Beveiligingsbeleidsinstellingen voor iOS-apps
In dit artikel worden de instellingen voor app-beveiligingsbeleid voor iOS-/iPadOS-apparaten beschreven. De beleidsinstellingen die worden beschreven, kunnen worden geconfigureerd voor een app-beveiligingsbeleid in het deelvenster Instellingen in de portal wanneer u een nieuw beleid maakt.
Er zijn drie categorieën beleidsinstellingen: Gegevensverplaatsing, Toegangsvereisten en Voorwaardelijk starten. In dit artikel verwijst de term door beleid beheerde apps naar apps die zijn geconfigureerd met app-beveiligingsbeleid.
Belangrijk
De Intune Managed Browser is buiten gebruik gesteld. Gebruik Microsoft Edge voor uw beveiligde Intune browserervaring.
Gegevensbescherming
Gegevensoverdracht
| Instelling | Procedure | Standaardwaarde |
|---|---|---|
| Back-up maken van organisatiegegevens naar iTunes en iCloud-back-ups | Selecteer Blokkeren om te voorkomen dat deze app een back-up maakt van werk- of schoolgegevens naar iTunes en iCloud. Selecteer Toestaan om toe te staan dat deze app een back-up maakt van werk- of schoolgegevens naar iTunes en iCloud. | Toestaan |
| Organisatiegegevens verzenden naar andere apps | Geef op welke apps gegevens van deze app kunnen ontvangen:
Zoeken in Spotlight (hiermee kunt u zoeken in gegevens in apps) en Siri-snelkoppelingen worden geblokkeerd, tenzij deze is ingesteld op Alle apps. Dit beleid kan ook van toepassing zijn op universele iOS-/iPadOS-koppelingen. Algemene webkoppelingen worden beheerd door de beleidsinstelling App-koppelingen openen in Intune Managed Browser. Er zijn enkele vrijgestelde apps en services waarnaar Intune standaard gegevensoverdracht toestaan. Daarnaast kunt u uw eigen uitzonderingen maken als u wilt toestaan dat gegevens worden overgedragen naar een app die geen ondersteuning biedt voor Intune APP. Zie Uitzonderingen voor gegevensoverdracht voor meer informatie. |
Alle apps |
|
Deze optie is beschikbaar wanneer u Door beleid beheerde apps selecteert voor de vorige optie. | |
|
Geef op welke universele iOS-/iPadOS-koppelingen moeten worden geopend in de opgegeven onbeheerde toepassing in plaats van in de beveiligde browser die is opgegeven met de instelling Overdracht van webinhoud met andere apps beperken . Neem contact op met de ontwikkelaar van de toepassing om de juiste universal link-indeling voor elke toepassing te bepalen. | |
|
Geef op welke universele iOS-/iPadOS-koppelingen moeten worden geopend in de opgegeven beheerde toepassing in plaats van de beveiligde browser die is opgegeven door de instelling Overdracht van webinhoud met andere apps beperken. Neem contact op met de ontwikkelaar van de toepassing om de juiste universal link-indeling voor elke toepassing te bepalen. | |
|
Kies Blokkeren om het gebruik van de optie Opslaan als in deze app uit te schakelen. Kies Toestaan als u het gebruik van Opslaan als wilt toestaan. Wanneer deze optie is ingesteld op Blokkeren, kunt u de instelling Gebruiker toestaan kopieën op te slaan naar geselecteerde services configureren. Opmerking:
|
Toestaan |
|
Gebruikers kunnen opslaan in de geselecteerde services (OneDrive voor Bedrijven, SharePoint, Fotobibliotheek en Lokale opslag). Alle andere services worden geblokkeerd. OneDrive voor Bedrijven: u kunt bestanden opslaan in OneDrive voor Bedrijven en SharePoint Online. SharePoint: u kunt bestanden opslaan in on-premises SharePoint. Fotobibliotheek: U kunt bestanden lokaal opslaan in de fotobibliotheek. Lokale opslag: beheerde apps kunnen kopieën van organisatiegegevens lokaal opslaan. Dit omvat NIET het opslaan van bestanden op de lokale onbeheerde locaties, zoals de app Bestanden op het apparaat. | 0 geselecteerd |
|
Wanneer een gebruiker een telefoonnummer met hyperlinks selecteert in een app, wordt een kiezer-app geopend met het telefoonnummer dat vooraf is ingevuld en klaar is om te bellen. Kies voor deze instelling hoe u dit type inhoudsoverdracht wilt afhandelen wanneer deze wordt gestart vanuit een door beleid beheerde app:
Opmerking: voor deze instelling is Intune SDK 12.7.0 en hoger vereist. Als uw apps afhankelijk zijn van kiezerfunctionaliteit en niet de juiste Intune SDK-versie gebruiken, kunt u als tijdelijke oplossing 'tel; telprompt" als uitzondering voor gegevensoverdracht. Zodra de apps de juiste Intune SDK-versie ondersteunen, kan de uitzondering worden verwijderd. |
