Overzicht van App-beveiliging-beleid

App-beveiliging beleid (APP) zijn regels die ervoor zorgen dat de gegevens van een organisatie veilig blijven of in een beheerde app zijn opgenomen. Een beleid kan een regel zijn die wordt afgedwongen wanneer de gebruiker probeert 'zakelijke' gegevens te openen of te verplaatsen, of een set acties die zijn verboden of bewaakt wanneer de gebruiker zich in de app bevindt. Een beheerde app is een app waarop app-beveiligingsbeleid is toegepast en die kan worden beheerd door Intune.

Met mam-app-beveiligingsbeleid (Mobile Application Management) kunt u de gegevens van uw organisatie binnen een toepassing beheren en beveiligen. Veel productiviteits-apps, zoals de Microsoft Office-apps, kunnen worden beheerd door Intune MAM. Zie de officiële lijst met Microsoft Intune beveiligde apps die beschikbaar zijn voor openbaar gebruik.

Hoe u app-gegevens kunt beveiligen

Uw werknemers gebruiken mobiele apparaten voor zowel persoonlijke als zakelijke taken. Terwijl u ervoor zorgt dat uw werknemers productief kunnen zijn, wilt u gegevensverlies, opzettelijk en onbedoeld voorkomen. U wilt ook bedrijfsgegevens beveiligen die worden geopend vanaf apparaten die niet door u worden beheerd.

U kunt Intune app-beveiligingsbeleid gebruiken, onafhankelijk van elke MDM-oplossing (Mobile Device Management). Deze onafhankelijkheid helpt u bij het beveiligen van de gegevens van uw bedrijf met of zonder het registreren van apparaten in een apparaatbeheeroplossing. Door beleid op app-niveau te implementeren, kunt u de toegang tot bedrijfsresources beperken en gegevens binnen het beheer van uw IT-afdeling houden.

App-beveiliging beleid op apparaten

App-beveiliging-beleid kan worden geconfigureerd voor apps die worden uitgevoerd op apparaten die:

  • Ingeschreven bij Microsoft Intune: deze apparaten zijn doorgaans bedrijfseigendom.

  • Ingeschreven bij een MDM-oplossing (Mobile Device Management) van derden: Deze apparaten zijn doorgaans bedrijfseigendom.

    Opmerking

    Mobile App Management-beleid mag niet worden gebruikt met beheer van mobiele apps van derden of beveiligde containeroplossingen.

  • Niet ingeschreven bij een oplossing voor het beheer van mobiele apparaten: Deze apparaten zijn doorgaans apparaten in werknemerseigendom die niet worden beheerd of geregistreerd bij Intune of andere MDM-oplossingen.

Belangrijk

U kunt mobile app-beheerbeleid maken voor mobiele Office-apps die verbinding maken met Microsoft 365-services. U kunt ook de toegang tot on-premises Exchange-postvakken beveiligen door Intune app-beveiligingsbeleid te maken voor Outlook voor iOS/iPadOS en Android waarvoor hybride moderne verificatie is ingeschakeld. Voordat u deze functie gebruikt, moet u voldoen aan de vereisten voor Outlook voor iOS/iPadOS en Android. App-beveiliging-beleid wordt niet ondersteund voor andere apps die verbinding maken met on-premises Exchange- of SharePoint-services.

Voordelen van het gebruik van App-beveiliging-beleid

De belangrijke voordelen van het gebruik van App-beveiliging-beleid zijn de volgende:

  • Uw bedrijfsgegevens beveiligen op app-niveau. Omdat voor het beheer van mobiele apps geen apparaatbeheer is vereist, kunt u bedrijfsgegevens beveiligen op zowel beheerde als onbeheerde apparaten. Het beheer is gecentreerd op de gebruikersidentiteit, waardoor de vereiste voor apparaatbeheer wordt verwijderd.

  • De productiviteit van eindgebruikers wordt niet beïnvloed en het beleid is niet van toepassing wanneer u de app in een persoonlijke context gebruikt. Het beleid wordt alleen toegepast in een werkcontext, waardoor u bedrijfsgegevens kunt beveiligen zonder persoonlijke gegevens aan te raken.

  • App-beveiliging beleid zorgt ervoor dat de app-laagbeveiligingen aanwezig zijn. U kunt bijvoorbeeld:

    • Een pincode vereisen om een app te openen in een werkcontext
    • Het delen van gegevens tussen apps beheren
    • Voorkomen dat bedrijfsgegevens worden opgeslagen op een persoonlijke opslaglocatie
  • MDM zorgt er naast MAM voor dat het apparaat is beveiligd. U kunt bijvoorbeeld een pincode vereisen om toegang te krijgen tot het apparaat of u kunt beheerde apps implementeren op het apparaat. U kunt ook apps op apparaten implementeren via uw MDM-oplossing, zodat u meer controle hebt over app-beheer.

Er zijn extra voordelen aan het gebruik van MDM met App-beveiliging-beleid en bedrijven kunnen tegelijkertijd App-beveiliging-beleid met en zonder MDM gebruiken. Denk bijvoorbeeld aan een werknemer die zowel een telefoon van het bedrijf als een eigen persoonlijke tablet gebruikt. De bedrijfstelefoon wordt ingeschreven bij MDM en beveiligd door App-beveiliging-beleid, terwijl het persoonlijke apparaat alleen wordt beveiligd door App-beveiliging-beleid.

Als u een MAM-beleid toepast op de gebruiker zonder de apparaatstatus in te stellen, krijgt de gebruiker het MAM-beleid op zowel het BYOD-apparaat als het Intune beheerde apparaat. U kunt ook mam-beleid toepassen op basis van de beheerde status. Wanneer u dus een app-beveiligingsbeleid maakt, selecteert u naast Doel op alle app-typende optie Nee. Voer vervolgens een van de volgende handelingen uit:

  • Pas een minder strikt MAM-beleid toe op Intune beheerde apparaten en pas een meer beperkend MAM-beleid toe op apparaten die niet zijn ingeschreven bij MDM.
  • Pas mam-beleid alleen toe op niet-ingeschreven apparaten.

Ondersteunde platforms voor app-beveiligingsbeleid

Intune biedt een reeks mogelijkheden om u te helpen de apps te krijgen die u nodig hebt op de apparaten waarop u ze wilt uitvoeren. Zie App-beheermogelijkheden per platform voor meer informatie.

Intune ondersteuning van het platform voor app-beveiligingsbeleid is afgestemd op de ondersteuning van het office-platform voor mobiele toepassingen voor Android- en iOS-/iPadOS-apparaten. Zie de sectie Mobiele apps van Systeemvereisten voor Office voor meer informatie.

Belangrijk

De Intune-bedrijfsportal is vereist op het apparaat om app-beveiligingsbeleid op Android te ontvangen.

App-beveiliging beleidsframework voor gegevensbescherming

Met de beschikbare opties in app-beveiligingsbeleid (APP) kunnen organisaties de beveiliging aanpassen aan hun specifieke behoeften. Voor sommigen is het mogelijk niet duidelijk welke beleidsinstellingen vereist zijn om een volledig scenario te implementeren. Om organisaties te helpen prioriteit te geven aan beveiliging van mobiele clienteindpunten, heeft Microsoft taxonomie geïntroduceerd voor het app-gegevensbeveiligingsframework voor het beheer van mobiele iOS- en Android-apps.

Het APP-gegevensbeveiligingsframework is ingedeeld in drie verschillende configuratieniveaus, waarbij elk niveau afbouwt op het vorige niveau:

  • Enterprise Basic Data Protection (Niveau 1) zorgt ervoor dat apps worden beveiligd met een pincode en versleuteld en selectief wissen worden uitgevoerd. Voor Android-apparaten valideert dit niveau android-apparaatattest. Dit is een configuratie op instapniveau die vergelijkbaar beheer van gegevensbeveiliging biedt in Exchange Online postvakbeleid en de IT- en gebruikerspopulatie introduceert in APP.
  • Verbeterde enterprise-gegevensbeveiliging (niveau 2) introduceert mechanismen voor het voorkomen van lekken van APP-gegevens en minimale vereisten voor het besturingssysteem. Dit is de configuratie die van toepassing is op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens.
  • Hoogwaardige gegevensbeveiliging (niveau 3) introduceert geavanceerde mechanismen voor gegevensbeveiliging, verbeterde configuratie van pincodes en APP Mobile Threat Defense. Deze configuratie is wenselijk voor gebruikers die toegang hebben tot gegevens met een hoog risico.

Als u de specifieke aanbevelingen wilt zien voor elk configuratieniveau en de minimale apps die moeten worden beveiligd, raadpleegt u Het Gegevensbeveiligingsframework met app-beveiligingsbeleid.

Hoe app-beveiligingsbeleid app-gegevens beveiligt

Apps zonder app-beveiligingsbeleid

Wanneer apps zonder beperkingen worden gebruikt, kunnen bedrijfsgegevens en persoonlijke gegevens met elkaar worden vermengd. Bedrijfsgegevens kunnen terechtkomen op locaties zoals persoonlijke opslag of worden overgedragen naar apps buiten uw bevoegdheidsbereik, wat kan leiden tot gegevensverlies. De pijlen in het volgende diagram geven onbeperkte gegevensverplaatsing weer tussen zakelijke en persoonlijke apps en naar opslaglocaties.

Conceptuele afbeelding voor gegevensverplaatsing tussen apps zonder beleid

Gegevensbescherming met app-beveiligingsbeleid (APP)

U kunt App-beveiliging-beleid gebruiken om te voorkomen dat bedrijfsgegevens worden opgeslagen in de lokale opslag van het apparaat (zie de onderstaande afbeelding). U kunt ook de verplaatsing van gegevens beperken naar andere apps die niet worden beveiligd door App-beveiliging-beleid. App-beveiliging beleidsinstellingen zijn onder andere:

  • Beleid voor gegevensverplaatsing, zoals Kopieën van organisatiegegevens opslaan en Knippen, kopiëren en plakken beperken.
  • Toegangsbeleidsinstellingen zoals Eenvoudige pincode vereisen voor toegang en Het uitvoeren van beheerde apps op gekraakte of geroote apparaten blokkeren.

Conceptuele afbeelding van bedrijfsgegevens die worden beveiligd door beleid

Gegevensbeveiliging met APP op apparaten die worden beheerd door een MDM-oplossing

In de onderstaande afbeelding ziet u de beveiligingslagen die MDM en App-beveiliging beleid samen bieden.

Afbeelding die laat zien hoe App-beveiliging-beleid werkt op BYOD-apparaten

De MDM-oplossing voegt waarde toe door het volgende op te geven:

  • Het apparaat inschrijven
  • Hiermee worden de apps op het apparaat geïmplementeerd
  • Biedt doorlopende naleving en beheer van apparaten

Het App-beveiliging-beleid voegt waarde toe door het volgende op te geven:

  • Bedrijfsgegevens beschermen tegen lekken naar consumenten-apps en -services
  • Beperkingen zoals opslaan als, klembord of pincode toepassen op client-apps
  • Bedrijfsgegevens wissen wanneer dat nodig is vanuit apps zonder deze apps van het apparaat te verwijderen

Gegevensbeveiliging met APP voor apparaten zonder inschrijving

In het volgende diagram ziet u hoe het beleid voor gegevensbeveiliging werkt op app-niveau zonder MDM.

Afbeelding die laat zien hoe App-beveiliging beleid werkt op apparaten zonder inschrijving (niet-beheerde apparaten)

Voor BYOD-apparaten die niet zijn ingeschreven bij een MDM-oplossing, kan App-beveiliging beleid helpen bij het beveiligen van bedrijfsgegevens op app-niveau. Er zijn echter enkele beperkingen waar u rekening mee moet houden, zoals:

  • U kunt geen apps implementeren op het apparaat. De eindgebruiker moet de apps uit de Store downloaden.
  • U kunt geen certificaatprofielen inrichten op deze apparaten.
  • U kunt geen bedrijfsinstellingen Wi-Fi en VPN-instellingen op deze apparaten inrichten.

Apps die u kunt beheren met app-beveiligingsbeleid

Elke app die is geïntegreerd met de Intune SDK of die is verpakt door de Intune App Wrapping Tool, kan worden beheerd met behulp van Intune app-beveiligingsbeleid. Zie de officiële lijst met Microsoft Intune beveiligde apps die zijn gebouwd met deze hulpprogramma's en beschikbaar zijn voor openbaar gebruik.

Het Intune SDK-ontwikkelteam test en onderhoudt actief ondersteuning voor apps die zijn gebouwd met de systeemeigen platforms Android, iOS/iPadOS (Obj-C, Swift), Xamarin en Xamarin.Forms. Hoewel sommige klanten succes hebben gehad met Intune SDK-integratie met andere platforms, zoals React Native en NativeScript, bieden we geen expliciete richtlijnen of invoegtoepassingen voor app-ontwikkelaars die iets anders gebruiken dan onze ondersteunde platforms.

