Dataskyddsramverk med appskyddsprinciper
I takt med att fler organisationer implementerar strategier för mobila enheter för åtkomst till arbets- eller skoldata blir det av största vikt att skydda mot dataläckage. Intune hanteringslösning för mobilprogram för att skydda mot dataläckage är appskyddsprinciper (APP). APP är regler som säkerställer att en organisations data förblir säkra eller finns i en hanterad app, oavsett om enheten har registrerats. Mer information finns i översikten över Appskydd principer.
När du konfigurerar appskyddsprinciper gör antalet olika inställningar och alternativ det möjligt för organisationer att anpassa skyddet efter deras specifika behov. På grund av den här flexibiliteten kanske det inte är uppenbart vilken permutation av principinställningar som krävs för att implementera ett fullständigt scenario. För att hjälpa organisationer att prioritera klientslutpunktshärdning har Microsoft introducerat en ny taxonomi för säkerhetskonfigurationer i Windows 10, och Intune använder en liknande taxonomi för sitt ramverk för APP-dataskydd för hantering av mobilappar.
Konfigurationsramverket för APP-dataskydd är indelat i tre olika konfigurationsscenarier:
Grundläggande dataskydd på nivå 1 för företag – Microsoft rekommenderar den här konfigurationen som den minsta dataskyddskonfigurationen för en företagsenhet.
Förbättrat dataskydd på nivå 2 för företag – Microsoft rekommenderar den här konfigurationen för enheter där användare får åtkomst till känslig eller konfidentiell information. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata. Vissa kontroller kan påverka användarupplevelsen.
Hög dataskyddsnivå 3 för företag – Microsoft rekommenderar den här konfigurationen för enheter som körs av en organisation med ett större eller mer avancerat säkerhetsteam, eller för specifika användare eller grupper som löper unikt hög risk (användare som hanterar mycket känsliga data där obehörigt avslöjande orsakar betydande väsentlig förlust för organisationen). En organisation som sannolikt kommer att bli måltavla för välfinansierade och sofistikerade angripare bör sträva efter den här konfigurationen.
Distributionsmetod för APP Data Protection Framework
Precis som med all distribution av ny programvara, funktioner eller inställningar rekommenderar Microsoft att du investerar i en ringmetod för att testa valideringen innan du distribuerar APP-dataskyddsramverket. Att definiera distributionsringar är vanligtvis en engångshändelse (eller åtminstone sällan), men IT bör gå tillbaka till dessa grupper för att säkerställa att sekvenseringen fortfarande är korrekt.
Microsoft rekommenderar följande distributionsringsmetod för APP-dataskyddsramverket:
| Distributionsring | Klientorganisation | Utvärderingsverktyg | Utdata | Tidslinje |
|---|---|---|---|---|
| Kvalitetskontroll | Klientorganisation för förproduktion | Mobilkapacitetsägare, säkerhet, riskbedömning, sekretess, UX | Validering av funktionellt scenario, utkastdokumentation | 0–30 dagar |
| Förhandsgranskning | Klientorganisation för produktion | Mobilkapacitetsägare, UX | Validering av slutanvändarscenario, användarriktad dokumentation | 7–14 dagar, efter kvalitetskontroll |
| Produktion | Klientorganisation för produktion | Mobilkapacitetsägare, IT-support | EJ TILLÄMPLIGT | 7 dagar till flera veckor, efter förhandsgranskning |
Som anges i tabellen ovan bör alla ändringar av appskyddsprinciperna först utföras i en förproduktionsmiljö för att förstå konsekvenserna för principinställningen. När testningen är klar kan ändringarna flyttas till produktion och tillämpas på en delmängd av produktionsanvändare, vanligtvis IT-avdelningen och andra tillämpliga grupper. Slutligen kan distributionen slutföras till resten av communityn för mobila användare. Distributionen till produktion kan ta längre tid beroende på hur stor påverkan ändringen har. Om det inte finns någon användarpåverkan bör ändringen distribueras snabbt, medan distributionen kan behöva gå långsammare om ändringen resulterar i användarpåverkan på grund av behovet av att kommunicera ändringar i användarpopulationen.
