Delen via


Framework voor gegevensbeveiliging met behulp van app-beveiligingsbeleid

Naarmate meer organisaties strategieën voor mobiele apparaten implementeren voor toegang tot werk- of schoolgegevens, wordt bescherming tegen gegevenslekken van cruciaal belang. Intune mobile application management-oplossing voor bescherming tegen gegevenslekken is App-beveiligingsbeleid (APP). APP zijn regels die ervoor zorgen dat de gegevens van een organisatie veilig blijven of zijn opgenomen in een beheerde app, ongeacht of het apparaat is ingeschreven. Zie overzicht van App-beveiliging beleid voor meer informatie.

Bij het configureren van app-beveiligingsbeleid kunnen organisaties met het aantal verschillende instellingen en opties de beveiliging aanpassen aan hun specifieke behoeften. Vanwege deze flexibiliteit is het mogelijk niet duidelijk welke permutatie van beleidsinstellingen vereist is om een volledig scenario te implementeren. Om organisaties te helpen prioriteit te geven aan de beveiliging van clienteindpunten, heeft Microsoft een nieuwe taxonomie voor beveiligingsconfiguraties in Windows 10 geïntroduceerd en maakt Intune gebruik van een vergelijkbare taxonomie voor het app-gegevensbeveiligingsframework voor het beheer van mobiele apps.

Het configuratieframework voor APP-gegevensbeveiliging is ingedeeld in drie verschillende configuratiescenario's:

  • Niveau 1 enterprise-basisgegevensbeveiliging: Microsoft raadt deze configuratie aan als de minimale configuratie voor gegevensbeveiliging voor een bedrijfsapparaat.

  • Verbeterde gegevensbeveiliging op niveau 2: Microsoft raadt deze configuratie aan voor apparaten waarop gebruikers toegang hebben tot gevoelige of vertrouwelijke informatie. Deze configuratie is van toepassing op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens. Sommige besturingselementen kunnen van invloed zijn op de gebruikerservaring.

  • Hoge gegevensbescherming op bedrijfsniveau 3: Microsoft raadt deze configuratie aan voor apparaten die worden uitgevoerd door een organisatie met een groter of geavanceerder beveiligingsteam, of voor specifieke gebruikers of groepen die een uniek hoog risico lopen (gebruikers die zeer gevoelige gegevens verwerken wanneer onbevoegde openbaarmaking aanzienlijke materiële verliezen voor de organisatie veroorzaakt). Een organisatie die waarschijnlijk het doelwit is van goed gefinancierde en geavanceerde aanvallers, moet deze configuratie nastreven.

Implementatiemethodologie van APP Data Protection Framework

Net als bij elke implementatie van nieuwe software, functies of instellingen, raadt Microsoft aan te investeren in een ringmethodologie voor het testen van validatie voordat het APP-framework voor gegevensbeveiliging wordt geïmplementeerd. Het definiëren van implementatieringen is over het algemeen een eenmalige gebeurtenis (of ten minste onregelmatig), maar IT moet deze groepen opnieuw bezoeken om ervoor te zorgen dat de volgorde nog steeds correct is.

Microsoft raadt de volgende implementatieringsbenadering aan voor het APP-gegevensbeveiligingsframework:

Implementatiering Tenant Evaluatieteams Uitvoer Tijdlijn
Kwaliteitsgarantie Preproductietenant Eigenaren van mobiele mogelijkheden, beveiliging, evaluatie van risico's, privacy, UX Validatie van functionele scenario's, conceptdocumentatie 0-30 dagen
Preview Productietenant Eigenaren van mobiele mogelijkheden, UX Validatie van scenario's voor eindgebruikers, documentatie voor gebruikers 7-14 dagen, kwaliteitscontrole achteraf
Productie Productietenant Eigenaren van mobiele mogelijkheden, IT-helpdesk N.v.t. 7 dagen tot meerdere weken, na preview

Zoals in de bovenstaande tabel wordt aangegeven, moeten alle wijzigingen in het app-beveiligingsbeleid eerst worden uitgevoerd in een preproductieomgeving om inzicht te krijgen in de gevolgen van de beleidsinstelling. Zodra het testen is voltooid, kunnen de wijzigingen worden verplaatst naar productie en worden toegepast op een subset van productiegebruikers, in het algemeen de IT-afdeling en andere toepasselijke groepen. En ten slotte kan de implementatie worden voltooid voor de rest van de mobiele gebruikerscommunity. De implementatie naar productie kan langer duren, afhankelijk van de omvang van de impact met betrekking tot de wijziging. Als er geen gebruikersimpact is, moet de wijziging snel worden geïmplementeerd, terwijl, als de wijziging gevolgen heeft voor de gebruiker, de implementatie mogelijk langzamer moet gaan vanwege de noodzaak om wijzigingen door te geven aan de gebruikerspopulatie.

Houd bij het testen van wijzigingen in een APP rekening met de timing van de levering. De status van app-levering voor een bepaalde gebruiker kan worden bewaakt. Zie App-beveiligingsbeleid bewaken voor meer informatie.

Afzonderlijke APP-instellingen voor elke app kunnen worden gevalideerd op apparaten met behulp van Microsoft Edge en de URL about:Intunehelp. Zie Logboeken voor client-app-beveiliging bekijken en Microsoft Edge voor iOS en Android gebruiken voor toegang tot logboeken van beheerde apps voor meer informatie.

Instellingen voor APP Data Protection Framework

De volgende instellingen voor app-beveiligingsbeleid moeten worden ingeschakeld voor de toepasselijke apps en moeten worden toegewezen aan alle mobiele gebruikers. Zie Beveiligingsbeleidsinstellingen voor iOS-apps en Beveiligingsbeleidsinstellingen voor Android-apps voor meer informatie over elke beleidsinstelling.

Microsoft raadt aan gebruiksscenario's te bekijken en te categoriseren en vervolgens gebruikers te configureren met behulp van de prescriptieve richtlijnen voor dat niveau. Net als bij elk framework moeten instellingen binnen een overeenkomstig niveau mogelijk worden aangepast op basis van de behoeften van de organisatie, omdat gegevensbescherming de bedreigingsomgeving, risicobereidheid en impact op bruikbaarheid moet evalueren.

Beheerders kunnen de onderstaande configuratieniveaus opnemen in hun ringimplementatiemethodologie voor het testen en productiegebruik door het voorbeeld te importeren Intune JSON-sjablonen voor App Protection Policy Configuration Framework met de PowerShell-scripts van Intune.

Opmerking

Als u MAM voor Windows gebruikt, raadpleegt u beleidsinstellingen voor Windows App-beveiliging.

Beleid voor voorwaardelijke toegang

Om ervoor te zorgen dat alleen apps die app-beveiligingsbeleid ondersteunen toegang hebben tot werk- of schoolaccountgegevens, zijn Microsoft Entra beleid voor voorwaardelijke toegang vereist. Deze beleidsregels worden beschreven in Voorwaardelijke toegang: Goedgekeurde client-apps of app-beveiligingsbeleid vereisen.

Zie Goedgekeurde client-apps of app-beveiligingsbeleid vereisen met mobiele apparaten in Voorwaardelijke toegang: Goedgekeurde client-apps of app-beveiligingsbeleid vereisen voor stappen voor het implementeren van het specifieke beleid. Implementeer ten slotte de stappen in Verouderde verificatie blokkeren om verouderde verificatie-compatibele iOS- en Android-apps te blokkeren.

Opmerking

Deze beleidsregels maken gebruik van de toekenningsopties Goedgekeurde client-app vereisen en App-beveiligingsbeleid vereisen.