Vereisten van eindgebruikers voor het gebruik van app-beveiligingsbeleid

De volgende lijst bevat de vereisten voor eindgebruikers voor het gebruik van app-beveiligingsbeleid voor een door Intune beheerde app:

  • De eindgebruiker moet een Azure Active Directory-account (Azure AD) hebben. Zie Gebruikers toevoegen en beheerdersmachtigingen geven aan Intune voor meer informatie over het maken van Intune gebruikers in Azure Active Directory.

  • De eindgebruiker moet een licentie hebben voor Microsoft Intune toegewezen aan het Azure Active Directory-account. Zie Licenties voor Intune beheren voor meer informatie over het toewijzen van Intune licenties aan eindgebruikers.

  • De eindgebruiker moet deel uitmaken van een beveiligingsgroep waarop een app-beveiligingsbeleid van toepassing is. Hetzelfde app-beveiligingsbeleid moet gericht zijn op de specifieke app die wordt gebruikt. App-beveiliging-beleid kan worden gemaakt en geïmplementeerd in het Microsoft Endpoint Manager-beheercentrum. Beveiligingsgroepen kunnen momenteel worden gemaakt in de Microsoft 365-beheercentrum.

  • De eindgebruiker moet zich aanmelden bij de app met zijn of haar Azure AD-account.

App-beveiliging beleid voor Microsoft Office-apps

Er zijn enkele aanvullende vereisten waar u rekening mee wilt houden bij het gebruik van App-beveiliging-beleid met Microsoft Office-apps.

Mobiele Outlook-app

De aanvullende vereisten voor het gebruik van de mobiele Outlook-app zijn onder andere:

  • De eindgebruiker moet de mobiele Outlook-app op het apparaat hebben geïnstalleerd.

  • De eindgebruiker moet een Microsoft 365-Exchange Online postvak en licentie hebben gekoppeld aan het Azure Active Directory-account.

    Opmerking

    De mobiele Outlook-app ondersteunt momenteel alleen Intune App Protection voor Microsoft Exchange Online en Exchange Server met hybride moderne verificatie en biedt geen ondersteuning voor Exchange in Office 365 Dedicated.

Word, Excel en PowerPoint

De aanvullende vereisten voor het gebruik van de Word-, Excel- en PowerPoint-apps zijn onder andere:

  • De eindgebruiker moet een licentie voor Microsoft 365-apps voor bedrijven of onderneming hebben die is gekoppeld aan het Azure Active Directory-account. Het abonnement moet de Office-apps op mobiele apparaten bevatten en kan een cloudopslagaccount met OneDrive voor Bedrijven bevatten. Microsoft 365 licenties kunnen worden toegewezen in de Microsoft 365-beheercentrum door deze instructies te volgen.

  • De eindgebruiker moet een beheerde locatie hebben die is geconfigureerd met behulp van de gedetailleerde functionaliteit opslaan als onder de beleidsinstelling 'Kopieën van organisatiegegevens opslaan'. Als de beheerde locatie bijvoorbeeld OneDrive is, moet de OneDrive-app worden geconfigureerd in de Word-, Excel- of PowerPoint-app van de eindgebruiker.

  • Als de beheerde locatie OneDrive is, moet de app het doelwit zijn van het app-beveiligingsbeleid dat is geïmplementeerd voor de eindgebruiker.

    Opmerking

    De mobiele Office-apps ondersteunen momenteel alleen SharePoint Online en niet SharePoint on-premises.

Beheerde locatie die nodig is voor Office

Er is een beheerde locatie (bijvoorbeeld OneDrive) nodig voor Office. Intune markeert alle gegevens in de app als 'zakelijk' of 'persoonlijk'. Gegevens worden beschouwd als 'zakelijk' wanneer ze afkomstig zijn van een bedrijfslocatie. Voor de Office-apps beschouwt Intune het volgende als bedrijfslocaties: e-mail (Exchange) of cloudopslag (OneDrive-app met een OneDrive voor Bedrijven-account).

Skype voor Bedrijven

Er zijn aanvullende vereisten voor het gebruik van Skype voor Bedrijven. Zie Skype voor Bedrijven licentievereisten. Zie Respectievelijk Hybride moderne verificatie voor Skype voor Bedrijven SfB en Exchange gaat GA en Modern Auth voor SfB OnPrem met Azure AD voor hybride en on-premises configuraties (SfB) voor hybride en on-premises configuraties.

globaal beleid voor App-beveiliging

Als een OneDrive-beheerder naar admin.onedrive.com bladert en Apparaattoegang selecteert, kan deze de besturingselementen voor Mobile Application Management instellen op de OneDrive- en SharePoint-client-apps.

Met de instellingen die beschikbaar zijn voor de OneDrive Beheer-console, wordt een speciaal Intune-beleid voor app-beveiliging geconfigureerd, het algemene beleid genoemd. Dit algemene beleid is van toepassing op alle gebruikers in uw tenant en heeft geen manier om het beleid te bepalen.

Zodra dit is ingeschakeld, worden de OneDrive- en SharePoint-apps voor iOS/iPadOS en Android standaard beveiligd met de geselecteerde instellingen. Een IT-professional kan dit beleid bewerken in het Microsoft Endpoint Manager-beheercentrum om meer gerichte apps toe te voegen en om een beleidsinstelling te wijzigen.

Standaard kan er slechts één globaal beleid per tenant zijn. U kunt echter Intune Graph API's gebruiken om extra globaal beleid per tenant te maken, maar dit wordt niet aanbevolen. Het maken van extra globaal beleid wordt afgeraden omdat het oplossen van problemen met de implementatie van een dergelijk beleid ingewikkeld kan worden.

Hoewel het algemene beleid van toepassing is op alle gebruikers in uw tenant, worden deze instellingen overschreven door standaard Intune app-beveiligingsbeleid.

Opmerking

De beleidsinstellingen in het OneDrive Beheer Center worden niet meer bijgewerkt. in plaats hiervan kan Microsoft Endpoint Manager worden gebruikt. Zie Toegang tot functies in de mobiele OneDrive- en SharePoint-apps beheren voor meer informatie.

App-beveiliging-functies

Meerdere identiteiten

Met ondersteuning voor meerdere identiteiten kan een app meerdere doelgroepen ondersteunen. Deze doelgroepen zijn zowel zakelijke als persoonlijke gebruikers. Werk- en schoolaccounts worden gebruikt door zakelijke doelgroepen, terwijl persoonlijke accounts worden gebruikt voor consumentendoelgroep, zoals Microsoft Office-gebruikers. Een app die ondersteuning biedt voor meerdere identiteiten, kan openbaar worden uitgebracht, waarbij app-beveiligingsbeleid alleen van toepassing is wanneer de app wordt gebruikt in de context van het werk en school ('zakelijk'). Ondersteuning voor meerdere identiteiten maakt gebruik van de Intune SDK om alleen app-beveiligingsbeleid toe te passen op het werk- of schoolaccount dat is aangemeld bij de app. Als een persoonlijk account is aangemeld bij de app, blijven de gegevens ongewijzigd. App-beveiliging-beleid kan worden gebruikt om de overdracht van werk- of schoolaccountgegevens te voorkomen naar persoonlijke accounts in de app met meerdere identiteiten, persoonlijke accounts in andere apps of persoonlijke apps.