När du testar ändringar i en APP bör du vara medveten om leveranstidsinställningen. Status för APP-leverans för en viss användare kan övervakas. Mer information finns i Övervaka appskyddsprinciper.
Enskilda APP-inställningar för varje app kan verifieras på enheter som använder Microsoft Edge och URL:en om:Intunehelp. Mer information finns i Granska klientappskyddsloggar och Använda Microsoft Edge för iOS och Android för att komma åt loggar för hanterade appar.
Inställningar för APP Data Protection Framework
Följande inställningar för appskyddsprinciper bör vara aktiverade för tillämpliga appar och tilldelas till alla mobila användare. Mer information om varje principinställning finns i inställningar för iOS-appskyddsprinciper och Inställningar för Android-appskyddsprinciper.
Microsoft rekommenderar att du granskar och kategoriserar användningsscenarier och sedan konfigurerar användare med hjälp av den normativa vägledningen för den nivån. Precis som med alla ramverk kan inställningar inom motsvarande nivå behöva justeras baserat på organisationens behov eftersom dataskyddet måste utvärdera hotmiljön, riskaptiten och påverkan på användbarheten.
Administratörer kan införliva konfigurationsnivåerna nedan i sin ringdistributionsmetodik för testning och produktionsanvändning genom att importera JSON-mallarna Intune App Protection Policy Configuration Framework med Intune PowerShell-skript.
Obs!
När du använder MAM för Windows kan du läsa Appskydd principinställningar för Windows.
Principer för villkorsstyrd åtkomst
För att säkerställa att endast appar som stöder appskyddsprinciper får åtkomst till arbets- eller skolkontodata krävs Microsoft Entra principer för villkorsstyrd åtkomst. Dessa principer beskrivs i villkorsstyrd åtkomst: Kräv godkända klientappar eller appskyddsprincip.
Se Kräv godkända klientappar eller appskyddsprinciper med mobila enheter i Villkorsstyrd åtkomst: Kräv godkända klientappar eller appskyddsprinciper för steg för att implementera de specifika principerna. Implementera slutligen stegen i Blockera äldre autentisering för att blockera äldre autentiseringskompatibla iOS- och Android-appar.
Obs!
Dessa principer använder beviljandekontrollerna Kräv godkänd klientapp och Kräv appskyddsprincip.
Appar som ska ingå i appskyddsprinciperna
För varje appskyddsprincip är gruppen Core Microsoft Apps riktad, som innehåller följande appar:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- Att göra
- Word
Principerna bör omfatta andra Microsoft-appar baserat på affärsbehov, ytterligare offentliga appar från tredje part som har integrerat Intune SDK som används i organisationen samt verksamhetsspecifika appar som har integrerat Intune SDK (eller har omslutits).
Grundläggande dataskydd på nivå 1 för företag
Nivå 1 är den minsta dataskyddskonfigurationen för en mobil företagsenhet. Den här konfigurationen ersätter behovet av grundläggande Exchange Online principer för enhetsåtkomst genom att kräva en PIN-kod för åtkomst till arbets- eller skoldata, kryptera arbets- eller skolkontodata och tillhandahålla möjligheten att selektivt rensa skol- eller arbetsdata. Men till skillnad från Exchange Online principer för enhetsåtkomst gäller nedanstående inställningar för appskyddsprinciper för alla appar som valts i principen, vilket säkerställer att dataåtkomst skyddas utanför scenarier för mobila meddelanden.
Principerna på nivå 1 tillämpar en rimlig dataåtkomstnivå samtidigt som påverkan på användarna minimeras och speglar standardinställningarna för dataskydd och åtkomstkrav när du skapar en appskyddsprincip inom Microsoft Intune.
