Beveiligingsbeleidsinstellingen voor Android-apps in Microsoft Intune
In dit artikel worden de instellingen voor het app-beveiligingsbeleid voor Android-apparaten beschreven. De beleidsinstellingen die worden beschreven, kunnen worden geconfigureerd voor een app-beveiligingsbeleid in het deelvenster Instellingen in de portal. Er zijn drie categorieën beleidsinstellingen: instellingen voor gegevensbeveiliging, toegangsvereisten en voorwaardelijk starten. In dit artikel verwijst de term door beleid beheerde apps naar apps die zijn geconfigureerd met app-beveiligingsbeleid.
Belangrijk
De Intune-bedrijfsportal is vereist op het apparaat om app-beveiligingsbeleid voor Android-apparaten te ontvangen.
De Intune Managed Browser is buiten gebruik gesteld. Gebruik Microsoft Edge voor uw beveiligde Intune browserervaring.
Gegevensbescherming
Gegevensoverdracht
Instelling | Procedure | Standaardwaarde |
---|---|---|
Back-up van organisatiegegevens maken naar Back-upservices voor Android | Selecteer Blokkeren om te voorkomen dat deze app een back-up maakt van werk- of schoolgegevens naar de Android Backup-service. Selecteer Toestaan om toe te staan dat deze app een back-up maakt van werk- of schoolgegevens. |
Toestaan |
Organisatiegegevens verzenden naar andere apps | Geef op welke apps gegevens van deze app kunnen ontvangen:
Er zijn enkele vrijgestelde apps en services waarnaar Intune standaard gegevensoverdracht toestaan. Daarnaast kunt u uw eigen uitzonderingen maken als u wilt toestaan dat gegevens worden overgedragen naar een app die geen ondersteuning biedt voor Intune APP. Zie Uitzonderingen voor gegevensoverdracht voor meer informatie. Dit beleid kan ook van toepassing zijn op Android-appkoppelingen. Algemene webkoppelingen worden beheerd door de beleidsinstelling App-koppelingen openen in Intune Managed Browser. Opmerking Intune biedt momenteel geen ondersteuning voor de functie Android Instant Apps. Intune blokkeert elke gegevensverbinding van of naar de app. Zie Android Instant Apps in de documentatie voor Android-ontwikkelaars voor meer informatie. Als Organisatiegegevens verzenden naar andere apps is geconfigureerd voor Alle apps, kunnen tekstgegevens nog steeds via het delen van het besturingssysteem naar het Klembord worden overgebracht. |
Alle apps |
|
Deze optie is beschikbaar wanneer u Door beleid beheerde apps selecteert voor de vorige optie. | |
|
Kies Blokkeren om het gebruik van de optie Opslaan als in deze app uit te schakelen. Kies Toestaan als u het gebruik van Opslaan als wilt toestaan. Wanneer deze optie is ingesteld op Blokkeren, kunt u de instelling Gebruiker toestaan kopieën op te slaan naar geselecteerde services configureren. Opmerking:
|
Toestaan |
|
Gebruikers kunnen opslaan in de geselecteerde services (OneDrive voor Bedrijven, SharePoint, Fotobibliotheek, Box en Lokale opslag). Alle andere services worden geblokkeerd. | 0 geselecteerd |
|
Wanneer een gebruiker een telefoonnummer met hyperlinks selecteert in een app, wordt een kiezer-app geopend met het telefoonnummer dat vooraf is ingevuld en klaar is om te bellen. Kies voor deze instelling hoe u dit type inhoudsoverdracht wilt afhandelen wanneer deze wordt gestart vanuit een door beleid beheerde app:
|
Elke kiezer-app |
|
Wanneer een specifieke kiezer-app is geselecteerd, moet u de app-pakket-id opgeven. | Blanco |
|
Wanneer een specifieke kiezer-app is geselecteerd, moet u de naam van de kiezer-app opgeven. | Blanco |
|
