在本文中,您將了解如何從核准的用戶端應用程式條件式存取授與移轉至應用程式保護原則授與。 應用程式保護原則提供與已核准用戶端應用程式原則相同的資料遺失和保護,但具有其他優點。 如需使用應用程式保護原則之優點的詳細資訊,請參閱 應用程式保護原則概觀一文。
已核准的客戶端應用程式授權將於 2026 年三月初期停止使用。 組織必須在 2026 年 3 月之前,將 只 使用 [需要核准的用戶端應用程式] 授與控制權的所有目前條件式存取原則,轉換為 [要求核准的用戶端應用程式 ] 或 [應用程式保護原則]。 此外,針對任何新的條件式存取原則,只會套用 [需要應用程式保護原則] 設定。
2026 年 3 月之後,Microsoft 會停止強制執行需要核准的用戶端應用程式控制,而且會如同未選取此授與一樣。 在 2026 年 3 月之前使用下列步驟來保護組織的資料。
編輯現有的條件式存取原則
使用行動裝置時需要已核准用戶端應用程式或應用程式保護原則
下列步驟使現有條件式存取原則在使用 iOS/iPadOS 或 Android 裝置時,需要核准的用戶端應用程式或應用程式保護原則。 此原則可與 Microsoft Intune 中建立的應用程式保護原則搭配使用。
組織可以選擇使用下列步驟來更新其原則。
- 以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>條件式存取>原則。
- 選擇使用核准的用戶端應用程式授權的政策。
- 在存取控制>授與下,選取授與存取權。
- 選取 [需要已核准的用戶端應用程式] 和 [需要應用程式保護原則]
- 針對多個控件,選取 [需要其中一個選取的控件]
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
使用 原則影響或僅限報告模式確認您的設定之後,請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。
請針對所有使用已核准的用戶端應用程式授權之政策重複前述步驟。
警告
並非所有支援為已核准應用程式的應用程式都支援應用程式保護原則。 如需一些常見用戶端應用程式的清單,請參閱 應用程式保護原則需求。 如果您的應用程式未列在該處,請聯絡應用程式開發人員。
建立條件式存取原則
需要應用程式保護原則來管理行動裝置
下列步驟可協助建立在使用 iOS/iPadOS 或 Android 裝置時需要核准的用戶端應用程式或應用程式保護原則的條件式存取原則。 此原則會與 Microsoft Intune 中建立的應用程式保護原則搭配運作。
組織可以選擇使用下列步驟來部署此原則。
- 以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>條件式存取>原則。
- 選取 [新增政策]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 底下,選取 [使用者和群組] 並排除至少一個帳戶,以防止自己遭到鎖定。若未排除任何帳戶,您就無法建立原則。
- 在 [目標資源資源>(先前為雲端應用程式)>包含] 下,選取 [所有資源] (先前為 [所有雲端應用程式]
- 在 [條件] >[裝置平台] 底下,將 [設定] 設定為 [是]。
- 在 [包含] 底下,選取 [裝置平台]。
- 選擇 [Android] 和 [iOS]
- 選取 [完成]。
- 在存取控制>授與下,選取授與存取權。
- 選取 [需要已核准的用戶端應用程式] 和 [需要應用程式保護原則]
- 針對多個控件,選取 [需要其中一個選取的控件]
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
使用 原則影響或僅限報告模式確認您的設定之後,請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。
注意
如果應用程式不支援 [需要應用程式保護原則],則會封鎖嘗試從該應用程式存取資源的使用者。
下一步
如需應用程式保護原則的詳細資訊,請參閱: