Obs!
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Når du har konfigurert og distribuert funksjonene i Intune, lagt til appene du vil administrere til Intune, og konfigurert appene du administrerer i Intune, kan du starte prosessen med å opprette policyer for appbeskyttelse. Appbeskyttelse policyer (APP) er regler som sikrer at organisasjonens data forblir trygge og finnes i en administrert app. Disse policyene fremtvinger hvordan sluttbrukerne får tilgang til og flytter «firmadata», samt hvordan du kontrollerer handlinger som er forbudt eller overvåket når sluttbrukere bruker appen. Med denne håndhevelsen kan du kontrollere hvordan data åpnes og deles av apper på mobile enheter i organisasjonen.
Innholdet i denne løsningen hjelper deg med å forstå de ulike aspektene ved appbeskyttelse for hver av de støttede plattformene. I tillegg vil denne løsningen veilede deg gjennom oppretting av appbeskyttelsespolicyer basert på våre anbefalte innstillinger for grunnleggende, forbedret og appbeskyttelse på høyt nivå.
Administrerte apper er apper som du har tilordnet til brukere via en leverandør for administrasjon av enhetlig endepunkt, for eksempel Intune. Administrerte apper støtter appbeskyttelsespolicyer samt policyer for appkonfigurasjon. Disse appene bruker administrasjon av mobilprogrammer (MAM) som leveres av den enhetlige administrasjonsleverandøren for endepunkt. MAM gjør det mulig for organisasjoner å administrere og beskytte dataene sine i et program. En administrert app i Intune er en beskyttet app som har intune appbeskyttelsespolicyer brukt på den og er tilordnet og administrert av Intune. En administrert app har enten integrert Intune App SDK eller blitt brutt ved hjelp av Intune Wrapping Tool for å støtte appbeskyttelsespolicyer (APP) og/eller konfigurasjonspolicyer for apper. Du kan bruke MAM-policyer til å konfigurere og beskytte apper på uadministrerte enheter, som er sluttbrukerens personlige enheter som ikke er MDM-registrert i Intune.
Tips
Hvis du vil ha informasjon om når du bør vurdere å distribuere MAM-policyer, kan du se Overføringsveiledning: Konfigurere eller flytte til Microsoft Intune.
Bruk av policyer for appbeskyttelse gir fordelen av å beskytte organisasjonens data på appnivå. For sluttbrukere påvirkes ikke produktiviteten, og policyer for appbeskyttelse gjelder ikke når sluttbrukere bruker appen i en personlig kontekst. Det finnes flere situasjoner der du vanligvis bør bruke policyer for appbeskyttelse. Hvis sluttbrukerne for eksempel bruker sin personlige enhet, kan det hende du vil bruke en policy for appbeskyttelse til å kontrollere tilgangen til appen ved hjelp av en PIN-kode. Du vil kanskje håndheve begrensninger for datadeling om at organisasjonens data ikke deles med ikke-administrerte apper. Det kan også hende du vil hindre sluttbrukere i å lagre organisasjonsdata til personlige plasseringer. Hvis du vil ha mer informasjon, kan du se Fordeler ved å bruke Appbeskyttelse policyer.
Viktig
Du kan bruke Intune til å håndheve en nulltillit sikkerhetsstrategi for organisasjonen. nulltillit er en tilnærming til bruk når du utformer og implementerer et sett med sikkerhetsprinsipper. Hvis du vil ha mer informasjon, kan du se nulltillit med konfigurasjoner for Microsoft Intune og nulltillit identitet og enhetstilgang.
Organisasjoner kan bruke appbeskyttelsespolicyer med og uten mobile Enhetsbehandling (MDM) samtidig. Vurder for eksempel en sluttbruker (ansatt eller organisasjonsmedlem) som bruker både en telefon utstedt av firmaet og sitt eget personlige nettbrett. Organisasjonens utstedte telefon er registrert i MDM og beskyttet av appbeskyttelsespolicyer, mens den personlige enheten bare er beskyttet av policyer for appbeskyttelse.
Støttede plattformer
Det finnes tre primære plattformer som støttes når du oppretter en policy for appbeskyttelse i Intune.