Elke kiezer-app |
|
Wanneer een specifieke kiezer-app is geselecteerd, moet u het URL-schema voor de kiezer-app opgeven dat wordt gebruikt om de kiezer-app op iOS-apparaten te starten. Zie de Apple-documentatie over Telefoonkoppelingen voor meer informatie. | Blanco |
|
Wanneer een gebruiker een koppeling voor berichten met hyperlinks selecteert in een app, wordt er doorgaans een berichten-app geopend met het telefoonnummer dat vooraf is ingevuld en klaar is om te worden verzonden. Kies voor deze instelling hoe u dit type inhoudsoverdracht wilt afhandelen wanneer deze wordt gestart vanuit een door beleid beheerde app. Er kunnen aanvullende stappen nodig zijn om deze instelling van kracht te laten worden. Controleer eerst of sms is verwijderd uit de lijst Apps selecteren om uit te vallen. Controleer vervolgens of de toepassing een nieuwere versie van Intune SDK (versie > 19.0.0) gebruikt. Kies voor deze instelling hoe u dit type inhoudsoverdracht wilt afhandelen wanneer deze wordt gestart vanuit een door beleid beheerde app:
Opmerking: voor deze instelling is Intune SDK 19.0.0 en hoger vereist. |
Elke berichten-app |
|
Wanneer een specifieke berichten-app is geselecteerd, moet u het URL-schema voor de berichten-app opgeven dat wordt gebruikt om de berichten-app op iOS-apparaten te starten. Zie de Apple-documentatie over Telefoonkoppelingen voor meer informatie. | Blanco |
| Gegevens ontvangen van andere apps | Geef op welke apps gegevens naar deze app kunnen overdragen:
|
Alle apps |
|
Selecteer Blokkeren om het gebruik van de optie Openen of andere opties voor het delen van gegevens tussen accounts in deze app uit te schakelen. Selecteer Toestaan als u het gebruik van Openen wilt toestaan. Wanneer deze optie is ingesteld op Blokkeren , kunt u toestaan dat gebruiker gegevens opent vanuit geselecteerde services configureren om op te geven welke services zijn toegestaan voor organisatiegegevenslocaties. Opmerking:
|
Toestaan |
|
Selecteer de toepassingsopslagservices waaruit gebruikers gegevens kunnen openen. Alle andere services worden geblokkeerd. Als u geen services selecteert, kunnen gebruikers geen gegevens openen vanaf externe locaties. Notitie: Dit besturingselement is ontworpen om te werken met gegevens die zich buiten de bedrijfscontainer bevinden. Ondersteunde services:
|
Alles geselecteerd |
| Knippen, kopiëren en plakken tussen andere apps beperken | Geef op wanneer knip-, kopieer- en plakacties kunnen worden gebruikt met deze app. Selecteer uit:
|
Elke app |
|
Geef het aantal tekens op dat mag worden geknipt of gekopieerd uit organisatiegegevens en -accounts. Hiermee kunt u het opgegeven aantal tekens delen met elke toepassing, ongeacht de instelling Knippen, kopiëren en plakken met andere apps beperken . Standaardwaarde = 0 Opmerking: vereist dat de app Intune SDK-versie 9.0.14 of hoger heeft. |
0 |
| Toetsenborden van derden | Kies Blokkeren om het gebruik van toetsenborden van derden in beheerde toepassingen te voorkomen. Wanneer deze instelling is ingeschakeld, ontvangt de gebruiker een eenmalig bericht waarin staat dat het gebruik van toetsenborden van derden is geblokkeerd. Dit bericht wordt weergegeven wanneer een gebruiker voor het eerst communiceert met organisatiegegevens waarvoor het gebruik van een toetsenbord is vereist. Alleen het standaard-iOS-/iPadOS-toetsenbord is beschikbaar tijdens het gebruik van beheerde toepassingen en alle andere toetsenbordopties zijn uitgeschakeld. Deze instelling is van invloed op zowel de organisatie- als persoonlijke accounts van toepassingen met meerdere identiteiten. Deze instelling heeft geen invloed op het gebruik van toetsenborden van derden in onbeheerde toepassingen. Notitie: Voor deze functie moet de app Intune SDK versie 12.0.16 of hoger gebruiken. Voor apps met SDK-versies van 8.0.14 tot en met 12.0.15 is deze functie niet correct van toepassing op apps met meerdere identiteiten. Zie Bekend probleem: toetsenborden van derden worden niet geblokkeerd in iOS/iPadOS voor persoonlijke accounts voor meer informatie. |
Toestaan |
Opmerking
Er is een app-beveiligingsbeleid vereist met IntuneMAMUPN voor beheerde apparaten. Dit geldt ook voor elke instelling waarvoor ingeschreven apparaten zijn vereist.
