排除应用程序

我们建议创建面向所有用户和所有资源（没有任何应用程序排除项）的基线多重身份验证策略，如 “要求所有用户进行多重身份验证 ”中所述。 排除某些应用程序时，当 所有资源策略具有应用排除时，条件访问行为 中描述的意外安全性和可用性后果。 应用程序（如 Microsoft 365 和 Microsoft Teams）依赖于在排除项时行为不可预知的多个服务。

建议按照下表中列出的顺序实施起点策略。 可随时为企业和专用安全级别的保护实施 MFA 策略。

使用以下任一方法，根据数据保护框架设置，在 Microsoft Intune 中为每个设备平台（iOS/iPadOS 和 Android）创建新的应用保护策略：

设备合规性策略

Intune 设备符合性策略定义设备符合性要求。 需要为每个电脑、手机或平板电脑平台创建策略。 以下部分介绍以下平台的建议：

创建设备符合性策略

按照以下步骤创建设备符合性策略：

有关分步指南，请参阅 Microsoft Intune 中创建合规性策略 。

iOS/iPadOS 的注册和合规性设置

iOS/iPadOS 支持多种注册方案，其中两种方案由此框架介绍：

如前所述，级别 2 映射到 起点 或 企业级 安全性，级别 3 映射到 专用 安全性。 有关详细信息，请参阅 零信任标识和设备访问配置 。

个人注册设备的合规性设置

自动设备注册的合规性设置

Android 的注册和合规性设置

Android Enterprise 支持多种注册方案，其中两种方案由此框架介绍：

Android Enterprise 安全配置框架被组织为多个不同的配置场景，而这些场景可为工作配置文件场景和完全托管场景提供指导。

如前所述，级别 2 映射到 起点 或 企业级 安全性，级别 3 映射到 专用 安全性。 有关详细信息，请参阅 零信任标识和设备访问配置 。

Android Enterprise 工作配置文件设备的合规性设置

Android Enterprise 完全托管设备的合规性设置

针对 Windows 10 及更高版本建议的合规性设置

按照 Intune 中 Windows 10/11 的设备符合性设置 中所述配置以下设置。 这些设置符合 零信任标识和设备访问权限配置 中概述的原则。

在 Intune 中创建应用保护策略和设备符合性策略后，可以使用条件访问策略启用强制实施。

需要根据登录风险执行 MFA

按照以下指南进行作： 要求对提升的登录风险进行多重身份验证 ，以创建需要基于登录风险进行多重身份验证的策略。

配置策略时，请使用以下风险级别：

按照以下指南进行操作： 使用条件访问阻止旧式身份验证 。

高风险用户必须更改密码

请遵循以下指南： 要求具有提升用户风险的用户进行安全密码更改 ，以确保具有泄露凭据的用户更改其密码。

将此策略与 Microsoft Entra 密码保护 一起使用，它可以检测和阻止已知的弱密码、其变体以及组织中的特定术语。 使用 Microsoft Entra 密码保护可确保更改后的密码更强。

要求使用已批准的应用或应用保护策略

需要创建条件访问策略，以强制实施在 Intune 中创建的应用保护策略。 强制实施应用保护策略需要条件访问策略 和 相应的应用保护策略。

若要创建需要已批准应用或应用保护的条件访问策略，请按照 要求批准的客户端应用或应用保护策略 中的步骤进行操作。 此策略仅允许受到应用保护策略保护的应用内帐户访问 Microsoft 365 端点。

阻止 iOS/iPadOS 和 Android 设备上的其他应用的旧式身份验证可确保这些设备无法绕过条件访问策略。 按照本文中的指南作，你已经 阻止了不支持新式身份验证的客户端 。

需要合规的电脑和移动设备

在启用此策略之前，请验证自己的设备是否合规。 否则，可能会被锁定，需要使用 紧急访问帐户 来恢复访问权限。

仅在确定设备符合 Intune 符合性策略后，才允许访问资源。 有关详细信息，请参阅 要求设备符合条件访问的要求 。

即使在策略中为 所有用户 和 所有云应用 选择 要求将设备标记为合规 ，也可将新设备注册到 Intune。 要求将设备标记为合规 ，不会阻止 Intune 注册或访问 Microsoft Intune Web 公司门户应用。

如果你的组织使用 Windows 订阅激活 使用户能够从一个版本的 Windows 升级到另一个版本，则应从设备符合性中排除通用应用商店服务 API 和 Web 应用程序（AppID：45a330b1-b1ec-4cc1-9161-9f03992aa49f）。

始终需要 MFA

按照本文中的指导要求所有用户进行 MFA： 要求所有用户进行多重身份验证 。