Gör så här: Kräv app Protection-princip och en godkänd klient app för åtkomst till Cloud App med villkorlig åtkomstHow to: Require app protection policy and an approved client app for cloud app access with Conditional Access

Användarna använder regelbundet sina mobila enheter för både personliga och arbetsrelaterade uppgifter.People regularly use their mobile devices for both personal and work tasks. När du ser till att personalen kan vara produktiv, vill organisationer även förhindra data förlust från potentiellt osäkra program.While making sure staff can be productive, organizations also want to prevent data loss from potentially unsecure applications. Med villkorlig åtkomst kan organisationer begränsa åtkomsten till godkända (moderna autentiserings kapabel)-klient program med Intunes skydds principer för appar.With Conditional Access, organizations can restrict access to approved (modern authentication capable) client apps with Intune app protection policies applied to them.

I den här artikeln presenteras tre scenarier för att konfigurera principer för villkorlig åtkomst för resurser som Microsoft 365, Exchange Online och SharePoint.This article presents three scenarios to configure Conditional Access policies for resources like Microsoft 365, Exchange Online, and SharePoint.

I den villkorliga åtkomsten känner de här klient programmen till att skyddas med en skydds princip för appar.In the Conditional Access, these client apps are known to be protected with an app protection policy. Mer information om skydds principer för appar finns i artikeln, Översikt över app Protection-principerMore information about app protection policies can be found in the article, App protection policies overview

Varning

Alla program stöds inte som godkända program eller stöder program skydds principer.Not all applications are supported as approved applications or support application protection policies. En lista över tillgängliga klient program finns i krav på skydds princip för appar.For a list of eligible client apps, see App protection policy requirement.

Anteckning

"Kräv en av de valda kontrollerna" under Granting Controls är som en OR-sats."Require one of the selected controls" under grant controls is like an OR clause. Detta används inom en princip för att tillåta att användare använder appar som har stöd för antingen Kräv app Protection-princip eller kräver godkända kontroller för klient programs tilldelning.This is used within policy to enable users to utilize apps that support either the Require app protection policy or Require approved client app grant controls. Kräv att appens skydds princip tillämpas om en app stöds i båda principerna.Require app protection policy is enforced if an app is supported in both policies. Mer information om vilka appar som stöder Kräv skydds kontroll för program skydds principen finns i krav på skydds principför appar.For more information on which apps support the Require app protection policy grant control, see App protection policy requirement.

Scenario 1: Microsoft 365 appar kräver godkända appar med skydds principer för apparScenario 1: Microsoft 365 apps require approved apps with app protection policies

I det här scenariot har contoso beslutat att all mobil åtkomst till Microsoft 365 resurser måste använda godkända klient program, t. ex. Outlook Mobile och OneDrive, som skyddas av en skydds princip för appar innan åtkomsten tas emot.In this scenario, Contoso has decided that all mobile access to Microsoft 365 resources must use approved client apps, like Outlook mobile and OneDrive, protected by an app protection policy prior to receiving access. Alla användare har redan loggat in med autentiseringsuppgifter för Azure AD och har tilldelade licenser som innehåller Azure AD Premium P1 eller P2 och Microsoft Intune.All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

Organisationer måste utföra följande steg för att kräva att ett godkänt klient program används på mobila enheter.Organizations must complete the following steps in order to require the use of an approved client app on mobile devices.

Steg 1: Konfigurera en princip för villkorlig åtkomst för Azure AD för Microsoft 365Step 1: Configure an Azure AD Conditional Access policy for Microsoft 365

