Redigera

Dela via


Vanliga frågor och svar om MAM och appskydd

Den här artikeln innehåller svar på några vanliga frågor om Hantering av mobilprogram i Intune (MAM) och Intune-appskydd.

Grundläggande om MAM

Vad är MAM?

Appskydd principer

Vad är skyddsprinciper för Intune-appar?

Appskydd principer är regler som säkerställer att en organisations data förblir säkra eller finns i en hanterad app. En princip kan vara en regel som tillämpas när användaren försöker komma åt eller flytta "företagsdata" eller en uppsättning åtgärder som är förbjudna eller övervakade när användaren befinner sig i appen.

Vad är exempel på appskyddsprinciper?

Går det att tillämpa både MDM- och MAM-principer på samma användare samtidigt för olika enheter? Om en användare till exempel kan komma åt sina arbetsresurser från sin egen MAM-aktiverade dator, men också komma till jobbet och använda en Intune MDM-hanterad enhet. Finns det några varningar till den här idén?

Om du tillämpar en MAM-princip på användaren utan att ange enhetshanteringstillståndet hämtar användaren MAM-principen på både BYOD-enheten och den Intune-hanterade enheten. Du kan också tillämpa en MAM-princip baserat på enhetshanteringstillståndet. Så när du skapar en appskyddsprincip, bredvid Rikta till appar på alla enhetstyper, väljer du Nej. Gör sedan något av följande:

  • Tillämpa en mindre strikt MAM-princip på Intune-hanterade enheter och tillämpa en mer restriktiv MAM-princip på icke MDM-registrerade enheter.
  • Tillämpa en lika strikt MAM-princip på Intune-hanterade enheter som för hanterade enheter från tredje part.
  • Tillämpa endast en MAM-princip på oregistrerade enheter.

Mer information finns i Övervaka appskyddsprinciper.

Appar som du kan hantera med appskyddsprinciper

Vilka appar kan hanteras av appskyddsprinciper?

Alla appar som har integrerats med Intune App SDK eller omslutits av Intune-App Wrapping Tool kan hanteras med intune-appskyddsprinciper. Se den officiella listan över Intune-hanterade appar som är tillgängliga för offentligt bruk.

Vilka är baslinjekraven för att använda appskyddsprinciper i en Intune-hanterad app?

Vad händer om jag vill aktivera en app med Intune App Protection, men inte använder en apputvecklingsplattform som stöds?

Intune SDK-utvecklingsteamet testar och underhåller aktivt stödet för appar som skapats med de inbyggda plattformarna Android, iOS/iPadOS (Obj-C, Swift), Xamarin och Xamarin.Forms. Vissa kunder har haft framgång med Intune SDK-integrering med andra plattformar som React Native och NativeScript, men vi ger inte uttrycklig vägledning eller plugin-program för apputvecklare som använder något annat än våra plattformar som stöds.

Stöder Intune APP SDK Microsoft Authentication Library (MSAL)?

Intune App SDK kan använda Microsoft Authentication Library för sina autentiserings- och villkorsstyrda startscenarier. Den förlitar sig också på MSAL för att registrera användaridentiteten med MAM-tjänsten för hantering utan scenarier för enhetsregistrering.

Vilka är de ytterligare kraven för att använda Outlook-mobilappen?

Vilka är de ytterligare kraven för att använda apparna Word, Excel och PowerPoint?

  • Slutanvändaren måste ha en licens för Microsoft 365-applikationer för affärsverksamhet eller företag som är länkad till deras Microsoft Entra konto. Prenumerationen måste innehålla Office-appar på mobila enheter och kan innehålla ett molnlagringskonto med OneDrive för företag. Microsoft 365-licenser kan tilldelas i Administrationscenter för Microsoft 365 genom att följa dessa instruktioner.

  • Slutanvändaren måste ha en hanterad plats konfigurerad med hjälp av den detaljerade funktionen Spara som under principinställningen "Spara kopior av organisationsdata" för programskydd. Om den hanterade platsen till exempel är OneDrive ska OneDrive-appen konfigureras i slutanvändarens Word, Excel eller PowerPoint-app.

  • Om den hanterade platsen är OneDrive måste appen vara mål för den appskyddsprincip som distribueras till slutanvändaren.

    Obs!

    Office-mobilapparna stöder för närvarande endast SharePoint Online och inte lokal SharePoint.

