Delen via


Beveiligingsbeleidsinstellingen voor iOS-apps

In dit artikel worden de instellingen voor app-beveiligingsbeleid voor iOS-/iPadOS-apparaten beschreven. De beleidsinstellingen die worden beschreven, kunnen worden geconfigureerd voor een app-beveiligingsbeleid in het deelvenster Instellingen in de portal wanneer u een nieuw beleid maakt.

Er zijn drie categorieën beleidsinstellingen: Gegevensverplaatsing, Toegangsvereisten en Voorwaardelijk starten. In dit artikel verwijst de term door beleid beheerde apps naar apps die zijn geconfigureerd met app-beveiligingsbeleid.

Belangrijk

De Intune Managed Browser is buiten gebruik gesteld. Gebruik Microsoft Edge voor uw beveiligde Intune browserervaring.

Gegevensbescherming

Belangrijk

Voor apps die zijn bijgewerkt naar v19.7.6 of hoger voor Xcode 15 en v20.2.1 of hoger voor Xcode 16 van de SDK, wordt schermopnameblok toegepast als u de instelling Organisatiegegevens verzenden naar andere apps hebt geconfigureerd op een andere waarde dan 'Alle apps'. U kunt de beleidsinstelling 'com.microsoft.intune.mam.screencapturecontrol = Disabled' configureren als u schermopname wilt toestaan voor uw iOS-apparaten.

Gegevensoverdracht

Instelling Procedure Standaardwaarde
Back-up maken van organisatiegegevens naar iTunes en iCloud-back-ups Selecteer Blokkeren om te voorkomen dat deze app een back-up maakt van werk- of schoolgegevens naar iTunes en iCloud. Selecteer Toestaan om toe te staan dat deze app een back-up maakt van werk- of schoolgegevens naar iTunes en iCloud. Toestaan
Organisatiegegevens verzenden naar andere apps Geef op welke apps gegevens van deze app kunnen ontvangen:
  • Alle apps: Overdracht naar elke app toestaan. De ontvangende app heeft de mogelijkheid om de gegevens te lezen en te bewerken.
  • Geen: geen gegevensoverdracht naar een app toestaan, inclusief andere door beleid beheerde apps. Als de gebruiker een beheerde open-in-functie uitvoert en een document overdraagt, worden de gegevens versleuteld en onleesbaar.
  • Door beleid beheerde apps: alleen overdracht naar andere door beleid beheerde apps toestaan.

    Opmerking:gebruikers kunnen mogelijk inhoud overdragen via open-in- of share-extensies naar niet-beheerde apps op niet-ingeschreven apparaten of ingeschreven apparaten die delen met niet-beheerde apps toestaan. Overgedragen gegevens worden versleuteld door Intune en onleesbaar door onbeheerde apps.

  • Door beleid beheerde apps met delen van het besturingssysteem: alleen gegevensoverdracht toestaan naar andere door beleid beheerde apps, evenals bestandsoverdrachten naar andere beheerde MDM-apps op ingeschreven apparaten.

    Opmerking:de waarde voor door beleid beheerde apps met het delen van het besturingssysteem is alleen van toepassing op apparaten die zijn ingeschreven op MDM. Als deze instelling is gericht op een gebruiker op een niet-ingeschreven apparaat, is het gedrag van de waarde voor door beleid beheerde apps van toepassing. Gebruikers kunnen niet-versleutelde inhoud overdragen via Open-in- of Share-extensies naar elke toepassing die is toegestaan door de instelling iOS MDM allowOpenFromManagedtoUnmanaged, ervan uitgaande dat de verzendende app de IntuneMAMUPN en IntuneMAMOID heeft geconfigureerd; Zie Gegevensoverdracht tussen iOS-apps beheren in Microsoft Intune voor meer informatie. Zie https://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf voor meer informatie over deze MDM-instelling voor iOS/iPadOS.

  • Door beleid beheerde apps met open-in-/share-filtering: alleen overdracht naar andere door beleid beheerde apps toestaan en dialoogvensters openen in/delen van het besturingssysteem filteren om alleen door beleid beheerde apps weer te geven. Als u het filteren van het dialoogvenster Openen in/delen wilt configureren, moeten zowel de app(s) die fungeren als de bron van het bestand/document als de app(s) die dit bestand/document kunnen openen, beschikken over de Intune SDK voor iOS-versie 8.1.1 of hoger.

    Opmerking:Gebruikers kunnen mogelijk inhoud overdragen via open-in- of share-extensies naar niet-beheerde apps als Intune privégegevenstype wordt ondersteund door de app. Overgedragen gegevens worden versleuteld door Intune en onleesbaar door onbeheerde apps.


Zoeken in Spotlight (hiermee kunt u zoeken in gegevens in apps) en Siri-snelkoppelingen worden geblokkeerd, tenzij deze is ingesteld op Alle apps.

Dit beleid kan ook van toepassing zijn op universele iOS-/iPadOS-koppelingen. Algemene webkoppelingen worden beheerd door de beleidsinstelling App-koppelingen openen in Intune Managed Browser.

Er zijn enkele vrijgestelde apps en services waarnaar Intune standaard gegevensoverdracht toestaan. Daarnaast kunt u uw eigen uitzonderingen maken als u wilt toestaan dat gegevens worden overgedragen naar een app die geen ondersteuning biedt voor Intune APP. Zie Uitzonderingen voor gegevensoverdracht voor meer informatie.

Alle apps
    Apps selecteren die u wilt uitsluiten
Deze optie is beschikbaar wanneer u Door beleid beheerde apps selecteert voor de vorige optie.
    Universele koppelingen selecteren om uit te stellen
Geef op welke universele iOS-/iPadOS-koppelingen moeten worden geopend in de opgegeven onbeheerde toepassing in plaats van in de beveiligde browser die is opgegeven met de instelling Overdracht van webinhoud met andere apps beperken . Neem contact op met de ontwikkelaar van de toepassing om de juiste universal link-indeling voor elke toepassing te bepalen.
    Beheerde universele koppelingen selecteren
Geef op welke universele iOS-/iPadOS-koppelingen moeten worden geopend in de opgegeven beheerde toepassing in plaats van de beveiligde browser die is opgegeven door de instelling Overdracht van webinhoud met andere apps beperken. Neem contact op met de ontwikkelaar van de toepassing om de juiste universal link-indeling voor elke toepassing te bepalen.
    Kopieën van organisatiegegevens opslaan
Kies Blokkeren om het gebruik van de optie Opslaan als in deze app uit te schakelen. Kies Toestaan als u het gebruik van Opslaan als wilt toestaan. Wanneer deze optie is ingesteld op Blokkeren, kunt u de instelling Gebruiker toestaan kopieën op te slaan naar geselecteerde services configureren.

Opmerking:
  • Deze instelling wordt ondersteund voor Microsoft Excel, OneNote, Outlook, PowerPoint, Word en Microsoft Edge. Het kan ook worden ondersteund door externe en LOB-apps.
  • Deze instelling kan alleen worden geconfigureerd wanneer de instelling Organisatiegegevens verzenden naar andere apps is ingesteld op Door beleid beheerde apps, Door beleid beheerde apps met delen van het besturingssysteem of Door beleid beheerde apps met Open-In/Share-filtering.
  • Deze instelling is 'Toestaan' wanneer de instelling Organisatiegegevens naar andere apps verzenden is ingesteld op Alle apps.
  • Deze instelling is Blokkeren zonder toegestane servicelocaties wanneer de instelling Organisatiegegevens naar andere apps verzenden is ingesteld op Geen.
Toestaan
      Gebruiker toestaan kopieën op te slaan naar geselecteerde services
Gebruikers kunnen opslaan in de geselecteerde services (OneDrive voor Bedrijven, SharePoint, Fotobibliotheek en Lokale opslag). Alle andere services worden geblokkeerd. OneDrive voor Bedrijven: u kunt bestanden opslaan in OneDrive voor Bedrijven en SharePoint Online. SharePoint: u kunt bestanden opslaan in on-premises SharePoint. Fotobibliotheek: U kunt bestanden lokaal opslaan in de fotobibliotheek. Lokale opslag: beheerde apps kunnen kopieën van organisatiegegevens lokaal opslaan. Dit omvat NIET het opslaan van bestanden op de lokale onbeheerde locaties, zoals de app Bestanden op het apparaat. 0 geselecteerd
    Telecommunicatiegegevens overdragen naar
Wanneer een gebruiker een telefoonnummer met hyperlinks selecteert in een app, wordt een kiezer-app geopend met het telefoonnummer dat vooraf is ingevuld en klaar is om te bellen. Kies voor deze instelling hoe u dit type inhoudsoverdracht wilt afhandelen wanneer deze wordt gestart vanuit een door beleid beheerde app:
  • Geen, deze gegevens niet overdragen tussen apps: breng geen communicatiegegevens over wanneer een telefoonnummer wordt gedetecteerd.
  • Een specifieke kiezer-app: een specifieke beheerde kiezer-app toestaan om contact te initiëren wanneer een telefoonnummer wordt gedetecteerd.
  • Elke kiezer-app: toestaan dat een beheerde kiezer-app wordt gebruikt om contact te initiëren wanneer een telefoonnummer wordt gedetecteerd.

Opmerking: voor deze instelling is Intune SDK 12.7.0 en hoger vereist. Als uw apps afhankelijk zijn van kiezerfunctionaliteit en niet de juiste Intune SDK-versie gebruiken, kunt u als tijdelijke oplossing 'tel; telprompt" als uitzondering voor gegevensoverdracht. Zodra de apps de juiste Intune SDK-versie ondersteunen, kan de uitzondering worden verwijderd.

Elke kiezer-app
      URL-schema voor kiezer-app
Wanneer een specifieke kiezer-app is geselecteerd, moet u het URL-schema voor de kiezer-app opgeven dat wordt gebruikt om de kiezer-app op iOS-apparaten te starten. Zie de Apple-documentatie over Telefoonkoppelingen voor meer informatie. Blanco
    Berichtengegevens overdragen naar
Wanneer een gebruiker een koppeling voor berichten met hyperlinks selecteert in een app, wordt er doorgaans een berichten-app geopend met het telefoonnummer dat vooraf is ingevuld en klaar is om te worden verzonden. Kies voor deze instelling hoe u dit type inhoudsoverdracht wilt afhandelen wanneer deze wordt gestart vanuit een door beleid beheerde app. Er kunnen aanvullende stappen nodig zijn om deze instelling van kracht te laten worden. Controleer eerst of sms is verwijderd uit de lijst Apps selecteren om uit te vallen. Controleer vervolgens of de toepassing een nieuwere versie van Intune SDK (versie > 19.0.0) gebruikt. Kies voor deze instelling hoe u dit type inhoudsoverdracht wilt afhandelen wanneer deze wordt gestart vanuit een door beleid beheerde app:
  • Geen, deze gegevens niet overdragen tussen apps: breng geen communicatiegegevens over wanneer een telefoonnummer wordt gedetecteerd.
  • Een specifieke berichten-app: een specifieke app voor beheerde berichten toestaan om contact te initiëren wanneer een telefoonnummer wordt gedetecteerd.
  • Elke berichten-app: toestaan dat een beheerde berichten-app wordt gebruikt om contact te initiëren wanneer een telefoonnummer wordt gedetecteerd.

Opmerking: voor deze instelling is Intune SDK 19.0.0 en hoger vereist.

Elke berichten-app
      URL-schema voor berichten-app
Wanneer een specifieke berichten-app is geselecteerd, moet u het URL-schema voor de berichten-app opgeven dat wordt gebruikt om de berichten-app op iOS-apparaten te starten. Zie de Apple-documentatie over Telefoonkoppelingen voor meer informatie. Blanco
Gegevens ontvangen van andere apps Geef op welke apps gegevens naar deze app kunnen overdragen:
  • Alle apps: gegevensoverdracht vanuit elke app toestaan.
  • Geen: geen gegevensoverdracht toestaan vanuit een app, inclusief andere door beleid beheerde apps.
  • Door beleid beheerde apps: alleen overdracht van andere door beleid beheerde apps toestaan.
  • Alle apps met binnenkomende organisatiegegevens: gegevensoverdracht vanuit elke app toestaan. Behandel alle binnenkomende gegevens zonder een gebruikersidentiteit als gegevens van uw organisatie. De gegevens worden gemarkeerd met de identiteit van de in MDM ingeschreven gebruiker, zoals gedefinieerd door de IntuneMAMUPN instelling.

    Opmerking:De waarde Alle apps met binnenkomende organisatiegegevens is alleen van toepassing op apparaten die zijn ingeschreven op MDM. Als deze instelling is gericht op een gebruiker op een niet-ingeschreven apparaat, is het gedrag van de waarde Alle apps van toepassing.

Mam-toepassingen met meerdere identiteiten proberen over te schakelen naar een niet-beheerd account bij het ontvangen van onbeheerde gegevens als deze instelling is geconfigureerd op Geen of door beleid beheerde apps. Als er geen onbeheerd account is aangemeld bij de app of als de app niet kan schakelen, worden de binnenkomende gegevens geblokkeerd.

Alle apps
    Gegevens openen in organisatiedocumenten
Selecteer Blokkeren om het gebruik van de optie Openen of andere opties voor het delen van gegevens tussen accounts in deze app uit te schakelen. Selecteer Toestaan als u het gebruik van Openen wilt toestaan.

Wanneer deze optie is ingesteld op Blokkeren , kunt u toestaan dat gebruiker gegevens opent vanuit geselecteerde services configureren om op te geven welke services zijn toegestaan voor organisatiegegevenslocaties.

Opmerking:
  • Deze instelling kan alleen worden geconfigureerd wanneer de instelling Gegevens ontvangen van andere apps is ingesteld op Door beleid beheerde apps.
  • Deze instelling is 'Toestaan' wanneer de instelling Gegevens ontvangen van andere apps is ingesteld op Alle apps of Alle apps met binnenkomende organisatiegegevens.
  • Deze instelling is 'Blokkeren' zonder toegestane servicelocaties wanneer de instelling Gegevens ontvangen van andere apps is ingesteld op Geen.
  • De volgende apps ondersteunen deze instelling:
    • OneDrive 11.45.3 of hoger.
    • Outlook voor iOS 4.60.0 of hoger.
    • Teams voor iOS 3.17.0 of hoger.
Toestaan
      Gebruikers toestaan gegevens te openen vanuit geselecteerde services
Selecteer de toepassingsopslagservices waaruit gebruikers gegevens kunnen openen. Alle andere services worden geblokkeerd. Als u geen services selecteert, kunnen gebruikers geen gegevens openen vanaf externe locaties.
Notitie: Dit besturingselement is ontworpen om te werken met gegevens die zich buiten de bedrijfscontainer bevinden.

Ondersteunde services:
  • OneDrive voor Bedrijven
  • SharePoint Online
  • Camera
  • Fotobibliotheek
Notitie: Camera biedt geen toegang tot Foto's of Fotogalerie. Wanneer u Fotobibliotheek selecteert in de instelling Gebruikers toestaan gegevens te openen vanuit geselecteerde services in Intune, kunt u beheerde accounts toestaan om binnenkomende gegevens uit de fotobibliotheek van hun apparaat toe te staan naar hun beheerde apps.
Alles geselecteerd
Knippen, kopiëren en plakken tussen andere apps beperken Geef op wanneer knip-, kopieer- en plakacties kunnen worden gebruikt met deze app. Selecteer uit:
  • Geblokkeerd: Knip-, kopieer- en plakbewerkingen tussen deze app en andere apps zijn niet toegestaan.
  • Door beleid beheerde apps: Knip-, kopieer- en plakacties toestaan tussen deze app en andere door beleid beheerde apps.
  • Beleid beheerd met plakken in: Knippen of kopiëren tussen deze app en andere door beleid beheerde apps toestaan. Toestaan dat gegevens van een app in deze app worden geplakt.
  • Elke app: geen beperkingen voor knippen, kopiëren en plakken van en naar deze app.
Elke app
    Tekenlimiet knippen en kopiëren voor elke app
Geef het aantal tekens op dat mag worden geknipt of gekopieerd uit organisatiegegevens en -accounts. Hiermee kunt u het opgegeven aantal tekens delen met elke toepassing, ongeacht de instelling Knippen, kopiëren en plakken met andere apps beperken .

Standaardwaarde = 0

Opmerking: vereist dat de app Intune SDK-versie 9.0.14 of hoger heeft.

0
Toetsenborden van derden Kies Blokkeren om het gebruik van toetsenborden van derden in beheerde toepassingen te voorkomen.

Wanneer deze instelling is ingeschakeld, ontvangt de gebruiker een eenmalig bericht waarin staat dat het gebruik van toetsenborden van derden is geblokkeerd. Dit bericht wordt weergegeven wanneer een gebruiker voor het eerst communiceert met organisatiegegevens waarvoor het gebruik van een toetsenbord is vereist. Alleen het standaard-iOS-/iPadOS-toetsenbord is beschikbaar tijdens het gebruik van beheerde toepassingen en alle andere toetsenbordopties zijn uitgeschakeld. Deze instelling is van invloed op zowel de organisatie- als persoonlijke accounts van toepassingen met meerdere identiteiten. Deze instelling heeft geen invloed op het gebruik van toetsenborden van derden in onbeheerde toepassingen.

Notitie: Voor deze functie moet de app Intune SDK versie 12.0.16 of hoger gebruiken. Voor apps met SDK-versies van 8.0.14 tot en met 12.0.15 is deze functie niet correct van toepassing op apps met meerdere identiteiten. Zie Bekend probleem: toetsenborden van derden worden niet geblokkeerd in iOS/iPadOS voor persoonlijke accounts voor meer informatie.

Toestaan

Opmerking

Er is een app-beveiligingsbeleid vereist met IntuneMAMUPN voor beheerde apparaten. Dit geldt ook voor elke instelling waarvoor ingeschreven apparaten zijn vereist.

Versleuteling

Instelling Procedure Standaardwaarde
Organisatiegegevens versleutelen Kies Vereisen om versleuteling van werk- of schoolgegevens in deze app in te schakelen. Intune dwingt versleuteling op iOS-/iPadOS-apparaatniveau af om app-gegevens te beveiligen terwijl het apparaat is vergrendeld. Bovendien kunnen toepassingen optioneel app-gegevens versleutelen met behulp van Intune APP SDK-versleuteling. Intune APP SDK maakt gebruik van iOS-/iPadOS-cryptografiemethoden om 256-bits AES-versleuteling toe te passen op app-gegevens.

Wanneer u deze instelling inschakelt, moet de gebruiker mogelijk een pincode voor het apparaat instellen en gebruiken om toegang te krijgen tot het apparaat. Als er geen pincode voor het apparaat is en versleuteling is vereist, wordt de gebruiker gevraagd een pincode in te stellen met het bericht 'Uw organisatie heeft vereist dat u eerst een apparaatpincode inschakelen om toegang te krijgen tot deze app'.

Ga naar de officiële Apple-documentatie voor meer informatie over hun gegevensbeschermingsklassen, als onderdeel van hun Apple Platform Security.
Vereisen

Functionaliteit

Instelling Procedure Standaardwaarde
Door beleid beheerde app-gegevens synchroniseren met systeemeigen apps of invoegtoepassingen Kies Blokkeren om te voorkomen dat door beleid beheerde apps gegevens opslaan in de systeemeigen apps van het apparaat (contactpersonen, agenda en widgets) en om het gebruik van invoegtoepassingen in de door beleid beheerde apps te voorkomen. Als deze niet wordt ondersteund door de toepassing, is het opslaan van gegevens in systeemeigen apps en het gebruik van invoegtoepassingen toegestaan.

Als u Toestaan kiest, kan de door beleid beheerde app gegevens opslaan in de systeemeigen apps of invoegtoepassingen gebruiken, als deze functies worden ondersteund en ingeschakeld in de door beleid beheerde app.

