可以使用 Microsoft Intune 和 Microsoft Entra 条件访问的组合,要求用户在连接到 Azure 虚拟桌面、Windows 365 和 Microsoft Dev Box 之前满足特定的安全要求。 通过此方法,可以在以下方案中强制实施 Windows 应用的安全要求:
| 设备平台 | Intune 设备管理 |
|---|---|
| iOS/iPadOS | 托管或非托管 |
| Android¹ | 托管或非托管 |
| Web 浏览器(仅在 Windows 上Microsoft Edge) | 仅限非托管 |
- 不包含对 Chrome OS 的支持。
有关对托管和非托管设备使用应用保护策略的信息,请参阅 基于设备管理状态的目标应用保护策略。
可以强制实施的一些策略设置包括要求输入PIN码、使用特定的操作系统版本、阻止第三方键盘,以及限制在本地客户端设备上的不同应用程序之间进行剪切、复制和粘贴操作。 有关可用设置的完整列表,请参阅 iOS 应用保护策略设置中的条件启动 和 Android 应用保护策略设置中的条件启动。
设置安全要求后,还可以管理 iOS/iPadOS 和 Android 设备上的本地资源(例如相机、麦克风、存储和剪贴板)是否重定向到远程会话。 要求本地设备安全符合性是管理本地设备重定向设置的先决条件。 若要详细了解如何管理本地设备重定向设置,请参阅 使用 Microsoft Intune 管理本地设备重定向设置。
概括而言,有两个要配置的区域:
Intune 应用保护策略:用于指定应用程序和本地客户端设备必须满足的安全要求。 可以使用筛选器根据特定条件面向用户。
条件访问策略:仅当满足应用保护策略中设置的条件时,才用于控制对 Azure 虚拟桌面和 Windows 365 的访问。
先决条件
在使用 Intune 和条件访问来要求本地客户端设备符合安全性之前,您需要:
具有会话主机或云电脑的主机池。
至少有一个包含用户以应用策略的 Microsoft Entra ID 安全组。
仅对于托管设备,您需要将以下每个想要使用的应用添加到 Intune:
- 对于 iOS/iPadOS 上的 Windows 应用,请参阅 将 iOS 应用商店应用添加到 Microsoft Intune。
- 有关 Windows 上的 Microsoft Edge,请参阅将适用于 Windows 10/11 的 Microsoft Edge 添加到 Microsoft Intune。
运行以下 Windows 应用版本之一或使用 Microsoft Edge 中的 Windows 应用的本地客户端设备:
Windows App:
- iOS/iPadOS:11.1.1 或更高版本。
- Android 1.0.0.161 或更高版本。
windows 上的 Microsoft Edge:134.0.3124.51 或更高版本。
此外,在本地客户端设备上,还需要最新版本:
- iOS/iPadOS:Microsoft Authenticator 应用
- Android:公司门户应用,安装在与适用于个人设备的 Windows App 相同的配置文件中。 需要将两个应用都置于个人配置文件或工作配置文件中,而不是在每个配置文件中放置一个。
配置应用保护策略和条件访问策略时,还有更多 Intune 先决条件。 有关详细信息,请参见:
创建筛选器
通过创建筛选器,只有在筛选器中设置的条件匹配时,才能应用策略设置,从而缩小策略的分配范围。 借助 Windows 应用,可以使用以下筛选器:
iOS/iPadOS:
- 为非托管和托管设备创建托管应用筛选器。
- 为托管设备创建托管设备筛选器。
Android:
- 为非托管和托管设备创建托管应用筛选器。
Windows:筛选器不适用于 Windows 上的 Microsoft Edge。
使用筛选器缩小策略的分配范围。 创建筛选器是可选的;如果未配置筛选器,则无论它们位于托管设备还是非托管设备上,相同的设备安全符合性和设备重定向设置都适用于用户。 在筛选器中指定的内容取决于你的要求。
若要了解筛选器以及如何创建筛选器,请参阅 在 Microsoft Intune 中分配应用、策略和配置文件时使用筛选器 和 托管应用筛选器属性。
创建应用保护策略
应用保护策略允许你控制应用和设备如何访问和共享数据。 需要在 Windows 上为 iOS/iPadOS、Android 和 Microsoft Edge 创建单独的 应用保护策略 。 不要在同一应用保护策略中配置 iOS/iPadOS 和 Android,因为无法基于托管和非托管设备配置策略目标。
选择相关选项卡。
若要创建和应用应用保护策略,请按照 “如何创建和分配应用保护策略 ”中的步骤作,并使用以下设置:
为 iOS/iPadOS 创建应用保护策略。
在“ 应用 ”选项卡上,选择 “选择公共应用”,搜索并选择 “Windows 应用”,然后选择“ 选择”。
在 “数据保护 ”选项卡上,只有以下设置与 Windows 应用相关。 当 Windows 应用与会话主机交互而不是应用中的数据时,其他设置不适用。 在移动设备上,未经批准的键盘是击键日志记录和盗窃的一个源头。
你可以配置以下设置:
