Veelgestelde vragen over MAM en app-beveiliging

MAM-overzicht

App-beveiliging beleid zijn regels die ervoor zorgen dat de gegevens van een organisatie veilig blijven of in een beheerde app zijn opgenomen. Een beleid kan een regel zijn die wordt afgedwongen wanneer de gebruiker probeert 'zakelijke' gegevens te openen of te verplaatsen, of een set acties die zijn verboden of bewaakt wanneer de gebruiker zich in de app bevindt.

Zie de beveiligingsbeleidsinstellingen voor Android-apps en de beveiligingsbeleidsinstellingen voor iOS-/iPadOS-apps voor gedetailleerde informatie over elke instelling voor app-beveiligingsbeleid.

Als u een MAM-beleid toepast op de gebruiker zonder de apparaatbeheerstatus in te stellen, krijgt de gebruiker het MAM-beleid op zowel het BYOD-apparaat als het door Intune beheerde apparaat. U kunt ook mam-beleid toepassen op basis van de apparaatbeheerstatus. Wanneer u dus een app-beveiligingsbeleid maakt, selecteert u naast Doel voor apps op alle apparaattypen de optie Nee. Voer vervolgens een van de volgende handelingen uit:

• Pas een minder strikt MAM-beleid toe op door Intune beheerde apparaten en pas een meer beperkend MAM-beleid toe op apparaten die niet zijn ingeschreven bij MDM.
• Pas een even strikt MAM-beleid toe op door Intune beheerde apparaten als op door derden beheerde apparaten.
• Pas mam-beleid alleen toe op niet-ingeschreven apparaten.

Zie App-beveiligingsbeleid bewaken voor meer informatie.

Elke app die is geïntegreerd met de Intune App SDK of die is verpakt door de Intune-App Wrapping Tool, kan worden beheerd met behulp van Intune-beveiligingsbeleid voor apps. Zie de officiële lijst met door Intune beheerde apps die beschikbaar zijn voor openbaar gebruik.

• De eindgebruiker moet een Microsoft Entra-account hebben. Zie Gebruikers toevoegen en beheerdersmachtigingen verlenen aan Intune voor meer informatie over het maken van Intune-gebruikers in Microsoft Entra ID.

• De eindgebruiker moet een licentie voor Microsoft Intune toegewezen aan het Microsoft Entra-account. Zie Intune-licenties beheren voor meer informatie over het toewijzen van Intune-licenties aan eindgebruikers.

• De eindgebruiker moet deel uitmaken van een beveiligingsgroep waarop een app-beveiligingsbeleid van toepassing is. Hetzelfde app-beveiligingsbeleid moet gericht zijn op de specifieke app die wordt gebruikt. App-beveiliging-beleid kan worden gemaakt en geïmplementeerd in het Microsoft Intune-beheercentrum. Beveiligingsgroepen kunnen momenteel worden gemaakt in de Microsoft 365-beheercentrum.

• De eindgebruiker moet zich aanmelden bij de app met zijn Microsoft Entra-account.

Het intune SDK-ontwikkelteam test en onderhoudt actief ondersteuning voor apps die zijn gebouwd met de systeemeigen platforms Android, iOS/iPadOS (Obj-C, Swift), Xamarin en Xamarin.Forms. Hoewel sommige klanten succes hebben gehad met de Integratie van Intune SDK met andere platforms, zoals React Native en NativeScript, bieden we geen expliciete richtlijnen of invoegtoepassingen voor app-ontwikkelaars die iets anders gebruiken dan onze ondersteunde platforms.

De Intune App SDK kan de Microsoft Authentication Library gebruiken voor de scenario's voor verificatie en voorwaardelijk starten. Het is ook afhankelijk van MSAL om de gebruikersidentiteit te registreren bij de MAM-service voor beheer zonder apparaatinschrijvingsscenario's.

• De eindgebruiker moet de mobiele Outlook-app op het apparaat hebben geïnstalleerd.