Toepassingen kunnen aanvullende besturingselementen bieden om het gedrag van gegevenssynchronisatie aan te passen aan specifieke systeemeigen apps of deze controle niet na te komen.

Opmerking: wanneer u selectief wist om werk- of schoolgegevens uit de app te verwijderen, worden gegevens die rechtstreeks vanuit de door beleid beheerde app met de systeemeigen app zijn gesynchroniseerd, verwijderd. Gegevens die vanuit de systeemeigen app naar een andere externe bron zijn gesynchroniseerd, worden niet gewist.

Opmerking: de volgende apps ondersteunen deze functie:
Toestaan
Organisatiegegevens afdrukken Selecteer Blokkeren om te voorkomen dat de app werk- of schoolgegevens afdrukt. Als u deze instelling op Toestaan, de standaardwaarde, laat staan, kunnen gebruikers alle organisatiegegevens exporteren en afdrukken. Toestaan
Overdracht van webinhoud met andere apps beperken Geef op hoe webinhoud (http/https-koppelingen) wordt geopend vanuit door beleid beheerde toepassingen. Kies uit:
  • Elke app: webkoppelingen in elke app toestaan.
  • Intune Managed Browser: webinhoud mag alleen in de Intune Managed Browser worden geopend. Deze browser is een door beleid beheerde browser.
  • Microsoft Edge: webinhoud mag alleen worden geopend in Microsoft Edge. Deze browser is een door beleid beheerde browser.
  • Niet-beheerde browser: webinhoud mag alleen worden geopend in de onbeheerde browser die is gedefinieerd door de protocolinstelling onbeheerde browser . De webinhoud wordt niet beheerd in de doelbrowser.
    Opmerking: vereist dat de app Intune SDK-versie 11.0.9 of hoger heeft.
Als u Intune gebruikt om uw apparaten te beheren, raadpleegt u Internettoegang beheren met beleid voor beheerde browsers met Microsoft Intune.

Als een door beleid beheerde browser is vereist, maar niet is geïnstalleerd, wordt uw eindgebruikers gevraagd Microsoft Edge te installeren.

Als een door beleid beheerde browser is vereist, worden universele iOS-/iPadOS-koppelingen beheerd door de beleidsinstelling Organisatiegegevens verzenden naar andere apps .

Intune apparaatinschrijving
Als u Intune gebruikt om uw apparaten te beheren, raadpleegt u Internettoegang beheren met beleid voor beheerde browsers met Microsoft Intune.

Door beleid beheerde Microsoft Edge
De Microsoft Edge-browser voor mobiele apparaten (iOS/iPadOS en Android) ondersteunt Intune app-beveiligingsbeleid. Gebruikers die zich aanmelden met hun zakelijke Microsoft Entra-accounts in de Microsoft Edge-browsertoepassing, worden beveiligd door Intune. De Microsoft Edge-browser integreert de Intune SDK en ondersteunt alle beleidsregels voor gegevensbescherming, met uitzondering van het voorkomen van:

  • Opslaan als: De Microsoft Edge-browser staat niet toe dat een gebruiker directe, in-app-verbindingen toevoegt aan cloudopslagproviders (zoals OneDrive).
  • Synchronisatie van contactpersonen: de Microsoft Edge-browser slaat niet op in systeemeigen lijsten met contactpersonen.

Opmerking: de Intune SDK kan niet bepalen of een doel-app een browser is. Op iOS-/iPadOS-apparaten zijn geen andere beheerde browser-apps toegestaan.
Niet geconfigureerd
    Onbeheerd Browser Protocol
Voer het protocol in voor één onbeheerde browser. Webinhoud (http/https-koppelingen) van door beleid beheerde toepassingen wordt geopend in elke app die dit protocol ondersteunt. De webinhoud wordt niet beheerd in de doelbrowser.

Deze functie moet alleen worden gebruikt als u beveiligde inhoud wilt delen met een specifieke browser die niet is ingeschakeld met behulp van Intune app-beveiligingsbeleid. Neem contact op met de leverancier van uw browser om het protocol te bepalen dat door uw gewenste browser wordt ondersteund.

Opmerking: neem alleen het protocolvoorvoegsel op. Als uw browser koppelingen van het formulier mybrowser://www.microsoft.comvereist, voert u in mybrowser.
Koppelingen worden vertaald als:
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
Blanco
Meldingen van organisatiegegevens Geef op hoe organisatiegegevens worden gedeeld via besturingssysteemmeldingen voor organisatieaccounts. Deze beleidsinstelling is van invloed op het lokale apparaat en eventuele verbonden apparaten, zoals wearables en slimme luidsprekers. Apps kunnen aanvullende besturingselementen bieden om het gedrag van meldingen aan te passen of kunnen ervoor kiezen om niet alle waarden na te komen. Selecteer uit:
  • Geblokkeerd: geen meldingen delen.
    • Als dit niet wordt ondersteund door de toepassing, worden meldingen toegestaan.
  • Organisatiegegevens blokkeren: deel bijvoorbeeld geen organisatiegegevens in meldingen.
    • "U hebt nieuwe e-mail"; 'U hebt een vergadering'.
    • Als dit niet wordt ondersteund door de toepassing, worden meldingen toegestaan.
  • Toestaan: hiermee worden organisatiegegevens in de meldingen gedeeld.

Opmerking:
Deze instelling vereist de volgende app-ondersteuning:

  • Outlook voor iOS 4.34.0 of hoger
  • Teams voor iOS 2.0.22 of hoger
  • Microsoft 365 (Office) voor iOS 2.72 of hoger
Toestaan

Opmerking

Geen van de instellingen voor gegevensbescherming bepaalt de door Apple beheerde open-in-functie op iOS-/iPadOS-apparaten. Zie Gegevensoverdracht tussen iOS-/iPadOS-apps beheren met Microsoft Intune als u Apple open-in wilt gebruiken.

Uitzonderingen voor gegevensoverdracht

Er zijn enkele vrijgestelde apps en platformservices die Intune app-beveiligingsbeleid gegevensoverdracht naar en van in bepaalde scenario's toestaat. Deze lijst is onderhevig aan wijzigingen en geeft de services en apps weer die nuttig worden geacht voor veilige productiviteit.

Niet-beheerde apps van derden kunnen worden toegevoegd aan de lijst met uitzonderingen waarmee uitzonderingen voor gegevensoverdracht kunnen worden toegestaan. Zie Uitzonderingen maken voor het Intune app-beveiligingsbeleid (APP) voor meer informatie en voorbeelden. De vrijgestelde niet-beheerde app moet worden aangeroepen op basis van het iOS-URL-protocol. Als er bijvoorbeeld een uitzondering voor gegevensoverdracht wordt toegevoegd voor een niet-beheerde app, kunnen gebruikers nog steeds geen bewerkingen voor knippen, kopiëren en plakken, indien beperkt door beleid. Dit type uitzondering zou ook nog steeds voorkomen dat gebruikers de actie Open-in gebruiken in een beheerde app om gegevens te delen of op te slaan om een app uit te stellen, omdat deze niet is gebaseerd op het URL-protocol van iOS. Zie App-beveiliging gebruiken met iOS-apps voor meer informatie over Open-in.

