Steg 2 – Lägga till, konfigurera och skydda appar med Intune

Nästa steg när du distribuerar Intune är att lägga till och skydda appar som har åtkomst till organisationsdata.

Diagram som visar hur du kommer igång med Microsoft Intune med steg 2, som lägger till och skyddar appar med hjälp av Microsoft Intune.

Att hantera program på enheter i din organisation är en central del i ett säkert och produktivt företagsekosystem. Du kan använda Microsoft Intune för att hantera de appar som företagets personal använder. Genom att hantera appar hjälper du till att styra vilka appar ditt företag använder, samt konfiguration och skydd av apparna. Den här funktionen kallas hantering av mobilprogram (MAM). MAM i Intune är utformat för att skydda organisationsdata på programnivå, inklusive anpassade appar och store-appar. Apphantering kan användas på organisationsägda enheter och personliga enheter. När den används med personliga enheter hanteras endast organisationsrelaterad åtkomst och data. Den här typen av apphantering kallas MAM utan registrering, eller från ett slutanvändarperspektiv, BYOD (Bring Your Own Device).

MAM-konfigurationer

När appar används utan begränsningar kan företagsdata och personliga data blandas. Företagsdata kan hamna på platser som personlig lagring eller överföras till appar utöver din kontroll och resultera i dataförlust. En av de främsta orsakerna till att använda MAM utan enhetsregistrering eller Intune MDM + MAM är att skydda organisationens data.

Microsoft Intune stöder två MAM-konfigurationer:

MAM utan enhetshantering

Med den här konfigurationen kan organisationens appar hanteras av Intune, men enheterna registreras inte som hanterade av Intune. Den här konfigurationen kallas ofta MAM utan enhetsregistrering. IT-administratörer kan hantera appar med MAM med hjälp av Intune konfigurations- och skyddsprinciper på enheter som inte har registrerats med Intune hantering av mobila enheter (MDM).

Obs!

Den här konfigurationen omfattar hantering av appar med Intune på enheter som registrerats med EMM-leverantörer (Enterprise Mobility Management). Du kan använda Intune appskyddsprinciper oberoende av alla MDM-lösningar. Detta oberoende hjälper dig att skydda företagets data med eller utan att registrera enheter i en enhetshanteringslösning. Genom att implementera principer på appnivå kan du begränsa åtkomsten till företagsresurser och hålla data inom IT-avdelningens ansvarsområde.

Hantering av mobilprogram (MAM) är perfekt för att skydda organisationsdata på mobila enheter som används av medlemmar i din organisation för både personliga uppgifter och arbetsuppgifter. Samtidigt som du ser till att dina medlemmar i din organisation kan vara produktiva vill du förhindra dataförlust, avsiktlig och oavsiktlig. Du vill också skydda företagsdata som nås från enheter som inte hanteras av dig. MED MAM kan du hantera och skydda organisationens data i ett program.

Tips

Många produktivitetsappar, till exempel Microsoft Office-appar, kan hanteras av Intune MAM. Se den officiella listan över Microsoft Intune skyddade appar som är tillgängliga för offentlig användning.

För BYOD-enheter som inte har registrerats i någon MDM-lösning kan appskyddsprinciper skydda företagets data på appnivå. Det finns dock vissa begränsningar att känna till, till exempel:

  • Du kan inte distribuera appar till enheten. Slutanvändaren måste hämta apparna från butiken.
  • Du kan inte etablera certifikatprofiler på dessa enheter.
  • Du kan inte etablera företagsinställningar för Wi-Fi och VPN på dessa enheter.

Mer information om appskydd i Intune finns i översikten över Appskydd principer.

MAM med enhetshantering

Med den här konfigurationen kan organisationens appar och enheter hanteras. Den här konfigurationen kallas ofta MAM + MDM. IT-administratörer kan hantera appar med MAM på enheter som har registrerats med Intune MDM.

MDM, förutom MAM, ser till att enheten är skyddad. Du kan till exempel kräva en PIN-kod för att få åtkomst till enheten, eller så kan du distribuera hanterade appar till enheten. Du kan också distribuera appar till enheter via din MDM-lösning för att ge dig mer kontroll över apphantering.