• De eindgebruiker moet een Microsoft 365-Exchange Online-postvak en -licentie hebben gekoppeld aan het Microsoft Entra-account.

  Opmerking

  De mobiele Outlook-app ondersteunt momenteel alleen Intune App Protection voor Microsoft Exchange Online en Exchange Server met hybride moderne verificatie en biedt geen ondersteuning voor Exchange in Office 365 Dedicated.

• De eindgebruiker moet een licentie voor Microsoft 365-apps voor bedrijven of onderneming hebben die is gekoppeld aan zijn of haar Microsoft Entra-account. Het abonnement moet de Office-apps op mobiele apparaten bevatten en kan een cloudopslagaccount met OneDrive voor Bedrijven bevatten. Microsoft 365-licenties kunnen worden toegewezen in de Microsoft 365-beheercentrum door deze instructies te volgen.

• De eindgebruiker moet een beheerde locatie hebben die is geconfigureerd met behulp van de gedetailleerde functionaliteit opslaan als onder de beleidsinstelling 'Kopieën van organisatiegegevens opslaan'. Als de beheerde locatie bijvoorbeeld OneDrive is, moet de OneDrive-app worden geconfigureerd in de Word-, Excel- of PowerPoint-app van de eindgebruiker.

• Als de beheerde locatie OneDrive is, moet de app het doelwit zijn van het app-beveiligingsbeleid dat is geïmplementeerd voor de eindgebruiker.

  Opmerking

  De mobiele Office-apps ondersteunen momenteel alleen SharePoint Online en niet SharePoint on-premises.

Intune markeert alle gegevens in de app als 'zakelijk' of 'persoonlijk'. Gegevens worden beschouwd als 'zakelijk' wanneer ze afkomstig zijn van een bedrijfslocatie. Voor de Office-apps beschouwt Intune het volgende als bedrijfslocaties: e-mail (Exchange) of cloudopslag (OneDrive-app met een OneDrive voor Bedrijven-account).

Zie Skype voor Bedrijven licentievereisten. Zie Respectievelijk Hybride moderne verificatie voor Skype voor Bedrijven SfB en Exchange gaat GA en Modern Auth voor SfB on-premises met Microsoft Entra ID voor hybride en on-premises configuraties (SfB) voor hybride en on-premises sfB-configuraties.

Ondersteuning voor meerdere identiteiten is de mogelijkheid voor de Intune App SDK om alleen app-beveiligingsbeleid toe te passen op het werk- of schoolaccount dat is aangemeld bij de app. Als een persoonlijk account is aangemeld bij de app, blijven de gegevens ongewijzigd.

Met ondersteuning voor meerdere identiteiten kunnen apps met zowel zakelijke als consumentendoelgroepen (de Office-apps) openbaar worden uitgebracht met intune-app-beveiligingsmogelijkheden voor de 'zakelijke' accounts.

Omdat Outlook een gecombineerde e-mailweergave heeft van zowel persoonlijke als zakelijke e-mailberichten, wordt in de Outlook-app bij het starten gevraagd om de Pincode van Intune.

Het pincode (Personal Identification Number) is een wachtwoordcode die wordt gebruikt om te controleren of de juiste gebruiker toegang heeft tot de gegevens van de organisatie in een toepassing.

Intune vraagt om de pincode van de app van de gebruiker wanneer de gebruiker op het punt staat toegang te krijgen tot 'zakelijke' gegevens. In apps met meerdere identiteiten, zoals Word/Excel/PowerPoint, wordt de gebruiker gevraagd om zijn pincode wanneer hij of zij een 'zakelijk' document of bestand probeert te openen. In apps met één identiteit, zoals Line-Of-Business-apps die worden beheerd met behulp van de Intune App Wrapping Tool, wordt de pincode gevraagd bij het starten, omdat de Intune App SDK weet dat de gebruikerservaring in de app altijd 'zakelijk' is.

