Dela via


Inställningar för Android-appskyddsprinciper i Microsoft Intune

Den här artikeln beskriver inställningarna för appskyddsprinciper för Android-enheter. De principinställningar som beskrivs kan konfigureras för en appskyddsprincip i fönstret Inställningar i portalen. Det finns tre kategorier av principinställningar: dataskyddsinställningar, åtkomstkrav och villkorlig start. I den här artikeln refererar termen principhanterade appar till appar som har konfigurerats med appskyddsprinciper.

Viktigt

Den Intune-företagsportal krävs på enheten för att ta emot appskyddsprinciper för Android-enheter.

Intune Managed Browser har dragits tillbaka. Använd Microsoft Edge för din skyddade Intune webbläsarupplevelse.

Dataskydd

Dataöverföring

Inställning Användning Standardvärde
Säkerhetskopiera organisationsdata till Android Backup-tjänster Välj Blockera för att förhindra att den här appen säkerhetskopierar arbets- eller skoldata till Android Backup Service.

Välj Tillåt för att tillåta att den här appen säkerhetskopierar arbets- eller skoldata.
Tillåt
Skicka organisationsdata till andra appar Ange vilka appar som kan ta emot data från den här appen:
  • Principhanterade appar: Tillåt endast överföring till andra principhanterade appar.
  • Alla appar: Tillåt överföring till alla appar.
  • Ingen: Tillåt inte dataöverföring till någon app, inklusive andra principhanterade appar.

Det finns vissa undantagna appar och tjänster som Intune kan tillåta dataöverföring som standard. Dessutom kan du skapa egna undantag om du behöver tillåta att data överförs till en app som inte stöder Intune APP. Mer information finns i Undantag för dataöverföring.

Den här principen kan också gälla android-applänkar. Allmänna webblänkar hanteras av öppna applänkar i Intune Managed Browser principinställning.

Obs!

Intune stöder för närvarande inte funktionen Android Instant Apps. Intune blockerar alla dataanslutningar till eller från appen. Mer information finns i Android Instant Apps i Android Developer-dokumentationen.

Om Skicka organisationsdata till andra appar har konfigurerats för Alla appar kan textdata fortfarande överföras via OS-delning till Urklipp.

Alla appar
    Välj appar som ska undantas
Det här alternativet är tillgängligt när du väljer Principhanterade appar för föregående alternativ.
    Spara kopior av organisationsdata
Välj Blockera för att inaktivera användningen av alternativet Spara som i den här appen. Välj Tillåt om du vill tillåta användning av Spara som. När inställningen Är inställd på Blockera kan du konfigurera inställningen Tillåt användare att spara kopior till valda tjänster.

Obs!
  • Den här inställningen stöds för Microsoft Excel, OneNote, PowerPoint, Word och Edge. Det kan också stödjas av appar från tredje part och LOB.
  • Den här inställningen kan bara konfigureras när inställningen Skicka organisationsdata till andra appar är inställd på Principhanterade appar.
  • Den här inställningen är "Tillåt" när inställningen Skicka organisationsdata till andra appar är inställd på Alla appar.
  • Den här inställningen är "Blockera" utan tillåtna tjänstplatser när inställningen Skicka organisationsdata till andra appar är inställd på Ingen.
  • Den här inställningen sparar filer som krypterade om Kryptera organisationsdata har angetts till Kräv.
Tillåt
      Tillåt användare att spara kopior till valda tjänster
Användare kan spara till de valda tjänsterna (OneDrive för företag, SharePoint, Fotobibliotek, Box och Lokal lagring). Alla andra tjänster kommer att blockeras. 0 valt
    Överföra telekommunikationsdata till
När en användare väljer ett hyperlänkat telefonnummer i en app öppnas vanligtvis en uppringningsapp med telefonnumret ifyllt och redo att ringa. För den här inställningen väljer du hur den här typen av innehållsöverföring ska hanteras när den initieras från en principhanterad app:
  • Ingen, överför inte dessa data mellan appar: Överför inte kommunikationsdata när ett telefonnummer identifieras.
  • En specifik uppringningsapp: Tillåt att en specifik uppringningsapp initierar kontakt när ett telefonnummer identifieras.
  • Valfri principhanterad uppringningsapp: Tillåt att alla principhanterade uppringningsappar initierar kontakt när ett telefonnummer identifieras.
  • Alla uppringningsappar: Tillåt att alla uppringningsappar används för att initiera kontakt när ett telefonnummer identifieras.
Valfri uppringningsapp
      Paket-ID för uppringningsapp
När en specifik uppringningsapp har valts måste du ange appaketets ID. Blank
      Namn på uppringningsapp
När en specifik uppringningsapp har valts måste du ange namnet på uppringningsappen. Blank
    Överföra meddelandedata till
När en användare väljer ett hyperlänkat telefonnummer i en app öppnas vanligtvis en uppringningsapp med telefonnumret ifyllt och redo att ringa. För den här inställningen väljer du hur den här typen av innehållsöverföring ska hanteras när den initieras från en principhanterad app. För den här inställningen väljer du hur den här typen av innehållsöverföring ska hanteras när den initieras från en principhanterad app:
  • Ingen, överför inte dessa data mellan appar: Överför inte kommunikationsdata när ett telefonnummer identifieras.
  • En specifik meddelandeapp: Tillåt att en specifik meddelandeapp används för att initiera kontakt när ett telefonnummer identifieras.
  • Valfri principhanterad meddelandeapp: Tillåt att alla principhanterade meddelandeappar används för att initiera kontakt när ett telefonnummer identifieras.
  • Alla meddelandeappar: Tillåt att alla meddelandeappar används för att initiera kontakt när ett telefonnummer identifieras.
Alla meddelandeappar
      Paket-ID för meddelandeapp
När en specifik meddelandeapp har valts måste du ange appaketets ID. Blank
      Namn på meddelandeapp
När en specifik meddelandeapp har valts måste du ange namnet på meddelandeappen. Blank
Ta emot data från andra appar Ange vilka appar som kan överföra data till den här appen:
  • Principhanterade appar: Tillåt endast överföring från andra principhanterade appar.
  • Alla appar: Tillåt dataöverföring från valfri app.
  • Ingen: Tillåt inte dataöverföring från någon app, inklusive andra principhanterade appar.

