Een app-beveiligingsbeleid vereisen op Windows-apparaten
App-beveiligingsbeleid is van toepassing op Mobile Application Management (MAM) voor specifieke toepassingen op een apparaat. Met deze beleidsregels kunt u gegevens binnen een toepassing beveiligen voor bepaalde scenario's zoals Bring Your Own Device (BYOD).
Vereisten
- We ondersteunen het toepassen van beleid op de Microsoft Edge-browser op apparaten met Windows 11 en Windows 10 versie 20H2 en hoger met KB5031445.
- Geconfigureerd app-beveiligingsbeleid gericht op Windows-apparaten.
- Momenteel niet ondersteund in onafhankelijke clouds.
Uitsluitingen van gebruikers
Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:
-
Accounts voor noodtoegang of break-glass om vergrendeling te voorkomen vanwege onjuiste configuratie van beleid. In het onwaarschijnlijke scenario zijn alle beheerders vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en stappen uit te voeren om de toegang te herstellen.
- Meer informatie vindt u in het artikel, Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID.
-
Serviceaccounts en serviceprincipals, zoals het Microsoft Entra Connect Sync-account. Serviceaccounts zijn niet-interactieve accounts die niet zijn gebonden aan een bepaalde gebruiker. Ze worden normaal gebruikt door back-end services die programmatische toegang tot toepassingen mogelijk maken, maar worden ook gebruikt om in te loggen op systemen voor administratieve doeleinden. Oproepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workload-identiteiten om beleidsregels te definiƫren die gericht zijn op service-principals.
- Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten.
Beleid voor voorwaardelijke toegang maken
Het volgende beleid wordt aanvankelijk in de Alleen rapporteren modus geplaatst, zodat beheerders de impact op bestaande gebruikers kunnen bepalen. Wanneer beheerders vertrouwd zijn dat het beleid van toepassing is zoals ze bedoelen, kunnen ze overschakelen naar Aan of de implementatie in fasen uitrollen door specifieke groepen toe te voegen en anderen uit te sluiten.
App-beveiligingsbeleid vereisen voor Windows-apparaten
De volgende stappen helpen bij het maken van een beleid voor voorwaardelijke toegang waarvoor een app-beveiligingsbeleid is vereist bij het gebruik van een Windows-apparaat dat toegang heeft tot de Office 365-appsgroepering in voorwaardelijke toegang. Het beveiligingsbeleid voor apps moet ook worden geconfigureerd en toegewezen aan uw gebruikers in Microsoft Intune. Zie het artikel App-beveiliging beleidsinstellingen voor Windows voor meer informatie over het maken van het beveiligingsbeleid voor apps. Het volgende beleid omvat meerdere controles waarmee apparaten beleid voor app-bescherming voor Mobile Application Management (MAM) kunnen gebruiken en eveneens kunnen worden beheerd en voldoen aan het Mobile Device Management (MDM) beleid.
Tip
App-beveiliging-beleid (MAM) ondersteunt niet-beheerde apparaten:
- Als een apparaat al wordt beheerd via Mobile Device Management (MDM), wordt Intune MAM-inschrijving geblokkeerd en worden instellingen voor app-beveiligingsbeleid niet toegepast.
- Als een apparaat na MAM-inschrijving wordt beheerd, worden de beleidsinstellingen voor app-beveiliging niet meer toegepast.
- Meld u aan bij het Microsoft Entra-beheercentrum als minstens een Beheerder voor voorwaardelijke toegang.
- Blader naar
Beveiliging Voorwaardelijke Toegang Beleid. - Selecteer Nieuw beleid.
- Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
- Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
- Selecteer onder Opnemen de optie Alle gebruikers.
- Onder Uitsluiten selecteert u Gebruikers en groepen en kiest u ten minste de toegang tot noodgevallen of break-glass-accounts van uw organisatie.
- Selecteer onder
Doelresources Resources (voorheen cloud-apps) opnemen ,Office 365 . - Onder voorwaarden:
-
Apparaatplatformen ingesteld op Configureren op Ja.
- Selecteer apparaatplatformen onder Opnemen.