  1. Logga in på Azure Portal som global administratör, säkerhets administratör eller villkorlig åtkomst administratör.Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. Bläddra till Azure Active Directory > säkerhet > villkorlig åtkomst.Browse to Azure Active Directory > Security > Conditional Access.
  3. Välj ny princip.Select New policy.
  4. Ge principen ett namn.Give your policy a name. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på deras principer.We recommend that organizations create a meaningful standard for the names of their policies.
  5. Under tilldelningarväljer du användare och grupperUnder Assignments, select Users and groups
    1. Under Inkluderaväljer du alla användare eller de enskilda användare och grupper som du vill tillämpa principen på.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Välj Done (Klar).Select Done.
  6. Under molnappar eller åtgärder > inkluderarväljer du Office 365.Under Cloud apps or actions > Include, select Office 365.
  7. Under villkorväljer du enhets plattformar.Under Conditions, select Device platforms.
    1. Konfigurera till Ja.Set Configure to Yes.
    2. Ta med Android och iOS.Include Android and iOS.
  8. Under villkorväljer du klient program.Under Conditions, select Client apps.
    1. Konfigurera till Ja.Set Configure to Yes.
    2. Välj mobilappar och skriv bords klienter och avmarkera allt annat.Select Mobile apps and desktop clients and deselect everything else.
  9. Under åtkomst kontrolls > beviljandeväljer du följande alternativ:Under Access controls > Grant, select the following options:
    • Kräv godkänd klientappRequire approved client app
    • Kräv app Protection-princip (förhands granskning)Require app protection policy (preview)
    • Kräv alla markerade kontrollerRequire all the selected controls
  10. Bekräfta inställningarna och ange Aktivera princip till .Confirm your settings and set Enable policy to On.
  11. Välj skapa för att skapa och aktivera din princip.Select Create to create and enable your policy.

Steg 2: Konfigurera en Azure AD-princip för villkorlig åtkomst för Exchange Online med ActiveSync (EAS)Step 2: Configure an Azure AD Conditional Access policy for Exchange Online with ActiveSync (EAS)

Konfigurera följande komponenter för principen för villkorlig åtkomst i det här steget:For the Conditional Access policy in this step, configure the following components:

  1. Bläddra till Azure Active Directory > säkerhet > villkorlig åtkomst.Browse to Azure Active Directory > Security > Conditional Access.
  2. Välj ny princip.Select New policy.
  3. Ge principen ett namn.Give your policy a name. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på deras principer.We recommend that organizations create a meaningful standard for the names of their policies.
  4. Under tilldelningarväljer du användare och grupperUnder Assignments, select Users and groups
    1. Under Inkluderaväljer du alla användare eller de enskilda användare och grupper som du vill tillämpa principen på.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Välj Done (Klar).Select Done.
  5. Under molnappar eller åtgärder > inkluderarväljer du Office 365 Exchange Online.Under Cloud apps or actions > Include, select Office 365 Exchange Online.
  6. Under villkorväljer du klient program:Under Conditions, select Client apps:
    1. Konfigurera till Ja.Set Configure to Yes.
    2. Välj Exchange ActiveSync-klienter och avmarkera allt annat.Select Exchange ActiveSync clients and deselect everything else.
  7. Under åtkomst kontroller > tilldelarväljer du bevilja åtkomst, kräver app Protection-principoch väljer Välj.Under Access controls > Grant, select Grant access, Require app protection policy, and select Select.
  8. Bekräfta inställningarna och ange Aktivera princip till .Confirm your settings and set Enable policy to On.
  9. Välj skapa för att skapa och aktivera din princip.Select Create to create and enable your policy.

Steg 3: Konfigurera Intune-appens skydds princip för iOS-och Android-klientprogramStep 3: Configure Intune app protection policy for iOS and Android client applications

Läs artikeln så här skapar och tilldelar du skydds principer för apparför att skapa skydds principer för Android och iOS.Review the article How to create and assign app protection policies, for steps to create app protection policies for Android and iOS.

Scenario 2: webbläsarbaserade appar kräver godkända appar med skydds principer för apparScenario 2: Browser apps require approved apps with app protection policies

I det här scenariot har contoso beslutat att all åtkomst till mobila webbplatser till Microsoft 365 resurser måste använda en godkänd klient app, till exempel Edge för iOS och Android, som skyddas av en skydds princip för appar innan åtkomsten tas emot.In this scenario, Contoso has decided that all mobile web browsing access to Microsoft 365 resources must use an approved client app, like Edge for iOS and Android, protected by an app protection policy prior to receiving access. Alla användare har redan loggat in med autentiseringsuppgifter för Azure AD och har tilldelade licenser som innehåller Azure AD Premium P1 eller P2 och Microsoft Intune.All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

Organisationer måste utföra följande steg för att kräva att ett godkänt klient program används på mobila enheter.Organizations must complete the following steps in order to require the use of an approved client app on mobile devices.