Det finns vissa undantagna appar och tjänster som Intune kan tillåta dataöverföring från. En fullständig lista över appar och tjänster finns i Undantag för dataöverföring .

Alla appar
    Öppna data i organisationsdokument
Välj Blockera om du vill inaktivera användningen av alternativet Öppna eller andra alternativ för att dela data mellan konton i den här appen. Välj Tillåt om du vill tillåta användning av Öppna.

När det är inställt på Blockera kan du konfigurera Tillåt användare att öppna data från valda tjänster till specifika vilka tjänster som tillåts för organisationens dataplatser.

Obs!
  • Den här inställningen kan bara konfigureras när inställningen Ta emot data från andra appar är inställd på Principhanterade appar.
  • Den här inställningen är "Tillåt" när inställningen Ta emot data från andra appar är inställd på Alla appar.
  • Den här inställningen är "Blockera" utan tillåtna tjänstplatser när inställningen Ta emot data från andra appar är inställd på Ingen.
  • Följande appar stöder den här inställningen:
    • OneDrive 6.14.1 eller senare.
    • Outlook för Android 4.2039.2 eller senare.
    • Teams för Android 1416/1.0.0.2021173701 eller senare.


Tillåt
      Tillåt användare att öppna data från valda tjänster
Välj de programlagringstjänster som användarna kan öppna data från. Alla andra tjänster blockeras. Om du väljer inga tjänster hindras användarna från att öppna data.

Tjänster som stöds:
  • OneDrive för företag
  • SharePoint Online
  • Kamera
  • Fotobibliotek
Not: Kameran innehåller inte åtkomst till foton eller fotogallerier. När du väljer Fotobibliotek (innehåller Androids fotoväljare) i inställningen Tillåt användare att öppna data från valda tjänster i Intune kan du tillåta att hanterade konton tillåter inkommande avbildningar/video från enhetens lokala lagring till deras hanterade appar.
Alla markerade
Begränsa klipp ut, kopiera och klistra in mellan andra appar Ange när åtgärderna klipp ut, kopiera och klistra in kan användas med den här appen. Välj mellan:
  • Blockerad: Tillåt inte åtgärder för klipp ut, kopiera och klistra in mellan den här appen och någon annan app.
  • Principhanterade appar: Tillåt åtgärder för att klippa ut, kopiera och klistra in mellan den här appen och andra principhanterade appar.
  • Princip som hanteras med inklistring: Tillåt klipp ut eller kopiera mellan den här appen och andra principhanterade appar. Tillåt att data från alla appar klistras in i den här appen.
  • Alla appar: Inga begränsningar för klipp ut, kopiera och klistra in till och från den här appen.
Alla appar
    Gräns för klipp ut och kopiera tecken för alla appar
Ange antalet tecken som kan klippas ut eller kopieras från organisationsdata och konton. Detta tillåter delning av det angivna antalet tecken när det annars skulle blockeras av inställningen "Begränsa klipp ut, kopiera och klistra in med andra appar".

Standardvärde = 0

Obs! Kräver Intune-företagsportal version 5.0.4364.0 eller senare.

0
Skärmdump och Google Assistant Välj Blockera för att blockera skärmdump, blockera Circle to Search och blockera Google Assistant som kommer åt organisationsdata på enheten när du använder den här appen. Om du väljer Blockera blir även förhandsgranskningsbilden för appväxlaren suddig när du använder den här appen med ett arbets- eller skolkonto.

Obs! Google Assistant kan vara tillgängligt för användare för scenarier som inte har åtkomst till organisationsdata.

Blockera
Godkända tangentbord Välj Kräv och ange sedan en lista över godkända tangentbord för den här principen.

Användare som inte använder ett godkänt tangentbord uppmanas att ladda ned och installera ett godkänt tangentbord innan de kan använda den skyddade appen. Den här inställningen kräver att appen har Intune SDK för Android version 6.2.0 eller senare.

Krävs inte
    Välj tangentbord att godkänna
Det här alternativet är tillgängligt när du väljer Kräv för föregående alternativ. Välj Välj för att hantera listan över tangentbord och indatametoder som kan användas med appar som skyddas av den här principen. Du kan lägga till ytterligare tangentbord i listan och ta bort något av standardalternativen. Du måste ha minst ett godkänt tangentbord för att spara inställningen. Med tiden kan Microsoft lägga till ytterligare tangentbord i listan för nya appskyddsprinciper, vilket kräver att administratörer granskar och uppdaterar befintliga principer efter behov.

Om du vill lägga till ett tangentbord anger du:

  • Namn: Ett eget namn som identifierar tangentbordet och som är synligt för användaren.
  • Paket-ID: Paket-ID för appen i Google Play-butiken. Om url:en för appen i Play Store till exempel är https://play.google.com/store/details?id=com.contoskeyboard.android.prodär paket-ID com.contosokeyboard.android.prod:t . Det här paket-ID:t visas för användaren som en enkel länk för att ladda ned tangentbordet från Google Play.

