Overzicht van Microsoft Intune App SDK
De Intune App SDK, beschikbaar voor zowel iOS als Android, stelt uw app in staat om intune-app-beveiligingsbeleid te ondersteunen. Wanneer op uw app beleid voor appbeveiliging is toegepast, kan deze worden beheerd door Intune en wordt deze door Intune herkend als een beheerde app. De SDK streeft ernaar om het aantal codewijzigingen dat door de app-ontwikkelaar is vereist, te minimaliseren. U zult merken dat u de meeste functies van de SDK kunt inschakelen zonder het gedrag van uw app te wijzigen. Voor een verbeterde ervaring voor eindgebruikers en IT-beheerders kunt u de API's van de SDK gebruiken om het gedrag van uw app aan te passen ter ondersteuning van functies waarvoor deelname aan uw app is vereist.
Zodra u hebt ingeschakeld dat uw app ondersteuning biedt voor intune-app-beveiligingsbeleid, kunnen IT-beheerders dit beleid implementeren om hun bedrijfsgegevens in de app te beveiligen.
Functies voor app-beveiliging
Hier volgen voorbeelden van Intune-functies voor app-beveiliging die kunnen worden ingeschakeld met de SDK.
De mogelijkheid van gebruikers beheren om zakelijke bestanden te verplaatsen
IT-beheerders kunnen bepalen waar werk- of schoolgegevens in de app kunnen worden verplaatst. Ze kunnen bijvoorbeeld een beleid implementeren waarmee de app geen back-up van bedrijfsgegevens naar de cloud kan maken.
Klembordbeperkingen configureren
IT-beheerders kunnen het klembordgedrag configureren in door Intune beheerde apps. Ze kunnen bijvoorbeeld een beleid implementeren om te voorkomen dat eindgebruikers gegevens uit de app knippen of kopiëren en plakken in een onbeheerde, persoonlijke app.
Versleuteling afdwingen voor opgeslagen gegevens
IT-beheerders kunnen een beleid afdwingen dat ervoor zorgt dat gegevens die door de app op het apparaat zijn opgeslagen, worden versleuteld.
Bedrijfsgegevens op afstand wissen
IT-beheerders kunnen bedrijfsgegevens op afstand wissen vanuit een door Intune beheerde app. Deze functie is gebaseerd op identiteiten en verwijdert alleen de bestanden die zijn gekoppeld aan de bedrijfsidentiteit van de eindgebruiker. Hiervoor is de deelname van de app vereist voor de functie. De app kan de identiteit opgeven waarvoor het wissen moet plaatsvinden op basis van gebruikersinstellingen. Als deze opgegeven gebruikersinstellingen niet in de app zijn opgegeven, is het standaardgedrag om de toepassingsmap te wissen en de eindgebruiker te laten weten dat de toegang is verwijderd.
Het gebruik van een beheerde browser afdwingen
IT-beheerders kunnen afdwingen dat webkoppelingen in de app worden geopend met de Microsoft Edge-app. Deze functionaliteit zorgt ervoor dat koppelingen die worden weergegeven in een bedrijfsomgeving, worden bewaard binnen het domein van door Intune beheerde apps.
Een pincodebeleid afdwingen
IT-beheerders kunnen vereisen dat de eindgebruiker een pincode invoert voordat ze toegang krijgen tot bedrijfsgegevens in de app. Dit zorgt ervoor dat de persoon die de app gebruikt, dezelfde persoon is die zich in eerste instantie heeft aangemeld met het werk- of schoolaccount. Wanneer eindgebruikers hun pincode configureren, gebruikt de Intune App SDK Microsoft Entra ID om de referenties van eindgebruikers te verifiëren voor het ingeschreven Intune-account.
Vereisen dat gebruikers zich aanmelden met een werk- of schoolaccount voor toegang tot apps
IT-beheerders kunnen vereisen dat gebruikers zich aanmelden met hun werk- of schoolaccount om toegang te krijgen tot de app. De Intune App SDK maakt gebruik van Microsoft Entra ID om een eenmalige aanmelding te bieden, waarbij de referenties, zodra ze zijn ingevoerd, opnieuw worden gebruikt voor volgende aanmeldingen. We ondersteunen ook verificatie van oplossingen voor identiteitsbeheer die zijn gefedereerd met Microsoft Entra ID.
De status en naleving van het apparaat controleren
IT-beheerders kunnen de status van het apparaat en de naleving van het Intune-beleid controleren voordat eindgebruikers de app openen. Op iOS/iPadOS controleert dit beleid of het apparaat is gekraakt. Op Android controleert dit beleid of het apparaat is geroot.
Ondersteuning voor meerdere identiteiten
Ondersteuning voor meerdere identiteiten is een functie van de SDK die co-existentie mogelijk maakt van door beleid beheerde (zakelijke) en niet-beheerde (persoonlijke) accounts in één app.
Veel gebruikers configureren bijvoorbeeld zowel zakelijke als persoonlijke e-mailaccounts in de mobiele Office-apps voor iOS en Android. Wanneer een gebruiker gegevens opent met zijn of haar bedrijfsaccount, moet de IT-beheerder erop vertrouwen dat het beveiligingsbeleid voor apps wordt toegepast. Wanneer een gebruiker echter toegang heeft tot een persoonlijk e-mailaccount, moeten deze gegevens buiten de controle van de IT-beheerder staan. De Intune App SDK bereikt dit door het app-beveiligingsbeleid alleen te richten op de bedrijfsidentiteit in de app.
De functie voor meerdere identiteiten helpt bij het oplossen van het gegevensbeveiligingsprobleem waarmee organisaties worden geconfronteerd met store-apps die zowel persoonlijke als werkaccounts ondersteunen.
App-beveiliging zonder apparaatinschrijving
Belangrijk
Intune-app-beveiliging zonder apparaatinschrijving is beschikbaar met de Intune App Wrapping Tools, Intune App SDK voor Android, Intune App SDK voor iOS en Intune App SDK Xamarin Bindings.
Veel gebruikers met persoonlijke apparaten willen toegang tot bedrijfsgegevens zonder hun persoonlijke apparaat in te schrijven bij een MDM-provider (Mobile Device Management). Omdat MDM-inschrijving globale controle over het apparaat vereist, aarzelen gebruikers vaak om de controle over hun persoonlijke apparaat over te dragen aan hun bedrijf.
Met app-beveiliging zonder apparaatinschrijving kan de Microsoft Intune-service app-beveiligingsbeleid rechtstreeks implementeren in een app, zonder dat een apparaatbeheerkanaal nodig is om het beleid te implementeren.