Steg 1: Konfigurera en princip för villkorlig åtkomst för Azure AD för Microsoft 365Step 1: Configure an Azure AD Conditional Access policy for Microsoft 365

  1. Logga in på Azure Portal som global administratör, säkerhets administratör eller villkorlig åtkomst administratör.Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. Bläddra till Azure Active Directory > säkerhet > villkorlig åtkomst.Browse to Azure Active Directory > Security > Conditional Access.
  3. Välj ny princip.Select New policy.
  4. Ge principen ett namn.Give your policy a name. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på deras principer.We recommend that organizations create a meaningful standard for the names of their policies.
  5. Under tilldelningarväljer du användare och grupperUnder Assignments, select Users and groups
    1. Under Inkluderaväljer du alla användare eller de enskilda användare och grupper som du vill tillämpa principen på.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Välj Done (Klar).Select Done.
  6. Under molnappar eller åtgärder > inkluderarväljer du Office 365.Under Cloud apps or actions > Include, select Office 365.
  7. Under villkorväljer du enhets plattformar.Under Conditions, select Device platforms.
    1. Konfigurera till Ja.Set Configure to Yes.
    2. Ta med Android och iOS.Include Android and iOS.
  8. Under villkorväljer du klient program.Under Conditions, select Client apps.
    1. Konfigurera till Ja.Set Configure to Yes.
    2. Välj webbläsare och avmarkera allt annat.Select Browser and deselect everything else.
  9. Under åtkomst kontrolls > beviljandeväljer du följande alternativ:Under Access controls > Grant, select the following options:
    • Kräv godkänd klientappRequire approved client app
    • Kräv app Protection-princip (förhands granskning)Require app protection policy (preview)
    • Kräv alla markerade kontrollerRequire all the selected controls
  10. Bekräfta inställningarna och ange Aktivera princip till .Confirm your settings and set Enable policy to On.
  11. Välj skapa för att skapa och aktivera din princip.Select Create to create and enable your policy.

Steg 2: Konfigurera Intune-appens skydds princip för iOS-och Android-klientprogramStep 2: Configure Intune app protection policy for iOS and Android client applications

Läs artikeln så här skapar och tilldelar du skydds principer för apparför att skapa skydds principer för Android och iOS.Review the article How to create and assign app protection policies, for steps to create app protection policies for Android and iOS.

Scenario 3: Exchange Online och SharePoint kräver en godkänd klient app och app Protection-principScenario 3: Exchange Online and SharePoint require an approved client app and app protection policy

I det här scenariot har contoso beslutat att användare bara får åtkomst till e-post och SharePoint-data på mobila enheter, så länge de använder en godkänd klient app som Outlook Mobile skyddas av en app Protection-princip innan åtkomsten tas emot.In this scenario, Contoso has decided that users may only access email and SharePoint data on mobile devices as long as they use an approved client app like Outlook mobile protected by an app protection policy prior to receiving access. Alla användare har redan loggat in med autentiseringsuppgifter för Azure AD och har tilldelade licenser som innehåller Azure AD Premium P1 eller P2 och Microsoft Intune.All of their users already sign in with Azure AD credentials and have licenses assigned to them that include Azure AD Premium P1 or P2 and Microsoft Intune.

Organisationer måste utföra följande tre steg för att kräva att en godkänd klient app används på mobila enheter och Exchange ActiveSync-klienter.Organizations must complete the following three steps in order to require the use of an approved client app on mobile devices and Exchange ActiveSync clients.

Steg 1: princip för Android-och iOS-baserade moderna autentisering klienter som kräver användning av en godkänd klient app och app Protection-princip vid åtkomst till Exchange Online och SharePoint.Step 1: Policy for Android and iOS based modern authentication clients requiring the use of an approved client app and app protection policy when accessing Exchange Online and SharePoint.

