您可以使用 Microsoft Intune 和 Microsoft Entra 條件式存取的組合,要求使用者裝置符合您的特定安全性需求,才能連線到 Azure 虛擬桌面、Windows 365 和 Microsoft Dev Box。 此方法可讓您在下列案例中強制執行 Windows 應用程式的安全性需求:
| 裝置平台 | Intune 裝置管理 |
|---|---|
| iOS/iPadOS | 託管或未託管 |
| Android | 託管或未託管 |
| 網頁瀏覽器 (Windows 上只有 Microsoft Edge) | 僅限未管理 |
- 不包含 Chrome OS 的支援。
如需有關搭配受控和非受控裝置使用應用程式保護原則的資訊,請參閱根據裝置管理狀態來設定應用程式保護原則。
您可以強制執行的一些原則設定包括要求 PIN、特定作系統版本、封鎖第三方鍵盤,以及限制本機用戶端裝置上其他應用程式之間的剪下、複製和貼上作業。 如需可用設定的完整清單,請參閱 iOS 應用程式保護原則設定中的條件式啟動 和 Android 應用程式保護原則設定中的條件式啟動。
設定安全性需求之後,您也可以管理 iOS/iPadOS 和 Android 裝置上的本機資源,例如相機、麥克風、記憶體和剪貼簿是否重新導向至遠端會話。 要求本機裝置符合安全性合規性是管理本機裝置重新導向設定的前提條件。 若要深入瞭解管理本機裝置重新導向設定,請參閱 使用 Microsoft Intune 管理本機裝置重新導向設定。
從高層次來看,有兩個領域需要設定:
Intune 應用程式保護原則:用來指定應用程式和本機用戶端裝置必須符合的安全性需求。 您可以使用篩選條件,根據特定準則將用戶設為目標。
條件式存取原則:只有在符合應用程式保護原則中設定的準則時,才能控制對 Azure 虛擬桌面和 Windows 365 的存取。
先決條件
在您可以使用 Intune 和條件式存取要求本機用戶端裝置安全性合規性之前,您需要:
具有工作階段主機或雲端電腦的現有主機集區。
至少有一個Microsoft Entra ID安全群組,其中包含需要套用原則的使用者。
針對僅限受控裝置,您需要將下列每個應用程式新增至 Intune:
- 如需 iOS/iPadOS 上的 Windows 應用程式,請參閱 將 iOS 市集應用程式新增至 Microsoft Intune。
- 如需 Windows 上的 Microsoft Edge,請參閱 將適用於 Windows 10/11 的 Microsoft Edge 新增至 Microsoft Intune。
在 Microsoft Edge 中執行下列其中一個版本的 Windows 應用程式或使用 Windows 應用程式的本機用戶端裝置:
Windows 應用程式:
- iOS/iPadOS:11.1.1 或更新版本。
- Android 1.0.0.161 或更新版本。
Microsoft Windows 上的 Edge:134.0.3124.51 或更新版本。
此外,在本機用戶端裝置上,您需要最新版本:
- iOS/iPadOS:Microsoft Authenticator 應用程式
- Android:公司入口網站 應用程式,安裝在與適用於個人裝置的 Windows 應用程式相同的配置檔中。 這兩個應用程式都必須位於個人配置檔或工作配置檔中,而不是每個配置檔中的一個。
設定應用程式保護政策和條件式存取政策時,需要滿足更多的 Intune 必要條件。 如需詳細資訊,請參閱:
建立篩選
藉由建立篩選,您只能在符合篩選條件中的準則時套用原則設定,讓您縮小原則的指派範圍。 透過 Windows 應用程式,您可以使用下列篩選:
iOS/iPadOS:
- 為非受控和受控裝置建立受控應用程式篩選。
- 建立管理裝置的篩選條件。
