Share via


Beveiligingsbeleidsinstellingen voor Android-apps in Microsoft Intune

In dit artikel worden de instellingen voor het app-beveiligingsbeleid voor Android-apparaten beschreven. De beleidsinstellingen die worden beschreven, kunnen worden geconfigureerd voor een app-beveiligingsbeleid in het deelvenster Instellingen in de portal. Er zijn drie categorieën beleidsinstellingen: instellingen voor gegevensbeveiliging, toegangsvereisten en voorwaardelijk starten. In dit artikel verwijst de term door beleid beheerde apps naar apps die zijn geconfigureerd met app-beveiligingsbeleid.

Belangrijk

De Intune-bedrijfsportal is vereist op het apparaat om app-beveiligingsbeleid voor Android-apparaten te ontvangen.

De Intune Managed Browser is buiten gebruik gesteld. Gebruik Microsoft Edge voor uw beveiligde Intune browserervaring.

Gegevensbescherming

Gegevensoverdracht

Instelling Procedure Standaardwaarde
Back-up van organisatiegegevens maken naar Back-upservices voor Android Selecteer Blokkeren om te voorkomen dat deze app een back-up maakt van werk- of schoolgegevens naar de Android Backup-service.

Selecteer Toestaan om toe te staan dat deze app een back-up maakt van werk- of schoolgegevens.
Toestaan
Organisatiegegevens verzenden naar andere apps Geef op welke apps gegevens van deze app kunnen ontvangen:
  • Door beleid beheerde apps: alleen overdracht naar andere door beleid beheerde apps toestaan.
  • Alle apps: Overdracht naar elke app toestaan.
  • Geen: geen gegevensoverdracht naar een app toestaan, inclusief andere door beleid beheerde apps.

Er zijn enkele vrijgestelde apps en services waarnaar Intune standaard gegevensoverdracht toestaan. Daarnaast kunt u uw eigen uitzonderingen maken als u wilt toestaan dat gegevens worden overgedragen naar een app die geen ondersteuning biedt voor Intune APP. Zie Uitzonderingen voor gegevensoverdracht voor meer informatie.

Dit beleid kan ook van toepassing zijn op Android-appkoppelingen. Algemene webkoppelingen worden beheerd door de beleidsinstelling App-koppelingen openen in Intune Managed Browser.

Opmerking

Intune biedt momenteel geen ondersteuning voor de functie Android Instant Apps. Intune blokkeert elke gegevensverbinding van of naar de app. Zie Android Instant Apps in de documentatie voor Android-ontwikkelaars voor meer informatie.

Als Organisatiegegevens verzenden naar andere apps is geconfigureerd voor Alle apps, kunnen tekstgegevens nog steeds via het delen van het besturingssysteem naar het Klembord worden overgebracht.

Alle apps
    Apps selecteren die u wilt uitsluiten
Deze optie is beschikbaar wanneer u Door beleid beheerde apps selecteert voor de vorige optie.
    Kopieën van organisatiegegevens opslaan
Kies Blokkeren om het gebruik van de optie Opslaan als in deze app uit te schakelen. Kies Toestaan als u het gebruik van Opslaan als wilt toestaan. Wanneer deze optie is ingesteld op Blokkeren, kunt u de instelling Gebruiker toestaan kopieën op te slaan naar geselecteerde services configureren.

Opmerking:
  • Deze instelling wordt ondersteund voor Microsoft Excel, OneNote, PowerPoint, Word en Edge. Het kan ook worden ondersteund door externe en LOB-apps.
  • Deze instelling kan alleen worden geconfigureerd wanneer de instelling Organisatiegegevens naar andere apps verzenden is ingesteld op Door beleid beheerde apps.
  • Deze instelling is 'Toestaan' wanneer de instelling Organisatiegegevens naar andere apps verzenden is ingesteld op Alle apps.
  • Deze instelling is Blokkeren zonder toegestane servicelocaties wanneer de instelling Organisatiegegevens naar andere apps verzenden is ingesteld op Geen.
  • Met deze instelling worden bestanden als versleuteld opgeslagen als Organisatiegegevens versleutelen is ingesteld op Vereisen.
Toestaan
      Gebruiker toestaan kopieën op te slaan naar geselecteerde services
Gebruikers kunnen opslaan in de geselecteerde services (OneDrive voor Bedrijven, SharePoint, Fotobibliotheek, Box en Lokale opslag). Alle andere services worden geblokkeerd. 0 geselecteerd
    Telecommunicatiegegevens overdragen naar
Wanneer een gebruiker een telefoonnummer met hyperlinks selecteert in een app, wordt een kiezer-app geopend met het telefoonnummer dat vooraf is ingevuld en klaar is om te bellen. Kies voor deze instelling hoe u dit type inhoudsoverdracht wilt afhandelen wanneer deze wordt gestart vanuit een door beleid beheerde app:
  • Geen, deze gegevens niet overdragen tussen apps: breng geen communicatiegegevens over wanneer een telefoonnummer wordt gedetecteerd.
  • Een specifieke kiezer-app: Een specifieke kiezer-app toestaan om contact te initiëren wanneer een telefoonnummer wordt gedetecteerd.
  • Elke door beleid beheerde kiezer-app: sta elke door beleid beheerde kiezer-app toe om contact te initiëren wanneer een telefoonnummer wordt gedetecteerd.
  • Elke kiezer-app: toestaan dat een kiezer-app wordt gebruikt om contact te initiëren wanneer een telefoonnummer wordt gedetecteerd.
Elke kiezer-app
      Pakket-id van kiezer-app
Wanneer een specifieke kiezer-app is geselecteerd, moet u de app-pakket-id opgeven. Blanco
      Naam van kiezer-app
Wanneer een specifieke kiezer-app is geselecteerd, moet u de naam van de kiezer-app opgeven. Blanco
    Berichtengegevens overdragen naar
Wanneer een gebruiker een telefoonnummer met hyperlinks selecteert in een app, wordt een kiezer-app geopend met het telefoonnummer dat vooraf is ingevuld en klaar is om te bellen. Kies voor deze instelling hoe u dit type inhoudsoverdracht wilt afhandelen wanneer deze wordt gestart vanuit een door beleid beheerde app. Kies voor deze instelling hoe u dit type inhoudsoverdracht wilt afhandelen wanneer deze wordt gestart vanuit een door beleid beheerde app:
  • Geen, deze gegevens niet overdragen tussen apps: breng geen communicatiegegevens over wanneer een telefoonnummer wordt gedetecteerd.
  • Een specifieke berichten-app: toestaan dat een specifieke berichten-app wordt gebruikt om contact te initiëren wanneer een telefoonnummer wordt gedetecteerd.
  • Elke door beleid beheerde berichten-app: toestaan dat een door beleid beheerde berichten-app wordt gebruikt om contact te initiëren wanneer een telefoonnummer wordt gedetecteerd.
  • Elke berichten-app: toestaan dat een berichten-app wordt gebruikt om contact te initiëren wanneer een telefoonnummer wordt gedetecteerd.
Elke berichten-app
      Pakket-id van berichten-app
Wanneer een specifieke berichten-app is geselecteerd, moet u de app-pakket-id opgeven. Blanco
      Naam van berichten-app
Wanneer een specifieke berichten-app is geselecteerd, moet u de naam van de berichten-app opgeven. Blanco
Gegevens ontvangen van andere apps Geef op welke apps gegevens naar deze app kunnen overdragen:
  • Door beleid beheerde apps: alleen overdracht van andere door beleid beheerde apps toestaan.
  • Alle apps: gegevensoverdracht vanuit elke app toestaan.
  • Geen: geen gegevensoverdracht toestaan vanuit een app, inclusief andere door beleid beheerde apps.