参数 数值/描述 数据传输 将数据发送到其他应用 设置为 “无 ”以启用屏幕捕获保护。 有关 Azure 虚拟桌面中的屏幕捕获保护的详细信息,请参阅 “在 Azure 虚拟桌面中启用屏幕捕获保护”。 限制在其他应用之间进行剪切、复制和粘贴 设置为 “已阻止” 以禁用 Windows 应用和本地设备之间的剪贴板重定向。 在 应用配置策略中禁用剪贴板重定向时使用。 第三方键盘 设置为 “已阻止 ”以阻止第三方键盘。 在“有条件启动”选项卡上,建议添加以下条件:
条件 条件类型 价值 行动 最低应用版本 应用条件 根据你的要求。 在 iOS/iPadOS 上输入 Windows 应用的版本号 阻止访问 最低 OS 版本 设备条件 根据你的要求。 阻止访问 主要 MTD 服务 设备条件 根据你的要求。
必须设置 MTD 连接器。 对于 Microsoft Defender for Endpoint, 请在 Intune 中配置 Microsoft Defender for Endpoint。阻止访问 允许的最大设备威胁级别 设备条件 安全 阻止访问 有关可用设置的详细信息,请参阅 iOS 应用保护策略设置中的条件启动。
在“ 分配 ”选项卡上,将策略分配给安全组,其中包含要向其应用策略的用户。 必须将策略应用于用户组才能使策略生效。 对于每个组,可以选择一个筛选器,以便在确定应用配置策略目标时更具体。
创建条件访问策略
条件访问策略允许你根据用户连接的特定条件以及正在使用的设备来控制对 Azure 虚拟桌面、Windows 365 和 Microsoft Dev Box 的访问。 建议创建多个条件访问策略,以便根据要求实现精细方案。 以下部分列出了一些示例策略。
重要
仔细考虑希望用户能够使用的云服务、设备和版本的 Windows 应用的范围。 这些示例条件访问策略不涵盖所有方案,需要注意不要无意中阻止访问。 应根据要求创建策略并调整设置。
若要创建和应用条件访问策略,请按照 使用 Intune 设置基于应用的条件访问策略 中的步骤作,并使用以下示例中的信息和设置。
示例 1:仅当应用了 Windows 应用程序保护策略时,才允许访问
此示例仅允许在应用了 Windows 应用保护策略时进行访问:
对于 分配,在 “用户”或“工作负荷标识”下,选择 0 个用户或工作负荷标识,然后包括包含要向其应用策略的用户的安全组。 必须将策略应用于用户组才能使策略生效。
对于“目标资源”,选择将策略应用到“资源”,然后对于“包含”,选择“选择资源”。 搜索并选择以下资源。 只有在租户中注册了相关服务时,才拥有这些资源。
资源名称 应用程序 ID 注释 Azure 虚拟桌面 9cdead84-a844-4324-93f2-b2e6bb768d07 它可能改为称为 Windows 虚拟桌面 。 使用应用程序 ID 进行验证。 Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 也适用于 Microsoft Dev Box。 Windows 云登录 270efc09-cd0d-444b-a71f-39af4910ec45 注册其他服务之一后可用。 对于“条件”:
- 选择 “设备平台”,对于 “配置”,请选择“ 是”,然后在“ 包括”下 ,选择“选择设备平台 ”并检查 iOS 和 Android。
- 选择客户端应用,对于配置选择是,然后选中浏览器和移动应用和桌面客户端。
对于“访问控制”,请在“授予访问权限”下,选择0 个控件已选择,然后选中“需要应用保护策略”框,并选择“要求所有选定控件”的单选按钮。
对于“启用策略”,请将其设置为“开”。
示例 2:为 Windows 设备要求应用保护策略
此示例将非托管个人 Windows 设备限制为仅通过 Web 浏览器使用 Microsoft Edge,并使用 Windows 应用程序访问远程会话。 有关此方案的详细信息,请参阅 为 Windows 设备设定的应用保护策略。
对于 分配,在 “用户”或“工作负荷标识”下,选择 0 个用户或工作负荷标识,然后包括包含要向其应用策略的用户的安全组。 必须将策略应用于用户组才能使策略生效。
对于“目标资源”,选择将策略应用到“资源”,然后对于“包含”,选择“选择资源”。 搜索并选择以下资源。 只有在租户中注册了相关服务时,才拥有这些资源。
资源名称 应用程序 ID 注释 Azure 虚拟桌面 9cdead84-a844-4324-93f2-b2e6bb768d07 它可能改为称为 Windows 虚拟桌面 。 使用应用程序 ID 进行验证。 Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 也适用于 Microsoft Dev Box。 Windows 云登录 270efc09-cd0d-444b-a71f-39af4910ec45 注册其他服务之一后可用。 对于“条件”:
- 选择设备平台,对于配置,选择是,然后在包括下,选择设备平台并检查Windows。
- 选择 “客户端应用”,对于 “配置 ”,请选择“ 是”,然后选中 “浏览器”。
对于访问控制,请选择授予访问权限,然后选中需要应用保护策略框,并选择需要已选控件之一的单选按钮。
对于“启用策略”,请将其设置为“开”。
验证配置
配置 Intune 和条件访问以要求个人设备上的设备安全符合性后,可以通过连接到远程会话来验证配置。 应测试的内容取决于你是否配置了策略以应用于已注册或未注册的设备、设置的平台和数据保护设置。 验证是否只能执行与预期匹配的操作。