Skydda och skydda appar med hjälp av Microsoft Intune
När du har konfigurerat och distribuerat funktionerna i Intune, lagt till de appar som du vill hantera i Intune och konfigurerat de appar som du hanterar i Intune kan du börja skapa appskyddsprinciper. Appskydd principer (APP) är regler som säkerställer att organisationens data förblir säkra och finns i en hanterad app. Dessa principer framtvingar hur slutanvändarna får åtkomst till och flyttar "företagsdata", samt hur du kontrollerar åtgärder som är förbjudna eller övervakade när slutanvändarna använder appen. Med den här tillämpningen kan du styra hur data används och delas av appar på mobila enheter i din organisation.
Innehållet i den här lösningen hjälper dig att förstå de olika aspekterna av appskydd för var och en av de plattformar som stöds. Dessutom stegar den här lösningen dig genom att skapa dina appskyddsprinciper baserat på våra rekommenderade inställningar för grundläggande, förbättrat och högnivåskydd.
Hanterade appar är appar som du har tilldelat till användare via en enhetlig slutpunktshanteringsprovider, till exempel Intune. Hanterade appar stöder appskyddsprinciper samt appkonfigurationsprinciper. De här apparna använder hantering av mobilprogram (MAM) som tillhandahålls av den enhetliga slutpunktshanteringsprovidern. MAM gör det möjligt för organisationer att hantera och skydda sina data i ett program. En hanterad app i Intune är en skyddad app med Intune-appskyddsprinciper som tillämpas på den och som tilldelas och hanteras av Intune. En hanterad app har antingen integrerat Intune App SDK eller omslutits med intune-omslutningsverktyget för att stödja appskyddsprinciper (APP) och/eller appkonfigurationsprinciper. Du kan använda MAM-principer för att konfigurera och skydda appar på ohanterade enheter, som är slutanvändarens personliga enheter som inte är MDM-registrerade i Intune.
Tips
Information om när du bör överväga att distribuera MAM-principer finns i Migreringsguide: Konfigurera eller flytta till Microsoft Intune.
Genom att använda appskyddsprinciper kan du skydda organisationens data på appnivå. För slutanvändare påverkas inte produktiviteten och appskyddsprinciper tillämpas inte när slutanvändare använder appen i en personlig kontext. Det finns flera situationer där du ofta bör använda appskyddsprinciper. Om slutanvändarna till exempel använder sin personliga enhet kanske du vill använda en appskyddsprincip för att styra åtkomsten till appen med hjälp av en PIN-kod. Du kanske vill framtvinga begränsningar för datadelning om att organisationens data inte delas med icke-hanterade appar. Du kanske också vill förhindra att slutanvändarna sparar organisationsdata på personliga platser. Mer information finns i Fördelar med att använda Appskydd-principer.
Viktigt
Du kan använda Intune för att framtvinga en Nolltillit säkerhetsstrategi för din organisation. Nolltillit är en metod att använda när du utformar och implementerar en uppsättning säkerhetsprinciper. Mer information finns i Nolltillit med konfigurationer för Microsoft Intune och Nolltillit identitets- och enhetsåtkomst.
Organisationer kan använda appskyddsprinciper med och utan Mobile Enhetshantering (MDM) samtidigt. Anta till exempel att en slutanvändare (anställd eller organisationsmedlem) använder både en telefon som utfärdats av företaget och en egen personlig surfplatta. Organisationens utfärdade telefon registreras i MDM och skyddas av appskyddsprinciper, medan den personliga enheten endast skyddas av appskyddsprinciper.
Plattformar som stöds
Det finns tre primära plattformar som stöds när du skapar en appskyddsprincip i Intune.
