Bewerken

Share via


Veelgestelde vragen over MAM en app-beveiliging

In dit artikel vindt u antwoorden op enkele veelgestelde vragen over Intune Mobile Application Management (MAM) en Intune app-beveiliging.

Basisbeginselen van MAM

Wat is MAM?

Beleid voor app-beveiliging

Wat is app-beveiligingsbeleid?

App-beveiliging beleid zijn regels die ervoor zorgen dat de gegevens van een organisatie veilig blijven of in een beheerde app zijn opgenomen. Een beleid kan een regel zijn die wordt afgedwongen wanneer de gebruiker probeert 'zakelijke' gegevens te openen of te verplaatsen, of een set acties die zijn verboden of bewaakt wanneer de gebruiker zich in de app bevindt.

Wat zijn voorbeelden van app-beveiligingsbeleid?

Zie de beveiligingsbeleidsinstellingen voor Android-apps en de beveiligingsbeleidsinstellingen voor iOS-/iPadOS-apps voor gedetailleerde informatie over elke instelling voor app-beveiligingsbeleid.

Is het mogelijk om zowel MDM- als MAM-beleid op hetzelfde moment op dezelfde gebruiker toe te passen, voor verschillende apparaten?

Als u een MAM-beleid toepast op de gebruiker zonder de apparaatbeheerstatus in te stellen, krijgt de gebruiker het MAM-beleid op zowel het BYOD-apparaat als het Intune beheerde apparaat. U kunt ook mam-beleid toepassen op basis van de apparaatbeheerstatus. Wanneer u dus een app-beveiligingsbeleid maakt, selecteert u naast Doel voor apps op alle apparaattypen de optie Nee. Voer vervolgens een van de volgende handelingen uit:

  • Pas een minder strikt MAM-beleid toe op Intune beheerde apparaten en pas een meer beperkend MAM-beleid toe op apparaten die niet zijn ingeschreven bij MDM.
  • Pas een even strikt MAM-beleid toe op Intune beheerde apparaten als op door derden beheerde apparaten.
  • Pas mam-beleid alleen toe op niet-ingeschreven apparaten.

Zie App-beveiligingsbeleid bewaken voor meer informatie.

Apps die u kunt beheren met app-beveiligingsbeleid

Welke apps kunnen worden beheerd door app-beveiligingsbeleid?

Elke app die is geïntegreerd met de Intune App SDK of die door de Intune App Wrapping Tool is verpakt, kan worden beheerd met behulp van Intune app-beveiligingsbeleid. Zie de officiële lijst met door Intune beheerde apps die beschikbaar zijn voor openbaar gebruik.

Wat zijn de basisvereisten voor het gebruik van app-beveiligingsbeleid voor een door Intune beheerde app?

  • De eindgebruiker moet een Microsoft Entra-account hebben. Zie Gebruikers toevoegen en beheerdersmachtigingen geven aan Intune voor meer informatie over het maken van Intune gebruikers in Microsoft Entra ID.

  • De eindgebruiker moet een licentie voor Microsoft Intune toegewezen aan het Microsoft Entra-account. Zie Licenties voor Intune beheren voor meer informatie over het toewijzen van Intune licenties aan eindgebruikers.

  • De eindgebruiker moet deel uitmaken van een beveiligingsgroep waarop een app-beveiligingsbeleid van toepassing is. Hetzelfde app-beveiligingsbeleid moet gericht zijn op de specifieke app die wordt gebruikt. App-beveiliging-beleid kan worden gemaakt en geïmplementeerd in het Microsoft Intune-beheercentrum. Beveiligingsgroepen kunnen momenteel worden gemaakt in de Microsoft 365-beheercentrum.

  • De eindgebruiker moet zich aanmelden bij de app met zijn Microsoft Entra-account.

Wat moet ik doen als ik een app met Intune App Protection wil inschakelen, maar geen ondersteund platform voor app-ontwikkeling gebruikt?

Het Intune SDK-ontwikkelteam test en onderhoudt actief ondersteuning voor apps die zijn gebouwd met de systeemeigen Android-, iOS-/iPadOS-platformen (Obj-C, Swift), Xamarin en Xamarin.Forms. Hoewel sommige klanten succes hebben gehad met Intune SDK-integratie met andere platforms, zoals React Native en NativeScript, bieden we geen expliciete richtlijnen of invoegtoepassingen voor app-ontwikkelaars die iets anders gebruiken dan onze ondersteunde platforms.

Biedt de Intune APP SDK ondersteuning voor Microsoft Authentication Library (MSAL)?

De Intune App SDK kan de Microsoft Authentication Library gebruiken voor de verificatie- en voorwaardelijke startscenario's. Het is ook afhankelijk van MSAL om de gebruikersidentiteit te registreren bij de MAM-service voor beheer zonder apparaatinschrijvingsscenario's.

Wat zijn de aanvullende vereisten voor het gebruik van de mobiele Outlook-app?

Wat zijn de aanvullende vereisten voor het gebruik van de Word-, Excel- en PowerPoint-apps?

  • De eindgebruiker moet een licentie voor Microsoft 365-apps voor bedrijven of onderneming hebben die is gekoppeld aan zijn of haar Microsoft Entra-account. Het abonnement moet de Office-apps op mobiele apparaten bevatten en kan een cloudopslagaccount met OneDrive voor Bedrijven bevatten. Microsoft 365-licenties kunnen worden toegewezen in de Microsoft 365-beheercentrum door deze instructies te volgen.

  • De eindgebruiker moet een beheerde locatie hebben die is geconfigureerd met behulp van de gedetailleerde functionaliteit opslaan als onder de beleidsinstelling 'Kopieën van organisatiegegevens opslaan'. Als de beheerde locatie bijvoorbeeld OneDrive is, moet de OneDrive-app worden geconfigureerd in de Word-, Excel- of PowerPoint-app van de eindgebruiker.

  • Als de beheerde locatie OneDrive is, moet de app het doelwit zijn van het app-beveiligingsbeleid dat is geïmplementeerd voor de eindgebruiker.

    Opmerking

    De mobiele Office-apps ondersteunen momenteel alleen SharePoint Online en niet SharePoint on-premises.

Waarom is een beheerde locatie (bijvoorbeeld OneDrive) nodig voor Office?

Intune markeert alle gegevens in de app als 'zakelijk' of 'persoonlijk'. Gegevens worden beschouwd als 'zakelijk' wanneer ze afkomstig zijn van een bedrijfslocatie. Voor de Office-apps beschouwt Intune het volgende als zakelijke locaties: e-mail (Exchange) of cloudopslag (OneDrive-app met een OneDrive voor Bedrijven-account).

Wat zijn de aanvullende vereisten voor het gebruik van Skype voor Bedrijven?

Zie Skype voor Bedrijven licentievereisten. Zie Respectievelijk Hybride moderne verificatie voor Skype voor Bedrijven SfB en Exchange gaat GA en Modern Auth voor SfB on-premises met Microsoft Entra ID voor hybride en on-premises configuraties (SfB) voor hybride en on-premises sfB-configuraties.

App-beveiliging-functies

Wat is ondersteuning voor meerdere identiteiten?

Ondersteuning voor meerdere identiteiten is de mogelijkheid voor de Intune App SDK om alleen app-beveiligingsbeleid toe te passen op het werk- of schoolaccount dat is aangemeld bij de app. Als een persoonlijk account is aangemeld bij de app, blijven de gegevens ongewijzigd.

Wat is het doel van ondersteuning voor meerdere identiteiten?

Met ondersteuning voor meerdere identiteiten kunnen apps met zowel 'zakelijke' als consumentendoelgroepen (de Office-apps) openbaar worden uitgebracht met Intune mogelijkheden voor app-beveiliging voor de 'zakelijke' accounts.

Hoe zit het met Outlook en meerdere identiteiten?

Omdat Outlook een gecombineerde e-mailweergave heeft van zowel persoonlijke als zakelijke e-mailberichten, wordt in de Outlook-app bij het starten gevraagd om de Intune pincode.

Wat is de pincode van de Intune-app?

Het pincode (Personal Identification Number) is een wachtwoordcode die wordt gebruikt om te controleren of de juiste gebruiker toegang heeft tot de gegevens van de organisatie in een toepassing.

Wanneer wordt de gebruiker gevraagd de pincode in te voeren?

Intune vraagt om de pincode voor de app van de gebruiker wanneer de gebruiker op het punt staat toegang te krijgen tot 'zakelijke' gegevens. In apps met meerdere identiteiten, zoals Word/Excel/PowerPoint, wordt de gebruiker gevraagd om zijn pincode wanneer hij of zij een 'zakelijk' document of bestand probeert te openen. In apps met één identiteit, zoals Line-Of-Business-apps die worden beheerd met behulp van de Intune App Wrapping Tool, wordt de pincode gevraagd bij het starten, omdat de Intune App SDK weet dat de gebruikerservaring in de app altijd 'zakelijk' is.

Hoe vaak wordt de gebruiker gevraagd om de Intune pincode?

De IT-beheerder kan de beleidsinstelling voor Intune app-beveiliging 'De toegangsvereisten na (minuten) opnieuw controleren' definiëren in het Microsoft Intune-beheercentrum. Met deze instelling geeft u de hoeveelheid tijd op voordat de toegangsvereisten op het apparaat worden gecontroleerd en het pincodescherm van de toepassing opnieuw wordt weergegeven. Belangrijke details over pincode die van invloed zijn op hoe vaak de gebruiker wordt gevraagd, zijn echter:

  • De pincode wordt gedeeld tussen apps van dezelfde uitgever om de bruikbaarheid te verbeteren: Op iOS/iPadOS wordt één app-pincode gedeeld tussen alle apps van dezelfde app-uitgever. Op Android wordt één pincode voor apps gedeeld tussen alle apps.
  • Het gedrag 'De toegangsvereisten opnieuw controleren na (minuten)' na het opnieuw opstarten van een apparaat: Met een pincodetimer wordt het aantal minuten van inactiviteit bijgehouden dat bepaalt wanneer de Intune pincode van de app wordt weergegeven. Op iOS/iPadOS wordt de pincodetimer niet beïnvloed door het opnieuw opstarten van het apparaat. Het opnieuw opstarten van het apparaat heeft dus geen invloed op het aantal minuten dat de gebruiker inactief is geweest vanuit een iOS-/iPadOS-app met Intune pincodebeleid. Op Android wordt de pincodetimer opnieuw ingesteld bij het opnieuw opstarten van het apparaat. Daarom wordt in Android-apps met Intune pincodebeleid waarschijnlijk om een app-pincode gevraagd, ongeacht de instellingswaarde 'De toegangsvereisten opnieuw controleren na (minuten)' na het opnieuw opstarten van een apparaat.
  • De doorlopende aard van de timer die is gekoppeld aan de pincode: Zodra een pincode is ingevoerd voor toegang tot een app (app A) en de app de voorgrond (hoofdinvoerfocus) op het apparaat verlaat, wordt de pincodetimer opnieuw ingesteld voor die pincode. Elke app (app B) die deze pincode deelt, vraagt de gebruiker niet om pincodeinvoer omdat de timer opnieuw is ingesteld. De prompt wordt opnieuw weergegeven zodra opnieuw is voldaan aan de waarde 'De toegangsvereisten opnieuw controleren na (minuten)'.

Voor iOS-/iPadOS-apparaten, zelfs als de pincode wordt gedeeld tussen apps van verschillende uitgevers, wordt de prompt opnieuw weergegeven wanneer opnieuw aan de waarde Opnieuw controleren van de toegangsvereisten na (minuten) wordt voldaan voor de app die niet de belangrijkste invoerfocus is. Een gebruiker heeft bijvoorbeeld app A van uitgever X en app B van uitgever Y en die twee apps delen dezelfde pincode. De gebruiker is gericht op app A (voorgrond) en app B wordt geminimaliseerd. Nadat aan de waarde Voor opnieuw controleren van de toegangsvereisten na (minuten) is voldaan en de gebruiker overschakelt naar app B, is de pincode vereist.

Opmerking

Om de toegangsvereisten van de gebruiker vaker te controleren (bijvoorbeeld pincodeprompt), met name voor een veelgebruikte app, wordt aanbevolen om de waarde van de instelling 'De toegangsvereisten opnieuw controleren na (minuten)' te verminderen.

Hoe werkt de Intune-pincode met ingebouwde app-pincodes voor Outlook en OneDrive?

De Intune pincode werkt op basis van een timer op basis van inactiviteit (de waarde van 'De toegangsvereisten opnieuw controleren na (minuten)'). Als zodanig worden Intune pincodeprompts weergegeven, onafhankelijk van de ingebouwde pincodeprompts voor outlook en OneDrive, die vaak standaard zijn gekoppeld aan het starten van apps. Als de gebruiker beide pincodeprompts tegelijk ontvangt, moet het verwachte gedrag zijn dat de Intune pincode voorrang heeft.

Is de pincode beveiligd?

De pincode dient om alleen de juiste gebruiker toegang te geven tot de gegevens van hun organisatie in de app. Daarom moet een eindgebruiker zich aanmelden met zijn werk- of schoolaccount voordat hij of zij de pincode van de Intune app kan instellen of opnieuw instellen. Deze verificatie wordt verwerkt door Microsoft Entra ID via beveiligde tokenuitwisseling en is niet transparant voor de Intune App SDK. Vanuit een beveiligingsperspectief is de beste manier om werk- of schoolgegevens te beveiligen door deze te versleutelen. Versleuteling is niet gerelateerd aan de pincode van de app, maar is een eigen app-beveiligingsbeleid.

Hoe beschermt Intune de pincode tegen brute force-aanvallen?

Als onderdeel van het pincodebeleid van de app kan de IT-beheerder het maximum aantal keren instellen dat gebruikers hun pincode kunnen verifiëren voordat ze de app vergrendelen. Nadat aan het aantal pogingen is voldaan, kan de Intune App SDK de 'bedrijfsgegevens' in de app wissen.

Waarom moet ik twee keer een pincode instellen voor apps van dezelfde uitgever?

MAM (op iOS/iPadOS) staat momenteel een pincode op toepassingsniveau toe met alfanumerieke en speciale tekens (de zogenaamde 'wachtwoordcode') waarvoor de deelname van toepassingen (bijvoorbeeld WXP, Outlook, Managed Browser, Yammer) is vereist om de Intune APP SDK voor iOS/iPadOS te integreren. Zonder dit worden de wachtwoordcode-instellingen niet correct afgedwongen voor de doeltoepassingen. Dit was een functie die is uitgebracht in de Intune SDK voor iOS/iPadOS v. 7.1.12.

Om deze functie te ondersteunen en compatibiliteit met eerdere versies van de Intune SDK voor iOS/iPadOS te garanderen, worden alle pincodes (numeriek of wachtwoordcode) in 7.1.12+ afzonderlijk verwerkt van de numerieke pincode in eerdere versies van de SDK. Als een apparaat toepassingen heeft met Intune SDK voor iOS-/iPadOS-versies vóór 7.1.12 EN na 7.1.12 van dezelfde uitgever, moeten ze daarom twee pincodes instellen.

Dat gezegd hebbende, zijn de twee pincodes (voor elke app) op geen enkele manier gerelateerd, d.w.z. ze moeten voldoen aan het app-beveiligingsbeleid dat op de app wordt toegepast. Alleen als voor apps A en B hetzelfde beleid is toegepast (met betrekking tot pincode), kan de gebruiker dus twee keer dezelfde pincode instellen.

Dit gedrag is specifiek voor de pincode voor iOS-/iPadOS-toepassingen die zijn ingeschakeld met Intune Mobile App Management. Naarmate toepassingen in de loop van de tijd nieuwere versies van de Intune SDK voor iOS/iPadOS gebruiken, is het minder belangrijk om twee keer een pincode in te stellen voor apps van dezelfde uitgever. Zie de onderstaande opmerking voor een voorbeeld.

Opmerking

Als app A bijvoorbeeld is gebouwd met een versie ouder dan 7.1.12 en app B is gebouwd met een versie groter dan of gelijk aan 7.1.12 van dezelfde uitgever, moet de eindgebruiker pincodes afzonderlijk instellen voor A en B als beide zijn geïnstalleerd op een iOS-/iPadOS-apparaat.

Als een app C met SDK-versie 7.1.9 op het apparaat is geïnstalleerd, deelt deze dezelfde pincode als app A.

Een app D die is gebouwd met 7.1.14, deelt dezelfde pincode als app B.

Als alleen apps A en C op een apparaat zijn geïnstalleerd, moet er één pincode worden ingesteld. Hetzelfde geldt voor als alleen apps B en D op een apparaat zijn geïnstalleerd.

Hoe zit het met versleuteling?

IT-beheerders kunnen een app-beveiligingsbeleid implementeren dat vereist dat app-gegevens worden versleuteld. Als onderdeel van het beleid kan de IT-beheerder ook opgeven wanneer de inhoud wordt versleuteld.

Hoe versleutelt Intune gegevens?

Zie de beveiligingsbeleidsinstellingen voor Android-apps en de beveiligingsbeleidsinstellingen voor iOS-/iPadOS-apps voor gedetailleerde informatie over de beleidsinstelling voor app-beveiliging voor versleuteling.

Wat wordt versleuteld?

Alleen gegevens die zijn gemarkeerd als 'zakelijk' worden versleuteld volgens het app-beveiligingsbeleid van de IT-beheerder. Gegevens worden beschouwd als 'zakelijk' wanneer ze afkomstig zijn van een bedrijfslocatie. Voor de Office-apps beschouwt Intune het volgende als zakelijke locaties: e-mail (Exchange) of cloudopslag (OneDrive-app met een OneDrive voor Bedrijven-account). Voor Line-Of-Business-apps die worden beheerd door de Intune App Wrapping Tool, worden alle app-gegevens beschouwd als 'zakelijk'.

Hoe wist Intune gegevens op afstand?

Intune kunt app-gegevens op drie verschillende manieren wissen: volledig apparaat wissen, selectief wissen voor MDM en selectief wissen van MAM. Zie Apparaten verwijderen met behulp van wissen of buiten gebruik stellen voor meer informatie over extern wissen voor MDM. Zie de actie Buiten gebruik stellen en Alleen bedrijfsgegevens uit apps wissen voor meer informatie over selectief wissen met mam.

Wat is wissen?

Wissen verwijdert alle gebruikersgegevens en instellingen van het apparaat door het apparaat te herstellen naar de fabrieksinstellingen. Het apparaat wordt verwijderd uit Intune.

Opmerking

Wissen kan alleen worden bereikt op apparaten die zijn ingeschreven met Intune MDM (Mobile Device Management).

Wat is selectief wissen voor MDM?

Zie Apparaten verwijderen - buiten gebruik stellen voor meer informatie over het verwijderen van bedrijfsgegevens.

Wat is selectief wissen voor MAM?

Selectief wissen voor MAM verwijdert alleen bedrijfsgegevens uit een app. De aanvraag wordt gestart met behulp van het Microsoft Intune-beheercentrum. Zie Alleen bedrijfsgegevens uit apps wissen voor meer informatie over het initiëren van een wisaanvraag.

Hoe snel vindt selectief wissen voor MAM plaats?

Als de gebruiker de app gebruikt wanneer selectief wissen wordt gestart, controleert de Intune App SDK elke 30 minuten op een aanvraag voor selectief wissen van de Intune MAM-service. Er wordt ook gecontroleerd op selectief wissen wanneer de gebruiker de app voor het eerst start en zich aanmeldt met het werk- of schoolaccount.

Waarom werken on-premises (on-premises) services niet met Intune beveiligde apps?

Intune app-beveiliging is afhankelijk van de identiteit van de gebruiker die consistent is tussen de toepassing en de Intune App SDK. De enige manier om dat te garanderen is via moderne verificatie. Er zijn scenario's waarin apps mogelijk werken met een on-premises configuratie, maar ze zijn niet consistent en niet gegarandeerd.

Is er een veilige manier om webkoppelingen te openen vanuit beheerde apps?

Ja. De IT-beheerder kan app-beveiligingsbeleid implementeren en instellen voor de Microsoft Edge-app. De IT-beheerder kan vereisen dat alle webkoppelingen in Intune beheerde apps worden geopend met behulp van de Microsoft Edge-app.

App-ervaring op Android

Waarom is de Bedrijfsportal-app nodig om Intune app-beveiliging te laten werken op Android-apparaten?

Hoe werken meerdere Intune instellingen voor toegang tot app-beveiliging die zijn geconfigureerd voor dezelfde set apps en gebruikers op Android?

Intune app-beveiligingsbeleid voor toegang wordt in een specifieke volgorde toegepast op apparaten van eindgebruikers wanneer ze toegang proberen te krijgen tot een doel-app vanuit hun bedrijfsaccount. In het algemeen heeft een blok voorrang en vervolgens een waarschuwing die niet kan worden toegestaan. Als dit bijvoorbeeld van toepassing is op de specifieke gebruiker/app, wordt een instelling voor de minimale Android-patchversie die een gebruiker waarschuwt om een patch-upgrade uit te voeren, toegepast na de instelling voor de minimale Android-patchversie die de toegang van de gebruiker blokkeert. Dus in het scenario waarin de IT-beheerder de minimale Android-patchversie configureert op 2018-03-01 en de minimale Versie van de Android-patch (alleen waarschuwing) naar 2018-02-01, terwijl het apparaat dat toegang probeert te krijgen tot de app zich op een patchversie bevindt 2018-01-01, wordt de eindgebruiker geblokkeerd op basis van de meer beperkende instelling voor Android-patchversie die leidt tot geblokkeerde toegang.

Wanneer u met verschillende typen instellingen te maken krijgt, heeft een app-versievereiste voorrang, gevolgd door de vereiste versie van het Android-besturingssysteem en de vereiste voor de android-patchversie. Vervolgens worden eventuele waarschuwingen voor alle typen instellingen in dezelfde volgorde gecontroleerd.

Intune app-beveiligingsbeleid biedt beheerders de mogelijkheid om eindgebruikers te verplichten de apparaatintegriteitscontrole van Google Play voor Android-apparaten door te voeren. Hoe vaak wordt een nieuw resultaat van de apparaatintegriteitscontrole van Google Play verzonden naar de service?

De Intune-service neemt contact op met Google Play met een niet-configureerbaar interval dat wordt bepaald door de servicebelasting. Elke IT-beheerder die een actie heeft geconfigureerd voor de instelling voor apparaatintegriteitscontrole van Google Play, wordt uitgevoerd op basis van het laatst gerapporteerde resultaat aan de Intune service op het moment van voorwaardelijke start. Als het apparaatintegriteitsresultaat van Google compatibel is, wordt er geen actie ondernomen. Als het resultaat van de apparaatintegriteit van Google niet compatibel is, wordt de geconfigureerde actie van de IT-beheerder onmiddellijk uitgevoerd. Als de aanvraag voor de apparaatintegriteitscontrole van Google Play om welke reden dan ook mislukt, wordt het resultaat in de cache van de vorige aanvraag maximaal 24 uur gebruikt of wordt het apparaat opnieuw opgestart, wat ooit het eerst gebeurt. Op dat moment blokkeert Intune app-beveiligingsbeleid de toegang totdat een huidig resultaat kan worden verkregen.

Intune App-beveiligingsbeleid biedt beheerders de mogelijkheid om eindgebruikers te verplichten signalen te verzenden via de Verify Apps-API van Google voor Android-apparaten. Hoe kan een eindgebruiker de app-scan inschakelen zodat de toegang hierdoor niet wordt geblokkeerd?

De instructies voor hoe u dit doet, verschilt enigszins per apparaat. In het algemeen gaat u naar de Google Play Store, klikt u op Mijn apps & games en klikt u op het resultaat van de laatste app-scan, waarmee u naar het menu Play Protect gaat. Zorg ervoor dat de wisselknop voor Apparaat scannen op beveiligingsrisico's is ingeschakeld.

Wat controleert de Play Integrity-API van Google eigenlijk op Android-apparaten? Wat is het verschil tussen de configureerbare waarden 'Basisintegriteit controleren' en 'Basisintegriteit controleren & gecertificeerde apparaten'?

Intune maakt gebruik van Google Play Integrity API's om toe te voegen aan onze bestaande basisdetectiecontroles voor niet-ingeschreven apparaten. Google heeft deze API-set ontwikkeld en onderhouden voor Android-apps die kunnen worden gebruikt als ze niet willen dat hun apps worden uitgevoerd op geroote apparaten. De Android Pay-app heeft dit bijvoorbeeld opgenomen. Hoewel Google niet alle controles voor basisdetectie openbaar deelt, verwachten we dat deze API's gebruikers detecteren die hun apparaten hebben geroot. Deze gebruikers kunnen vervolgens worden geblokkeerd voor toegang of hun bedrijfsaccounts worden gewist vanuit hun apps waarvoor beleid is ingeschakeld. 'Basisintegriteit controleren' vertelt u over de algemene integriteit van het apparaat. Geroote apparaten, emulators, virtuele apparaten en apparaten met tekenen van manipulatie mislukken de basisintegriteit. 'Controleer de basisintegriteit & gecertificeerde apparaten' vertelt u over de compatibiliteit van het apparaat met de services van Google. Alleen niet-gewijzigde apparaten die door Google zijn gecertificeerd, kunnen deze controle doorstaan. Apparaten die mislukken, zijn onder andere:

  • Apparaten met een fout in de basisintegriteit
  • Apparaten met een ontgrendeld opstartprogramma
  • Apparaten met een aangepaste systeeminstallatiekopieën/ROM
  • Apparaten waarvoor de fabrikant geen Google-certificering heeft aangevraagd of slaagt
  • Apparaten met een systeeminstallatiekopie die rechtstreeks is gebouwd op basis van de Bronbestanden van het Android Open Source-programma
  • Apparaten met een bèta-/ontwikkelaar-previewsysteeminstallatiekopieën

Zie de documentatie van Google over Play Integrity API voor technische informatie.

Er zijn twee vergelijkbare controles in de sectie Voorwaardelijk starten bij het maken van een Intune app-beveiligingsbeleid voor Android-apparaten. Moet ik de instelling 'Play integrity verdict' of de instelling 'jailbroken/geroote apparaten' vereisen?

Google Play Integrity API-controles vereisen dat de eindgebruiker online is, ten minste voor de duur van het moment waarop de 'roundtrip' voor het bepalen van de attestation-resultaten wordt uitgevoerd. Als de eindgebruiker offline is, kan de IT-beheerder nog steeds verwachten dat een resultaat wordt afgedwongen vanuit de instelling 'jailbroken/geroote apparaten'. Dat gezegd hebbende, als de eindgebruiker te lang offline is geweest, treedt de waarde 'Offline respijtperiode' in het spel en wordt alle toegang tot werk- of schoolgegevens geblokkeerd zodra die timerwaarde is bereikt, totdat netwerktoegang beschikbaar is. Als u beide instellingen inschakelt, is een gelaagde benadering mogelijk om apparaten van eindgebruikers in orde te houden. Dit is belangrijk wanneer eindgebruikers toegang hebben tot werk- of schoolgegevens op mobiele apparaten.

Voor de instellingen voor het app-beveiligingsbeleid die gebruikmaken van Google Play Protect-API's, moet Google Play Services functioneren. Wat gebeurt er als Google Play-services niet zijn toegestaan op de locatie waar de eindgebruiker zich bevindt?

Zowel de instellingen 'Play integrity verdict' als 'Threat scan on apps' vereisen dat de door Google bepaalde versie van Google Play Services correct werkt. Omdat dit instellingen zijn die vallen op het gebied van beveiliging, wordt de eindgebruiker geblokkeerd als deze instellingen zijn gericht op deze instellingen en niet voldoen aan de juiste versie van Google Play Services of geen toegang hebben tot Google Play Services.

App-ervaring in iOS

Wat gebeurt er als ik een vingerafdruk of gezicht aan mijn apparaat toevoeg of verwijder?

Intune app-beveiligingsbeleid staat alleen de Intune gelicentieerde gebruiker controle toe over de toegang tot apps. Een van de manieren om de toegang tot de app te beheren, is door de Touch ID of Face ID van Apple op ondersteunde apparaten te vereisen. Intune implementeert een gedrag waarbij als er een wijziging is in de biometrische database van het apparaat, Intune de gebruiker om een pincode vraagt wanneer de volgende time-outwaarde voor inactiviteit wordt bereikt. Wijzigingen in biometrische gegevens omvatten het toevoegen of verwijderen van een vingerafdruk of gezicht. Als de Intune gebruiker geen pincode heeft ingesteld, wordt er een Intune pincode ingesteld.

De bedoeling hiervan is om de gegevens van uw organisatie binnen de app veilig en beveiligd te houden op app-niveau. Deze functie is alleen beschikbaar voor iOS/iPadOS en vereist de deelname van toepassingen die de Intune APP SDK voor iOS/iPadOS, versie 9.0.1 of hoger integreren. Integratie van de SDK is noodzakelijk, zodat het gedrag kan worden afgedwongen op de doeltoepassingen. Deze integratie vindt doorlopend plaats en is afhankelijk van de specifieke toepassingsteams. Sommige apps die deelnemen, zijn WXP, Outlook, Managed Browser en Yammer.

Ik kan de iOS-shareextensie gebruiken om werk- of schoolgegevens te openen in onbeheerde apps, zelfs als het beleid voor gegevensoverdracht is ingesteld op 'alleen beheerde apps' of 'geen apps'. Lekt dit geen gegevens?

Intune app-beveiligingsbeleid kan de iOS-shareextensie niet beheren zonder het apparaat te beheren. Daarom versleutelt Intune 'zakelijke' gegevens voordat deze buiten de app worden gedeeld. U kunt dit valideren door te proberen het 'zakelijke' bestand buiten de beheerde app te openen. Het bestand moet zijn versleuteld en kan niet worden geopend buiten de beheerde app.

Hoe werken meerdere Intune instellingen voor toegang tot app-beveiliging die zijn geconfigureerd voor dezelfde set apps en gebruikers in iOS?

Intune app-beveiligingsbeleid voor toegang wordt in een specifieke volgorde toegepast op apparaten van eindgebruikers wanneer ze toegang proberen te krijgen tot een doel-app vanuit hun bedrijfsaccount. In het algemeen heeft een wisbewerking voorrang, gevolgd door een blok en vervolgens een waarschuwing die niet kan worden toegestaan. Indien van toepassing op de specifieke gebruiker/app, wordt bijvoorbeeld een minimale iOS-/iPadOS-besturingssysteeminstelling die een gebruiker waarschuwt om de iOS-/iPadOS-versie bij te werken, toegepast na de minimale instelling van het iOS-/iPadOS-besturingssysteem die de gebruiker de toegang blokkeert. Dus in het scenario waarin de IT-beheerder het minimale iOS-/iPadOS-besturingssysteem configureert op 11.0.0.0 en het minimale iOS-/iPadOS-besturingssysteem (alleen waarschuwing) naar 11.1.0.0, terwijl het apparaat dat toegang probeert te krijgen tot de app zich op iOS/iPadOS 10 bevond, zou de eindgebruiker worden geblokkeerd op basis van de meer beperkende instelling voor minimale versie van het iOS-/iPadOS-besturingssysteem, wat leidt tot geblokkeerde toegang.

Wanneer u te maken hebt met verschillende typen instellingen, heeft een Intune App SDK-versievereiste voorrang en vervolgens een vereiste voor de app-versie, gevolgd door de vereiste voor de versie van het iOS-/iPadOS-besturingssysteem. Vervolgens worden eventuele waarschuwingen voor alle typen instellingen in dezelfde volgorde gecontroleerd. U wordt aangeraden de vereiste Intune App SDK-versie alleen te configureren op basis van richtlijnen van het Intune productteam voor essentiële blokkeringsscenario's.