.0.3124.51 lub nowsza.
Ponadto na lokalnym urządzeniu klienckim potrzebna jest najnowsza wersja:
- iOS/iPadOS: Aplikacja Microsoft Authenticator
- Android: Portal firmy aplikację zainstalowaną w tym samym profilu co aplikacja systemu Windows dla urządzeń osobistych. Obie aplikacje muszą znajdować się albo w profilu osobistym, albo w profilu służbowym, nie jedna w każdym profilu.
Istnieje więcej wymagań wstępnych usługi Intune dotyczących konfigurowania zasad ochrony aplikacji i zasad dostępu warunkowego. Aby uzyskać więcej informacji, zobacz:
Tworzenie filtru
Tworząc filtr, można zastosować ustawienia zasad tylko wtedy, gdy kryteria ustawione w filtrze są zgodne, co pozwala zawęzić zakres przypisania zasad. Za pomocą aplikacji systemu Windows można użyć następujących filtrów:
iOS/iPadOS:
- Utwórz filtr zarządzanych aplikacji dla urządzeń niezarządzanych i zarządzanych.
- Utwórz filtr zarządzanych urządzeń dla urządzeń zarządzanych.
Android:
- Utwórz filtr zarządzanych aplikacji dla urządzeń niezarządzanych i zarządzanych.
Windows: filtry nie mają zastosowania do przeglądarki Microsoft Edge w systemie Windows.
Użyj filtrów, aby zawęzić zakres przypisania polityki. Tworzenie filtru jest opcjonalne; Jeśli nie skonfigurujesz filtru, te same ustawienia zgodności zabezpieczeń urządzeń i przekierowania urządzeń mają zastosowanie do użytkownika, niezależnie od tego, czy znajdują się one na zarządzanym lub niezarządzanym urządzeniu. To, co określisz w filtrze, zależy od wymagań.
Aby dowiedzieć się więcej o filtrach i sposobie ich tworzenia, zobacz Używanie filtrów podczas przypisywania aplikacji, zasad i profilów w usłudze Microsoft Intune iwłaściwościach filtru aplikacji zarządzanych.
Tworzenie zasad ochrony aplikacji
Zasady ochrony aplikacji umożliwiają kontrolowanie sposobu uzyskiwania dostępu do i udostępniania danych przez aplikacje i urządzenia. Należy utworzyć oddzielne zasady ochrony aplikacji dla systemów iOS/iPadOS, Android i Microsoft Edge w systemie Windows. Nie należy konfigurować zarówno systemów iOS/iPadOS, jak i Android w tych samych zasadach ochrony aplikacji, ponieważ nie można skonfigurować zasad docelowych na podstawie zarządzanych i niezarządzanych urządzeń.
Wybierz odpowiednią kartę.
Aby utworzyć i zastosować zasady ochrony aplikacji, wykonaj kroki opisane w temacie Jak utworzyć i przypisać zasady ochrony aplikacji oraz użyć następujących ustawień:
Utwórz zasady ochrony aplikacji dla systemu iOS/iPadOS.
Na karcie Aplikacje wybierz pozycję Wybierz aplikacje publiczne, wyszukaj i wybierz pozycję Aplikacja systemu Windows, a następnie wybierz pozycję Wybierz.
Na karcie Ochrona danych tylko następujące ustawienia są istotne dla aplikacji systemu Windows. Inne ustawienia nie mają zastosowania, ponieważ aplikacja systemu Windows współdziała z hostem sesji, a nie z danymi w aplikacji. Na urządzeniach przenośnych niezatwierdzone klawiatury są źródłem rejestrowania naciśnięć i kradzieży.