Er zijn enkele vrijgestelde apps en services van waaruit Intune gegevensoverdracht kan toestaan. Zie Uitzonderingen voor gegevensoverdracht voor een volledige lijst met apps en services.

Alle apps
    Gegevens openen in organisatiedocumenten
Selecteer Blokkeren om het gebruik van de optie Openen of andere opties voor het delen van gegevens tussen accounts in deze app uit te schakelen. Selecteer Toestaan als u het gebruik van Openen wilt toestaan.

Wanneer deze optie is ingesteld op Blokkeren , kunt u toestaan dat gebruiker gegevens opent vanuit geselecteerde services configureren naar specifieke services die zijn toegestaan voor organisatiegegevenslocaties.

Opmerking:
  • Deze instelling kan alleen worden geconfigureerd wanneer de instelling Gegevens ontvangen van andere apps is ingesteld op Door beleid beheerde apps.
  • Deze instelling is 'Toestaan' wanneer de instelling Gegevens ontvangen van andere apps is ingesteld op Alle apps.
  • Deze instelling is 'Blokkeren' zonder toegestane servicelocaties wanneer de instelling Gegevens ontvangen van andere apps is ingesteld op Geen.
  • De volgende apps ondersteunen deze instelling:
    • OneDrive 6.14.1 of hoger.
    • Outlook voor Android 4.2039.2 of hoger.
    • Teams voor Android 1416/1.0.0.2021173701 of hoger.


Toestaan
      Gebruikers toestaan gegevens te openen vanuit geselecteerde services
Selecteer de toepassingsopslagservices waaruit gebruikers gegevens kunnen openen. Alle andere services worden geblokkeerd. Als u geen services selecteert, kunnen gebruikers geen gegevens openen.

Ondersteunde services:
  • OneDrive voor Bedrijven
  • SharePoint Online
  • Camera
  • Fotobibliotheek
Notitie: Camera biedt geen toegang tot Foto's of Fotogalerie. Wanneer u Fotobibliotheek selecteert (inclusief het hulpprogramma Fotokiezer van Android) in de instelling Gebruikers toestaan gegevens te openen vanuit geselecteerde services in Intune, kunt u beheerde accounts toestaan om binnenkomende afbeeldingen/video's van de lokale opslag van hun apparaat naar hun beheerde apps toe te staan.
Alles geselecteerd
Knippen, kopiëren en plakken tussen andere apps beperken Geef op wanneer knip-, kopieer- en plakacties kunnen worden gebruikt met deze app. Kies uit:
  • Geblokkeerd: Knip-, kopieer- en plakbewerkingen tussen deze app en andere apps zijn niet toegestaan.
  • Door beleid beheerde apps: Knip-, kopieer- en plakacties toestaan tussen deze app en andere door beleid beheerde apps.
  • Beleid beheerd met plakken in: Knippen of kopiëren tussen deze app en andere door beleid beheerde apps toestaan. Toestaan dat gegevens van een app in deze app worden geplakt.
  • Elke app: geen beperkingen voor knippen, kopiëren en plakken van en naar deze app.
Elke app
    Tekenlimiet knippen en kopiëren voor elke app
Geef het aantal tekens op dat mag worden geknipt of gekopieerd uit organisatiegegevens en -accounts. Hierdoor kan het opgegeven aantal tekens worden gedeeld wanneer dit anders wordt geblokkeerd door de instelling Knippen, kopiëren en plakken met andere apps beperken.

Standaardwaarde = 0

Opmerking: vereist Intune-bedrijfsportal versie 5.0.4364.0 of hoger.

0
Schermopname en Google-assistent Selecteer Blokkeren om schermopname te blokkeren, Circle te blokkeren voor Zoeken en toegang tot organisatiegegevens op het apparaat te blokkeren wanneer u deze app gebruikt. Als u Blokkeren kiest, wordt ook de voorbeeldafbeelding van app-switcher vervaagd wanneer u deze app gebruikt met een werk- of schoolaccount.

Opmerking: Google Assistant is mogelijk toegankelijk voor gebruikers voor scenario's die geen toegang hebben tot organisatiegegevens.

Blokkeren
Goedgekeurde toetsenborden Selecteer Vereisen en geef vervolgens een lijst met goedgekeurde toetsenborden op voor dit beleid.

Gebruikers die geen goedgekeurd toetsenbord gebruiken, ontvangen een prompt om een goedgekeurd toetsenbord te downloaden en te installeren voordat ze de beveiligde app kunnen gebruiken. Voor deze instelling moet de app beschikken over de Intune SDK voor Android versie 6.2.0 of hoger.

Niet vereist
    Toetsenborden selecteren om goed te keuren
Deze optie is beschikbaar wanneer u Vereisen selecteert voor de vorige optie. Kies Selecteren om de lijst met toetsenborden en invoermethoden te beheren die kunnen worden gebruikt met apps die door dit beleid worden beveiligd. U kunt extra toetsenborden toevoegen aan de lijst en een van de standaardopties verwijderen. U moet ten minste één goedgekeurd toetsenbord hebben om de instelling op te slaan. In de loop van de tijd kan Microsoft extra toetsenborden toevoegen aan de lijst voor nieuw app-beveiligingsbeleid, waardoor beheerders bestaande beleidsregels zo nodig moeten controleren en bijwerken.

Als u een toetsenbord wilt toevoegen, geeft u het volgende op:

  • Naam: een beschrijvende naam die het toetsenbord identificeert en zichtbaar is voor de gebruiker.
  • Pakket-id: de pakket-id van de app in de Google Play Store. Als de URL voor de app in de Play Store bijvoorbeeld is, is https://play.google.com/store/details?id=com.contoskeyboard.android.prodcom.contosokeyboard.android.prodde pakket-id . Deze pakket-id wordt aan de gebruiker gepresenteerd als een eenvoudige koppeling om het toetsenbord te downloaden van Google Play.

Notitie: Een gebruiker waaraan meerdere app-beveiligingsbeleidsregels zijn toegewezen, mag alleen de goedgekeurde toetsenborden gebruiken die voor alle beleidsregels gelden.

Versleuteling

Instelling Procedure Standaardwaarde
Organisatiegegevens versleutelen Kies Vereisen om versleuteling van werk- of schoolgegevens in deze app in te schakelen. Intune maakt gebruik van een wolfSSL, 256-bits AES-versleutelingsschema samen met het Android Keystore-systeem om app-gegevens veilig te versleutelen. Gegevens worden synchroon versleuteld tijdens I/O-taken van bestanden. Inhoud op de apparaatopslag is altijd versleuteld en kan alleen worden geopend door apps die het app-beveiligingsbeleid van Intune ondersteunen en waaraan beleid is toegewezen. Nieuwe bestanden worden versleuteld met 256-bits sleutels. Bestaande 128-bits versleutelde bestanden ondergaan een migratiepoging naar 256-bits sleutels, maar het proces is niet gegarandeerd. Bestanden die zijn versleuteld met 128-bits sleutels blijven leesbaar.

De versleutelingsmethode is FIPS 140-2 gevalideerd; Zie wolfCrypt FIPS 140-2 en FIPS 140-3 voor meer informatie.
Vereisen
    Organisatiegegevens versleutelen op ingeschreven apparaten
Selecteer Vereisen om het versleutelen van organisatiegegevens af te dwingen met Intune app-laagversleuteling op alle apparaten. Selecteer Niet vereist om geen versleuteling van organisatiegegevens af te dwingen met Intune app-laagversleuteling op ingeschreven apparaten. Vereisen

Functionaliteit

Instelling Procedure Standaardwaarde
Door beleid beheerde app-gegevens synchroniseren met systeemeigen apps of invoegtoepassingen Kies Blokkeren om te voorkomen dat door beleid beheerde apps gegevens opslaan in de systeemeigen apps van het apparaat (contactpersonen, agenda en widgets) en om het gebruik van invoegtoepassingen in de door beleid beheerde apps te voorkomen. Als deze niet wordt ondersteund door de toepassing, is het opslaan van gegevens in systeemeigen apps en het gebruik van invoegtoepassingen toegestaan.

Als u Toestaan kiest, kan de door beleid beheerde app gegevens opslaan in de systeemeigen apps of invoegtoepassingen gebruiken, als deze functies worden ondersteund en ingeschakeld in de door beleid beheerde app.

Toepassingen kunnen aanvullende besturingselementen bieden om het gedrag van gegevenssynchronisatie aan te passen aan specifieke systeemeigen apps of deze controle niet na te komen.

Opmerking: wanneer u selectief wist om werk- of schoolgegevens uit de app te verwijderen, worden gegevens die rechtstreeks vanuit de door beleid beheerde app met de systeemeigen app zijn gesynchroniseerd, verwijderd. Gegevens die vanuit de systeemeigen app naar een andere externe bron zijn gesynchroniseerd, worden niet gewist.

Opmerking: de volgende apps ondersteunen deze functie:
Toestaan
Organisatiegegevens afdrukken Kies Blokkeren om te voorkomen dat de app werk- of schoolgegevens afdrukt. Als u deze instelling op Toestaan, de standaardwaarde, laat staan, kunnen gebruikers alle organisatiegegevens exporteren en afdrukken. Toestaan
Overdracht van webinhoud met andere apps beperken Geef op hoe webinhoud (http/https-koppelingen) wordt geopend vanuit door beleid beheerde toepassingen. Kies uit:
  • Elke app: webkoppelingen in elke app toestaan.
  • Intune Managed Browser: webinhoud mag alleen in de Intune Managed Browser worden geopend. Deze browser is een door beleid beheerde browser.
  • Microsoft Edge: webinhoud mag alleen worden geopend in Microsoft Edge. Deze browser is een door beleid beheerde browser.
  • Niet-beheerde browser: webinhoud mag alleen worden geopend in de onbeheerde browser die is gedefinieerd door de protocolinstelling onbeheerde browser . De webinhoud wordt niet beheerd in de doelbrowser.
    Opmerking: vereist Intune-bedrijfsportal versie 5.0.4415.0 of hoger.


  • Door beleid beheerde browsers
    Op Android kunnen uw eindgebruikers kiezen uit andere door beleid beheerde apps die http/https-koppelingen ondersteunen als er geen Intune Managed Browser of Microsoft Edge is geïnstalleerd.

    Als een door beleid beheerde browser is vereist, maar niet is geïnstalleerd, wordt uw eindgebruikers gevraagd microsoft Edge te installeren.

    Als een door beleid beheerde browser is vereist, worden Android-appkoppelingen beheerd door de beleidsinstelling App mag gegevens overdragen naar andere apps .

    Intune apparaatinschrijving
    Als u Intune gebruikt om uw apparaten te beheren, raadpleegt u Internettoegang beheren met beleid voor beheerde browsers met Microsoft Intune.

    Door beleid beheerde Microsoft Edge
    De Microsoft Edge-browser voor mobiele apparaten (iOS/iPadOS en Android) ondersteunt Intune app-beveiligingsbeleid. Gebruikers die zich aanmelden met hun zakelijke Microsoft Entra-accounts in de Microsoft Edge-browsertoepassing, worden beveiligd door Intune. De Microsoft Edge-browser integreert de APP SDK en ondersteunt al het bijbehorende beleid voor gegevensbescherming, met uitzondering van het voorkomen van:

    • Opslaan als: De Microsoft Edge-browser staat niet toe dat een gebruiker directe, in-app-verbindingen toevoegt aan cloudopslagproviders (zoals OneDrive).
    • Synchronisatie van contactpersonen: de Microsoft Edge-browser slaat niet op in systeemeigen lijsten met contactpersonen.
    Opmerking:de APP SDK kan niet bepalen of een doel-app een browser is. Op Android-apparaten zijn andere beheerde browser-apps die ondersteuning bieden voor de http/https-intentie toegestaan.
Niet geconfigureerd
    Niet-beheerde browser-id
Voer de toepassings-id in voor één browser. Webinhoud (http/https-koppelingen) van door beleid beheerde toepassingen wordt geopend in de opgegeven browser. De webinhoud wordt niet beheerd in de doelbrowser. Blanco
    Niet-beheerde browsernaam
Voer de toepassingsnaam in voor de browser die is gekoppeld aan de onbeheerde browser-id. Deze naam wordt weergegeven voor gebruikers als de opgegeven browser niet is geïnstalleerd. Blanco
Meldingen van organisatiegegevens Geef op hoeveel organisatiegegevens worden gedeeld via besturingssysteemmeldingen voor organisatieaccounts. Deze beleidsinstelling is van invloed op het lokale apparaat en eventuele verbonden apparaten, zoals wearables en slimme luidsprekers. Apps kunnen aanvullende besturingselementen bieden om het gedrag van meldingen aan te passen of kunnen ervoor kiezen om niet alle waarden na te komen. Selecteer uit:
  • Blokkeren: geen meldingen delen.
    • Als dit niet wordt ondersteund door de toepassing, worden meldingen toegestaan.
  • Organisatiegegevens blokkeren: deel geen organisatiegegevens in meldingen. Bijvoorbeeld 'U hebt nieuwe e-mail'; 'U hebt een vergadering'.
    • Als deze niet wordt ondersteund door de toepassing, worden meldingen geblokkeerd.
  • Toestaan: hiermee worden organisatiegegevens in de meldingen gedeeld

Opmerking: voor deze instelling is app-ondersteuning vereist:

  • Outlook voor Android 4.0.95 of hoger
  • Teams voor Android 1416/1.0.0.2020092202 of hoger.
Toestaan

Uitzonderingen voor gegevensoverdracht

Er zijn enkele vrijgestelde apps en platformservices die Intune app-beveiligingsbeleid gegevensoverdracht van en naar toestaan. Alle Intune beheerde apps op Android moeten bijvoorbeeld gegevens kunnen overdragen van en naar de Google Tekst-naar-spraak, zodat tekst van het scherm van uw mobiele apparaat hardop kan worden voorgelezen. Deze lijst is onderhevig aan wijzigingen en geeft de services en apps weer die nuttig worden geacht voor veilige productiviteit.

Volledige uitzonderingen

Deze apps en services zijn volledig toegestaan voor gegevensoverdracht van en naar door Intune beheerde apps.

App/servicenaam Beschrijving
com.android.phone Systeemeigen telefoon-app
com.android.vending Google Play Store
com.google.android.webview WebView, wat nodig is voor veel apps, waaronder Outlook.
com.android.webview Webweergave, die nodig is voor veel apps, waaronder Outlook.
com.google.android.tts Google Tekst-naar-spraak
com.android.providers.settings Android-systeeminstellingen
com.android.settings Android-systeeminstellingen
com.azure.authenticator Azure Authenticator-app, die in veel scenario's is vereist voor een geslaagde verificatie.
com.microsoft.windowsintune.companyportal Intune-bedrijfsportal
com.android.providers.contacts Systeemeigen app voor contactpersonen

Voorwaardelijke uitzonderingen

Deze apps en services zijn alleen toegestaan voor gegevensoverdracht van en naar Intune beheerde apps onder bepaalde voorwaarden.

App/servicenaam Beschrijving Uitzonderingsvoorwaarde
com.android.chrome Google Chrome Browser Chrome wordt gebruikt voor sommige WebView-onderdelen op Android 7.0+ en wordt nooit verborgen. De gegevensstroom van en naar de app is echter altijd beperkt.
com.skype.raider Skype De Skype-app is alleen toegestaan voor bepaalde acties die resulteren in een telefoongesprek.
com.android.providers.media Android-media-inhoudsprovider De media-inhoudsprovider is alleen toegestaan voor de beltoonselectieactie.
com.google.android.gms; com.google.android.gsf Google Play Services-pakketten Deze pakketten zijn toegestaan voor Google Cloud Messaging-acties, zoals pushmeldingen.
com.google.android.apps.maps Google Maps Adressen zijn toegestaan voor navigatie.
com.android.documentsui Android-documentkiezer Toegestaan bij het openen of maken van een bestand.
com.google.android.documentsui Android-documentkiezer (Android 10+) Toegestaan bij het openen of maken van een bestand.

Zie Uitzonderingen voor gegevensoverdrachtsbeleid voor apps voor meer informatie.

Toegangsvereisten

Instelling Procedure
Pincode voor toegang Selecteer Vereisen om een pincode te vereisen voor het gebruik van deze app. De gebruiker wordt gevraagd deze pincode in te stellen wanneer de app de eerste keer wordt uitgevoerd in een werk- of schoolcontext.

Standaardwaarde = Vereisen

U kunt de pincodesterkte configureren met behulp van de instellingen die beschikbaar zijn onder de sectie Pincode voor toegang.

Notitie: Eindgebruikers die toegang hebben tot de app, kunnen de pincode van de app opnieuw instellen. Deze instelling is in sommige gevallen mogelijk niet zichtbaar op Android-apparaten. Android-apparaten hebben een maximale beperking van vier beschikbare sneltoetsen. Wanneer het maximum is bereikt, moet de eindgebruiker persoonlijke snelkoppelingen verwijderen (of de snelkoppeling openen vanuit een andere beheerde app-weergave) om de snelkoppeling voor het opnieuw instellen van de app-pincode weer te geven. De eindgebruiker kan de snelkoppeling ook vastmaken aan de startpagina.

    Type pincode
Stel een vereiste in voor pincodes van het numerieke of wachtwoordcodetype voordat u toegang krijgt tot een app waarop app-beveiligingsbeleid is toegepast. Numerieke vereisten hebben alleen betrekking op getallen, terwijl een wachtwoordcode kan worden gedefinieerd met ten minste 1 alfabetische letter of ten minste 1 speciaal teken.

Standaardwaarde = Numeriek

Notitie: Speciale tekens die zijn toegestaan, zijn de speciale tekens en symbolen op het Engelse android-toetsenbord.
    Eenvoudige pincode
Selecteer Toestaan om gebruikers toe te staan eenvoudige pincodes te gebruiken, zoals 1234, 1111, abcd of aaaa. Selecteer Blokken om te voorkomen dat ze eenvoudige reeksen gebruiken. Eenvoudige sequenties worden gecontroleerd in schuifvensters van 3 tekens. Als Blokkeren is geconfigureerd, wordt 1235 of 1112 niet geaccepteerd als pincode die is ingesteld door de eindgebruiker, maar is 1122 toegestaan.