App/service-naam(en) Beschrijving
skype Skype
app-settings Apparaatinstellingen
itms; itmss; itms-apps; itms-appss; itms-services App Store
calshow Systeemeigen agenda

Belangrijk

App-beveiligingsbeleid dat vóór 15 juni 2020 is gemaakt, bevat een tel- en telprompt-URL-schema als onderdeel van de standaardvrijstellingen voor gegevensoverdracht. Met deze URL-schema's kunnen beheerde apps de kiezer initiëren. De beleidsinstelling App-beveiliging Telecommunicatiegegevens overdragen naar heeft deze functionaliteit vervangen. Beheerders moeten tel verwijderen; telprompt; van de uitzonderingen voor gegevensoverdracht en afhankelijk zijn van de beleidsinstelling App-beveiliging, op voorwaarde dat de beheerde apps die de kiezerfunctionaliteit initiëren, de Intune SDK 12.7.0 of hoger bevatten.

Belangrijk

In Intune SDK 14.5.0 of hoger, inclusief sms- en mailto-URL-schema's in de uitzonderingen voor gegevensoverdracht, kunnen organisatiegegevens ook worden gedeeld met de weergavecontrollers MFMessageCompose (voor sms) en MFMailCompose (voor mailto) in door beleid beheerde toepassingen.

Met universele koppelingen kan de gebruiker rechtstreeks een toepassing starten die is gekoppeld aan de koppeling in plaats van een beveiligde browser die is opgegeven door de instelling Overdracht van webinhoud met andere apps beperken . Neem contact op met de ontwikkelaar van de toepassing om de juiste universal link-indeling voor elke toepassing te bepalen.

Standaardkoppelingen voor app-fragmenten worden ook beheerd door universeel koppelingsbeleid.

Door Universele koppelingen toe te voegen aan niet-beheerde apps, kunt u de opgegeven toepassing starten. Als u de app wilt toevoegen, moet u de koppeling toevoegen aan de lijst met uitzonderingen.

Voorzichtigheid

De doeltoepassingen voor deze universele koppelingen zijn onbeheerd en het toevoegen van een uitzondering kan leiden tot gegevensbeveiligingslekken.

De standaard-app Universal Link-uitzonderingen zijn de volgende:

Universele koppeling voor apps Beschrijving
http://maps.apple.com; https://maps.apple.com Kaarten-app
http://facetime.apple.com; https://facetime.apple.com FaceTime-app

Als u de standaard universal link-uitzonderingen niet wilt toestaan, kunt u deze verwijderen. U kunt ook Universele koppelingen voor apps van derden of LOB-apps toevoegen. De uitgesloten universele koppelingen staan jokertekens toe, zoals http://*.sharepoint-df.com/*.

Door Universele koppelingen toe te voegen aan beheerde apps, kunt u de opgegeven toepassing veilig starten. Als u de app wilt toevoegen, moet u de universele koppeling van de app toevoegen aan de beheerde lijst. Als de doeltoepassing Intune app-beveiligingsbeleid ondersteunt, wordt geprobeerd de app te starten als u de koppeling selecteert. Als de app niet kan worden geopend, wordt de koppeling geopend in de beveiligde browser. Als de doeltoepassing de Intune SDK niet integreert, wordt de beveiligde browser gestart als u de koppeling selecteert.

De standaard beheerde universele koppelingen zijn de volgende:

Universele koppeling voor beheerde apps Beschrijving
http://*.onedrive.com/*; https://*.onedrive.com/*; OneDrive
http://*.appsplatform.us/*; http://*.powerapps.cn/*; http://*.powerapps.com/*; http://*.powerapps.us/*; https://*.powerbi.com/*; https://app.powerbi.cn/*; https://app.powerbigov.us/*; https://app.powerbi.de/*; PowerApps
http://*.powerbi.com/*; http://app.powerbi.cn/*; http://app.powerbigov.us/*; http://app.powerbi.de/*; https://*.appsplatform.us/*; https://*.powerapps.cn/*; https://*.powerapps.com/*; https://*.powerapps.us/*; Power BI
http://*.service-now.com/*; https://*.service-now.com/*; ServiceNow
http://*.sharepoint.com/*; http://*.sharepoint-df.com/*; https://*.sharepoint.com/*; https://*.sharepoint-df.com/*; SharePoint
http://web.microsoftstream.com/video/*; http://msit.microsoftstream.com/video/*; https://web.microsoftstream.com/video/*; https://msit.microsoftstream.com/video/*; Stream
http://*teams.microsoft.com/l/*; http://*devspaces.skype.com/l/*; http://*teams.live.com/l/*; http://*collab.apps.mil/l/*; http://*teams.microsoft.us/l/*; http://*teams-fl.microsoft.com/l/*; https://*teams.microsoft.com/l/*; https://*devspaces.skype.com/l/*; https://*teams.live.com/l/*; https://*collab.apps.mil/l/*; https://*teams.microsoft.us/l/*; https://*teams-fl.microsoft.com/l/*; Teams
http://tasks.office.com/*; https://tasks.office.com/*; http://to-do.microsoft.com/sharing*; https://to-do.microsoft.com/sharing*; ToDo
http://*.yammer.com/*; https://*.yammer.com/*; Microsoft Viva Engage
http://*.zoom.us/*; https://*.zoom.us/*; Zoom

Als u de standaard beheerde universele koppelingen niet wilt toestaan, kunt u deze verwijderen. U kunt ook Universele koppelingen voor apps van derden of LOB-apps toevoegen.

Toegangsvereisten

Instelling Procedure Standaardwaarde
Pincode voor toegang Selecteer Vereisen om een pincode te vereisen voor het gebruik van deze app. De gebruiker wordt gevraagd deze pincode in te stellen wanneer de app de eerste keer wordt uitgevoerd in een werk- of schoolcontext. De pincode wordt toegepast wanneer u online of offline werkt.

U kunt de pincodesterkte configureren met behulp van de instellingen die beschikbaar zijn onder de sectie Pincode voor toegang .

