通过

要求在 Windows 设备上实施应用保护策略

应用保护策略将移动应用程序管理 (MAM) 应用于设备上的特定应用程序。 通过这些策略,可以在应用程序中保护数据,例如自带设备(BYOD)。

::浏览器的屏幕截图,要求用户登录到其Microsoft Edge 配置文件以访问应用程序。

先决条件

  • 我们支持在运行 Windows 11 和 Windows 10 版本 20H2 及更高版本并安装了 KB5031445 的设备上,将策略应用于 Microsoft Edge 浏览器。
  • 设置面向 Windows 设备的应用保护策略。 有关详细信息,请参阅 面向 Windows 设备的已配置应用保护策略
  • 目前不支持主权云功能。

排除用户

条件访问策略是功能强大的工具。 建议从策略中排除以下帐户:

  • “紧急访问”帐户或“应急”帐户,用于防止因策略错误配置导致的锁定。 在所有管理员被锁定的可能性不大的情况下,紧急访问管理帐户可用于登录和恢复访问权限。
  • 服务帐户服务主体,例如 Microsoft Entra Connect 同步帐户。 服务帐户是未绑定到任何特定用户的非交互帐户。 它们通常由后端服务用来允许以编程方式访问应用程序,但它们也用于登录系统以实现管理目的。 由服务主体发出的调用不受范围限定为用户的条件访问策略阻止。 对工作负荷标识使用条件访问来定义面向服务主体的策略。
    • 如果你的组织在脚本或代码中使用这些帐户,请将这些帐户替换为 托管标识

创建条件访问策略

“仅报告”模式 开始,以便管理员可以检查策略如何影响现有用户。 当管理员确定策略按预期工作时,他们可以切换到 “开启”,或通过添加特定组和排除其他人来分阶段部署。

要求适用于 Windows 设备的应用保护策略

按照以下步骤创建条件访问策略,在使用 Windows 设备使用条件访问中的 Office 365 应用组时,需要应用保护策略。 此外,在 Microsoft Intune 中设置和分配应用保护策略。 有关创建应用保护策略的详细信息,请参阅 适用于 Windows 的应用保护策略设置。 此策略包括多个控件,这些控件允许设备使用应用保护策略进行移动应用程序管理(MAM),或者管理并符合移动设备管理(MDM)策略。

提示

应用保护策略 (MAM) 支持非管理的设备:

  • 如果设备已通过移动设备管理(MDM)进行管理,则会阻止 Intune MAM 注册,并且应用保护策略设置不适用。
  • 如果设备在 MAM 注册后变为托管状态,则应用保护策略设置将不适用。
  1. 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心
  2. 请导航到 Entra ID>条件访问>策略
  3. 选择“新策略”
  4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
  5. 在“分配”下,选择“用户或工作负载标识”。
    1. 在“包括”下,选择“所有用户”。
    2. 在“排除”下,选择“用户和组”,并选择组织的紧急访问或不受限帐户
  6. 在“目标资源”>“资源(以前为云应用)”>“包括”,选择“Office 365”。
  7. 在“条件”下,执行以下操作:
    1. 设备平台将“配置”设置为“是”。
      1. 在“包括”下,选择“设备平台”。
      2. 选择“仅限Windows”。
      3. 选择“完成”。
    2. 客户端应用将“配置”设置为“是”。
      1. 仅选择“浏览器”
  8. 在“访问控制”>“授权”下,选择“授权访问”。
    1. 选择“需要应用保护策略”和“要求将设备标记为合规”。
    2. 对于多个控件,请选择“ 需要一个所选控件”
  9. 确认设置,然后将“启用策略”设置为“仅限报告”。
  10. 选择“创建”以启用策略。

注释

如果设置为“需要所有已选控件”或仅单独使用“需要应用保护策略”控件,需要确保仅针对未托管设备或设备非 MDM 托管。 否则,该策略将阻止访问所有应用程序,因为它无法根据策略评估应用程序是否符合要求。

使用 策略影响或仅报告模式确认设置后,将 “启用策略 ”切换从 “仅报告 ”移动到 打开”。

提示

除此策略外,组织还应部署一个策略以阻止来自不受支持或未知的设备平台的访问

登录到 Windows 设备

当用户首次尝试登录到受应用保护策略保护的站点时,他们会得到提示:要访问服务、应用或网站,可能需要使用 username@domain.com 登录到 Microsoft Edge,或者使用 organization 注册设备(如果已登录)。

点击“Switch Edge 配置文件”会打开窗口,其中列出了其工作或学校帐户以及“登录以同步数据”的选项。

显示Microsoft Edge 中要求用户登录的弹出窗口的屏幕截图。

此过程将打开一个窗口,允许 Windows 记住你的帐户,并自动登录到你的应用程序、网站和服务。 选择 “是 ”以在移动应用程序管理中登录和注册设备。

“保持登录状态”窗口的屏幕截图,适用于 MAM 注册的所有应用。

选择 “是”后,可能会在应用策略时看到进度窗口。 片刻后,会出现一个窗口,显示“已经完成全部设置”,表示应用保护策略已应用。

如果组织显示以下 MDM 注册选项,请选择 “否”。 选择 “是 ”将设备注册到移动设备管理(MDM),而不是移动应用程序管理(MAM)。

显示 MDM 注册窗口的屏幕截图。

提示

现在,在公共预览版中,可以应用在此流期间 禁用设备管理 UX 屏幕 的新属性,该属性不会显示向最终用户注册 MDM 的选项。 这可以减少意外的 MDM 注册,从而阻止 MAM 注册。

故障排除

常见问题

在某些情况下,在看到“已全部设置”页面后,你仍然可能会收到使用工作帐户登录的提示。 以下情况可能会出现此提示:

  • 配置文件已添加到 Microsoft Edge,但 MAM 注册仍在处理中。
  • 您的个人资料已添加到 Microsoft Edge,但您在提醒页面中选择了“仅限此应用”。
  • 已注册到 MAM,但注册已过期或者你不符合组织要求。

要解决这些可能的情况:

  • 请等待几分钟,然后在新选项卡中重试。
  • 联系管理员,检查 Microsoft Intune MAM 策略正确应用于你的帐户。

现有帐户

如果存在已有预先存在的未注册帐户(例如 Microsoft Edge 中的 user@contoso.com)的问题,或者如果用户在未使用“提醒页面”注册的情况下登录,则表示该帐户未在 MAM 中正确注册。 此配置会阻止用户在 MAM 中正确注册。

后续步骤

  • Last updated on