Varför behövs en hanterad plats (t.ex. OneDrive) för Office?

Intune markerar alla data i appen som antingen "företag" eller "personliga". Data anses vara "företag" när de kommer från en affärsplats. För Office-apparna betraktar Intune följande som affärsplatser: e-post (Exchange) eller molnlagring (OneDrive-app med ett OneDrive för företag konto).

Vilka är de ytterligare kraven för att använda Skype för företag?

Appskydd funktioner

Vad är stöd för flera identiteter?

Stöd för flera identiteter är möjligheten för Intune App SDK att endast tillämpa appskyddsprinciper på det arbets- eller skolkonto som är inloggat i appen. Om ett personligt konto är inloggat i appen är data orörda.

Vad är syftet med stöd för flera identiteter?

Stöd för flera identiteter gör att appar med både företags- och konsumentpubliker (t.ex. Office-appar) kan släppas offentligt med Intunes appskyddsfunktioner för "företagskontona".

Hur är det med Outlook och flera identiteter?

Eftersom Outlook har en kombinerad e-postvy över både personliga och "företagsrelaterade" e-postmeddelanden, frågar Outlook-appen efter Intune-PIN-koden vid start.

Vad är PIN-koden för Intune-appen?

Pin-koden (Personal Identification Number) är ett lösenord som används för att verifiera att rätt användare har åtkomst till organisationens data i ett program.

När uppmanas användaren att ange sin PIN-kod?

Intune frågar efter användarens app-PIN-kod när användaren är på väg att komma åt "företagsdata". I appar med flera identiteter, till exempel Word/Excel/PowerPoint, uppmanas användaren att ange sin PIN-kod när de försöker öppna ett företagsdokument eller en fil. I appar med en enda identitet, till exempel branschspecifika appar som hanteras med intune-App Wrapping Tool, uppmanas PIN-koden vid start eftersom Intune App SDK vet att användarens upplevelse i appen alltid är "företagsbaserad".

Hur ofta uppmanas användaren att ange Intune-PIN-koden?

IT-administratören kan definiera intunes appskyddsprincipinställning "Kontrollera åtkomstkraven igen efter (minuter)" i Microsoft Intune administrationscenter. Den här inställningen anger hur lång tid det tar innan åtkomstkraven kontrolleras på enheten och programmets PIN-skärm visas igen. Viktig information om PIN-kod som påverkar hur ofta användaren tillfrågas är dock:

  • PIN-koden delas mellan appar i samma utgivare för att förbättra användbarheten: På iOS/iPadOS delas en app-PIN-kod mellan alla appar i samma apputgivare. På Android delas en app-PIN-kod mellan alla appar.
  • Beteendet "Kontrollera åtkomstkraven igen efter (minuter)" efter en omstart av enheten: En "PIN-timer" spårar antalet minuter av inaktivitet som avgör när intune-appens PIN-kod ska visas härnäst. Pin-timern påverkas inte av omstart av enheten på iOS/iPadOS. Därför har omstart av enheten ingen effekt på antalet minuter som användaren har varit inaktiv från en iOS/iPadOS-app med Intune PIN-princip. På Android återställs PIN-timern vid omstart av enheten. Därför kommer Android-appar med Intune PIN-princip sannolikt att fråga efter en pin-kod för appen oavsett inställningsvärdet "Kontrollera åtkomstkraven igen efter (minuter)" efter en omstart av enheten.
  • Den rullande typen av timer som är associerad med PIN-koden: När en PIN-kod har angetts för att få åtkomst till en app (app A), och appen lämnar förgrunden (huvudfokus) på enheten, återställs PIN-timern för pin-koden. Alla appar (app B) som delar den här PIN-koden uppmanar inte användaren att ange PIN-kod eftersom timern har återställts. Prompten visas igen när värdet "Kontrollera åtkomstkraven igen efter (minuter)" har uppfyllts igen.

För iOS/iPadOS-enheter, även om PIN-koden delas mellan appar från olika utgivare, visas uppmaningen igen när värdet Kontrollera åtkomstkraven igen efter (minuter) uppfylls igen för appen som inte är huvudfokus. En användare har till exempel app A från utgivare X och app B från utgivare Y, och dessa två appar delar samma PIN-kod. Användaren fokuserar på app A (förgrund) och app B minimeras. När värdet Kontrollera åtkomstkraven igen efter (minuter) är uppfyllt och användaren växlar till app B krävs PIN-koden.