Dataskydd
| Inställning | Inställningsbeskrivning | Värde | Plattform |
|---|---|---|---|
| Dataöverföring | Säkerhetskopiera organisationsdata till... | Tillåt | iOS/iPadOS, Android |
| Dataöverföring | Skicka organisationsdata till andra appar | Alla appar | iOS/iPadOS, Android |
| Dataöverföring | Skicka organisationsdata till | Alla destinationer | Windows |
| Dataöverföring | Ta emot data från andra appar | Alla appar | iOS/iPadOS, Android |
| Dataöverföring | Ta emot data från | Alla källor | Windows |
| Dataöverföring | Begränsa klipp ut, kopiera och klistra in mellan appar | Alla appar | iOS/iPadOS, Android |
| Dataöverföring | Tillåt klipp ut, kopiera och klistra in för | Alla mål och alla källor | Windows |
| Dataöverföring | Tangentbord från tredje part | Tillåt | iOS/iPadOS |
| Dataöverföring | Godkända tangentbord | Krävs inte | Android |
| Dataöverföring | Skärmdump och Google Assistant | Tillåt | Android |
| Kryptering | Kryptera organisationsdata | Behöva | iOS/iPadOS, Android |
| Kryptering | Kryptera organisationsdata på registrerade enheter | Behöva | Android |
| Funktionalitet | Synkronisera app med intern kontaktapp | Tillåt | iOS/iPadOS, Android |
| Funktionalitet | Skriva ut organisationsdata | Tillåt | iOS/iPadOS, Android, Windows |
| Funktionalitet | Begränsa överföring av webbinnehåll med andra appar | Alla appar | iOS/iPadOS, Android |
| Funktionalitet | Meddelanden om organisationsdata | Tillåt | iOS/iPadOS, Android |
Åtkomstkrav
| Inställning | Värde | Plattform | Kommentar |
|---|---|---|---|
| PIN-kod för åtkomst | Behöva | iOS/iPadOS, Android | |
| TYP AV PIN-kod | Numerisk | iOS/iPadOS, Android | |
| Enkel PIN-kod | Tillåt | iOS/iPadOS, Android | |
| Välj Minsta PIN-kodslängd | 4 | iOS/iPadOS, Android | |
| Touch ID i stället för PIN-kod för åtkomst (iOS 8+/iPadOS) | Tillåt | iOS/iPadOS | |
| Åsidosätt biometri med PIN-kod efter timeout | Behöva | iOS/iPadOS, Android | |
| Tidsgräns (minuter av aktivitet) | 1440 | iOS/iPadOS, Android | |
| Ansikts-ID i stället för PIN-kod för åtkomst (iOS 11+/iPadOS) | Tillåt | iOS/iPadOS | |
| Biometrisk kod i stället för PIN-kod för åtkomst | Tillåt | iOS/iPadOS, Android | |
| PIN-återställning efter antal dagar | Nej | iOS/iPadOS, Android | |
| Välj antalet tidigare PIN-värden som ska underhållas | 0 | Android | |
| Appens PIN-kod när enhetens PIN-kod har angetts | Behöva | iOS/iPadOS, Android | Om enheten har registrerats i Intune kan administratörer överväga att ställa in detta på "Krävs inte" om de tillämpar en stark PIN-kod för enheten via en enhetsefterlevnadsprincip. |
| Autentiseringsuppgifter för arbets- eller skolkonto för åtkomst | Krävs inte | iOS/iPadOS, Android | |
| Kontrollera åtkomstkraven igen efter (minuter av inaktivitet) | 30 | iOS/iPadOS, Android |
Villkorlig start
| Inställning | Inställningsbeskrivning | Värde/åtgärd | Plattform | Kommentar |
|---|---|---|---|---|
| Appvillkor | Maximalt antal PIN-försök | 5/Återställ PIN-kod | iOS/iPadOS, Android | |
| Appvillkor | Offline-respitperiod | 10080/Blockera åtkomst (minuter) | iOS/iPadOS, Android, Windows | |
| Appvillkor | Offline-respitperiod | 90/Rensa data (dagar) | iOS/iPadOS, Android, Windows | |
| Enhetsvillkor | Jailbrokade/rotade enheter | Ej tillämpligt/Blockera åtkomst | iOS/iPadOS, Android | |
| Enhetsvillkor | SafetyNet-enhetsattestering | Grundläggande integritet och certifierade enheter/Blockera åtkomst | Android | Den här inställningen konfigurerar Google Play-enhetens integritetskontroll på slutanvändarens enheter. Grundläggande integritet verifierar enhetens integritet. Rotade enheter, emulatorer, virtuella enheter och enheter med tecken på manipulering misslyckas grundläggande integritet. Grundläggande integritet och certifierade enheter verifierar enhetens kompatibilitet med Googles tjänster. Endast oförändrade enheter som har certifierats av Google kan klara den här kontrollen. |
| Enhetsvillkor | Kräv hotgenomsökning för appar | Ej tillämpligt/Blockera åtkomst | Android | Den här inställningen säkerställer att Googles Verify Apps-genomsökning är aktiverad för slutanvändarenheter. Om det konfigureras blockeras slutanvändaren från åtkomst tills de aktiverar Googles appgenomsökning på sin Android-enhet. |
| Enhetsvillkor | Högsta tillåtna enhetshotnivå | Låg/blockera åtkomst | Windows | |
| Enhetsvillkor | Kräv enhetslås | Låg/varna | Android | Den här inställningen säkerställer att Android-enheter har ett enhetslösenord som uppfyller minimikraven för lösenord. |
Obs!