  1. Logga in på Azure Portal som global administratör, säkerhets administratör eller villkorlig åtkomst administratör.Sign in to the Azure portal as a global administrator, security administrator, or Conditional Access administrator.
  2. Bläddra till Azure Active Directory > säkerhet > villkorlig åtkomst.Browse to Azure Active Directory > Security > Conditional Access.
  3. Välj ny princip.Select New policy.
  4. Ge principen ett namn.Give your policy a name. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på deras principer.We recommend that organizations create a meaningful standard for the names of their policies.
  5. Under tilldelningarväljer du användare och grupperUnder Assignments, select Users and groups
    1. Under Inkluderaväljer du alla användare eller de enskilda användare och grupper som du vill tillämpa principen på.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Välj Done (Klar).Select Done.
  6. Under molnappar eller åtgärder > inkluderarväljer du Office 365 Exchange Online och Office 365 SharePoint Online.Under Cloud apps or actions > Include, select Office 365 Exchange Online and Office 365 SharePoint Online.
  7. Under villkorväljer du enhets plattformar.Under Conditions, select Device platforms.
    1. Konfigurera till Ja.Set Configure to Yes.
    2. Ta med Android och iOS.Include Android and iOS.
  8. Under villkorväljer du klient program.Under Conditions, select Client apps.
    1. Konfigurera till Ja.Set Configure to Yes.
    2. Välj mobilappar och skriv bords klienter och avmarkera allt annat.Select Mobile apps and desktop clients and deselect everything else.
  9. Under åtkomst kontrolls > beviljandeväljer du följande alternativ:Under Access controls > Grant, select the following options:
    • Kräv godkänd klientappRequire approved client app
    • Kräv app Protection-princip (förhands granskning)Require app protection policy (preview)
    • Kräv en av de valda kontrollernaRequire one of the selected controls
  10. Bekräfta inställningarna och ange Aktivera princip till .Confirm your settings and set Enable policy to On.
  11. Välj skapa för att skapa och aktivera din princip.Select Create to create and enable your policy.

Steg 2: princip för Exchange ActiveSync-klienter som kräver användning av en godkänd klient app.Step 2: Policy for Exchange ActiveSync clients requiring the use of an approved client app.

  1. Bläddra till Azure Active Directory > säkerhet > villkorlig åtkomst.Browse to Azure Active Directory > Security > Conditional Access.
  2. Välj ny princip.Select New policy.
  3. Ge principen ett namn.Give your policy a name. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på deras principer.We recommend that organizations create a meaningful standard for the names of their policies.
  4. Under tilldelningarväljer du användare och grupperUnder Assignments, select Users and groups
    1. Under Inkluderaväljer du alla användare eller de enskilda användare och grupper som du vill tillämpa principen på.Under Include, select All users or the specific Users and groups you wish to apply this policy to.
    2. Välj Done (Klar).Select Done.
  5. Under molnappar eller åtgärder > inkluderarväljer du Office 365 Exchange Online.Under Cloud apps or actions > Include, select Office 365 Exchange Online.
  6. Under villkorväljer du klient program:Under Conditions, select Client apps:
    1. Konfigurera till Ja.Set Configure to Yes.
    2. Välj Exchange ActiveSync-klienter och avmarkera allt annat.Select Exchange ActiveSync clients and deselect everything else.
  7. Under åtkomst kontroller > tilldelarväljer du bevilja åtkomst, kräver app Protection-principoch väljer Välj.Under Access controls > Grant, select Grant access, Require app protection policy, and select Select.
  8. Bekräfta inställningarna och ange Aktivera princip till .Confirm your settings and set Enable policy to On.
  9. Välj skapa för att skapa och aktivera din princip.Select Create to create and enable your policy.

Steg 3: Konfigurera Intune-appens skydds princip för iOS-och Android-klientprogram.Step 3: Configure Intune app protection policy for iOS and Android client applications.

Läs artikeln så här skapar och tilldelar du skydds principer för apparför att skapa skydds principer för Android och iOS.Review the article How to create and assign app protection policies, for steps to create app protection policies for Android and iOS.

Nästa stegNext steps

Vad är villkorsstyrd åtkomst?What is Conditional Access?

Komponenter för villkorlig åtkomstConditional access components

Vanliga principer för villkorlig åtkomstCommon Conditional Access policies