Belangrijk

Ongeacht of een app meerdere identiteiten ondersteunt, kan voor slechts één 'bedrijfsidentiteit' een Intune app-beveiligingsbeleid worden toegepast.

Als voorbeeld van een 'persoonlijke' context kunt u een gebruiker overwegen die een nieuw document in Word start. Dit wordt beschouwd als persoonlijke context, zodat Intune app-beveiligingsbeleid niet worden toegepast. Zodra het document is opgeslagen in het 'zakelijke' OneDrive-account, wordt het beschouwd als 'zakelijke' context en worden Intune app-beveiligingsbeleid toegepast.

Bekijk de volgende voorbeelden voor de werk- of bedrijfscontext:

  • Een gebruiker start de OneDrive-app met behulp van zijn of haar werkaccount. In de werkcontext kunnen ze geen bestanden verplaatsen naar een persoonlijke opslaglocatie. Later, wanneer ze OneDrive gebruiken met hun persoonlijke account, kunnen ze zonder beperkingen gegevens kopiëren en verplaatsen vanuit hun persoonlijke OneDrive.
  • Een gebruiker begint met het opstellen van een e-mailbericht in de Outlook-app. Zodra het onderwerp of de berichttekst is ingevuld, kan de gebruiker het FROM-adres niet meer omzetten van de werkcontext naar de persoonlijke context, omdat het onderwerp en de berichttekst worden beveiligd door het app-beveiligingsbeleid.

Opmerking

Outlook heeft een gecombineerde e-mailweergave van zowel persoonlijke als zakelijke e-mailberichten. In dit geval vraagt de Outlook-app bij het starten om de Intune pincode.

Belangrijk

Hoewel Edge zich in de 'zakelijke' context bevindt, kunnen gebruikers opzettelijk oneDrive-contextbestanden voor 'bedrijfs'-context verplaatsen naar een onbekende persoonlijke cloudopslaglocatie. Zie Beperkte websites beheren en de lijst met toegestane/geblokkeerde sites configureren voor Edge om dit te voorkomen.

Pincode van Intune app

Het pincode (Personal Identification Number) is een wachtwoordcode die wordt gebruikt om te controleren of de juiste gebruiker toegang heeft tot de gegevens van de organisatie in een toepassing.

Pincodeprompt
Intune vraagt om de pincode voor de app van de gebruiker wanneer de gebruiker op het punt staat toegang te krijgen tot 'zakelijke' gegevens. In apps met meerdere identiteiten, zoals Word, Excel of PowerPoint, wordt de gebruiker gevraagd om zijn pincode wanneer hij of zij een 'zakelijk' document of bestand probeert te openen. In apps met één identiteit, zoals Line-Of-Business-apps die worden beheerd met behulp van de Intune App Wrapping Tool, wordt de pincode gevraagd bij het starten, omdat de Intune SDK weet dat de gebruikerservaring in de app altijd 'zakelijk' is.

Pincodeprompt of bedrijfsreferentieprompt, frequentie
De IT-beheerder kan de instelling Intune app-beveiligingsbeleid opnieuw controleren na (minuten) in het Microsoft Endpoint Manager-beheercentrum. Met deze instelling geeft u de hoeveelheid tijd op voordat de toegangsvereisten op het apparaat worden gecontroleerd en het pincodescherm van de toepassing, of de prompt voor bedrijfsreferenties, opnieuw wordt weergegeven. Belangrijke details over pincode die van invloed zijn op hoe vaak de gebruiker wordt gevraagd, zijn echter:

  • De pincode wordt gedeeld tussen apps van dezelfde uitgever om de bruikbaarheid te verbeteren:
    Op iOS/iPadOS wordt één app-pincode gedeeld tussen alle apps van dezelfde app-uitgever. Alle Microsoft apps delen bijvoorbeeld dezelfde pincode. Op Android wordt één pincode voor apps gedeeld tussen alle apps.
  • De toegangsvereisten opnieuw controleren na (minuten) gedrag na het opnieuw opstarten van een apparaat:
    Een timer houdt het aantal minuten van inactiviteit bij dat bepaalt wanneer de Intune app-pincode of bedrijfsreferentieprompt wordt weergegeven. Op iOS/iPadOS wordt de timer niet beïnvloed door het opnieuw opstarten van het apparaat. Het opnieuw opstarten van het apparaat heeft dus geen invloed op het aantal minuten dat de gebruiker inactief is geweest vanuit een iOS-/iPadOS-app met Intune pincodebeleid (of bedrijfsreferentie). Op Android wordt de timer opnieuw ingesteld bij het opnieuw opstarten van het apparaat. Android-apps met Intune pincodebeleid (of bedrijfsreferentie) vragen waarschijnlijk om een app-pincode of een zakelijke referentieprompt, ongeacht de instelling 'De toegangsvereisten opnieuw controleren na (minuten)' nadat een apparaat opnieuw is opgestart.
  • De doorlopende aard van de timer die is gekoppeld aan de pincode:
    Zodra een pincode is ingevoerd voor toegang tot een app (app A) en de app de voorgrond (hoofdinvoerfocus) op het apparaat verlaat, wordt de timer opnieuw ingesteld voor die pincode. Elke app (app B) die deze pincode deelt, wordt de gebruiker niet gevraagd om de pincode in te voeren omdat de timer opnieuw is ingesteld. De prompt wordt opnieuw weergegeven zodra opnieuw is voldaan aan de waarde 'De toegangsvereisten opnieuw controleren na (minuten)'.

Voor iOS-/iPadOS-apparaten, zelfs als de pincode wordt gedeeld tussen apps van verschillende uitgevers, wordt de prompt opnieuw weergegeven wanneer opnieuw aan de waarde Voor opnieuw controleren van de toegangsvereisten na (minuten) wordt voldaan voor de app die niet de belangrijkste invoerfocus is. Een gebruiker heeft bijvoorbeeld app A van uitgever X en app B van uitgever Y en die twee apps delen dezelfde pincode. De gebruiker is gericht op app A (voorgrond) en app B wordt geminimaliseerd. Nadat aan de waarde Opnieuw controleren van de toegangsvereisten na (minuten) is voldaan en de gebruiker overschakelt naar app B, is de pincode vereist.