Obs!

För att verifiera användarens åtkomstkrav oftare (t.ex. PIN-fråga), särskilt för en app som används ofta, rekommenderar vi att du minskar värdet för inställningen "Kontrollera åtkomstkraven igen efter (minuter)".

Hur fungerar Intune PIN-koden med inbyggda app-PIN-koder för Outlook och OneDrive?

Intune PIN-koden fungerar baserat på en inaktivitetsbaserad timer (värdet för "Kontrollera åtkomstkraven igen efter (minuter)"). Därför visas Pin-prompter i Intune oberoende av de inbyggda pin-prompterna för appar för Outlook och OneDrive, som ofta är knutna till appstart som standard. Om användaren får båda PIN-prompterna samtidigt bör det förväntade beteendet vara att Intune PIN-koden har företräde.

Är PIN-koden säker?

PIN-koden ger endast rätt användare åtkomst till organisationens data i appen. Därför måste en slutanvändare logga in med sitt arbets- eller skolkonto innan de kan ange eller återställa sin PIN-kod för Intune-appen. Den här autentiseringen hanteras av Microsoft Entra ID via säker tokenutbyte och är inte transparent för Intune App SDK. Ur ett säkerhetsperspektiv är det bästa sättet att skydda arbets- eller skoldata att kryptera dem. Kryptering är inte relaterat till appens PIN-kod, men är en egen appskyddsprincip.

Hur skyddar Intune PIN-koden mot råstyrkeattacker?

Som en del av appens PIN-princip kan IT-administratören ange det maximala antalet gånger som en användare kan försöka autentisera sin PIN-kod innan appen låses. När antalet försök har uppfyllts kan Intune App SDK rensa "företagsdata" i appen.

Varför måste jag ange en PIN-kod två gånger för appar från samma utgivare?

MAM (på iOS/iPadOS) tillåter för närvarande PIN-kod på programnivå med alfanumeriska tecken och specialtecken (kallas "lösenord") som kräver medverkan av program (t.ex. WXP, Outlook, Managed Browser, Yammer) för att integrera Intune APP SDK för iOS/iPadOS. Utan detta tillämpas inte lösenordsinställningarna korrekt för målprogrammen. Det här var en funktion som släpptes i Intune SDK för iOS/iPadOS v. 7.1.12.

För att stödja den här funktionen och säkerställa bakåtkompatibilitet med tidigare versioner av Intune SDK för iOS/iPadOS hanteras alla PIN-koder (antingen numeriska eller lösenord) i 7.1.12+ separat från den numeriska PIN-koden i tidigare versioner av SDK. Om en enhet har program med Intune SDK för iOS/iPadOS-versioner före 7.1.12 OCH efter 7.1.12 från samma utgivare måste de därför konfigurera två PIN-koder.

Med detta sagt är de två PIN-koderna (för varje app) inte relaterade på något sätt, dvs. de måste följa appskyddsprincipen som tillämpas på appen. Därför kan användare bara konfigurera samma PIN-kod två gånger om apparna A och B har samma principer tillämpade (med avseende på PIN-kod).

Det här beteendet är specifikt för PIN-koden för iOS/iPadOS-program som är aktiverade med Intune Mobile App Management. Med tiden, när program inför senare versioner av Intune SDK för iOS/iPadOS, blir det mindre problem att behöva ange en PIN-kod två gånger för appar från samma utgivare. Ett exempel finns i anteckningen nedan.

Obs!

Om app A till exempel har skapats med en version före 7.1.12 och app B har skapats med en version som är större än eller lika med 7.1.12 från samma utgivare, måste slutanvändaren konfigurera PIN-koder separat för A och B om båda är installerade på en iOS/iPadOS-enhet.

Om en app C som har SDK version 7.1.9 är installerad på enheten delar den samma PIN-kod som app A.

En app D som skapats med 7.1.14 delar samma PIN-kod som app B.

Om endast apparna A och C är installerade på en enhet måste en PIN-kod anges. Detsamma gäller om endast appar B och D är installerade på en enhet.

Hur är det med kryptering?

IT-administratörer kan distribuera en appskyddsprincip som kräver att appdata krypteras. Som en del av principen kan IT-administratören också ange när innehållet krypteras.

