Dela via


Inställningar för appskyddsprinciper för Windows

I den här artikeln beskrivs appskyddsprincipinställningar (APP) för Windows. Principinställningarna som beskrivs kan konfigureras för en appskyddsprincip i fönstret Inställningar i Administrationscenter för Intune när du skapar en ny princip.

Du kan aktivera skyddad MAM-åtkomst till organisationsdata via Microsoft Edge på personliga Windows-enheter. Den här funktionen kallas Windows MAM och tillhandahåller funktioner med intune-programkonfigurationsprinciper (ACP), Intune-programskyddsprinciper (APP), Skydd mot klienthot i Windows Security Center och villkorsstyrd åtkomst för programskydd. Mer information om Windows MAM finns i Dataskydd för Windows MAM, Skapa en MTD-appskyddsprincip för Windows och Konfigurera Microsoft Edge för Windows med Intune.

Det finns två kategorier av inställningar för appskyddsprinciper för Windows:

Viktigt

Intune MAM i Windows stöder ohanterade enheter. Om en enhet redan hanteras blockeras Intune MAM-registreringen och APP-inställningarna tillämpas inte. Om en enhet hanteras efter MAM-registreringen tillämpas inte längre APP-inställningar.

Dataskydd

Inställningarna för dataskydd påverkar organisationens data och kontext. Som administratör kan du styra dataflytten till och från organisationens skydd. Organisationskontexten definieras av dokument, tjänster och webbplatser som nås av det angivna organisationskontot. Följande principinställningar hjälper dig att styra externa data som tas emot i organisationskontexten och organisationsdata som skickas från organisationskontexten.

Dataöverföring

Inställning Användning Standardvärde
Ta emot data från Välj något av följande alternativ för att ange vilka källor organisationens användare kan ta emot data från:
  • Alla källor: Organisationsanvändare kan öppna data från valfritt konto, dokument, plats eller program i organisationskontexten.
  • Inga källor: Organisationsanvändare kan inte öppna data från externa konton, dokument, platser eller program i organisationskontexten. Obs! För Microsoft Edge styr inga källor filuppladdningsbeteendet antingen via dra och släpp eller dialogrutan Öppna fil. Lokal filvisning och delning av filer mellan webbplatser/flikar blockeras.


Alla källor
Skicka organisationsdata till Välj något av följande alternativ för att ange vilka mål organisationens användare kan skicka data till:
  • Alla mål: Organisationsanvändare kan skicka organisationsdata till valfritt konto, dokument, plats eller program.
  • Inga mål: Organisationsanvändare kan inte skicka organisationsdata till externa konton, dokument, platser eller program från organisationskontexten. Obs! För Microsoft Edge blockerar inga mål filnedladdning. Det innebär att delning av filer mellan webbplatser/flikar blockeras.


Alla destinationer
Tillåt klipp ut, kopiera och klistra in för Välj något av följande alternativ för att ange vilka källor och mål som organisationens användare kan klippa ut eller kopiera eller klistra in organisationsdata:
  • Alla mål och alla källor: Organisationsanvändare kan klistra in data från och klippa ut/kopiera data till alla konton, dokument, platser eller program.
  • Inget mål eller ingen källa: Organisationsanvändare kan inte klippa ut, kopiera eller klistra in data till eller från externa konton, dokument, platser eller program från eller i organisationskontexten. Obs! För Microsoft Edge, Inget mål eller källblock klipps ut, kopieras och klistras in endast i webbinnehållet. Klipp ut, kopiera och klistra in är inaktiverade från allt webbinnehåll, men inte programkontroller, inklusive adressfältet.


Alla mål och alla källor

Funktionalitet

Inställning Användning Standardvärde
Skriva ut organisationsdata Välj Blockera för att förhindra utskrift av organisationsdata. Välj Tillåt för att tillåta utskrift av organisationsdata. Personliga eller ohanterade data påverkas inte. Tillåt

Hälsokontroller

Ange villkor för hälsokontroll för din appskyddsprincip. Välj en inställning och ange det värde som användarna måste uppfylla för att få åtkomst till dina organisationsdata. Välj sedan den åtgärd som du vill vidta om användarna inte uppfyller dina villkor. I vissa fall kan flera åtgärder konfigureras för en enda inställning. Mer information finns i Hälsokontrollåtgärder.

Appvillkor

Konfigurera följande hälsokontrollinställningar för att verifiera programkonfigurationen innan du tillåter åtkomst till organisationskonton och data.

Obs!

Termen principhanterad app refererar till appar som har konfigurerats med appskyddsprinciper.

Inställning Användning Standardvärde
Offline-respitperiod Antalet minuter som den principhanterade appen kan köras offline. Ange tiden (i minuter) innan åtkomstkraven för appen kontrolleras igen.

Åtgärderna omfattar:

  • Blockera åtkomst (minuter): Antalet minuter som principhanterade appar kan köras offline. Ange tiden (i minuter) innan åtkomstkraven för appen kontrolleras igen. När den konfigurerade perioden går ut blockerar appen åtkomsten till arbets- eller skoldata tills nätverksåtkomst är tillgänglig. Respitperioden offline för blockering av dataåtkomst beräknas baserat på den senaste incheckningen med Intune-tjänsten. Det här principinställningsformatet stöder ett positivt heltal.
  • Rensa data (dagar): Efter så här många dagar (definieras av administratören) för att köra offline kräver appen att användaren ansluter till nätverket och autentiserar igen. Om användaren autentiseras kan de fortsätta att komma åt sina data och offlineintervallet återställs. Om användaren inte kan autentiseras utför appen en selektiv rensning av användarnas konto och data. Mer information om vilka data som tas bort med en selektiv rensning finns i Rensa endast företagsdata från Intune-hanterade appar . Respitperioden offline för rensning av data beräknas av appen baserat på den senaste incheckningen med Intune-tjänsten. Det här principinställningsformatet stöder ett positivt heltal.
Den här posten kan visas flera gånger, där varje instans stöder en annan åtgärd.

