Gör så här: Kräv godkända klient program för Cloud app-åtkomst med villkorlig åtkomstHow to: Require approved client apps for cloud app access with Conditional Access

Användarna använder regelbundet sina mobila enheter för både personliga och arbetsrelaterade uppgifter.People regularly use their mobile devices for both personal and work tasks. När du ser till att personalen kan vara produktiv, vill organisationer även förhindra data förlust från potentiellt osäkra program.While making sure staff can be productive, organizations also want to prevent data loss from potentially unsecure applications. Med villkorlig åtkomst kan organisationer begränsa åtkomsten till godkända (moderna autentisering kapabel)-klient program.With Conditional Access, organizations can restrict access to approved (modern authentication capable) client apps.

Den här artikeln visar två scenarier för att konfigurera principer för villkorlig åtkomst för resurser som Microsoft 365, Exchange Online och SharePoint Online.This article presents two scenarios to configure Conditional Access policies for resources like Microsoft 365, Exchange Online, and SharePoint Online.

I villkorlig åtkomst kallas denna funktion för att kräva en godkänd klient app.In Conditional Access, this functionality is known as requiring an approved client app. En lista över godkända klient program finns i godkända klient program krav.For a list of approved client apps, see approved client app requirement.

Anteckning

För att kunna kräva godkända klient program för iOS-och Android-enheter måste dessa enheter först registreras i Azure AD.In order to require approved client apps for iOS and Android devices, these devices must first register in Azure AD.

Scenario 1: Microsoft 365 appar kräver en godkänd klient appScenario 1: Microsoft 365 apps require an approved client app

I det här scenariot har contoso beslutat att användare som använder mobila enheter har åtkomst till alla Microsoft 365-tjänster så länge de använder godkända klient program, t. ex. Outlook Mobile, OneDrive och Microsoft Teams.In this scenario, Contoso has decided that users using mobile devices can access all Microsoft 365 services as long as they use approved client apps, like Outlook mobile, OneDrive, and Microsoft Teams. Alla användare har redan loggat in med autentiseringsuppgifter för Azure AD och har tilldelade licenser som innehåller Azure AD Premium P1 eller P2 och Microsoft Intune.All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

Organisationer måste utföra följande tre steg för att kräva att en godkänd klient app används på mobila enheter.Organizations must complete the following three steps in order to require the use of an approved client app on mobile devices.

Steg 1: princip för Android-och iOS-baserade moderna autentiserade klienter som kräver användning av ett godkänt klient program vid åtkomst till Exchange Online.Step 1: Policy for Android and iOS based modern authentication clients requiring the use of an approved client application when accessing Exchange Online.

  1. Logga in på Azure Portal som global administratör, säkerhets administratör eller villkorlig åtkomst administratör.Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. Bläddra till Azure Active Directory > säkerhet > villkorlig åtkomst.Browse to Azure Active Directory > Security > Conditional Access.
  3. Välj ny princip.Select New policy.
  4. Ge principen ett namn.Give your policy a name. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på deras principer.We recommend that organizations create a meaningful standard for the names of their policies.
  5. Under tilldelningarväljer du användare och grupperUnder Assignments, select Users and groups
    1. Under Inkluderaväljer du alla användare eller de enskilda användare och grupper som du vill tillämpa principen på.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Välj Done (Klar).Select Done.
  6. Under molnappar eller åtgärder > inkluderarväljer du Office 365.Under Cloud apps or actions > Include, select Office 365.
  7. Under villkorväljer du enhets plattformar.Under Conditions, select Device platforms.
    1. Konfigurera till Ja.Set Configure to Yes.
    2. Ta med Android och iOS.Include Android and iOS.
  8. Under villkorväljer du klient program (för hands version).Under Conditions, select Client apps (preview).
    1. Konfigurera till Ja.Set Configure to Yes.
    2. Välj Mobilappar och skrivbordsklienter och Moderna autentiseringsklienter.Select Mobile apps and desktop clients and Modern authentication clients.
  9. Under åtkomst kontroller > tilldelarväljer du bevilja åtkomst, kräver godkänd klient appoch väljer Välj.Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  10. Bekräfta inställningarna och ange Aktivera princip till .Confirm your settings and set Enable policy to On.
  11. Välj skapa för att skapa och aktivera din princip.Select Create to create and enable your policy.

Steg 2: Konfigurera en Azure AD-princip för villkorlig åtkomst för Exchange Online med ActiveSync (EAS)Step 2: Configure an Azure AD Conditional Access policy for Exchange Online with ActiveSync (EAS)

  1. Bläddra till Azure Active Directory > säkerhet > villkorlig åtkomst.Browse to Azure Active Directory > Security > Conditional Access.
  2. Välj ny princip.Select New policy.
  3. Ge principen ett namn.Give your policy a name. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på deras principer.We recommend that organizations create a meaningful standard for the names of their policies.
  4. Under tilldelningarväljer du användare och grupperUnder Assignments, select Users and groups
    1. Under Inkluderaväljer du alla användare eller de enskilda användare och grupper som du vill tillämpa principen på.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Välj Done (Klar).Select Done.
  5. Under molnappar eller åtgärder > inkluderarväljer du Office 365 Exchange Online.Under Cloud apps or actions > Include, select Office 365 Exchange Online.
  6. Under villkor:Under Conditions:
    1. Klient program (för hands version):Client apps (preview):
      1. Konfigurera till Ja.Set Configure to Yes.
      2. Välj mobilappar och skriv bords klienter och Exchange ActiveSync-klienter.Select Mobile apps and desktop clients and Exchange ActiveSync clients.
  7. Under åtkomst kontroller > tilldelarväljer du bevilja åtkomst, kräver godkänd klient appoch väljer Välj.Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  8. Bekräfta inställningarna och ange Aktivera princip till .Confirm your settings and set Enable policy to On.
  9. Välj skapa för att skapa och aktivera din princip.Select Create to create and enable your policy.

