共用方式為

在 Windows 裝置上要求設置應用程式防護原則

應用程式保護原則會將 行動應用程式管理 (MAM) 套用至裝置上的特定應用程式。 這些政策讓你能在應用程式內保護像是自帶裝置(BYOD)等情境下的資料安全。

::一張瀏覽器截圖,顯示使用者必須登入 Microsoft Edge 個人檔案才能存取應用程式。

必要條件

  • 我們支援在執行 Windows 11 和 Windows 10 版本 20H2 和更新版本 (更新至 KB5031445) 的裝置上將原則套用至 Microsoft Edge 瀏覽器。
  • 設定一個針對 Windows 裝置的應用程式保護政策。 詳情請參閱 針對 Windows 裝置的已設定應用程式保護政策
  • 不支援主權雲端服務。

使用者排除

條件式存取原則是強大的工具。 建議您從政策中排除下列帳戶:

  • 緊急存取備援帳戶,以防止因為政策設定錯誤而導致鎖定。 在所有系統管理員都被鎖定的不太可能的情況下,您的緊急存取系統管理帳戶可用來登入和復原存取權。
  • 服務帳戶 和服務 主體,例如Microsoft Entra Connect 同步帳戶。 服務帳戶是未繫結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們來允許以程式設計方式存取應用程式,但也用於登入系統以進行系統管理。 服務主體所進行的呼叫不會受到範圍為使用者的條件式存取原則所封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
    • 如果您的組織在指令碼或程式碼中使用這些帳戶,請將其取代 為受控識別

建立條件式存取原則

先從 僅舉報模式 開始,讓管理員能檢查政策如何影響現有使用者。 當管理員確定政策如預期運作時,可以切換到 開啟 模式,或透過新增特定群組並排除其他群組來暫存部署。

要求 Windows 裝置的應用程式防護政策

請依照以下步驟建立條件存取政策,該政策在使用 Windows 裝置時需要應用程式保護政策,才能在條件存取中使用 Office 365 應用程式群組。 同時也要在 Microsoft Intune 中設定並指派應用程式保護政策給使用者。 關於建立應用程式保護政策的詳細資訊,請參閱 Windows 的應用程式保護政策設定。 此政策包含多項控制措施,允許裝置使用應用程式保護政策進行行動應用程式管理(MAM),或是被管理並符合行動裝置管理(MDM)政策。

提示

應用程式防護原則 (MAM) 支援非受控裝置:

  • 如果裝置已經透過行動裝置管理(MDM)管理,Intune MAM 註冊會被阻擋,應用程式保護政策設定也不會適用。
  • 如果裝置在 MAM 註冊後才變成受管理,應用程式保護政策設定就不會適用。
  1. 以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 Entra ID>條件式存取>原則
  3. 選取 新增政策
  4. 請為您的政策命名。 建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]
    1. 在 [包含] 下,選取 [所有使用者]
    2. 排除 下,選擇 使用者和群組,然後選擇您組織的緊急存取帳戶或「破窗」帳戶。
  6. [目標資源](先前稱為雲端應用程式)包含] 下,選取 [Office 365]
  7. 在 [條件] 底下:
    1. 在 [裝置平台]中,將 [配置] 設定為 [是]
      1. 在 [包含] 底下,選取 [裝置平台]
      2. 僅選擇 [Windows]
      3. 選取 [完成]。
    2. 在 [用戶端應用程式] 將 [設定] 設定為 [是]
      1. 僅選取 [瀏覽器]
  8. 在 [存取控制]>[授予]中,選取 [授予存取權]
    1. 選取 [要求應用程式保護原則 ] 和 [要求裝置標示為兼容]。
    2. 對於多個控制項,請選擇 「需要其中一個已選控制項」
  9. 確認您的設定,並將 [啟用原則] 設為 [報告專用]
  10. 選取 [建立] 以啟用您的原則。

注意

如果您設定為 [需要所有選取的控件 ],或只單獨使用 [需要應用程式保護原則 ] 控件,則必須確定您只以非受控裝置為目標,或裝置未受 MDM 管理。 否則,原則會封鎖所有應用程式的存取,因為它無法根據原則評估應用程式是否符合規範。

使用 原則影響或僅限報告模式確認您的設定之後,請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。

提示

組織應該部署一項政策,以封鎖來自不支援或未知裝置平臺的存取,並且另外部署此政策。

登入 Windows 裝置

當使用者第一次嘗試登入受應用程式保護原則保護的網站時,系統會提示他們:若要存取您的服務、應用程式或網站,您可能需要使用 username@domain.com 登入 Microsoft Edge,或登入您的裝置 organization

按一下 [切換 Edge 設定檔] 會開啟一個視窗,其中列出其公司或學校帳戶,以及 [登入以同步處理資料] 的選項。

截圖顯示 Microsoft Edge 跳出的視窗,要求使用者登入。

這個過程會開啟一個視窗,允許 Windows 記住你的帳號,並自動登入你的應用程式、網站和服務。 選擇 「是 」登入,並將裝置註冊到行動應用程式管理系統。

截圖顯示 MAM 註冊過程中的「保持登入」選項視窗,讓你在所有應用程式中保持登入狀態。

當選擇 「是」後,您可能會看到一個正在套用設定的進度視窗。 幾分鐘後,您應該會看到一個視窗,顯示 [全部設定完畢,已套用應用程式防護原則]

如果您的組織顯示以下 MDM 註冊選項,請選擇「否」。 選擇 「是 」會將您的裝置註冊到行動裝置管理(MDM),而非行動應用程式管理(MAM)。

顯示 MDM 註冊視窗的截圖。

提示

現在在公開預覽中,可以套用一個新屬性,在這個流程中 停用裝置管理 UX 畫面 ,但不會向終端使用者顯示 MDM 註冊的選項。 這可以減少因意外而導致阻止 MAM 註冊的 MDM 註冊。

疑難排解

常見問題

在某些情況下,在 [全部設定完畢] 頁面出現後,系統仍可能會提示您使用工作帳戶登入。 當以下情況發生時,此提示可能會出現:

  • 您的個人資料設定已新增至 Microsoft Edge,但 MAM 註冊仍在處理中。
  • 您的設定檔已新增至 Microsoft Edge,但您已在警告頁面中選擇「僅限此應用程式」。
  • 您已註冊 MAM,但您的註冊已過期,或不符合組織的需求。

若要解決這些可能的案例:

  • 請等候幾分鐘,然後在新的分頁再次嘗試。
  • 請連絡系統管理員,檢查 Microsoft Intune MAM 原則是否已正確套用至您的帳戶。

現有帳戶

有一個已知問題,其中有預先存在的未註冊帳戶,例如 Microsoft Edge 中的 user@contoso.com,或如果使用者在未使用提醒頁面註冊的情況下登入,則帳戶不會在 MAM 中正確註冊。 此設定會封鎖使用者在 MAM 中正確註冊。

下一步

  • Last updated on