Ak používame Mobile Aplication Management v Intune, vieme že zoznam preddefinovaných aplikácií na ktoré vieme tieto politiky viazať je pomerne obmedzený a obsahuje najmä aplikácie Microsoft. Iste je tu možnosť pohrať sa s tým a pridať custom aplikáciu, ale tak zas, načo si komplikovať život? Ten nám dostatočne skomplikujú používatelia, keď im zapneme obmedzenie nižšie:-)
Úvaha je nasledujúca. Načo vytvárať a vynucovať protection politiky cez Intune, keď sa nám ľudia vedia prihlasovať cez aplikácie, na ktoré sa tieto politiky nevzťahujú.
Jednou z možností je vytvorenie conditional access politiky pre povolenie prístupu do O365 len cez povolené aplikácie. Zoznam týchto aplikácií spravuje Microsoft a priebežne sa obmieňa.
Politika by potom mohla vyzerať nejako takto. Zapneme si na akú aplikáciu/službu to chceme aplikovať. Ja som vybral iba Exchange, keďže chcem obmedziť používanie iba na Outlook
V Conditions vyberieme Device Platforms a do Include dáme Android a iOS. Pozor na Exclude, aby sme tam mali zaškrtnutý iba doplnok k Include, teda Windows, macOS a Linux.
V časti Grant zvolíme Grant access – Require approved client app, prípadne ak máme použité tak vyberieme aj voľbu pod tým – Require app protection policy.
Keďže sme odvážny, rovno zapneme.
Výsledok je potom taký že v sign-in logoch vidíme, že ak používateľ nepoužije na prístup k pošte Outlook, conditional access politika ho zablokuje
to oznámi aj pekným oznamom na zariadení.