Share via

Kräv en appskyddsprincip på Windows-enheter

  • Artikel

Appskydd principer tillämpar hantering av mobilprogram (MAM) på specifika program på en enhet. Dessa policyer gör det möjligt att skydda data i en app som stöd för scenarier som BYOD (Bring Your Own Device). Vi stöder tillämpning av principer för Microsoft Edge-webbläsaren på Windows 11-enheter.

Screenshot of a browser requiring the user to sign in to their Microsoft Edge profile to access an application.

Förutsättningar

  • Vi stöder tillämpning av principer för Microsoft Edge-webbläsaren på enheter som kör Windows 11 och Windows 10 version 20H2 och senare med KB5031445.
  • Konfigurerad appskyddsprincip för Windows-enheter.
  • Stöds för närvarande inte i nationella moln.

Användarundantag

Principer för villkorlig åtkomst är kraftfulla verktyg. Vi rekommenderar att du undantar följande konton från dina principer:

  • Nödåtkomst eller break-glass-konton för att förhindra kontoutelåsning i hela klientorganisationen. I det osannolika scenariot är alla administratörer utelåst från din klientorganisation, och ditt administrationskonto för nödåtkomst kan användas för att logga in på klientorganisationen för att vidta åtgärder för att återställa åtkomsten.
  • Tjänstkonton och tjänstens huvudnamn, till exempel Microsoft Entra Anslut Sync-konto. Tjänstkonton är icke-interaktiva konton som inte är knutna till någon viss användare. De används normalt av serverdelstjänster som tillåter programmatisk åtkomst till program, men används också för att logga in på system i administrativa syften. Tjänstkonton som dessa bör undantas eftersom MFA inte kan slutföras programmatiskt. Anrop som görs av tjänstens huvudnamn blockeras inte av principer för villkorsstyrd åtkomst som begränsas till användare. Använd villkorsstyrd åtkomst för arbetsbelastningsidentiteter för att definiera principer som riktar sig till tjänstens huvudnamn.
    • Om din organisation har dessa konton som används i skript eller kod kan du överväga att ersätta dem med hanterade identiteter. Som en tillfällig lösning kan du exkludera dessa specifika konton från baslinjeprincipen.

Skapa en princip för villkorsstyrd åtkomst

Följande princip placeras i läget Endast rapport för att starta så att administratörer kan avgöra vilken inverkan de har på befintliga användare. När administratörer är bekväma med att principen tillämpas som de vill kan de växla till På eller mellanlagra distributionen genom att lägga till specifika grupper och exkludering av andra.

Kräv appskyddsprincip för Windows-enheter

Följande steg hjälper dig att skapa en princip för villkorsstyrd åtkomst som kräver en appskyddsprincip när du använder en Windows-enhet som har åtkomst till Office 365-appgruppering i villkorlig åtkomst. Appskyddsprincipen måste också konfigureras och tilldelas till dina användare i Microsoft Intune. Mer information om hur du skapar appskyddsprincipen finns i artikeln Appskydd principinställningar för Windows. Följande princip innehåller flera kontroller som gör det möjligt för enheter att antingen använda appskyddsprinciper för hantering av mobilprogram (MAM) eller vara hanterade och kompatibla med MDM-principer (hantering av mobila enheter).

Dricks

Appskydd principer (MAM) stöder ohanterade enheter:

  • Om en enhet redan hanteras via hantering av mobila enheter (MDM) blockeras Intune MAM-registreringen och principinställningarna för appskydd tillämpas inte.
  • Om en enhet hanteras efter MAM-registrering tillämpas inte längre inställningar för appskyddsprinciper.
  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.
  2. Bläddra till Villkorlig åtkomst för skydd>.
  3. Välj Skapa ny princip.
  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
    1. Under Inkludera väljer du Alla användare.
    2. Under Exkludera väljer du Användare och grupper och väljer åtminstone organisationens nödåtkomst eller break-glass-konton.
  6. Under Målresurser>Molnappar>Inkludera väljer du Office 365.
  7. Under förhållanden:
    1. Enhetsplattformarna konfigurerar till Ja.
      1. Under Inkludera väljer du enhetsplattformar.
      2. Välj endast Windows .
      3. Välj Klar.
    2. Klientappar ställer in KonfigureraJa.
      1. Välj Endast webbläsare .
  8. Under Åtkomstkontroller>Bevilja väljer du Bevilja åtkomst.
    1. Välj Kräv appskyddsprincip och Kräv att enheten markeras som kompatibel.
    2. För flera kontroller väljer du Kräv en av de valda kontrollerna
  9. Bekräfta inställningarna och ange Aktivera princip till Endast rapport.
  10. Välj Skapa för att skapa för att aktivera principen.

När administratörerna har bekräftat inställningarna med läget endast rapport kan de flytta växlingsknappen Aktivera princip från Endast rapport till .

Dricks

Organisationer bör också distribuera en princip som blockerar åtkomst från plattformar som inte stöds eller okända enhetsplattformar tillsammans med den här principen.

Logga in på Windows-enheter

När användare försöker logga in på en webbplats som skyddas av en appskyddsprincip för första gången uppmanas de: Om du vill komma åt din tjänst, app eller webbplats kan du behöva logga in på Microsoft Edge med eller username@domain.com registrera enheten med organization om du redan är inloggad.

Om du klickar på Switch Edge-profilen öppnas ett fönster som visar deras arbets- eller skolkonto tillsammans med ett alternativ för att logga in för att synkronisera data.

Screenshot showing the popup in Microsoft Edge asking user to sign in.

Den här processen öppnar ett fönstererbjudande som gör att Windows kan komma ihåg ditt konto och automatiskt logga in dig på dina appar och webbplatser.

Varning

Du måste AVMARKERA KRYSSRUTANTillåt att min organisation hanterar min enhet. Om du lämnar detta markerat registreras enheten i hantering av mobila enheter (MDM) inte hantering av mobilprogram (MAM).

Välj inte Nej, logga bara in på den här appen.

Screenshot showing the stay signed in to all your apps window. Uncheck the allow my organization to manage my device checkbox.

När du har valt OK kan du se ett förloppsfönster medan principen tillämpas. Efter en liten stund bör du se ett fönster som säger Att allt är inställt, appskyddsprinciper tillämpas.

Felsökning

Vanliga problem

I vissa fall kan du fortfarande uppmanas att logga in med ditt arbetskonto när du har fått sidan "du är helt inställd". Den här uppmaningen kan inträffa när:

  • Din profil läggs till i Microsoft Edge, men MAM-registreringen bearbetas fortfarande.
  • Din profil läggs till i Microsoft Edge, men du har valt "endast den här appen" på sidan heads up.
  • Du har registrerat dig för MAM men registreringen har upphört att gälla eller så är du inte kompatibel med organisationens krav.

Så här löser du dessa möjliga scenarier:

  • Vänta några minuter och försök igen på en ny flik.
  • Kontakta administratören för att kontrollera att Microsoft Intune MAM-principer tillämpas korrekt på ditt konto.

Befintligt konto

Det finns ett känt problem där det finns ett befintligt, oregistrerat konto, till exempel user@contoso.com i Microsoft Edge, eller om en användare loggar in utan att registrera sig på heads up-sidan, så registreras inte kontot korrekt i MAM. Den här konfigurationen blockerar användaren från att registreras korrekt i MAM.

Nästa steg