Inställningar för villkorsstyrd start i Windows är märkta som hälsokontroller.
Förbättrat dataskydd på nivå 2 för företag
Nivå 2 är den dataskyddskonfiguration som rekommenderas som standard för enheter där användarna får åtkomst till mer känslig information. Dessa enheter är ett naturligt mål i företag idag. Dessa rekommendationer förutsätter inte en stor personal med högkvalificerade säkerhetspersonal och bör därför vara tillgängliga för de flesta företagsorganisationer. Den här konfigurationen utökar konfigurationen på nivå 1 genom att begränsa dataöverföringsscenarier och kräva en lägsta version av operativsystemet.
Viktigt
Principinställningarna som tillämpas på nivå 2 innehåller alla principinställningar som rekommenderas för nivå 1. Nivå 2 visar dock bara de inställningar som har lagts till eller ändrats för att implementera fler kontroller och en mer avancerad konfiguration än nivå 1. Även om de här inställningarna kan ha en något högre inverkan på användare eller program, framtvingar de en nivå av dataskydd som är mer proportionerlig med de risker som användare utsätts för med åtkomst till känslig information på mobila enheter.
Dataskydd
| Inställning | Inställningsbeskrivning | Värde | Plattform | Kommentar |
|---|---|---|---|---|
| Dataöverföring | Säkerhetskopiera organisationsdata till... | Blockera | iOS/iPadOS, Android | |
| Dataöverföring | Skicka organisationsdata till andra appar | Principhanterade appar | iOS/iPadOS, Android | Med iOS/iPadOS kan administratörer konfigurera det här värdet till "Principhanterade appar", "Principhanterade appar med OS-delning" eller "Principhanterade appar med Open-In/Share-filtrering". Principhanterade appar med OS-delning är tillgängligt när enheten också har registrerats med Intune. Den här inställningen tillåter dataöverföring till andra principhanterade appar och filöverföringar till andra appar som hanteras av Intune. Principhanterade appar med Open-In/Share-filtrering filtrerar dialogrutorna Öppna i/Dela för att endast visa principhanterade appar. Mer information finns i inställningar för iOS-appskyddsprinciper. |
| Dataöverföring | Skicka eller data till | Inga mål | Windows | |
| Dataöverföring | Ta emot data från | Inga källor | Windows | |
| Dataöverföring | Välj appar som ska undantas | Standard/skype; appinställningar; calshow; itms; itmss; itms-apps; itms-apps; itms-services; | iOS/iPadOS | |
| Dataöverföring | Spara kopior av organisationsdata | Blockera | iOS/iPadOS, Android | |
| Dataöverföring | Tillåt användare att spara kopior till valda tjänster | OneDrive för företag, SharePoint Online, Fotobibliotek | iOS/iPadOS, Android | |
| Dataöverföring | Överföra telekommunikationsdata till | Valfri uppringningsapp | iOS/iPadOS, Android | |
| Dataöverföring | Begränsa klipp ut, kopiera och klistra in mellan appar | Principhanterade appar med inklistring | iOS/iPadOS, Android | |
| Dataöverföring | Tillåt klipp ut, kopiera och klistra in för | Inget mål eller ingen källa | Windows | |
| Dataöverföring | Skärmdump och Google Assistant | Blockera | Android | |
| Funktionalitet | Begränsa överföring av webbinnehåll med andra appar | Microsoft Edge | iOS/iPadOS, Android | |
| Funktionalitet | Meddelanden om organisationsdata | Blockera organisationsdata | iOS/iPadOS, Android | En lista över appar som stöder den här inställningen finns i Inställningar för iOS-appskyddsprinciper och Inställningar för Android-appskyddsprinciper. |
Villkorlig start
| Inställning | Inställningsbeskrivning | Värde/åtgärd | Plattform | Kommentar |
|---|---|---|---|---|
| Appvillkor | Inaktiverat konto | Ej tillämpligt/Blockera åtkomst | iOS/iPadOS, Android, Windows | |
| Enhetsvillkor | Lägsta operativsystemversion |
Format: Major.Minor.Build Exempel: 14.8 /Blockera åtkomst |