Blockera åtkomst (minuter): 720 minuter (12 timmar)

Rensa data (dagar): 90 dagar

Lägsta appversion Ange ett värde för det lägsta programversionsvärdet.

Åtgärderna omfattar:

  • Varna – Användaren ser ett meddelande om appversionen på enheten inte uppfyller kravet. Det här meddelandet kan avvisas.
  • Blockera åtkomst – Användaren blockeras från åtkomst om appversionen på enheten inte uppfyller kravet.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Eftersom appar ofta har distinkta versionsscheman mellan sig skapar du en princip med en lägsta appversion riktad mot en app.

Den här posten kan visas flera gånger, där varje instans stöder en annan åtgärd.

Den här principinställningen stöder matchande versionsformat för Windows-apppaket (major.minor eller major.minor.patch).
Inget standardvärde
Lägsta SDK-version Ange ett minimivärde för Intune SDK-versionen.

Åtgärderna omfattar:

  • Blockera åtkomst – Användaren blockeras från åtkomst om appens SDK-version för Intune-appskyddsprincip inte uppfyller kravet.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Den här posten kan visas flera gånger, där varje instans stöder en annan åtgärd.
Inget standardvärde
Inaktiverat konto Ange en automatiserad åtgärd om Microsoft Entra-kontot för användaren är inaktiverat. Administratören kan bara ange en åtgärd. Det finns inget värde att ange för den här inställningen. Åtgärderna omfattar:
  • Blockera åtkomst – När vi har bekräftat att användaren har inaktiverats i Microsoft Entra-ID blockerar appen åtkomsten till arbets- eller skoldata.
  • Rensa data – När vi har bekräftat att användaren har inaktiverats i Microsoft Entra-ID utför appen en selektiv rensning av användarnas konto och data.
NOT: Om användarstatus inte kan bekräftas på grund av anslutning, autentisering eller någon annan orsak kommer dessa åtgärder (Blockera åtkomst och Rensa data) inte att tillämpas.
Inget standardvärde

Enhetsvillkor

Konfigurera följande hälsokontrollinställningar för att verifiera enhetskonfigurationen innan du tillåter åtkomst till organisationskonton och data. Liknande enhetsbaserade inställningar kan konfigureras för registrerade enheter. Läs mer om hur du konfigurerar inställningar för enhetsefterlevnad för registrerade enheter.

Inställning Användning Standardvärde
Lägsta operativsystemversion Ange ett lägsta Windows-operativsystem för att använda den här appen.

Åtgärderna omfattar:

  • Varna – Användaren får ett meddelande om Windows-versionen på enheten inte uppfyller kravet. Det här meddelandet kan avvisas.
  • Blockera åtkomst – Användaren blockeras från åtkomst om Windows-versionen på enheten inte uppfyller detta krav.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Den här posten kan visas flera gånger, där varje instans stöder en annan åtgärd.

Det här principinställningsformatet stöder antingen major.minor, major.minor.build, major.minor.build.revision.

Om du vill hitta Windows-versionen öppnar du en kommandotolk. Versionen visas överst i kommandotolkens fönster. Ett exempel på det versionsformat som ska användas är 10.0.22631.3155. Observera att om du använder winver kommandot ser du bara os-versionen (till exempel 22631.3155), som inte är rätt format att använda.
Högsta operativsystemversion Ange ett maximalt Windows-operativsystem för att använda den här appen.

Åtgärderna omfattar:

  • Varna – Användaren får ett meddelande om Windows-versionen på enheten inte uppfyller kravet. Det här meddelandet kan avvisas.
  • Blockera åtkomst – Användaren blockeras från åtkomst om Windows-versionen på enheten inte uppfyller detta krav.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.

Den här posten kan visas flera gånger, där varje instans stöder en annan åtgärd.

Det här principinställningsformatet stöder antingen major.minor, major.minor.build, major.minor.build.revision.
Högsta tillåtna enhetshotnivå Appskyddsprinciper kan dra nytta av Intune-MTD-anslutningsappen. Ange en högsta hotnivå som kan användas med den här appen. Hot bestäms av din valda MTD-leverantörsapp (Mobile Threat Defense) på slutanvändarens enhet. Ange antingen Skyddad, Låg, Medel eller Hög. Skyddad kräver inga hot på enheten och är det mest restriktiva konfigurerbara värdet, medan High i princip kräver en aktiv Intune-till-MTD-anslutning.

Åtgärderna omfattar:

  • Blockera åtkomst – Användaren blockeras från åtkomst om hotnivån som bestäms av din valda MTD-leverantörsapp (Mobile Threat Defense) på slutanvändarens enhet inte uppfyller detta krav.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.

Mer information om hur du använder den här inställningen finns i Aktivera MTD för oregistrerade enheter.

Ytterligare information

Mer information om APP för Windows-enheter finns i följande resurser: