Principinställningar för iOS-appskydd

Den här artikeln beskriver inställningarna för appskyddsprinciper för iOS/iPadOS-enheter. Principinställningarna som beskrivs kan konfigureras för en appskyddsprincip i fönstret Inställningar i portalen när du skapar en ny princip.

Det finns tre kategorier av principinställningar: dataflytt, åtkomstkrav och villkorlig start. I den här artikeln refererar termen principhanterade appar till appar som har konfigurerats med appskyddsprinciper.

Viktigt

Intune Managed Browser har dragits tillbaka. Använd Microsoft Edge för din skyddade Intune webbläsarupplevelse.

Dataskydd

Dataöverföring

Inställning Användning Standardvärde
Säkerhetskopiera organisationsdata till iTunes- och iCloud-säkerhetskopior Välj Blockera för att förhindra att den här appen säkerhetskopierar arbets- eller skoldata till iTunes och iCloud. Välj Tillåt för att tillåta att den här appen säkerhetskopierar arbets- eller skoldata till iTunes och iCloud. Tillåt
Skicka organisationsdata till andra appar Ange vilka appar som kan ta emot data från den här appen:
  • Alla appar: Tillåt överföring till alla appar. Den mottagande appen har möjlighet att läsa och redigera data.
  • Ingen: Tillåt inte dataöverföring till någon app, inklusive andra principhanterade appar. Om användaren utför en hanterad öppen funktion och överför ett dokument, krypteras data och kan inte läsas.
  • Principhanterade appar: Tillåt endast överföring till andra principhanterade appar.

    Obs!Användare kan överföra innehåll via Öppna i- eller Dela-tillägg till ohanterade appar på oregistrerade enheter eller registrerade enheter som tillåter delning till ohanterade appar. Överförda data krypteras av Intune och kan inte läsas av ohanterade appar.

  • Principhanterade appar med OS-delning: Tillåt endast dataöverföring till andra principhanterade appar, samt filöverföringar till andra MDM-hanterade appar på registrerade enheter.

    Obs!Värdet principhanterade appar med OS-delning gäller endast för MDM-registrerade enheter. Om den här inställningen är riktad till en användare på en oregistrerad enhet gäller beteendet för värdet Principhanterade appar. Användare kommer att kunna överföra okrypterat innehåll via Open-in- eller Share-tillägg till alla program som tillåts av inställningen iOS MDM allowOpenFromManagedtoUnmanaged, förutsatt att den sändande appen har IntuneMAMUPN och IntuneMAMOID konfigurerat; Mer information finns i Hantera dataöverföring mellan iOS-appar i Microsoft Intune. Mer https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf information om den här MDM-inställningen för iOS/iPadOS finns i.

  • Principhanterade appar med Open-In/Share-filtrering: Tillåt endast överföring till andra principhanterade appar och filtrera dialogrutorna Öppna i/Dela för att endast visa principhanterade appar. För att konfigurera filtreringen av dialogrutan Öppna i/Dela kräver det att både de appar som fungerar som fil-/dokumentkälla och de appar som kan öppna den här filen/dokumentet har Intune SDK för iOS version 8.1.1 eller senare.

    Obs!Användare kan överföra innehåll via Öppna i- eller Dela-tillägg till ohanterade appar om Intune privata datatypen stöds av appen. Överförda data krypteras av Intune och kan inte läsas av ohanterade appar.


Spotlight-sökning (gör det möjligt att söka efter data i appar) och Siri-genvägar blockeras om de inte är inställda på Alla appar.

Den här principen kan också gälla för universella iOS/iPadOS-länkar. Allmänna webblänkar hanteras av öppna applänkar i Intune Managed Browser principinställning.

Det finns vissa undantagna appar och tjänster som Intune kan tillåta dataöverföring som standard. Dessutom kan du skapa egna undantag om du behöver tillåta att data överförs till en app som inte stöder Intune APP. Mer information finns i undantag för dataöverföring .

Alla appar
    Välj appar som ska undantas
Det här alternativet är tillgängligt när du väljer Principhanterade appar för föregående alternativ.
    Välj universella länkar som ska undantas
Ange vilka universella iOS/iPadOS-länkar som ska öppnas i det angivna ohanterade programmet i stället för den skyddade webbläsare som anges i inställningen Begränsa överföring av webbinnehåll med andra appar . Du måste kontakta programutvecklaren för att fastställa rätt universallänkformat för varje program.
    Välj hanterade universella länkar
Ange vilka universella iOS/iPadOS-länkar som ska öppnas i det angivna hanterade programmet i stället för den skyddade webbläsare som anges i inställningen Begränsa överföring av webbinnehåll till andra appar . Du måste kontakta programutvecklaren för att fastställa rätt universallänkformat för varje program.
    Spara kopior av organisationsdata
Välj Blockera för att inaktivera användningen av alternativet Spara som i den här appen. Välj Tillåt om du vill tillåta användning av Spara som. När inställningen Är inställd på Blockera kan du konfigurera inställningen Tillåt användare att spara kopior till valda tjänster.

Obs!
  • Den här inställningen stöds för Microsoft Excel, OneNote, Outlook, PowerPoint, Word och Microsoft Edge. Det kan också stödjas av appar från tredje part och LOB.
  • Den här inställningen kan bara konfigureras när inställningen Skicka organisationsdata till andra appar är inställd på Principhanterade appar, Principhanterade appar med OS-delning eller Principhanterade appar med Open-In/Share-filtrering.
  • Den här inställningen är "Tillåt" när inställningen Skicka organisationsdata till andra appar är inställd på Alla appar.
  • Den här inställningen är "Blockera" utan tillåtna tjänstplatser när inställningen Skicka organisationsdata till andra appar är inställd på Ingen.
Tillåt
      Tillåt användare att spara kopior till valda tjänster
Användare kan spara till de valda tjänsterna (OneDrive för företag, SharePoint, Fotobibliotek och Lokal lagring). Alla andra tjänster blockeras. OneDrive för företag: du kan spara filer i OneDrive för företag och SharePoint Online. SharePoint: du kan spara filer i lokal SharePoint. Fotobibliotek: Du kan spara filer i fotobiblioteket lokalt. Lokal lagring: Hanterade appar kan spara kopior av organisationsdata lokalt. Detta inkluderar INTE att spara filer på de lokala ohanterade platserna, till exempel appen Filer på enheten. 0 valt
    Överföra telekommunikationsdata till
När en användare väljer ett hyperlänkat telefonnummer i en app öppnas vanligtvis en uppringningsapp med telefonnumret ifyllt och redo att ringa. För den här inställningen väljer du hur den här typen av innehållsöverföring ska hanteras när den initieras från en principhanterad app:
  • Ingen, överför inte dessa data mellan appar: Överför inte kommunikationsdata när ett telefonnummer identifieras.
  • En specifik uppringningsapp: Tillåt att en specifik hanterad uppringningsapp initierar kontakt när ett telefonnummer identifieras.
  • Valfri uppringningsapp: Tillåt att alla hanterade uppringningsappar används för att initiera kontakt när ett telefonnummer identifieras.

Obs!Den här inställningen kräver Intune SDK 12.7.0 och senare. Om dina appar förlitar sig på uppringningsfunktioner och inte använder rätt Intune SDK-version kan du överväga att lägga till "tel; telprompt" som ett undantag för dataöverföring. När apparna har stöd för rätt Intune SDK-version kan undantaget tas bort.

Valfri uppringningsapp
      Url-schema för uppringningsapp
När en specifik uppringningsapp har valts måste du ange url-schemat för uppringningsappen som används för att starta uppringningsappen på iOS-enheter. Mer information finns i Apples dokumentation om telefonlänkar. Blank
    Överföra meddelandedata till
När en användare väljer en länk för hyperlänkade meddelanden i en app öppnas vanligtvis en meddelandeapp med telefonnumret ifyllt och redo att skickas. För den här inställningen väljer du hur den här typen av innehållsöverföring ska hanteras när den initieras från en principhanterad app. Ytterligare steg kan behövas för att den här inställningen ska börja gälla. Kontrollera först att sms har tagits bort från listan Välj appar att undanta. Kontrollera sedan att programmet använder en nyare version av Intune SDK (version > 19.0.0). För den här inställningen väljer du hur den här typen av innehållsöverföring ska hanteras när den initieras från en principhanterad app:
  • Ingen, överför inte dessa data mellan appar: Överför inte kommunikationsdata när ett telefonnummer identifieras.
  • En specifik meddelandeapp: Tillåt att en specifik hanterad meddelandeapp initierar kontakt när ett telefonnummer identifieras.
  • Alla meddelandeappar: Tillåt att alla hanterade meddelandeappar används för att initiera kontakt när ett telefonnummer identifieras.

Obs! Den här inställningen kräver Intune SDK 19.0.0 och senare.

Alla meddelandeappar
      Url-schema för meddelandeapp
När en specifik meddelandeapp har valts måste du ange url-schemat för meddelandeappen som används för att starta meddelandeappen på iOS-enheter. Mer information finns i Apples dokumentation om telefonlänkar. Blank
Ta emot data från andra appar Ange vilka appar som kan överföra data till den här appen:
  • Alla appar: Tillåt dataöverföring från valfri app.
  • Ingen: Tillåt inte dataöverföring från någon app, inklusive andra principhanterade appar.
  • Principhanterade appar: Tillåt endast överföring från andra principhanterade appar.
  • Alla appar med inkommande organisationsdata: Tillåt dataöverföring från valfri app. Behandla alla inkommande data utan en användaridentitet som data från din organisation. Data markeras med den MDM-registrerade användarens identitet enligt definitionen i IntuneMAMUPN inställningen.

    Obs!Värdet Alla appar med inkommande organisationsdata gäller endast för MDM-registrerade enheter. Om den här inställningen är riktad till en användare på en oregistrerad enhet gäller beteendet för värdet Alla appar.

MAM-aktiverade program med flera identiteter försöker växla till ett ohanterat konto när de tar emot ohanterade data om den här inställningen är konfigurerad till Inga eller Principhanterade appar. Om det inte finns något ohanterat konto som är inloggat i appen eller om appen inte kan växla blockeras inkommande data.

Alla appar
    Öppna data i organisationsdokument
Välj Blockera om du vill inaktivera användningen av alternativet Öppna eller andra alternativ för att dela data mellan konton i den här appen. Välj Tillåt om du vill tillåta användning av Öppna.

När det är inställt på Blockera kan du konfigurera Tillåt användare att öppna data från valda tjänster för att ange vilka tjänster som tillåts för organisationens dataplatser.

Obs!
  • Den här inställningen kan bara konfigureras när inställningen Ta emot data från andra appar är inställd på Principhanterade appar.
  • Den här inställningen är "Tillåt" när inställningen Ta emot data från andra appar är inställd på Alla appar eller Alla appar med inkommande organisationsdata.
  • Den här inställningen är "Blockera" utan tillåtna tjänstplatser när inställningen Ta emot data från andra appar är inställd på Ingen.
  • Följande appar stöder den här inställningen:
    • OneDrive 11.45.3 eller senare.
    • Outlook för iOS 4.60.0 eller senare.
    • Teams för iOS 3.17.0 eller senare.
Tillåt
      Tillåt användare att öppna data från valda tjänster
Välj de programlagringstjänster som användarna kan öppna data från. Alla andra tjänster blockeras. Om du väljer inga tjänster hindras användarna från att öppna data från externa platser.
Not: Den här kontrollen är utformad för att fungera med data som ligger utanför företagscontainern.