| Plattform | Beskrivning |
|---|---|
| iOS/iPadOS | Du kan använda appskyddsprinciper för iOS/iPadOS-appar som har utvecklats för att stödja Intunes appskyddsfunktioner. Du kan använda appskydd för grupper av användare som loggar in på iOS/iPadOS-enheter. Mer specifikt kan du tillämpa appskydd baserat på dataskydd, åtkomstkrav och inställningar för villkorlig start i en appskyddsprincip för iOS/iPadOS. Mer information finns i inställningar för iOS-appskyddsprinciper i Microsoft Intune. |
| Android | Du kan använda appskyddsprinciper för Android-appar som har utvecklats för att stödja Intunes appskyddsfunktioner. Du kan använda appskydd för grupper av användare som loggar in på Android-enheter. Mer specifikt kan du tillämpa appskydd baserat på dataskydd, åtkomstkrav och inställningar för villkorlig start i en appskyddsprincip för Android. Mer information finns i Inställningar för Android-appskyddsprinciper i Microsoft Intune. |
| Windows | För närvarande kan du tillämpa appskyddsprinciper på Microsoft Edge för Windows-enheter. Med Microsoft Edge kan du styra hur organisationens data används. Du kan använda appskydd för grupper av användare som loggar in på Windows-enheter. Mer specifikt kan du tillämpa appskydd baserat på inställningar för dataskydd och hälsokontroller i en appskyddsprincip för Windows. Med dataskyddsinställningar kan du styra hur data förs in i och ut ur organisationens kontext. Organisationskontexten definieras av dokument, tjänster och webbplatser som nås av det angivna organisationskontot. Du kan använda inställningar för appskyddsprinciper för att styra externa data som tas emot i organisationskontexten och organisationsdata som skickas från organisationskontexten. De här inställningarna omfattar att ta emot och skicka organisationsdata. Du kan också implementera DLP-kontroller (Data Loss Prevention), till exempel begränsningar för klipp ut, kopiera, klistra in och spara som. Dessutom kan du tillåta eller blockera utskrift av organisationsdata. Mer information finns i Appskydd principinställningar för Windows. |
Mer information om plattformar som stöds finns i Apphanteringsfunktioner per plattform.
Appar som stöds
För iOS/iPadOS- och Android-plattformar kan du tillämpa appskyddsprinciper på alla hanterade appar som har utvecklats för att stödja Intunes appskyddsfunktioner. Den hanterade appen har antingen integrerat Intune App SDK eller omslutits med intune-App Wrapping Tool. För Windows-plattformen kan du aktivera dataskydd för företagsdata på personliga Windows-enheter med hjälp av Windows MAM. Windows MAM är där du tillämpar appskyddsprinciper på Microsoft Edge för Windows. Microsoft Edge, liksom de flesta Microsoft-program, har integrerats för att stödja Intune med hjälp av Intune App SDK. En lista över appar som inkluderar SDK-integrering finns i Microsoft Intune skyddade appar.
Förutsättningar
Innan du kan skydda appar med Microsoft Intune måste du följa några krav för att konfigurera Intune, samt förstå viktiga apphanteringskonfigurationer.
Obs!
Om du inte har använt Intune tidigare börjar du med Microsoft Intune kostnadsfria utvärderingsversionen. Du kan prova Intune utan kostnad i 30 dagar. När du har slutfört registreringsprocessen har du en ny klientorganisation som du kan använda för att utvärdera Intune. En klientorganisation är en dedikerad instans av Microsoft Entra ID (Microsoft Entra ID) där din prenumeration på Intune finns. Du kan sedan konfigurera klientorganisationen, vilket omfattar många funktioner som du kan använda för att skydda din organisation. En av dessa omfattar att lägga till och konfigurera appar för Intune.
Följ dessa steg om du inte redan har konfigurerat Intune och lagt till de appar som du behöver för att hantera och skydda:
- Konfigurera och distribuera Intune
- Förstå programskydd
- Förstå apptyper
- Lägga till appar i Intune
Viktigt
Om du vill använda Microsoft Intune utöver den kostnadsfria utvärderingsversionen måste du skaffa en licens från Microsoft. Mer information om licenser som innehåller Microsoft Intune finns i Microsoft Intune licensiering.
Även om många appar som du kan distribuera till medlemmar i din organisation är kostnadsfria kan vissa appar kräva antingen en licens, prenumeration eller ett konto för att varje användare ska kunna använda appen. Mer information om applicenser finns i Förstå applicenser som används i Intune.
Appskydd
Appskydd kan tillämpas på hanterade appar som stöds på enhetsplattformar som stöds och som antingen har registrerats med Microsoft Intune, registrerats i en MDM-lösning (Hantering av mobila enheter) från tredje part eller som inte har registrerats i någon lösning för hantering av mobila enheter.
När du skapar en appskyddsprincip väljer du följande information i följande ordning:
- Plattformen
- Den app som du vill skydda
- Inställningarna för dataskydd för appen
- Åtkomstkraven för appen
- Inställningarna för villkorlig start för appen
Förutom listan ovan kan du även välja omfångstaggar och apptilldelningar.