Det finns ytterligare fördelar med att använda MDM med appskyddsprinciper, och företag kan använda appskyddsprinciper med och utan MDM på samma gång. En medlem i din organisation kan till exempel ha både en telefon utfärdad av företaget och en egen personlig surfplatta. Företagstelefonen kan registreras i MDM och skyddas av appskyddsprinciper medan den personliga enheten endast skyddas av appskyddsprinciper.

På registrerade enheter som använder en MDM-tjänst kan appskyddsprinciper lägga till ett extra skyddslager. En användare loggar till exempel in på en enhet med sina autentiseringsuppgifter för organisationen. När organisationsdata används styr appskyddsprinciperna hur data sparas och delas. När användare loggar in med sin personliga identitet tillämpas inte samma skydd (åtkomst och begränsningar). På så sätt har IT-avdelningen kontroll över organisationsdata, medan slutanvändarna har kontroll och sekretess över sina personuppgifter.

MDM-lösningen tillför värde genom att tillhandahålla följande:

  • Registrerar enheten
  • Distribuerar apparna till enheten
  • Tillhandahåller löpande enhetsefterlevnad och hantering

De Appskydd principerna ger mervärde genom att ange följande:

  • Skydda företagets data från att läcka till konsumentappar och konsumenttjänster
  • Tillämpa begränsningar som Spara som, Urklipp eller PIN-kod för klientappar
  • Rensa företagsdata när det behövs från appar utan att ta bort dessa appar från enheten

Fördelar med MAM med Intune

När appar hanteras i Intune kan administratörer göra följande:

  • Skydda företagsdata på appnivå. Du kan lägga till och tilldela mobilappar till användargrupper och enheter. På så sätt kan företagets data skyddas på appnivå. Du kan skydda företagsdata på både hanterade och ohanterade enheter eftersom hantering av mobilappar inte kräver enhetshantering. Hanteringen är centrerad på användaridentiteten, vilket tar bort kravet på enhetshantering.
  • Konfigurera appar för att starta eller köra med specifika inställningar aktiverade. Dessutom kan du uppdatera befintliga appar som redan finns på enheten.
  • Tilldela principer för att begränsa åtkomsten och förhindra att data används utanför organisationen. Du väljer inställningen för dessa principer baserat på organisationens krav. Du kan till exempel:
    • Kräv en PIN-kod för att öppna en app i en arbetskontext.
    • Blockera hanterade appar från att köras på jailbrokade eller rotade enheter
    • Kontrollera delning av data mellan appar.
    • Förhindra att företagets appdata sparas på en personlig lagringsplats med hjälp av principer för dataflytt, till exempel Spara kopior av organisationsdata och Begränsa klipp ut, kopiera och klistra in.
  • Stöd för appar på en mängd olika plattformar och operativsystem. Varje plattform är olika. Intune tillhandahåller tillgängliga inställningar specifikt för varje plattform som stöds.
  • Se rapporter om vilka appar som används och spåra deras användning. Dessutom tillhandahåller Intune slutpunktsanalys som hjälper dig att utvärdera och lösa problem.
  • Utför en selektiv rensning genom att endast ta bort organisationsdata från appar.
  • Se till att personliga data hålls åtskilda från hanterade data. Slutanvändarens produktivitet påverkas inte och principer tillämpas inte när du använder appen i en personlig kontext. Principerna tillämpas endast i en arbetskontext, vilket ger dig möjlighet att skydda företagets data utan att röra personliga data.

Lägga till appar i Intune

Det första steget när du tillhandahåller appar till din organisation är att lägga till appar i Intune innan du tilldelar dem till enheter eller användare från Intune. Du kan arbeta med många olika apptyper, men de grundläggande procedurerna är desamma. Med Intune kan du lägga till olika apptyper, inklusive appar som skrivits internt (verksamhetsspecifikt), appar från butiken, appar som är inbyggda och appar på webben.