Tjänster som stöds:
  • OneDrive för företag
  • SharePoint Online
  • Kamera
  • Fotobibliotek
Not: Kameran innehåller inte åtkomst till foton eller fotogallerier. När du väljer Fotobibliotek i inställningen Tillåt användare att öppna data från valda tjänster i Intune kan du tillåta att hanterade konton tillåter inkommande data från enhetens fotobibliotek till deras hanterade appar.
Alla markerade
Begränsa klipp ut, kopiera och klistra in mellan andra appar Ange när åtgärderna klipp ut, kopiera och klistra in kan användas med den här appen. Välj mellan:
  • Blockerad: Tillåt inte åtgärder för klipp ut, kopiera och klistra in mellan den här appen och någon annan app.
  • Principhanterade appar: Tillåt åtgärder för att klippa ut, kopiera och klistra in mellan den här appen och andra principhanterade appar.
  • Princip som hanteras med inklistring: Tillåt klipp ut eller kopiera mellan den här appen och andra principhanterade appar. Tillåt att data från alla appar klistras in i den här appen.
  • Alla appar: Inga begränsningar för klipp ut, kopiera och klistra in till och från den här appen.
Alla appar
    Gräns för klipp ut och kopiera tecken för alla appar
Ange antalet tecken som kan klippas ut eller kopieras från organisationsdata och konton. Detta tillåter delning av det angivna antalet tecken till alla program, oavsett inställningen Begränsa klipp ut, kopiera och klistra in med andra appar .

Standardvärde = 0

Obs!Kräver att appen har Intune SDK version 9.0.14 eller senare.

0
Tangentbord från tredje part Välj Blockera för att förhindra användning av tangentbord från tredje part i hanterade program.

När den här inställningen är aktiverad får användaren ett engångsmeddelande om att användningen av tangentbord från tredje part är blockerad. Det här meddelandet visas första gången en användare interagerar med organisationsdata som kräver att ett tangentbord används. Endast standardtangentbordet i iOS/iPadOS är tillgängligt när du använder hanterade program, och alla andra tangentbordsalternativ är inaktiverade. Den här inställningen påverkar både organisationens och de personliga kontona för program med flera identiteter. Den här inställningen påverkar inte användningen av tangentbord från tredje part i ohanterade program.

Not: Den här funktionen kräver att appen använder Intune SDK version 12.0.16 eller senare. Appar med SDK-versioner från 8.0.14 till, och inklusive 12.0.15, kommer inte att ha den här funktionen korrekt tillämpad för appar med flera identiteter. Mer information finns i Känt problem: Tangentbord från tredje part blockeras inte i iOS/iPadOS för personliga konton.

Tillåt

Obs!

En appskyddsprincip krävs med IntuneMAMUPN för hanterade enheter. Detta gäller även för alla inställningar som kräver registrerade enheter.

Kryptering

Inställning Användning Standardvärde
Kryptera organisationsdata Välj Kräv för att aktivera kryptering av arbets- eller skoldata i den här appen. Intune framtvingar kryptering på iOS/iPadOS-enhetsnivå för att skydda appdata när enheten är låst. Dessutom kan program eventuellt kryptera appdata med hjälp av Intune APP SDK-kryptering. Intune APP SDK använder kryptografimetoder för iOS/iPadOS för att tillämpa 256-bitars AES-kryptering på appdata.

När du aktiverar den här inställningen kan användaren behöva konfigurera och använda en PIN-kod för enheten för att få åtkomst till sin enhet. Om det inte finns någon PIN-kod för enheten och kryptering krävs uppmanas användaren att ange en PIN-kod med meddelandet "Din organisation har krävt att du först aktiverar en PIN-kod för enheten för att få åtkomst till den här appen".

Gå till den officiella Apple-dokumentationen för att läsa mer om deras dataskyddsklasser som en del av deras Apple Platform Security.
Behöva

Funktionalitet

Inställning Användning Standardvärde
Synkronisera principhanterade appdata med interna appar eller tillägg Välj Blockera för att förhindra att principhanterade appar sparar data i enhetens interna appar (kontakter, kalender och widgetar) och för att förhindra användning av tillägg i principhanterade appar. Om det inte stöds av programmet tillåts att spara data i interna appar och använda tillägg.

Om du väljer Tillåt kan den principhanterade appen spara data i de interna apparna eller använda tillägg, om dessa funktioner stöds och aktiveras i den principhanterade appen.

Program kan tillhandahålla ytterligare kontroller för att anpassa beteendet för datasynkronisering till specifika interna appar eller för att inte respektera den här kontrollen.

Obs! När du utför en selektiv rensning för att ta bort arbets- eller skoldata från appen tas data som synkroniseras direkt från den principhanterade appen till den interna appen bort. Data som synkroniseras från den interna appen till en annan extern källa rensas inte.

Obs! Följande appar stöder den här funktionen:
Tillåt
Skriva ut organisationsdata Välj Blockera för att förhindra att appen skriver ut arbets- eller skoldata. Om du lämnar den här inställningen till Tillåt, standardvärdet, kan användarna exportera och skriva ut alla organisationsdata. Tillåt
Begränsa överföring av webbinnehåll med andra appar Ange hur webbinnehåll (http/https-länkar) ska öppnas från principhanterade program. Välj mellan:
  • Alla appar: Tillåt webblänkar i alla appar.
  • Intune Managed Browser: Tillåt att webbinnehåll endast öppnas i Intune Managed Browser. Den här webbläsaren är en principhanterad webbläsare.
  • Microsoft Edge: Tillåt att webbinnehåll endast öppnas i Microsoft Edge. Den här webbläsaren är en principhanterad webbläsare.
  • Ohanterad webbläsare: Tillåt att webbinnehåll endast öppnas i den ohanterade webbläsare som definieras av inställningen Ohanterat webbläsarprotokoll . Webbinnehållet hanteras inte i målwebbläsaren.
    Obs! Kräver att appen har Intune SDK version 11.0.9 eller senare.
Om du använder Intune för att hantera dina enheter kan du läsa Hantera Internetåtkomst med hanterade webbläsarprinciper med Microsoft Intune.

Om en principhanterad webbläsare krävs men inte installeras uppmanas slutanvändarna att installera Microsoft Edge.

Om en principhanterad webbläsare krävs hanteras universella iOS/iPadOS-länkar av principinställningen Skicka organisationsdata till andra appar .

Intune enhetsregistrering
Om du använder Intune för att hantera dina enheter kan du läsa Hantera Internetåtkomst med hanterade webbläsarprinciper med Microsoft Intune.

Principhanterad Microsoft Edge
Microsoft Edge-webbläsaren för mobila enheter (iOS/iPadOS och Android) stöder Intune appskyddsprinciper. Användare som loggar in med sina företagskonton Microsoft Entra i Microsoft Edge-webbläsarprogrammet skyddas av Intune. Microsoft Edge-webbläsaren integrerar Intune SDK och stöder alla dess dataskyddsprinciper, med undantag för att förhindra:

  • Spara som: Microsoft Edge-webbläsaren tillåter inte att en användare lägger till direkta anslutningar i appen till molnlagringsleverantörer (till exempel OneDrive).
  • Kontaktsynkronisering: Microsoft Edge-webbläsaren sparas inte i interna kontaktlistor.

Obs!Intune SDK kan inte avgöra om en målapp är en webbläsare. Inga andra hanterade webbläsarappar tillåts på iOS/iPadOS-enheter.
Inte konfigurerad
    Ohanterat webbläsarprotokoll
Ange protokollet för en enda ohanterad webbläsare. Webbinnehåll (http/https-länkar) från principhanterade program öppnas i alla appar som stöder det här protokollet. Webbinnehållet hanteras inte i målwebbläsaren.

Den här funktionen bör endast användas om du vill dela skyddat innehåll med en specifik webbläsare som inte är aktiverad med hjälp av Intune appskyddsprinciper. Du måste kontakta webbläsarens leverantör för att fastställa vilket protokoll som stöds av din önskade webbläsare.

Obs!Inkludera endast protokollprefixet. Om webbläsaren kräver länkar i formuläret mybrowser://www.microsoft.comanger du mybrowser.
Länkar kommer att översättas som:
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
Blank
Meddelanden om organisationsdata Ange hur organisationsdata delas via OS-meddelanden för organisationskonton. Den här principinställningen påverkar den lokala enheten och alla anslutna enheter, till exempel bärbara och smarta högtalare. Appar kan tillhandahålla ytterligare kontroller för att anpassa meddelandebeteendet eller välja att inte respektera alla värden. Välj mellan:
  • Blockerad: Dela inte meddelanden.
    • Om det inte stöds av programmet tillåts meddelanden.
  • Blockera organisationsdata: Dela inte organisationsdata i meddelanden, till exempel.
    • "Du har ny e-post"; "Du har ett möte".
    • Om det inte stöds av programmet tillåts meddelanden.
  • Tillåt: Delar organisationsdata i meddelandena.

Obs:
Den här inställningen kräver följande appstöd:

  • Outlook för iOS 4.34.0 eller senare
  • Teams för iOS 2.0.22 eller senare
  • Microsoft 365 (Office) för iOS 2.72 eller senare
Tillåt

Obs!

Ingen av dataskyddsinställningarna styr den Apple-hanterade funktionen för att öppna i iOS/iPadOS-enheter. Information om hur du använder hantering av Apple open-in finns i Hantera dataöverföring mellan iOS/iPadOS-appar med Microsoft Intune.

Undantag för dataöverföring

Det finns vissa undantagna appar och plattformstjänster som Intune appskyddsprincip kan tillåta dataöverföring till och från i vissa scenarier. Den här listan kan komma att ändras och återspeglar de tjänster och appar som anses användbara för säker produktivitet.

Ohanterade appar från tredje part kan läggas till i undantagslistan som kan tillåta dataöverföringsundantag. Mer information och exempel finns i How to create exceptions to the Intune App Protection Policy (APP) dataöverföringsprincip. Den undantagna ohanterade appen måste anropas baserat på iOS URL-protokoll. När dataöverföringsundantag till exempel läggs till för en ohanterad app skulle det ändå hindra användare från att klippa ut, kopiera och klistra in åtgärder om de begränsas av principen. Den här typen av undantag skulle också fortfarande hindra användare från att använda Öppna i-åtgärd i en hanterad app för att dela eller spara data för att undanta appen eftersom den inte baseras på iOS URL-protokoll. Mer information om Öppna i finns iAnvända appskydd med iOS-appar.

App-/tjänstnamn Beskrivning
skype Skype
app-settings Enhetsinställningar
itms; itmss; itms-apps; itms-appss; itms-services App Store
calshow Intern kalender

Viktigt

Appskyddsprinciper som skapats före den 15 juni 2020 inkluderar tel - och telprompt-URL-schema som en del av standardundantag för dataöverföring. Med dessa URL-scheman kan hanterade appar initiera uppringningen. Principinställningen Överföring av telekommunikationsdata till har ersatt den här funktionen. Administratörer bör ta bort tel; telprompt; från dataöverföringsundantag och förlitar sig på appskyddsprincipinställningen, förutsatt att de hanterade appar som initierar uppringningsfunktioner inkluderar Intune SDK 12.7.0 eller senare.