Apps die moeten worden opgenomen in het app-beveiligingsbeleid

Voor elk app-beveiligingsbeleid is de groep Core Microsoft Apps gericht, waaronder de volgende apps:

  • Microsoft Edge
  • Excel
  • Kantoor
  • OneDrive
  • OneNote
  • Outlook
  • PowerPoint
  • SharePoint
  • Teams
  • Te doen
  • Word

Het beleid moet andere Microsoft-apps omvatten op basis van zakelijke behoeften, aanvullende openbare apps van derden die de Intune SDK hebben geïntegreerd die binnen de organisatie wordt gebruikt, evenals Line-Of-Business-apps die de Intune SDK hebben geïntegreerd (of zijn verpakt).

Niveau 1 enterprise basic data protection

Niveau 1 is de minimale configuratie voor gegevensbeveiliging voor een mobiel bedrijfsapparaat. Deze configuratie vervangt de behoefte aan basisbeleid voor Exchange Online apparaattoegang door een pincode te vereisen voor toegang tot werk- of schoolgegevens, het versleutelen van de werk- of schoolaccountgegevens en het bieden van de mogelijkheid om de school- of werkgegevens selectief te wissen. In tegenstelling tot Exchange Online apparaattoegangsbeleid zijn de onderstaande instellingen voor app-beveiligingsbeleid echter van toepassing op alle apps die in het beleid zijn geselecteerd, waardoor de toegang tot gegevens wordt beveiligd buiten scenario's voor mobiele berichten.

Het beleid in niveau 1 dwingt een redelijk toegangsniveau af, terwijl de impact op gebruikers wordt geminimaliseerd en de standaardinstellingen voor gegevensbescherming en toegang worden gespiegeld bij het maken van een app-beveiligingsbeleid binnen Microsoft Intune.

Gegevensbescherming

Instelling Beschrijving van instelling Waarde Platform
Gegevensoverdracht Een back-up maken van organisatiegegevens naar... Toestaan iOS/iPadOS, Android
Gegevensoverdracht Organisatiegegevens verzenden naar andere apps Alle apps iOS/iPadOS, Android
Gegevensoverdracht Organisatiegegevens verzenden naar Alle bestemmingen Windows
Gegevensoverdracht Gegevens ontvangen van andere apps Alle apps iOS/iPadOS, Android
Gegevensoverdracht Gegevens ontvangen van Alle bronnen Windows
Gegevensoverdracht Knippen, kopiëren en plakken tussen apps beperken Elke app iOS/iPadOS, Android
Gegevensoverdracht Knippen, kopiëren en plakken toestaan voor Elke bestemming en elke bron Windows
Gegevensoverdracht Toetsenborden van derden Toestaan iOS/iPadOS
Gegevensoverdracht Goedgekeurde toetsenborden Niet vereist Android
Gegevensoverdracht Schermopname en Google-assistent Toestaan Android
Versleuteling Organisatiegegevens versleutelen Vereisen iOS/iPadOS, Android
Versleuteling Organisatiegegevens versleutelen op ingeschreven apparaten Vereisen Android
Functionaliteit App synchroniseren met systeemeigen app voor contactpersonen Toestaan iOS/iPadOS, Android
Functionaliteit Organisatiegegevens afdrukken Toestaan iOS/iPadOS, Android, Windows
Functionaliteit Overdracht van webinhoud met andere apps beperken Elke app iOS/iPadOS, Android
Functionaliteit Meldingen van organisatiegegevens Toestaan iOS/iPadOS, Android

Toegangsvereisten

Instelling Waarde Platform Opmerkingen
Pincode voor toegang Vereisen iOS/iPadOS, Android
Type pincode Numeriek iOS/iPadOS, Android
Eenvoudige pincode Toestaan iOS/iPadOS, Android
Minimale lengte van pincode selecteren 4 iOS/iPadOS, Android
Touch ID in plaats van pincode voor toegang (iOS 8+/iPadOS) Toestaan iOS/iPadOS
Biometrie overschrijven met pincode na time-out Vereisen iOS/iPadOS, Android
Time-out (minuten van activiteit) 1440 iOS/iPadOS, Android
Face ID in plaats van pincode voor toegang (iOS 11+/iPadOS) Toestaan iOS/iPadOS
Biometrisch in plaats van pincode voor toegang Toestaan iOS/iPadOS, Android
Pincode opnieuw instellen na een aantal dagen Nee iOS/iPadOS, Android
Selecteer het aantal vorige pincodewaarden dat u wilt onderhouden 0 Android
App-pincode wanneer de apparaatpincode is ingesteld Vereisen iOS/iPadOS, Android Als het apparaat is ingeschreven bij Intune, kunnen beheerders overwegen dit in te stellen op 'Niet vereist' als ze een sterke apparaatpincode afdwingen via een nalevingsbeleid voor apparaten.
Werk- of schoolaccountreferenties voor toegang Niet vereist iOS/iPadOS, Android
Controleer de toegangsvereisten opnieuw na (minuten van inactiviteit) 30 iOS/iPadOS, Android