Możesz skonfigurować następujące ustawienia:
Parametr Wartość/opis Transfer danych Wysyłanie danych organizacji do innych aplikacji Ustaw na Brak aby włączyć ochronę przechwytywania ekranu. Aby uzyskać więcej informacji na temat ochrony przechwytywania ekranu w usłudze Azure Virtual Desktop, zobacz Włączanie ochrony ekranu w usłudze Azure Virtual Desktop. Ograniczanie wycinania, kopiowania i wklejania między innymi aplikacjami Ustaw wartość Zablokowane, aby wyłączyć przekierowywanie schowka pomiędzy aplikacją systemu Windows i urządzeniem lokalnym. Użyj z wyłączeniem przekierowania schowka w zasadach konfiguracji aplikacji. Klawiatury innych firm Ustaw wartość Zablokowane , aby zablokować klawiatury innych firm. Na karcie Uruchamianie warunkowe zalecamy dodanie następujących warunków:
Warunek Typ warunku Wartość Akcja Minimalna wersja aplikacji Warunek aplikacji Na podstawie wymagań. Wprowadź numer wersji aplikacji systemu Windows w systemie iOS/iPadOS Zablokuj dostęp Minimalna wersja systemu operacyjnego Warunek urządzenia Na podstawie wymagań. Zablokuj dostęp Podstawowa usługa MTD Warunek urządzenia Na podstawie wymagań.
Należy skonfigurować łącznik MTD. W przypadku usługi Microsoft Defender dla punktu końcowegoskonfiguruj usługę Microsoft Defender dla punktu końcowego w usłudze Intune.Zablokuj dostęp Maksymalny dozwolony poziom zagrożenia urządzenia Warunek urządzenia Zabezpieczone Zablokuj dostęp Aby uzyskać więcej informacji na temat dostępnych ustawień, zobacz Uruchamianie warunkowe w ustawieniach zasad ochrony aplikacji systemu iOS.
Na karcie Przypisania przypisz zasady do grupy zabezpieczeń zawierającej użytkowników, do których chcesz zastosować zasady. Aby zasady zostały zastosowane, należy zastosować je do grupy użytkowników. Dla każdej grupy możesz opcjonalnie wybrać filtr, aby bardziej precyzyjnie określić kierowanie zasadami konfiguracji aplikacji.
Tworzenie zasady dostępu warunkowego
Zasady dostępu warunkowego umożliwiają kontrolowanie dostępu do usług Azure Virtual Desktop, Windows 365 i Microsoft Dev Box na podstawie określonych kryteriów łączenia użytkownika i używanego urządzenia. Zalecamy utworzenie wielu zasad dostępu warunkowego w celu uzyskania szczegółowych scenariuszy na podstawie Twoich wymagań. Niektóre przykładowe zasady znajdują się w poniższych sekcjach.
Ważne
Uważnie zastanów się nad zakresem usług w chmurze, urządzeń i wersji aplikacji systemu Windows, z których użytkownicy mają mieć możliwość korzystania. Te przykładowe zasady dostępu warunkowego nie obejmują wszystkich scenariuszy i należy uważać, aby nie przypadkowo zablokować dostępu. Należy utworzyć zasady i dostosować ustawienia zgodnie z wymaganiami.
Aby utworzyć i zastosować zasady dostępu warunkowego, wykonaj kroki opisane w temacie Konfigurowanie zasad dostępu warunkowego opartego na aplikacji w usłudze Intune i skorzystaj z informacji i ustawień w poniższych przykładach.
Przykład 1: Zezwalaj na dostęp tylko wtedy, gdy zasady ochrony aplikacji są stosowane w aplikacji systemu Windows
Ten przykład umożliwia dostęp tylko wtedy, gdy zasady ochrony aplikacji są stosowane w aplikacji systemu Windows:
Dla Przypisań, pod Użytkownikami lub tożsamościami obciążeń wybierz 0 wybranych użytkowników lub tożsamości obciążeń, a następnie dodaj grupę bezpieczeństwa zawierającą użytkowników, do których ma być stosowana polityka. Aby zasady zostały zastosowane, należy zastosować je do grupy użytkowników.
W obszarze Zasoby docelowe wybierz opcję zastosowania zasad do zasobów, a następnie dla opcji Uwzględnij wybierz Wybierz zasoby. Wyszukaj i wybierz następujące zasoby. Masz tylko te zasoby, jeśli zarejestrowałeś odpowiednią usługę w swojej dzierżawie.
