Delen via


App-beveiliging beleidsinstellingen voor Windows

In dit artikel worden de instellingen voor app-beveiligingsbeleid (APP) voor Windows beschreven. De beleidsinstellingen die worden beschreven, kunnen worden geconfigureerd voor een app-beveiligingsbeleid in het deelvenster Instellingen in het Intune-beheercentrum wanneer u een nieuw beleid maakt.

U kunt beveiligde MAM-toegang tot organisatiegegevens inschakelen via Microsoft Edge op persoonlijke Windows-apparaten. Deze mogelijkheid staat bekend als Windows MAM en biedt functionaliteit met behulp van Intune Application Configuration Policies (ACP), Intune Application Protection Policies (APP), Windows-beveiliging Center client threat defense en Application Protection Conditional Access. Zie Gegevensbeveiliging voor Windows MAM, Een MTD-app-beveiligingsbeleid voor Windows maken en Microsoft Edge voor Windows configureren met Intune voor meer informatie over Windows MAM.

Er zijn twee categorieën instellingen voor app-beveiligingsbeleid voor Windows:

Belangrijk

Intune MAM in Windows ondersteunt niet-beheerde apparaten. Als een apparaat al wordt beheerd, wordt Intune MAM-inschrijving geblokkeerd en worden app-instellingen niet toegepast. Als een apparaat wordt beheerd na mam-inschrijving, worden app-instellingen niet meer toegepast.

Gegevensbescherming

De instellingen voor gegevensbescherming zijn van invloed op de organisatiegegevens en -context. Als beheerder kunt u de verplaatsing van gegevens naar en uit de context van de organisatiebeveiliging beheren. De organisatiecontext wordt gedefinieerd door documenten, services en sites die worden geopend door het opgegeven organisatieaccount. De volgende beleidsinstellingen helpen bij het beheren van externe gegevens die zijn ontvangen in de organisatiecontext en organisatiegegevens die worden verzonden uit de organisatiecontext.

Gegevensoverdracht

Instelling Procedure Standaardwaarde
Gegevens ontvangen van Selecteer een van de volgende opties om op te geven van welke bronnen organisatiegebruikers gegevens kunnen ontvangen:
  • Alle bronnen: organisatiegebruikers kunnen gegevens openen vanuit elk account, document, locatie of toepassing in de organisatiecontext.
  • Geen bronnen: organisatiegebruikers kunnen geen gegevens van externe accounts, documenten, locaties of toepassingen openen in de organisatiecontext. OPMERKING: Voor Microsoft Edge bepaalt Geen bronnen het gedrag voor het uploaden van bestanden via slepen en neerzetten of via het dialoogvenster Bestand openen. Het weergeven en delen van bestanden tussen sites/tabbladen in lokale bestanden wordt geblokkeerd.


Alle bronnen
Organisatiegegevens verzenden naar Selecteer een van de volgende opties om op te geven naar welke bestemmingen organisatiegebruikers gegevens kunnen verzenden:
  • Alle bestemmingen: organisatiegebruikers kunnen organisatiegegevens verzenden naar elk account, document, locatie of toepassing.
  • Geen bestemmingen: organisatiegebruikers kunnen geen organisatiegegevens verzenden naar externe accounts, documenten, locaties of toepassingen vanuit de organisatiecontext. OPMERKING: Voor Microsoft Edge blokkeert Geen bestemmingen het downloaden van bestanden. Dit betekent dat het delen van bestanden tussen sites/tabbladen wordt geblokkeerd.


Alle bestemmingen
Knippen, kopiëren en plakken toestaan voor Selecteer een van de volgende opties om de bronnen en bestemmingen op te geven die organisatiegebruikers kunnen knippen of kopiëren of plakken:
  • Elke bestemming en elke bron: organisatiegebruikers kunnen gegevens plakken uit en gegevens knippen/kopiëren naar elk account, document, locatie of toepassing.
  • Geen doel of bron: organisatiegebruikers kunnen geen gegevens knippen, kopiëren of plakken van of naar externe accounts, documenten, locaties of toepassingen van of naar de organisatiecontext. OPMERKING: Voor Microsoft Edge geldt dat geen doel- of bronblokken alleen in de webinhoud kunnen worden geknipt, gekopieerd en geplakt. Knippen, kopiëren en plakken is uitgeschakeld voor alle webinhoud, maar niet voor toepassingsbesturingselementen, inclusief de adresbalk.