Voorwaardelijk starten

Instelling Beschrijving van instelling Waarde/actie Platform Opmerkingen
App-voorwaarden Maximum aantal pincodepogingen 5 / Pincode opnieuw instellen iOS/iPadOS, Android
App-voorwaarden Offline respijtperiode 10080 / Toegang blokkeren (minuten) iOS/iPadOS, Android, Windows
App-voorwaarden Offline respijtperiode 90 / Gegevens wissen (dagen) iOS/iPadOS, Android, Windows
Apparaatvoorwaarden Gekraakte/geroote apparaten N.b./toegang blokkeren iOS/iPadOS, Android
Apparaatvoorwaarden SafetyNet-apparaatattest Basisintegriteit en gecertificeerde apparaten/ Toegang blokkeren Android

Met deze instelling configureert u de apparaatintegriteitscontrole van Google Play op apparaten van eindgebruikers. Basisintegriteit valideert de integriteit van het apparaat. Geroote apparaten, emulators, virtuele apparaten en apparaten met tekenen van manipulatie mislukken de basisintegriteit.

Basisintegriteit en gecertificeerde apparaten valideren de compatibiliteit van het apparaat met de services van Google. Alleen niet-gewijzigde apparaten die door Google zijn gecertificeerd, kunnen deze controle doorstaan.

Apparaatvoorwaarden Bedreigingsscan voor apps vereisen N.b./toegang blokkeren Android Met deze instelling zorgt u ervoor dat de scan van Google Apps verifiëren is ingeschakeld voor apparaten van eindgebruikers. Als deze is geconfigureerd, wordt de toegang tot de eindgebruiker geblokkeerd totdat hij of zij het scannen van apps van Google op zijn Android-apparaat inschakelt.
Apparaatvoorwaarden Maximaal toegestaan bedreigingsniveau voor apparaten Laag/toegang blokkeren Windows
Apparaatvoorwaarden Apparaatvergrendeling vereisen Laag/waarschuwen Android Deze instelling zorgt ervoor dat Android-apparaten een apparaatwachtwoord hebben dat voldoet aan de minimale wachtwoordvereisten.

Opmerking

Instellingen voor voorwaardelijk starten van Windows worden gelabeld als Statuscontroles.

Niveau 2 enterprise verbeterde gegevensbescherming

Niveau 2 is de configuratie voor gegevensbeveiliging die wordt aanbevolen als standaard voor apparaten waarop gebruikers toegang hebben tot meer gevoelige informatie. Deze apparaten zijn tegenwoordig een natuurlijk doel in ondernemingen. Deze aanbevelingen gaan niet uit van een groot aantal hoogopgeleide beveiligingsprofessionals en moeten daarom toegankelijk zijn voor de meeste bedrijfsorganisaties. Deze configuratie breidt de configuratie in niveau 1 uit door scenario's voor gegevensoverdracht te beperken en een minimale versie van het besturingssysteem te vereisen.

Belangrijk

De beleidsinstellingen die worden afgedwongen in niveau 2 bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 1. Op niveau 2 worden echter alleen de instellingen vermeld die zijn toegevoegd of gewijzigd om meer besturingselementen en een geavanceerdere configuratie dan niveau 1 te implementeren. Hoewel deze instellingen een iets grotere impact kunnen hebben op gebruikers of toepassingen, wordt hiermee een niveau van gegevensbescherming afgedwongen dat beter in overeenstemming is met de risico's waarmee gebruikers toegang hebben tot gevoelige informatie op mobiele apparaten.

