Voorwaardelijke toegang: goedgekeurde client-apps of app-beveiligingsbeleid vereisen

Mensen hun mobiele apparaten regelmatig gebruiken voor zowel persoonlijke als werktaken. Hoewel het personeel productief kan zijn, willen organisaties ook voorkomen dat gegevens verloren gaan van toepassingen op apparaten die ze mogelijk niet volledig beheren.

Met voorwaardelijke toegang kunnen organisaties de toegang beperken tot goedgekeurde (moderne verificatie geschikte) client-apps met Intune app-beveiligingsbeleid. Voor oudere client-apps die mogelijk geen app-beveiligingsbeleid ondersteunen, kunnen beheerders de toegang tot goedgekeurde client-apps beperken.

Waarschuwing

App-beveiliging-beleid wordt alleen ondersteund op iOS en Android.

Niet alle toepassingen die worden ondersteund als goedgekeurde toepassingen of ondersteuning bieden voor beleidsregels voor toepassingsbeveiliging. Zie App-beveiliging beleidsvereiste voor een lijst met enkele algemene client-apps. Als uw toepassing daar niet wordt vermeld, neemt u contact op met de ontwikkelaar van de toepassing.

Als u goedgekeurde client-apps voor iOS- en Android-apparaten wilt vereisen, moeten deze apparaten zich eerst registreren in Azure AD.

Notitie

'Een van de geselecteerde besturingselementen vereisen' onder Besturingselementen voor verlenen is net als een OR-component. Dit wordt gebruikt in beleid om gebruikers in staat te stellen apps te gebruiken die ondersteuning bieden voor het beleid voor app-beveiliging vereisen of goedgekeurde besturingselementen voor het verlenen van client-apps vereisen . Beveiligingsbeleid voor apps vereisen wordt afgedwongen wanneer de app ondersteuning biedt voor het verlenen van beheer.

Zie het artikel App-beveiliging beleidsoverzicht voor meer informatie over de voordelen van het gebruik van app-beveiligingsbeleid.

Beleid voor voorwaardelijke toegang maken

De onderstaande beleidsregels worden in de modus Alleen rapporteren geplaatst om te starten, zodat beheerders de impact kunnen bepalen die ze hebben op bestaande gebruikers. Wanneer beheerders vertrouwd zijn met het toepassen van het beleid zoals ze willen, kunnen ze overschakelen naar Aan of de implementatie faseren door specifieke groepen toe te voegen en anderen uit te sluiten.

Goedgekeurd client-apps of app-beveiligingsbeleid vereisen met mobiele apparaten

Met de volgende stappen kunt u een beleid voor voorwaardelijke toegang maken waarvoor een goedgekeurde client-app of een app-beveiligingsbeleid is vereist wanneer u een iOS-/iPadOS- of Android-apparaat gebruikt. Dit beleid voorkomt ook het gebruik van Exchange ActiveSync clients met basisverificatie op mobiele apparaten. Dit beleid werkt samen met een app-beveiligingsbeleid dat is gemaakt in Microsoft Intune.

Organisaties kunnen ervoor kiezen om dit beleid te implementeren met behulp van de onderstaande stappen of met behulp van de sjablonen voor voorwaardelijke toegang (preview).

  1. Meld u aan bij de Azure Portal als globale beheerder, beveiligingsbeheerder of beheerder voor voorwaardelijke toegang.
  2. Blader naarvoorwaardelijke toegang voorAzure Active Directory-beveiliging>>.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.
  5. Selecteer onder Toewijzingengebruikers- of workloadidentiteiten.
    1. Selecteer onder Opnemenalle gebruikers.
    2. Selecteer onder Uitsluitengebruikers en groepen en sluit ten minste één account uit om te voorkomen dat uzelf wordt vergrendeld. Als u geen accounts uitsluit, kunt u het beleid niet maken.
  6. Selecteer onder Cloud-apps of -actiesalle cloud-apps.
  7. Stel Onder Voorwaarden>apparaatplatformenconfigureren in op Ja.
    1. Selecteer apparaatplatformen onder Opnemen.
    2. Kies Android en iOS
    3. Selecteer Gereed.
  8. SelecteerToegang verlenen onder Toegangsbeheer>verlenen.
    1. Selecteer Goedgekeurde client-app vereisen en app-beveiligingsbeleid vereisen
    2. Selecteer Voor meerdere besturingselementeneen van de geselecteerde besturingselementen vereisen
  9. Bevestig uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  10. Selecteer Maken om uw beleid in te schakelen.

Nadat u uw instellingen hebt bevestigd met behulp van de modus Alleen-rapport, kan een beheerder de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Exchange ActiveSync op alle apparaten blokkeren

Dit beleid blokkeert alle Exchange ActiveSync clients die basisverificatie gebruiken om verbinding te maken met Exchange Online.

  1. Meld u aan bij de Azure Portal als globale beheerder, beveiligingsbeheerder of beheerder voor voorwaardelijke toegang.
  2. Blader naarvoorwaardelijke toegang voorAzure Active Directory-beveiliging>>.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.
  5. Selecteer onder Toewijzingengebruikers- of workloadidentiteiten.
    1. Selecteer onder Opnemenalle gebruikers.
    2. Selecteer onder Uitsluitengebruikers en groepen en sluit ten minste één account uit om te voorkomen dat uzelf wordt vergrendeld. Als u geen accounts uitsluit, kunt u het beleid niet maken.
    3. Selecteer Gereed.
  6. Selecteer onder Cloud-apps of -actiesde optie Apps selecteren.
    1. Selecteer Office 365 Exchange Online.
    2. Kies Selecteren.
  7. Stel onderVoorwaarden-client-apps>configureren in op Ja.
    1. Schakel alle opties behalve Exchange ActiveSync clients uit.
    2. Selecteer Gereed.
  8. SelecteerToegang verlenen onder Toegangsbeheer>verlenen.
    1. Beveiligingsbeleid voor apps vereisen selecteren
  9. Bevestig uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  10. Selecteer Maken om uw beleid in te schakelen.

Nadat u uw instellingen hebt bevestigd met behulp van de modus Alleen-rapport, kan een beheerder de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Volgende stappen

Overzicht van App-beveiligingsbeleid

Algemeen beleid voor voorwaardelijke toegang

Aanmeldingsgedrag simuleren met het hulpprogramma What If voor voorwaardelijke toegang