Användarna av appar och enheter på ditt företag (företagets personal) kan ha flera appkrav. Innan du lägger till appar i Intune och gör dem tillgängliga för personalen kan det vara bra att utvärdera och förstå några av appgrunderna. Det finns olika typer av appar som är tillgängliga för Intune. Du måste fastställa appkrav som krävs av användarna på ditt företag, till exempel de plattformar och funktioner som personalen behöver. Du måste bestämma om du vill använda Intune för att hantera enheterna (inklusive appar) eller ha Intune hantera apparna utan att hantera enheterna. Du måste också bestämma vilka appar och funktioner som personalen behöver och vem som behöver dem. Informationen i den här artikeln hjälper dig att komma igång.

Innan du lägger till appar i Intune bör du granska typerna av supportappar och utvärdera appkraven. Mer information finns i Lägga till appar i Microsoft Intune.

Tips

Mer information om apptyper, appköp och applicenser för Intune finns i köpa och lägga till appar för Microsoft Intune. Det här lösningsinnehållet innehåller också rekommenderade steg för att utvärdera appkrav, skapa appkategorier, köpa appar och lägga till appar. Dessutom förklarar det här lösningsinnehållet hur du hanterar appar och applicenser.

Lägga till Microsoft-appar

Intune innehåller ett antal Microsoft-appar baserat på den Microsoft-licens som du använder för Intune. Mer information om de olika Microsoft Enterprise-licenser som är tillgängliga som omfattar Intune finns i Microsoft Intune licensiering. Om du vill jämföra de olika Microsoft-appar som är tillgängliga med Microsoft 365 läser du licensalternativen som är tillgängliga med Microsoft 365. Om du vill se alla alternativ för varje plan (inklusive tillgängliga Microsoft-appar) laddar du ned den fullständiga jämförelsetabellen för Microsoft-prenumerationer och letar upp de planer som innehåller Microsoft Intune.

En av de tillgängliga apptyperna är Microsoft 365-appar för Windows 10 enheter. Genom att välja den här apptypen i Intune kan du tilldela och installera Microsoft 365-appar till enheter som du hanterar som kör Windows 10. Du kan också tilldela och installera appar för Microsoft Project Online skrivbordsklient och Microsoft Visio Online Plan 2 om du äger licenser för dem. Tillgängliga Microsoft 365-appar visas som en enda post i listan över appar i Intune-konsolen i Azure.

Lägg till följande viktiga Microsoft-appar i Intune:

  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Word

Mer information om hur du lägger till Microsoft-appar i Intune finns i följande avsnitt:

Lägga till Store-appar (valfritt)

Många av de standardbutiksappar som visas i Intune-konsolen är fritt tillgängliga för dig att lägga till och distribuera till medlemmar i din organisation. Dessutom kan du köpa store-appar för varje enhetsplattform.

Följande tabell innehåller de olika kategorier som är tillgängliga för Store-appar:

Store-appkategori Beskrivning
Kostnadsfria store-appar Du kan fritt lägga till dessa appar för att Intune och distribuera dem till medlemmarna i din organisation. Dessa appar kräver ingen extra kostnad för att använda.
Köpta appar Du måste köpa licenser för dessa appar innan du lägger till i Intune. Varje enhetsplattform (Windows, iOS, Android) erbjuder en standardmetod för att köpa licenser för dessa appar. Intune tillhandahåller metoder för att hantera applicensen för varje slutanvändare.
Appar som kräver ett konto, en prenumeration eller en licens från apputvecklaren Du kan fritt lägga till och distribuera dessa appar från Intune, men appen kan kräva ett konto, en prenumeration eller en licens från appleverantören. En lista över appar som stöder Intune hanteringsfunktioner finns i Partnerproduktivitetsappar och UEM-partnerappar. NOT: För appar som kan kräva ett konto, en prenumeration eller en licens måste du kontakta appleverantören för att få specifik appinformation.
Appar som ingår i din Intune-licens Den licens som du använder med Microsoft Intune kan innehålla de applicenser som du behöver.

Obs!

Förutom att köpa applicenser kan du skapa Intune principer som gör det möjligt för slutanvändare att lägga till personliga konton på sina enheter för att köpa ohanterade appar.