iOS/iPadOS | Microsoft rekommenderar att du konfigurerar den lägsta iOS-huvudversionen så att den matchar de iOS-versioner som stöds för Microsoft-appar. Microsoft-appar stöder en N-1-metod där N är den aktuella huvudversionsversionen för iOS. För del- och versionsvärden rekommenderar Microsoft att du ser till att enheterna är uppdaterade med respektive säkerhetsuppdateringar. Se Apples säkerhetsuppdateringar för Apples senaste rekommendationer |
| Enhetsvillkor | Lägsta operativsystemversion |
Format: Major.Minor Exempel: 9.0 /Blockera åtkomst |
Android | Microsoft rekommenderar att du konfigurerar den lägsta Android-huvudversionen så att den matchar de Android-versioner som stöds för Microsoft-appar. OEM-tillverkare och enheter som följer rekommenderade krav för Android Enterprise måste ha stöd för den aktuella leveransversionen plus en bokstavsuppgradering. För närvarande rekommenderar Android 9.0 och senare för kunskapsarbetare. Se Rekommenderade krav för Android Enterprise för Androids senaste rekommendationer |
| Enhetsvillkor | Lägsta operativsystemversion |
Format: Skapa Exempel: 10.0.22621.2506 /Blockera åtkomst |
Windows | Microsoft rekommenderar att du konfigurerar den lägsta Windows-versionen så att den matchar de Windows-versioner som stöds för Microsoft-appar. För närvarande rekommenderar Microsoft följande:
|
| Enhetsvillkor | Lägsta korrigeringsversion |
Format: ÅÅÅÅ-MM-DD Exempel: 2020-01-01 /Blockera åtkomst |
Android | Android-enheter kan få månatliga säkerhetskorrigeringar, men versionen är beroende av OEM-tillverkare och/eller operatörer. Organisationer bör se till att distribuerade Android-enheter får säkerhetsuppdateringar innan de implementerar den här inställningen. De senaste korrigeringsversionerna finns i Säkerhetsbulletiner för Android . |
| Enhetsvillkor | Nödvändig safetynet-utvärderingstyp | Maskinvarubaserad nyckel | Android | Maskinvarustödd attestering förbättrar den befintliga Googles play integrity-tjänstkontroll genom att tillämpa en ny utvärderingstyp som heter Hardware Backed, vilket ger en mer robust rotidentifiering som svar på nyare typer av rotverktyg och metoder som inte alltid kan identifieras på ett tillförlitligt sätt av en lösning endast programvara. Som namnet antyder använder maskinvarustödd attestering en maskinvarubaserad komponent som levereras med enheter installerade med Android 8.1 och senare. Enheter som har uppgraderats från en äldre version av Android till Android 8.1 kommer sannolikt inte att ha de maskinvarubaserade komponenter som krävs för maskinvarubaserad attestering. Den här inställningen bör ha brett stöd från och med enheter som levereras med Android 8.1, men Microsoft rekommenderar starkt att du testar enheter individuellt innan du aktiverar den här principinställningen brett. |
| Enhetsvillkor | Kräv enhetslås | Medel/blockera åtkomst | Android | Den här inställningen säkerställer att Android-enheter har ett enhetslösenord som uppfyller minimikraven för lösenord. |
| Enhetsvillkor | Samsung Knox-enhetsattestering | Blockera åtkomst | Android | Microsoft rekommenderar att du konfigurerar inställningen för Samsung Knox-enhetsattestering till Blockera åtkomst för att säkerställa att användarkontot blockeras från åtkomst om enheten inte uppfyller samsungs knox maskinvarubaserade verifiering av enhetens hälsa. Den här inställningen verifierar alla Intune MAM-klientsvar till Intune-tjänsten skickades från en felfri enhet. Den här inställningen gäller för alla målenheter. Om du bara vill tillämpa den här inställningen på Samsung-enheter kan du använda tilldelningsfilter för hanterade appar. Mer information om tilldelningsfilter finns i Använda filter när du tilldelar appar, principer och profiler i Microsoft Intune. |
| Appvillkor | Offline-respitperiod | 30/Rensa data (dagar) | iOS/iPadOS, Android, Windows |
Obs!