Not: En användare som har tilldelats flera appskyddsprinciper får endast använda de godkända tangentbord som är gemensamma för alla principer.

Kryptering

Inställning Användning Standardvärde
Kryptera organisationsdata Välj Kräv för att aktivera kryptering av arbets- eller skoldata i den här appen. Intune använder ett wolfSSL-, 256-bitars AES-krypteringsschema tillsammans med Android Keystore-systemet för att kryptera appdata på ett säkert sätt. Data krypteras synkront under fil-I/O-uppgifter. Innehåll på enhetens lagring är alltid krypterat och kan bara öppnas av appar som stöder Intune appskyddsprinciper och har tilldelats principer. Nya filer krypteras med 256-bitarsnycklar. Befintliga 128-bitars krypterade filer genomgår ett migreringsförsök till 256-bitarsnycklar, men processen är inte garanterad. Filer som krypterats med 128-bitars nycklar förblir läsbara.

Krypteringsmetoden är FIPS 140-2 verifierad. Mer information finns i wolfCrypt FIPS 140-2 och FIPS 140-3.
Behöva
    Kryptera organisationsdata på registrerade enheter
Välj Kräv för att framtvinga kryptering av organisationsdata med Intune applagerkryptering på alla enheter. Välj Krävs inte för att inte framtvinga kryptering av organisationsdata med Intune kryptering i applager på registrerade enheter. Behöva

Funktionalitet

Inställning Användning Standardvärde
Synkronisera principhanterade appdata med interna appar eller tillägg Välj Blockera för att förhindra att principhanterade appar sparar data i enhetens interna appar (kontakter, kalender och widgetar) och för att förhindra användning av tillägg i principhanterade appar. Om det inte stöds av programmet tillåts att spara data i interna appar och använda tillägg.

Om du väljer Tillåt kan den principhanterade appen spara data i de interna apparna eller använda tillägg, om dessa funktioner stöds och aktiveras i den principhanterade appen.

Program kan tillhandahålla ytterligare kontroller för att anpassa beteendet för datasynkronisering till specifika interna appar eller för att inte respektera den här kontrollen.

Obs! När du utför en selektiv rensning för att ta bort arbets- eller skoldata från appen tas data som synkroniseras direkt från den principhanterade appen till den interna appen bort. Data som synkroniseras från den interna appen till en annan extern källa rensas inte.

Obs! Följande appar stöder den här funktionen:
Tillåt
Skriva ut organisationsdata Välj Blockera för att förhindra att appen skriver ut arbets- eller skoldata. Om du lämnar den här inställningen till Tillåt, standardvärdet, kan användarna exportera och skriva ut alla organisationsdata. Tillåt
Begränsa överföring av webbinnehåll med andra appar Ange hur webbinnehåll (http/https-länkar) ska öppnas från principhanterade program. Välj mellan:
  • Alla appar: Tillåt webblänkar i alla appar.
  • Intune Managed Browser: Tillåt att webbinnehåll endast öppnas i Intune Managed Browser. Den här webbläsaren är en principhanterad webbläsare.
  • Microsoft Edge: Tillåt att webbinnehåll endast öppnas i Microsoft Edge. Den här webbläsaren är en principhanterad webbläsare.
  • Ohanterad webbläsare: Tillåt att webbinnehåll endast öppnas i den ohanterade webbläsare som definieras av inställningen Ohanterat webbläsarprotokoll . Webbinnehållet hanteras inte i målwebbläsaren.
    Obs! Kräver Intune-företagsportal version 5.0.4415.0 eller senare.


  • Principhanterade webbläsare
    På Android kan slutanvändarna välja bland andra principhanterade appar som stöder http/https-länkar om varken Intune Managed Browser eller Microsoft Edge har installerats.

    Om en principhanterad webbläsare krävs men inte installeras uppmanas slutanvändarna att installera Microsoft Edge.

    Om en principhanterad webbläsare krävs hanteras Android-applänkar av principinställningen Tillåt att appen överför data till andra appar .

    Intune enhetsregistrering
    Om du använder Intune för att hantera dina enheter kan du läsa Hantera Internetåtkomst med hanterade webbläsarprinciper med Microsoft Intune.

    Principhanterad Microsoft Edge
    Microsoft Edge-webbläsaren för mobila enheter (iOS/iPadOS och Android) stöder Intune appskyddsprinciper. Användare som loggar in med sina företagskonton Microsoft Entra i Microsoft Edge-webbläsarprogrammet skyddas av Intune. Microsoft Edge-webbläsaren integrerar APP SDK och stöder alla dess dataskyddsprinciper, med undantag för att förhindra:

    • Spara som: Microsoft Edge-webbläsaren tillåter inte att en användare lägger till direkta anslutningar i appen till molnlagringsleverantörer (till exempel OneDrive).
    • Kontaktsynkronisering: Microsoft Edge-webbläsaren sparas inte i interna kontaktlistor.
    Obs!APP SDK kan inte avgöra om en målapp är en webbläsare. På Android-enheter tillåts andra hanterade webbläsarappar som stöder avsikten http/https.
Inte konfigurerad
    Ohanterat webbläsar-ID
Ange program-ID för en enda webbläsare. Webbinnehåll (http/https-länkar) från principhanterade program öppnas i den angivna webbläsaren. Webbinnehållet hanteras inte i målwebbläsaren. Blank
    Ohanterat webbläsarnamn
Ange programnamnet för webbläsaren som är associerad med det ohanterade webbläsar-ID:t. Det här namnet visas för användarna om den angivna webbläsaren inte är installerad. Blank
Meddelanden om organisationsdata Ange hur mycket organisationsdata som delas via OS-meddelanden för organisationskonton. Den här principinställningen påverkar den lokala enheten och alla anslutna enheter, till exempel bärbara och smarta högtalare. Appar kan tillhandahålla ytterligare kontroller för att anpassa meddelandebeteendet eller välja att inte respektera alla värden. Välj mellan:
  • Blockera: Dela inte meddelanden.
    • Om det inte stöds av programmet tillåts meddelanden.
  • Blockera organisationsdata: Dela inte organisationsdata i meddelanden. Till exempel "Du har ny e-post"; "Du har ett möte".
    • Om det inte stöds av programmet blockeras meddelanden.
  • Tillåt: Delar organisationsdata i meddelandena

