Delen via

Beleidsregels voor app-configuratie toevoegen voor beheerde Android Enterprise-apparaten

  • Artikel

App-configuratiebeleidsregels in Microsoft Intune instellingen opgeven voor beheerde Google Play-apps op beheerde Android Enterprise-apparaten. De app-ontwikkelaar stelt door Android beheerde app-configuratie-instellingen beschikbaar. Intune gebruikt deze blootgestelde instelling om de beheerder functies voor de app te laten configureren. Het app-configuratiebeleid wordt toegewezen aan je gebruikersgroepen. De beleidsinstellingen worden gebruikt wanneer de app deze controleert, meestal de eerste keer dat de app wordt uitgevoerd.

Niet elke app ondersteunt app-configuratie. Neem contact op met de app-ontwikkelaar om te zien of hun app app-configuratiebeleid ondersteunt.

Opmerking

Intune vereist Android 8.x of hoger voor apparaatenrollmentscneario's en app-configuratie die wordt geleverd via app-configuratiebeleid voor beheerde apparaten. Deze vereiste is niet van toepassing op Android-apparaten van Microsoft Teams, omdat deze apparaten nog steeds worden ondersteund.

Voor intune-app-beveiligingsbeleid en app-configuratie die wordt geleverd via app-configuratiebeleid voor beheerde apps, vereist Intune Android 9.0 of hoger.

E-mailapps

Android Enterprise heeft verschillende inschrijvingsmethoden. Het inschrijvingstype is afhankelijk van hoe e-mail is geconfigureerd op het apparaat:

  • Gebruik voor volledig beheerde, toegewezen en bedrijfseigendom van Android Enterprise een app-configuratiebeleid en de stappen in dit artikel. App-configuratiebeleid ondersteunt e-mailapps van Gmail en Nine Work.
  • Maak op Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel een configuratieprofiel voor Android Enterprise-e-mailapparaten. Wanneer je het profiel maakt, kun je instellingen configureren voor e-mailclients die app-configuratiebeleid ondersteunen. Wanneer je de configuratieontwerper gebruikt, bevat Intune e-mailinstellingen die specifiek zijn voor Gmail- en Nine Work-apps.

Beleid voor app-beheer maken

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Kies voor Apps>App-configuratiebeleid>Toevoegen>Beheerde apparaten. Je kunt kiezen tussen Beheerde apparaten en Beheerde apps. Zie Apps die app-configuratie ondersteunen voor meer informatie.

  3. Geef op de pagina Basisinformatie de volgende gegevens op:

    • Naam - de naam van het profiel dat wordt weergegeven in de portal.
    • Beschrijving - De beschrijving van het profiel dat in de portal wordt weergegeven.
    • Apparaatinschrijvingstype - deze instelling is ingesteld op Beheerde apparaten.

  4. Selecteer Android Enterprise als het Platform.

  5. Klik op App selecteren naast Doel-app. Het deelvenster Gekoppelde app wordt weergegeven.

  6. Kies in het deelvenster Gekoppelde app de beheerde app die je wilt koppelen aan het configuratiebeleid en klik op OK.

  7. Klik op Volgende om de pagina Instellingen weer te geven.

  8. Klik op Toevoegen om het deelvenster Machtigingen toevoegen weer te geven.

  9. Klik op de machtigingen die je wilt overschrijven. Verleende machtigingen overschrijven het beleid 'Standaard-app-machtigingen' voor de geselecteerde apps.

  10. Stel de machtigingsstatus in voor elke machtiging. Je kunt kiezen uit Vragen, Automatische toekenning of Automatisch weigeren.

    Opmerking

    Vanaf Android 12 wordt het configureren van Automatische toekenning voor de volgende machtigingen niet ondersteund voor werkprofielen in coporate-eigendom of toegewezen apparaten in bedrijfseigendom.

    • SMS (gelezen)
    • Locatietoegang (grof)
    • Locatietoegang (prima)
    • Camera
    • Audio opnemen
    • Lichaamssensorgegevens toestaan

  11. Als de beheerde app configuratie-instellingen ondersteunt, wordt de vervolgkeuzelijst Indeling van configuratie-instellingen weergegeven. Selecteer een van de volgende methoden om configuratiegegevens toe te voegen:

    • Configuration Designer gebruiken
    • JSON-gegevens invoeren

    Zie Configuration Designer gebruikenvoor meer informatie over het gebruik van de configuratieontwerper. Zie JSON-gegevens invoeren voor meer informatie over het invoeren van XML-gegevens.