De IT-beheerder kan de instelling 'De toegangsvereisten na (minuten) opnieuw controleren' definiëren in het Microsoft Intune-beheercentrum. Met deze instelling geeft u de hoeveelheid tijd op voordat de toegangsvereisten op het apparaat worden gecontroleerd en het pincodescherm van de toepassing opnieuw wordt weergegeven. Belangrijke details over pincode die van invloed zijn op hoe vaak de gebruiker wordt gevraagd, zijn echter:

• De pincode wordt gedeeld tussen apps van dezelfde uitgever om de bruikbaarheid te verbeteren: Op iOS/iPadOS wordt één app-pincode gedeeld tussen alle apps van dezelfde app-uitgever. Op Android wordt één pincode voor apps gedeeld tussen alle apps.
• Het gedrag 'De toegangsvereisten opnieuw controleren na (minuten)' na het opnieuw opstarten van een apparaat: Een pincodetimer houdt het aantal minuten van inactiviteit bij dat bepaalt wanneer de pincode van de Intune-app hierna wordt weergegeven. Op iOS/iPadOS wordt de pincodetimer niet beïnvloed door het opnieuw opstarten van het apparaat. Het opnieuw opstarten van het apparaat heeft dus geen invloed op het aantal minuten dat de gebruiker inactief is geweest vanuit een iOS-/iPadOS-app met Intune-pincodebeleid. Op Android wordt de pincodetimer opnieuw ingesteld bij het opnieuw opstarten van het apparaat. Daarom wordt in Android-apps met intune-pincodebeleid waarschijnlijk om een app-pincode gevraagd, ongeacht de instellingswaarde 'De toegangsvereisten opnieuw controleren na (minuten)' na het opnieuw opstarten van een apparaat.
• De doorlopende aard van de timer die is gekoppeld aan de pincode: Zodra een pincode is ingevoerd voor toegang tot een app (app A) en de app de voorgrond (hoofdinvoerfocus) op het apparaat verlaat, wordt de pincodetimer opnieuw ingesteld voor die pincode. Elke app (app B) die deze pincode deelt, vraagt de gebruiker niet om pincodeinvoer omdat de timer opnieuw is ingesteld. De prompt wordt opnieuw weergegeven zodra opnieuw is voldaan aan de waarde 'De toegangsvereisten opnieuw controleren na (minuten)'.

Voor iOS-/iPadOS-apparaten, zelfs als de pincode wordt gedeeld tussen apps van verschillende uitgevers, wordt de prompt opnieuw weergegeven wanneer opnieuw aan de waarde Opnieuw controleren van de toegangsvereisten na (minuten) wordt voldaan voor de app die niet de belangrijkste invoerfocus is. Een gebruiker heeft bijvoorbeeld app A van uitgever X en app B van uitgever Y en die twee apps delen dezelfde pincode. De gebruiker is gericht op app A (voorgrond) en app B wordt geminimaliseerd. Nadat aan de waarde Voor opnieuw controleren van de toegangsvereisten na (minuten) is voldaan en de gebruiker overschakelt naar app B, is de pincode vereist.

De Intune-pincode werkt op basis van een timer op basis van inactiviteit (de waarde van 'De toegangsvereisten opnieuw controleren na (minuten)'). Als zodanig worden Intune-pincodeprompts weergegeven onafhankelijk van de ingebouwde pincodeprompts voor Outlook en OneDrive, die vaak standaard zijn gekoppeld aan het starten van apps. Als de gebruiker beide pincodeprompts tegelijkertijd ontvangt, moet het verwachte gedrag zijn dat de Intune-pincode voorrang heeft.

De pincode dient om alleen de juiste gebruiker toegang te geven tot de gegevens van hun organisatie in de app. Daarom moeten eindgebruikers zich aanmelden met hun werk- of schoolaccount voordat ze de pincode voor de Intune-app kunnen instellen of opnieuw instellen. Deze verificatie wordt verwerkt door Microsoft Entra ID via beveiligde tokenuitwisseling en is niet transparant voor de Intune App SDK. Vanuit een beveiligingsperspectief is de beste manier om werk- of schoolgegevens te beveiligen door deze te versleutelen. Versleuteling is niet gerelateerd aan de pincode van de app, maar is een eigen app-beveiligingsbeleid.