Wanneer een gebruiker een telefoonnummer met hyperlinks selecteert in een app, wordt een kiezer-app geopend met het telefoonnummer dat vooraf is ingevuld en klaar is om te bellen. Kies voor deze instelling hoe u dit type inhoudsoverdracht wilt afhandelen wanneer deze wordt gestart vanuit een door beleid beheerde app. Kies voor deze instelling hoe u dit type inhoudsoverdracht wilt afhandelen wanneer deze wordt gestart vanuit een door beleid beheerde app:
|
Elke berichten-app |
|
Wanneer een specifieke berichten-app is geselecteerd, moet u de app-pakket-id opgeven. | Blanco |
|
Wanneer een specifieke berichten-app is geselecteerd, moet u de naam van de berichten-app opgeven. | Blanco |
Gegevens ontvangen van andere apps | Geef op welke apps gegevens naar deze app kunnen overdragen:
Er zijn enkele vrijgestelde apps en services van waaruit Intune gegevensoverdracht kan toestaan. Zie Uitzonderingen voor gegevensoverdracht voor een volledige lijst met apps en services. |
Alle apps |
|
Selecteer Blokkeren om het gebruik van de optie Openen of andere opties voor het delen van gegevens tussen accounts in deze app uit te schakelen. Selecteer Toestaan als u het gebruik van Openen wilt toestaan. Wanneer deze optie is ingesteld op Blokkeren , kunt u toestaan dat gebruiker gegevens opent vanuit geselecteerde services configureren naar specifieke services die zijn toegestaan voor organisatiegegevenslocaties. Opmerking:
|
Toestaan |
|
Selecteer de toepassingsopslagservices waaruit gebruikers gegevens kunnen openen. Alle andere services worden geblokkeerd. Als u geen services selecteert, kunnen gebruikers geen gegevens openen. Ondersteunde services:
|
Alles geselecteerd |
Knippen, kopiëren en plakken tussen andere apps beperken | Geef op wanneer knip-, kopieer- en plakacties kunnen worden gebruikt met deze app. Kies uit:
|
Elke app |
|
Geef het aantal tekens op dat mag worden geknipt of gekopieerd uit organisatiegegevens en -accounts. Hierdoor kan het opgegeven aantal tekens worden gedeeld wanneer dit anders wordt geblokkeerd door de instelling Knippen, kopiëren en plakken met andere apps beperken. Standaardwaarde = 0 Opmerking: vereist Intune-bedrijfsportal versie 5.0.4364.0 of hoger. |
0 |
Schermopname en Google-assistent | Selecteer Blokkeren om schermopname te blokkeren, Circle te blokkeren voor Zoeken en toegang tot organisatiegegevens op het apparaat te blokkeren wanneer u deze app gebruikt. Als u Blokkeren kiest, wordt ook de voorbeeldafbeelding van app-switcher vervaagd wanneer u deze app gebruikt met een werk- of schoolaccount. Opmerking: Google Assistant is mogelijk toegankelijk voor gebruikers voor scenario's die geen toegang hebben tot organisatiegegevens. |
Blokkeren |
Goedgekeurde toetsenborden | Selecteer Vereisen en geef vervolgens een lijst met goedgekeurde toetsenborden op voor dit beleid. Gebruikers die geen goedgekeurd toetsenbord gebruiken, ontvangen een prompt om een goedgekeurd toetsenbord te downloaden en te installeren voordat ze de beveiligde app kunnen gebruiken. Voor deze instelling moet de app beschikken over de Intune SDK voor Android versie 6.2.0 of hoger. |
Niet vereist |
|
Deze optie is beschikbaar wanneer u Vereisen selecteert voor de vorige optie. Kies Selecteren om de lijst met toetsenborden en invoermethoden te beheren die kunnen worden gebruikt met apps die door dit beleid worden beveiligd. U kunt extra toetsenborden toevoegen aan de lijst en een van de standaardopties verwijderen. U moet ten minste één goedgekeurd toetsenbord hebben om de instelling op te slaan. In de loop van de tijd kan Microsoft extra toetsenborden toevoegen aan de lijst voor nieuw app-beveiligingsbeleid, waardoor beheerders bestaande beleidsregels zo nodig moeten controleren en bijwerken. Als u een toetsenbord wilt toevoegen, geeft u het volgende op:
Notitie: Een gebruiker waaraan meerdere app-beveiligingsbeleidsregels zijn toegewezen, mag alleen de goedgekeurde toetsenborden gebruiken die voor alle beleidsregels gelden. |
Versleuteling
Instelling | Procedure | Standaardwaarde |
---|---|---|
Organisatiegegevens versleutelen | Kies Vereisen om versleuteling van werk- of schoolgegevens in deze app in te schakelen. Intune maakt gebruik van een wolfSSL, 256-bits AES-versleutelingsschema samen met het Android Keystore-systeem om app-gegevens veilig te versleutelen. Gegevens worden synchroon versleuteld tijdens I/O-taken van bestanden. Inhoud op de apparaatopslag is altijd versleuteld en kan alleen worden geopend door apps die het app-beveiligingsbeleid van Intune ondersteunen en waaraan beleid is toegewezen. Nieuwe bestanden worden versleuteld met 256-bits sleutels. Bestaande 128-bits versleutelde bestanden ondergaan een migratiepoging naar 256-bits sleutels, maar het proces is niet gegarandeerd. Bestanden die zijn versleuteld met 128-bits sleutels blijven leesbaar. De versleutelingsmethode is FIPS 140-2 gevalideerd; Zie wolfCrypt FIPS 140-2 en FIPS 140-3 voor meer informatie. |
Vereisen |
|
Selecteer Vereisen om het versleutelen van organisatiegegevens af te dwingen met Intune app-laagversleuteling op alle apparaten. Selecteer Niet vereist om geen versleuteling van organisatiegegevens af te dwingen met Intune app-laagversleuteling op ingeschreven apparaten. | Vereisen |
Functionaliteit
Instelling | Procedure | Standaardwaarde |
---|---|---|
Door beleid beheerde app-gegevens synchroniseren met systeemeigen apps of invoegtoepassingen | Kies Blokkeren om te voorkomen dat door beleid beheerde apps gegevens opslaan in de systeemeigen apps van het apparaat (contactpersonen, agenda en widgets) en om het gebruik van invoegtoepassingen in de door beleid beheerde apps te voorkomen. Als deze niet wordt ondersteund door de toepassing, is het opslaan van gegevens in systeemeigen apps en het gebruik van invoegtoepassingen toegestaan. Als u Toestaan kiest, kan de door beleid beheerde app gegevens opslaan in de systeemeigen apps of invoegtoepassingen gebruiken, als deze functies worden ondersteund en ingeschakeld in de door beleid beheerde app. Toepassingen kunnen aanvullende besturingselementen bieden om het gedrag van gegevenssynchronisatie aan te passen aan specifieke systeemeigen apps of deze controle niet na te komen. Opmerking: wanneer u selectief wist om werk- of schoolgegevens uit de app te verwijderen, worden gegevens die rechtstreeks vanuit de door beleid beheerde app met de systeemeigen app zijn gesynchroniseerd, verwijderd. Gegevens die vanuit de systeemeigen app naar een andere externe bron zijn gesynchroniseerd, worden niet gewist. Opmerking: de volgende apps ondersteunen deze functie:
|
Toestaan |
Organisatiegegevens afdrukken | Kies Blokkeren om te voorkomen dat de app werk- of schoolgegevens afdrukt. Als u deze instelling op Toestaan, de standaardwaarde, laat staan, kunnen gebruikers alle organisatiegegevens exporteren en afdrukken. | Toestaan |
Overdracht van webinhoud met andere apps beperken | Geef op hoe webinhoud (http/https-koppelingen) wordt geopend vanuit door beleid beheerde toepassingen. Kies uit:
Door beleid beheerde browsers Op Android kunnen uw eindgebruikers kiezen uit andere door beleid beheerde apps die http/https-koppelingen ondersteunen als er geen Intune Managed Browser of Microsoft Edge is geïnstalleerd. Als een door beleid beheerde browser is vereist, maar niet is geïnstalleerd, wordt uw eindgebruikers gevraagd microsoft Edge te installeren. Als een door beleid beheerde browser is vereist, worden Android-appkoppelingen beheerd door de beleidsinstelling App mag gegevens overdragen naar andere apps .
Intune apparaatinschrijving
Door beleid beheerde Microsoft Edge |
Niet geconfigureerd |
|
Voer de toepassings-id in voor één browser. Webinhoud (http/https-koppelingen) van door beleid beheerde toepassingen wordt geopend in de opgegeven browser. De webinhoud wordt niet beheerd in de doelbrowser. | Blanco |
|
Voer de toepassingsnaam in voor de browser die is gekoppeld aan de onbeheerde browser-id. Deze naam wordt weergegeven voor gebruikers als de opgegeven browser niet is geïnstalleerd. | Blanco |
Meldingen van organisatiegegevens | Geef op hoeveel organisatiegegevens worden gedeeld via besturingssysteemmeldingen voor organisatieaccounts. Deze beleidsinstelling is van invloed op het lokale apparaat en eventuele verbonden apparaten, zoals wearables en slimme luidsprekers. Apps kunnen aanvullende besturingselementen bieden om het gedrag van meldingen aan te passen of kunnen ervoor kiezen om niet alle waarden na te komen. Selecteer uit:
Opmerking: voor deze instelling is app-ondersteuning vereist:
|
Toestaan |
Uitzonderingen voor gegevensoverdracht
Er zijn enkele vrijgestelde apps en platformservices die Intune app-beveiligingsbeleid gegevensoverdracht van en naar toestaan. Alle Intune beheerde apps op Android moeten bijvoorbeeld gegevens kunnen overdragen van en naar de Google Tekst-naar-spraak, zodat tekst van het scherm van uw mobiele apparaat hardop kan worden voorgelezen. Deze lijst is onderhevig aan wijzigingen en geeft de services en apps weer die nuttig worden geacht voor veilige productiviteit.
Volledige uitzonderingen
Deze apps en services zijn volledig toegestaan voor gegevensoverdracht van en naar door Intune beheerde apps.
App/servicenaam | Beschrijving |
---|---|
com.android.phone | Systeemeigen telefoon-app |
com.android.vending | Google Play Store |
com.google.android.webview | WebView, wat nodig is voor veel apps, waaronder Outlook. |
com.android.webview | Webweergave, die nodig is voor veel apps, waaronder Outlook. |
com.google.android.tts | Google Tekst-naar-spraak |
com.android.providers.settings | Android-systeeminstellingen |
com.android.settings | Android-systeeminstellingen |
com.azure.authenticator | Azure Authenticator-app, die in veel scenario's is vereist voor een geslaagde verificatie. |
com.microsoft.windowsintune.companyportal | Intune-bedrijfsportal |
com.android.providers.contacts | Systeemeigen app voor contactpersonen |
Voorwaardelijke uitzonderingen
Deze apps en services zijn alleen toegestaan voor gegevensoverdracht van en naar Intune beheerde apps onder bepaalde voorwaarden.
App/servicenaam | Beschrijving | Uitzonderingsvoorwaarde |
---|---|---|
com.android.chrome | Google Chrome Browser | Chrome wordt gebruikt voor sommige WebView-onderdelen op Android 7.0+ en wordt nooit verborgen. De gegevensstroom van en naar de app is echter altijd beperkt. |
com.skype.raider | Skype | De Skype-app is alleen toegestaan voor bepaalde acties die resulteren in een telefoongesprek. |
com.android.providers.media | Android-media-inhoudsprovider | De media-inhoudsprovider is alleen toegestaan voor de beltoonselectieactie. |
com.google.android.gms; com.google.android.gsf | Google Play Services-pakketten | Deze pakketten zijn toegestaan voor Google Cloud Messaging-acties, zoals pushmeldingen. |
com.google.android.apps.maps | Google Maps | Adressen zijn toegestaan voor navigatie. |
com.android.documentsui | Android-documentkiezer | Toegestaan bij het openen of maken van een bestand. |
com.google.android.documentsui | Android-documentkiezer (Android 10+) | Toegestaan bij het openen of maken van een bestand. |
Zie Uitzonderingen voor gegevensoverdrachtsbeleid voor apps voor meer informatie.