Gegevensbescherming

Instelling Beschrijving van instelling Waarde Platform Opmerkingen
Gegevensoverdracht Een back-up maken van organisatiegegevens naar... Blokkeren iOS/iPadOS, Android
Gegevensoverdracht Organisatiegegevens verzenden naar andere apps Door beleid beheerde apps iOS/iPadOS, Android

Met iOS/iPadOS kunnen beheerders deze waarde configureren als 'Door beleid beheerde apps', 'Door beleid beheerde apps met delen van het besturingssysteem' of 'Door beleid beheerde apps met open-in-/sharefiltering'.

Door beleid beheerde apps met delen van het besturingssysteem zijn beschikbaar wanneer het apparaat ook is ingeschreven bij Intune. Met deze instelling kunt u gegevens overdragen naar andere door beleid beheerde apps en bestandsoverdrachten naar andere apps die worden beheerd door Intune.

Door beleid beheerde apps met Open-In/Share-filtering filtert de dialoogvensters Openen in/delen van het besturingssysteem om alleen door beleid beheerde apps weer te geven.

Zie Beveiligingsbeleidsinstellingen voor iOS-apps voor meer informatie.

Gegevensoverdracht Gegevens verzenden of naar Geen bestemmingen Windows
Gegevensoverdracht Gegevens ontvangen van Geen bronnen Windows
Gegevensoverdracht Apps selecteren die u wilt uitsluiten Standaard/skype; app-instellingen; calshow; itms; itmss; itms-apps; itms-apps; itms-services; iOS/iPadOS
Gegevensoverdracht Kopieën van organisatiegegevens opslaan Blokkeren iOS/iPadOS, Android
Gegevensoverdracht Gebruikers toestaan kopieën op te slaan naar geselecteerde services OneDrive voor Bedrijven, SharePoint Online, Fotobibliotheek iOS/iPadOS, Android
Gegevensoverdracht Telecommunicatiegegevens overdragen naar Elke kiezer-app iOS/iPadOS, Android
Gegevensoverdracht Knippen, kopiëren en plakken tussen apps beperken Door beleid beheerde apps met plakken in iOS/iPadOS, Android
Gegevensoverdracht Knippen, kopiëren en plakken toestaan voor Geen doel of bron Windows
Gegevensoverdracht Schermopname en Google-assistent Blokkeren Android
Functionaliteit Overdracht van webinhoud met andere apps beperken Microsoft Edge iOS/iPadOS, Android
Functionaliteit Meldingen van organisatiegegevens Organisatiegegevens blokkeren iOS/iPadOS, Android Zie Beveiligingsbeleidsinstellingen voor iOS-apps en Beveiligingsbeleidsinstellingen voor Android-apps voor een lijst met apps die deze instelling ondersteunen.