Versleuteling
| Instelling | Procedure | Standaardwaarde |
|---|---|---|
| Organisatiegegevens versleutelen | Kies Vereisen om versleuteling van werk- of schoolgegevens in deze app in te schakelen. Intune dwingt versleuteling op iOS-/iPadOS-apparaatniveau af om app-gegevens te beveiligen terwijl het apparaat is vergrendeld. Bovendien kunnen toepassingen optioneel app-gegevens versleutelen met behulp van Intune APP SDK-versleuteling. Intune APP SDK maakt gebruik van iOS-/iPadOS-cryptografiemethoden om 256-bits AES-versleuteling toe te passen op app-gegevens. Wanneer u deze instelling inschakelt, moet de gebruiker mogelijk een pincode voor het apparaat instellen en gebruiken om toegang te krijgen tot het apparaat. Als er geen pincode voor het apparaat is en versleuteling is vereist, wordt de gebruiker gevraagd een pincode in te stellen met het bericht 'Uw organisatie heeft vereist dat u eerst een apparaatpincode inschakelen om toegang te krijgen tot deze app'. Ga naar de officiële Apple-documentatie voor meer informatie over hun gegevensbeschermingsklassen, als onderdeel van hun Apple Platform Security. |
Vereisen |
Functionaliteit
| Instelling | Procedure | Standaardwaarde |
|---|---|---|
| Door beleid beheerde app-gegevens synchroniseren met systeemeigen apps of invoegtoepassingen | Kies Blokkeren om te voorkomen dat door beleid beheerde apps gegevens opslaan in de systeemeigen apps van het apparaat (contactpersonen, agenda en widgets) en om het gebruik van invoegtoepassingen in de door beleid beheerde apps te voorkomen. Als deze niet wordt ondersteund door de toepassing, is het opslaan van gegevens in systeemeigen apps en het gebruik van invoegtoepassingen toegestaan. Als u Toestaan kiest, kan de door beleid beheerde app gegevens opslaan in de systeemeigen apps of invoegtoepassingen gebruiken, als deze functies worden ondersteund en ingeschakeld in de door beleid beheerde app. Toepassingen kunnen aanvullende besturingselementen bieden om het gedrag van gegevenssynchronisatie aan te passen aan specifieke systeemeigen apps of deze controle niet na te komen. Opmerking: wanneer u selectief wist om werk- of schoolgegevens uit de app te verwijderen, worden gegevens die rechtstreeks vanuit de door beleid beheerde app met de systeemeigen app zijn gesynchroniseerd, verwijderd. Gegevens die vanuit de systeemeigen app naar een andere externe bron zijn gesynchroniseerd, worden niet gewist. Opmerking: de volgende apps ondersteunen deze functie:
|
Toestaan |
| Organisatiegegevens afdrukken | Selecteer Blokkeren om te voorkomen dat de app werk- of schoolgegevens afdrukt. Als u deze instelling op Toestaan, de standaardwaarde, laat staan, kunnen gebruikers alle organisatiegegevens exporteren en afdrukken. | Toestaan |
| Overdracht van webinhoud met andere apps beperken | Geef op hoe webinhoud (http/https-koppelingen) wordt geopend vanuit door beleid beheerde toepassingen. Kies uit:
Als een door beleid beheerde browser is vereist, maar niet is geïnstalleerd, wordt uw eindgebruikers gevraagd Microsoft Edge te installeren. Als een door beleid beheerde browser is vereist, worden universele iOS-/iPadOS-koppelingen beheerd door de beleidsinstelling Organisatiegegevens verzenden naar andere apps .