Hur krypterar Intune data?

Mer information om principinställningen för krypteringsappskydd finns i Inställningar för Android-appskyddsprinciper och iOS/iPadOS-appskyddsprinciper .

Vad krypteras?

Endast data som har markerats som "företag" krypteras enligt IT-administratörens appskyddsprincip. Data anses vara "företag" när de kommer från en affärsplats. För Office-apparna betraktar Intune följande som affärsplatser: e-post (Exchange) eller molnlagring (OneDrive-app med ett OneDrive för företag konto). För verksamhetsspecifika appar som hanteras av Intune-App Wrapping Tool betraktas alla appdata som "företagsbaserade".

Hur fjärrensar Intune data?

Intune kan rensa appdata på tre olika sätt: fullständig enhetsrensning, selektiv rensning för MDM och SELEKTIV MAM-rensning. Mer information om fjärrensning för MDM finns i Ta bort enheter med hjälp av rensning eller tillbakadragning. Mer information om selektiv rensning med MAM finns i åtgärden Dra tillbaka och Så här rensar du endast företagsdata från appar.

Vad är rensning?

Rensning tar bort alla användardata och inställningar från enheten genom att återställa enheten till fabriksinställningarna. Enheten tas bort från Intune.

Obs!

Rensning kan endast uppnås på enheter som registrerats med Hantering av mobila enheter i Intune (MDM).

Vad är selektiv rensning för MDM?

Se Ta bort enheter – dra tillbaka för att läsa om att ta bort företagsdata.

Vad är selektiv rensning för MAM?

Selektiv rensning för MAM tar helt enkelt bort företagsappdata från en app. Begäran initieras med hjälp av Microsoft Intune administrationscenter. Information om hur du initierar en rensningsbegäran finns i Så här rensar du endast företagsdata från appar.

Hur snabbt sker selektiv rensning för MAM?

Om användaren använder appen när selektiv rensning initieras kontrollerar Intune App SDK var 30:e minut en selektiv rensningsbegäran från Intune MAM-tjänsten. Den söker också efter selektiv rensning när användaren startar appen för första gången och loggar in med sitt arbets- eller skolkonto.

Varför fungerar inte lokala tjänster med Intune-skyddade appar?

Intune-appskydd är beroende av användarens identitet för att vara konsekvent mellan programmet och Intune App SDK. Det enda sättet att garantera detta är genom modern autentisering. Det finns scenarier där appar kan fungera med en lokal konfiguration, men de är varken konsekventa eller garanterade.

Finns det ett säkert sätt att öppna webblänkar från hanterade appar?

Ja! IT-administratören kan distribuera och ange en appskyddsprincip för Microsoft Edge-appen. IT-administratören kan kräva att alla webblänkar i Intune-hanterade appar öppnas med hjälp av Microsoft Edge-appen.

Appupplevelse på Android

Varför behövs den Företagsportal appen för att Intune-appskyddet ska fungera på Android-enheter?

Hur fungerar flera åtkomstinställningar för Intune-appskydd som är konfigurerade för samma uppsättning appar och användare på Android?

Intunes appskyddsprinciper för åtkomst tillämpas i en specifik ordning på slutanvändarens enheter när de försöker komma åt en riktad app från sitt företagskonto. I allmänhet skulle ett block ha företräde och sedan en avvisande varning. Om det till exempel är tillämpligt för den specifika användaren/appen tillämpas en lägsta inställning för Android-korrigeringsversion som varnar en användare att utföra en korrigeringsuppgradering efter den lägsta android-korrigeringsversionsinställningen som blockerar användaren från åtkomst. I scenariot där IT-administratören konfigurerar den lägsta Android-korrigeringsversionen till 2018-03-01 och den lägsta Android-korrigeringsversionen (endast varning) till 2018-02-01, medan enheten som försöker komma åt appen hade en korrigeringsversion 2018-01-01, skulle slutanvändaren blockeras baserat på den mer restriktiva inställningen för lägsta Android-korrigeringsversion som resulterar i blockerad åtkomst.

När du hanterar olika typer av inställningar har ett krav på appversion företräde, följt av krav på Android-operativsystemversion och krav på Android-korrigeringsversion. Sedan kontrolleras alla varningar för alla typer av inställningar i samma ordning.