Voorwaardelijk starten

Instelling Beschrijving van instelling Waarde/actie Platform Opmerkingen
App-voorwaarden Uitgeschakeld account N.b./toegang blokkeren iOS/iPadOS, Android, Windows
Apparaatvoorwaarden Minimale versie van het besturingssysteem Indeling: Major.Minor.Build
Voorbeeld: 14.8
/ Toegang blokkeren
iOS/iPadOS Microsoft raadt aan om de minimale primaire iOS-versie te configureren zodat deze overeenkomt met de ondersteunde iOS-versies voor Microsoft-apps. Microsoft-apps ondersteunen een N-1-benadering waarbij N de huidige primaire versie van iOS is. Voor secundaire en buildversiewaarden raadt Microsoft aan ervoor te zorgen dat apparaten up-to-date zijn met de respectieve beveiligingsupdates. Zie Apple-beveiligingsupdates voor de nieuwste aanbevelingen van Apple
Apparaatvoorwaarden Minimale versie van het besturingssysteem Indeling: Major.Minor
Voorbeeld: 9.0
/Toegang blokkeren
Android Microsoft raadt aan de minimale primaire Android-versie te configureren zodat deze overeenkomt met de ondersteunde Android-versies voor Microsoft-apps. OEM's en apparaten die voldoen aan de aanbevolen vereisten voor Android Enterprise, moeten ondersteuning bieden voor de huidige verzendrelease + upgrade van één letter. Momenteel raadt Android 9.0 en hoger aan voor kenniswerkers. Zie Aanbevolen vereisten voor Android Enterprise voor de meest recente aanbevelingen van Android
Apparaatvoorwaarden Minimale versie van het besturingssysteem Indeling: Build
Voorbeeld: 10.0.22621.2506
/ Toegang blokkeren
Windows Microsoft raadt aan om de minimale Windows-build zo te configureren dat deze overeenkomt met de ondersteunde Windows-versies voor Microsoft-apps. Momenteel raadt Microsoft het volgende aan:
Apparaatvoorwaarden Minimale patchversie Indeling: JJJJ-MM-DD
Voorbeeld: 2020-01-01
/ Toegang blokkeren
Android Android-apparaten kunnen maandelijkse beveiligingspatches ontvangen, maar de release is afhankelijk van OEM's en/of providers. Organisaties moeten ervoor zorgen dat geïmplementeerde Android-apparaten beveiligingsupdates ontvangen voordat ze deze instelling implementeren. Zie Android-beveiligingsbulletins voor de nieuwste patchversies.
Apparaatvoorwaarden Vereist SafetyNet-evaluatietype Door hardware ondersteunde sleutel Android Hardware-ondersteunde attestation verbetert de bestaande Google Play Integrity-servicecontrole door een nieuw evaluatietype toe te passen met de naam Hardware Backed, waardoor een krachtigere basisdetectie wordt geboden als reactie op nieuwere typen rooting-hulpprogramma's en methoden die niet altijd betrouwbaar kunnen worden gedetecteerd door een oplossing die alleen software gebruikt.

Zoals de naam al aangeeft, maakt hardware-ondersteunde attestation gebruik van een hardware-onderdeel, dat wordt geleverd met apparaten die zijn geïnstalleerd met Android 8.1 en hoger. Apparaten die zijn geüpgraded van een oudere versie van Android naar Android 8.1 hebben waarschijnlijk niet de hardwareonderdelen die nodig zijn voor attestation met hardware-ondersteuning. Hoewel deze instelling breed moet worden ondersteund vanaf apparaten die zijn geleverd met Android 8.1, raadt Microsoft ten zeerste aan om apparaten afzonderlijk te testen voordat deze beleidsinstelling algemeen wordt ingeschakeld.

Apparaatvoorwaarden Apparaatvergrendeling vereisen Gemiddelde/geblokkeerde toegang Android Deze instelling zorgt ervoor dat Android-apparaten een apparaatwachtwoord hebben dat voldoet aan de minimale wachtwoordvereisten.
Apparaatvoorwaarden Samsung Knox-apparaatverklaring Toegang blokkeren Android Microsoft raadt aan de instelling Samsung Knox-apparaatattest te configureren op Toegang blokkeren om ervoor te zorgen dat de toegang van het gebruikersaccount wordt geblokkeerd als het apparaat niet voldoet aan de Knox-hardwareverificatie van de apparaatstatus van Samsung. Met deze instelling controleert u of alle Intune MAM-clientreacties op de Intune service zijn verzonden vanaf een goed functionerend apparaat.

Deze instelling is van toepassing op alle doelapparaten. Als u deze instelling alleen wilt toepassen op Samsung-apparaten, kunt u toewijzingsfilters voor beheerde apps gebruiken. Zie Filters gebruiken bij het toewijzen van uw apps, beleid en profielen in Microsoft Intune voor meer informatie over toewijzingsfilters.

App-voorwaarden Offline respijtperiode 30 / Gegevens wissen (dagen) iOS/iPadOS, Android, Windows

Opmerking

Instellingen voor voorwaardelijk starten van Windows worden gelabeld als Statuscontroles.