Android:
- 為非受控和受控裝置建立受控應用程式篩選。
Windows:篩選不適用於 Windows 上的 Microsoft Edge。
使用篩選來縮小原則的指派範圍。 建立篩選是選擇性的;如果您未設定篩選條件,則不論裝置是否位於受控或非受控裝置上,相同的裝置安全性合規性和裝置重新導向設定都會套用至使用者。 在篩選條件中指定的內容,取決於您的個人需求。
若要了解篩選條件及其建立方式,請參閱在 Microsoft intune 中指派應用程式、原則和設定檔時使用篩選條件與受控應用程式篩選屬性。
建立應用程式防護原則
應用程式保護原則可讓您控制應用程式和裝置如何存取和共享數據。 您必須為 Windows 上的 iOS/iPadOS、Android 和 Microsoft Edge 建立個別 的應用程式保護原則 。 請勿在相同的應用程式保護原則中設定 iOS/iPadOS 和 Android,因為您無法根據受控和非受控裝置設定原則目標。
選取相關的索引標籤。
若要建立及套用應用程式保護原則,請遵循 如何建立及指派應用程式保護原則 中的步驟,並使用下列設定:
建立 iOS/iPadOS 的應用程式保護原則。
在 [ 應用程式] 索引標籤上,選取 [ 選取公用應用程式],搜尋並選取 [Windows 應用程式],然後選取 [ 選取]。
在 [ 數據保護] 索引標籤上,只有下列設定與 Windows 應用程式相關。 當 Windows 應用程式與會話主機互動,而不是與應用程式中的數據互動時,其他設定不會套用。 在行動裝置上,未經核准的鍵盤是按鍵輸入記錄和竊取的源頭。
您可以設定下列設定:
參數 值/描述 資料傳輸 將組織數據傳送至其他應用程式 設定為 [無 ] 以啟用螢幕擷取保護。 如需 Azure 虛擬桌面中螢幕擷取保護的詳細資訊,請參閱 在 Azure 虛擬桌面中啟用螢幕擷取保護。 限制其他應用程式之間的剪下、複製和貼上 設定為 [封鎖] 以停用 Windows 應用程式與本機裝置之間的剪貼簿重新導向。 在 應用程式設定原則中停用剪貼簿重新導向時使用 。 第三方鍵盤 設定為 [封鎖 ] 以封鎖第三方鍵盤。 在 [條件式啟動] 索引標籤上,建議您新增下列條件:
狀況 條件類型 價值 行動 最低應用程式版本 應用程式條件 根據您的需求。 輸入 iOS/iPadOS 上 Windows 應用程式的版本號碼 封鎖存取 最低OS版本 裝置狀況 根據您的需求。 封鎖存取 主要 MTD 服務 裝置狀況 根據您的需求。
您必須設定 MTD 連接器。 針對適用於端點的 Microsoft Defender,請在 Intune 中設定適用於端點的 Defender Microsoft。封鎖存取 允許的裝置威脅等級上限 裝置狀況 安全的 封鎖存取 如需可用設定的詳細資訊,請參閱 iOS 應用程式保護原則設定中的條件式啟動。
在 指派 標籤上,將政策指定給包含您想要套用政策的使用者的安全群組。 您必須將原則套用至一組使用者,原則才會生效。 對於每個群組,您可以選擇性地選取篩選條件,以更具體地指定應用程式設定原則的目標。
建立條件式存取原則
條件式存取原則可讓您根據用戶連線的特定準則及其所使用的裝置,控制對 Azure 虛擬桌面、Windows 365 和Microsoft開發方塊的存取。 建議您建立多個條件式存取原則,以根據您的需求達成細微案例。 下列各節中有一些範例原則。
這很重要
請仔細考慮您希望用戶能夠使用的雲端服務、裝置和 Windows 應用程式版本範圍。 這些範例條件式存取原則未涵蓋所有案例,而且您必須小心不要不小心封鎖存取。 您應該根據需求建立原則並調整設定。
若要建立及套用條件式存取原則,請遵循 使用 Intune 設定以應用程式為基礎的條件式存取 原則中的步驟,並使用下列範例中的資訊和設定。