Viktigt

I Intune SDK 14.5.0 eller senare, inklusive sms- och mailto-URL-scheman i undantagen för dataöverföring, kommer också att tillåta delning av organisationsdata till MFMessageCompose (för sms) och MFMailCompose (för mailto) visa kontrollanter i principhanterade program.

Med universella länkar kan användaren starta ett program som är associerat med länken direkt i stället för en skyddad webbläsare som anges i inställningen Begränsa överföring av webbinnehåll till andra appar . Du måste kontakta programutvecklaren för att fastställa rätt universallänkformat för varje program.

Standardlänkar för appklipp hanteras också av universell länkprincip.

Genom att lägga till Universella länkar till ohanterade appar kan du starta det angivna programmet. Om du vill lägga till appen måste du lägga till länken i undantagslistan.

Försiktighet

Målprogrammen för dessa universella länkar är ohanterade och om du lägger till ett undantag kan det leda till datasäkerhetsläckor.

Standardappen Universal Link-undantag är följande:

Universell länk för app Beskrivning
http://maps.apple.com; https://maps.apple.com Maps-app
http://facetime.apple.com; https://facetime.apple.com FaceTime-app

Om du inte vill tillåta standardundantag för Universal Link kan du ta bort dem. Du kan också lägga till universella länkar för appar från tredje part eller LOB. De undantagna universella länkarna tillåter jokertecken, till exempel http://*.sharepoint-df.com/*.

Genom att lägga till Universella länkar till hanterade appar kan du starta det angivna programmet på ett säkert sätt. Om du vill lägga till appen måste du lägga till appens universella länk i den hanterade listan. Om målprogrammet stöder Intune appskyddsprincip försöker du starta appen genom att välja länken. Om appen inte kan öppnas öppnas länken i den skyddade webbläsaren. Om målprogrammet inte integrerar Intune SDK startar den skyddade webbläsaren genom att välja länken.

Standardhanterade universella länkar är följande:

Universallänk för hanterad app Beskrivning
http://*.onedrive.com/*; https://*.onedrive.com/*; OneDrive
http://*.appsplatform.us/*; http://*.powerapps.cn/*; http://*.powerapps.com/*; http://*.powerapps.us/*; https://*.powerbi.com/*; https://app.powerbi.cn/*; https://app.powerbigov.us/*; https://app.powerbi.de/*; PowerApps
http://*.powerbi.com/*; http://app.powerbi.cn/*; http://app.powerbigov.us/*; http://app.powerbi.de/*; https://*.appsplatform.us/*; https://*.powerapps.cn/*; https://*.powerapps.com/*; https://*.powerapps.us/*; Power BI
http://*.service-now.com/*; https://*.service-now.com/*; ServiceNow
http://*.sharepoint.com/*; http://*.sharepoint-df.com/*; https://*.sharepoint.com/*; https://*.sharepoint-df.com/*; SharePoint
http://web.microsoftstream.com/video/*; http://msit.microsoftstream.com/video/*; https://web.microsoftstream.com/video/*; https://msit.microsoftstream.com/video/*; Stream
http://*teams.microsoft.com/l/*; http://*devspaces.skype.com/l/*; http://*teams.live.com/l/*; http://*collab.apps.mil/l/*; http://*teams.microsoft.us/l/*; http://*teams-fl.microsoft.com/l/*; https://*teams.microsoft.com/l/*; https://*devspaces.skype.com/l/*; https://*teams.live.com/l/*; https://*collab.apps.mil/l/*; https://*teams.microsoft.us/l/*; https://*teams-fl.microsoft.com/l/*; Teams
http://tasks.office.com/*; https://tasks.office.com/*; http://to-do.microsoft.com/sharing*; https://to-do.microsoft.com/sharing*; Att göra
http://*.yammer.com/*; https://*.yammer.com/*; Viva Engage
http://*.zoom.us/*; https://*.zoom.us/*; Zooma

Om du inte vill tillåta standardhanterade universella länkar kan du ta bort dem. Du kan också lägga till universella länkar för appar från tredje part eller LOB.

Åtkomstkrav

Inställning Användning Standardvärde
PIN-kod för åtkomst Välj Kräv för att kräva en PIN-kod för att använda den här appen. Användaren uppmanas att konfigurera den här PIN-koden första gången de kör appen i en arbets- eller skolkontext. PIN-koden tillämpas när du arbetar antingen online eller offline.

Du kan konfigurera PIN-styrkan med hjälp av de inställningar som är tillgängliga under avsnittet PIN-kod för åtkomst .

Not: Slutanvändare som har åtkomst till appen kan återställa appens PIN-kod. Den här inställningen kanske inte visas i vissa fall på iOS-enheter. iOS-enheter har en maximal begränsning på fyra tillgängliga genvägar. För att kunna visa genvägen till återställningen av PIN-koden för appen kan slutanvändaren behöva komma åt genvägen från en annan hanterad app.
Behöva
    TYP AV PIN-kod
Ange ett krav för pin-koder av numerisk typ eller lösenordstyp innan du öppnar en app som har tillämpat appskyddsprinciper. Numeriska krav omfattar endast siffror, medan ett lösenord kan definieras med minst en alfabetisk bokstav eller minst 1 specialtecken.

Obs!För att konfigurera lösenordstyp måste appen ha Intune SDK version 7.1.12 eller senare. Numerisk typ har ingen begränsning för Intune SDK-version. Specialtecken som tillåts är specialtecken och symboler på det engelska tangentbordet i iOS/iPadOS.
Numerisk
    Enkel PIN-kod
Välj Tillåt för att tillåta användare att använda enkla PIN-kodssekvenser som 1234, 1111, abcd eller aaaa. Välj Blockera för att förhindra att de använder enkla sekvenser. Enkla sekvenser kontrolleras i skjutfönster med tre tecken. Om Blockera har konfigurerats skulle 1235 eller 1112 inte accepteras som PIN-kod som angetts av slutanvändaren, men 1122 skulle tillåtas.

Obs!Om lösenordstypen PIN-kod har konfigurerats och Tillåt enkel PIN-kod är inställd på Ja behöver användaren minst en bokstav eller minst 1 specialtecken i PIN-koden. Om lösenordstypen PIN-kod har konfigurerats och Tillåt enkel PIN är inställt på Nej behöver användaren minst ett nummer och en bokstav och minst 1 specialtecken i PIN-koden.
Tillåt
    Välj minsta PIN-kodslängd
Ange det minsta antalet siffror i en PIN-kodssekvens. 4
    Touch ID i stället för PIN-kod för åtkomst (iOS 8+)
Välj Tillåt för att tillåta att användaren använder Touch ID i stället för en PIN-kod för appåtkomst. Tillåt
      Åsidosätt Touch ID med PIN-kod efter timeout
Om du vill använda den här inställningen väljer du Kräv och konfigurerar sedan en tidsgräns för inaktivitet. Behöva
        Tidsgräns (minuter av inaktivitet)
Ange en tid i minuter efter vilken antingen ett lösenord eller en numerisk PIN-kod (enligt konfigurerad) åsidosätter användningen av ett fingeravtryck eller ansikte som åtkomstmetod. Det här timeout-värdet ska vara större än det värde som anges under "Kontrollera åtkomstkraven igen efter (minuter av inaktivitet)". 30
      Ansikts-ID i stället för PIN-kod för åtkomst (iOS 11+)
Välj Tillåt för att tillåta att användaren använder ansiktsigenkänningsteknik för att autentisera användare på iOS/iPadOS-enheter. Om det tillåts måste ansikts-ID användas för att få åtkomst till appen på en enhet som kan använda Ansikts-ID. Tillåt
    PIN-återställning efter antal dagar
Välj Ja om du vill kräva att användarna ändrar appens PIN-kod efter en angiven tidsperiod, i dagar.

När värdet är Ja konfigurerar du sedan antalet dagar innan PIN-återställning krävs.
Nej
      Antal dagar
Konfigurera antalet dagar innan PIN-återställning krävs. 90
    Appens PIN-kod när enhetens PIN-kod har angetts
Välj Inaktivera för att inaktivera appens PIN-kod när ett enhetslås identifieras på en registrerad enhet med Företagsportal konfigurerad.

Obs!Kräver att appen har Intune SDK version 7.0.1 eller senare. IntuneMAMUPN-inställningen måste konfigureras för att program ska kunna identifiera registreringstillståndet.

På iOS/iPadOS-enheter kan du låta användaren bevisa sin identitet med hjälp av Touch ID eller Ansikts-ID i stället för en PIN-kod. Intune använder API:et LocalAuthentication för att autentisera användare med touch-ID och ansikts-ID. Mer information om Touch ID och Face ID finns i säkerhetsguiden för iOS.

När användaren försöker använda den här appen med sitt arbets- eller skolkonto uppmanas de att ange sin fingeravtrycksidentitet eller ansiktsidentitet i stället för att ange en PIN-kod. När den här inställningen är aktiverad blir förhandsgranskningsbilden för appväxlaren suddig när du använder ett arbets- eller skolkonto. Om enhetens biometriska databas ändras uppmanar Intune användaren att ange en PIN-kod när nästa timeout-värde för inaktivitet uppfylls. Ändringar av biometriska data omfattar tillägg eller borttagning av ett fingeravtryck eller ansikte för autentisering. Om Intune användaren inte har en PIN-kod konfigureras en Intune PIN-kod.
Möjliggöra
Autentiseringsuppgifter för arbets- eller skolkonto för åtkomst Välj Kräv för att kräva att användaren loggar in med sitt arbets- eller skolkonto i stället för att ange en PIN-kod för appåtkomst. Om du ställer in detta på Kräv och PIN-kod eller biometriska uppmaningar aktiveras visas både företagets autentiseringsuppgifter och antingen PIN-koden eller biometriska uppmaningar. Krävs inte
Kontrollera åtkomstkraven igen efter (minuter av inaktivitet) Konfigurera antalet minuter av inaktivitet som måste skickas innan appen kräver att användaren återigen anger åtkomstkraven.

En administratör aktiverar till exempel PIN-kod och blockerar rotade enheter i principen, en användare öppnar en Intune hanterad app, måste ange en PIN-kod och måste använda appen på en enhet som inte är rotad. När du använder den här inställningen behöver användaren inte ange en PIN-kod eller genomgå en annan rotidentifieringskontroll i någon Intune hanterad app under en tidsperiod som är lika med det konfigurerade värdet.

Obs!På iOS/iPadOS delas PIN-koden mellan alla Intune hanterade appar i samma utgivare. PIN-timern för en specifik PIN-kod återställs när appen lämnar förgrunden på enheten. Användaren behöver inte ange en PIN-kod för någon Intune hanterad app som delar sin PIN-kod under den tidsgräns som definieras i den här inställningen. Det här principinställningsformatet stöder ett positivt heltal.
30

Obs!