Toegangsvereisten
Instelling | Procedure |
---|---|
Pincode voor toegang | Selecteer Vereisen om een pincode te vereisen voor het gebruik van deze app. De gebruiker wordt gevraagd deze pincode in te stellen wanneer de app de eerste keer wordt uitgevoerd in een werk- of schoolcontext. Standaardwaarde = Vereisen U kunt de pincodesterkte configureren met behulp van de instellingen die beschikbaar zijn onder de sectie Pincode voor toegang. Notitie: Eindgebruikers die toegang hebben tot de app, kunnen de pincode van de app opnieuw instellen. Deze instelling is in sommige gevallen mogelijk niet zichtbaar op Android-apparaten. Android-apparaten hebben een maximale beperking van vier beschikbare sneltoetsen. Wanneer het maximum is bereikt, moet de eindgebruiker persoonlijke snelkoppelingen verwijderen (of de snelkoppeling openen vanuit een andere beheerde app-weergave) om de snelkoppeling voor het opnieuw instellen van de app-pincode weer te geven. De eindgebruiker kan de snelkoppeling ook vastmaken aan de startpagina. |
Type pincode |
Stel een vereiste in voor pincodes van het numerieke of wachtwoordcodetype voordat u toegang krijgt tot een app waarop app-beveiligingsbeleid is toegepast. Numerieke vereisten hebben alleen betrekking op getallen, terwijl een wachtwoordcode kan worden gedefinieerd met ten minste 1 alfabetische letter of ten minste 1 speciaal teken. Standaardwaarde = Numeriek Notitie: Speciale tekens die zijn toegestaan, zijn de speciale tekens en symbolen op het Engelse android-toetsenbord. |
|
Selecteer Toestaan om gebruikers toe te staan eenvoudige pincodes te gebruiken, zoals 1234, 1111, abcd of aaaa. Selecteer Blokken om te voorkomen dat ze eenvoudige reeksen gebruiken. Eenvoudige sequenties worden gecontroleerd in schuifvensters van 3 tekens. Als Blokkeren is geconfigureerd, wordt 1235 of 1112 niet geaccepteerd als pincode die is ingesteld door de eindgebruiker, maar is 1122 toegestaan. Standaardwaarde = Toestaan Notitie: Als pincode voor wachtwoordcode is geconfigureerd en Eenvoudige pincode is ingesteld op Toestaan, heeft de gebruiker ten minste één letter of ten minste één speciaal teken in de pincode nodig. Als pincode voor wachtwoordcode is geconfigureerd en Eenvoudige pincode is ingesteld op Blokkeren, heeft de gebruiker ten minste één cijfer en één letter en ten minste één speciaal teken in de pincode nodig. |
|
Geef het minimale aantal cijfers in een pincodereeks op. Standaardwaarde = 4 |
|
Selecteer Toestaan om de gebruiker toe te staan biometrische gegevens te gebruiken om gebruikers op Android-apparaten te verifiëren. Indien toegestaan, wordt biometrische gegevens gebruikt voor toegang tot de app op Android 10 of hoger. |
|
Als u deze instelling wilt gebruiken, selecteert u Vereisen en configureert u vervolgens een time-out voor inactiviteit. Standaardwaarde = Vereisen |
|
Geef een tijd op in minuten waarna een wachtwoordcode of een numerieke pincode (zoals geconfigureerd) het gebruik van een biometrische waarde overschrijft. Deze time-outwaarde moet groter zijn dan de waarde die is opgegeven onder 'De toegangsvereisten opnieuw controleren na (minuten van inactiviteit)'. Standaardwaarde = 30 |
|
Selecteer Vereisen om te vereisen dat de gebruiker zich aanmeldt met biometrische gegevens van klasse 3. Zie Biometrie in de documentatie van Google voor meer informatie over biometrie van klasse 3. |
|
Selecteer Vereisen om het gebruik van biometrie met pincode te overschrijven wanneer een wijziging in de biometrie wordt gedetecteerd.
OPMERKING: |
|
Selecteer Ja om gebruikers te verplichten hun app-pincode te wijzigen na een ingestelde periode, in dagen. Wanneer deze optie is ingesteld op Ja, configureert u het aantal dagen voordat de pincode opnieuw moet worden ingesteld. Standaardwaarde = Nee |
|
Configureer het aantal dagen voordat het opnieuw instellen van de pincode is vereist. Standaardwaarde = 90 |
|
Met deze instelling geeft u het aantal eerdere pincodes op dat Intune wilt onderhouden. Nieuwe pincodes moeten verschillen van de pincodes die Intune onderhoudt. Standaardwaarde = 0 |
|
Selecteer Niet vereist om de pincode van de app uit te schakelen wanneer een apparaatvergrendeling wordt gedetecteerd op een ingeschreven apparaat met Bedrijfsportal geconfigureerd. Standaardwaarde = Vereisen. |
Werk- of schoolaccountreferenties voor toegang | Kies Vereisen om te vereisen dat gebruikers zich aanmelden met hun werk- of schoolaccount in plaats van een pincode in te voeren voor app-toegang. Wanneer deze optie is ingesteld op Vereisen en pincode- of biometrische prompts zijn ingeschakeld, worden zowel bedrijfsreferenties als de pincode of biometrische prompts weergegeven. Standaardwaarde = Niet vereist |
Controleer de toegangsvereisten opnieuw na (minuten van inactiviteit) | Configureer de volgende instelling:
|
Opmerking
Zie voor meer informatie over hoe meerdere instellingen voor Intune app-beveiliging die zijn geconfigureerd in de sectie Toegang tot dezelfde set apps en gebruikers op Android, Intune MAM veelgestelde vragen en Gegevens selectief wissen met behulp van app-beveiligingsbeleid in Intune.