Elke bestemming en elke bron

Functionaliteit

Instelling Procedure Standaardwaarde
Organisatiegegevens afdrukken Selecteer Blokkeren om het afdrukken van organisatiegegevens te voorkomen. Selecteer Toestaan om het afdrukken van organisatiegegevens toe te staan. Persoonlijke of onbeheerde gegevens worden niet beïnvloed. Toestaan

Statuscontroles

Stel de statuscontrolevoorwaarden in voor uw app-beveiligingsbeleid. Selecteer een instelling en voer de waarde in waaraan gebruikers moeten voldoen om toegang te krijgen tot uw organisatiegegevens. Selecteer vervolgens de actie die u wilt uitvoeren als gebruikers niet voldoen aan uw voorwaardelijke voorwaarden. In sommige gevallen kunnen meerdere acties worden geconfigureerd voor één instelling. Zie Acties voor statuscontrole voor meer informatie.

App-voorwaarden

Configureer de volgende statuscontrole-instellingen om de toepassingsconfiguratie te controleren voordat u toegang tot organisatieaccounts en -gegevens toestaat.

Opmerking

De term door beleid beheerde app verwijst naar apps die zijn geconfigureerd met app-beveiligingsbeleid.

Instelling Procedure Standaardwaarde
Offline respijtperiode Het aantal minuten dat door beleid beheerde app offline kan worden uitgevoerd. Geef de tijd op (in minuten) voordat de toegangsvereisten voor de app opnieuw worden gecontroleerd.

Acties zijn onder andere:

  • Toegang blokkeren (minuten): het aantal minuten dat door beleid beheerde apps offline kunnen worden uitgevoerd. Geef de tijd op (in minuten) voordat de toegangsvereisten voor de app opnieuw worden gecontroleerd. Nadat de geconfigureerde periode is verstreken, blokkeert de app de toegang tot werk- of schoolgegevens totdat netwerktoegang beschikbaar is. De timer offline respijtperiode voor het blokkeren van gegevenstoegang wordt berekend op basis van de laatste check-in met de Intune-service. Deze indeling voor beleidsinstellingen ondersteunt een positief geheel getal.
  • Gegevens wissen (dagen): nadat deze vele dagen (gedefinieerd door de beheerder) offline zijn uitgevoerd, moet de gebruiker verbinding maken met het netwerk en opnieuw verifiëren. Als de gebruiker zich heeft geverifieerd, kan deze toegang blijven krijgen tot de gegevens en wordt het offlineinterval opnieuw ingesteld. Als de gebruiker zich niet kan verifiëren, wordt het account en de gegevens van de gebruikers selectief gewist. Zie Alleen bedrijfsgegevens wissen uit Intune beheerde apps voor meer informatie over welke gegevens worden verwijderd met selectief wissen. De timer offline respijtperiode voor het wissen van gegevens wordt door de app berekend op basis van de laatste check-in met de Intune-service. Deze indeling van de beleidsinstelling ondersteunt een positief geheel getal.
Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt.

Toegang blokkeren (minuten): 720 minuten (12 uur)

Gegevens wissen (dagen): 90 dagen

Minimale app-versie Geef een waarde op voor de minimale waarde van de toepassingsversie.

Acties zijn onder andere:

  • Waarschuwing : de gebruiker ziet een melding als de app-versie op het apparaat niet voldoet aan de vereiste. Deze melding kan worden verwijderd.
  • Toegang blokkeren : de gebruiker wordt geblokkeerd voor toegang als de app-versie op het apparaat niet voldoet aan de vereiste.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Omdat apps vaak verschillende versiebeheerschema's hebben, maakt u een beleid met één minimale app-versie die is gericht op één app.

Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt.