Intune apparaatinschrijving
Door beleid beheerde Microsoft Edge
Opmerking: de Intune SDK kan niet bepalen of een doel-app een browser is. Op iOS-/iPadOS-apparaten zijn geen andere beheerde browser-apps toegestaan. |
Niet geconfigureerd |
|
Voer het protocol in voor één onbeheerde browser. Webinhoud (http/https-koppelingen) van door beleid beheerde toepassingen wordt geopend in elke app die dit protocol ondersteunt. De webinhoud wordt niet beheerd in de doelbrowser. Deze functie moet alleen worden gebruikt als u beveiligde inhoud wilt delen met een specifieke browser die niet is ingeschakeld met behulp van Intune app-beveiligingsbeleid. Neem contact op met de leverancier van uw browser om het protocol te bepalen dat door uw gewenste browser wordt ondersteund. Opmerking: neem alleen het protocolvoorvoegsel op. Als uw browser koppelingen van het formulier mybrowser://www.microsoft.comvereist, voert u in mybrowser.Koppelingen worden vertaald als:
|
Blanco |
| Meldingen van organisatiegegevens | Geef op hoe organisatiegegevens worden gedeeld via besturingssysteemmeldingen voor organisatieaccounts. Deze beleidsinstelling is van invloed op het lokale apparaat en eventuele verbonden apparaten, zoals wearables en slimme luidsprekers. Apps kunnen aanvullende besturingselementen bieden om het gedrag van meldingen aan te passen of kunnen ervoor kiezen om niet alle waarden na te komen. Selecteer uit:
Opmerking:
|
Toestaan |
Opmerking
Geen van de instellingen voor gegevensbescherming bepaalt de door Apple beheerde open-in-functie op iOS-/iPadOS-apparaten. Zie Gegevensoverdracht tussen iOS-/iPadOS-apps beheren met Microsoft Intune als u Apple open-in wilt gebruiken.
Uitzonderingen voor gegevensoverdracht
Er zijn enkele vrijgestelde apps en platformservices die Intune app-beveiligingsbeleid gegevensoverdracht naar en van in bepaalde scenario's toestaat. Deze lijst is onderhevig aan wijzigingen en geeft de services en apps weer die nuttig worden geacht voor veilige productiviteit.
Niet-beheerde apps van derden kunnen worden toegevoegd aan de lijst met uitzonderingen waarmee uitzonderingen voor gegevensoverdracht kunnen worden toegestaan. Zie Uitzonderingen maken voor het Intune app-beveiligingsbeleid (APP) voor meer informatie en voorbeelden. De vrijgestelde niet-beheerde app moet worden aangeroepen op basis van het iOS-URL-protocol. Als er bijvoorbeeld een uitzondering voor gegevensoverdracht wordt toegevoegd voor een niet-beheerde app, kunnen gebruikers nog steeds geen bewerkingen voor knippen, kopiëren en plakken, indien beperkt door beleid. Dit type uitzondering zou ook nog steeds voorkomen dat gebruikers de actie Open-in gebruiken in een beheerde app om gegevens te delen of op te slaan om een app uit te stellen, omdat deze niet is gebaseerd op het URL-protocol van iOS. Zie App-beveiliging gebruiken met iOS-apps voor meer informatie over Open-in.
| App/service-naam(en) | Beschrijving |
|---|---|
skype |
Skype |
app-settings |
Apparaatinstellingen |
itms; itmss; itms-apps; itms-appss; itms-services |
App Store |
calshow |
Systeemeigen agenda |
Belangrijk
App-beveiligingsbeleid dat vóór 15 juni 2020 is gemaakt, bevat een tel- en telprompt-URL-schema als onderdeel van de standaardvrijstellingen voor gegevensoverdracht. Met deze URL-schema's kunnen beheerde apps de kiezer initiëren. De beleidsinstelling App-beveiliging Telecommunicatiegegevens overdragen naar heeft deze functionaliteit vervangen. Beheerders moeten tel verwijderen; telprompt; van de uitzonderingen voor gegevensoverdracht en afhankelijk zijn van de beleidsinstelling App-beveiliging, op voorwaarde dat de beheerde apps die de kiezerfunctionaliteit initiëren, de Intune SDK 12.7.0 of hoger bevatten.
Belangrijk
In Intune SDK 14.5.0 of hoger, inclusief sms- en mailto-URL-schema's in de uitzonderingen voor gegevensoverdracht, kunnen organisatiegegevens ook worden gedeeld met de weergavecontrollers MFMessageCompose (voor sms) en MFMailCompose (voor mailto) in door beleid beheerde toepassingen.
Universele koppelingen
Met universele koppelingen kan de gebruiker rechtstreeks een toepassing starten die is gekoppeld aan de koppeling in plaats van een beveiligde browser die is opgegeven door de instelling Overdracht van webinhoud met andere apps beperken . Neem contact op met de ontwikkelaar van de toepassing om de juiste universal link-indeling voor elke toepassing te bepalen.
