Beleidsregels voor app-configuratie voor Microsoft Intune

App-configuratiebeleid kan u helpen problemen met het instellen van apps te elimineren door configuratie-instellingen toe te wijzen aan een beleid dat is toegewezen aan eindgebruikers voordat ze de app uitvoeren. De instellingen worden vervolgens automatisch opgegeven wanneer de app is geconfigureerd op het apparaat van eindgebruikers en eindgebruikers geen actie hoeven te ondernemen. De configuratie-instellingen zijn uniek voor elke app.

U kunt app-configuratiebeleidsregels maken en gebruiken om configuratie-instellingen te bieden voor zowel iOS-/iPadOS- als Android-apps. Met deze configuratie-instellingen kan een app worden aangepast met behulp van app-configuratie en -beheer. De instellingen voor het configuratiebeleid worden gebruikt wanneer de app op deze instellingen controleert, meestal de eerste keer dat de app wordt uitgevoerd.

Voor een app-configuratie-instelling moet u bijvoorbeeld een van de volgende details opgeven:

• Een aangepast poortnummer
• Taalinstellingen
• Beveiligingsinstellingen
• Huisstijlinstellingen, zoals een bedrijfslogo

Als eindgebruikers in plaats daarvan deze instellingen zouden invoeren, kunnen ze dit onjuist doen. App-configuratiebeleid kan zorgen voor consistentie binnen een onderneming en helpdeskgesprekken verminderen van eindgebruikers die zelf instellingen proberen te configureren. Door app-configuratiebeleid te gebruiken, kan de acceptatie van nieuwe apps eenvoudiger en sneller zijn.

De beschikbare configuratieparameters en de implementatie van de configuratieparameters worden bepaald door de ontwikkelaars van de toepassing. Documentatie van de leverancier van de toepassing moet worden bekeken om te zien welke configuraties beschikbaar zijn en hoe de configuraties het gedrag van de toepassing beïnvloeden. Voor sommige toepassingen vult Intune de beschikbare configuratie-instellingen in.

Opmerking

In de beheerde Google Play Store worden apps die ondersteuning bieden voor configuratie als zodanig gemarkeerd:

U ziet alleen apps uit beheerde Google Play Store, niet de Google Play Store, wanneer u Beheerde apparaten gebruikt als inschrijvingstype voor Android-apparaten.

U kunt een app-configuratiebeleid toewijzen aan een groep eindgebruikers en apparaten door een combinatie van toewijzingen voor opnemen en uitsluiten te gebruiken. Als onderdeel van het proces voor het toevoegen of bijwerken van een app-configuratiebeleid kunt u de toewijzingen voor het app-configuratiebeleid instellen. Wanneer u de toewijzingen voor het beleid instelt, kunt u ervoor kiezen om de groepen eindgebruikers op te nemen en uit te sluiten waarop het beleid van toepassing is. Wanneer u ervoor kiest om een of meer groepen op te nemen, kunt u ervoor kiezen om specifieke groepen op te nemen of ingebouwde groepen te selecteren. Ingebouwde groepen zijn alle gebruikers, alle apparaten en alle gebruikers + alle apparaten.

U kunt ook filters gebruiken om het toewijzingsbereik te verfijnen bij het implementeren van app-configuratiebeleid voor beheerde iOS- en Android-apparaten. U moet eerst een filter maken met behulp van een van de beschikbare eigenschappen voor iOS en Android. Vervolgens kunt u in Microsoft Intune beheercentrum uw configuratiebeleid voor beheerde apps toewijzen door Apps>App-configuratiebeleid>Beheerde apparatentoevoegen> te selecteren en naar de toewijzingspagina te gaan. Nadat u een groep hebt geselecteerd, kunt u de toepasbaarheid van het beleid verfijnen door een filter te kiezen en dit te gebruiken in de modus Opnemen of Uitsluiten .

De workload app-configuratiebeleid bevat een lijst met app-configuratiebeleidsregels die zijn gemaakt voor uw tenant. Deze lijst bevat details, zoals Naam, Platform, Bijgewerkt, Inschrijvingstype en Bereiktags. Selecteer het beleid voor meer informatie over een specifiek app-configuratiebeleid. In het deelvenster Overzicht van beleid ziet u specifieke details, zoals de beleidsstatus op basis van het apparaat en op basis van de gebruiker, en of het beleid is toegewezen.

Apps die ondersteuning bieden voor app-configuratie

App-configuratie kan worden geleverd via het MDM-besturingssysteemkanaal (Mobile Device Management) op ingeschreven apparaten (Managed App Configuration-kanaal voor iOS of Android in het Enterprise-kanaal voor Android) of via het MAM-kanaal (Mobile Application Management).

Intune vertegenwoordigt deze verschillende kanalen voor app-configuratiebeleid als:

• Beheerde apparaten : het apparaat wordt beheerd door Intune als de geïntegreerde provider voor eindpuntbeheer. De app moet worden vastgemaakt aan het beheerprofiel op iOS/iPadOS of worden geïmplementeerd via Beheerde Google Play op Android-apparaten. Daarnaast ondersteunt de app de gewenste app-configuratie.
• Beheerde apps : een app die de Intune App SDK heeft geïntegreerd of die is verpakt met de Intune Wrapping Tool en app-beveiligingsbeleid (APP) ondersteunt. In deze configuratie is de inschrijvingsstatus van het apparaat en de wijze waarop de app aan het apparaat wordt geleverd, niet van belang. De app ondersteunt de gewenste app-configuratie.

Apps kunnen instellingen voor app-configuratiebeleid anders verwerken ten opzichte van de gebruikersvoorkeur. Met Outlook voor iOS en Android respecteert de configuratie-instelling van de app Postvak IN met prioriteit de gebruikersinstelling, zodat de gebruiker de beheerdersintentie kan overschrijven. Met andere instellingen kunt u bepalen of een gebruiker de instelling al dan niet kan wijzigen op basis van de intentie van de beheerder.

Opmerking

Intune vereist Android 8.x of hoger voor apparaatinschrijvingsscenario's en app-configuratie die wordt geleverd via app-configuratiebeleid voor beheerde apparaten. Deze vereiste is niet van toepassing op Android-apparaten van Microsoft Teams , omdat deze apparaten nog steeds worden ondersteund.

Voor intune-app-beveiligingsbeleid en app-configuratie die wordt geleverd via app-configuratiebeleid voor beheerde apps, vereist Intune Android 9.0 of hoger.

Beheerde apparaten

Het selecteren van beheerde apparaten als apparaatinschrijvingstype verwijst specifiek naar apps die door Intune zijn geïmplementeerd op het ingeschreven apparaat en dus worden beheerd door Intune als de inschrijvingsprovider.

Ter ondersteuning van app-configuratie voor apps die zijn geïmplementeerd via Intune op ingeschreven apparaten, moeten apps worden geschreven om het gebruik van app-configuraties te ondersteunen, zoals gedefinieerd door het besturingssysteem. Neem contact op met de leverancier van uw app voor meer informatie over welke app-configuratiesleutels ze ondersteunen voor levering via het MDM-besturingssysteemkanaal. Er zijn over het algemeen vier scenario's voor het leveren van app-configuratie met behulp van het MDM-besturingssysteemkanaal:

• Alleen werk- of schoolaccounts toestaan
• Configuratie-instellingen voor accountinstellingen
• Algemene app-configuratie-instellingen
• S/MIME-configuratie-instellingen

Beheerde apps

Het selecteren van beheerde apps als apparaatinschrijvingstype verwijst specifiek naar apps die zijn geconfigureerd met een Intune-beleid voor app-beveiliging op apparaten, ongeacht de registratiestatus.

Als u app-configuratie via het MAM-kanaal wilt ondersteunen, moet de app zijn geïntegreerd met de Intune App SDK. Line-Of-Business-apps kunnen de Intune App SDK integreren of de Intune-App Wrapping Tool gebruiken. Zie Line-Of-Business-apps voorbereiden voor app-beveiligingsbeleid voor een vergelijking tussen de Intune App SDK en de Intune-App Wrapping Tool.

Voor de levering van app-configuratie via het MAM-kanaal is niet vereist dat het apparaat wordt ingeschreven of dat de app wordt beheerd of geleverd via de geïntegreerde oplossing voor eindpuntbeheer. Er zijn drie scenario's voor het leveren van app-configuratie met behulp van het MAM-kanaal:

• Algemene app-configuratie-instellingen
• S/MIME-configuratie-instellingen
• Geavanceerde instellingen voor APP-gegevensbeveiliging waarmee de mogelijkheden van app-beveiligingsbeleid worden uitgebreid

Opmerking

Door Intune beheerde apps worden met een interval van 30 minuten ingecheckt voor intune App Configuration beleidsstatus wanneer deze wordt geïmplementeerd in combinatie met een Intune-beleid voor app-beveiliging. Als er geen Intune-beleid voor app-beveiliging is toegewezen aan de gebruiker, wordt het incheckinterval voor Intune App Configuration-beleid ingesteld op 720 minuten.

Zie beveiligde apps Microsoft Intune voor informatie over welke apps app-configuratie via het MAM-kanaal ondersteunen.

Configuratiebeleid voor Android Enterprise-apps

Voor configuratiebeleid voor Android Enterprise-apps kunt u het type apparaatinschrijving selecteren voordat u een app-configuratieprofiel maakt. U kunt gebruikmaken van certificaatprofielen die zijn gebaseerd op het inschrijvingstype.

Inschrijvingstype kan een van de volgende zijn:

• Alle profieltypen: als er een nieuw profiel wordt gemaakt en Alle profieltypen is geselecteerd als apparaatinschrijvingstype, kunt u een certificaatprofiel niet koppelen aan het app-configuratiebeleid. Deze optie ondersteunt verificatie van gebruikersnaam en wachtwoord. Als u verificatie op basis van certificaten gebruikt, gebruikt u deze optie niet.
• Volledig beheerd, Toegewezen en alleen Corporate-Owned werkprofiel: als een nieuw profiel wordt gemaakt en Volledig beheerd, Toegewezen en Corporate-Owned Alleen werkprofiel is geselecteerd, kan het certificaatbeleid volledig beheerd, toegewezen en Corporate-Owned werkprofiel worden gebruikt dat is gemaakt onder Apparaatconfiguratie>. Deze optie ondersteunt verificatie op basis van certificaten en verificatie van gebruikersnaam en wachtwoord. Volledig beheerd heeft betrekking op volledig beheerde Android Enterprise-apparaten (COBO). Toegewezen heeft betrekking op toegewezen Android Enterprise-apparaten (COSU). Werkprofiel in bedrijfseigendom heeft betrekking op Een werkprofiel in Bedrijfseigendom van Android Enterprise (COPE).
• Alleen werkprofiel in persoonlijk eigendom: als er een nieuw profiel wordt gemaakt en Alleen werkprofiel in persoonlijk eigendom is geselecteerd, kan het certificaatbeleid voor werkprofielen dat is gemaakt onder Apparaatconfiguratie> worden gebruikt. Deze optie ondersteunt verificatie op basis van certificaten en verificatie van gebruikersnaam en wachtwoord.

Opmerking

Als u een Gmail- of Nine-configuratieprofiel implementeert in een toegewezen android enterprise-apparaatwerkprofiel waarbij geen gebruiker is betrokken, mislukt dit omdat Intune de gebruiker niet kan oplossen.

Belangrijk

Bestaande beleidsregels die zijn gemaakt vóór de release van deze functie (release van april 2020 - 2004) en waarvoor geen certificaatprofielen zijn gekoppeld aan het beleid, worden standaard ingesteld op Alle profieltypen voor apparaatinschrijvingstype. Ook bestaande beleidsregels die vóór de release van deze functie zijn gemaakt en waaraan certificaatprofielen zijn gekoppeld, worden standaard alleen op Werkprofiel ingesteld.

Met bestaand beleid worden geen nieuwe certificaten hersteld of uitgegeven.

Het toegepaste app-configuratiebeleid valideren

U kunt het app-configuratiebeleid valideren met behulp van de volgende drie methoden:

1. Controleer het app-configuratiebeleid zichtbaar op het apparaat. Controleer of de doel-app het gedrag vertoont dat is toegepast in het app-configuratiebeleid.

2. Controleer dit via diagnostische logboeken (zie de sectie Diagnostische logboeken hieronder).

3. Controleer in het Microsoft Intune-beheercentrum. Selecteer in het Microsoft Intune-beheercentrumApps>Alle apps>selecteer de gerelateerde app*. Selecteer vervolgens in de sectie Controleren de optie Apparaatinstallatiestatus: Apparaatinstallatiestatusrapport bewaakt de meest recente check-in's voor alle apparaten waarop het configuratiebeleid is gericht.

   Selecteer bovendien in het Microsoft Intune-beheercentrumapparaten>Alle apparaten>selecteert u eenapp-configuratie van het apparaat>. In het deelvenster app-configuratie** worden alle toegewezen beleidsregels en hun status weergegeven:

   

Diagnostische logboeken

iOS-/iPadOS-configuratie op onbeheerde apparaten

U kunt de iOS-/iPadOS-configuratie valideren met het diagnostische logboek van Intune voor instellingen die zijn geïmplementeerd via het configuratiebeleid voor beheerde apps. Naast de onderstaande stappen hebt u toegang tot logboeken van beheerde apps met behulp van Microsoft Edge. Zie Microsoft Edge voor iOS en Android gebruiken voor toegang tot beheerde app-logboeken voor meer informatie.

1. Als dit nog niet op het apparaat is geïnstalleerd, downloadt en installeert u Microsoft Edge vanaf de App Store. Zie beveiligde apps Microsoft Intune voor meer informatie.

2. Start Microsoft Edge en voer about:intunehelp in het adresvak in.

3. Klik op Aan de slag.

4. Klik op Logboeken delen.

5. Gebruik de e-mail-app van uw keuze om het logboek naar uzelf te verzenden, zodat ze op uw pc kunnen worden weergegeven.

6. Bekijk IntuneMAMDiagnostics.txt in uw tekstbestandviewer.

7. ApplicationConfigurationZoek naar . De resultaten zien er als volgt uit:

       {
           (
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                   Value = "https://www.aol.com";
               },
               {
                   Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                   Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
               }
           );
       },
       {
           ApplicationConfiguration =             
           (
               {
               Name = IntuneMAMUPN;
               Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
               },
               {
               Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled";
               Value = true;
               }
           );
       }
   

De details van de toepassingsconfiguratie moeten overeenkomen met het toepassingsconfiguratiebeleid dat is geconfigureerd voor uw tenant.

iOS-/iPadOS-configuratie op beheerde apparaten

U kunt de iOS-/iPadOS-configuratie valideren met het diagnostische logboek van Intune op beheerde apparaten voor de configuratie van beheerde apps.

1. Als dit nog niet op het apparaat is geïnstalleerd, downloadt en installeert u Microsoft Edge vanaf de App Store. Zie beveiligde apps Microsoft Intune voor meer informatie.
2. Start Microsoft Edge en voer about:intunehelp in het adresvak in.
3. Klik op Aan de slag.
4. Klik op Logboeken delen.
5. Gebruik de e-mail-app van uw keuze om het logboek naar uzelf te verzenden, zodat ze op uw pc kunnen worden weergegeven.
6. Bekijk IntuneMAMDiagnostics.txt in uw tekstbestandviewer.
7. AppConfigZoek naar . De resultaten moeten overeenkomen met het toepassingsconfiguratiebeleid dat is geconfigureerd voor uw tenant.

Android-configuratie op beheerde apparaten

U kunt de Android-configuratie valideren met het Diagnostische logboek van Intune op beheerde apparaten voor configuratie van beheerde apps.

Als u logboeken van een Android-apparaat wilt verzamelen, moet u of de eindgebruiker de logboeken van het apparaat downloaden via een USB-verbinding (of de Bestandenverkenner equivalent op het apparaat). Dit doet u als volgt:

1. Sluit het Android-apparaat aan op uw computer met de USB-kabel.

2. Zoek op de computer naar een map met de naam van uw apparaat. Zoek in Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportaldie map naar .

3. Open in de com.microsoft.windowsintune.companyportal map de map Bestanden en open OMADMLog_0.

4. AppConfigHelper Zoek naar berichten met betrekking tot app-configuratie. De resultaten zien er ongeveer uit als in het volgende gegevensblok:

   2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

Graph API ondersteuning voor app-configuratie

U kunt Graph API gebruiken om app-configuratietaken uit te voeren. Zie Graph API referentieconfiguratie van mam voor meer informatie. Zie Werken met Intune in Microsoft Graph voor meer informatie over Intune en Graph.

Probleemoplossing

Logboeken gebruiken om een configuratieparameter weer te geven

Wanneer in de logboeken een configuratieparameter wordt weergegeven die is bevestigd dat deze van toepassing is, maar niet lijkt te werken, is er mogelijk een probleem met de configuratie-implementatie door de app-ontwikkelaar. Als u eerst contact opslaat met die app-ontwikkelaar of de Knowledge Base controleert, kunt u een ondersteuningsgesprek met Microsoft besparen. Als het een probleem is met de manier waarop de configuratie wordt verwerkt in een app, moet dit worden opgelost in een toekomstige bijgewerkte versie van die app.

Volgende stappen

Beheerde apparaten

• Meer informatie over het gebruik van app-configuratie met uw iOS-/iPadOS-apparaten. Zie App-configuratiebeleid toevoegen voor beheerde iOS-/iPadOS-apparaten.
• Meer informatie over het gebruik van app-configuratie met uw Android-apparaten. Zie App-configuratiebeleid voor beheerde Android-apparaten toevoegen.

Beheerde apps

• Meer informatie over het gebruik van app-configuratie met beheerde apps. Zie App-configuratiebeleid voor beheerde apps toevoegen zonder apparaatinschrijving.