Als onderdeel van het pincodebeleid van de app kan de IT-beheerder het maximum aantal keren instellen dat gebruikers hun pincode kunnen verifiëren voordat ze de app vergrendelen. Nadat aan het aantal pogingen is voldaan, kan de Intune App SDK de 'zakelijke' gegevens in de app wissen.

MAM (op iOS/iPadOS) staat momenteel een pincode op toepassingsniveau toe met alfanumerieke en speciale tekens (de zogenaamde 'wachtwoordcode') waarvoor de deelname van toepassingen (bijvoorbeeld WXP, Outlook, Managed Browser, Yammer) is vereist om de Intune APP SDK voor iOS/iPadOS te integreren. Zonder dit worden de wachtwoordcode-instellingen niet correct afgedwongen voor de doeltoepassingen. Dit was een functie die is uitgebracht in de Intune SDK voor iOS/iPadOS v. 7.1.12.

Om deze functie te ondersteunen en achterwaartse compatibiliteit met eerdere versies van de Intune SDK voor iOS/iPadOS te garanderen, worden alle pincodes (numeriek of wachtwoordcode) in 7.1.12+ afzonderlijk verwerkt van de numerieke pincode in eerdere versies van de SDK. Als een apparaat toepassingen heeft met Intune SDK voor iOS/iPadOS-versies vóór 7.1.12 EN na 7.1.12 van dezelfde uitgever, moeten ze daarom twee pincodes instellen.

Dat gezegd hebbende, zijn de twee pincodes (voor elke app) op geen enkele manier gerelateerd, d.w.z. ze moeten voldoen aan het app-beveiligingsbeleid dat op de app wordt toegepast. Alleen als voor apps A en B hetzelfde beleid is toegepast (met betrekking tot pincode), kan de gebruiker dus twee keer dezelfde pincode instellen.

Dit gedrag is specifiek voor de pincode voor iOS-/iPadOS-toepassingen die zijn ingeschakeld met Intune Mobile App Management. Naarmate toepassingen in de loop van de tijd nieuwere versies van de Intune SDK voor iOS/iPadOS gebruiken, wordt het minder vaak een probleem om tweemaal een pincode in te stellen voor apps van dezelfde uitgever. Zie de onderstaande opmerking voor een voorbeeld.

IT-beheerders kunnen een app-beveiligingsbeleid implementeren dat vereist dat app-gegevens worden versleuteld. Als onderdeel van het beleid kan de IT-beheerder ook opgeven wanneer de inhoud wordt versleuteld.

Zie de beveiligingsbeleidsinstellingen voor Android-apps en de beveiligingsbeleidsinstellingen voor iOS-/iPadOS-apps voor gedetailleerde informatie over de beleidsinstelling voor app-beveiliging voor versleuteling.

Alleen gegevens die zijn gemarkeerd als 'zakelijk' worden versleuteld volgens het app-beveiligingsbeleid van de IT-beheerder. Gegevens worden beschouwd als 'zakelijk' wanneer ze afkomstig zijn van een bedrijfslocatie. Voor de Office-apps beschouwt Intune het volgende als bedrijfslocaties: e-mail (Exchange) of cloudopslag (OneDrive-app met een OneDrive voor Bedrijven-account). Voor Line-Of-Business-apps die worden beheerd door de Intune-App Wrapping Tool, worden alle app-gegevens beschouwd als 'zakelijk'.

Intune kan app-gegevens op drie verschillende manieren wissen: volledig apparaat wissen, selectief wissen voor MDM en selectief wissen van MAM. Zie Apparaten verwijderen met behulp van wissen of buiten gebruik stellen voor meer informatie over extern wissen voor MDM. Zie de actie Buiten gebruik stellen en Alleen bedrijfsgegevens uit apps wissen voor meer informatie over selectief wissen met mam.