Voorwaardelijk starten
Configureer instellingen voor voorwaardelijk starten om beveiligingsvereisten voor aanmeldingen in te stellen voor uw app-beveiligingsbeleid.
Standaard worden verschillende instellingen geleverd met vooraf geconfigureerde waarden en acties. U kunt sommige instellingen verwijderen, zoals de minimale versie van het besturingssysteem. U kunt ook extra instellingen selecteren in de vervolgkeuzelijst Eén selecteren .
App-voorwaarden
Instelling | Procedure |
---|---|
Maximum aantal pincodepogingen | Geef het aantal pogingen op dat de gebruiker moet uitvoeren om de pincode in te voeren voordat de geconfigureerde actie wordt uitgevoerd. Als de gebruiker de pincode niet kan invoeren na het maximum aantal pincodepogingen, moet de gebruiker de pincode opnieuw instellen nadat deze zich heeft aangemeld bij het account en indien nodig een MFA-uitdaging (Multi-Factor Authentication) heeft voltooid. Deze indeling van de beleidsinstelling ondersteunt een positief geheel getal.
Acties zijn onder andere:
|
Offline respijtperiode | Het aantal minuten dat beheerde apps offline kunnen worden uitgevoerd. Geef de tijd op (in minuten) voordat de toegangsvereisten voor de app opnieuw worden gecontroleerd.
Acties zijn onder andere:
|
Minimale app-versie | Geef een waarde op voor de minimale waarde van de toepassingsversie.
Acties zijn onder andere:
Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt. Deze indeling van de beleidsinstelling ondersteunt major.minor, major.minor.build, major.minor.build.revision. Daarnaast kunt u configureren waar uw eindgebruikers een bijgewerkte versie van een LOB-app (Line-Of-Business) kunnen krijgen. Eindgebruikers zien dit in het dialoogvenster minimale versie voor voorwaardelijk starten van de app , waarin eindgebruikers worden gevraagd om bij te werken naar een minimale versie van de LOB-app. Op Android maakt deze functie gebruik van de Bedrijfsportal. Als u wilt configureren waar een eindgebruiker een LOB-app moet bijwerken, moet er een beheerd app-configuratiebeleid naar de app worden verzonden met de sleutel, com.microsoft.intune.myappstore . Met de verzonden waarde wordt gedefinieerd in welke store de eindgebruiker de app downloadt. Als de app wordt geïmplementeerd via de Bedrijfsportal, moet de waarde zijnCompanyPortal . Voor andere winkels moet u een volledige URL invoeren. |
Uitgeschakeld account | Er is geen waarde om in te stellen voor deze instelling.
Acties zijn onder andere:
|
Niet-werktijd | Er is geen waarde om in te stellen voor deze instelling.
Acties zijn onder andere:
De volgende apps ondersteunen deze functie met Bedrijfsportal v5.0.5849.0 of hoger:
|
Apparaatvoorwaarden
Instelling | Procedure |
---|---|
Gekraakte/geroote apparaten | Geef op of u de toegang tot het apparaat wilt blokkeren of de apparaatgegevens wilt wissen voor gekraakte/geroote apparaten.
Acties zijn onder andere:
|
Minimale versie van het besturingssysteem | Geef een minimaal Android-besturingssysteem op dat is vereist voor het gebruik van deze app. Besturingssysteemversies onder de opgegeven minimale versie van het besturingssysteem activeren de acties.
Acties zijn onder andere:
|
Maximale versie van het besturingssysteem | Geef een maximaal Android-besturingssysteem op dat is vereist voor het gebruik van deze app. Besturingssysteemversies onder de opgegeven maximale versie van het besturingssysteem activeren de acties.
Acties zijn onder andere:
|
Minimale patchversie | Vereisen dat op apparaten een minimale Android-beveiligingspatch is uitgebracht door Google.
|
Apparaatfabrikant(s) | Geef een door puntkomma's gescheiden lijst met fabrikanten op. Deze waarden zijn niet hoofdlettergevoelig.