Notitie: Eindgebruikers die toegang hebben tot de app, kunnen de pincode van de app opnieuw instellen. Deze instelling is in sommige gevallen mogelijk niet zichtbaar op iOS-apparaten. iOS-apparaten hebben een maximale beperking van vier beschikbare sneltoetsen. Als u de snelkoppeling app-pincode opnieuw instellen wilt weergeven, moet de eindgebruiker mogelijk toegang krijgen tot de snelkoppeling vanuit een andere beheerde app.
Vereisen
    Type pincode
Stel een vereiste in voor pincodes van het numerieke of wachtwoordcodetype voordat u toegang krijgt tot een app waarop app-beveiligingsbeleid is toegepast. Numerieke vereisten hebben alleen betrekking op getallen, terwijl een wachtwoordcode kan worden gedefinieerd met ten minste 1 alfabetische letter of ten minste 1 speciaal teken.

Opmerking:als u het wachtwoordcodetype wilt configureren, moet de app Intune SDK versie 7.1.12 of hoger hebben. Het numerieke type heeft geen Intune SDK-versiebeperking. Speciale tekens die zijn toegestaan, zijn de speciale tekens en symbolen op het engelse iOS-/iPadOS-toetsenbord.
Numeriek
    Eenvoudige pincode
Selecteer Toestaan om gebruikers toe te staan eenvoudige pincodes te gebruiken, zoals 1234, 1111, abcd of aaaa. Selecteer Blokkeren om te voorkomen dat ze eenvoudige reeksen gebruiken. Eenvoudige sequenties worden gecontroleerd in schuifvensters van 3 tekens. Als Blokkeren is geconfigureerd, wordt 1235 of 1112 niet geaccepteerd als pincode die is ingesteld door de eindgebruiker, maar is 1122 toegestaan.

Opmerking: als wachtwoordcodetype Pincode is geconfigureerd en Eenvoudige pincode toestaan is ingesteld op Ja, heeft de gebruiker ten minste 1 letter of ten minste 1 speciaal teken in de pincode nodig. Als pincode voor wachtwoordcode is geconfigureerd en Eenvoudige pincode toestaan is ingesteld op Nee, heeft de gebruiker ten minste 1 cijfer en 1 letter en ten minste 1 speciaal teken in de pincode nodig.
Toestaan
    Minimale lengte van pincode selecteren
Geef het minimale aantal cijfers in een pincodereeks op. 4
    Touch ID in plaats van pincode voor toegang (iOS 8+)
Selecteer Toestaan om de gebruiker toe te staan Touch ID te gebruiken in plaats van een pincode voor toegang tot apps. Toestaan
      Touch ID overschrijven met pincode na time-out
Als u deze instelling wilt gebruiken, selecteert u Vereisen en configureert u vervolgens een time-out voor inactiviteit. Vereisen
        Time-out (minuten van inactiviteit)
Geef een tijd op in minuten waarna een wachtwoordcode of een numerieke pincode (zoals geconfigureerd) het gebruik van een vingerafdruk of gezicht als toegangsmethode overschrijft. Deze time-outwaarde moet groter zijn dan de waarde die is opgegeven onder 'De toegangsvereisten opnieuw controleren na (minuten van inactiviteit)'. 30
      Face ID in plaats van pincode voor toegang (iOS 11+)
Selecteer Toestaan om toe te staan dat de gebruiker gezichtsherkenningstechnologie gebruikt om gebruikers op iOS-/iPadOS-apparaten te verifiëren. Indien toegestaan, moet Face ID worden gebruikt voor toegang tot de app op een apparaat dat geschikt is voor Face ID. Toestaan
    Pincode opnieuw instellen na een aantal dagen
Selecteer Ja om gebruikers te verplichten hun app-pincode te wijzigen na een ingestelde periode, in dagen.

Wanneer deze optie is ingesteld op Ja, configureert u het aantal dagen voordat de pincode opnieuw moet worden ingesteld.
Nee
      Aantal dagen
Configureer het aantal dagen voordat het opnieuw instellen van de pincode is vereist. 90
    App-pincode wanneer de apparaatpincode is ingesteld
Selecteer Uitschakelen om de pincode van de app uit te schakelen wanneer een apparaatvergrendeling wordt gedetecteerd op een ingeschreven apparaat met Bedrijfsportal geconfigureerd.

Opmerking:vereist dat de app Intune SDK-versie 7.0.1 of hoger heeft. De intuneMAMUPN-instelling moet worden geconfigureerd voor toepassingen om de inschrijvingsstatus te detecteren.

Op iOS-/iPadOS-apparaten kunt u de gebruiker de identiteit laten bewijzen met behulp van Touch ID of Face ID in plaats van een pincode. Intune gebruikt de LocalAuthentication-API om gebruikers te verifiëren met Touch ID en Face ID. Zie de iOS-beveiligingshandleiding voor meer informatie over Touch ID en Face ID.

Wanneer de gebruiker deze app probeert te gebruiken met zijn of haar werk- of schoolaccount, wordt deze gevraagd om zijn vingerafdruk of gezichtsidentiteit op te geven in plaats van een pincode in te voeren. Wanneer deze instelling is ingeschakeld, wordt de voorbeeldafbeelding van de app-switcher wazig weergegeven wanneer u een werk- of schoolaccount gebruikt. Als er een wijziging is in de biometrische database van het apparaat, vraagt Intune de gebruiker om een pincode wanneer de volgende time-outwaarde voor inactiviteit wordt bereikt. Wijzigingen in biometrische gegevens omvatten het toevoegen of verwijderen van een vingerafdruk of gezicht voor verificatie. Als de Intune gebruiker geen pincode heeft ingesteld, wordt er een Intune pincode ingesteld.
Inschakelen
Werk- of schoolaccountreferenties voor toegang Selecteer Vereisen om te vereisen dat de gebruiker zich aanmeldt met het werk- of schoolaccount in plaats van een pincode in te voeren voor app-toegang. Als u dit instelt op Vereisen en pincode- of biometrische prompts zijn ingeschakeld, worden zowel bedrijfsreferenties als de pincode of biometrische prompts weergegeven. Niet vereist
Controleer de toegangsvereisten opnieuw na (minuten van inactiviteit) Configureer het aantal minuten van inactiviteit dat moet passeren voordat de app vereist dat de gebruiker de toegangsvereisten opnieuw opgeeft.

Een beheerder schakelt bijvoorbeeld pincode in en blokkeert geroote apparaten in het beleid, een gebruiker opent een Intune beheerde app, moet een pincode invoeren en moet de app gebruiken op een niet-geroot apparaat. Wanneer u deze instelling gebruikt, hoeft de gebruiker geen pincode in te voeren of een andere basisdetectiecontrole te ondergaan op een door Intune beheerde app gedurende een periode die gelijk is aan de geconfigureerde waarde.