Obs! Den här inställningen kräver appstöd:

  • Outlook för Android 4.0.95 eller senare
  • Teams för Android 1416/1.0.0.2020092202 eller senare.
Tillåt

Undantag för dataöverföring

Det finns vissa undantagna appar och plattformstjänster som Intune appskyddsprinciper tillåter dataöverföring till och från. Till exempel måste alla Intune-hanterade appar på Android kunna överföra data till och från Google Text-till-tal, så att text från din mobila enhetsskärm kan läsas upp. Den här listan kan komma att ändras och återspeglar de tjänster och appar som anses användbara för säker produktivitet.

Fullständiga undantag

Dessa appar och tjänster är helt tillåtna för dataöverföring till och från Intune hanterade appar.

App-/tjänstnamn Beskrivning
com.android.phone Inbyggd telefonapp
com.android.vending Google Play Store
com.google.android.webview WebView, vilket är nödvändigt för många appar, inklusive Outlook.
com.android.webview Webbvy, vilket är nödvändigt för många appar, inklusive Outlook.
com.google.android.tts Google Text till tal
com.android.providers.settings Android-systeminställningar
com.android.settings Android-systeminställningar
com.azure.authenticator Azure Authenticator-appen, som krävs för lyckad autentisering i många scenarier.
com.microsoft.windowsintune.companyportal Intune-företagsportal
com.android.providers.contacts Intern kontaktapp

Villkorliga undantag

Dessa appar och tjänster tillåts endast för dataöverföring till och från Intune hanterade appar under vissa förhållanden.

App-/tjänstnamn Beskrivning Undantagsvillkor
com.android.chrome Google Chrome-webbläsare Chrome används för vissa WebView-komponenter på Android 7.0+ och döljs aldrig från vyn. Dataflödet till och från appen är dock alltid begränsat.
com.skype.raider Skype Skype-appen tillåts endast för vissa åtgärder som resulterar i ett telefonsamtal.
com.android.providers.media Android-medieinnehållsprovider Medieinnehållsprovidern tillåts endast för åtgärden för val av ringsignal.
com.google.android.gms; com.google.android.gsf Google Play Services-paket Dessa paket är tillåtna för Google Cloud Messaging-åtgärder, till exempel push-meddelanden.
com.google.android.apps.maps Google Maps Adresser tillåts för navigering.
com.android.documentsui Android-dokumentväljare Tillåts när du öppnar eller skapar en fil.
com.google.android.documentsui Android-dokumentväljare (Android 10+) Tillåts när du öppnar eller skapar en fil.

Mer information finns i Undantag för dataöverföringsprincip för appar.

Åtkomstkrav

Inställning Användning
PIN-kod för åtkomst Välj Kräv för att kräva en PIN-kod för att använda den här appen. Användaren uppmanas att konfigurera den här PIN-koden första gången de kör appen i en arbets- eller skolkontext.

Standardvärde = Kräv

Du kan konfigurera PIN-styrkan med hjälp av de inställningar som är tillgängliga under avsnittet PIN-kod för åtkomst.

Not: Slutanvändare som har åtkomst till appen kan återställa appens PIN-kod. Den här inställningen kanske inte visas i vissa fall på Android-enheter. Android-enheter har en maximal begränsning på fyra tillgängliga genvägar. När det maximala värdet har uppnåtts måste slutanvändaren ta bort alla anpassade genvägar (eller komma åt genvägen från en annan hanterad appvy) för att visa genvägen för återställning av PIN-koden för appen. Slutanvändaren kan också fästa genvägen på startsidan.

    TYP AV PIN-kod
Ange ett krav för pin-koder av numerisk typ eller lösenordstyp innan du öppnar en app som har tillämpat appskyddsprinciper. Numeriska krav omfattar endast siffror, medan ett lösenord kan definieras med minst en alfabetisk bokstav eller minst 1 specialtecken.

Standardvärde = Numeriskt

Not: Specialtecken som tillåts är specialtecken och symboler på android-tangentbordet på engelska.
    Enkel PIN-kod
Välj Tillåt för att tillåta användare att använda enkla PIN-kodssekvenser som 1234, 1111, abcd eller aaaa. Välj Block för att förhindra att de använder enkla sekvenser. Enkla sekvenser kontrolleras i skjutfönster med tre tecken. Om Blockera har konfigurerats skulle 1235 eller 1112 inte accepteras som PIN-kod som angetts av slutanvändaren, men 1122 skulle tillåtas.

Standardvärde = Tillåt

Not: Om lösenordstypen PIN-kod har konfigurerats och enkel PIN-kod har angetts till Tillåt behöver användaren minst en bokstav eller minst ett specialtecken i PIN-koden. Om lösenordstypen PIN-kod har konfigurerats och enkel PIN-kod har angetts till Blockera behöver användaren minst en siffra och en bokstav och minst ett specialtecken i PIN-koden.
    Välj minsta PIN-kodslängd
Ange det minsta antalet siffror i en PIN-kodssekvens.