Wissen verwijdert alle gebruikersgegevens en instellingen van het apparaat door het apparaat te herstellen naar de fabrieksinstellingen. Het apparaat wordt verwijderd uit Intune.

Zie Apparaten verwijderen - buiten gebruik stellen voor meer informatie over het verwijderen van bedrijfsgegevens.

Selectief wissen voor MAM verwijdert alleen bedrijfsgegevens uit een app. De aanvraag wordt gestart met behulp van het Microsoft Intune-beheercentrum. Zie Alleen bedrijfsgegevens uit apps wissen voor meer informatie over het initiëren van een wisaanvraag.

Als de gebruiker de app gebruikt wanneer selectief wissen wordt gestart, controleert de Intune App SDK elke 30 minuten op een aanvraag voor selectief wissen van de Intune MAM-service. Er wordt ook gecontroleerd op selectief wissen wanneer de gebruiker de app voor het eerst start en zich aanmeldt met het werk- of schoolaccount.

Intune-app-beveiliging is afhankelijk van de identiteit van de gebruiker om consistent te zijn tussen de toepassing en de Intune App SDK. De enige manier om dat te garanderen is via moderne verificatie. Er zijn scenario's waarin apps mogelijk werken met een on-premises configuratie, maar ze zijn niet consistent en niet gegarandeerd.

Ja. De IT-beheerder kan app-beveiligingsbeleid implementeren en instellen voor de Microsoft Edge-app. De IT-beheerder kan vereisen dat alle webkoppelingen in door Intune beheerde apps worden geopend met behulp van de Microsoft Edge-app.

Bedrijfsportal app- en Intune-app-beveiliging

Intune-app-beveiligingsbeleid voor toegang wordt in een specifieke volgorde toegepast op apparaten van eindgebruikers wanneer ze toegang proberen te krijgen tot een doel-app vanuit hun bedrijfsaccount. In het algemeen heeft een blok voorrang en vervolgens een waarschuwing die niet kan worden toegestaan. Als dit bijvoorbeeld van toepassing is op de specifieke gebruiker/app, wordt een instelling voor de minimale Android-patchversie die een gebruiker waarschuwt om een patch-upgrade uit te voeren, toegepast na de instelling voor de minimale Android-patchversie die de toegang van de gebruiker blokkeert. Dus in het scenario waarin de IT-beheerder de minimale Android-patchversie configureert op 2018-03-01 en de minimale Versie van de Android-patch (alleen waarschuwing) naar 2018-02-01, terwijl het apparaat dat toegang probeert te krijgen tot de app zich op een patchversie bevindt 2018-01-01, wordt de eindgebruiker geblokkeerd op basis van de meer beperkende instelling voor Android-patchversie die leidt tot geblokkeerde toegang.

Wanneer u met verschillende typen instellingen te maken krijgt, heeft een app-versievereiste voorrang, gevolgd door de vereiste versie van het Android-besturingssysteem en de vereiste voor de android-patchversie. Vervolgens worden eventuele waarschuwingen voor alle typen instellingen in dezelfde volgorde gecontroleerd.

De Intune-service neemt contact op met Google Play met een niet-configureerbaar interval dat wordt bepaald door de belasting van de service. Elke it-beheerder die een actie heeft geconfigureerd voor de instelling voor apparaatintegriteitscontrole van Google Play, wordt uitgevoerd op basis van het laatst gerapporteerde resultaat voor de Intune-service op het moment van voorwaardelijke start. Als het apparaatintegriteitsresultaat van Google compatibel is, wordt er geen actie ondernomen. Als het resultaat van de apparaatintegriteit van Google niet compatibel is, wordt de geconfigureerde actie van de IT-beheerder onmiddellijk uitgevoerd. Als de aanvraag voor de apparaatintegriteitscontrole van Google Play om welke reden dan ook mislukt, wordt het resultaat in de cache van de vorige aanvraag maximaal 24 uur gebruikt of wordt het apparaat opnieuw opgestart, wat ooit het eerst gebeurt. Op dat moment blokkeert Intune App-beveiligingsbeleid de toegang totdat een huidig resultaat kan worden verkregen.

