Samenwerkingservaringen beheren in Microsoft 365 (Office) voor iOS en Android met Microsoft Intune
Microsoft 365 (Office) voor iOS en Android biedt verschillende belangrijke voordelen, waaronder:
- Word, Excel en PowerPoint combineren op een manier die de ervaring vereenvoudigt met minder apps om te downloaden of tussen te schakelen. Het vereist veel minder telefoonopslag dan het installeren van afzonderlijke apps, terwijl vrijwel alle mogelijkheden van de bestaande mobiele apps die mensen al kennen en gebruiken, behouden blijven.
- Integratie van Microsoft Lens-technologie om de kracht van de camera te ontgrendelen met mogelijkheden zoals het converteren van afbeeldingen naar bewerkbare Word- en Excel-documenten, het scannen van PDF-bestanden en het vastleggen van Whiteboards met automatische digitale verbeteringen om de inhoud gemakkelijker leesbaar te maken.
- Nieuwe functionaliteit toevoegen voor veelvoorkomende taken die mensen vaak tegenkomen bij het werken op een telefoon, zoals het maken van snelle notities, het ondertekenen van PDF-bestanden, het scannen van QR-codes en het overdragen van bestanden tussen apparaten.
De uitgebreidste en breedste beveiligingsmogelijkheden voor Microsoft 365 gegevens zijn beschikbaar wanneer u zich abonneert op de Enterprise Mobility + Security suite, die Microsoft Intune- en Microsoft Entra ID P1- of P2-functies bevat, zoals voorwaardelijke toegang. Je moet minimaal een beleid voor voorwaardelijke toegang implementeren dat connectiviteit met Microsoft 365 (Office) voor iOS en Android vanaf mobiele apparaten mogelijk maakt en een Intune-app-beveiligingsbeleid dat ervoor zorgt dat de samenwerkingservaring wordt beschermd.
Voorwaardelijke toegang toepassen
Organisaties kunnen beleid voor voorwaardelijke toegang van Microsoft Entra gebruiken om ervoor te zorgen dat gebruikers alleen toegang hebben tot werk- of schoolinhoud met behulp van Microsoft 365 (Office) voor iOS en Android. Hiervoor heb je een beleid voor voorwaardelijke toegang nodig dat is gericht op alle potentiële gebruikers. Deze beleidsregels worden beschreven in Voorwaardelijke toegang: Goedgekeurde client-apps of app-beveiligingsbeleid vereisen.
Volg de stappen in Goedgekeurde client-apps of app-beveiligingsbeleid vereisen met mobiele apparaten, waardoor Microsoft 365 (Office) voor iOS en Android is toegestaan, maar waarmee externe OAuth-clients voor mobiele apparaten geen verbinding kunnen maken met Microsoft 365 eindpunten.
Opmerking
Dit beleid zorgt ervoor dat mobiele gebruikers toegang hebben tot alle Microsoft 365 eindpunten met behulp van de toepasselijke apps.
Opmerking
Als u gebruik wilt maken van beleid voor voorwaardelijke toegang op basis van apps, moet de Microsoft Authenticator-app zijn geïnstalleerd op iOS-apparaten. Voor Android-apparaten is de Intune-bedrijfsportal-app vereist. Zie Voorwaardelijke toegang op basis van apps met Intune voor meer informatie.
Intune-beveiligingsbeleid voor apps maken
App-beveiligingsbeleid (APP) definieert welke apps zijn toegestaan en welke acties ze kunnen uitvoeren met de gegevens van uw organisatie. Met de beschikbare opties in APP kunnen organisaties de beveiliging aanpassen aan hun specifieke behoeften. Voor sommigen is het mogelijk niet duidelijk welke beleidsinstellingen vereist zijn om een volledig scenario te implementeren. Om organisaties te helpen prioriteit te geven aan beveiliging van mobiele clienteindpunten, heeft Microsoft taxonomie geïntroduceerd voor het app-gegevensbeveiligingsframework voor het beheer van mobiele apps voor iOS en Android.
Het APP-gegevensbeveiligingsframework is ingedeeld in drie verschillende configuratieniveaus, waarbij elk niveau afbouwt op het vorige niveau:
- Enterprise Basic Data Protection (Niveau 1) zorgt ervoor dat apps worden beveiligd met een pincode en versleuteld en selectief wissen worden uitgevoerd. Voor Android-apparaten valideert dit niveau de attestation van Android-apparaten. Dit is een configuratie op instapniveau die vergelijkbaar beheer van gegevensbeveiliging biedt in Exchange Online postvakbeleid en de IT- en gebruikerspopulatie introduceert in APP.
- Verbeterde enterprise-gegevensbeveiliging (niveau 2) introduceert mechanismen voor het voorkomen van lekken van APP-gegevens en minimale vereisten voor het besturingssysteem. Dit is de configuratie die van toepassing is op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens.
- Enterprise High Data Protection (Level 3) introduceert geavanceerde mechanismen voor gegevensbeveiliging, verbeterde pincodeconfiguratie en APP Mobile Threat Defense. Deze configuratie is wenselijk voor gebruikers die toegang hebben tot gegevens met een hoog risico.
Als u de specifieke aanbevelingen wilt zien voor elk configuratieniveau en de minimale apps die moeten worden beveiligd, raadpleegt u Het framework voor gegevensbescherming met behulp van app-beveiligingsbeleid.
Ongeacht of het apparaat is ingeschreven bij een UEM-oplossing (Unified Endpoint Management), moet er een Intune-app-beveiligingsbeleid worden gemaakt voor zowel iOS- als Android-apps, met behulp van de stappen in App-beveiligingsbeleid maken en toewijzen. Deze beleidsregels moeten minimaal aan de volgende voorwaarden voldoen:
Ze omvatten alle mobiele Microsoft 365-toepassingen, zoals Edge, Outlook, OneDrive, Microsoft 365 (Office) of Teams, omdat dit ervoor zorgt dat gebruikers werk- of schoolgegevens in elke Microsoft-app op een veilige manier kunnen openen en bewerken.
Ze worden toegewezen aan alle gebruikers. Dit zorgt ervoor dat alle gebruikers worden beveiligd, ongeacht of ze Microsoft 365 (Office) voor iOS of Android gebruiken.
Bepaal welk frameworkniveau voldoet aan uw vereisten. De meeste organisaties moeten de instellingen implementeren die zijn gedefinieerd in Verbeterde gegevensbescherming voor ondernemingen (niveau 2), omdat dit besturingselementen voor gegevensbeveiliging en toegangsvereisten mogelijk maakt.
Zie Beveiligingsbeleidsinstellingen voor Android-apps en beveiligingsbeleidsinstellingen voor iOS-apps voor meer informatie over de beschikbare instellingen.
Belangrijk
Als u intune-app-beveiligingsbeleid wilt toepassen op apps op Android-apparaten die niet zijn ingeschreven bij Intune, moet de gebruiker ook de Intune-bedrijfsportal installeren. Voeg voor beveiligingsbeleid voor Android-apps de apps Office Hub, Office Hub [HL] en Office Hub [ROW] toe. Zie Ondersteuningstip: Intune-beveiligingsbeleid voor apps inschakelen met Office Mobile voor meer informatie.
App-configuratie gebruiken
Microsoft 365 (Office) voor iOS en Android ondersteunt app-instellingen waarmee uniform eindpuntbeheer, zoals Microsoft Intune, beheerders het gedrag van de app kunnen aanpassen.
App-configuratie kan worden geleverd via het MDM-besturingssysteemkanaal (Mobile Device Management) op ingeschreven apparaten (Beheerd App Configuration -kanaal voor iOS of het Android in het Enterprise -kanaal voor Android) of via het app-kanaal (Intune-app-beveiliging Policy). Microsoft 365 (Office) voor iOS en Android ondersteunt de volgende configuratiescenario's:
- Alleen werk- of schoolaccounts toestaan
- Algemene app-configuratie
- Instellingen voor gegevensbeveiliging
Belangrijk
Voor configuratiescenario's waarvoor apparaatinschrijving op Android is vereist, moeten de apparaten worden ingeschreven bij Android Enterprise en moet Microsoft 365 (Office) voor Android worden geïmplementeerd via de beheerde Google Play Store. Zie Inschrijving van Android Enterprise-apparaten met een werkprofiel in persoonlijk eigendom instellen en App-configuratiebeleid toevoegen voor beheerde Android Enterprise-apparaten voor meer informatie. Voeg voor configuraties voor Android-apps de apps Office Hub, Office Hub [HL] en Office Hub [ROW] toe. Zie Ondersteuningstip: Intune-beveiligingsbeleid voor apps inschakelen met Office Mobile voor meer informatie.