Standardvärde = 4
    Biometrisk kod i stället för PIN-kod för åtkomst
Välj Tillåt för att tillåta att användaren använder biometri för att autentisera användare på Android-enheter. Om det tillåts används biometri för att komma åt appen på Android 10-enheter eller senare.
    Åsidosätt biometrisk kod med PIN-kod efter tidsgräns
Om du vill använda den här inställningen väljer du Kräv och konfigurerar sedan en tidsgräns för inaktivitet.

Standardvärde = Kräv
      Tidsgräns (minuter av inaktivitet)
Ange en tid i minuter varefter antingen ett lösenord eller en numerisk PIN-kod (enligt konfiguration) åsidosätter användningen av biometrisk kod. Det här timeout-värdet ska vara större än det värde som anges under "Kontrollera åtkomstkraven igen efter (minuter av inaktivitet)".

Standardvärde = 30
    Klass 3-biometri (Android 9.0+)
Välj Kräv för att kräva att användaren loggar in med biometri för klass 3. Mer information om biometri i klass 3 finns i Biometri i Googles dokumentation.
    Åsidosätt biometrisk kod med PIN-kod efter biometriska uppdateringar
Välj Kräv för att åsidosätta användningen av biometri med PIN-kod när en ändring i biometrin identifieras.

OBS!
Den här inställningen börjar gälla först när en biometrisk har använts för att komma åt appen. Beroende på Android-enhetstillverkaren kan inte alla former av biometri stödjas för kryptografiska åtgärder. För närvarande stöds kryptografiska åtgärder för alla biometriska (t.ex. fingeravtryck, iris eller ansikte) på enheten som uppfyller eller överskrider kraven för klass 3-biometri, enligt definitionen i Android-dokumentationen. Se konstanten för BIOMETRIC_STRONGBiometricManager.Authenticators-gränssnittet och metoden för authenticate klassen BiometricPrompt . Du kan behöva kontakta enhetstillverkaren för att förstå de enhetsspecifika begränsningarna.

    PIN-återställning efter antal dagar
Välj Ja om du vill kräva att användarna ändrar appens PIN-kod efter en angiven tidsperiod, i dagar.

När värdet är Ja konfigurerar du sedan antalet dagar innan PIN-återställning krävs.

Standardvärde = Nej
      Antal dagar
Konfigurera antalet dagar innan PIN-återställning krävs.

Standardvärde = 90
    Välj antalet tidigare PIN-värden som ska underhållas
Den här inställningen anger antalet tidigare PIN-koder som Intune ska underhålla. Alla nya PIN-koder måste skilja sig från dem som Intune underhåller.

Standardvärde = 0
    Appens PIN-kod när enhetens PIN-kod har angetts
Välj Krävs inte för att inaktivera appens PIN-kod när ett enhetslås identifieras på en registrerad enhet med Företagsportal konfigurerad.

Standardvärde = Kräv.
Autentiseringsuppgifter för arbets- eller skolkonto för åtkomst Välj Kräv för att kräva att användaren loggar in med sitt arbets- eller skolkonto i stället för att ange en PIN-kod för appåtkomst. När det här är inställt på Kräv och PIN-kod eller biometrisk prompt aktiveras, visas både företagets autentiseringsuppgifter och antingen PIN-koden eller biometriska uppmaningar.

Standardvärde = Krävs inte
Kontrollera åtkomstkraven igen efter (minuter av inaktivitet) Konfigurera följande inställning:
  • Tidsgräns: Det här är antalet minuter innan åtkomstkraven (som definierades tidigare i principen) kontrolleras igen. En administratör aktiverar till exempel PIN-kod och blockerar rotade enheter i principen, en användare öppnar en Intune hanterad app, måste ange en PIN-kod och måste använda appen på en icke-rotad enhet. När du använder den här inställningen behöver användaren inte ange någon PIN-kod eller genomgå en annan rotidentifieringskontroll i någon Intune hanterad app under en tidsperiod som är lika med det konfigurerade värdet.

    Det här principinställningsformatet stöder ett positivt heltal.

    Standardvärde = 30 minuter

    Not: På Android delas PIN-koden med alla Intune hanterade appar. PIN-timern återställs när appen lämnar förgrunden på enheten. Användaren behöver inte ange någon PIN-kod för någon Intune hanterad app som delar sin PIN-kod under den tidsgräns som definierats i den här inställningen.

Obs!

Mer information om hur flera Intune appskyddsinställningar som konfigurerats i avsnittet Åtkomst till samma uppsättning appar och användare fungerar på Android finns i Intune vanliga frågor och svar om MAM och selektiv rensning av data med åtkomståtgärder för appskyddsprinciper i Intune.

Villkorlig start

Konfigurera inställningar för villkorlig start för att ange säkerhetskrav för inloggning för din appskyddsprincip.

Som standard tillhandahålls flera inställningar med förkonfigurerade värden och åtgärder. Du kan ta bort vissa inställningar, till exempel lägsta operativsystemversion. Du kan också välja ytterligare inställningar i listrutan Välj en .

Appvillkor

Inställning Användning
Maximalt antal PIN-försök Ange hur många försök användaren måste ange sin PIN-kod innan den konfigurerade åtgärden vidtas. Om användaren inte kan ange sin PIN-kod efter de maximala PIN-försöken måste användaren återställa pin-koden efter att ha loggat in på sitt konto och slutfört en MFA-utmaning (Multi-Factor Authentication) om det behövs. Det här principinställningsformatet stöder ett positivt heltal.