Intunes appskyddsprinciper ger administratörer möjlighet att kräva att slutanvändarenheter klarar Google Plays enhetsintegritetskontroll för Android-enheter. Hur ofta skickas ett nytt google play-resultat för enhetsintegritetskontroll till tjänsten?

Intune-tjänsten kontaktar Google Play med ett icke-konfigurerbart intervall som bestäms av tjänstbelastningen. Alla IT-administratörskonfigurerade åtgärder för Google Plays inställning för enhetsintegritetskontroll kommer att vidtas baserat på det senaste rapporterade resultatet till Intune-tjänsten vid tidpunkten för villkorlig start. Om Googles resultat för enhetsintegritet är kompatibelt vidtas ingen åtgärd. Om Googles resultat för enhetsintegritet inte är kompatibelt vidtas den konfigurerade åtgärden av IT-administratören omedelbart. Om begäran till Google Play-enhetens integritetskontroll misslyckas av någon anledning, kommer det cachelagrade resultatet från den tidigare begäran att användas i upp till 24 timmar eller nästa omstart av enheten, som någonsin kommer först. Då blockerar Intune-appskyddsprinciper åtkomsten tills ett aktuellt resultat kan hämtas.

Intunes appskyddsprinciper ger administratörer möjlighet att kräva att slutanvändarenheter skickar signaler via Googles Verify Apps-API för Android-enheter. Hur kan en slutanvändare aktivera appgenomsökningen så att de inte blockeras från åtkomst på grund av detta?

Instruktionerna för hur du gör detta varierar något beroende på enhet. Den allmänna processen innebär att gå till Google Play Store och sedan klicka på Mina appar & spel och klicka på resultatet av den senaste appgenomsökningen som tar dig till Play Protect-menyn. Kontrollera att växlingsknappen för Genomsök enhet efter säkerhetshot är aktiverad.

Vad kontrollerar Googles API för uppspelningsintegritet på Android-enheter? Vad är skillnaden mellan de konfigurerbara värdena "Kontrollera grundläggande integritet" och "Kontrollera grundläggande integritet & certifierade enheter"?

Intune använder API:er för Google Play-integritet för att lägga till i våra befintliga rotidentifieringskontroller för oregistrerade enheter. Google har utvecklat och underhållit den här API-uppsättningen så att Android-appar kan implementeras om de inte vill att deras appar ska köras på rotade enheter. Android Pay-appen har till exempel införlivat detta. Google delar inte hela rotidentifieringskontrollerna offentligt, men vi förväntar oss att dessa API:er identifierar användare som har rotat sina enheter. Dessa användare kan sedan blockeras från åtkomst, eller så rensas deras företagskonton från deras principaktiverade appar. "Kontrollera grundläggande integritet" berättar om enhetens allmänna integritet. Rotade enheter, emulatorer, virtuella enheter och enheter med tecken på manipulering misslyckas grundläggande integritet. "Kontrollera grundläggande integritet & certifierade enheter" berättar om enhetens kompatibilitet med Googles tjänster. Endast oförändrade enheter som har certifierats av Google kan klara den här kontrollen. Enheter som misslyckas omfattar följande:

  • Enheter som inte uppfyller grundläggande integritet
  • Enheter med en olåst startläsare
  • Enheter med en anpassad systembild/ROM
  • Enheter som tillverkaren inte ansökte om eller klarade Google-certifiering för
  • Enheter med en systembild som skapats direkt från källfilerna för Android Open Source Program
  • Enheter med en förhandsversion av en beta-/utvecklarsystembild

Teknisk information finns i Googles dokumentation om API:et för uppspelningsintegritet .

Det finns två liknande kontroller i avsnittet Villkorsstyrd start när du skapar en Intune-appskyddsprincip för Android-enheter. Ska jag kräva inställningen "Spela integritetsutslag" eller inställningen "jailbrokade/rotade enheter"?

Google Play Integrity API-kontroller kräver att slutanvändaren är online, åtminstone under den tid då "tur och retur" för att fastställa attesteringsresultat körs. Om slutanvändaren är offline kan IT-administratören fortfarande förvänta sig att ett resultat framtvingas från inställningen "jailbrokade/rotade enheter". Med detta sagt, om slutanvändaren har varit offline för länge spelar värdet "Offline respitperiod" in och all åtkomst till arbets- eller skoldata blockeras när det tidsinställda värdet nås tills nätverksåtkomst är tillgänglig. Om du aktiverar båda inställningarna kan du använda flera lager för att hålla slutanvändarnas enheter felfria, vilket är viktigt när slutanvändarna får åtkomst till arbets- eller skoldata på mobilen.

