Algemeen beleid voor voorwaardelijke toegang: goedgekeurde client-apps of app-beveiligingsbeleid vereisen

Mensen gebruiken mobiele apparaten regelmatig voor zowel privé- als werktaken. Hoewel het personeel productief kan zijn, willen organisaties ook voorkomen dat gegevens verloren gaan van toepassingen op apparaten die ze mogelijk niet volledig beheren.

Met voorwaardelijke toegang kunnen organisaties de toegang beperken tot goedgekeurde (moderne verificatie geschikte) client-apps met Intune app-beveiligingsbeleid. Voor de oudere client-apps die mogelijk geen app-beveiligingsbeleid ondersteunen, kunnen beheerders de toegang tot goedgekeurde client-apps beperken.

Waarschuwing

App-beveiliging beleidsregels worden ondersteund in iOS en Android, waarbij toepassingen aan specifieke vereisten voldoen. App-beveiliging beleidsregels worden alleen ondersteund in Windows in preview voor de Microsoft Edge-browser.

Niet alle toepassingen die worden ondersteund als goedgekeurde toepassingen of ondersteuning bieden voor beleidsregels voor toepassingsbeveiliging. Zie App-beveiliging beleidsvereiste voor een lijst met enkele algemene client-apps. Als uw toepassing daar niet wordt vermeld, neemt u contact op met de ontwikkelaar van de toepassing.

Als u goedgekeurde client-apps voor iOS- en Android-apparaten wilt vereisen, moeten deze apparaten zich eerst registreren bij Microsoft Entra ID.

Notitie

'Een van de geselecteerde besturingselementen vereisen' onder Besturingselementen voor verlenen is net als een OR-component. Dit wordt gebruikt in beleid om gebruikers in staat te stellen apps te gebruiken die ondersteuning bieden voor het beleid voor app-beveiliging vereisen of goedgekeurde besturingselementen voor het verlenen van client-apps vereisen. Beveiligingsbeleid voor apps vereisen wordt afgedwongen wanneer de app ondersteuning biedt voor het toekennen van beheer.

Zie het artikel App-beveiliging beleidsoverzicht voor meer informatie over de voordelen van het gebruik van app-beveiligingsbeleid.

Beleid voor voorwaardelijke toegang maken

Deze beleidsregels om te beginnen worden in de modus Alleen rapporteren geplaatst, zodat beheerders de impact kunnen bepalen die ze op bestaande gebruikers hebben. Wanneer beheerders vertrouwd zijn met het toepassen van het beleid zoals ze willen, kunnen ze overschakelen naar Aan of de implementatie faseren door specifieke groepen toe te voegen en anderen uit te sluiten.

Voorwaardelijke toegang: goedgekeurde client-apps of app-beveiligingsbeleid met mobiele apparaten vereisen

Met de volgende stappen kunt u een beleid voor voorwaardelijke toegang maken waarvoor een goedgekeurde client-app of een app-beveiligingsbeleid is vereist wanneer u een iOS-/iPadOS- of Android-apparaat gebruikt. Dit beleid voorkomt ook het gebruik van Exchange ActiveSync-clients met basisverificatie op mobiele apparaten. Dit beleid werkt samen met een app-beveiligingsbeleid dat is gemaakt in Microsoft Intune.

Organisaties kunnen ervoor kiezen dit beleid te implementeren met behulp van de onderstaande stappen of met behulp van de sjablonen voor voorwaardelijke toegang.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheer istrator voor voorwaardelijke toegang.
  2. Blader naar voorwaardelijke toegang voor beveiliging>.
  3. Selecteer Nieuw beleid maken.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer onder UitsluitenGebruikers en groepen en sluit ten minste één account uit om te voorkomen dat uzelf wordt vergrendeld. Als u geen accounts uitsluit, kunt u het beleid niet maken.
  6. Selecteer onder Doelresources>Cloud-apps>Opnemen alle cloud-apps.
  7. Stel Onder Voorwaarden>ApparaatplatformenConfigureren in op Ja.
    1. Selecteer apparaatplatformen onder Opnemen.
    2. Kies Android en iOS.
    3. Selecteer Gereed.
  8. Selecteer bijToegangsbeheer>Verlenen de optie Toegang verlenen.
    1. Selecteer Goedgekeurde client-app vereisen en App-beveiligingsbeleid vereisen
    2. Onder Voor meerdere besturingselementen selecteert u Een van de geselecteerde besturingselementen vereisen
  9. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  10. Selecteer Maken om het beleid te kunnen inschakelen.

Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Tip

Organisaties moeten ook een beleid implementeren dat de toegang blokkeert vanaf niet-ondersteunde of onbekende apparaatplatforms , samen met dit beleid.

Exchange ActiveSync op alle apparaten blokkeren

Dit beleid blokkeert alle Exchange ActiveSync-clients die basisverificatie gebruiken om verbinding te maken met Exchange Online.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheer istrator voor voorwaardelijke toegang.
  2. Blader naar voorwaardelijke toegang voor beveiliging>.
  3. Selecteer Nieuw beleid maken.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleidsregels.
  5. Onder Toewijzingen selecteert u Gebruikers- of workload-identiteiten.
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer onder UitsluitenGebruikers en groepen en sluit ten minste één account uit om te voorkomen dat uzelf wordt vergrendeld. Als u geen accounts uitsluit, kunt u het beleid niet maken.
    3. Selecteer Gereed.
  6. Selecteer onder Doelresources>Cloud-apps>Opnemen de optie Apps selecteren.
    1. De Office 365 Exchange Online-app selecteren.
    2. Selecteer Selecteren.
  7. Stel onder Voorwaarden>Client-appsConfigureren in op Ja.
    1. Schakel alle opties behalve Exchange ActiveSync-clients uit.
    2. Selecteer Gereed.
  8. Selecteer bijToegangsbeheer>Verlenen de optie Toegang verlenen.
    1. Selecteer Beleid voor app-beveiliging vereisen
  9. Controleer uw instellingen en stel Beleid inschakelen in op Alleen rapporteren.
  10. Selecteer Maken om het beleid te kunnen inschakelen.

Nadat beheerders de instellingen hebben bevestigd met de modus Alleen-rapport, kunnen ze de wisselknop Beleid inschakelen van alleen rapport naar Aan verplaatsen.

Volgende stappen

Overzicht van App-beveiliging beleidsregels

Algemeen beleid voor voorwaardelijke toegang

Goedgekeurde client-app migreren naar toepassingsbeveiligingsbeleid in voorwaardelijke toegang