Steg 3: Konfigurera Intune-appens skydds princip för iOS-och Android-klientprogram.Step 3: Configure Intune app protection policy for iOS and Android client applications.

Läs artikeln så här skapar och tilldelar du skydds principer för apparför att skapa skydds principer för Android och iOS.Review the article How to create and assign app protection policies, for steps to create app protection policies for Android and iOS.

Scenario 2: Exchange Online och SharePoint Online kräver en godkänd klient appScenario 2: Exchange Online and SharePoint Online require an approved client app

I det här scenariot har contoso beslutat att användare bara får komma åt e-post och SharePoint-data på mobila enheter så länge de använder en godkänd klient app som Outlook Mobile.In this scenario, Contoso has decided that users may only access email and SharePoint data on mobile devices as long as they use an approved client app like Outlook mobile. Alla användare har redan loggat in med autentiseringsuppgifter för Azure AD och har tilldelade licenser som innehåller Azure AD Premium P1 eller P2 och Microsoft Intune.All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

Organisationer måste utföra följande tre steg för att kräva att en godkänd klient app används på mobila enheter och Exchange ActiveSync-klienter.Organizations must complete the following three steps in order to require the use of an approved client app on mobile devices and Exchange ActiveSync clients.

Steg 1: princip för Android-och iOS-baserade moderna autentiserade klienter som kräver användning av ett godkänt klient program vid åtkomst till Exchange Online och SharePoint Online.Step 1: Policy for Android and iOS based modern authentication clients requiring the use of an approved client application when accessing Exchange Online and SharePoint Online.

  1. Logga in på Azure Portal som global administratör, säkerhets administratör eller villkorlig åtkomst administratör.Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. Bläddra till Azure Active Directory > säkerhet > villkorlig åtkomst.Browse to Azure Active Directory > Security > Conditional Access.
  3. Välj ny princip.Select New policy.
  4. Ge principen ett namn.Give your policy a name. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på deras principer.We recommend that organizations create a meaningful standard for the names of their policies.
  5. Under tilldelningarväljer du användare och grupperUnder Assignments, select Users and groups
    1. Under Inkluderaväljer du alla användare eller de enskilda användare och grupper som du vill tillämpa principen på.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Välj Done (Klar).Select Done.
  6. Under molnappar eller åtgärder > inkluderarväljer du Office 365 Exchange Online och Office 365 SharePoint Online.Under Cloud apps or actions > Include, select Office 365 Exchange Online and Office 365 SharePoint Online.
  7. Under villkorväljer du enhets plattformar.Under Conditions, select Device platforms.
    1. Konfigurera till Ja.Set Configure to Yes.
    2. Ta med Android och iOS.Include Android and iOS.
  8. Under villkorväljer du klient program (för hands version).Under Conditions, select Client apps (preview).
    1. Konfigurera till Ja.Set Configure to Yes.
    2. Välj Mobilappar och skrivbordsklienter och Moderna autentiseringsklienter.Select Mobile apps and desktop clients and Modern authentication clients.
  9. Under åtkomst kontroller > tilldelarväljer du bevilja åtkomst, kräver godkänd klient appoch väljer Välj.Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  10. Bekräfta inställningarna och ange Aktivera princip till .Confirm your settings and set Enable policy to On.
  11. Välj skapa för att skapa och aktivera din princip.Select Create to create and enable your policy.

Steg 2: princip för Exchange ActiveSync-klienter som kräver användning av en godkänd klient app.Step 2: Policy for Exchange ActiveSync clients requiring the use of an approved client app.

  1. Bläddra till Azure Active Directory > säkerhet > villkorlig åtkomst.Browse to Azure Active Directory > Security > Conditional Access.
  2. Välj ny princip.Select New policy.
  3. Ge principen ett namn.Give your policy a name. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på deras principer.We recommend that organizations create a meaningful standard for the names of their policies.
  4. Under tilldelningarväljer du användare och grupperUnder Assignments, select Users and groups
    1. Under Inkluderaväljer du alla användare eller de enskilda användare och grupper som du vill tillämpa principen på.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Välj Done (Klar).Select Done.
  5. Under molnappar eller åtgärder > inkluderarväljer du Office 365 Exchange Online.Under Cloud apps or actions > Include, select Office 365 Exchange Online.
  6. Under villkor:Under Conditions:
    1. Klient program (för hands version):Client apps (preview):
      1. Konfigurera till Ja.Set Configure to Yes.
      2. Välj mobilappar och skriv bords klienter och Exchange ActiveSync-klienter.Select Mobile apps and desktop clients and Exchange ActiveSync clients.
  7. Under åtkomst kontroller > tilldelarväljer du bevilja åtkomst, kräver godkänd klient appoch väljer Välj.Under Access controls > Grant, select Grant access, Require approved client app, and select Select.
  8. Bekräfta inställningarna och ange Aktivera princip till .Confirm your settings and set Enable policy to On.
  9. Välj skapa för att skapa och aktivera din princip.Select Create to create and enable your policy.

Steg 3: Konfigurera Intune-appens skydds princip för iOS-och Android-klientprogram.Step 3: Configure Intune app protection policy for iOS and Android client applications.

Läs artikeln så här skapar och tilldelar du skydds principer för apparför att skapa skydds principer för Android och iOS.Review the article How to create and assign app protection policies, for steps to create app protection policies for Android and iOS.

Nästa stegNext steps

Vad är villkorsstyrd åtkomst?What is Conditional Access?

Komponenter för villkorlig åtkomstConditional access components

Vanliga principer för villkorlig åtkomstCommon Conditional Access policies