Standaardkoppelingen voor app-fragmenten worden ook beheerd door universeel koppelingsbeleid.
Universele koppelingen uitsluiten
Door Universele koppelingen toe te voegen aan niet-beheerde apps, kunt u de opgegeven toepassing starten. Als u de app wilt toevoegen, moet u de koppeling toevoegen aan de lijst met uitzonderingen.
Voorzichtigheid
De doeltoepassingen voor deze universele koppelingen zijn onbeheerd en het toevoegen van een uitzondering kan leiden tot gegevensbeveiligingslekken.
De standaard-app Universal Link-uitzonderingen zijn de volgende:
| Universele koppeling voor apps | Beschrijving |
|---|---|
http://maps.apple.com;
https://maps.apple.com
|
Kaarten-app |
http://facetime.apple.com;
https://facetime.apple.com
|
FaceTime-app |
Als u de standaard universal link-uitzonderingen niet wilt toestaan, kunt u deze verwijderen. U kunt ook Universele koppelingen voor apps van derden of LOB-apps toevoegen. De uitgesloten universele koppelingen staan jokertekens toe, zoals http://*.sharepoint-df.com/*.
Beheerde universele koppelingen
Door Universele koppelingen toe te voegen aan beheerde apps, kunt u de opgegeven toepassing veilig starten. Als u de app wilt toevoegen, moet u de universele koppeling van de app toevoegen aan de beheerde lijst. Als de doeltoepassing Intune app-beveiligingsbeleid ondersteunt, wordt geprobeerd de app te starten als u de koppeling selecteert. Als de app niet kan worden geopend, wordt de koppeling geopend in de beveiligde browser. Als de doeltoepassing de Intune SDK niet integreert, wordt de beveiligde browser gestart als u de koppeling selecteert.
De standaard beheerde universele koppelingen zijn de volgende:
| Universele koppeling voor beheerde apps | Beschrijving |
|---|---|
http://*.onedrive.com/*;
https://*.onedrive.com/*;
|
OneDrive |
http://*.appsplatform.us/*;
http://*.powerapps.cn/*;
http://*.powerapps.com/*;
http://*.powerapps.us/*;
https://*.powerbi.com/*;
https://app.powerbi.cn/*;
https://app.powerbigov.us/*;
https://app.powerbi.de/*;
|
PowerApps |
http://*.powerbi.com/*;
http://app.powerbi.cn/*;
http://app.powerbigov.us/*;
http://app.powerbi.de/*;
https://*.appsplatform.us/*;
https://*.powerapps.cn/*;
https://*.powerapps.com/*;
https://*.powerapps.us/*;
|
Power BI |
http://*.service-now.com/*;
https://*.service-now.com/*;
|
ServiceNow |
http://*.sharepoint.com/*;
http://*.sharepoint-df.com/*;
https://*.sharepoint.com/*;
https://*.sharepoint-df.com/*;
|
SharePoint |
http://web.microsoftstream.com/video/*;
http://msit.microsoftstream.com/video/*;
https://web.microsoftstream.com/video/*;
https://msit.microsoftstream.com/video/*;
|
Stream |
http://*teams.microsoft.com/l/*;
http://*devspaces.skype.com/l/*;
http://*teams.live.com/l/*;
http://*collab.apps.mil/l/*;
http://*teams.microsoft.us/l/*;
http://*teams-fl.microsoft.com/l/*;
https://*teams.microsoft.com/l/*;
https://*devspaces.skype.com/l/*;
https://*teams.live.com/l/*;
https://*collab.apps.mil/l/*;
https://*teams.microsoft.us/l/*;
https://*teams-fl.microsoft.com/l/*;
|
Teams |
http://tasks.office.com/*;
https://tasks.office.com/*;
http://to-do.microsoft.com/sharing*;
https://to-do.microsoft.com/sharing*;
|
ToDo |
http://*.yammer.com/*;
https://*.yammer.com/*;
|
Microsoft Viva Engage |
http://*.zoom.us/*;
https://*.zoom.us/*;
|
Zoom |
Als u de standaard beheerde universele koppelingen niet wilt toestaan, kunt u deze verwijderen. U kunt ook Universele koppelingen voor apps van derden of LOB-apps toevoegen.