Opmerking

Om de toegangsvereisten van de gebruiker vaker te controleren (bijvoorbeeld pincodeprompt), met name voor een veelgebruikte app, wordt aanbevolen om de waarde van de instelling 'De toegangsvereisten opnieuw controleren na (minuten)' te verminderen.

Ingebouwde pincodes voor apps voor Outlook en OneDrive
De Intune pincode werkt op basis van een timer op basis van inactiviteit (de waarde van De toegangsvereisten opnieuw controleren na (minuten)). Als zodanig worden Intune pincodeprompts onafhankelijk van de ingebouwde pincodeprompts voor Outlook en OneDrive weergegeven, die vaak standaard zijn gekoppeld aan het starten van apps. Als de gebruiker beide pincodeprompts tegelijk ontvangt, moet het verwachte gedrag zijn dat de Intune pincode voorrang heeft.

Intune pincodebeveiliging
De pincode dient om alleen de juiste gebruiker toegang te geven tot de gegevens van hun organisatie in de app. Daarom moet een eindgebruiker zich aanmelden met zijn werk- of schoolaccount voordat hij of zij de pincode van de Intune app kan instellen of opnieuw instellen. Deze verificatie wordt verwerkt door Azure Active Directory via beveiligde tokenuitwisseling en is niet transparant voor de Intune SDK. Vanuit een beveiligingsperspectief is de beste manier om werk- of schoolgegevens te beveiligen door deze te versleutelen. Versleuteling is niet gerelateerd aan de pincode van de app, maar is een eigen app-beveiligingsbeleid.

Bescherming tegen brute force-aanvallen en de Intune pincode
Als onderdeel van het pincodebeleid van de app kan de IT-beheerder het maximum aantal keren instellen dat gebruikers hun pincode kunnen verifiëren voordat ze de app vergrendelen. Nadat aan het aantal pogingen is voldaan, kan de Intune SDK de 'bedrijfsgegevens' in de app wissen.

Intune pincode en selectief wissen
Op iOS/iPadOS worden de pincodegegevens op app-niveau opgeslagen in de sleutelhanger die wordt gedeeld tussen apps met dezelfde uitgever, zoals alle eigen Microsoft apps. Deze pincodegegevens zijn ook gekoppeld aan een eindgebruikersaccount. Een selectief wissen van een app mag geen invloed hebben op een andere app.

Een pincode die is ingesteld voor Outlook voor de aangemelde gebruiker, wordt bijvoorbeeld opgeslagen in een gedeelde sleutelhanger. Wanneer de gebruiker zich aanmeldt bij OneDrive (ook gepubliceerd door Microsoft), ziet hij dezelfde pincode als Outlook omdat deze gebruikmaakt van dezelfde gedeelde sleutelhanger. Wanneer u zich afmeldt bij Outlook of de gebruikersgegevens in Outlook wist, wist de Intune SDK die sleutelhanger niet omdat OneDrive mogelijk nog steeds die pincode gebruikt. Hierdoor wordt die gedeelde sleutelhanger, inclusief de pincode, niet gewist door selectief wissen. Dit gedrag blijft hetzelfde, zelfs als er slechts één app van een uitgever op het apparaat bestaat.

Omdat de pincode wordt gedeeld tussen apps met dezelfde uitgever, weet de Intune SDK niet of er andere apps op het apparaat zijn met dezelfde uitgever als het wissen naar één app gaat. De Intune SDK wist de pincode dus niet, omdat deze mogelijk nog steeds wordt gebruikt voor andere apps. De verwachting is dat de pincode van de app moet worden gewist wanneer de laatste app van die uitgever uiteindelijk wordt verwijderd als onderdeel van een opschoning van het besturingssysteem.

Als u ziet dat de pincode op sommige apparaten wordt gewist, gebeurt het volgende waarschijnlijk: Omdat de pincode is gekoppeld aan een identiteit, wordt de gebruiker gevraagd een nieuwe pincode in te voeren als de gebruiker zich na het wissen met een ander account heeft aangemeld. Als ze zich echter aanmelden met een eerder bestaand account, kan een pincode die al in de sleutelhanger is opgeslagen, worden gebruikt om zich aan te melden.

Twee keer een pincode instellen voor apps van dezelfde uitgever?
MAM (op iOS/iPadOS) staat momenteel een pincode op toepassingsniveau toe met alfanumerieke en speciale tekens ('wachtwoordcode') waarvoor de deelname van toepassingen (bijvoorbeeld WXP, Outlook, Managed Browser, Yammer) is vereist om de Intune SDK voor iOS te integreren. Zonder dit worden de wachtwoordcode-instellingen niet correct afgedwongen voor de doeltoepassingen. Dit was een functie die is uitgebracht in de Intune SDK voor iOS v. 7.1.12.

Om deze functie te ondersteunen en compatibiliteit met eerdere versies van de Intune SDK voor iOS/iPadOS te garanderen, worden alle pincodes (numeriek of wachtwoordcode) in 7.1.12+ afzonderlijk verwerkt van de numerieke pincode in eerdere versies van de SDK. Er is een andere wijziging geïntroduceerd in de Intune SDK voor iOS v 14.6.0, waardoor alle pincodes in 14.6.0+ afzonderlijk van eventuele pincodes in eerdere versies van de SDK worden verwerkt.

Als een apparaat toepassingen heeft met Intune SDK voor iOS-versies vóór 7.1.12 EN na 7.1.12 van dezelfde uitgever (of versies vóór 14.6.0 EN na 14.6.0), moeten ze daarom twee pincodes instellen. De twee pincodes (voor elke app) zijn op geen enkele manier gerelateerd (d.w.z. ze moeten voldoen aan het app-beveiligingsbeleid dat op de app wordt toegepast). Alleen als voor apps A en B hetzelfde beleid is toegepast (met betrekking tot pincode), kan de gebruiker dus twee keer dezelfde pincode instellen.

Dit gedrag is specifiek voor de pincode voor iOS-/iPadOS-toepassingen die zijn ingeschakeld met Intune Mobile App Management. Naarmate toepassingen in de loop van de tijd nieuwere versies van de Intune SDK voor iOS/iPadOS gebruiken, is het minder belangrijk om twee keer een pincode in te stellen voor apps van dezelfde uitgever. Zie de onderstaande opmerking voor een voorbeeld.