Elk configuratiescenario benadrukt de specifieke vereisten. Bijvoorbeeld of voor het configuratiescenario apparaatinschrijving is vereist en dus werkt met een UEM-provider of intune-beleid voor app-beveiliging is vereist.
Belangrijk
App-configuratiesleutels zijn hoofdlettergevoelig. Gebruik de juiste behuizing om ervoor te zorgen dat de configuratie van kracht wordt.
Opmerking
Met Microsoft Intune wordt app-configuratie die via het MDM-besturingssysteemkanaal wordt geleverd, aangeduid als een Managed Devices App Configuration Policy (ACP); app-configuratie die via het app-beveiligingsbeleidskanaal wordt geleverd, wordt een Managed Apps App Configuration-beleid genoemd.
Alleen werk- of schoolaccounts toestaan
Het respecteren van het gegevensbeveiligings- en nalevingsbeleid van onze grootste en sterk gereglementeerde klanten is een belangrijke pijler van de Microsoft 365-waarde. Sommige bedrijven hebben een vereiste om alle communicatie-informatie binnen hun bedrijfsomgeving vast te leggen en ervoor te zorgen dat de apparaten alleen worden gebruikt voor bedrijfscommunicatie. Ter ondersteuning van deze vereisten kan Microsoft 365 (Office) voor Android op ingeschreven apparaten zodanig worden geconfigureerd dat slechts één bedrijfsaccount kan worden ingericht in de app.
Hier vindt u meer informatie over het configureren van de modus voor toegestane accounts voor organisaties:
Dit configuratiescenario werkt alleen met ingeschreven apparaten. Elke UEM-provider wordt echter ondersteund. Als u geen Microsoft Intune gebruikt, moet u uw UEM-documentatie raadplegen over het implementeren van deze configuratiesleutels.
Algemene app-configuratiescenario's
Microsoft 365 (Office) voor iOS/iPadOS en Android biedt beheerders de mogelijkheid om de standaardconfiguratie aan te passen voor verschillende in-app-instellingen met behulp van iOS-/iPadOS- of android- -app-configuratiebeleid. Deze mogelijkheid wordt aangeboden voor zowel ingeschreven apparaten via een UEM-provider als voor apparaten die niet zijn ingeschreven wanneer in Microsoft 365 (Office) voor iOS en Android een Intune-beleid voor app-beveiliging is toegepast.
Opmerking
Als een app-beveiligingsbeleid is gericht op de gebruikers, wordt het aanbevolen om de algemene app-configuratie-instellingen te implementeren in een inschrijvingsmodel voor beheerde apps. Dit zorgt ervoor dat het app-configuratiebeleid wordt geïmplementeerd op zowel ingeschreven apparaten als niet-ingeschreven apparaten.
Microsoft 365 (Office) ondersteunt de volgende instellingen voor configuratie:
- Het maken van plaknotities beheren
- Voorkeur voor invoegtoepassingen instellen
- Teams-apps beheren die worden uitgevoerd op Microsoft 365 (Office) voor iOS en Android
- Microsoft 365-feed in- of uitschakelen voor iOS en Android
Het maken van plaknotities beheren
Met Microsoft 365 (Office) voor iOS en Android kunnen gebruikers standaard Plaknotities maken. Voor gebruikers met Exchange Online-postvakken worden de notities gesynchroniseerd met het postvak van de gebruiker. Voor gebruikers met on-premises postvakken worden deze notities alleen opgeslagen op het lokale apparaat.
| Sleutel | Waarde |
|---|---|
| com.microsoft.office.NotesCreationEnabled |
true (standaard) maakt het maken van plaknotities mogelijk voor het werk- of schoolaccount false schakelt het maken van plaknotities voor het werk- of schoolaccount uit |
Voorkeur voor invoegtoepassingen instellen
Voor iOS-/iPadOS-apparaten met Office kun je (als beheerder) instellen of Microsoft 365-invoegtoepassingen (Office) zijn ingeschakeld. Deze app-instellingen kunnen worden geïmplementeerd met behulp van een app-configuratiebeleid in Intune.
| Sleutel | Waarde |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableAllCatalogs |
true (standaard) schakelt het hele invoegtoepassingsplatform uit false schakelt het invoegtoepassingsplatform in |
Als je het Microsoft 365 (Office) Store-gedeelte van het platform voor iOS-apparaten wilt in- of uitschakelen, kun je de volgende sleutel gebruiken.
| Sleutel | Waarde |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableOMEXCatalog |
true (standaard) schakelt alleen het Microsoft 365 (Office) Store-gedeelte van het platform uit false schakelt het Microsoft 365 (Office) Store-gedeelte van het platform in NOTITIE: Sideloaded blijft werken. |
Zie App-configuratiebeleid voor beheerde iOS-/iPadOS-apparaten toevoegen voor meer informatie over het toevoegen van configuratiesleutels.