Mer information om hur du lägger till Microsoft-appar i Intune finns i följande avsnitt:

Konfigurera appar med hjälp av Intune

Appkonfigurationsprinciper kan hjälpa dig att eliminera problem med appinstallationen genom att välja konfigurationsinställningar för en princip. Den principen tilldelas sedan till slutanvändare innan de kör en specifik app. Inställningarna anges sedan automatiskt när appen konfigureras på slutanvändarens enhet. Slutanvändarna behöver inte vidta några åtgärder. Konfigurationsinställningarna är unika för varje app.

Du kan skapa och använda appkonfigurationsprinciper för att tillhandahålla konfigurationsinställningar för både iOS/iPadOS- eller Android-appar. Med de här konfigurationsinställningarna kan en app anpassas med hjälp av appkonfiguration och hantering. Konfigurationsprincipinställningarna används när appen söker efter de här inställningarna, vanligtvis första gången appen körs.

En appkonfigurationsinställning kan till exempel kräva att du anger någon av följande uppgifter:

  • Ett anpassat portnummer
  • Språkinställningar
  • Säkerhetsinställningar
  • Varumärkesinställningar, till exempel en företagslogotyp

Om slutanvändarna skulle ange de här inställningarna i stället kan de göra detta felaktigt. Appkonfigurationsprinciper kan ge konsekvens i ett företag och minska supportsamtal från slutanvändare som försöker konfigurera inställningar på egen hand. Med hjälp av appkonfigurationsprinciper kan införandet av nya appar vara enklare och snabbare.

De tillgängliga konfigurationsparametrarna bestäms slutligen av appens utvecklare. Dokumentation från programleverantören bör granskas för att se om en app stöder konfiguration och vilka konfigurationer som är tillgängliga. För vissa program fyller Intune i de tillgängliga konfigurationsinställningarna.

Mer information om appkonfiguration finns i följande avsnitt:

Konfigurera Microsoft Outlook

Outlook för iOS och Android-appen är utformad för att göra det möjligt för användare i din organisation att göra mer från sina mobila enheter genom att sammanföra e-post, kalender, kontakter och andra filer.

De mest omfattande och bredaste skyddsfunktionerna för Microsoft 365 data är tillgängliga när du prenumererar på Enterprise Mobility + Security-sviten, som innehåller funktioner för Microsoft Intune och Microsoft Entra ID P1 eller P2, till exempel villkorlig åtkomst. Du vill minst distribuera en princip för villkorlig åtkomst som tillåter anslutning till Outlook för iOS och Android från mobila enheter och en Intune appskyddsprincip som säkerställer att samarbetsupplevelsen skyddas.

Mer information om hur du konfigurerar Microsoft Outlook finns i följande avsnitt:

Konfigurera Microsoft Edge

Edge för iOS och Android har utformats för att användarna ska kunna surfa på webben och stöder flera identiteter. Användare kan lägga till ett arbetskonto, samt ett personligt konto, för surfning. Det finns en fullständig uppdelning mellan de två identiteterna, som liknar vad som erbjuds i andra Microsoft-mobilappar.

Mer information om hur du konfigurerar Microsoft Edge finns i följande avsnitt:

Konfigurera VPN

Virtuella privata nätverk (VPN) gör det möjligt för användare att fjärransluta till organisationens resurser, inklusive hemifrån, hotell, kaféer med mera. I Microsoft Intune kan du konfigurera VPN-klientappar på Android Enterprise-enheter med hjälp av en appkonfigurationsprincip. Distribuera sedan den här principen med dess VPN-konfiguration till enheter i din organisation.

Du kan också skapa VPN-principer som används av specifika appar. Den här funktionen kallas per app-VPN. När appen är aktiv kan den ansluta till VPN och komma åt resurser via VPN. När appen inte är aktiv används inte VPN.

Mer information om hur du konfigurerar e-post finns i följande avsnitt:

Skydda appar med Intune

Appskydd principer (APP) är regler som säkerställer att en organisations data förblir säkra eller finns i en hanterad app. En princip kan vara en regel som tillämpas när användaren försöker komma åt eller flytta "företagsdata" eller en uppsättning åtgärder som är förbjudna eller övervakade när användaren befinner sig i appen. En hanterad app är en app som har appskyddsprinciper som tillämpas på den och som kan hanteras av Intune.