De instructies voor hoe u dit doet, verschilt enigszins per apparaat. In het algemeen gaat u naar de Google Play Store, klikt u op Mijn apps & games en klikt u op het resultaat van de laatste app-scan, waarmee u naar het menu Play Protect gaat. Zorg ervoor dat de wisselknop voor Apparaat scannen op beveiligingsrisico's is ingeschakeld.

Intune maakt gebruik van Google Play Integrity API's om toe te voegen aan onze bestaande basisdetectiecontroles voor niet-ingeschreven apparaten. Google heeft deze API-set ontwikkeld en onderhouden voor Android-apps die kunnen worden gebruikt als ze niet willen dat hun apps worden uitgevoerd op geroote apparaten. De Android Pay-app heeft dit bijvoorbeeld opgenomen. Hoewel Google niet alle controles voor basisdetectie openbaar deelt, verwachten we dat deze API's gebruikers detecteren die hun apparaten hebben geroot. Deze gebruikers kunnen vervolgens worden geblokkeerd voor toegang of hun bedrijfsaccounts worden gewist vanuit hun apps waarvoor beleid is ingeschakeld. 'Basisintegriteit controleren' vertelt u over de algemene integriteit van het apparaat. Geroote apparaten, emulators, virtuele apparaten en apparaten met tekenen van manipulatie mislukken de basisintegriteit. 'Controleer de basisintegriteit & gecertificeerde apparaten' vertelt u over de compatibiliteit van het apparaat met de services van Google. Alleen niet-gewijzigde apparaten die door Google zijn gecertificeerd, kunnen deze controle doorstaan. Apparaten die mislukken, zijn onder andere:

• Apparaten met een fout in de basisintegriteit
• Apparaten met een ontgrendeld opstartprogramma
• Apparaten met een aangepaste systeeminstallatiekopieën/ROM
• Apparaten waarvoor de fabrikant geen Google-certificering heeft aangevraagd of slaagt
• Apparaten met een systeeminstallatiekopie die rechtstreeks is gebouwd op basis van de Bronbestanden van het Android Open Source-programma
• Apparaten met een bèta-/ontwikkelaar-previewsysteeminstallatiekopieën

Zie de documentatie van Google over Play Integrity API voor technische informatie.

Google Play Integrity API-controles vereisen dat de eindgebruiker online is, ten minste voor de duur van het moment waarop de 'roundtrip' voor het bepalen van de attestation-resultaten wordt uitgevoerd. Als de eindgebruiker offline is, kan de IT-beheerder nog steeds verwachten dat een resultaat wordt afgedwongen vanuit de instelling 'jailbroken/geroote apparaten'. Dat gezegd hebbende, als de eindgebruiker te lang offline is geweest, treedt de waarde 'Offline respijtperiode' in het spel en wordt alle toegang tot werk- of schoolgegevens geblokkeerd zodra die timerwaarde is bereikt, totdat netwerktoegang beschikbaar is. Als u beide instellingen inschakelt, is een gelaagde benadering mogelijk om apparaten van eindgebruikers in orde te houden. Dit is belangrijk wanneer eindgebruikers toegang hebben tot werk- of schoolgegevens op mobiele apparaten.

Zowel de instellingen 'Play integrity verdict' als 'Threat scan on apps' vereisen dat de door Google bepaalde versie van Google Play Services correct werkt. Omdat dit instellingen zijn die vallen op het gebied van beveiliging, wordt de eindgebruiker geblokkeerd als deze instellingen zijn gericht op deze instellingen en niet voldoen aan de juiste versie van Google Play Services of geen toegang hebben tot Google Play Services.