Åtgärderna omfattar:

  • Återställ PIN-kod – Användaren måste återställa sin PIN-kod.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Standardvärde = 5
Offline-respitperiod Antalet minuter som hanterade appar kan köras offline. Ange tiden (i minuter) innan åtkomstkraven för appen kontrolleras igen.

Åtgärderna omfattar:

  • Blockera åtkomst (minuter) – Antalet minuter som hanterade appar kan köras offline. Ange tiden (i minuter) innan åtkomstkraven för appen kontrolleras igen. När den här perioden har gått ut kräver appen användarautentisering för att Microsoft Entra ID så att appen kan fortsätta att köras.

    Det här principinställningsformatet stöder ett positivt heltal.

    Standardvärde = 1 440 minuter (24 timmar)

    Not: Om du konfigurerar respitperioden offline för att blockera åtkomst till mindre än standardvärdet kan det leda till mer frekventa användaravbrott när principen uppdateras. Att välja ett värde på mindre än 30 minuter rekommenderas inte eftersom det kan leda till användaravbrott vid varje programstart eller återupptagning.
  • Rensa data (dagar) – Efter så här många dagar (definieras av administratören) för att köra offline kräver appen att användaren ansluter till nätverket och autentiserar igen. Om användaren autentiseras kan de fortsätta att komma åt sina data och offlineintervallet återställs. Om användaren inte kan autentiseras utför appen en selektiv rensning av användarens konto och data. Mer information finns i Så här rensar du endast företagsdata från Intune hanterade appar. Det här principinställningsformatet stöder ett positivt heltal.

    Standardvärde = 90 dagar
Den här posten kan visas flera gånger, där varje instans stöder en annan åtgärd.
Lägsta appversion Ange ett värde för det lägsta programversionsvärdet.

Åtgärderna omfattar:

  • Varna – Användaren ser ett meddelande om appversionen på enheten inte uppfyller kravet. Det här meddelandet kan avvisas.
  • Blockera åtkomst – Användaren blockeras från åtkomst om appversionen på enheten inte uppfyller kravet.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Eftersom appar ofta har distinkta versionsscheman mellan sig skapar du en princip med en lägsta appversion som riktar sig mot en app (till exempel Outlook-versionsprincip).

Den här posten kan visas flera gånger, där varje instans stöder en annan åtgärd.

Det här principinställningsformatet stöder antingen major.minor, major.minor.build, major.minor.build.revision.

Dessutom kan du konfigurera var dina slutanvändare kan hämta en uppdaterad version av en verksamhetsspecifik app (LOB). Slutanvändarna ser detta i dialogrutan för villkorlig start av lägsta appversion , vilket uppmanar slutanvändarna att uppdatera till en lägsta version av LOB-appen. På Android använder den här funktionen Företagsportal. För att konfigurera var en slutanvändare ska uppdatera en LOB-app behöver appen en konfigurationsprincip för hanterade appar som skickas till den med nyckeln . com.microsoft.intune.myappstore Det värde som skickas definierar vilken lagringsplats som slutanvändaren ska ladda ned appen från. Om appen distribueras via Företagsportal måste värdet vara CompanyPortal. För andra butiker måste du ange en fullständig URL.
Inaktiverat konto Det finns inget värde att ange för den här inställningen.

Åtgärderna omfattar:

  • Blockera åtkomst – Användaren blockeras från åtkomst eftersom deras konto har inaktiverats.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Icke-arbetstid Det finns inget värde att ange för den här inställningen.

Åtgärderna omfattar:

  • Blockera åtkomst – Användaren blockeras från åtkomst eftersom användarkontot som är associerat med programmet är i icke-arbetstid.
  • Varna – Användaren ser ett meddelande om användarkontot som är associerat med programmet är i icke-arbetstid. Meddelandet kan avvisas.
Obs! Den här inställningen får bara konfigureras om klientorganisationen har integrerats med API:et för arbetstid. Mer information om hur du integrerar den här inställningen med API:et för arbetstid finns i Begränsa åtkomsten till Microsoft Teams när medarbetare i frontlinjen är lediga. Om du konfigurerar den här inställningen utan att integrera med API:et för arbetstid kan det leda till att konton blockeras på grund av att arbetstidsstatus saknas för det hanterade konto som är associerat med programmet.

Följande appar stöder den här funktionen med Företagsportal v5.0.5849.0 eller senare:

  • Teams för Android v1416/1.0.0.2023226005 (2023226050) eller senare
  • Edge för Android v125.0.2535.96 eller senare