Med mam-appskyddsprinciper (Mobile Application Management) kan du hantera och skydda organisationens data i ett program. Många produktivitetsappar, till exempel Microsoft Office-appar, kan hanteras av Intune MAM. Se den officiella listan över Microsoft Intune skyddade appar som är tillgängliga för offentligt bruk.

Ett av de främsta sätten som Intune tillhandahåller säkerhet för mobilappar är genom principer. Appskydd principer kan du utföra följande åtgärder:

  • Använd Microsoft Entra identitet för att isolera organisationsdata från personliga data. Så personlig information är isolerad från organisationens IT-medvetenhet. Data som används med organisationens autentiseringsuppgifter får ytterligare säkerhetsskydd.
  • Skydda åtkomsten på personliga enheter genom att begränsa åtgärder som användare kan vidta med organisationsdata, till exempel kopiera och klistra in, spara och visa.
  • Skapa och distribuera på enheter som har registrerats i Intune, registrerats i en annan MDM-tjänst (hantering av mobila enheter) eller som inte har registrerats i någon MDM-tjänst.

Obs!

Appskydd principer är utformade för att tillämpas enhetligt i en grupp med appar, till exempel att tillämpa en princip för alla Office-mobilappar.

Organisationer kan använda appskyddsprinciper med och utan MDM på samma gång. Tänk dig till exempel en anställd som använder både en surfplatta som utfärdats av företaget och deras egen personliga telefon. Företagets surfplatta är registrerad i MDM och skyddas av appskyddsprinciper medan deras personliga telefon endast skyddas av appskyddsprinciper.

Mer information om appskydd i Intune finns i följande avsnitt:

Nivåer av appskydd

I takt med att fler organisationer implementerar strategier för mobila enheter för åtkomst till arbets- eller skoldata blir det av största vikt att skydda mot dataläckage. Intune hanteringslösning för mobilprogram för att skydda mot dataläckage är appskyddsprinciper (APP). APP är regler som säkerställer att en organisations data förblir säkra eller finns i en hanterad app, oavsett om enheten har registrerats.

När du konfigurerar appskyddsprinciper gör de olika inställningar och alternativ som är tillgängliga att organisationer kan anpassa skyddet efter sina specifika behov. På grund av den här flexibiliteten kanske det inte är uppenbart vilken permutation av principinställningar som krävs för att implementera ett fullständigt scenario. För att hjälpa organisationer att prioritera klientslutpunktshärdning har Microsoft introducerat en ny taxonomi för säkerhetskonfigurationer i Windows 10, och Intune använder en liknande taxonomi för sitt ramverk för APP-dataskydd för hantering av mobilappar.

Konfigurationsramverket för APP-dataskydd är indelat i tre olika konfigurationsscenarier:

  • Grundläggande dataskydd på nivå 1 för företag – Microsoft rekommenderar den här konfigurationen som den minsta dataskyddskonfigurationen för en företagsenhet.

  • Förbättrat dataskydd på nivå 2 för företag – Microsoft rekommenderar den här konfigurationen för enheter där användare får åtkomst till känslig eller konfidentiell information. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata. Vissa kontroller kan påverka användarupplevelsen.

  • Hög dataskyddsnivå 3 för företag – Microsoft rekommenderar den här konfigurationen för enheter som körs av en organisation med ett större eller mer avancerat säkerhetsteam, eller för specifika användare eller grupper som löper unikt hög risk (användare som hanterar mycket känsliga data där obehörigt avslöjande orsakar betydande väsentlig förlust för organisationen). En organisation som sannolikt kommer att bli måltavla för välfinansierade och sofistikerade angripare bör sträva efter den här konfigurationen.

Grundläggande appskydd (nivå 1)

Grundläggande appskydd i Intune (nivå 1) är den minsta dataskyddskonfigurationen för en mobil företagsenhet. Den här konfigurationen ersätter behovet av grundläggande Exchange Online principer för enhetsåtkomst genom att kräva en PIN-kod för åtkomst till arbets- eller skoldata, kryptera arbets- eller skolkontodata och tillhandahålla möjligheten att selektivt rensa skol- eller arbetsdata. Men till skillnad från Exchange Online principer för enhetsåtkomst gäller nedanstående inställningar för appskyddsprinciper för alla appar som valts i principen, vilket säkerställer att dataåtkomst skyddas utanför scenarier för mobila meddelanden.