Opmerking

Als app A bijvoorbeeld is gebouwd met een versie ouder dan 7.1.12 (of 14.6.0) en app B is gebouwd met een versie die groter is dan of gelijk is aan 7.1.12 (of 14.6.0) van dezelfde uitgever, moet de eindgebruiker pincodes afzonderlijk instellen voor A en B als beide zijn geïnstalleerd op een iOS-/iPadOS-apparaat. Als een app C met SDK-versie 7.1.9 (of 14.5.0) op het apparaat is geïnstalleerd, deelt deze dezelfde pincode als app A. Een app D die is gebouwd met 7.1.14 (of 14.6.2) deelt dezelfde pincode als app B.
Als alleen apps A en C op een apparaat zijn geïnstalleerd, moet er één pincode worden ingesteld. Hetzelfde geldt voor als alleen apps B en D op een apparaat zijn geïnstalleerd.

App-gegevensversleuteling

IT-beheerders kunnen een app-beveiligingsbeleid implementeren dat vereist dat app-gegevens worden versleuteld. Als onderdeel van het beleid kan de IT-beheerder ook opgeven wanneer de inhoud wordt versleuteld.

Hoe werkt Intune gegevensversleutelingsproces
Zie de beveiligingsbeleidsinstellingen voor Android-apps en de beveiligingsbeleidsinstellingen voor iOS-/iPadOS-apps voor gedetailleerde informatie over de beleidsinstelling voor versleuteling voor app-beveiliging.

Versleutelde gegevens
Alleen gegevens die zijn gemarkeerd als 'zakelijk' worden versleuteld volgens het app-beveiligingsbeleid van de IT-beheerder. Gegevens worden beschouwd als 'zakelijk' wanneer ze afkomstig zijn van een bedrijfslocatie. Voor de Office-apps beschouwt Intune het volgende als bedrijfslocaties:

  • Email (Exchange)
  • Cloudopslag (OneDrive-app met een OneDrive voor Bedrijven-account)

Voor Line-Of-Business-apps die worden beheerd door de Intune App Wrapping Tool, worden alle app-gegevens beschouwd als 'zakelijk'.

Selectief wissen

Gegevens op afstand wissen
Intune kunt app-gegevens op drie verschillende manieren wissen:

  • Apparaat volledig wissen
  • Selectief wissen voor MDM
  • MAM selectief wissen

Zie Apparaten verwijderen met behulp van wissen of buiten gebruik stellen voor meer informatie over extern wissen voor MDM. Zie de actie Buiten gebruik stellen en Alleen bedrijfsgegevens uit apps wissen voor meer informatie over selectief wissen met mam.

Als het apparaat volledig wordt gewist , worden alle gebruikersgegevens en instellingen van het apparaat verwijderd door het apparaat terug te brengen naar de fabrieksinstellingen. Het apparaat wordt verwijderd uit Intune.

Opmerking

Volledig wissen van apparaten en selectief wissen voor MDM kan alleen worden bereikt op apparaten die zijn ingeschreven met Intune MDM (Mobile Device Management).

Selectief wissen voor MDM
Zie Apparaten verwijderen - buiten gebruik stellen voor meer informatie over het verwijderen van bedrijfsgegevens.

Selectief wissen voor MAM
Selectief wissen voor MAM verwijdert alleen bedrijfsgegevens uit een app. De aanvraag wordt gestart met behulp van Intune. Zie Alleen bedrijfsgegevens uit apps wissen voor meer informatie over het initiëren van een wisaanvraag.

Als de gebruiker de app gebruikt wanneer selectief wissen wordt gestart, controleert de Intune SDK elke 30 minuten op een aanvraag voor selectief wissen van de Intune MAM-service. Er wordt ook gecontroleerd op selectief wissen wanneer de gebruiker de app voor het eerst start en zich aanmeldt met het werk- of schoolaccount.

Wanneer on-premises (on-premises) services niet werken met Intune beveiligde apps
Intune app-beveiliging is afhankelijk van de identiteit van de gebruiker die consistent is tussen de toepassing en de Intune SDK. De enige manier om dat te garanderen is via moderne verificatie. Er zijn scenario's waarin apps mogelijk werken met een on-premises configuratie, maar ze zijn niet consistent en niet gegarandeerd.

Veilige manier om webkoppelingen te openen vanuit beheerde apps
De IT-beheerder kan app-beveiligingsbeleid implementeren en instellen voor Microsoft Edge, een webbrowser die eenvoudig kan worden beheerd met Intune. De IT-beheerder kan vereisen dat alle webkoppelingen in Intune beheerde apps worden geopend met behulp van een beheerde browser.

App-beveiliging ervaring voor iOS-apparaten

Vingerafdruk- of gezichts-id's van apparaat

Intune app-beveiligingsbeleid staat alleen de Intune gelicentieerde gebruiker controle toe over de toegang tot apps. Een van de manieren om de toegang tot de app te beheren, is door de Touch ID of Face ID van Apple op ondersteunde apparaten te vereisen. Intune implementeert een gedrag waarbij als er een wijziging is in de biometrische database van het apparaat, Intune de gebruiker om een pincode vraagt wanneer de volgende time-outwaarde voor inactiviteit wordt bereikt. Wijzigingen in biometrische gegevens omvatten het toevoegen of verwijderen van een vingerafdruk of gezicht. Als de Intune gebruiker geen pincode heeft ingesteld, wordt er een Intune pincode ingesteld.

De bedoeling van dit proces is om de gegevens van uw organisatie binnen de app veilig en beveiligd te houden op app-niveau. Deze functie is alleen beschikbaar voor iOS/iPadOS en vereist de deelname van toepassingen die de Intune SDK voor iOS/iPadOS, versie 9.0.1 of hoger integreren. Integratie van de SDK is noodzakelijk, zodat het gedrag kan worden afgedwongen op de doeltoepassingen. Deze integratie vindt doorlopend plaats en is afhankelijk van de specifieke toepassingsteams. Sommige apps die deelnemen, zijn WXP, Outlook, Managed Browser en Yammer.

iOS-shareextensie

U kunt de iOS-/iPadOS-shareextensie gebruiken om werk- of schoolgegevens te openen in onbeheerde apps, zelfs als het beleid voor gegevensoverdracht is ingesteld op alleen beheerde apps of geen apps. Intune app-beveiligingsbeleid kan de iOS-/iPadOS-shareextensie niet beheren zonder het apparaat te beheren. Daarom versleutelt Intune 'zakelijke' gegevens voordat deze buiten de app worden gedeeld. U kunt dit versleutelingsgedrag valideren door te proberen een 'zakelijk' bestand buiten de beheerde app te openen. Het bestand moet zijn versleuteld en kan niet worden geopend buiten de beheerde app.