Mer information om hur flera Intune appskyddsinställningar som konfigurerats i avsnittet Åtkomst till samma uppsättning appar och användare fungerar på iOS/iPadOS finns i Intune vanliga frågor och svar om MAM och Selektiv rensning av data med åtkomståtgärder för appskyddsprinciper i Intune.

Villkorlig start

Konfigurera inställningar för villkorlig start för att ange säkerhetskrav för inloggning för din åtkomstskyddsprincip.

Som standard tillhandahålls flera inställningar med förkonfigurerade värden och åtgärder. Du kan ta bort några av dessa, till exempel min OS-versionen. Du kan också välja ytterligare inställningar i listrutan Välj en .

Inställning Användning
Högsta operativsystemversion Ange ett maximalt iOS/iPadOS-operativsystem för att använda den här appen.

Åtgärderna omfattar:

  • Varna – Användaren får ett meddelande om iOS/iPadOS-versionen på enheten inte uppfyller kravet. Det här meddelandet kan avvisas.
  • Blockera åtkomst – Användaren blockeras från åtkomst om iOS/iPadOS-versionen på enheten inte uppfyller detta krav.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.

Den här posten kan visas flera gånger, där varje instans stöder en annan åtgärd.

Det här principinställningsformatet stöder antingen major.minor, major.minor.build, major.minor.build.revision.

Obs!Kräver att appen har Intune SDK version 14.4.0 eller senare.
Lägsta operativsystemversion Ange ett lägsta iOS/iPadOS-operativsystem för att använda den här appen.

Åtgärderna omfattar:

  • Varna – Användaren får ett meddelande om iOS/iPadOS-versionen på enheten inte uppfyller kravet. Det här meddelandet kan avvisas.
  • Blockera åtkomst – Användaren blockeras från åtkomst om iOS/iPadOS-versionen på enheten inte uppfyller detta krav.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Den här posten kan visas flera gånger, där varje instans stöder en annan åtgärd.

Det här principinställningsformatet stöder antingen major.minor, major.minor.build, major.minor.build.revision.

Obs!Kräver att appen har Intune SDK version 7.0.1 eller senare.
Maximalt antal PIN-försök Ange hur många försök användaren måste ange sin PIN-kod innan den konfigurerade åtgärden vidtas. Om användaren inte kan ange sin PIN-kod efter de maximala PIN-försöken måste användaren återställa pin-koden efter att ha loggat in på sitt konto och slutfört en MFA-utmaning (multifaktorautentisering) om det behövs. Det här principinställningsformatet stöder ett positivt heltal.

Åtgärderna omfattar:

  • Återställ PIN-kod – Användaren måste återställa sin PIN-kod.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Standardvärde = 5
Offline-respitperiod Antalet minuter som principhanterade appar kan köras offline. Ange tiden (i minuter) innan åtkomstkraven för appen kontrolleras igen.

Åtgärderna omfattar:

  • Blockera åtkomst (minuter) – Antalet minuter som principhanterade appar kan köras offline. Ange tiden (i minuter) innan åtkomstkraven för appen kontrolleras igen. När den konfigurerade perioden går ut blockerar appen åtkomsten till arbets- eller skoldata tills nätverksåtkomst är tillgänglig. Respitperioden offline för blockering av dataåtkomst beräknas individuellt för varje app baserat på den senaste incheckningen med Intune-tjänsten. Det här principinställningsformatet stöder ett positivt heltal.

    Standardvärde = 1 440 minuter (24 timmar)

    Not: Om du konfigurerar respitperioden offline för att blockera åtkomst till mindre än standardvärdet kan det leda till mer frekventa användaravbrott när principen uppdateras. Att välja ett värde på mindre än 30 minuter rekommenderas inte eftersom det kan leda till användaravbrott vid varje programstart eller återupptagning.

    Not: Om du stoppar principuppdateringen offline-respitperiod, inklusive att stänga eller inaktivera programmet, kommer det att leda till användaravbrott vid nästa appstart eller återupptagning.

  • Rensa data (dagar) – Efter så här många dagar (definieras av administratören) för att köra offline kräver appen att användaren ansluter till nätverket och autentiserar igen. Om användaren autentiseras kan de fortsätta att komma åt sina data och offlineintervallet återställs. Om användaren inte kan autentiseras utför appen en selektiv rensning av användarnas konto och data. Mer information om vilka data som tas bort med en selektiv rensning finns i Rensa endast företagsdata från Intune hanterade appar. Respitperioden offline för rensning av data beräknas individuellt för varje app baserat på senaste incheckning med Intune-tjänsten. Det här principinställningsformatet stöder ett positivt heltal.

    Standardvärde = 90 dagar
Den här posten kan visas flera gånger, där varje instans stöder en annan åtgärd.
Jailbrokade/rotade enheter Det finns inget värde att ange för den här inställningen.

Åtgärderna omfattar:

  • Blockera åtkomst – Förhindra att den här appen körs på jailbrokade eller rotade enheter. Användaren fortsätter att kunna använda den här appen för personliga uppgifter, men måste använda en annan enhet för att komma åt arbets- eller skoldata i den här appen.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Inaktiverat konto Det finns inget värde att ange för den här inställningen.

Åtgärderna omfattar:

  • Blockera åtkomst – När vi har bekräftat att användaren har inaktiverats i Microsoft Entra ID blockerar appen åtkomsten till arbets- eller skoldata.
  • Rensa data – När vi har bekräftat att användaren har inaktiverats i Microsoft Entra ID utför appen en selektiv rensning av användarnas konto och data.
Lägsta appversion Ange ett värde för det lägsta programversionsvärdet.