- Kies alleen Windows.
- Selecteer Gereed.
-
Client-apps ingesteld om Configureren op Ja te zetten.
- Selecteer Browser alleen.
-
Apparaatplatformen ingesteld op Configureren op Ja.
- Selecteer onderToegangsbeheer>Verlenen de optie Toegang verlenen.
- Selecteer App-beveiligingsbeleid vereisen en Vereisen dat het apparaat als compatibel moet worden gemarkeerd.
- Onder Voor meerdere besturingselementen selecteert u Een van de geselecteerde besturingselementen vereisen
- Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
- Selecteer Maken om uw beleid in te schakelen.
Notitie
Als u instelt op Vereisen van alle geselecteerde besturingselementen of alleen het Beleid voor app-beveiliging vereisen, moet u ervoor zorgen dat u alleen onbeheerde apparaten richt of dat de apparaten niet door MDM worden beheerd. Anders blokkeert het beleid de toegang tot alle toepassingen, omdat het niet kan beoordelen of de toepassing voldoet aan het beleid.
Nadat beheerders de instellingen hebben bevestigd met de Alleen-rapportmodus, kunnen ze de wisselknop voor beleid inschakelen van Alleen-rapport naar Aan schakelen.
Tip
Organisaties moeten ook een beleid implementeren dat de toegang blokkeert vanaf niet-ondersteunde of onbekende apparaatplatforms , samen met dit beleid.
Aanmelden bij Windows-apparaten
Wanneer gebruikers voor de eerste keer proberen zich aan te melden bij een site die is beschermd door een app-beveiligingsbeleid, krijgen ze de melding: Om toegang te krijgen tot uw service, app of website, moet u zich mogelijk aanmelden bij Microsoft Edge met username@domain.com
of uw apparaat registreren met organization
als u al bent aangemeld.
Als u op Een Switch Edge-profiel klikt, wordt een venster geopend met het werk- of schoolaccount, samen met een optie om u aan te melden om gegevens te synchroniseren.
Met dit proces opent u een venster waarin Windows uw account kan onthouden en u automatisch kunt aanmelden bij uw apps en websites.
Let op
Je moet het selectievakje uitschakelen waarmee ik mijn organisatie toestemming geef mijn apparaat te beheren. Als u dit selectievakje inschakelt, wordt uw apparaat aangemeld voor Mobile Device Management (MDM) en niet bij Mobile Application Management (MAM).
Selecteer niet Nee, alleen aanmelden bij deze app.
Nadat u OK hebt geselecteerd, ziet u mogelijk een voortgangsvenster terwijl het beleid wordt toegepast. Na enkele ogenblikpen ziet u een venster waarin staat dat u klaar bent, app-beveiligingsbeleid wordt toegepast.
Probleemoplossing
Algemene problemen
In sommige gevallen wordt u na het ophalen van de pagina 'U bent klaar' mogelijk nog steeds gevraagd u aan te melden met uw werkaccount. Deze prompt kan optreden wanneer:
- Uw profiel wordt toegevoegd aan Microsoft Edge, maar MAM-inschrijving wordt nog steeds verwerkt.
- Uw profiel wordt toegevoegd aan Microsoft Edge, maar u hebt deze app alleen geselecteerd op de koppagina.
- U bent ingeschreven bij MAM, maar uw inschrijving is verlopen of u voldoet niet aan de vereisten van uw organisatie.
Ga als volgt te werk om deze mogelijke scenario's op te lossen:
- Wacht enkele minuten en probeer het opnieuw op een nieuw tabblad.
- Neem contact op met uw beheerder om te controleren of het MAM-beleid van Microsoft Intune correct op uw account wordt toegepast.
Bestaand account
Er is een bekend probleem waarbij er een bestaand, niet-geregistreerd account is, zoals user@contoso.com
in Microsoft Edge, of als een gebruiker zich aanmeldt zonder zich te registreren met behulp van de heads-uppagina, dan is het account niet juist ingeschreven bij MAM. Deze configuratie blokkeert dat de gebruiker correct wordt ingeschreven bij MAM.