Standaardwaarde = Toestaan

Notitie: Als pincode voor wachtwoordcode is geconfigureerd en Eenvoudige pincode is ingesteld op Toestaan, heeft de gebruiker ten minste één letter of ten minste één speciaal teken in de pincode nodig. Als pincode voor wachtwoordcode is geconfigureerd en Eenvoudige pincode is ingesteld op Blokkeren, heeft de gebruiker ten minste één cijfer en één letter en ten minste één speciaal teken in de pincode nodig.
    Minimale lengte van pincode selecteren
Geef het minimale aantal cijfers in een pincodereeks op.

Standaardwaarde = 4
    Biometrische gegevens in plaats van pincode voor toegang
Selecteer Toestaan om de gebruiker toe te staan biometrische gegevens te gebruiken om gebruikers op Android-apparaten te verifiëren. Indien toegestaan, wordt biometrische gegevens gebruikt voor toegang tot de app op Android 10 of hoger.
    Biometrische gegevens overschrijven met pincode na time-out
Als u deze instelling wilt gebruiken, selecteert u Vereisen en configureert u vervolgens een time-out voor inactiviteit.

Standaardwaarde = Vereisen
      Time-out (minuten van inactiviteit)
Geef een tijd op in minuten waarna een wachtwoordcode of een numerieke pincode (zoals geconfigureerd) het gebruik van een biometrische waarde overschrijft. Deze time-outwaarde moet groter zijn dan de waarde die is opgegeven onder 'De toegangsvereisten opnieuw controleren na (minuten van inactiviteit)'.

Standaardwaarde = 30
    Biometrie klasse 3 (Android 9.0+)
Selecteer Vereisen om te vereisen dat de gebruiker zich aanmeldt met biometrische gegevens van klasse 3. Zie Biometrie in de documentatie van Google voor meer informatie over biometrie van klasse 3.
    Biometrische gegevens overschrijven met pincode na biometrische updates
Selecteer Vereisen om het gebruik van biometrie met pincode te overschrijven wanneer een wijziging in de biometrie wordt gedetecteerd.

OPMERKING:
Deze instelling wordt pas van kracht zodra een biometrische waarde is gebruikt voor toegang tot de app. Afhankelijk van de fabrikant van het Android-apparaat worden mogelijk niet alle vormen van biometrie ondersteund voor cryptografische bewerkingen. Momenteel worden cryptografische bewerkingen ondersteund voor elke biometrische waarde (bijvoorbeeld vingerafdruk, iris of gezicht) op het apparaat die voldoet aan de vereisten voor biometrie van klasse 3, zoals gedefinieerd in de Android-documentatie. Zie de BIOMETRIC_STRONG constante van de interface BiometricManager.Authenticators en de authenticate methode van de klasse BiometricPrompt . Mogelijk moet u contact opnemen met de fabrikant van uw apparaat om de apparaatspecifieke beperkingen te begrijpen.

    Pincode opnieuw instellen na een aantal dagen
Selecteer Ja om gebruikers te verplichten hun app-pincode te wijzigen na een ingestelde periode, in dagen.

Wanneer deze optie is ingesteld op Ja, configureert u het aantal dagen voordat de pincode opnieuw moet worden ingesteld.

Standaardwaarde = Nee
      Aantal dagen
Configureer het aantal dagen voordat het opnieuw instellen van de pincode is vereist.

Standaardwaarde = 90
    Selecteer het aantal vorige pincodewaarden dat u wilt onderhouden
Met deze instelling geeft u het aantal eerdere pincodes op dat Intune wilt onderhouden. Nieuwe pincodes moeten verschillen van de pincodes die Intune onderhoudt.

Standaardwaarde = 0
    App-pincode wanneer de apparaatpincode is ingesteld
Selecteer Niet vereist om de pincode van de app uit te schakelen wanneer een apparaatvergrendeling wordt gedetecteerd op een ingeschreven apparaat met Bedrijfsportal geconfigureerd.

Standaardwaarde = Vereisen.
Werk- of schoolaccountreferenties voor toegang Kies Vereisen om te vereisen dat gebruikers zich aanmelden met hun werk- of schoolaccount in plaats van een pincode in te voeren voor app-toegang. Wanneer deze optie is ingesteld op Vereisen en pincode- of biometrische prompts zijn ingeschakeld, worden zowel bedrijfsreferenties als de pincode of biometrische prompts weergegeven.

Standaardwaarde = Niet vereist
Controleer de toegangsvereisten opnieuw na (minuten van inactiviteit) Configureer de volgende instelling:
  • Time-out: dit is het aantal minuten voordat de toegangsvereisten (die eerder in het beleid zijn gedefinieerd) opnieuw worden aangevinkt. Een beheerder schakelt bijvoorbeeld pincode in en blokkeert geroote apparaten in het beleid, een gebruiker opent een Intune beheerde app, moet een pincode invoeren en moet de app gebruiken op een niet-geroot apparaat. Wanneer u deze instelling gebruikt, hoeft de gebruiker geen pincode in te voeren of een andere basisdetectiecontrole te ondergaan voor een door Intune beheerde app gedurende een periode die gelijk is aan de geconfigureerde waarde.

    Deze indeling van de beleidsinstelling ondersteunt een positief geheel getal.

    Standaardwaarde = 30 minuten

    Notitie: Op Android wordt de pincode gedeeld met alle Intune beheerde apps. De pincodetimer wordt opnieuw ingesteld zodra de app de voorgrond op het apparaat verlaat. De gebruiker hoeft geen pincode in te voeren voor een Intune beheerde app die de pincode deelt voor de duur van de time-out die in deze instelling is gedefinieerd.

Opmerking

Zie voor meer informatie over hoe meerdere instellingen voor Intune app-beveiliging die zijn geconfigureerd in de sectie Toegang tot dezelfde set apps en gebruikers op Android, Intune MAM veelgestelde vragen en Gegevens selectief wissen met behulp van app-beveiligingsbeleid in Intune.

Voorwaardelijk starten

Configureer instellingen voor voorwaardelijk starten om beveiligingsvereisten voor aanmeldingen in te stellen voor uw app-beveiligingsbeleid.

Standaard worden verschillende instellingen geleverd met vooraf geconfigureerde waarden en acties. U kunt sommige instellingen verwijderen, zoals de minimale versie van het besturingssysteem. U kunt ook extra instellingen selecteren in de vervolgkeuzelijst Eén selecteren .

App-voorwaarden

Instelling Procedure
Maximum aantal pincodepogingen Geef het aantal pogingen op dat de gebruiker moet uitvoeren om de pincode in te voeren voordat de geconfigureerde actie wordt uitgevoerd. Als de gebruiker de pincode niet kan invoeren na het maximum aantal pincodepogingen, moet de gebruiker de pincode opnieuw instellen nadat deze zich heeft aangemeld bij het account en indien nodig een MFA-uitdaging (Multi-Factor Authentication) heeft voltooid. Deze indeling van de beleidsinstelling ondersteunt een positief geheel getal.