Principerna på nivå 1 tillämpar en rimlig dataåtkomstnivå samtidigt som påverkan på användarna minimeras och speglar standardinställningarna för dataskydd och åtkomstkrav när du skapar en appskyddsprincip inom Microsoft Intune.

För specifikt dataskydd, åtkomstkrav och inställningar för villkorlig start för grundläggande appskydd går du till följande avsnitt:

Förbättrat appskydd (nivå 2)

Förbättrat appskydd i Intune (nivå 2) är den dataskyddskonfiguration som rekommenderas som standard för enheter där användarna får åtkomst till mer känslig information. Dessa enheter är ett naturligt mål i företag idag. Dessa rekommendationer förutsätter inte en stor personal med högkvalificerade säkerhetspersonal och bör därför vara tillgängliga för de flesta företagsorganisationer. Den här konfigurationen utökar konfigurationen på nivå 1 genom att begränsa dataöverföringsscenarier och genom att kräva en lägsta version av operativsystemet.

Principinställningarna som tillämpas på nivå 2 innehåller alla principinställningar som rekommenderas för nivå 1, men visar bara de inställningar nedan som har lagts till eller ändrats för att implementera fler kontroller och en mer avancerad konfiguration än nivå 1. Även om de här inställningarna kan ha en något högre inverkan på användare eller program, framtvingar de en nivå av dataskydd som är mer proportionerlig med de risker som användare utsätts för med åtkomst till känslig information på mobila enheter.

Specifika inställningar för dataskydd och villkorlig start för förbättrat appskydd finns i följande avsnitt:

Hög appskydd (nivå 3)

Hög appskydd för Intune (nivå 3) är den dataskyddskonfiguration som rekommenderas som en standard för organisationer med stora och sofistikerade säkerhetsorganisationer, eller för specifika användare och grupper som kommer att vara unikt riktade mot angripare. Sådana organisationer är vanligtvis mål för välfinansierade och sofistikerade angripare, och därför förtjänar de ytterligare begränsningar och kontroller som beskrivs. Den här konfigurationen utökar konfigurationen på nivå 2 genom att begränsa ytterligare dataöverföringsscenarier, öka komplexiteten i PIN-konfigurationen och lägga till identifiering av mobilhot.

Principinställningarna som tillämpas på nivå 3 innehåller alla principinställningar som rekommenderas för nivå 2, men visar bara de inställningar nedan som har lagts till eller ändrats för att implementera fler kontroller och en mer avancerad konfiguration än nivå 2. Dessa principinställningar kan ha en potentiellt betydande inverkan på användare eller program, vilket tvingar fram en säkerhetsnivå som motsvarar de risker som riktade organisationer står inför.

För specifikt dataskydd, åtkomstkrav och inställningar för villkorlig start för grundläggande appskydd går du till följande avsnitt:

Skydda e-post i Exchange Online på hanterade enheter

Du kan använda principer för enhetsefterlevnad med villkorsstyrd åtkomst för att se till att organisationens enheter endast kan komma åt Exchange Online e-post om de hanteras av Intune och använder en godkänd e-postapp. Du kan skapa en Intune enhetsefterlevnadsprincip för att ange de villkor som en enhet måste uppfylla för att anses vara kompatibel. Du kan också skapa en Microsoft Entra princip för villkorsstyrd åtkomst som kräver att enheter registreras i Intune, följer Intune principer och använder den godkända Outlook-mobilappen för att få åtkomst till Exchange Online e-post.

Mer information om hur du skyddar Exchange Online finns i följande avsnitt:

Slutanvändarkrav för att använda appskyddsprinciper

Följande lista innehåller slutanvändarkraven för att använda appskyddsprinciper för appar som hanteras av Intune inkludera följande:

  1. Konfigurera Microsoft Intune
  2. 🡺 Lägg till, konfigurera och skydda appar (du är här)
  3. Planera för efterlevnadsprinciper
  4. Konfigurera enhetsfunktioner
  5. Registrera enheter