Teams-apps beheren die worden uitgevoerd op Microsoft 365 (Office) voor iOS en Android
IT-beheerders kunnen de toegang tot Teams-apps beheren door aangepast machtigingsbeleid te maken en dit beleid toe te wijzen aan gebruikers met behulp van het Teams-beheercentrum. Je kunt nu ook apps voor persoonlijke tabbladen van Teams uitvoeren in Microsoft 365 (Office) voor iOS en Android. Apps voor persoonlijke tabbladen van Teams die zijn gebouwd met Microsoft Teams JavaScript-client SDK v2 (versie 2.0.0) en Het App-manifest van Teams (versie 1.13) worden weergegeven in Microsoft 365 (Office) voor iOS en Android onder het menu Apps.
Er kunnen aanvullende beheervereisten zijn die specifiek zijn voor Microsoft 365 (Office) voor iOS en Android. Je kunt nu het volgende doen:
- Alleen specifieke gebruikers in je organisatie toestaan verbeterde Teams-apps uit te proberen op Microsoft 365 (Office) voor iOS en Android, of
- Voorkom dat alle gebruikers in je organisatie verbeterde Teams-apps gebruiken op Microsoft 365 (Office) voor iOS en Android.
Als je deze wilt beheren, kun je de volgende sleutel gebruiken:
| Sleutel | Waarde |
|---|---|
| com.microsoft.office.officemobile.TeamsApps.IsAllowed |
true (standaard) schakelt Teams-apps in op Microsoft 365 (Office) voor iOS en Android false schakelt Teams-apps in Microsoft 365 (Office) voor iOS en Android uit |
Deze sleutel kan zowel door beheerde apparaten als door beheerde apps worden gebruikt.
Instellingen voor gegevensbescherming in Microsoft 365 (Office)
Je kunt offlinecaching in- of uitschakelen wanneer Opslaan als in lokale opslag wordt geblokkeerd door het app-beveiligingsbeleid.
Belangrijk
Deze instelling is alleen van toepassing op de Microsoft 365-app (Office) op Android. Als je deze instelling wilt configureren, kun je de volgende sleutel gebruiken:
| Sleutel | Waarde |
|---|---|
| com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked |
false (standaard) schakelt offlinecache uit wanneer Opslaan als naar lokale opslag is geblokkeerd true schakelt offline caching in wanneer Opslaan als naar lokale opslag is geblokkeerd |
Microsoft 365-feed in- of uitschakelen voor iOS en Android
Beheerders kunnen nu de Microsoft 365-feed in- of uitschakelen door de volgende instelling te configureren in het Intune-beheercentrum. Gebruik een app-configuratiebeleid in Intune om deze app-instelling te implementeren.
Als u de Microsoft 365-feed wilt beheren, kun je de volgende sleutel gebruiken:
| Sleutel | Waarde |
|---|---|
| com.microsoft.office.officemobile.Feed.IsAllowed |
true (standaard) Feed is ingeschakeld voor de tenant false schakelt feed voor de tenant uit |
Deze sleutel kan worden gebruikt door beheerde apparaten en beheerde apps.
Copilot met commerciële gegevensbescherming
Beheerders kunnen Copilot nu in- of uitschakelen in de Microsoft 365-app door de volgende instelling te configureren in het Intune-beheercentrum. Gebruik een app-configuratiebeleid in Intune om deze app-instelling te implementeren.
Als je Copilot in de Microsoft 365-app wilt beheren, kun je de volgende sleutel gebruiken:
| Sleutel | Waarde |
|---|---|
| com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed |
true (standaard) Copilot is ingeschakeld voor de tenant false schakelt Copilot uit voor de tenant |
Deze sleutel kan worden gebruikt door beheerde apparaten en beheerde apps.