Acties zijn onder andere:

  • Pincode opnieuw instellen : de gebruiker moet de pincode opnieuw instellen.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Standaardwaarde = 5
Offline respijtperiode Het aantal minuten dat beheerde apps offline kunnen worden uitgevoerd. Geef de tijd op (in minuten) voordat de toegangsvereisten voor de app opnieuw worden gecontroleerd.

Acties zijn onder andere:

  • Toegang blokkeren (minuten): het aantal minuten dat beheerde apps offline kunnen worden uitgevoerd. Geef de tijd op (in minuten) voordat de toegangsvereisten voor de app opnieuw worden gecontroleerd. Nadat deze periode is verstreken, vereist de app gebruikersverificatie om te Microsoft Entra ID, zodat de app kan blijven werken.

    Deze indeling van de beleidsinstelling ondersteunt een positief geheel getal.

    Standaardwaarde = 1440 minuten (24 uur)

    Notitie: Het configureren van de timer voor offline respijtperiode voor het blokkeren van toegang tot minder dan de standaardwaarde kan resulteren in frequentere gebruikersonderbrekingen wanneer het beleid wordt vernieuwd. Het kiezen van een waarde van minder dan 30 minuten wordt afgeraden, omdat dit kan leiden tot onderbrekingen van de gebruiker bij elke start of hervatting van de toepassing.
  • Gegevens wissen (dagen): nadat deze vele dagen (gedefinieerd door de beheerder) offline zijn uitgevoerd, moet de gebruiker verbinding maken met het netwerk en opnieuw verifiëren. Als de gebruiker zich heeft geverifieerd, kan deze toegang blijven krijgen tot de gegevens en wordt het offlineinterval opnieuw ingesteld. Als de gebruiker zich niet kan verifiëren, wordt het account en de gegevens van de gebruiker selectief gewist door de app. Zie Alleen zakelijke gegevens wissen uit door Intune beheerde apps voor meer informatie. Deze indeling van de beleidsinstelling ondersteunt een positief geheel getal.

    Standaardwaarde = 90 dagen
Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt.
Minimale app-versie Geef een waarde op voor de minimale waarde van de toepassingsversie.

Acties zijn onder andere:

  • Waarschuwing : de gebruiker ziet een melding als de app-versie op het apparaat niet voldoet aan de vereiste. Deze melding kan worden verwijderd.
  • Toegang blokkeren : de gebruiker wordt geblokkeerd voor toegang als de app-versie op het apparaat niet voldoet aan de vereiste.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Omdat apps vaak verschillende versiebeheerschema's hebben, maakt u een beleid met één minimale app-versie die is gericht op één app (bijvoorbeeld Outlook-versiebeleid).

Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt.

Deze indeling van de beleidsinstelling ondersteunt major.minor, major.minor.build, major.minor.build.revision.

Daarnaast kunt u configureren waar uw eindgebruikers een bijgewerkte versie van een LOB-app (Line-Of-Business) kunnen krijgen. Eindgebruikers zien dit in het dialoogvenster minimale versie voor voorwaardelijk starten van de app , waarin eindgebruikers worden gevraagd om bij te werken naar een minimale versie van de LOB-app. Op Android maakt deze functie gebruik van de Bedrijfsportal. Als u wilt configureren waar een eindgebruiker een LOB-app moet bijwerken, moet er een beheerd app-configuratiebeleid naar de app worden verzonden met de sleutel, com.microsoft.intune.myappstore. Met de verzonden waarde wordt gedefinieerd in welke store de eindgebruiker de app downloadt. Als de app wordt geïmplementeerd via de Bedrijfsportal, moet de waarde zijnCompanyPortal. Voor andere winkels moet u een volledige URL invoeren.
Uitgeschakeld account Er is geen waarde om in te stellen voor deze instelling.

Acties zijn onder andere:

  • Toegang blokkeren : de gebruiker is geblokkeerd omdat het account is uitgeschakeld.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Niet-werktijd Er is geen waarde om in te stellen voor deze instelling.

Acties zijn onder andere:

  • Toegang blokkeren : de gebruiker is geblokkeerd omdat het gebruikersaccount dat aan de toepassing is gekoppeld, zich in een niet-werkende tijd bevindt.
  • Waarschuwen : de gebruiker ziet een melding als het gebruikersaccount dat aan de toepassing is gekoppeld, zich in een niet-werkende tijd bevindt. De melding kan worden verwijderd.
Opmerking: deze instelling moet alleen worden geconfigureerd als de tenant is geïntegreerd met de Werktijd-API. Zie De toegang tot Microsoft Teams beperken wanneer frontlinemedewerkers buiten dienst zijn voor meer informatie over het integreren van deze instelling met de werktijd-API. Als u deze instelling configureert zonder te integreren met de Werktijd-API, kunnen accounts worden geblokkeerd vanwege een ontbrekende werktijdstatus voor het beheerde account dat is gekoppeld aan de toepassing.

De volgende apps ondersteunen deze functie met Bedrijfsportal v5.0.5849.0 of hoger:

  • Teams voor Android v1416/1.0.0.2023226005 (2023226050) of hoger
  • Edge voor Android v125.0.2535.96 of hoger