Viktigt
Den Intune-företagsportal appen krävs på Android-enheter eftersom den gör det möjligt för enhetsanvändare att ta emot appskyddsprinciper som en enhetsprincipkontrollant. Det gör det möjligt för enhetsanvändare att ta emot appskyddsprinciper. Mer information finns i Konfigurera Intune-företagsportal appar, Företagsportal webbplats och Intune-app och Anpassa och konfigurera Företagsportal.
Appskydd kategorier efter plattform
Olika appskyddsinställningar är tillgängliga för varje plattform som stöds. Det är viktigt att känna igen att iOS/iPadOS- och Android-plattformen har samma appskyddskategorier. Windows är dock annorlunda. Windows-plattformen skyddar organisationsdata genom att hantera dataflödet via Microsoft Edge till organisationens lagringsplatser.
Tips
Information om var appskydds- och efterlevnadsprinciper passar in i den övergripande Intune-arkitekturen finns i Arkitektur på hög nivå för Microsoft Intune.
När du skapar en appskyddsprincip väljer du den plattform, den app som ska riktas samt de specifika inställningarna från appskyddskategorierna.
Så skyddar appskyddsprinciper appdata
Dina slutanvändare (medlemmar i din organisation) använder mobila enheter för både personliga uppgifter och arbetsuppgifter. Samtidigt som du ser till att slutanvändarna kan vara produktiva vill du förhindra att organisationens data flyttas till platser där du inte kan skydda dem, både i avsiktliga och oavsiktliga situationer. Du vill också skydda företagsdata som nås från enheter som inte hanteras av dig. Du kan använda Intunes appskyddsprinciper oberoende av alla lösningar för hantering av mobila enheter (MDM). Detta oberoende hjälper dig att skydda företagets data med eller utan att registrera enheter i en enhetshanteringslösning. Genom att implementera skyddsprinciper på appnivå kan du begränsa åtkomsten till företagsresurser och hålla data inom IT-avdelningens ansvarsområde.
När appar används utan begränsningar kan företagsdata och personliga data blandas. Företagsdata kan hamna på platser som personlig lagring eller överföras till appar utöver din kontroll och resultera i dataförlust. Följande tabell innehåller information om data, enheter och appskydd.
| Data, enhet och appskydd | Beskrivning |
|---|---|
| Appar utan appskyddsprinciper | När appar används utan begränsningar kan företagsdata och personliga data blandas. Företagsdata kan hamna på platser som personlig lagring eller överföras till appar utöver din kontroll och resultera i dataförlust. |
| Dataskydd med appskyddsprinciper | Du kan använda Appskydd principer för att förhindra att företagsdata sparas till enhetens lokala lagring. Du kan också begränsa dataflytten till andra appar som inte skyddas av Appskydd principer. |
| Dataskydd med appskyddsprinciper på hanterade enheter | Tillhandahåller både app- och enhetshantering och skydd. |
| Dataskydd med appskyddsprinciper för enheter utan registrering | Appskydd principer kan skydda företagets data på appnivå. Det finns dock begränsningar som rör distribution av appar, etablering av enhetscertifikatprofiler och etablering av enhetsorganisationsinställningar. Du kan undvika dessa begränsningar genom att registrera och hantera enheterna i Intune. |
Mer information finns i Hur appskyddsprinciper skyddar appdata.
Vad finns i den här lösningen?
Den här lösningen hjälper dig att förstå appdataskydd i Microsoft Intune. Dessutom innehåller den här lösningen rekommenderade steg för att skapa appskyddsprinciper i Intune för specifika appar och tilldela dessa principer till medlemmar i din organisation. När du har slutfört ovanstående krav är du redo att skapa appskyddsprinciper för din organisation i Intune. Genom att använda konfigurations- och skyddsprinciper som en del av din apphantering kan medlemmar i din organisation använda appar på ett säkert sätt. Genom att hantera appar i din organisation hjälper du till att skydda organisationens data.
Mer information om appskydd i Intune finns i följande avsnitt:
- Förstå appdataskydd
- Förstå åtkomstkrav för appskydd
- Förstå villkorlig start av appskydd
- Förstå hälsokontroller för appskydd
Om du vill följa de rekommenderade inställningarna när du lägger till appskyddsprinciper i Intune kan du läsa följande avsnitt:
- Tillämpa minsta dataskydd
- Tillämpa förbättrat dataskydd
- Tillämpa högt dataskydd
- Förstå leverans av appskydd
- Verifiera och övervaka appskydd
- Använda appskyddsåtgärder
När du har slutfört stegen ovan är du redo att distribuera, hantera och övervaka de hanterade appar som din organisation använder.