Inställningar för villkorsstyrd start i Windows är märkta som hälsokontroller.
Hög dataskyddsnivå 3 för företag
Nivå 3 är den dataskyddskonfiguration som rekommenderas som standard för organisationer med stora och sofistikerade säkerhetsorganisationer, eller för specifika användare och grupper som kommer att vara unikt riktade mot angripare. Sådana organisationer är vanligtvis mål för välfinansierade och sofistikerade angripare, och därför förtjänar de ytterligare begränsningar och kontroller som beskrivs. Den här konfigurationen utökar konfigurationen på nivå 2 genom att begränsa ytterligare dataöverföringsscenarier, öka komplexiteten i PIN-konfigurationen och lägga till identifiering av mobilhot.
Viktigt
Principinställningarna som tillämpas på nivå 3 innehåller alla principinställningar som rekommenderas för nivå 2, men visar bara de inställningar nedan som har lagts till eller ändrats för att implementera fler kontroller och en mer avancerad konfiguration än nivå 2. Dessa principinställningar kan ha en potentiellt betydande inverkan på användare eller program, vilket tvingar fram en säkerhetsnivå som motsvarar de risker som riktade organisationer står inför.
Dataskydd
| Inställning | Inställningsbeskrivning | Värde | Plattform | Kommentar |
|---|---|---|---|---|
| Dataöverföring | Överföra telekommunikationsdata till | Valfri principhanterad uppringningsapp | Android | Administratörer kan också konfigurera den här inställningen så att den använder en uppringningsapp som inte stöder appskyddsprinciper genom att välja En specifik uppringningsapp och ange värdena Paket-ID för uppringningsapp och Uppringningsappnamn . |
| Dataöverföring | Överföra telekommunikationsdata till | En specifik uppringningsapp | iOS/iPadOS | |
| Dataöverföring | Url-schema för uppringningsapp | replace_with_dialer_app_url_scheme | iOS/iPadOS | På iOS/iPadOS måste det här värdet ersättas med URL-schemat för den anpassade uppringningsappen som används. Om URL-schemat inte är känt kontaktar du apputvecklaren för mer information. Mer information om URL-scheman finns i Definiera ett anpassat URL-schema för din app. |
| Dataöverföring | Ta emot data från andra appar | Principhanterade appar | iOS/iPadOS, Android | |
| Dataöverföring | Öppna data i organisationsdokument | Blockera | iOS/iPadOS, Android | |
| Dataöverföring | Tillåt användare att öppna data från valda tjänster | OneDrive för företag, SharePoint, Kamera, Fotobibliotek | iOS/iPadOS, Android | Relaterad information finns i Inställningar för Android-appskyddsprinciper och inställningar för iOS-appskyddsprinciper. |
| Dataöverföring | Tangentbord från tredje part | Blockera | iOS/iPadOS | På iOS/iPadOS blockerar detta alla tangentbord från tredje part från att fungera i appen. |
| Dataöverföring | Godkända tangentbord | Behöva | Android | |
| Dataöverföring | Välj tangentbord att godkänna | lägga till/ta bort tangentbord | Android | Med Android måste tangentbord väljas för att kunna användas baserat på dina distribuerade Android-enheter. |
| Funktionalitet | Skriva ut organisationsdata | Blockera | iOS/iPadOS, Android, Windows |
Åtkomstkrav
| Inställning | Värde | Plattform |
|---|---|---|
| Enkel PIN-kod | Blockera | iOS/iPadOS, Android |
| Välj Minsta PIN-kodslängd | 6 | iOS/iPadOS, Android |
| PIN-återställning efter antal dagar | Ja | iOS/iPadOS, Android |