Apparaatvoorwaarden

Instelling Procedure
Gekraakte/geroote apparaten Geef op of u de toegang tot het apparaat wilt blokkeren of de apparaatgegevens wilt wissen voor gekraakte/geroote apparaten. Acties zijn onder andere:
  • Toegang blokkeren : voorkom dat deze app wordt uitgevoerd op gekraakte of geroote apparaten. De gebruiker kan deze app nog steeds gebruiken voor persoonlijke taken, maar moet een ander apparaat gebruiken om toegang te krijgen tot werk- of schoolgegevens in deze app.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Minimale versie van het besturingssysteem Geef een minimaal Android-besturingssysteem op dat is vereist voor het gebruik van deze app. Besturingssysteemversies onder de opgegeven minimale versie van het besturingssysteem activeren de acties. Acties zijn onder andere:
  • Waarschuwing : de gebruiker krijgt een melding te zien als de Android-versie op het apparaat niet voldoet aan de vereiste. Deze melding kan worden verwijderd.
  • Toegang blokkeren : de gebruiker krijgt geen toegang als de Android-versie op het apparaat niet aan deze vereiste voldoet.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Deze indeling van de beleidsinstelling ondersteunt major.minor, major.minor.build, major.minor.build.revision.
Maximale versie van het besturingssysteem Geef een maximaal Android-besturingssysteem op dat is vereist voor het gebruik van deze app. Besturingssysteemversies onder de opgegeven maximale versie van het besturingssysteem activeren de acties. Acties zijn onder andere:
  • Waarschuwing : de gebruiker krijgt een melding te zien als de Android-versie op het apparaat niet voldoet aan de vereiste. Deze melding kan worden verwijderd.
  • Toegang blokkeren : de gebruiker krijgt geen toegang als de Android-versie op het apparaat niet aan deze vereiste voldoet.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Deze indeling van de beleidsinstelling ondersteunt major.minor, major.minor.build, major.minor.build.revision.
Minimale patchversie Vereisen dat op apparaten een minimale Android-beveiligingspatch is uitgebracht door Google.
  • Waarschuwing : de gebruiker krijgt een melding te zien als de Android-versie op het apparaat niet voldoet aan de vereiste. Deze melding kan worden verwijderd.
  • Toegang blokkeren : de gebruiker krijgt geen toegang als de Android-versie op het apparaat niet aan deze vereiste voldoet.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Deze beleidsinstelling ondersteunt de datumnotatie van JJJJ-MM-DD.
Apparaatfabrikant(s) Geef een door puntkomma's gescheiden lijst met fabrikanten op. Deze waarden zijn niet hoofdlettergevoelig. Acties zijn onder andere:
  • Opgegeven toestaan (niet-opgegeven blokkeren): alleen apparaten die overeenkomen met de opgegeven fabrikant kunnen de app gebruiken. Alle andere apparaten worden geblokkeerd.
  • Opgegeven toestaan (wissen niet-opgegeven): het gebruikersaccount dat is gekoppeld aan de toepassing, wordt gewist van het apparaat.
Zie Acties voor voorwaardelijk starten voor meer informatie over het gebruik van deze instelling.
Beoordeling van afspeelintegriteit App-beveiliging beleid ondersteunt sommige google play integriteits-API's. Met deze instelling wordt met name de play-integriteitscontrole van Google op apparaten van eindgebruikers geconfigureerd om de integriteit van die apparaten te valideren. Geef Basisintegriteit of Basisintegriteit en apparaatintegriteit op.

Basisintegriteit vertelt u over de algemene integriteit van het apparaat. Geroote apparaten, emulators, virtuele apparaten en apparaten met tekenen van manipulatie mislukken de basisintegriteit. Basisintegriteit & gecertificeerde apparaten vertelt u over de compatibiliteit van het apparaat met de services van Google. Alleen niet-gewijzigde apparaten die door Google zijn gecertificeerd, kunnen deze controle doorstaan.

Als u Integriteitsbeoordeling afspelen selecteert als vereist voor voorwaardelijke start, kunt u opgeven dat een sterke integriteitscontrole wordt gebruikt als evaluatietype. De aanwezigheid van een sterke integriteitscontrole als het evaluatietype wijst op een grotere integriteit van een apparaat. Apparaten die geen ondersteuning bieden voor sterke integriteitscontroles, worden geblokkeerd door het MAM-beleid als ze met deze instelling zijn gericht. De sterke integriteitscontrole biedt een krachtigere basisdetectie als reactie op nieuwere typen rooting-hulpprogramma's en methoden die niet altijd betrouwbaar kunnen worden gedetecteerd door een softwareoplossing. In APP wordt hardware attestation ingeschakeld door het beoordelingstype Voor integriteitsbeoordeling afspelen in te stellen op Sterke integriteit controleren zodra play-integriteitsbeoordeling is geconfigureerd en vereist SafetyNet-evaluatietype op sterke integriteitscontrole zodra apparaatintegriteitscontrole is geconfigureerd. Attestation met hardware-ondersteuning maakt gebruik van een hardware-onderdeel dat wordt geleverd met apparaten die zijn geïnstalleerd met Android 8.1 en hoger. Apparaten die zijn geüpgraded van een oudere versie van Android naar Android 8.1 hebben waarschijnlijk niet de hardwareonderdelen die nodig zijn voor attestation met hardware-ondersteuning. Hoewel deze instelling breed moet worden ondersteund vanaf apparaten die zijn geleverd met Android 8.1, raadt Microsoft ten zeerste aan om apparaten afzonderlijk te testen voordat deze beleidsinstelling algemeen wordt ingeschakeld.

Belangrijk: Apparaten die dit evaluatietype niet ondersteunen, worden geblokkeerd of gewist op basis van de actie Apparaatintegriteitscontrole. Organisaties die deze functionaliteit willen gebruiken, moeten ervoor zorgen dat gebruikers ondersteunde apparaten hebben. Zie Aanbevolen vereisten voor Android Enterprise voor meer informatie over de aanbevolen apparaten van Google.

Acties zijn onder andere:

  • Waarschuwen : de gebruiker ziet een melding als het apparaat niet voldoet aan de apparaatintegriteitscontrole van Google op basis van de geconfigureerde waarde. Deze melding kan worden verwijderd.
  • Toegang blokkeren : de gebruiker wordt geblokkeerd voor toegang als het apparaat niet voldoet aan de apparaatintegriteitscontrole van Google op basis van de geconfigureerde waarde.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Zie Veelgestelde vragen over MAM en app-beveiliging voor veelgestelde vragen met betrekking tot deze instelling.
Bedreigingsscan voor apps vereisen App-beveiliging beleid ondersteunt sommige VAN de API's van Google Play Protect. Deze instelling zorgt er met name voor dat google's Verify Apps-scan is ingeschakeld voor apparaten van eindgebruikers. Als deze is geconfigureerd, wordt de toegang van de eindgebruiker geblokkeerd totdat de app-scan van Google op zijn Android-apparaat wordt ingeschakeld. Acties zijn onder andere:
  • Waarschuwing : de gebruiker krijgt een melding te zien als de scan van Google Apps controleren op het apparaat niet is ingeschakeld. Deze melding kan worden verwijderd.
  • Toegang blokkeren : de gebruiker heeft geen toegang als de scan apps controleren van Google niet is ingeschakeld op het apparaat.
De resultaten van de Scan apps verifiëren van Google worden weergegeven in het rapport Potentieel schadelijke apps in de console.
Vereist SafetyNet-evaluatietype Attestation met hardware-ondersteuning verbetert de bestaande SafetyNet Attestation-servicecontrole. U kunt de waarde instellen op Sleutel met hardware-ondersteuning na het instellen van SafteyNet-apparaatattest.
Apparaatvergrendeling vereisen Met deze instelling wordt bepaald of het Android-apparaat een apparaatpincode heeft die voldoet aan de minimale wachtwoordvereiste. Het App-beveiliging-beleid kan actie ondernemen als de apparaatvergrendeling niet voldoet aan de minimale wachtwoordvereiste.