De inställningar för appskyddsprinciper som använder Google Play Protect-API:er kräver att Google Play-tjänster fungerar. Vad händer om Google Play Services inte tillåts på den plats där slutanvändaren kan vara?

Både inställningarna "Play integrity verdict" och "Threat scan on apps" kräver att Googles beslutsamma version av Google Play Services fungerar korrekt. Eftersom det här är inställningar som faller inom säkerhetsområdet blockeras slutanvändaren om de har riktats mot de här inställningarna och inte uppfyller lämplig version av Google Play Services eller inte har någon åtkomst till Google Play-tjänster.

Appupplevelse i iOS

Vad händer om jag lägger till eller tar bort ett fingeravtryck eller ansikte på min enhet?

Intunes appskyddsprinciper tillåter kontroll över appåtkomst till endast den Intune-licensierade användaren. Ett sätt att styra åtkomsten till appen är att kräva antingen Apples Touch ID eller Face ID på enheter som stöds. Intune implementerar ett beteende där Intune uppmanar användaren att ange en PIN-kod när nästa timeout-värde för inaktivitet uppfylls om enhetens biometriska databas ändras. Ändringar av biometriska data omfattar tillägg eller borttagning av ett fingeravtryck eller ansikte. Om Intune-användaren inte har någon PIN-kod konfigureras en Intune-PIN-kod.

Avsikten med detta är att fortsätta att skydda organisationens data i appen på appnivå. Den här funktionen är endast tillgänglig för iOS/iPadOS och kräver deltagande av program som integrerar Intune APP SDK för iOS/iPadOS, version 9.0.1 eller senare. Integrering av SDK är nödvändigt så att beteendet kan tillämpas på målprogrammen. Den här integreringen sker löpande och är beroende av de specifika programteamen. Vissa appar som deltar är WXP, Outlook, Managed Browser och Yammer.

Jag kan använda iOS-delningstillägget för att öppna arbets- eller skoldata i ohanterade appar, även om dataöverföringsprincipen är inställd på "endast hanterade appar" eller "inga appar". Läcker inte dessa data?

Intunes appskyddsprincip kan inte styra iOS-resurstillägget utan att hantera enheten. Därför krypterar Intune "företagsdata" innan de delas utanför appen. Du kan verifiera detta genom att försöka öppna företagsfilen utanför den hanterade appen. Filen ska vara krypterad och kan inte öppnas utanför den hanterade appen.

Hur fungerar flera åtkomstinställningar för Intune-appskydd som är konfigurerade för samma uppsättning appar och användare i iOS?

Intunes appskyddsprinciper för åtkomst tillämpas i en specifik ordning på slutanvändarens enheter när de försöker komma åt en riktad app från sitt företagskonto. I allmänhet skulle en rensning ha företräde, följt av ett block och sedan en avvisande varning. Om det till exempel är tillämpligt för den specifika användaren/appen tillämpas en lägsta inställning för iOS/iPadOS-operativsystem som varnar en användare att uppdatera sin iOS/iPadOS-version efter den lägsta iOS/iPadOS-operativsysteminställningen som blockerar användaren från åtkomst. I scenariot där IT-administratören konfigurerar operativsystemet min iOS/iPadOS till 11.0.0.0 och operativsystemet min iOS/iPadOS (endast varning) till 11.1.0.0, när enheten som försökte komma åt appen fanns på iOS/iPadOS 10, skulle slutanvändaren blockeras baserat på den mer restriktiva inställningen för den lägsta versionen av iOS/iPadOS-operativsystemet som resulterar i blockerad åtkomst.

När du hanterar olika typer av inställningar har ett versionskrav för Intune App SDK företräde och sedan ett krav på appversion följt av versionskravet för iOS/iPadOS-operativsystemet. Sedan kontrolleras alla varningar för alla typer av inställningar i samma ordning. Vi rekommenderar att versionskravet för Intune App SDK endast konfigureras efter vägledning från Intune-produktteamet för viktiga blockeringsscenarier.