Acties zijn onder andere:
|
Beoordeling van afspeelintegriteit | App-beveiliging beleid ondersteunt sommige google play integriteits-API's. Met deze instelling wordt met name de play-integriteitscontrole van Google op apparaten van eindgebruikers geconfigureerd om de integriteit van die apparaten te valideren. Geef Basisintegriteit of Basisintegriteit en apparaatintegriteit op. Basisintegriteit vertelt u over de algemene integriteit van het apparaat. Geroote apparaten, emulators, virtuele apparaten en apparaten met tekenen van manipulatie mislukken de basisintegriteit. Basisintegriteit & gecertificeerde apparaten vertelt u over de compatibiliteit van het apparaat met de services van Google. Alleen niet-gewijzigde apparaten die door Google zijn gecertificeerd, kunnen deze controle doorstaan. Als u Integriteitsbeoordeling afspelen selecteert als vereist voor voorwaardelijke start, kunt u opgeven dat een sterke integriteitscontrole wordt gebruikt als evaluatietype. De aanwezigheid van een sterke integriteitscontrole als het evaluatietype wijst op een grotere integriteit van een apparaat. Apparaten die geen ondersteuning bieden voor sterke integriteitscontroles, worden geblokkeerd door het MAM-beleid als ze met deze instelling zijn gericht. De sterke integriteitscontrole biedt een krachtigere basisdetectie als reactie op nieuwere typen rooting-hulpprogramma's en methoden die niet altijd betrouwbaar kunnen worden gedetecteerd door een softwareoplossing. In APP wordt hardware attestation ingeschakeld door het beoordelingstype Voor integriteitsbeoordeling afspelen in te stellen op Sterke integriteit controleren zodra play-integriteitsbeoordeling is geconfigureerd en vereist SafetyNet-evaluatietype op sterke integriteitscontrole zodra apparaatintegriteitscontrole is geconfigureerd. Attestation met hardware-ondersteuning maakt gebruik van een hardware-onderdeel dat wordt geleverd met apparaten die zijn geïnstalleerd met Android 8.1 en hoger. Apparaten die zijn geüpgraded van een oudere versie van Android naar Android 8.1 hebben waarschijnlijk niet de hardwareonderdelen die nodig zijn voor attestation met hardware-ondersteuning. Hoewel deze instelling breed moet worden ondersteund vanaf apparaten die zijn geleverd met Android 8.1, raadt Microsoft ten zeerste aan om apparaten afzonderlijk te testen voordat deze beleidsinstelling algemeen wordt ingeschakeld. Belangrijk: Apparaten die dit evaluatietype niet ondersteunen, worden geblokkeerd of gewist op basis van de actie Apparaatintegriteitscontrole. Organisaties die deze functionaliteit willen gebruiken, moeten ervoor zorgen dat gebruikers ondersteunde apparaten hebben. Zie Aanbevolen vereisten voor Android Enterprise voor meer informatie over de aanbevolen apparaten van Google.
Acties zijn onder andere:
|
Bedreigingsscan voor apps vereisen | App-beveiliging beleid ondersteunt sommige VAN de API's van Google Play Protect. Deze instelling zorgt er met name voor dat google's Verify Apps-scan is ingeschakeld voor apparaten van eindgebruikers. Als deze is geconfigureerd, wordt de toegang van de eindgebruiker geblokkeerd totdat de app-scan van Google op zijn Android-apparaat wordt ingeschakeld.
Acties zijn onder andere:
|
Vereist SafetyNet-evaluatietype | Attestation met hardware-ondersteuning verbetert de bestaande SafetyNet Attestation-servicecontrole. U kunt de waarde instellen op Sleutel met hardware-ondersteuning na het instellen van SafteyNet-apparaatattest. |
Apparaatvergrendeling vereisen | Met deze instelling wordt bepaald of het Android-apparaat een apparaatpincode heeft die voldoet aan de minimale wachtwoordvereiste. Het App-beveiliging-beleid kan actie ondernemen als de apparaatvergrendeling niet voldoet aan de minimale wachtwoordvereiste.
Waarden zijn onder andere:
Deze complexiteitswaarde is gericht op Android 12+. Voor apparaten die werken met Android 11 en eerder, wordt het instellen van een complexiteitswaarde van laag, gemiddeld of hoog standaard ingesteld op het verwachte gedrag voor Lage complexiteit. Zie de documentatie voor ontwikkelaars van Google getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM en PASSWORD_COMPLEXITY_HIGH voor meer informatie.