  12. Als je gebruikers in staat wilt stellen om verbinding te maken met de doel-app in zowel de werk- als persoonlijke profielen, selecteer je Ingeschakelde naast Verbonden apps.

    Schermopname van configuratiebeleid - Instellingen

    Opmerking

    Deze instelling werkt alleen voor apparaten met een werkprofiel in persoonlijk eigendom en werkprofiel in bedrijfseigendom.

    Als je de instelling Verbonden apps wijzigt naar Niet geconfigureerd, wordt het configuratiebeleid niet van het apparaat verwijderd. Als je de functionaliteit Verbonden apps van een apparaat wilt verwijderen, moet je de toewijzing van het bijbehorende configuratiebeleid ongedaan maken.

  13. Klik op Volgende om de pagina Bereiktags weer te geven.

  14. [Optioneel] Je kunt bereiktags configureren voor je app-configuratiebeleid. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde ITvoor meer informatie over bereiktags.

  15. Klik op Volgende om de pagina Instellingen weer te geven.

  16. Selecteer in de vervolgkeuzelijst naast Toewijzen aande optie Groepen toevoegen, Alle gebruikers toevoegen of Alle apparaten toevoegen om het app-configuratiebeleid toe te wijzen. Nadat je een toewijzingsgroep hebt geselecteerd, kun je een filter selecteren om het toewijzingsbereik te verfijnen bij het implementeren van app-configuratiebeleid voor beheerde apparaten.

    Schermopname van beleidstoewijzingen - Toewijzingen

  17. Selecteer Alle gebruikers in de vervolgkeuzelijst.

    Schermopname van beleidstoewijzingen - vervolgkeuzelijst Alle gebruikers

  18. [Optioneel] Klik op Filter bewerken om een filter toe te voegen en het toewijzingsbereik te verfijnen.

    Schermopname van beleidstoewijzingen - Filter bewerken

  19. Klik op Groepen selecteren om uit te sluiten om het gerelateerde deelvenster weer te geven.

  20. Kies de groepen die je wilt uitsluiten en klik op Selecteren.

    Opmerking

    Wanneer je een groep toevoegt en een andere groep al is opgenomen voor een bepaald toewijzingstype, is deze vooraf geselecteerd en kan deze niet worden gewijzigd voor andere toewijzingstypen voor opnemen. De groep die is gebruikt, kan daarom niet worden gebruikt als een uitgesloten groep.

  21. Klik op Volgende om de pagina Controleren en maken weer te geven.

  22. Klik op Maken om het app-configuratiebeleid toe te voegen aan Intune.

De configuration designer gebruiken

Je kunt de configuratieontwerper gebruiken voor beheerde Google Play-apps wanneer de app is ontworpen om configuratie-instellingen te ondersteunen. De configuratie is van toepassing op apparaten die zijn ingeschreven bij Intune. Met de ontwerpfunctie kun je specifieke configuratiewaarden configureren voor de instellingen die door de app worden weergegeven.

  1. Kies Toevoegen. Kies de lijst met configuratie-instellingen die je wilt invoeren voor de app.

    Als je Gmail- of Nine Work-e-mailapps gebruikt, bevat Android Enterprise-apparaatinstellingen voor het configureren van e-mail meer informatie over deze specifieke instellingen.

  2. Stel voor elke sleutel en waarde in de configuratie het volgende in:

    • Waardetype: het gegevenstype van de configuratiewaarde. Voor Tekenreekswaardetypen kunt je desgewenst een variabele of certificaatprofiel als waardetype kiezen.
    • Configuratiewaarde: de waarde voor de configuratie. Als je een variabele of certificaat selecteert voor het type Waarde, kies je uit een lijst met variabelen of certificaatprofielen. Als je een certificaat kiest, wordt de certificaatalias van het certificaat dat op het apparaat is geïmplementeerd, tijdens runtime ingevuld.

Ondersteunde variabelen voor configuratiewaarden

Je kunt de volgende opties kiezen als je variabele als waardetype kiest:

Optie Voorbeeld
Microsoft Entra-apparaat-id dc0dc142-11d8-4b12-bfea-cae2a8514c82
Account-id fc0dc142-71d8-4b12-bbea-bae2a8514c81
Intune-apparaat-id b9841cd9-9843-405f-be28-b2265c59ef97
Domein contoso.com
Mail john@contoso.com
Gedeeltelijke UPN John
Gebruikers-id 3ec2c00f-b125-4519-acf0-302ac3761822
Gebruikersnaam John Doe
Principal-naam van gebruiker john@contoso.com

Alleen geconfigureerde organisatieaccounts in apps toestaan

Als Microsoft Intune-beheerder kun je bepalen welke werk- of schoolaccounts worden toegevoegd aan Microsoft-apps op beheerde apparaten. Je kunt de toegang beperken tot alleen toegestane organisatiegebruikersaccounts en persoonlijke accounts op ingeschreven apparaten blokkeren. Gebruik voor Android-apparaten de volgende sleutel-waardeparen in een app-configuratiebeleid voor beheerde apparaten:

Sleutel com.microsoft.intune.mam.AllowedAccountUPNs
Waarden
  • Een of meer ; gescheiden UPN's.
  • Alleen accounts die zijn toegestaan, zijn de beheerde gebruikersaccounts die door deze sleutel zijn gedefinieerd.
  • Voor apparaten die zijn ingeschreven bij Intune, kan het {{userprincipalname}} token worden gebruikt om het geregistreerde gebruikersaccount weer te geven.

Opmerking

De volgende apps verwerken de bovenstaande app-configuratie en staan alleen organisatieaccounts toe:

  • Copilot voor Android (28.1.420328045 en hoger)
  • Edge voor Android (42.0.4.4048 en hoger)
  • Office, Word, Excel, PowerPoint voor Android (16.0.9327.1000 en hoger)
  • OneDrive voor Android (5.28 en hoger)
  • OneNote voor Android (16.0.13231.20222 of hoger)
  • Outlook voor Android (2.2.222 en hoger)
  • Teams voor Android (1416/1.0.0.2020073101 en hoger)

JSON-gegevens invoeren

Sommige configuratie-instellingen voor apps (zoals apps met bundeltypen) kunnen niet worden geconfigureerd met de configuratieontwerper. Gebruik de JSON-editor voor deze waarden. Instellingen worden automatisch aan apps geleverd wanneer de app wordt geïnstalleerd.

  1. Selecteer voor Configuratie instellingen bestandsindeling, JSON-editor invoeren.
  2. In de editor kun je JSON-waarden definiëren voor configuratie-instellingen. Je kunt JSON-sjabloon downloaden kiezen om een voorbeeldbestand te downloaden dat je vervolgens kunt configureren.
  3. Kies OK en kies vervolgens Toevoegen.

Het beleid wordt gemaakt en weergegeven in de lijst.

Wanneer de toegewezen app wordt uitgevoerd op een apparaat, wordt deze uitgevoerd met de instellingen die je hebt geconfigureerd in het app-configuratiebeleid.

Verbonden apps inschakelen

Van toepassing op:
Android 11+

Gebruikers van een werkprofiel in persoonlijk eigendom moeten bedrijfsportalversie 5.0.5291.0 of hoger hebben. Gebruikers van een werkprofiel in bedrijfseigendom hebben geen specifieke versie van de Microsoft Intune-app nodig voor ondersteuning.

Je kunt gebruikers die android-werkprofielen in persoonlijk eigendom en werkprofielen in bedrijfseigendom gebruiken, toestaan om ervaringen met verbonden apps in te schakelen voor ondersteunde apps. Met deze app-configuratie-instelling kunnen apps verbinding maken en app-gegevens integreren in de exemplaren van de werk- en persoonlijke app.

Een app kan deze ervaring alleen bieden als de app moet worden geïntegreerd met de SDK voor verbonden apps van Google, zodat deze alleen door beperkte apps wordt ondersteund. Je kunt de instelling voor verbonden apps proactief inschakelen. Wanneer apps ondersteuning toevoegen, kunnen gebruikers de ervaring met verbonden apps inschakelen.

Als je de instelling Verbonden apps wijzigt naar Niet geconfigureerd, wordt het configuratiebeleid niet van het apparaat verwijderd. Als je de functionaliteit Verbonden apps van een apparaat wilt verwijderen, moet je de toewijzing van het bijbehorende configuratiebeleid ongedaan maken.

Waarschuwing

Als je de functionaliteit van verbonden apps voor een app inschakelt, worden werkgegevens in persoonlijke apps niet beveiligd door een app-beveiligingsbeleid.

Bovendien kunnen sommige OEM's, ongeacht de configuratie van je verbonden apps, automatisch verbinding maken met bepaalde apps of kunnen ze gebruikers goedkeuren om apps te verbinden die je niet hebt geconfigureerd. Een voorbeeld van een app in dit geval is de toetsenbord-app van de OEM.

Er zijn twee manieren waarop gebruikers verbinding kunnen maken met zakelijke en persoonlijke apps nadat je de instelling voor verbonden apps hebt ingeschakeld:

  1. Een ondersteunde app kan ervoor kiezen om een gebruiker te vragen om de verbinding tussen profielen goed te keuren.
  2. Gebruikers kunnen de app Instellingen openen en naar de sectie Verbonden werk- en persoonlijke apps gaan, waar alle ondersteunde apps worden weergegeven.

Belangrijk

Als er meerdere beleidsregels voor app-configuratie zijn toegewezen voor dezelfde app die gericht zijn op hetzelfde apparaat en één beleidsinstelling Verbonden apps op Enabled terwijl het andere beleid dat niet doet, rapporteert de app-configuratie een conflict en is het resulterende gedrag dat op het apparaat wordt toegepast, om de verbonden apps niet toe te staan.

De machtigingsstatus vooraf configureren voor apps

Je kunt ook vooraf app-machtigingen configureren voor toegang tot Android-apparaatfuncties. Standaard vragen Android-apps waarvoor apparaatmachtigingen zijn vereist, zoals toegang tot de locatie of de camera van het apparaat, gebruikers om machtigingen te accepteren of te weigeren.

Een app gebruikt bijvoorbeeld de microfoon van het apparaat. De gebruiker wordt gevraagd de app toestemming te geven om de microfoon te gebruiken.

  1. Selecteer in het Microsoft Intune-beheercentrumApp-configuratiebeleid>App-configuratiebeleid>Toevoegen>Beheerde apparaten.
  2. Voeg de volgende eigenschappen toe:
    • Naam: een unieke beschrijvende naam voor het beleid. Geef je beleid een naam, zodat je ze later eenvoudig kunt identificeren. Een goede beleidsnaam is bijvoorbeeld Android Enterprise prompt permissions app-beleid voor het hele bedrijf.
    • Beschrijving. Beschrijving (optioneel): voer een optionele beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.
    • Apparaatinschrijvingstype: deze instelling is ingesteld op Beheerde apparaten.
    • Platform: selecteer Android Enterprise.
  3. Selecteer Profieltype:
  4. Selecteer Doel-app. Kies de app waaraan je een configuratiebeleid wilt koppelen. Selecteer in de lijst met volledig beheerde android enterprise-apps voor werkprofielen die je hebt goedgekeurd en gesynchroniseerd met Intune.
  5. Selecteer Machtigingen>Toevoegen. Selecteer in de lijst de beschikbare app-machtigingen >OK.
  6. Selecteer een optie voor elke machtiging die u wilt verlenen met dit beleid:
    • Prompt. Vraag de gebruiker om te accepteren of te weigeren.
    • Automatische toekenning. Automatisch goedkeuren zonder de gebruiker hiervan op de hoogte te stellen.
    • Automatisch weigeren. Automatisch weigeren zonder de gebruiker hiervan op de hoogte te stellen.
  7. Als je het app-configuratiebeleid wilt toewijzen, selecteert u het app-configuratiebeleid >Toewijzing>Groepen selecteren. Kies de gebruikersgroepen om Selecteren toe te wijzen>.
  8. Kies Opslaan om het beleid toe te wijzen.

Aanvullende informatie

Volgende stappen

Ga door naar toewijzen en bewaken van de app.