Opmerking:Op iOS/iPadOS wordt de pincode gedeeld met alle Intune beheerde apps van dezelfde uitgever. De pincodetimer voor een specifieke pincode wordt opnieuw ingesteld zodra de app de voorgrond op het apparaat verlaat. De gebruiker hoeft geen pincode in te voeren voor een Intune beheerde app die de pincode deelt voor de duur van de time-out die in deze instelling is gedefinieerd. Deze indeling van de beleidsinstelling ondersteunt een positief geheel getal.
30

Opmerking

Voor meer informatie over hoe meerdere instellingen voor Intune app-beveiliging die zijn geconfigureerd in de sectie Toegang tot dezelfde set apps en gebruikers op iOS/iPadOS werken, raadpleegt u veelgestelde vragen over MAM Intune en Gegevens selectief wissen met behulp van toegangsacties voor app-beveiligingsbeleid in Intune.

Voorwaardelijk starten

Configureer instellingen voor voorwaardelijk starten om beveiligingsvereisten voor aanmeldingen in te stellen voor uw toegangsbeveiligingsbeleid.

Standaard worden verschillende instellingen geleverd met vooraf geconfigureerde waarden en acties. U kunt een aantal hiervan verwijderen, zoals de minimale versie van het besturingssysteem. U kunt ook extra instellingen selecteren in de vervolgkeuzelijst Eén selecteren .

Instelling Procedure
Maximale versie van het besturingssysteem Geef een maximaal iOS-/iPadOS-besturingssysteem op om deze app te gebruiken.

Acties zijn onder andere:

  • Waarschuwen : de gebruiker krijgt een melding te zien als de iOS-/iPadOS-versie op het apparaat niet voldoet aan de vereiste. Deze melding kan worden verwijderd.
  • Toegang blokkeren : de gebruiker wordt geblokkeerd als de iOS-/iPadOS-versie op het apparaat niet aan deze vereiste voldoet.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.

Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt.

Deze indeling van de beleidsinstelling ondersteunt major.minor, major.minor.build, major.minor.build.revision.

Opmerking:vereist dat de app Intune SDK versie 14.4.0 of hoger heeft.
Minimale versie van het besturingssysteem Geef een minimaal iOS-/iPadOS-besturingssysteem op om deze app te gebruiken.

Acties zijn onder andere:

  • Waarschuwen : de gebruiker krijgt een melding te zien als de iOS-/iPadOS-versie op het apparaat niet voldoet aan de vereiste. Deze melding kan worden verwijderd.
  • Toegang blokkeren : de gebruiker wordt geblokkeerd als de iOS-/iPadOS-versie op het apparaat niet aan deze vereiste voldoet.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt.

Deze indeling van de beleidsinstelling ondersteunt major.minor, major.minor.build, major.minor.build.revision.

Opmerking:vereist dat de app Intune SDK-versie 7.0.1 of hoger heeft.
Maximum aantal pincodepogingen Geef het aantal pogingen op dat de gebruiker moet uitvoeren om de pincode in te voeren voordat de geconfigureerde actie wordt uitgevoerd. Als de gebruiker zijn pincode niet kan invoeren na de maximale pincodepogingen, moet de gebruiker de pincode opnieuw instellen nadat deze zich heeft aangemeld bij het account en indien nodig een MFA-uitdaging (Multi-Factor Authentication) heeft voltooid. Deze indeling van de beleidsinstelling ondersteunt een positief geheel getal.

Acties zijn onder andere:

  • Pincode opnieuw instellen : de gebruiker moet de pincode opnieuw instellen.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Standaardwaarde = 5
Offline respijtperiode Het aantal minuten dat door beleid beheerde apps offline kunnen worden uitgevoerd. Geef de tijd op (in minuten) voordat de toegangsvereisten voor de app opnieuw worden gecontroleerd.

Acties zijn onder andere:

  • Toegang blokkeren (minuten): het aantal minuten dat door beleid beheerde apps offline kunnen worden uitgevoerd. Geef de tijd op (in minuten) voordat de toegangsvereisten voor de app opnieuw worden gecontroleerd. Nadat de geconfigureerde periode is verstreken, blokkeert de app de toegang tot werk- of schoolgegevens totdat netwerktoegang beschikbaar is. De timer offline respijtperiode voor het blokkeren van gegevenstoegang wordt voor elke app afzonderlijk berekend op basis van de laatste check-in met de Intune-service. Deze indeling voor beleidsinstellingen ondersteunt een positief geheel getal.

    Standaardwaarde = 1440 minuten (24 uur)

    Notitie: Het configureren van de timer voor offline respijtperiode voor het blokkeren van toegang tot minder dan de standaardwaarde kan resulteren in frequentere gebruikersonderbrekingen wanneer het beleid wordt vernieuwd. Het kiezen van een waarde van minder dan 30 minuten wordt afgeraden, omdat dit kan leiden tot onderbrekingen van gebruikers bij elke start of hervatting van de toepassing.

    Notitie: Het stoppen van het vernieuwen van het beleid voor offline respijtperiode, inclusief het sluiten of onderbreken van de toepassing, resulteert in een onderbreking van de gebruiker bij het volgende starten of hervatten van de app.

  • Gegevens wissen (dagen): nadat deze vele dagen (gedefinieerd door de beheerder) offline zijn uitgevoerd, moet de gebruiker verbinding maken met het netwerk en opnieuw verifiëren. Als de gebruiker zich heeft geverifieerd, kan deze toegang blijven krijgen tot de gegevens en wordt het offlineinterval opnieuw ingesteld. Als de gebruiker zich niet kan verifiëren, wordt het account en de gegevens van de gebruikers selectief gewist. Zie Alleen bedrijfsgegevens wissen uit Intune beheerde apps voor meer informatie over welke gegevens worden verwijderd met selectief wissen. De timer offline respijtperiode voor het wissen van gegevens wordt voor elke app afzonderlijk berekend op basis van de laatste check-in met de Intune-service. Deze indeling van de beleidsinstelling ondersteunt een positief geheel getal.

    Standaardwaarde = 90 dagen
Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt.
Gekraakte/geroote apparaten Er is geen waarde om in te stellen voor deze instelling.

Acties zijn onder andere:

  • Toegang blokkeren : voorkom dat deze app wordt uitgevoerd op gekraakte of geroote apparaten. De gebruiker kan deze app nog steeds gebruiken voor persoonlijke taken, maar moet een ander apparaat gebruiken om toegang te krijgen tot werk- of schoolgegevens in deze app.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Uitgeschakeld account Er is geen waarde om in te stellen voor deze instelling.

Acties zijn onder andere:

  • Toegang blokkeren: wanneer we hebben bevestigd dat de gebruiker is uitgeschakeld in Microsoft Entra ID, blokkeert de app de toegang tot werk- of schoolgegevens.
  • Gegevens wissen: wanneer we hebben bevestigd dat de gebruiker is uitgeschakeld in Microsoft Entra ID, voert de app een selectief wissen van het account en de gegevens van de gebruikers uit.
Minimale app-versie Geef een waarde op voor de minimale waarde van de toepassingsversie.