Hoge gegevensbescherming voor ondernemingen op niveau 3

Niveau 3 is de configuratie voor gegevensbeveiliging die wordt aanbevolen als standaard voor organisaties met grote en geavanceerde beveiligingsorganisaties, of voor specifieke gebruikers en groepen die uniek worden getroffen door kwaadwillenden. Dergelijke organisaties zijn doorgaans het doelwit van goed gefinancierde en geavanceerde aanvallers en verdienen als zodanig de aanvullende beperkingen en controles die worden beschreven. Deze configuratie breidt de configuratie in niveau 2 uit door aanvullende scenario's voor gegevensoverdracht te beperken, de complexiteit van de pincodeconfiguratie te vergroten en detectie van mobiele bedreigingen toe te voegen.

Belangrijk

De beleidsinstellingen die worden afgedwongen in niveau 3 bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 2, maar bevatten alleen de instellingen hieronder die zijn toegevoegd of gewijzigd om meer besturingselementen en een geavanceerdere configuratie dan niveau 2 te implementeren. Deze beleidsinstellingen kunnen een potentieel aanzienlijke impact hebben op gebruikers of toepassingen, waardoor een beveiligingsniveau wordt afgedwongen dat in verhouding staat tot de risico's van doelorganisaties.

Gegevensbescherming

Instelling Beschrijving van instelling Waarde Platform Opmerkingen
Gegevensoverdracht Telecommunicatiegegevens overdragen naar Elke door beleid beheerde kiezer-app Android Beheerders kunnen deze instelling ook configureren voor het gebruik van een kiezer-app die geen ondersteuning biedt voor app-beveiligingsbeleid door Een specifieke kiezer-app te selecteren en de waarden Kiezer-app-pakket-id en Kiezer-appnaam op te geven.
Gegevensoverdracht Telecommunicatiegegevens overdragen naar Een specifieke kiezer-app iOS/iPadOS
Gegevensoverdracht URL-schema voor kiezer-app replace_with_dialer_app_url_scheme iOS/iPadOS Op iOS/iPadOS moet deze waarde worden vervangen door het URL-schema voor de aangepaste kiezer-app die wordt gebruikt. Als het URL-schema niet bekend is, neemt u contact op met de app-ontwikkelaar voor meer informatie. Zie Een aangepast URL-schema definiëren voor uw app voor meer informatie over URL-schema's.
Gegevensoverdracht Gegevens ontvangen van andere apps Door beleid beheerde apps iOS/iPadOS, Android
Gegevensoverdracht Gegevens openen in organisatiedocumenten Blokkeren iOS/iPadOS, Android
Gegevensoverdracht Gebruikers toestaan gegevens te openen vanuit geselecteerde services OneDrive voor Bedrijven, SharePoint, Camera, Fotobibliotheek iOS/iPadOS, Android Zie Beveiligingsbeleidsinstellingen voor Android-apps en beveiligingsbeleidsinstellingen voor iOS-apps voor gerelateerde informatie.
Gegevensoverdracht Toetsenborden van derden Blokkeren iOS/iPadOS Op iOS/iPadOS blokkeert dit de werking van alle toetsenborden van derden in de app.
Gegevensoverdracht Goedgekeurde toetsenborden Vereisen Android
Gegevensoverdracht Toetsenborden selecteren om goed te keuren toetsenborden toevoegen/verwijderen Android Met Android moeten toetsenborden worden geselecteerd om te kunnen worden gebruikt op basis van uw geïmplementeerde Android-apparaten.
Functionaliteit Organisatiegegevens afdrukken Blokkeren iOS/iPadOS, Android, Windows

Toegangsvereisten

Instelling Waarde Platform
Eenvoudige pincode Blokkeren iOS/iPadOS, Android
Minimale lengte van pincode selecteren 6 iOS/iPadOS, Android
Pincode opnieuw instellen na een aantal dagen Ja iOS/iPadOS, Android
Aantal dagen 365 iOS/iPadOS, Android
Klasse 3 Biometrie (Android 9.0+) Vereisen Android
Biometrische gegevens overschrijven met pincode na biometrische updates Vereisen Android