Standaard voorkomt Intune app-beveiligingsbeleid toegang tot niet-geautoriseerde toepassingsinhoud. In iOS/iPadOS is er functionaliteit om specifieke inhoud of toepassingen te openen met behulp van Universele koppelingen.

Gebruikers kunnen de universele koppelingen van een app uitschakelen door deze te bezoeken in Safari en Openen op nieuw tabblad of Openen te selecteren. Als u Universele koppelingen wilt gebruiken met Intune app-beveiligingsbeleid, is het belangrijk om de universele koppelingen opnieuw in te schakelen. De eindgebruiker moet denaam> van de app openen in< Safari uitvoeren nadat hij lang op een bijbehorende koppeling heeft gedrukt. Hiermee wordt elke extra beveiligde app gevraagd om alle universele koppelingen naar de beveiligde toepassing op het apparaat te routeren.

Toegangsinstellingen voor meerdere Intune app-beveiliging voor dezelfde set apps en gebruikers

Intune app-beveiligingsbeleid voor toegang wordt in een specifieke volgorde toegepast op apparaten van eindgebruikers wanneer ze proberen toegang te krijgen tot een doel-app vanuit hun bedrijfsaccount. In het algemeen heeft een wissen voorrang, gevolgd door een blok en vervolgens een waarschuwing die niet kan worden toegestaan. Indien van toepassing op de specifieke gebruiker/app, wordt bijvoorbeeld een minimale iOS-/iPadOS-besturingssysteeminstelling die een gebruiker waarschuwt om de iOS-/iPadOS-versie bij te werken, toegepast na de minimale instelling van het iOS-/iPadOS-besturingssysteem die de gebruiker de toegang blokkeert. In het scenario waarin de IT-beheerder het minimale iOS-besturingssysteem configureert op 11.0.0.0 en het minimale iOS-besturingssysteem (alleen waarschuwing) naar 11.1.0.0, terwijl het apparaat dat toegang probeert te krijgen tot de app zich op iOS 10 bevond, zou de eindgebruiker worden geblokkeerd op basis van de meer beperkende instelling voor minimale versie van het iOS-besturingssysteem dat leidt tot geblokkeerde toegang.

Wanneer u te maken hebt met verschillende typen instellingen, heeft een Intune SDK-versievereiste voorrang, vervolgens een vereiste voor een app-versie, gevolgd door de vereiste voor de versie van het iOS-/iPadOS-besturingssysteem. Vervolgens worden eventuele waarschuwingen voor alle typen instellingen in dezelfde volgorde gecontroleerd. We raden u aan de vereiste Intune SDK-versie alleen te configureren op basis van richtlijnen van het Intune productteam voor essentiële blokkeringsscenario's.

App-beveiliging ervaring voor Android-apparaten

Opmerking

App-beveiliging-beleid (APP) wordt niet ondersteund op Intune beheerde toegewezen Android Enterprise-apparaten zonder de modus Gedeeld apparaat. Op deze apparaten is Bedrijfsportal installatie nodig om een APP-blokkeringsbeleid van kracht te laten worden zonder dat dit van invloed is op de gebruiker. App-beveiliging-beleid wordt ondersteund op Intune beheerde toegewezen Android Enterprise-apparaten met de modus Gedeeld apparaat, en op AOSP-apparaten zonder gebruikers die gebruikmaken van de modus Gedeelde apparaten.

Microsoft Teams Android-apparaten

De Teams-app op Microsoft Teams Android-apparaten biedt geen ondersteuning voor APP (ontvangt geen beleid via de Bedrijfsportal-app). Dit betekent dat de instellingen voor app-beveiligingsbeleid niet worden toegepast op Teams op Microsoft Android-apparaten van Teams. Als u app-beveiligingsbeleid hebt geconfigureerd voor deze apparaten, kunt u overwegen om een groep gebruikers van Teams-apparaten te maken en die groep uit te sluiten van het bijbehorende app-beveiligingsbeleid. U kunt ook uw Intune inschrijvingsbeleid, beleid voor voorwaardelijke toegang en Intune-nalevingsbeleid wijzigen, zodat deze ondersteunde instellingen hebben. Als u uw bestaande beleid niet kunt wijzigen, moet u apparaatfilters configureren (uitsluiten). Controleer elke instelling op basis van de bestaande configuratie voor voorwaardelijke toegang en Intune nalevingsbeleid om te weten of u niet-ondersteunde instellingen hebt. Zie Ondersteunde voorwaardelijke toegang en Intune apparaatnalevingsbeleid voor Microsoft Teams-ruimten en Teams Android-apparaten voor gerelateerde informatie. Zie Voorwaardelijke toegang en Intune naleving voor Microsoft Teams-ruimten voor informatie over Microsoft Teams-ruimten.

Biometrische apparaatverificatie

Voor Android-apparaten die biometrische verificatie ondersteunen, kunt u toestaan dat eindgebruikers vingerafdruk of Gezichtsontgrendeling gebruiken, afhankelijk van wat hun Android-apparaat ondersteunt. U kunt configureren of alle biometrische typen naast vingerafdruk kunnen worden gebruikt om te verifiëren. Houd er rekening mee dat vingerafdruk en gezichtsvergrendeling alleen beschikbaar zijn voor apparaten die zijn gemaakt om deze biometrische typen te ondersteunen en de juiste versie van Android gebruiken. Android 6 en hoger is vereist voor vingerafdruk en Android 10 en hoger is vereist voor Gezichts ontgrendelen.

Bedrijfsportal app- en Intune-app-beveiliging

Veel van de functionaliteit voor app-beveiliging is ingebouwd in de Bedrijfsportal app. Apparaatinschrijving is niet vereist, ook al is de Bedrijfsportal app altijd vereist. Voor Mobile Application Management (MAM) hoeft de eindgebruiker alleen de Bedrijfsportal-app op het apparaat te hebben geïnstalleerd.

Toegangsinstellingen voor meerdere Intune app-beveiliging voor dezelfde set apps en gebruikers

Intune app-beveiligingsbeleid voor toegang wordt in een specifieke volgorde toegepast op apparaten van eindgebruikers wanneer ze proberen toegang te krijgen tot een doel-app vanuit hun bedrijfsaccount. In het algemeen heeft een blok voorrang, dan een waarschuwing die niet toegestaan is. Als dit bijvoorbeeld van toepassing is op de specifieke gebruiker/app, wordt een instelling voor een minimale Android-patchversie die een gebruiker waarschuwt om een patch-upgrade uit te voeren, toegepast na de instelling voor de minimale Android-patchversie die de toegang van de gebruiker blokkeert. Dus in het scenario waarin de IT-beheerder de minimale Android-patchversie configureert op 2018-03-01 en de minimale Versie van de Android-patch (alleen waarschuwing) naar 2018-02-01, terwijl het apparaat dat toegang probeert te krijgen tot de app zich op een patchversie bevindt 2018-01-01, wordt de eindgebruiker geblokkeerd op basis van de meer beperkende instelling voor Android-patchversie die leidt tot geblokkeerde toegang.