Enhetsvillkor

Inställning Användning
Jailbrokade/rotade enheter Ange om du vill blockera åtkomsten till enheten eller rensa enhetsdata för jailbrokade/rotade enheter. Åtgärderna omfattar:
  • Blockera åtkomst – Förhindra att den här appen körs på jailbrokade eller rotade enheter. Användaren fortsätter att kunna använda den här appen för personliga uppgifter, men måste använda en annan enhet för att komma åt arbets- eller skoldata i den här appen.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Lägsta operativsystemversion Ange ett lägsta Android-operativsystem som krävs för att använda den här appen. OS-versioner under den angivna lägsta operativsystemversionen utlöser åtgärderna. Åtgärderna omfattar:
  • Varna – Användaren får ett meddelande om Android-versionen på enheten inte uppfyller kravet. Det här meddelandet kan avvisas.
  • Blockera åtkomst – Användaren blockeras från åtkomst om Android-versionen på enheten inte uppfyller detta krav.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Det här principinställningsformatet stöder antingen major.minor, major.minor.build, major.minor.build.revision.
Högsta operativsystemversion Ange ett maximalt Android-operativsystem som krävs för att använda den här appen. OS-versioner under den angivna Max OS-versionen utlöser åtgärderna. Åtgärderna omfattar:
  • Varna – Användaren får ett meddelande om Android-versionen på enheten inte uppfyller kravet. Det här meddelandet kan avvisas.
  • Blockera åtkomst – Användaren blockeras från åtkomst om Android-versionen på enheten inte uppfyller detta krav.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Det här principinställningsformatet stöder antingen major.minor, major.minor.build, major.minor.build.revision.
Lägsta korrigeringsversion Kräv att enheter har en lägsta Android-säkerhetskorrigering som släppts av Google.
  • Varna – Användaren får ett meddelande om Android-versionen på enheten inte uppfyller kravet. Det här meddelandet kan avvisas.
  • Blockera åtkomst – Användaren blockeras från åtkomst om Android-versionen på enheten inte uppfyller detta krav.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Den här principinställningen stöder datumformatet ÅÅÅÅ-MM-DD.
Enhetstillverkare Ange en semikolonavgränsad lista över tillverkare. Dessa värden är inte skiftlägeskänsliga. Åtgärderna omfattar:
  • Tillåt angivet (Blockera icke-angivet) – Endast enheter som matchar den angivna tillverkaren kan använda appen. Alla andra enheter blockeras.
  • Tillåt angivet (rensa icke-angivet) – Användarkontot som är associerat med programmet rensas från enheten.
Mer information om hur du använder den här inställningen finns i Åtgärder för villkorsstyrd start.
Bedömning av spelintegritet Appskydd principer stöder vissa av GOOGLE Play Integrity API:er. Den här inställningen konfigurerar särskilt Googles kontroll av uppspelningsintegritet på slutanvändarenheter för att verifiera enheternas integritet. Ange antingen Grundläggande integritet eller Grundläggande integritet och enhetsintegritet.

Grundläggande integritet talar om enhetens allmänna integritet. Rotade enheter, emulatorer, virtuella enheter och enheter med tecken på manipulering misslyckas grundläggande integritet. Grundläggande integritet & certifierade enheter berättar om enhetens kompatibilitet med Googles tjänster. Endast oförändrade enheter som har certifierats av Google kan klara den här kontrollen.

Om du väljer Bedömning av uppspelningsintegritet som krävs för villkorlig start kan du ange att en stark integritetskontroll används som utvärderingstyp. Förekomsten av en stark integritetskontroll eftersom utvärderingstypen indikerar en enhets integritet. Enheter som inte stöder starka integritetskontroller blockeras av MAM-principen om de är mål för den här inställningen. Den starka integritetskontrollen ger en mer robust rotidentifiering som svar på nyare typer av rotverktyg och metoder som inte alltid kan identifieras på ett tillförlitligt sätt av en lösning med endast programvara. I APP aktiveras maskinvaruattestering genom att ställa in utvärderingstypen För utvärdering av spelintegritet till Kontrollera stark integritet när bedömning av uppspelningsintegritet har konfigurerats och Krav på SafetyNet-utvärderingstyp till stark integritetskontroll när enhetens integritetskontroll har konfigurerats. Maskinvarustödd attestering utnyttjar en maskinvarubaserad komponent som levereras med enheter som är installerade med Android 8.1 och senare. Enheter som har uppgraderats från en äldre version av Android till Android 8.1 kommer sannolikt inte att ha de maskinvarubaserade komponenter som krävs för maskinvarubaserad attestering. Den här inställningen bör ha brett stöd från och med enheter som levereras med Android 8.1, men Microsoft rekommenderar starkt att du testar enheter individuellt innan du aktiverar den här principinställningen brett.

Viktig: Enheter som inte stöder den här utvärderingstypen blockeras eller rensas baserat på åtgärden Kontrollera enhetens integritet. Organisationer som vill använda den här funktionen måste se till att användarna har enheter som stöds. Mer information om Googles rekommenderade enheter finns i Rekommenderade krav för Android Enterprise.

Åtgärderna omfattar:

  • Varna – Användaren ser ett meddelande om enheten inte uppfyller Googles enhetsintegritetskontroll baserat på det konfigurerade värdet. Det här meddelandet kan avvisas.
  • Blockera åtkomst – Användaren blockeras från åtkomst om enheten inte uppfyller Googles enhetsintegritetskontroll baserat på det konfigurerade värdet.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Vanliga frågor och svar om den här inställningen finns i Vanliga frågor och svar om MAM och appskydd.
Kräv hotgenomsökning för appar Appskydd principer stöder vissa av Google Play Protects API:er. Den här inställningen säkerställer särskilt att Googles Verify Apps-genomsökning är aktiverad för slutanvändarens enheter. Om det konfigureras blockeras slutanvändaren från åtkomst tills de aktiverar Googles appgenomsökning på sin Android-enhet. Åtgärderna omfattar:
  • Varna – Användaren ser ett meddelande om Googles Verify Apps-genomsökning på enheten inte är aktiverad. Det här meddelandet kan avvisas.
  • Blockera åtkomst – Användaren blockeras från åtkomst om Googles Verify Apps-genomsökning på enheten inte är aktiverad.
Resultat från Googles Verify Apps-genomsökning visas i rapporten Potentiellt skadliga appar i konsolen.
Nödvändig safetynet-utvärderingstyp Maskinvarustödd attestering förbättrar den befintliga safetynet-attesteringstjänsten. Du kan ange värdet till Maskinvarubaserad nyckel när du har angett SafteyNet-enhetsattestering.
Kräv enhetslås Den här inställningen avgör om Android-enheten har en PIN-kod för enheten som uppfyller minimikraven för lösenord. Den Appskydd principen kan vidta åtgärder om enhetslåset inte uppfyller minimikraven för lösenord.