Toegangsvereisten
| Instelling | Procedure | Standaardwaarde |
|---|---|---|
| Pincode voor toegang | Selecteer Vereisen om een pincode te vereisen voor het gebruik van deze app. De gebruiker wordt gevraagd deze pincode in te stellen wanneer de app de eerste keer wordt uitgevoerd in een werk- of schoolcontext. De pincode wordt toegepast wanneer u online of offline werkt. U kunt de pincodesterkte configureren met behulp van de instellingen die beschikbaar zijn onder de sectie Pincode voor toegang . Notitie: Eindgebruikers die toegang hebben tot de app, kunnen de pincode van de app opnieuw instellen. Deze instelling is in sommige gevallen mogelijk niet zichtbaar op iOS-apparaten. iOS-apparaten hebben een maximale beperking van vier beschikbare sneltoetsen. Als u de snelkoppeling app-pincode opnieuw instellen wilt weergeven, moet de eindgebruiker mogelijk toegang krijgen tot de snelkoppeling vanuit een andere beheerde app. |
Vereisen |
|
Stel een vereiste in voor pincodes van het numerieke of wachtwoordcodetype voordat u toegang krijgt tot een app waarop app-beveiligingsbeleid is toegepast. Numerieke vereisten hebben alleen betrekking op getallen, terwijl een wachtwoordcode kan worden gedefinieerd met ten minste 1 alfabetische letter of ten minste 1 speciaal teken. Opmerking:als u het wachtwoordcodetype wilt configureren, moet de app Intune SDK versie 7.1.12 of hoger hebben. Het numerieke type heeft geen Intune SDK-versiebeperking. Speciale tekens die zijn toegestaan, zijn de speciale tekens en symbolen op het engelse iOS-/iPadOS-toetsenbord. |
Numeriek |
|
Selecteer Toestaan om gebruikers toe te staan eenvoudige pincodes te gebruiken, zoals 1234, 1111, abcd of aaaa. Selecteer Blokkeren om te voorkomen dat ze eenvoudige reeksen gebruiken. Eenvoudige sequenties worden gecontroleerd in schuifvensters van 3 tekens. Als Blokkeren is geconfigureerd, wordt 1235 of 1112 niet geaccepteerd als pincode die is ingesteld door de eindgebruiker, maar is 1122 toegestaan. Opmerking: als wachtwoordcodetype Pincode is geconfigureerd en Eenvoudige pincode toestaan is ingesteld op Ja, heeft de gebruiker ten minste 1 letter of ten minste 1 speciaal teken in de pincode nodig. Als pincode voor wachtwoordcode is geconfigureerd en Eenvoudige pincode toestaan is ingesteld op Nee, heeft de gebruiker ten minste 1 cijfer en 1 letter en ten minste 1 speciaal teken in de pincode nodig. |
Toestaan |
|
Geef het minimale aantal cijfers in een pincodereeks op. | 4 |
|
Selecteer Toestaan om de gebruiker toe te staan Touch ID te gebruiken in plaats van een pincode voor toegang tot apps. | Toestaan |
|
Als u deze instelling wilt gebruiken, selecteert u Vereisen en configureert u vervolgens een time-out voor inactiviteit. | Vereisen |
|
Geef een tijd op in minuten waarna een wachtwoordcode of een numerieke pincode (zoals geconfigureerd) het gebruik van een vingerafdruk of gezicht als toegangsmethode overschrijft. Deze time-outwaarde moet groter zijn dan de waarde die is opgegeven onder 'De toegangsvereisten opnieuw controleren na (minuten van inactiviteit)'. | 30 |
|
Selecteer Toestaan om toe te staan dat de gebruiker gezichtsherkenningstechnologie gebruikt om gebruikers op iOS-/iPadOS-apparaten te verifiëren. Indien toegestaan, moet Face ID worden gebruikt voor toegang tot de app op een apparaat dat geschikt is voor Face ID. | Toestaan |
|
Selecteer Ja om gebruikers te verplichten hun app-pincode te wijzigen na een ingestelde periode, in dagen. Wanneer deze optie is ingesteld op Ja, configureert u het aantal dagen voordat de pincode opnieuw moet worden ingesteld. |
Nee |
|
Configureer het aantal dagen voordat het opnieuw instellen van de pincode is vereist. | 90 |
|
Selecteer Uitschakelen om de pincode van de app uit te schakelen wanneer een apparaatvergrendeling wordt gedetecteerd op een ingeschreven apparaat met Bedrijfsportal geconfigureerd. Opmerking:vereist dat de app Intune SDK-versie 7.0.1 of hoger heeft. De intuneMAMUPN-instelling moet worden geconfigureerd voor toepassingen om de inschrijvingsstatus te detecteren. Op iOS-/iPadOS-apparaten kunt u de gebruiker de identiteit laten bewijzen met behulp van Touch ID of Face ID in plaats van een pincode. Intune gebruikt de LocalAuthentication-API om gebruikers te verifiëren met Touch ID en Face ID. Zie de iOS-beveiligingshandleiding voor meer informatie over Touch ID