Dela via


Dataskydd för Windows MAM

Du kan aktivera skyddad mam-åtkomst (Mobile Application Management) till organisationsdata på personliga Windows-enheter. Den här funktionen använder följande funktioner:

  • Intune programkonfigurationsprinciper (ACP) för att anpassa organisationens användarupplevelse
  • Intune appskyddsprinciper (APP) för att skydda organisationsdata och säkerställa att klientenheten är felfri
  • Windows-säkerhet Center-klienthotskydd integrerat med Intune APP för att identifiera lokala hälsohot på personliga Windows-enheter
  • Villkorlig åtkomst för programskydd för att säkerställa att enheten är skyddad och felfri innan du beviljar åtkomst till skyddade tjänster via Microsoft Entra ID

Obs!

Intune Mobile Application Management (MAM) för Windows är tillgängligt för Windows 10, build 19045.3636, KB5031445 eller senare och Windows 11, version 10.0.22621.2506, KB5031455 (22H2) eller senare. Detta inkluderar stödändringar för Microsoft Intune (version 2309), Microsoft Edge (v117 stabil gren och senare för Windows 11 och v118.0.2088.71 och senare för Windows 11) och Windows-säkerhet Center (v 1.0.2310.2002 och senare). Villkorlig åtkomst för appskydd är allmänt tillgänglig.

Windows MAM stöds i myndighetsmolnmiljöer. Relaterad information finns i Distribuera appar med Intune på GCC High- och DoD-miljöer.

Mer information om MAM finns i Grundläggande om hantering av mobilprogram (MAM).

Obs!

MTD-anslutningsappen (Mobile Threat Defense) för komponenten Windows-säkerhet Center (WSC) stöds endast på Windows 11 version 22631 (23H2) eller senare.

Både slutanvändare och organisationer måste ha skyddad organisationsåtkomst från personliga enheter. Organisationer måste se till att företagsdata skyddas på personliga, ohanterade enheter. Som Intune administratör har du ansvaret att avgöra hur medlemmar (slutanvändare) i din organisation får åtkomst till företagsresurser på ett skyddat sätt från en ohanterad enhet. När du kommer åt organisationsdata måste du se till att de ohanterade enheterna är felfria, att programmen följer organisationens dataskyddsprinciper och att slutanvändarens ohanterade tillgångar på enheten inte påverkas av organisationens principer.

Som Intune administratör måste du ha följande apphanteringsfunktioner:

  • Möjlighet att distribuera appskyddsprinciper till appar/användare som skyddas av Intune APP SDK, inklusive följande:
    • Inställningar för dataskydd
    • Hälsokontroller (även kallade villkorsstyrda startinställningar)
  • Möjlighet att kräva appskyddsprinciper via villkorsstyrd åtkomst
  • Möjlighet att utföra ytterligare verifiering av klienthälsa via Windows-säkerhet center genom att göra följande:
    • Ange Windows-säkerhet Center-risknivå för att tillåta slutanvändare att komma åt företagsresurser
    • Konfigurera klientbaserad anslutningsapp till Microsoft Intune för Windows-säkerhet Center
  • Möjlighet att distribuera ett selektivt rensningskommando till skyddade program

Medlemmar i din organisation (slutanvändare) förväntar sig att ha följande funktioner för sina konton:

  • Möjlighet att logga in på Microsoft Entra ID för att få åtkomst till webbplatser som skyddas av villkorlig åtkomst
  • Möjlighet att verifiera hälsostatus för klientenheten, om en enhet anses vara skadad
  • Möjlighet att få åtkomst återkallad till resurser när en enhet förblir skadad
  • Möjlighet att bli informerad, med tydliga reparationssteg, när åtkomsten styrs av en administratörsprincip

Obs!

Information om Microsoft Entra ID finns i Kräv en appskyddsprincip på Windows-enheter.

Efterlevnad av villkorsstyrd åtkomst

Att förhindra dataförlust är en del av att skydda organisationens data. Dataförlustskydd (DLP) är endast effektivt om dina organisationsdata inte kan nås från ett oskyddat system eller en enhet. Villkorlig åtkomst för appskydd använder villkorlig åtkomst (CA) för att säkerställa att appskyddsprinciper (APP) stöds och framtvingas i ett klientprogram innan åtkomst till skyddade resurser (till exempel organisationsdata) tillåts. APP CA gör det möjligt för slutanvändare med personliga Windows-enheter att använda apphanterade program, inklusive Microsoft Edge, för att få åtkomst till Microsoft Entra resurser utan att helt hantera sina personliga enheter.