Acties zijn onder andere:

  • Waarschuwing : de gebruiker ziet een melding als de app-versie op het apparaat niet voldoet aan de vereiste. Deze melding kan worden verwijderd.
  • Toegang blokkeren : de gebruiker wordt geblokkeerd voor toegang als de app-versie op het apparaat niet voldoet aan de vereiste.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Omdat apps vaak verschillende versiebeheerschema's hebben, maakt u een beleid met één minimale app-versie die is gericht op één app (bijvoorbeeld Outlook-versiebeleid).

Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt.

Deze beleidsinstelling ondersteunt overeenkomende indelingen voor iOS-apps (major.minor of major.minor.patch).

Opmerking:vereist dat de app Intune SDK-versie 7.0.1 of hoger heeft.

Daarnaast kunt u configureren waar uw eindgebruikers een bijgewerkte versie van een LOB-app (Line-Of-Business) kunnen krijgen. Eindgebruikers zien dit in het dialoogvenster minimale versie voor voorwaardelijk starten van de app , waarin eindgebruikers worden gevraagd om bij te werken naar een minimale versie van de LOB-app. Op iOS/iPadOS moet de app worden geïntegreerd (of verpakt met behulp van het wrapping-hulpprogramma) met de Intune SDK voor iOS v. 10.0.7 of hoger. Als u wilt configureren waar een eindgebruiker een LOB-app moet bijwerken, moet er een beheerd app-configuratiebeleid naar de app worden verzonden met de sleutel, com.microsoft.intune.myappstore. Met de verzonden waarde wordt gedefinieerd in welke store de eindgebruiker de app downloadt. Als de app wordt geïmplementeerd via de Bedrijfsportal, moet de waarde zijnCompanyPortal. Voor andere winkels moet u een volledige URL invoeren.
Minimale SDK-versie Geef een minimumwaarde op voor de Intune SDK-versie.

Acties zijn onder andere:

  • Toegang blokkeren: de gebruiker heeft geen toegang als de SDK-versie van Intune app-beveiligingsbeleid van de app niet voldoet aan de vereiste.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
  • Waarschuwen : de gebruiker krijgt een melding te zien als de iOS/iPadOS SDK-versie voor de app niet voldoet aan de minimale SDK-vereiste. De gebruiker wordt geïnstrueerd om een upgrade uit te voeren naar de nieuwste versie van de app. Deze melding kan worden verwijderd.
Zie overzicht van Intune App SDK voor meer informatie over de SDK voor Intune app-beveiligingsbeleid. Omdat apps vaak verschillende Intune SDK-versie hebben, maakt u een beleid met één minuut Intune SDK-versie die is gericht op één app (bijvoorbeeld Intune SDK-versiebeleid voor Outlook).

Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt.
Apparaatmodel(en) Geef een door puntkomma gescheiden lijst met model-id('s) op. Deze waarden zijn niet hoofdlettergevoelig.

Acties zijn onder andere:

  • Opgegeven toestaan (niet-opgegeven blokkeren): alleen apparaten die overeenkomen met het opgegeven apparaatmodel kunnen de app gebruiken. Alle andere apparaatmodellen worden geblokkeerd.
  • Opgegeven toestaan (wissen niet-opgegeven): het gebruikersaccount dat is gekoppeld aan de toepassing, wordt gewist van het apparaat.
Zie Acties voor voorwaardelijk starten voor meer informatie over het gebruik van deze instelling.
Maximaal toegestaan bedreigingsniveau voor apparaten App-beveiliging-beleidsregels kunnen gebruikmaken van de Intune-MTD-connector. Geef een maximaal bedreigingsniveau op dat acceptabel is voor het gebruik van deze app. Bedreigingen worden bepaald door de door u gekozen MTD-leverancier-app (Mobile Threat Defense) op het apparaat van de eindgebruiker. Geef beveiligd, Laag, Gemiddeld of Hoog op. Beveiligd vereist geen bedreigingen op het apparaat en is de meest beperkende configureerbare waarde, terwijl High in wezen een actieve Intune-naar-MTD-verbinding vereist.

Acties zijn onder andere:

  • Toegang blokkeren : de gebruiker wordt geblokkeerd voor toegang als het bedreigingsniveau dat is bepaald door de gekozen MTD-leverancier-app (Mobile Threat Defense) op het apparaat van de eindgebruiker niet aan deze vereiste voldoet.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Opmerking:vereist dat de app Intune SDK versie 12.0.15 of hoger heeft.

Zie MTD inschakelen voor niet-ingeschreven apparaten voor meer informatie over het gebruik van deze instelling.
Primaire MTD-service Als u meerdere Intune-MTD-connectors hebt geconfigureerd, geeft u de primaire MTD-leverancier-app op die moet worden gebruikt op het apparaat van de eindgebruiker.

Waarden zijn onder andere:

  • Microsoft Defender voor Eindpunt: als de MTD-connector is geconfigureerd, geeft u Microsoft Defender voor Eindpunt informatie over het bedreigingsniveau van het apparaat op.
  • Mobile Threat Defense (niet-Microsoft): als de MTD-connector is geconfigureerd, geeft u de niet-Microsoft MTD op die informatie over het bedreigingsniveau van het apparaat verstrekt.

U moet de instelling 'Maximaal toegestaan bedreigingsniveau apparaat' configureren om deze instelling te gebruiken.

Er zijn geen acties voor deze instelling.

Niet-werktijd Er is geen waarde om in te stellen voor deze instelling.

Acties zijn onder andere:

  • Toegang blokkeren : de gebruiker is geblokkeerd omdat het gebruikersaccount dat aan de toepassing is gekoppeld, zich in een niet-werkende tijd bevindt.
  • Waarschuwen : de gebruiker ziet een melding als het gebruikersaccount dat aan de toepassing is gekoppeld, zich in een niet-werkende tijd bevindt. De melding kan worden verwijderd.
Opmerking: deze instelling moet alleen worden geconfigureerd als de tenant is geïntegreerd met de Werktijd-API. Zie De toegang tot Microsoft Teams beperken wanneer frontlinemedewerkers buiten dienst zijn voor meer informatie over het integreren van deze instelling met de werktijd-API. Als u deze instelling configureert zonder te integreren met de Werktijd-API, kunnen accounts worden geblokkeerd vanwege een ontbrekende werktijdstatus voor het beheerde account dat is gekoppeld aan de toepassing.

De volgende apps ondersteunen deze functie:

  • Teams voor iOS v6.9.2 of hoger
  • Edge voor iOS v126.2592.56 of hoger

Meer informatie