Wanneer u te maken hebt met verschillende typen instellingen, heeft een vereiste voor de app-versie voorrang, gevolgd door de vereiste versie van het Android-besturingssysteem en de vereiste voor de android-patchversie. Vervolgens worden eventuele waarschuwingen voor alle typen instellingen in dezelfde volgorde gecontroleerd.

Intune app-beveiligingsbeleid en SafetyNet Attestation van Google voor Android-apparaten

Intune app-beveiligingsbeleid biedt beheerders de mogelijkheid om te vereisen dat eindgebruikersapparaten de SafetyNet Attestation van Google voor Android-apparaten doorstaan. Een nieuwe Google Play-service wordt gerapporteerd aan de IT-beheerder met een interval dat wordt bepaald door de Intune-service. Hoe vaak de service-aanroep wordt beperkt vanwege belasting, zodat deze waarde intern wordt onderhouden en niet kan worden geconfigureerd. Elke door de IT-beheerder geconfigureerde actie voor de instelling Google SafetyNet Attestation wordt uitgevoerd op basis van het laatst gerapporteerde resultaat aan de Intune service op het moment van voorwaardelijke start. Als er geen gegevens zijn, wordt toegang toegestaan, afhankelijk van geen andere controles voor voorwaardelijk starten en de 'roundtrip' van de Google Play-service voor het bepalen van attestation-resultaten wordt gestart in de back-end en wordt de gebruiker asynchroon gevraagd of het apparaat is mislukt. Als er verouderde gegevens zijn, wordt de toegang geblokkeerd of toegestaan, afhankelijk van het laatst gerapporteerde resultaat. Op dezelfde manier wordt een 'roundtrip' van de Google Play-service voor het bepalen van attestation-resultaten gestart en wordt de gebruiker asynchroon gevraagd of het apparaat is mislukt.

Intune app-beveiligingsbeleid en de App verifiëren-API van Google voor Android-apparaten

Intune App-beveiligingsbeleid bieden beheerders de mogelijkheid om eindgebruikers te verplichten signalen te verzenden via de Verify Apps-API van Google voor Android-apparaten. De instructies voor hoe u dit doet, verschillen enigszins per apparaat. Het algemene proces bestaat uit het gaan van naar de Google Play Store, klik vervolgens op Mijn apps & games en klik op het resultaat van de laatste app-scan die u naar het menu Play Protect brengt. Zorg ervoor dat de wisselknop voor Apparaat scannen op beveiligingsrisico's is ingeschakeld.

De SafetyNet Attestation-API van Google

Intune maakt gebruik van Google Play Protect SafetyNet-API's om toe te voegen aan onze bestaande basisdetectiecontroles voor niet-ingeschreven apparaten. Google heeft deze API-set ontwikkeld en onderhouden voor Android-apps die kunnen worden gebruikt als ze niet willen dat hun apps worden uitgevoerd op geroote apparaten. De Android Pay-app heeft dit bijvoorbeeld opgenomen. Hoewel Google niet alle controles voor basisdetectie openbaar deelt, verwachten we dat deze API's gebruikers detecteren die hun apparaten hebben geroot. Deze gebruikers kunnen vervolgens worden geblokkeerd voor toegang of hun bedrijfsaccounts worden gewist vanuit hun apps waarvoor beleid is ingeschakeld. Basisintegriteit controleren geeft informatie over de algemene integriteit van het apparaat. Geroote apparaten, emulators, virtuele apparaten en apparaten met tekenen van manipulatie mislukken de basisintegriteit. Controleer apparaten die zijn gecertificeerd voor basisintegriteit&, vertelt u over de compatibiliteit van het apparaat met de services van Google. Alleen niet-gewijzigde apparaten die door Google zijn gecertificeerd, kunnen deze controle doorstaan. Apparaten die mislukken, zijn onder andere:

  • Apparaten met een fout in de basisintegriteit
  • Apparaten met een ontgrendeld opstartprogramma
  • Apparaten met een aangepaste systeeminstallatiekopieën/ROM
  • Apparaten waarvoor de fabrikant geen Google-certificering heeft aangevraagd of slaagt
  • Apparaten met een systeeminstallatiekopie die rechtstreeks is gebouwd op basis van de Bronbestanden van het Android Open Source-programma
  • Apparaten met een bèta-/ontwikkelaar-previewsysteeminstallatiekopieën

Zie de documentatie van Google over de SafetyNet Attestation voor technische informatie.

De instelling SafetyNet-apparaatattest en de instelling 'jailbroken/geroote apparaten'

Voor de SafetyNet-API-controles van Google Play Protect moet de eindgebruiker online zijn, ten minste voor de duur van het moment waarop de retour voor het bepalen van de resultaten van de attestation wordt uitgevoerd. Als de eindgebruiker offline is, kan de IT-beheerder nog steeds verwachten dat een resultaat wordt afgedwongen van de instelling jailbroken/geroote apparaten . Dat gezegd hebbende, als de eindgebruiker te lang offline is geweest, treedt de waarde van de offline respijtperiode in het spel en wordt alle toegang tot werk- of schoolgegevens geblokkeerd zodra die timerwaarde is bereikt, totdat netwerktoegang beschikbaar is. Als u beide instellingen inschakelt, is een gelaagde benadering mogelijk om apparaten van eindgebruikers gezond te houden. Dit is belangrijk wanneer eindgebruikers toegang hebben tot werk- of schoolgegevens op mobiele apparaten.

Google Play Protect-API's en Google Play-services

Voor de instellingen voor het app-beveiligingsbeleid die gebruikmaken van Google Play Protect-API's, moet Google Play Services functioneren. Voor zowel de safetyNet-apparaatverklaring als de bedreigingsscan op apps moet de door Google bepaalde versie van Google Play Services correct functioneren. Omdat dit instellingen zijn die op het gebied van beveiliging vallen, wordt de eindgebruiker geblokkeerd als deze instellingen zijn gericht op deze instellingen en niet voldoet aan de juiste versie van Google Play Services of geen toegang heeft tot Google Play Services.

Volgende stappen

App-beveiligingsbeleid maken en implementeren met Microsoft Intune

Beschikbare instellingen voor beveiligingsbeleid voor Android-apps met Microsoft Intune

Beschikbare beveiligingsbeleidsinstellingen voor iOS-/iPadOS-apps met Microsoft Intune