Delen via


App-configuratiebeleidsregels toevoegen voor beheerde iOS-/iPadOS-apparaten

Gebruik app-configuratiebeleid in Microsoft Intune om aangepaste configuratie-instellingen voor een iOS-/iPadOS-app te bieden. Met deze configuratie-instellingen kan een app worden aangepast op basis van de richting van de app-leveranciers. Je moet deze configuratie-instellingen (sleutels en waarden) ophalen van de leverancier van de app. Als je de app wilt configureren, geef je de instellingen op als sleutels en waarden, of als XML die de sleutels en waarden bevat.

Als Microsoft Intune-beheerder kun je bepalen welke gebruikersaccounts worden toegevoegd aan Microsoft 365 (Office)-toepassingen op beheerde apparaten. Je kunt de toegang beperken tot alleen toegestane organisatiegebruikersaccounts en persoonlijke accounts op ingeschreven apparaten blokkeren. De ondersteunende toepassingen verwerken de app-configuratie en verwijderen en blokkeren niet-goedgekeurde accounts. De configuratiebeleidsinstellingen worden gebruikt wanneer de app deze controleert, meestal de eerste keer dat deze wordt uitgevoerd.

Zodra je een app-configuratiebeleid hebt toegevoegd, kun je de toewijzingen voor het app-configuratiebeleid instellen. Wanneer je de toewijzingen voor het beleid instelt, kunt je ervoor kiezen om een filter te gebruiken en de groepen gebruikers op te nemen en uit te sluiten waarop het beleid van toepassing is. Wanneer je ervoor kiest om een of meer groepen op te nemen, kun je ervoor kiezen om specifieke groepen op te nemen of ingebouwde groepen te selecteren. Ingebouwde groepen omvatten alle gebruikers, alle apparaten en alle gebruikers + Alle apparaten.

Opmerking

Intune biedt vooraf gemaakte groepen Alle gebruikers en Alle apparaten in de console met ingebouwde optimalisaties voor jouw gemak. Het wordt ten zeerste aanbevolen dat je deze groepen gebruikt om alle gebruikers en alle apparaten te targeten in plaats van alle groepen 'Alle gebruikers' of 'Alle apparaten' die je mogelijk zelf hebt gemaakt.

Nadat je de opgenomen groepen voor je toepassingsconfiguratiebeleid hebt geselecteerd, kun je ook de specifieke groepen kiezen die je wilt uitsluiten. Zie App-toewijzingen opnemen en uitsluiten in Microsoft Intune voor meer informatie.

Tip

Dit beleidstype is momenteel alleen beschikbaar voor apparaten met iOS/iPadOS 8.0 en hoger. Het ondersteunt de volgende app-installatietypen:

  • Beheerde iOS-/iPadOS-app uit de App Store
  • App-pakket voor iOS

Zie Een app toevoegen aan Microsoft Intune voor meer informatie over app-installatietypen. Zie Beheerde app-configuratie in de documentatie voor iOS-ontwikkelaars voor meer informatie over het opnemen van app-configuratie in je .ipa-app-pakket voor beheerde apparaten.

Beleid voor app-beheer maken

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Kies voor Apps>App-configuratiebeleid>Toevoegen>Beheerde apparaten. Je kunt kiezen tussen Beheerde apparaten en Beheerde apps. Zie Apps die app-configuratie ondersteunen voor meer informatie.

  3. Geef op de pagina Basisinformatie de volgende gegevens op:

    • Naam - De naam van het profiel dat wordt weergegeven in het Microsoft Intune-beheercentrum.
    • Beschrijving - De beschrijving van het profiel dat wordt weergegeven in het Microsoft Intune-beheercentrum.
    • Apparaatinschrijvingstype - Deze instelling is ingesteld op Beheerde apparaten.
  4. Selecteer iOS/iPadOS als platform.

  5. Klik op App selecteren naast Doel-app. Het deelvenster Gekoppelde app wordt weergegeven.

  6. Kies in het deelvenster Doel-app de beheerde app die je wilt koppelen aan het configuratiebeleid en klik op OK.

  7. Klik op Volgende om de pagina Instellingen weer te geven.

  8. Selecteer in de vervolgkeuzelijst de indeling Configuratie-instellingen. Selecteer een van de volgende methoden om configuratiegegevens toe te voegen:

  9. Klik op Volgende om de pagina Bereiktags weer te geven.

  10. [Optioneel] Je kunt bereiktags configureren voor je app-configuratiebeleid. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde ITvoor meer informatie over bereiktags.