Värdena är:

  • Låg komplexitet
  • Medelkomplexitet
  • Hög komplexitet

Det här komplexitetsvärdet är avsett för Android 12+. För enheter som använder Android 11 och tidigare kommer ett komplexitetsvärde för låg, medel eller hög standard att vara det förväntade beteendet för låg komplexitet. Mer information finns i Googles utvecklardokumentation getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM och PASSWORD_COMPLEXITY_HIGH.

Åtgärderna omfattar:

  • Varna – Användaren får ett meddelande om enhetslåset inte uppfyller minimikraven för lösenord. Meddelandet kan avvisas.
  • Blockera åtkomst – Användaren blockeras från åtkomst om enhetslåset inte uppfyller minimikraven för lösenord.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten om enhetslåset inte uppfyller minimikraven för lösenord.
Lägsta Företagsportal version Med hjälp av min Företagsportal-versionen kan du ange en specifik minsta definierad version av Företagsportal som tillämpas på en slutanvändarenhet. Med den här inställningen för villkorlig start kan du ange värden som Blockera åtkomst, Rensa data och Varna som möjliga åtgärder när varje värde inte uppfylls. Möjliga format för det här värdet följer mönstret [Major].[ Minor], [Major].[ Mindre]. [Build], eller [Major].[ Mindre]. [Skapa]. [Revision]. Med tanke på att vissa slutanvändare kanske inte föredrar en tvingad uppdatering av appar på plats kan alternativet "varna" vara idealiskt när du konfigurerar den här inställningen. Google Play Store gör ett bra jobb med att bara skicka deltabyte för appuppdateringar, men det kan fortfarande vara en stor mängd data som användaren kanske inte vill använda om de är på data vid tidpunkten för uppdateringen. Att framtvinga en uppdatering och därmed ladda ned en uppdaterad app kan resultera i oväntade dataavgifter vid tidpunkten för uppdateringen. Mer information finns i Principinställningar för Android.
Högsta Företagsportal versionsålder (dagar) Du kan ange ett maximalt antal dagar som ålder för Företagsportal (CP)-versionen för Android-enheter. Den här inställningen säkerställer att slutanvändarna befinner sig inom ett visst intervall av CP-versioner (i dagar). Värdet måste vara mellan 0 och 365 dagar. När inställningen för enheterna inte uppfylls utlöses åtgärden för den här inställningen. Åtgärderna omfattar Blockera åtkomst, Rensa data eller Varna. Relaterad information finns i Principinställningar för Android. Not: Åldern på den Företagsportal versionen bestäms av Google Play på slutanvändarens enhet.
Samsung Knox-enhetsattestering Ange om samsung Knox-enhetsattesteringskontrollen krävs. Endast oförändrade enheter som har verifierats av Samsung kan klara den här kontrollen. En lista över enheter som stöds finns i samsungknox.com.

Med den här inställningen verifierar Microsoft Intune även kommunikationen från Företagsportal till Intune-tjänsten har skickats från en felfri enhet.

Åtgärderna omfattar:
  • Varna – Användaren ser ett meddelande om enheten inte uppfyller samsung Knox-enhetsattesteringskontrollen. Det här meddelandet kan avvisas.
  • Blockera åtkomst – Användarkontot blockeras från åtkomst om enheten inte uppfyller Samsungs Knox-enhetsattesteringskontroll.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.

Not: Användaren måste godkänna Samsung Knox-villkoren innan kontrollen av enhetsattestering kan utföras. Om användaren inte accepterar Villkoren för Samsung Knox sker den angivna åtgärden.

Not: Den här inställningen gäller för alla målenheter. Om du bara vill tillämpa den här inställningen på Samsung-enheter kan du använda tilldelningsfilter för hanterade appar. Mer information om tilldelningsfilter finns i Använda filter när du tilldelar appar, principer och profiler i Microsoft Intune.

Högsta tillåtna enhetshotnivå Appskydd principer kan dra nytta av Intune MTD-anslutningsappen. Ange en högsta hotnivå som kan användas med den här appen. Hot bestäms av din valda MTD-leverantörsapp (Mobile Threat Defense) på slutanvändarens enhet. Ange antingen Skyddad, Låg, Medel eller Hög. Skyddad kräver inga hot på enheten och är det mest restriktiva konfigurerbara värdet, medan High i princip kräver en aktiv Intune-till-MTD-anslutning.

Åtgärderna omfattar:

  • Blockera åtkomst – Användaren blockeras från åtkomst om hotnivån som bestäms av din valda MTD-leverantörsapp (Mobile Threat Defense) på slutanvändarens enhet inte uppfyller detta krav.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Mer information om hur du använder den här inställningen finns i Aktivera Mobile Threat Defense-anslutningsappen i Intune för oregistrerade enheter.
Primär MTD-tjänst Om du har konfigurerat flera Intune MTD-anslutningsappar anger du den primära MTD-leverantörsappen som ska användas på slutanvändarens enhet.

Värdena är:

  • Microsoft Defender för Endpoint – om MTD-anslutningsappen har konfigurerats anger du Microsoft Defender för Endpoint anger information om hotnivån för enheten.
  • Mobile Threat Defense (icke-Microsoft) – om MTD-anslutningsappen har konfigurerats anger du att MTD som inte kommer från Microsoft ska tillhandahålla information om enhetshotnivå.

Du måste konfigurera inställningen "Högsta tillåtna enhetshotnivå" för att använda den här inställningen.

Det finns inga åtgärder för den här inställningen.