Voorwaardelijk starten

Instelling Beschrijving van instelling Waarde/actie Platform Opmerkingen
Apparaatvoorwaarden Apparaatvergrendeling vereisen Hoge/blokkerende toegang Android Deze instelling zorgt ervoor dat Android-apparaten een apparaatwachtwoord hebben dat voldoet aan de minimale wachtwoordvereisten.
Apparaatvoorwaarden Maximaal toegestaan bedreigingsniveau voor apparaten Beveiligd/toegang blokkeren Windows
Apparaatvoorwaarden Gekraakte/geroote apparaten N.b./gegevens wissen iOS/iPadOS, Android
Apparaatvoorwaarden Maximaal toegestaan bedreigingsniveau Beveiligd/toegang blokkeren iOS/iPadOS, Android

Niet-ingeschreven apparaten kunnen worden geïnspecteerd op bedreigingen met mobile threat defense. Zie Mobile Threat Defense voor niet-ingeschreven apparaten voor meer informatie.

Als het apparaat is ingeschreven, kan deze instelling worden overgeslagen ten gunste van de implementatie van Mobile Threat Defense voor ingeschreven apparaten. Zie Mobile Threat Defense voor ingeschreven apparaten voor meer informatie.

Apparaatvoorwaarden Maximale versie van het besturingssysteem Indeling: Major.Minor
Voorbeeld: 11.0
/ Toegang blokkeren
Android Microsoft raadt aan om de maximale primaire Android-versie te configureren om ervoor te zorgen dat bètaversies of niet-ondersteunde versies van het besturingssysteem niet worden gebruikt. Zie Aanbevolen vereisten voor Android Enterprise voor de meest recente aanbevelingen van Android
Apparaatvoorwaarden Maximale versie van het besturingssysteem Indeling: Major.Minor.Build
Voorbeeld: 15.0
/ Toegang blokkeren
iOS/iPadOS Microsoft raadt aan de maximale primaire versie van iOS/iPadOS te configureren om ervoor te zorgen dat bètaversies of niet-ondersteunde versies van het besturingssysteem niet worden gebruikt. Zie Apple-beveiligingsupdates voor de nieuwste aanbevelingen van Apple
Apparaatvoorwaarden Maximale versie van het besturingssysteem Indeling: Major.Minor
Voorbeeld: 22631.
/ Toegang blokkeren
Windows Microsoft raadt aan om de maximale primaire versie van Windows te configureren om ervoor te zorgen dat bètaversies of niet-ondersteunde versies van het besturingssysteem niet worden gebruikt.
Apparaatvoorwaarden Samsung Knox-apparaatverklaring Gegevens wissen Android Microsoft raadt aan om de instelling Samsung Knox-apparaatverklaring te configureren op Gegevens wissen om ervoor te zorgen dat de organisatiegegevens worden verwijderd als het apparaat niet voldoet aan de Knox-hardwareverificatie van de apparaatstatus van Samsung. Met deze instelling controleert u of alle Intune MAM-clientreacties op de Intune service zijn verzonden vanaf een goed functionerend apparaat.

Deze instelling is van toepassing op alle doelapparaten. Als u deze instelling alleen wilt toepassen op Samsung-apparaten, kunt u toewijzingsfilters voor beheerde apps gebruiken. Zie Filters gebruiken bij het toewijzen van uw apps, beleid en profielen in Microsoft Intune voor meer informatie over toewijzingsfilters.

App-voorwaarden Offline respijtperiode 30 / Toegang blokkeren (dagen) iOS/iPadOS, Android, Windows

Volgende stappen

Beheerders kunnen de bovenstaande configuratieniveaus opnemen in hun ringimplementatiemethodologie voor het testen en productiegebruik door het voorbeeld te importeren Intune JSON-sjablonen van App Protection Policy Configuration Framework met de PowerShell-scripts van Intune.

Zie ook