Den här MAM-tjänsten synkroniserar kompatibilitetstillståndet per användare, per app och per enhet till Microsoft Entra CA-tjänsten. Detta inkluderar hotinformationen som tas emot från MTD-leverantörerna (Mobile Threat Defense) från och med Windows-säkerhet Center.

Obs!

Den här MAM-tjänsten använder samma arbetsflöde för efterlevnad av villkorlig åtkomst som används för att hantera Microsoft Edge på iOS- och Android-enheter.

När en ändring identifieras uppdaterar MAM-tjänsten enhetens efterlevnadstillstånd omedelbart. Tjänsten innehåller även MTD-hälsotillstånd som en del av kompatibilitetstillståndet.

Obs!

MAM-tjänsten utvärderar MTD-tillståndet i tjänsten. Detta görs oberoende av MAM-klienten och klientplattformen.

MAM-klienten kommunicerar klientens hälsotillstånd (eller hälsometadata) till MAM-tjänsten vid incheckningen. Hälsotillståndet omfattar eventuella fel i APP-hälsokontroller för block- eller rensningsvillkor. Dessutom vägleder Microsoft Entra ID slutanvändare genom reparationssteg när de försöker komma åt en blockerad CA-resurs.

Efterlevnad av villkorsstyrd åtkomst

Organisationer kan använda Microsoft Entra principer för villkorsstyrd åtkomst för att säkerställa att användarna bara kan komma åt arbets- eller skolinnehåll med hjälp av principhanterade program i Windows. För att göra detta behöver du en princip för villkorsstyrd åtkomst som är riktad mot alla potentiella användare. Följ stegen i Kräv en appskyddsprincip på Windows-enheter, som tillåter Microsoft Edge för Windows, men blockerar andra webbläsare från att ansluta till Microsoft 365-slutpunkter.

Med villkorsstyrd åtkomst kan du även rikta in dig på lokala webbplatser som du har exponerat för externa användare via Microsoft Entra-programproxy.

Hotskyddshälsa

Hälsostatusen för en personligt ägd enhet verifieras innan du tillåter åtkomst till dina organisationsdata. MAM-hotidentifiering kan anslutas till Windows-säkerhet Center. Windows-säkerhet Center tillhandahåller en utvärdering av klientenhetens hälsotillstånd för att Intune APP via en tjänst-till-tjänst-anslutning. Den här utvärderingen stöder gating av flödet och åtkomst till organisationsdata på personliga ohanterade enheter.

Hälsotillståndet innehåller följande information:

  • Användar-, app- och enhetsidentifierare
  • Ett fördefinierat hälsotillstånd
  • Tidpunkten för senaste hälsotillståndsuppdatering

Hälsotillståndet skickas endast för MAM-registrerade användare. Slutanvändare kan sluta skicka data genom att logga ut från sitt organisationskonto i skyddade program. Administratörer kan sluta skicka data genom att ta bort Windows-säkerhet Connector från Microsoft Intune.

Relaterad information finns i Skapa en MTD-appskyddsprincip för Windows.

Skapa skyddsprinciper för Intune-appar

Skyddsprinciper för appar (APP) definierar vilka appar som tillåts och de åtgärder som kan vidtas med dina organisationsdata. De val som är tillgängliga i APP gör det möjligt för organisationer att skräddarsy skyddet efter deras specifika behov. För vissa kanske det inte är uppenbart vilka principinställningar som krävs för att implementera ett fullständigt scenario.

Som administratör kan du konfigurera hur data skyddas via APP. Den här konfigurationen gäller för den interna interaktionen mellan Windows-program och data. APPinställningarna är indelade i tre kategorier:

  • Dataskydd – De här inställningarna styr hur data kan flyttas till och från en organisationskontext (konto, dokument, plats, tjänster) för användaren.
  • Hälsokontroller (villkorsstyrd start) – De här inställningarna styr de enhetsvillkor som krävs för att komma åt organisationsdata och reparationsåtgärderna om villkoren inte uppfylls.

För att hjälpa organisationer att prioritera klientslutpunktshärdning har Microsoft infört taxonomi för sitt APP-dataskyddsramverk för hantering av mobilappar.

Om du vill se de specifika rekommendationerna för varje konfigurationsnivå och de lägsta appar som måste skyddas kan du granska dataskyddsramverket med hjälp av appskyddsprinciper.

Mer information om tillgängliga inställningar finns i Principinställningar för Windows-appskydd.

Nästa steg