Acties zijn onder andere:
|
Minimale versie van Bedrijfsportal | Met de minimale Bedrijfsportal-versie kunt u een specifieke minimaal gedefinieerde versie van de Bedrijfsportal opgeven die wordt afgedwongen op een apparaat van de eindgebruiker. Met deze instelling voor voorwaardelijk starten kunt u waarden instellen op Toegang blokkeren, Gegevens wissen en Waarschuwen als mogelijke acties wanneer niet aan elke waarde wordt voldaan. De mogelijke notaties voor deze waarde volgen het patroon [Major].[ Minor], [Major].[ Minderjarig]. [Build] of [Primaire].[ Minderjarig]. [Build]. [Revisie]. Aangezien sommige eindgebruikers niet de voorkeur geven aan een geforceerde update van apps ter plaatse, is de optie 'waarschuwen' mogelijk ideaal bij het configureren van deze instelling. De Google Play Store doet er goed aan alleen de deltabytes voor app-updates te verzenden, maar dit kan nog steeds een grote hoeveelheid gegevens zijn die de gebruiker mogelijk niet wil gebruiken als deze zich op gegevens bevinden op het moment van de update. Het afdwingen van een update en het downloaden van een bijgewerkte app kan leiden tot onverwachte gegevenskosten op het moment van de update. Zie Android-beleidsinstellingen voor meer informatie. |
Max Bedrijfsportal versieleeftijd (dagen) | U kunt een maximum aantal dagen instellen als de leeftijd van de versie Bedrijfsportal (CP) voor Android-apparaten. Deze instelling zorgt ervoor dat eindgebruikers zich binnen een bepaald bereik van CP-releases (in dagen) bevinden. De waarde moet tussen 0 en 365 dagen zijn. Wanneer niet aan de instelling voor de apparaten wordt voldaan, wordt de actie voor deze instelling geactiveerd. Acties zijn onder andere Toegang blokkeren, Gegevens wissen of Waarschuwen. Zie Android-beleidsinstellingen voor gerelateerde informatie. Notitie: De leeftijd van de Bedrijfsportal build wordt bepaald door Google Play op het apparaat van de eindgebruiker. |
Samsung Knox-apparaatverklaring | Geef op of de Attestation-controle van Samsung Knox-apparaten is vereist. Alleen niet-gewijzigde apparaten die door Samsung zijn geverifieerd, kunnen deze controle doorstaan. Zie samsungknox.com voor de lijst met ondersteunde apparaten. Door deze instelling te gebruiken, controleert Microsoft Intune ook of de communicatie van de Bedrijfsportal naar de Intune Service is verzonden vanaf een goed apparaat. Acties zijn onder andere:
Notitie: De gebruiker moet de Voorwaarden van Samsung Knox accepteren voordat de apparaatverklaringscontrole kan worden uitgevoerd. Als de gebruiker de Samsung Knox-voorwaarden niet accepteert, wordt de opgegeven actie uitgevoerd. Notitie: Deze instelling is van toepassing op alle doelapparaten. Als u deze instelling alleen wilt toepassen op Samsung-apparaten, kunt u toewijzingsfilters voor beheerde apps gebruiken. Zie Filters gebruiken bij het toewijzen van uw apps, beleid en profielen in Microsoft Intune voor meer informatie over toewijzingsfilters. |
Maximaal toegestaan bedreigingsniveau voor apparaten | App-beveiliging-beleidsregels kunnen gebruikmaken van de Intune-MTD-connector. Geef een maximaal bedreigingsniveau op dat acceptabel is voor het gebruik van deze app. Bedreigingen worden bepaald door de door u gekozen MTD-leverancier-app (Mobile Threat Defense) op het apparaat van de eindgebruiker. Geef beveiligd, Laag, Gemiddeld of Hoog op.
Beveiligd vereist geen bedreigingen op het apparaat en is de meest beperkende configureerbare waarde, terwijl High in wezen een actieve Intune-naar-MTD-verbinding vereist.
Acties zijn onder andere:
|
Primaire MTD-service | Als u meerdere Intune-MTD-connectors hebt geconfigureerd, geeft u de primaire MTD-leverancier-app op die moet worden gebruikt op het apparaat van de eindgebruiker.
Waarden zijn onder andere:
U moet de instelling 'Maximaal toegestaan bedreigingsniveau apparaat' configureren om deze instelling te gebruiken. Er zijn geen acties voor deze instelling. |