en Face ID. Wanneer de gebruiker deze app probeert te gebruiken met zijn of haar werk- of schoolaccount, wordt deze gevraagd om zijn vingerafdruk of gezichtsidentiteit op te geven in plaats van een pincode in te voeren. Wanneer deze instelling is ingeschakeld, wordt de voorbeeldafbeelding van de app-switcher wazig weergegeven wanneer u een werk- of schoolaccount gebruikt. Als er een wijziging is in de biometrische database van het apparaat, vraagt Intune de gebruiker om een pincode wanneer de volgende time-outwaarde voor inactiviteit wordt bereikt. Wijzigingen in biometrische gegevens omvatten het toevoegen of verwijderen van een vingerafdruk of gezicht voor verificatie. Als de Intune gebruiker geen pincode heeft ingesteld, wordt er een Intune pincode ingesteld. |
Inschakelen |
| Werk- of schoolaccountreferenties voor toegang | Selecteer Vereisen om te vereisen dat de gebruiker zich aanmeldt met het werk- of schoolaccount in plaats van een pincode in te voeren voor app-toegang. Als u dit instelt op Vereisen en pincode- of biometrische prompts zijn ingeschakeld, worden zowel bedrijfsreferenties als de pincode of biometrische prompts weergegeven. | Niet vereist |
| Controleer de toegangsvereisten opnieuw na (minuten van inactiviteit) | Configureer het aantal minuten van inactiviteit dat moet passeren voordat de app vereist dat de gebruiker de toegangsvereisten opnieuw opgeeft. Een beheerder schakelt bijvoorbeeld pincode in en blokkeert geroote apparaten in het beleid, een gebruiker opent een Intune beheerde app, moet een pincode invoeren en moet de app gebruiken op een niet-geroot apparaat. Wanneer u deze instelling gebruikt, hoeft de gebruiker geen pincode in te voeren of een andere basisdetectiecontrole te ondergaan op een door Intune beheerde app gedurende een periode die gelijk is aan de geconfigureerde waarde. Opmerking:Op iOS/iPadOS wordt de pincode gedeeld met alle Intune beheerde apps van dezelfde uitgever. De pincodetimer voor een specifieke pincode wordt opnieuw ingesteld zodra de app de voorgrond op het apparaat verlaat. De gebruiker hoeft geen pincode in te voeren voor een Intune beheerde app die de pincode deelt voor de duur van de time-out die in deze instelling is gedefinieerd. Deze indeling van de beleidsinstelling ondersteunt een positief geheel getal. |
30 |
Opmerking
Voor meer informatie over hoe meerdere instellingen voor Intune app-beveiliging die zijn geconfigureerd in de sectie Toegang tot dezelfde set apps en gebruikers op iOS/iPadOS werken, raadpleegt u veelgestelde vragen over MAM Intune en Gegevens selectief wissen met behulp van toegangsacties voor app-beveiligingsbeleid in Intune.
Voorwaardelijk starten
Configureer instellingen voor voorwaardelijk starten om beveiligingsvereisten voor aanmeldingen in te stellen voor uw toegangsbeveiligingsbeleid.
Standaard worden verschillende instellingen geleverd met vooraf geconfigureerde waarden en acties. U kunt een aantal hiervan verwijderen, zoals de minimale versie van het besturingssysteem. U kunt ook extra instellingen selecteren in de vervolgkeuzelijst Eén selecteren .
| Instelling | Procedure |
|---|---|
| Maximale versie van het besturingssysteem | Geef een maximaal iOS-/iPadOS-besturingssysteem op om deze app te gebruiken.
Acties zijn onder andere:
Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt. Deze indeling van de beleidsinstelling ondersteunt major.minor, major.minor.build, major.minor.build.revision. Opmerking:vereist dat de app Intune SDK versie 14.4.0 of hoger heeft. |
| Minimale versie van het besturingssysteem | Geef een minimaal iOS-/iPadOS-besturingssysteem op om deze app te gebruiken.
Acties zijn onder andere:
Deze indeling van de beleidsinstelling ondersteunt major.minor, major.minor.build, major.minor.build.revision. Opmerking:vereist dat de app Intune SDK-versie 7.0.1 of hoger heeft. |
| Maximum aantal pincodepogingen | Geef het aantal pogingen op dat de gebruiker moet uitvoeren om de pincode in te voeren voordat de geconfigureerde actie wordt uitgevoerd. Als de gebruiker zijn pincode niet kan invoeren na de maximale pincodepogingen, moet de gebruiker de pincode opnieuw instellen nadat deze zich heeft aangemeld bij het account en indien nodig een MFA-uitdaging (Multi-Factor Authentication) heeft voltooid. Deze indeling van de beleidsinstelling ondersteunt een positief geheel getal.
Acties zijn onder andere:
|
| Offline respijtperiode | Het aantal minuten dat door beleid beheerde apps offline kunnen worden uitgevoerd. Geef de tijd op (in minuten) voordat de toegangsvereisten voor de app opnieuw worden gecontroleerd.
Acties zijn onder andere:
|
| Gekraakte/geroote apparaten | Er is geen waarde om in te stellen voor deze instelling.
Acties zijn onder andere:
|
| Uitgeschakeld account | Er is geen waarde om in te stellen voor deze instelling.
Acties zijn onder andere:
|
| Minimale app-versie | Geef een waarde op voor de minimale waarde van de toepassingsversie.
Acties zijn onder andere:
Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt. Deze beleidsinstelling ondersteunt overeenkomende indelingen voor iOS-apps (major.minor of major.minor.patch). Opmerking:vereist dat de app Intune SDK-versie 7.0.1 of hoger heeft. Daarnaast kunt u configureren waar uw eindgebruikers een bijgewerkte versie van een LOB-app (Line-Of-Business) kunnen krijgen. Eindgebruikers zien dit in het dialoogvenster minimale versie voor voorwaardelijk starten van de app , waarin eindgebruikers worden gevraagd om bij te werken naar een minimale versie van de LOB-app. Op iOS/iPadOS moet de app worden geïntegreerd (of verpakt met behulp van het wrapping-hulpprogramma) met de Intune SDK voor iOS v. 10.0.7 of hoger. Als u wilt configureren waar een eindgebruiker een LOB-app moet bijwerken, moet er een beheerd app-configuratiebeleid naar de app worden verzonden met de sleutel, com.microsoft.intune.myappstore. Met de verzonden waarde wordt gedefinieerd in welke store de eindgebruiker de app downloadt. Als de app wordt geïmplementeerd via de Bedrijfsportal, moet de waarde zijnCompanyPortal. Voor andere winkels moet u een volledige URL invoeren. |
| Minimale SDK-versie | Geef een minimumwaarde op voor de Intune SDK-versie.
Acties zijn onder andere:
Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt. |
| Apparaatmodel(en) | Geef een door puntkomma gescheiden lijst met model-id('s) op. Deze waarden zijn niet hoofdlettergevoelig.
Acties zijn onder andere:
|
| Maximaal toegestaan bedreigingsniveau voor apparaten | App-beveiliging-beleidsregels kunnen gebruikmaken van de Intune-MTD-connector. Geef een maximaal bedreigingsniveau op dat acceptabel is voor het gebruik van deze app. Bedreigingen worden bepaald door de door u gekozen MTD-leverancier-app (Mobile Threat Defense) op het apparaat van de eindgebruiker. Geef beveiligd, Laag, Gemiddeld of Hoog op.
Beveiligd vereist geen bedreigingen op het apparaat en is de meest beperkende configureerbare waarde, terwijl High in wezen een actieve Intune-naar-MTD-verbinding vereist.
Acties zijn onder andere:
Zie MTD inschakelen voor niet-ingeschreven apparaten voor meer informatie over het gebruik van deze instelling. |
| Primaire MTD-service | Als u meerdere Intune-MTD-connectors hebt geconfigureerd, geeft u de primaire MTD-leverancier-app op die moet worden gebruikt op het apparaat van de eindgebruiker.
Waarden zijn onder andere:
U moet de instelling 'Maximaal toegestaan bedreigingsniveau apparaat' configureren om deze instelling te gebruiken. Er zijn geen acties voor deze instelling. |
| Niet-werktijd | Er is geen waarde om in te stellen voor deze instelling.
Acties zijn onder andere:
De volgende apps ondersteunen deze functie:
|
Meer informatie
- Meer informatie over LinkedIn-informatie en -functies in uw Microsoft-apps.
- Meer informatie over de release van LinkedIn-accountverbindingen op de pagina Microsoft 365 Roadmap.
- Meer informatie over Het configureren van LinkedIn-accountverbindingen.
- Zie LinkedIn in Microsoft-toepassingen op uw werk of school voor meer informatie over gegevens die worden gedeeld tussen de LinkedIn- en Microsoft-werk- of schoolaccounts van gebruikers.