| Plattform | Beskrivelse |
|---|---|
| iOS/iPadOS | Du kan bruke appbeskyttelsespolicyer på iOS/iPadOS-apper som er utviklet for å støtte appbeskyttelsesfunksjoner i Intune. Du kan bruke appbeskyttelse på grupper med brukere som logger på iOS-/iPadOS-enheter. Du kan spesifikt bruke appbeskyttelse basert på databeskyttelse, tilgangskrav og betingede lanseringsinnstillinger i en policy for appbeskyttelse for iOS/iPadOS. Hvis du vil ha mer informasjon, kan du se policyinnstillinger for appbeskyttelse i iOS i Microsoft Intune. |
| Android | Du kan bruke appbeskyttelsespolicyer på Android-apper som er utviklet for å støtte Intune App Protection-funksjoner. Du kan bruke appbeskyttelse på grupper med brukere som logger på Android-enheter. Du kan spesifikt bruke appbeskyttelse basert på databeskyttelse, tilgangskrav og betingede lanseringsinnstillinger i en policy for appbeskyttelse for Android. Hvis du vil ha mer informasjon, kan du se policyinnstillinger for beskyttelse av Android-apper i Microsoft Intune. |
| Windows | For øyeblikket kan du bruke appbeskyttelsespolicyer på Microsoft Edge for Windows-enheter. Ved hjelp av Microsoft Edge kan du kontrollere hvordan organisasjonens data åpnes. Du kan bruke appbeskyttelse på grupper med brukere som logger på Windows-enheter. Du kan spesifikt bruke appbeskyttelse basert på innstillinger for databeskyttelse og tilstandskontroller i en policy for appbeskyttelse for Windows. Med innstillinger for databeskyttelse kan du kontrollere hvordan dataflyttingen flyttes inn og ut av organisasjonens kontekst (org). Organisasjonskonteksten defineres av dokumenter, tjenester og nettsteder som åpnes av den angitte organisasjonskontoen. Du kan bruke policyinnstillingene for appbeskyttelse til å kontrollere eksterne data som mottas i organisasjonskonteksten, og organisasjonsdata som sendes ut av organisasjonskonteksten. Disse innstillingene omfatter mottak og sending av organisasjonsdata. Du kan også implementere DLP-kontroller (Data Loss Prevention), for eksempel begrensninger for klippe ut, kopiere, lime inn og lagre som. I tillegg kan du tillate eller blokkere utskrift av organisasjonsdata. Hvis du vil ha mer informasjon, kan du se Appbeskyttelse policyinnstillinger for Windows. |
Hvis du vil ha mer informasjon om støttede plattformer, kan du se appadministreringsfunksjoner etter plattform.
Apper som støttes
For iOS-/iPadOS- og Android-plattformer kan du bruke appbeskyttelsespolicyer på alle administrerte apper som er utviklet for å støtte intune-appbeskyttelsesfunksjoner. Den administrerte appen har enten integrert Intune App SDK eller blitt brutt ved hjelp av Intune App Wrapping Tool. For Windows-plattformen kan du aktivere databeskyttelse av firmadata på personlige Windows-enheter ved hjelp av Windows MAM. Windows MAM er stedet der du bruker policyer for appbeskyttelse på Microsoft Edge for Windows. Microsoft Edge, i tillegg til de fleste Microsoft-programmer, har blitt integrert for å støtte Intune ved hjelp av Intune App SDK. Hvis du vil ha en liste over apper som inkluderer SDK-integrering, kan du se Microsoft Intune beskyttede apper.
Forutsetninger
Før du kan beskytte apper med Microsoft Intune, må du følge noen forutsetninger for å konfigurere Intune, samt forstå viktige konfigurasjoner for appadministrasjon.
Obs!
Hvis du ikke har brukt Intune før, kan du starte med Microsoft Intune gratis prøveversjon. Å prøve Intune er gratis i 30 dager. Når du har fullført registreringsprosessen, har du en ny leier som du kan bruke til å evaluere Intune. En leier er en dedikert forekomst av Microsoft Entra ID (Microsoft Entra ID) der abonnementet på Intune driftes. Deretter kan du konfigurere leieren, som omfatter mange funksjoner som du kan bruke til å beskytte organisasjonen. Ett av disse innebærer å legge til og konfigurere apper for Intune.
Følg disse trinnene hvis du ikke allerede har konfigurert Intune og lagt til appene du trenger for å administrere og beskytte:
- Konfigurere og distribuere Intune
- Forstå programbeskyttelse
- Forstå apptyper
- Legg til apper i Intune
Viktig
Hvis du vil bruke Microsoft Intune utover den gratis prøveperioden, må du skaffe deg en lisens fra Microsoft. Hvis du vil ha mer informasjon om lisenser som inkluderer Microsoft Intune, kan du se Microsoft Intune lisensiering.
Selv om mange apper du kan distribuere til medlemmene i organisasjonen er gratis, kan det hende at noen apper krever enten en lisens, et abonnement eller en konto for at hver bruker skal kunne bruke appen. Hvis du vil ha mer informasjon om applisenser, kan du se Forstå applisenser som brukes i Intune.
Appbeskyttelse
Appbeskyttelse kan brukes på støttede administrerte apper på støttede enhetsplattformer som enten er registrert med Microsoft Intune, registrert i en tredjeparts løsning for administrasjon av mobilenheter (MDM), eller som ikke er registrert i noen administrasjonsløsning for mobilenheter.
Når du oppretter en policy for appbeskyttelse, velger du følgende detaljer i følgende rekkefølge:
- Plattformen
- Appen du vil beskytte
- Innstillingene for databeskyttelse for appen
- Tilgangskravene for appen
- Innstillingene for betinget oppstart for appen
I tillegg til listen ovenfor kan du også velge omfangskoder og apptildelinger.
Viktig
Appen Intune firmaportal kreves på Android-enheter fordi den gjør det mulig for enhetsbrukere å motta policyer for appbeskyttelse som en enhetspolicykontroller. Det gjør det mulig for enhetsbrukere å motta appbeskyttelsespolicyer. Hvis du vil ha mer informasjon, kan du se Slik konfigurerer du Intune firmaportal-appene, firmaportal-nettstedet og Intune-appen og tilpasser og konfigurerer firmaportal.
Appbeskyttelse kategorier etter plattform
Ulike innstillinger for appbeskyttelse er tilgjengelige for hver støttet plattform. Det er viktig å erkjenne at iOS/iPadOS- og Android-plattformen har de samme appbeskyttelseskategoriene. Windows er imidlertid forskjellig. Windows-plattformen beskytter organisasjonsdata ved å administrere dataflyten gjennom Microsoft Edge til organisasjonens lagringsplasseringer.
Tips
Hvis du vil se hvor appbeskyttelse og samsvarspolicyer passer inn i den generelle Intune-arkitekturen, kan du se arkitektur på høyt nivå for Microsoft Intune.
Når du oppretter en policy for appbeskyttelse, velger du plattformen, appen som skal målrettes, i tillegg til de spesifikke innstillingene fra appbeskyttelseskategoriene.
Slik beskytter appbeskyttelsespolicyer appdata
Sluttbrukerne (medlemmer av organisasjonen) bruker mobile enheter for både personlige oppgaver og arbeidsoppgaver. Samtidig som du sørger for at sluttbrukerne kan være produktive, vil du hindre at organisasjonens data flyttes til steder der du ikke kan sikre dem, både for bevisste og utilsiktede situasjoner. Du bør også beskytte firmadata som er tilgjengelige fra enheter som ikke administreres av deg. Du kan bruke beskyttelsespolicyer for Intune-apper uavhengig av en hvilken som helst mdm-løsning (mobile device management). Denne uavhengigheten hjelper deg med å beskytte firmaets data med eller uten å registrere enheter i en enhetsbehandlingsløsning. Ved å implementere beskyttelsespolicyer på appnivå kan du begrense tilgangen til firmaressurser og holde data innenfor it-avdelingens oversikt.
Når apper brukes uten begrensninger, kan firma- og personopplysninger bli blandet inn. Firmadata kan ende opp på steder som personlig lagring eller overført til apper utover din purview og føre til tap av data. Tabellen nedenfor inneholder detaljer om data, enhet og appbeskyttelse.
| Data-, enhets- og appbeskyttelse | Beskrivelse |
|---|---|
| Apper uten appbeskyttelsespolicyer | Når apper brukes uten begrensninger, kan firma- og personopplysninger bli blandet inn. Firmadata kan ende opp på steder som personlig lagring eller overført til apper utover din purview og føre til tap av data. |
| Databeskyttelse med appbeskyttelsespolicyer | Du kan bruke Appbeskyttelse policyer for å hindre at firmadata lagres på enhetens lokale lagringsplass. Du kan også begrense dataflytting til andre apper som ikke er beskyttet av Appbeskyttelse policyer. |
| Databeskyttelse med appbeskyttelsespolicyer på administrerte enheter | Gir både app- og enhetsadministrasjon og beskyttelse. |
| Databeskyttelse med appbeskyttelsespolicyer for enheter uten registrering | Appbeskyttelse policyer kan bidra til å beskytte firmadata på appnivå. Det finnes imidlertid begrensninger knyttet til distribusjon av apper, klargjøring av enhetssertifikatprofiler og klargjøring av enhetsorganisasjonsinnstillinger. Du kan unngå disse begrensningene ved å registrere og administrere enhetene i Intune. |
Hvis du vil ha mer informasjon, kan du se Hvordan appbeskyttelsespolicyer beskytter appdata.
Hva er i denne løsningen
Denne løsningen hjelper deg med å forstå appdatabeskyttelse i Microsoft Intune. I tillegg gir denne løsningen anbefalte trinn for å opprette appbeskyttelsespolicyer i Intune for bestemte apper og tilordne disse policyene til medlemmer av organisasjonen. Når du har fullført forutsetningene ovenfor, er du klar til å opprette policyer for appbeskyttelse for organisasjonen i Intune. Bruk av konfigurasjons- og beskyttelsespolicyer som en del av appbehandlingsarbeidet gjør det mulig for medlemmer av organisasjonen å bruke apper på en trygg måte. Ved å administrere apper i organisasjonen bidrar du til å beskytte og sikre organisasjonens data.
Hvis du vil vite mer om appbeskyttelse i Intune, kan du se følgende emner:
- Forstå beskyttelse av appdata
- Forstå tilgangskrav for appbeskyttelse
- Forstå betinget oppstart av appbeskyttelse
- Forstå tilstandskontroller for appbeskyttelse
Hvis du vil følge de anbefalte innstillingene når du legger til policyer for appbeskyttelse i Intune, kan du se følgende emner:
- Bruk minimum databeskyttelse
- Bruk forbedret databeskyttelse
- Bruk høy databeskyttelse
- Forstå levering av appbeskyttelse
- Bekreft og overvåk appbeskyttelse
- Bruk appbeskyttelseshandlinger
Når du har fullført trinnene ovenfor, er du klar til å distribuere, administrere og overvåke de administrerte appene organisasjonen bruker.