Waarden zijn onder andere:

  • Lage complexiteit
  • Gemiddelde complexiteit
  • Hoge complexiteit

Deze complexiteitswaarde is gericht op Android 12+. Voor apparaten die werken met Android 11 en eerder, wordt het instellen van een complexiteitswaarde van laag, gemiddeld of hoog standaard ingesteld op het verwachte gedrag voor Lage complexiteit. Zie de documentatie voor ontwikkelaars van Google getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM en PASSWORD_COMPLEXITY_HIGH voor meer informatie.

Acties zijn onder andere:

  • Waarschuwen : de gebruiker ziet een melding als de apparaatvergrendeling niet voldoet aan de minimale wachtwoordvereiste. De melding kan worden verwijderd.
  • Toegang blokkeren : de gebruiker krijgt geen toegang als de apparaatvergrendeling niet voldoet aan de minimale wachtwoordvereiste.
  • Gegevens wissen : het gebruikersaccount dat is gekoppeld aan de toepassing, wordt gewist van het apparaat als de apparaatvergrendeling niet voldoet aan de minimale wachtwoordvereiste.
Minimale versie van Bedrijfsportal Met de minimale Bedrijfsportal-versie kunt u een specifieke minimaal gedefinieerde versie van de Bedrijfsportal opgeven die wordt afgedwongen op een apparaat van de eindgebruiker. Met deze instelling voor voorwaardelijk starten kunt u waarden instellen op Toegang blokkeren, Gegevens wissen en Waarschuwen als mogelijke acties wanneer niet aan elke waarde wordt voldaan. De mogelijke notaties voor deze waarde volgen het patroon [Major].[ Minor], [Major].[ Minderjarig]. [Build] of [Primaire].[ Minderjarig]. [Build]. [Revisie]. Aangezien sommige eindgebruikers niet de voorkeur geven aan een geforceerde update van apps ter plaatse, is de optie 'waarschuwen' mogelijk ideaal bij het configureren van deze instelling. De Google Play Store doet er goed aan alleen de deltabytes voor app-updates te verzenden, maar dit kan nog steeds een grote hoeveelheid gegevens zijn die de gebruiker mogelijk niet wil gebruiken als deze zich op gegevens bevinden op het moment van de update. Het afdwingen van een update en het downloaden van een bijgewerkte app kan leiden tot onverwachte gegevenskosten op het moment van de update. Zie Android-beleidsinstellingen voor meer informatie.
Max Bedrijfsportal versieleeftijd (dagen) U kunt een maximum aantal dagen instellen als de leeftijd van de versie Bedrijfsportal (CP) voor Android-apparaten. Deze instelling zorgt ervoor dat eindgebruikers zich binnen een bepaald bereik van CP-releases (in dagen) bevinden. De waarde moet tussen 0 en 365 dagen zijn. Wanneer niet aan de instelling voor de apparaten wordt voldaan, wordt de actie voor deze instelling geactiveerd. Acties zijn onder andere Toegang blokkeren, Gegevens wissen of Waarschuwen. Zie Android-beleidsinstellingen voor gerelateerde informatie. Notitie: De leeftijd van de Bedrijfsportal build wordt bepaald door Google Play op het apparaat van de eindgebruiker.
Samsung Knox-apparaatverklaring Geef op of de Attestation-controle van Samsung Knox-apparaten is vereist. Alleen niet-gewijzigde apparaten die door Samsung zijn geverifieerd, kunnen deze controle doorstaan. Zie samsungknox.com voor de lijst met ondersteunde apparaten.

Door deze instelling te gebruiken, controleert Microsoft Intune ook of de communicatie van de Bedrijfsportal naar de Intune Service is verzonden vanaf een goed apparaat.

Acties zijn onder andere:
  • Waarschuwen : de gebruiker ziet een melding als het apparaat niet voldoet aan de controle van samsung knox-apparaatattest. Deze melding kan worden verwijderd.
  • Toegang blokkeren : de toegang van het gebruikersaccount wordt geblokkeerd als het apparaat niet voldoet aan de Knox-apparaatverklaringscontrole van Samsung.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.

Notitie: De gebruiker moet de Voorwaarden van Samsung Knox accepteren voordat de apparaatverklaringscontrole kan worden uitgevoerd. Als de gebruiker de Samsung Knox-voorwaarden niet accepteert, wordt de opgegeven actie uitgevoerd.

Notitie: Deze instelling is van toepassing op alle doelapparaten. Als u deze instelling alleen wilt toepassen op Samsung-apparaten, kunt u toewijzingsfilters voor beheerde apps gebruiken. Zie Filters gebruiken bij het toewijzen van uw apps, beleid en profielen in Microsoft Intune voor meer informatie over toewijzingsfilters.

Maximaal toegestaan bedreigingsniveau voor apparaten App-beveiliging-beleidsregels kunnen gebruikmaken van de Intune-MTD-connector. Geef een maximaal bedreigingsniveau op dat acceptabel is voor het gebruik van deze app. Bedreigingen worden bepaald door de door u gekozen MTD-leverancier-app (Mobile Threat Defense) op het apparaat van de eindgebruiker. Geef beveiligd, Laag, Gemiddeld of Hoog op. Beveiligd vereist geen bedreigingen op het apparaat en is de meest beperkende configureerbare waarde, terwijl High in wezen een actieve Intune-naar-MTD-verbinding vereist.

Acties zijn onder andere:

  • Toegang blokkeren : de gebruiker wordt geblokkeerd voor toegang als het bedreigingsniveau dat is bepaald door de gekozen MTD-leverancier-app (Mobile Threat Defense) op het apparaat van de eindgebruiker niet aan deze vereiste voldoet.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Zie De Mobile Threat Defense-connector inschakelen in Intune voor niet-ingeschreven apparaten voor meer informatie over het gebruik van deze instelling.
Primaire MTD-service Als u meerdere Intune-MTD-connectors hebt geconfigureerd, geeft u de primaire MTD-leverancier-app op die moet worden gebruikt op het apparaat van de eindgebruiker.

Waarden zijn onder andere:

  • Microsoft Defender voor Eindpunt: als de MTD-connector is geconfigureerd, geeft u Microsoft Defender voor Eindpunt informatie over het bedreigingsniveau van het apparaat op.
  • Mobile Threat Defense (niet-Microsoft): als de MTD-connector is geconfigureerd, geeft u de niet-Microsoft MTD op die informatie over het bedreigingsniveau van het apparaat verstrekt.

U moet de instelling 'Maximaal toegestaan bedreigingsniveau apparaat' configureren om deze instelling te gebruiken.

Er zijn geen acties voor deze instelling.