範例 1:只有在使用 Windows 應用程式套用應用程式保護原則時,才允許存取
此範例只有在使用 Windows 應用程式套用應用程式保護原則時,才允許存取:
針對 [指派],在 [使用者或工作負載身分識別] 底下,選取 0 個使用者或工作負載身分識別已選取,然後將包含套用此政策之使用者的安全性群組。 您必須將原則套用至一組使用者,原則才會生效。
針對 [目標資源],選取以將原則套用至 [資源],然後針對 [ 包含],選取 [ 選取資源]。 搜尋並選取下列資源。 只有在您在租用戶中註冊相關服務時,才會有這些資源。
資源名稱 應用程式識別碼 備註 Azure 虛擬桌面 9cdead84-a844-4324-93f2-b2e6bb768d07 它可能改為稱為 Windows 虛擬桌面 。 使用應用程式識別碼進行驗證。 Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 也適用於 Microsoft Dev Box。 Windows 雲端登入 270efc09-cd0d-444b-a71f-39af4910ec45 註冊其中一項其他服務后即可使用。 針對 [條件]:
- 選取 [裝置平臺],針對 [ 設定],選取 [ 是],然後在 [ 包含] 底下選取 [ 選取裝置平臺 ],然後檢查 iOS 和 Android。
- 選取 [用戶端應用程式],針對 [ 設定 ] 選取 [ 是],然後核取 [瀏覽器 ] 和 [行動應用程式] 和 [桌面用戶端]。
對於 訪問控制,在 授與存取 下選取 0 個控件已選取,然後勾選 要求應用程式保護原則 方塊,然後選取 要求所有選取的控件 的單選按鈕。
將 [啟用原則] 設定為 [開啟]。
範例 2:強制 Windows 裝置的應用程式保護原則
本範例會限制非受控個人 Windows 裝置,只使用網頁瀏覽器中的 Windows 應用程式,使用 Microsoft Edge 存取遠端工作階段。 如需這個情境的詳細資訊,請參閱 Windows 裝置的應用程式保護原則需求。
針對 [指派],在 [使用者或工作負載身分識別] 底下,選取 0 個使用者或工作負載身分識別已選取,然後將包含套用此政策之使用者的安全性群組。 您必須將原則套用至一組使用者,原則才會生效。
針對 [目標資源],選取以將原則套用至 [資源],然後針對 [ 包含],選取 [ 選取資源]。 搜尋並選取下列資源。 只有在您在租用戶中註冊相關服務時,才會有這些資源。
資源名稱 應用程式識別碼 備註 Azure 虛擬桌面 9cdead84-a844-4324-93f2-b2e6bb768d07 它可能改為稱為 Windows 虛擬桌面 。 使用應用程式識別碼進行驗證。 Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 也適用於 Microsoft Dev Box。 Windows 雲端登入 270efc09-cd0d-444b-a71f-39af4910ec45 註冊其中一項其他服務后即可使用。 針對 [條件]:
- 選取 [裝置平臺],針對 [ 設定],選取 [ 是],然後在 [ 包含] 底下選取 [ 選取裝置平臺 ],然後檢查 [Windows]。
- 選取 [用戶端應用程式],針對 [ 設定 ] 選取 [ 是],然後核取 [瀏覽器]。
針對 存取控制,選取 授予存取權,然後勾選 要求應用程式保護原則 的方塊,再選取 需要其中一個選取的控件 的單選按鈕。
將 [啟用原則] 設定為 [開啟]。
確認組態
由於您已將 Intune 和條件式存取設為要求個人裝置上的裝置安全性合規性,您可以通過遠端連線來驗證您的設定。 您應該測試的內容取決於您將原則設定為套用至已註冊或未註冊的裝置、您設定的平臺和數據保護設定。 請確認您只能執行符合預期的動作。