| Antal dagar | 365 | iOS/iPadOS, Android |
| Klass 3 Biometri (Android 9.0+) | Behöva | Android |
| Åsidosätt biometrisk kod med PIN-kod efter biometriska uppdateringar | Behöva | Android |
Villkorlig start
| Inställning | Inställningsbeskrivning | Värde/åtgärd | Plattform | Kommentar |
|---|---|---|---|---|
| Enhetsvillkor | Kräv enhetslås | Hög/blockera åtkomst | Android | Den här inställningen säkerställer att Android-enheter har ett enhetslösenord som uppfyller minimikraven för lösenord. |
| Enhetsvillkor | Högsta tillåtna enhetshotnivå | Skyddad/Blockera åtkomst | Windows | |
| Enhetsvillkor | Jailbrokade/rotade enheter | Ej tillämpligt/Rensa data | iOS/iPadOS, Android | |
| Enhetsvillkor | Högsta tillåtna hotnivå | Skyddad/Blockera åtkomst | iOS/iPadOS, Android | Oregistrerade enheter kan inspekteras för hot med hjälp av Mobile Threat Defense. Mer information finns i Mobile Threat Defense för oregistrerade enheter. Om enheten har registrerats kan den här inställningen hoppas över till förmån för distribution av Mobile Threat Defense för registrerade enheter. Mer information finns i Mobile Threat Defense för registrerade enheter. |
| Enhetsvillkor | Högsta operativsystemversion |
Format: Major.Minor Exempel: 11.0 /Blockera åtkomst |
Android | Microsoft rekommenderar att du konfigurerar den högsta Android-huvudversionen för att säkerställa att betaversioner eller versioner av operativsystemet som inte stöds inte används. Se Rekommenderade krav för Android Enterprise för Androids senaste rekommendationer |
| Enhetsvillkor | Högsta operativsystemversion |
Format: Major.Minor.Build Exempel: 15.0 /Blockera åtkomst |
iOS/iPadOS | Microsoft rekommenderar att du konfigurerar den högsta iOS/iPadOS-huvudversionen för att säkerställa att betaversioner eller versioner av operativsystemet som inte stöds inte används. Se Apples säkerhetsuppdateringar för Apples senaste rekommendationer |
| Enhetsvillkor | Högsta operativsystemversion |
Format: Major.Minor Exempel: 22631. /Blockera åtkomst |
Windows | Microsoft rekommenderar att du konfigurerar den högsta Windows-huvudversionen för att säkerställa att betaversioner eller versioner av operativsystemet som inte stöds inte används. |
| Enhetsvillkor | Samsung Knox-enhetsattestering | Rensa data | Android | Microsoft rekommenderar att du konfigurerar inställningen för Samsung Knox-enhetsattestering till Rensa data för att säkerställa att organisationsdata tas bort om enheten inte uppfyller Samsungs Knox maskinvarubaserade verifiering av enhetens hälsa. Den här inställningen verifierar alla Intune MAM-klientsvar till Intune-tjänsten skickades från en felfri enhet. Den här inställningen gäller för alla målenheter. Om du bara vill tillämpa den här inställningen på Samsung-enheter kan du använda tilldelningsfilter för hanterade appar. Mer information om tilldelningsfilter finns i Använda filter när du tilldelar appar, principer och profiler i Microsoft Intune. |
| Appvillkor | Offline-respitperiod | 30/Blockera åtkomst (dagar) | iOS/iPadOS, Android, Windows |
Nästa steg
Administratörer kan införliva ovanstående konfigurationsnivåer i sin ringdistributionsmetodik för testning och produktionsanvändning genom att importera JSON-mallarna Intune App Protection Policy Configuration Framework med Intune PowerShell-skript.