Åtgärderna omfattar:

  • Varna – Användaren ser ett meddelande om appversionen på enheten inte uppfyller kravet. Det här meddelandet kan avvisas.
  • Blockera åtkomst – Användaren blockeras från åtkomst om appversionen på enheten inte uppfyller kravet.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Eftersom appar ofta har distinkta versionsscheman mellan sig skapar du en princip med en lägsta appversion som riktar sig mot en app (till exempel Outlook-versionsprincip).

Den här posten kan visas flera gånger, där varje instans stöder en annan åtgärd.

Den här principinställningen stöder matchande versionsformat för iOS-apppaket (major.minor eller major.minor.patch).

Obs!Kräver att appen har Intune SDK version 7.0.1 eller senare.

Dessutom kan du konfigurera var dina slutanvändare kan hämta en uppdaterad version av en verksamhetsspecifik app (LOB). Slutanvändarna ser detta i dialogrutan för villkorlig start av lägsta appversion , vilket uppmanar slutanvändarna att uppdatera till en lägsta version av LOB-appen. På iOS/iPadOS kräver den här funktionen att appen integreras (eller omsluts med hjälp av omslutningsverktyget) med Intune SDK för iOS v. 10.0.7 eller senare. För att konfigurera var en slutanvändare ska uppdatera en LOB-app behöver appen en konfigurationsprincip för hanterade appar som skickas till den med nyckeln . com.microsoft.intune.myappstore Det värde som skickas definierar vilken lagringsplats som slutanvändaren ska ladda ned appen från. Om appen distribueras via Företagsportal måste värdet vara CompanyPortal. För andra butiker måste du ange en fullständig URL.
Lägsta SDK-version Ange ett minimivärde för Intune SDK-versionen.

Åtgärderna omfattar:

  • Blockera åtkomst – Användaren blockeras från åtkomst om appens Intune SDK-version för appskyddsprincip inte uppfyller kravet.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
  • Varna – Användaren får ett meddelande om iOS/iPadOS SDK-versionen för appen inte uppfyller det lägsta SDK-kravet. Användaren uppmanas att uppgradera till den senaste versionen av appen. Det här meddelandet kan avvisas.
Mer information om Intune appskyddsprincip-SDK finns i översikten över Intune App SDK. Eftersom appar ofta har olika Intune SDK-version mellan sig skapar du en princip med en min Intune SDK-version som riktar sig till en app (till exempel Intune SDK-versionsprincip för Outlook).

Den här posten kan visas flera gånger, där varje instans stöder en annan åtgärd.
Enhetsmodeller Ange en semikolonavgränsad lista över modellidentifierare. Dessa värden är inte skiftlägeskänsliga.

Åtgärderna omfattar:

  • Tillåt angivet (Blockera icke-angivet) – Endast enheter som matchar den angivna enhetsmodellen kan använda appen. Alla andra enhetsmodeller blockeras.
  • Tillåt angivet (rensa icke-angivet) – Användarkontot som är associerat med programmet rensas från enheten.
Mer information om hur du använder den här inställningen finns i Åtgärder för villkorsstyrd start.
Högsta tillåtna enhetshotnivå Appskydd principer kan dra nytta av Intune MTD-anslutningsappen. Ange en högsta hotnivå som kan användas med den här appen. Hot bestäms av din valda MTD-leverantörsapp (Mobile Threat Defense) på slutanvändarens enhet. Ange antingen Skyddad, Låg, Medel eller Hög. Skyddad kräver inga hot på enheten och är det mest restriktiva konfigurerbara värdet, medan High i princip kräver en aktiv Intune-till-MTD-anslutning.

Åtgärderna omfattar:

  • Blockera åtkomst – Användaren blockeras från åtkomst om hotnivån som bestäms av din valda MTD-leverantörsapp (Mobile Threat Defense) på slutanvändarens enhet inte uppfyller detta krav.
  • Rensa data – Användarkontot som är associerat med programmet rensas från enheten.
Obs!Kräver att appen har Intune SDK version 12.0.15 eller senare.

Mer information om hur du använder den här inställningen finns i Aktivera MTD för oregistrerade enheter.
Primär MTD-tjänst Om du har konfigurerat flera Intune MTD-anslutningsappar anger du den primära MTD-leverantörsappen som ska användas på slutanvändarens enhet.

Värdena är:

  • Microsoft Defender för Endpoint – om MTD-anslutningsappen har konfigurerats anger du Microsoft Defender för Endpoint anger information om hotnivån för enheten.
  • Mobile Threat Defense (icke-Microsoft) – om MTD-anslutningsappen har konfigurerats anger du att MTD som inte kommer från Microsoft ska tillhandahålla information om enhetshotnivå.

Du måste konfigurera inställningen "Högsta tillåtna enhetshotnivå" för att använda den här inställningen.

Det finns inga åtgärder för den här inställningen.

Icke-arbetstid Det finns inget värde att ange för den här inställningen.

Åtgärderna omfattar:

  • Blockera åtkomst – Användaren blockeras från åtkomst eftersom användarkontot som är associerat med programmet är i icke-arbetstid.
  • Varna – Användaren ser ett meddelande om användarkontot som är associerat med programmet är i icke-arbetstid. Meddelandet kan avvisas.
Obs! Den här inställningen får bara konfigureras om klientorganisationen har integrerats med API:et för arbetstid. Mer information om hur du integrerar den här inställningen med API:et för arbetstid finns i Begränsa åtkomsten till Microsoft Teams när medarbetare i frontlinjen är lediga. Om du konfigurerar den här inställningen utan att integrera med API:et för arbetstid kan det leda till att konton blockeras på grund av att arbetstidsstatus saknas för det hanterade konto som är associerat med programmet.

Följande appar stöder den här funktionen:

  • Teams för iOS v6.9.2 eller senare
  • Edge för iOS v126.2592.56 eller senare

Mer information