Villkorsstyrd åtkomst: Kräv godkända klientappar eller appskyddsprinciper

Personer regelbundet använda sina mobila enheter för både personliga uppgifter och arbetsuppgifter. Samtidigt som personalen kan vara produktiv vill organisationer också förhindra dataförlust från program på enheter som de kanske inte hanterar fullt ut.

Med villkorsstyrd åtkomst kan organisationer begränsa åtkomsten till godkända (moderna autentiseringskompatibla) klientappar med Intune appskyddsprinciper. För äldre klientappar som kanske inte stöder appskyddsprinciper kan administratörer begränsa åtkomsten till godkända klientappar.

Varning

Appskydd principer stöds endast på iOS och Android.

Inte alla program som stöds som godkända program eller har stöd för programskyddsprinciper. En lista över några vanliga klientappar finns i Appskydd principkrav. Kontakta programutvecklaren om programmet inte visas där.

För att kräva godkända klientappar för iOS- och Android-enheter måste dessa enheter först registreras i Azure AD.

Anteckning

"Kräv en av de valda kontrollerna" under bevilja kontroller är som en OR-sats. Detta används i principen för att göra det möjligt för användare att använda appar som stöder antingen principen Kräv appskydd eller Kräv godkända beviljandekontroller för klientappar . Kräv att appskyddsprincipen tillämpas när appen stöder den beviljande kontrollen.

Mer information om fördelarna med att använda appskyddsprinciper finns i artikeln Appskydd policyöversikt.

Skapa en princip för villkorlig åtkomst

Principerna nedan placeras i läget Endast rapport för att starta så att administratörer kan avgöra vilken inverkan de kommer att ha på befintliga användare. När administratörerna är bekväma med att principerna tillämpas som de vill kan de växla till eller mellanlagra distributionen genom att lägga till specifika grupper och exkludering av andra.

Kräv godkända klientappar eller appskyddsprinciper med mobila enheter

Följande steg hjälper dig att skapa en princip för villkorsstyrd åtkomst som kräver en godkänd klientapp eller en appskyddsprincip när du använder en iOS/iPadOS- eller Android-enhet. Den här principen förhindrar också användning av Exchange ActiveSync klienter som använder grundläggande autentisering på mobila enheter. Den här principen fungerar tillsammans med en appskyddsprincip som skapats i Microsoft Intune.

Organisationer kan välja att distribuera den här principen med hjälp av stegen nedan eller med hjälp av mallarna för villkorsstyrd åtkomst (förhandsversion).

  1. Logga in på Azure Portal som global administratör, säkerhetsadministratör eller administratör för villkorsstyrd åtkomst.
  2. Bläddra tillVillkorsstyrd åtkomst för Azure Active Directory Security>>.
  3. Välj Ny princip.
  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
    1. Under Inkludera väljer du Alla användare.
    2. Under Exkludera väljer du Användare och grupper och utesluter minst ett konto för att förhindra att du blir utelåst. Om du inte exkluderar några konton kan du inte skapa principen.
  6. Under Molnappar eller åtgärder väljer du Alla molnappar.
  7. Under Villkor>Enhetsplattformar anger du Konfigurera till Ja.
    1. Under Inkluderaväljer du enhetsplattformar.
    2. Välj Android och iOS
    3. Välj Klar.
  8. Under Åtkomstkontroller>Bevilja väljer du Bevilja åtkomst.
    1. Välj Kräv godkänd klientapp och Kräv appskyddsprincip
    2. För flera kontroller väljer du Kräv en av de valda kontrollerna
  9. Bekräfta inställningarna och ange Aktivera princip till Endast rapport.
  10. Välj Skapa för att skapa för att aktivera principen.

När du har bekräftat dina inställningar med rapportläge kan en administratör flytta växlingsknappen Aktivera princip från Endast rapport till .

Blockera Exchange ActiveSync på alla enheter

Den här principen blockerar alla Exchange ActiveSync klienter som använder grundläggande autentisering från att ansluta till Exchange Online.

  1. Logga in på Azure Portal som global administratör, säkerhetsadministratör eller administratör för villkorsstyrd åtkomst.
  2. Bläddra tillVillkorsstyrd åtkomst för Azure Active Directory Security>>.
  3. Välj Ny princip.
  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
    1. Under Inkludera väljer du Alla användare.
    2. Under Exkludera väljer du Användare och grupper och utesluter minst ett konto för att förhindra att du blir utelåst. Om du inte exkluderar några konton kan du inte skapa principen.
    3. Välj Klar.
  6. Under Molnappar eller åtgärder väljer du Välj appar.
    1. Välj Office 365 Exchange Online.
    2. Välj Välj.
  7. UnderVillkorsklientappar> anger du Konfigurera till Ja.
    1. Avmarkera alla alternativ utom Exchange ActiveSync klienter.
    2. Välj Klar.
  8. Under Åtkomstkontroller>Bevilja väljer du Bevilja åtkomst.
    1. Välj Kräv appskyddsprincip
  9. Bekräfta inställningarna och ange Aktivera princip till Endast rapport.
  10. Välj Skapa för att skapa för att aktivera principen.

När du har bekräftat dina inställningar med rapportläge kan en administratör flytta växlingsknappen Aktivera princip från Endast rapport till .

Nästa steg

Översikt över principer för appskydd

Vanliga principer för villkorlig åtkomst

Simulera inloggningsbeteende med hjälp av what if-verktyget för villkorsstyrd åtkomst