  11. Klik op Volgende om de pagina Instellingen weer te geven.

  12. Selecteer op de pagina Toewijzingen de optie Groepen toevoegen, Alle gebruikers toevoegen of Alle apparaten toevoegen om het app-configuratiebeleid toe te wijzen. Nadat je een toewijzingsgroep hebt geselecteerd, kun je een filter selecteren om het toewijzingsbereik te verfijnen bij het implementeren van app-configuratiebeleid voor beheerde apparaten.

    Schermopname van de pagina configuratiebeleidstoewijzingen

  13. Selecteer Alle gebruikers in de vervolgkeuzelijst.

    Schermopname van beleidstoewijzingen - vervolgkeuzelijst Alle gebruikers

  14. [Optioneel] Klik op Filter bewerken om een filter toe te voegen en het toewijzingsbereik te verfijnen.

    Schermopname van beleidstoewijzingen - Filter bewerken

  15. Klik op Groepen selecteren om uit te sluiten om het gerelateerde deelvenster weer te geven.

  16. Kies de groepen die je wilt uitsluiten en klik op Selecteren.

    Opmerking

    Wanneer je een groep toevoegt en een andere groep al is opgenomen voor een bepaald toewijzingstype, is deze vooraf geselecteerd en kan deze niet worden gewijzigd voor andere toewijzingstypen voor opnemen. De groep die is gebruikt, kan daarom niet worden gebruikt als een uitgesloten groep.

  17. Klik op Volgende om de pagina Controleren en maken weer te geven.

  18. Klik op Maken om het app-configuratiebeleid toe te voegen aan Intune.

Configuration Designer gebruiken

Microsoft Intune biedt configuratie-instellingen die uniek zijn voor een app. Je kunt de configuratieontwerper gebruiken voor apps op apparaten die al dan niet zijn ingeschreven bij Microsoft Intune. Met de ontwerpfunctie kun je specifieke configuratiesleutels en -waarden configureren waarmee je de onderliggende XML kunt maken. Je moet ook het gegevenstype voor elke waarde opgeven. Deze instellingen worden automatisch aan apps geleverd wanneer de apps worden geïnstalleerd.

Een instelling toevoegen

  1. Stel voor elke sleutel en waarde in de configuratie het volgende in:
    • Configuratiesleutel - De hoofdlettergevoelige sleutel die de specifieke instellingsconfiguratie uniek identificeert.
    • Waardetype - Het gegevenstype van de configuratiewaarde. Typen zijn onder andere Geheel getal, Echt, Tekenreeks of Booleaanse waarde.
    • Configuratiewaarde - De waarde voor de configuratie.
  2. Kies OK om je configuratie-instellingen in te stellen.

Een instelling verwijderen

  1. Kies het beletselteken (...) naast de instelling.
  2. Selecteer Verwijderen.

De tekens {{ and }} worden alleen gebruikt door tokentypen en mogen niet voor andere doeleinden worden gebruikt.

Alleen geconfigureerde organisatieaccounts in apps toestaan

Als Microsoft Intune-beheerder kun je bepalen welke werk- of schoolaccounts worden toegevoegd aan Microsoft-apps op beheerde apparaten. Je kunt de toegang beperken tot alleen toegestane gebruikersaccounts van de organisatie en persoonlijke accounts in de apps blokkeren (indien ondersteund) op ingeschreven apparaten. Gebruik voor iOS-/iPadOS-apparaten de volgende sleutel-waardeparen in een app-configuratiebeleid voor beheerde apparaten:

Sleutel Waarden
IntuneMAMAllowedAccountsOnly
  • Ingeschakeld -Het enige account dat is toegestaan, is het beheerde gebruikersaccount dat is gedefinieerd met de IntuneMAMUPN-sleutel.
  • Uitgeschakeld (of een waarde die geen hoofdlettergevoelige overeenkomst is met Ingeschakeld): elk account is toegestaan.
IntuneMAMUPN
  • UPN van het account dat is toegestaan om zich aan te melden bij de app.
  • Voor apparaten die zijn ingeschreven bij Intune, kan het {{userprincipalname}} token worden gebruikt om het geregistreerde gebruikersaccount weer te geven.

Opmerking

De volgende apps verwerken de bovenstaande app-configuratie en staan alleen organisatieaccounts toe:

  • Copilot voor iOS (28.1.420324001 en hoger)
  • Edge voor iOS (44.8.7 en hoger)
  • Office, Word, Excel, PowerPoint voor iOS (2.41 en hoger)
  • OneDrive voor iOS (10.34 en hoger)
  • OneNote voor iOS (2.41 en hoger)
  • Outlook voor iOS (2.99.0 en hoger)
  • Teams voor iOS (2.0.15 en hoger)

Geconfigureerde organisatieaccounts in apps vereisen

Op ingeschreven apparaten kunnen organisaties vereisen dat het werk- of schoolaccount is aangemeld bij beheerde Microsoft-apps om organisatiegegevens van andere beheerde apps te ontvangen. Denk bijvoorbeeld aan het scenario waarin de gebruiker bijlagen heeft opgenomen in e-mailberichten die zijn opgenomen in het beheerde e-mailprofiel in de systeemeigen iOS-e-mailclient. Als de gebruiker probeert de bijlagen over te dragen naar een Microsoft-app, zoals Office, die wordt beheerd op het apparaat en waarop deze sleutels zijn toegepast, wordt de overgedragen bijlage in deze configuratie behandeld als organisatiegegevens, waarbij het werk- of schoolaccount moet worden aangemeld en de instellingen voor het app-beveiligingsbeleid worden afgedwongen.

Gebruik voor iOS-/iPadOS-apparaten de volgende sleutel-waardeparen in een app-configuratiebeleid voor beheerde apparaten voor elke Microsoft-app:

Sleutel Waarden
IntuneMAMRequireAccounts
  • Ingeschakeld: Voor de app moet de gebruiker zich aanmelden bij het beheerde gebruikersaccount dat is gedefinieerd door de IntuneMAMUPN-sleutel om organisatiegegevens te ontvangen.
  • Uitgeschakeld (of een waarde die geen niet hoofdlettergevoelige overeenkomst is met Ingeschakeld): er is geen accountaanmelding vereist
IntuneMAMUPN
  • UPN van het account dat is toegestaan om zich aan te melden bij de app.
  • Voor apparaten die zijn ingeschreven bij Intune, kan het {{userprincipalname}} token worden gebruikt om het geregistreerde gebruikersaccount weer te geven.

Opmerking

Apps moeten beschikken over Intune APP SDK voor iOS versie 12.3.3 of hoger en moeten zijn gericht op een Intune-app-beveiligingsbeleid wanneer aanmelding bij een werk- of schoolaccount is vereist. Binnen het app-beveiligingsbeleid moeten de 'Gegevens ontvangen van andere apps' worden ingesteld op 'Alle apps met inkomende organisatiegegevens'.

Op dit moment is aanmelding van apps alleen vereist wanneer er binnenkomende organisatiegegevens naar een doel-app zijn.

XML-gegevens invoeren

Je kunt een XML-eigenschappenlijst typen of plakken die de app-configuratie-instellingen bevat voor apparaten die zijn ingeschreven bij Intune. De indeling van de XML-eigenschappenlijst varieert, afhankelijk van de app die je configureert. Neem voor meer informatie over de exacte indeling contact op met de leverancier van de app.

Intune valideert de XML-indeling. Intune controleert echter niet of de XML-eigenschappenlijst (PList) werkt met de doel-app.

Voor meer informatie over XML-eigenschappenlijsten:

Voorbeeldindeling voor een XML-bestand voor app-configuratie

Wanneer je een app-configuratiebestand maakt, kun je een of meer van de volgende waarden opgeven met behulp van deze indeling:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

Ondersteunde XML PList-gegevenstypen

Intune ondersteunt de volgende gegevenstypen in een eigenschappenlijst:

  • <geheel getal>
  • <real>
  • <tekenreeks>
  • <matrix>
  • <dict>
  • <waar /> of <onwaar />

Tokens die worden gebruikt in de eigenschappenlijst

Daarnaast ondersteunt Intune de volgende tokentypen in de lijst met eigenschappen:

  • {{userprincipalname}}, bijvoorbeeld: John@contoso.com
  • {{mail}}, bijvoorbeeld John@contoso.com
  • {{partialupn}}, bijvoorbeeld John
  • {{accountid}}, bijvoorbeeld fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}}, bijvoorbeeld b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}}, bijvoorbeeld 3ec2c00f-b125-4519-acf0-302ac3761822
  • {{username}}, bijvoorbeeld John Doe
  • {{serialnumber}}, bijvoorbeeld F4KN99ZUG5V2 (voor iOS-/iPadOS-apparaten)
  • {{serialnumberlast4digits}}, bijvoorbeeld G5V2 (voor iOS-/iPadOS-apparaten)
  • {{aaddeviceid}}, bijvoorbeeld ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}}, bijvoorbeeld Waar (voor iOS-/iPadOS-apparaten)
  • {{OnPremisesSamAccountName}}, bijvoorbeeld contoso\John

De bedrijfsportal-app configureren voor ondersteuning van iOS- en iPadOS-apparaten die zijn ingeschreven met geautomatiseerde apparaatinschrijving

Automatische apparaatinschrijvingen van Apple zijn standaard niet compatibel met de App Store-versie van de bedrijfsportal-app. Je kunt de bedrijfsportal-app echter configureren voor ondersteuning van iOS-/iPadOS ADE-apparaten, zelfs wanneer gebruikers de bedrijfsportal hebben gedownload uit de App Store door de volgende stappen te volgen.

  1. Voeg in Microsoft Intune beheercentrumde Intune-bedrijfsportal-app toe als deze nog niet is toegevoegd. Ga naar Apps>Alle apps>Toevoegen>iOS Store-app.

  2. Ga naar Apps>app-configuratiebeleidsregels om een app-configuratiebeleid te maken voor de Bedrijfsportal-app.

  3. Maak een app-configuratiebeleid met de onderstaande XML. Meer informatie over het maken van een app-configuratiebeleid en het invoeren van XML-gegevens vind je in App-configuratiebeleid toevoegen voor beheerde iOS-/iPadOS-apparaten.

    • Gebruik de bedrijfsportal op een ADE-apparaat (Automated Device Enrollment) dat is ingeschreven met gebruikersaffiniteit:

      Opmerking

      Wanneer 'Bedrijfsportal installeren' is ingesteld op ja voor het inschrijvingsprofiel, pusht Intune het onderstaande toepassingsconfiguratiebeleid automatisch als onderdeel van het initiële inschrijvingsproces. Deze configuratie mag niet handmatig worden geïmplementeerd op gebruikers of apparaten, omdat dit een conflict veroorzaakt met de nettolading die al is verzonden tijdens de inschrijving, waardoor eindgebruikers wordt gevraagd een nieuw beheerprofiel te downloaden nadat ze zich hebben aangemeld bij de bedrijfsportal (wanneer dat niet het geval is, omdat er al een beheerprofiel op deze apparaten is geïnstalleerd).

      <dict>
          <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
          <dict>
              <key>IntuneDeviceId</key>
              <string>{{deviceid}}</string>
              <key>UserId</key>
              <string>{{userid}}</string>
          </dict>
      </dict>
      
    • Gebruik de bedrijfsportal op een ADE-apparaat dat is ingeschreven zonder gebruikersaffiniteit (ook wel bekend als Device Staging):

      Opmerking

      De gebruiker die zich aanmeldt bij de bedrijfsportal, wordt ingesteld als de primaire gebruiker van het apparaat.

      <dict>
          <key>IntuneUDAUserlessDevice</key>
          <string>{{SIGNEDDEVICEID}}</string>
      </dict>
      
  4. Implementeer de bedrijfsportal op apparaten met het app-configuratiebeleid dat is gericht op de gewenste groepen. Zorg ervoor dat je het beleid alleen implementeert op groepen apparaten die al zijn ingeschreven bij ADE.

  5. Laat eindgebruikers zich aanmelden bij de bedrijfsportal-app wanneer deze automatisch wordt geïnstalleerd.

Opmerking

Wanneer je een app-configuratie toevoegt om de bedrijfsportal-app toe te staan op ADE-apparaten zonder gebruikersaffiniteit, kun je een STATE Policy Errorervaren. In tegenstelling tot andere app-configuraties geldt deze situatie niet telkens wanneer het apparaat wordt ingecheckt. In plaats daarvan is deze app-configuratie bedoeld als een eenmalige bewerking om bestaande apparaten die zijn ingeschreven zonder gebruikersaffiniteit in staat te stellen gebruikersaffiniteit te verkrijgen wanneer een gebruiker zich aanmeldt bij de bedrijfsportal. Deze app-configuratie wordt verwijderd uit het beleid op de achtergrond zodra deze is toegepast. De beleidstoewijzing bestaat, maar rapporteert niet 'geslaagd' zodra de app-configuratie op de achtergrond is verwijderd. Zodra het app-configuratiebeleid is toegepast op het apparaat, kun je de toewijzing van het beleid ongedaan maken.

Configuratiestatus van iOS-/iPadOS-apps per apparaat bewaken

Zodra een configuratiebeleid is toegewezen, kun je de configuratiestatus van de iOS-/iPadOS-app controleren voor elk beheerd apparaat. Selecteer in Microsoft Intune in het Microsoft Intune-beheercentrumApparaten>Alle apparaten. Selecteer in de lijst met beheerde apparaten een specifiek apparaat om een deelvenster voor het apparaat weer te geven. Selecteer App-configuratie in het apparaatvenster.

Aanvullende informatie

Volgende stappen

Ga door naar toewijzen en bewaken van de app.