Met intune-app-beveiligingsbeleid kunt u alleen de intune-gebruiker met een licentie beheren over de toegang tot apps. Een van de manieren om de toegang tot de app te beheren, is door de Touch ID of Face ID van Apple op ondersteunde apparaten te vereisen. Intune implementeert een gedrag waarbij als er een wijziging is in de biometrische database van het apparaat, Intune de gebruiker om een pincode vraagt wanneer de volgende time-outwaarde voor inactiviteit wordt bereikt. Wijzigingen in biometrische gegevens omvatten het toevoegen of verwijderen van een vingerafdruk of gezicht. Als de Intune-gebruiker geen pincode heeft ingesteld, wordt deze geleid tot het instellen van een Intune-pincode.

De bedoeling hiervan is om de gegevens van uw organisatie binnen de app veilig en beveiligd te houden op app-niveau. Deze functie is alleen beschikbaar voor iOS/iPadOS en vereist de deelname van toepassingen die de Intune APP SDK voor iOS/iPadOS, versie 9.0.1 of hoger integreren. Integratie van de SDK is noodzakelijk, zodat het gedrag kan worden afgedwongen op de doeltoepassingen. Deze integratie vindt doorlopend plaats en is afhankelijk van de specifieke toepassingsteams. Sommige apps die deelnemen, zijn WXP, Outlook, Managed Browser en Yammer.

Het intune-app-beveiligingsbeleid kan de iOS-shareextensie niet beheren zonder het apparaat te beheren. Daarom versleutelt Intune 'zakelijke' gegevens voordat deze buiten de app worden gedeeld. U kunt dit valideren door te proberen het 'zakelijke' bestand buiten de beheerde app te openen. Het bestand moet zijn versleuteld en kan niet worden geopend buiten de beheerde app.

Intune-app-beveiligingsbeleid voor toegang wordt in een specifieke volgorde toegepast op apparaten van eindgebruikers wanneer ze toegang proberen te krijgen tot een doel-app vanuit hun bedrijfsaccount. In het algemeen heeft een wisbewerking voorrang, gevolgd door een blok en vervolgens een waarschuwing die niet kan worden toegestaan. Indien van toepassing op de specifieke gebruiker/app, wordt bijvoorbeeld een minimale iOS-/iPadOS-besturingssysteeminstelling die een gebruiker waarschuwt om de iOS-/iPadOS-versie bij te werken, toegepast na de minimale instelling van het iOS-/iPadOS-besturingssysteem die de gebruiker de toegang blokkeert. Dus in het scenario waarin de IT-beheerder het minimale iOS-/iPadOS-besturingssysteem configureert op 11.0.0.0 en het minimale iOS-/iPadOS-besturingssysteem (alleen waarschuwing) naar 11.1.0.0, terwijl het apparaat dat toegang probeert te krijgen tot de app zich op iOS/iPadOS 10 bevond, zou de eindgebruiker worden geblokkeerd op basis van de meer beperkende instelling voor minimale versie van het iOS-/iPadOS-besturingssysteem, wat leidt tot geblokkeerde toegang.

Wanneer u met verschillende typen instellingen te maken hebt, krijgt een Versievereiste van de Intune App SDK voorrang en vervolgens een vereiste voor een app-versie, gevolgd door de vereiste voor de versie van het iOS-/iPadOS-besturingssysteem. Vervolgens worden eventuele waarschuwingen voor alle typen instellingen in dezelfde volgorde gecontroleerd. We raden u aan de versievereiste voor de Intune App SDK alleen te configureren op basis van richtlijnen van het Intune-productteam voor essentiële blokkeringsscenario's.

Zie ook

• Intune implementeren
• Een implementatieplan maken
• Beleidsinstellingen voor android-beheer voor mobiele apps in Microsoft Intune
• Beleidsinstellingen voor het beheer van mobiele apps voor iOS/iPadOS
• Beleid voor het vernieuwen van beleid voor App-beveiliging
• Uw app-beveiligingsbeleid valideren
• Beleidsregels voor app-configuratie toevoegen voor beheerde apps zonder inschrijving
• Ondersteuning krijgen in Microsoft Intune