Nazwa zasobu Identyfikator aplikacji Notatki Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 Zamiast tego można go nazwać Windows Virtual Desktop . Zweryfikuj przy użyciu identyfikatora aplikacji. Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 Dotyczy również usługi Microsoft Dev Box. Logowanie do chmury systemu Windows 270efc09-cd0d-444b-a71f-39af4910ec45 Dostępne po zarejestrowaniu jednej z innych usług. W przypadku warunków:
- Wybierz pozycję Platformy urządzeń, w obszarze Konfiguruj wybierz pozycję Tak, a następnie w obszarze Uwzględnij wybierz pozycję Wybierz platformy urządzeń i zaznacz pozycję iOS i Android.
- Wybierz pozycję Aplikacje klienckie, w obszarze Konfiguruj wybierz pozycję Tak, a następnie zaznacz pozycję Aplikacje przeglądarkii aplikacje mobilne i klienci klasyczni.
W obszarze Kontrole dostępu w sekcji Przyznanie dostępu wybierz 0 kontrolek wybranych, a następnie zaznacz pole wyboru Wymagaj polityki ochrony aplikacji i wybierz przycisk opcji Wymagaj wszystkich wybranych kontrolek.
Dla opcji Włącz politykę, ustaw na Włączone.
Przykład 2. Wymaganie zasad ochrony aplikacji dla urządzeń z systemem Windows
Ten przykład ogranicza niezarządzane osobiste urządzenia z systemem Windows do używania przeglądarki Microsoft Edge do uzyskiwania dostępu do sesji zdalnej przy użyciu aplikacji systemu Windows tylko w przeglądarce internetowej. Aby uzyskać więcej informacji na temat tego scenariusza, zobacz Wymaganie zasad ochrony aplikacji dla urządzeń z systemem Windows.
Dla Przypisań, pod Użytkownikami lub tożsamościami obciążeń wybierz 0 wybranych użytkowników lub tożsamości obciążeń, a następnie dodaj grupę bezpieczeństwa zawierającą użytkowników, do których ma być stosowana polityka. Aby zasady zostały zastosowane, należy zastosować je do grupy użytkowników.
W obszarze Zasoby docelowe wybierz opcję zastosowania zasad do zasobów, a następnie dla opcji Uwzględnij wybierz Wybierz zasoby. Wyszukaj i wybierz następujące zasoby. Masz tylko te zasoby, jeśli zarejestrowałeś odpowiednią usługę w swojej dzierżawie.
Nazwa zasobu Identyfikator aplikacji Notatki Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 Zamiast tego można go nazwać Windows Virtual Desktop . Zweryfikuj przy użyciu identyfikatora aplikacji. Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 Dotyczy również usługi Microsoft Dev Box. Logowanie do chmury systemu Windows 270efc09-cd0d-444b-a71f-39af4910ec45 Dostępne po zarejestrowaniu jednej z innych usług. W przypadku warunków:
- Wybierz pozycję Platformy urządzeń, w obszarze Konfiguruj wybierz pozycję Tak, a następnie w obszarze Uwzględnij wybierz pozycję Wybierz platformy urządzeń i zaznacz pozycję Windows.
- Wybierz pozycję Aplikacje klienckie, w obszarze Konfiguruj wybierz pozycję Tak, a następnie zaznacz pozycję Przeglądarka.
W obszarze Kontrola dostępu wybierz pozycję Udziel dostępu, a następnie zaznacz pole wyboru Wymagaj zasad ochrony aplikacji i wybierz przycisk radiowy Wymagaj jednej z wybranych kontrolek.
Dla opcji Włącz politykę, ustaw na Włączone.
Sprawdzanie konfiguracji
Po skonfigurowaniu usługi Intune i dostępu warunkowego w celu wymagania zgodności z zabezpieczeniami urządzenia na urządzeniach osobistych możesz zweryfikować konfigurację, łącząc się z sesją zdalną. To, co należy przetestować, zależy od tego, czy skonfigurowane zasady mają być stosowane do zarejestrowanych lub nierejestrowanych urządzeń, które platformy i ustawienia ochrony danych zostały ustawione. Zweryfikuj, czy możesz wykonywać tylko te akcje, które odpowiadają Twoim oczekiwaniom.