Deze beleidsinstelling ondersteunt overeenkomende windows-app-bundelversies (major.minor of major.minor.patch).
Geen standaardwaarde
Minimale SDK-versie Geef een minimumwaarde op voor de Intune SDK-versie.

Acties zijn onder andere:

  • Toegang blokkeren: de gebruiker heeft geen toegang als de SDK-versie van Intune app-beveiligingsbeleid van de app niet voldoet aan de vereiste.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt.
Geen standaardwaarde
Uitgeschakeld account Geef een geautomatiseerde actie op als het Microsoft Entra-account voor de gebruiker is uitgeschakeld. Beheer mag slechts één actie opgeven. Er is geen waarde om in te stellen voor deze instelling. Acties zijn onder andere:
  • Toegang blokkeren: wanneer we hebben bevestigd dat de gebruiker is uitgeschakeld in Microsoft Entra ID, blokkeert de app de toegang tot werk- of schoolgegevens.
  • Gegevens wissen: wanneer we hebben bevestigd dat de gebruiker is uitgeschakeld in Microsoft Entra ID, voert de app een selectief wissen van het account en de gegevens van de gebruikers uit.
NOTITIE: Als de gebruikersstatus niet kan worden bevestigd vanwege connectiviteit, verificatie of een andere reden, worden deze acties (Toegang blokkeren en Gegevens wissen) niet afgedwongen.
Geen standaardwaarde

Apparaatvoorwaarden

Configureer de volgende instellingen voor statuscontrole om de apparaatconfiguratie te controleren voordat u toegang tot organisatieaccounts en -gegevens toestaat. Vergelijkbare apparaatinstellingen kunnen worden geconfigureerd voor ingeschreven apparaten. Meer informatie over het configureren van instellingen voor apparaatnaleving voor ingeschreven apparaten.

Instelling Procedure Standaardwaarde
Minimale versie van het besturingssysteem Geef een minimaal Windows-besturingssysteem op om deze app te gebruiken.

Acties zijn onder andere:

  • Waarschuwen : de gebruiker krijgt een melding te zien als de Windows-versie op het apparaat niet aan de vereiste voldoet. Deze melding kan worden verwijderd.
  • Toegang blokkeren : de gebruiker wordt geblokkeerd voor toegang als de Windows-versie op het apparaat niet aan deze vereiste voldoet.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.
Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt.

Deze indeling van de beleidsinstelling ondersteunt major.minor, major.minor.build, major.minor.build.revision.

Open een opdrachtprompt om de Windows-versie te vinden. De versie wordt bovenaan het opdrachtpromptvenster weergegeven. Een voorbeeld van de te gebruiken versie-indeling is 10.0.22631.3155. Opmerking: als u de winver opdracht gebruikt, ziet u alleen de build van het besturingssysteem (zoals 22631.3155), wat niet de juiste indeling is om te gebruiken.
Maximale versie van het besturingssysteem Geef een maximaal Windows-besturingssysteem op om deze app te gebruiken.

Acties zijn onder andere:

  • Waarschuwen : de gebruiker krijgt een melding te zien als de Windows-versie op het apparaat niet aan de vereiste voldoet. Deze melding kan worden verwijderd.
  • Toegang blokkeren : de gebruiker wordt geblokkeerd voor toegang als de Windows-versie op het apparaat niet aan deze vereiste voldoet.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.

Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt.

Deze indeling van de beleidsinstelling ondersteunt major.minor, major.minor.build, major.minor.build.revision.
Maximaal toegestaan bedreigingsniveau voor apparaten App-beveiliging-beleidsregels kunnen gebruikmaken van de Intune-MTD-connector. Geef een maximaal bedreigingsniveau op dat acceptabel is voor het gebruik van deze app. Bedreigingen worden bepaald door de door u gekozen MTD-leverancier-app (Mobile Threat Defense) op het apparaat van de eindgebruiker. Geef beveiligd, Laag, Gemiddeld of Hoog op. Beveiligd vereist geen bedreigingen op het apparaat en is de meest beperkende configureerbare waarde, terwijl High in wezen een actieve Intune-naar-MTD-verbinding vereist.

Acties zijn onder andere:

  • Toegang blokkeren : de gebruiker wordt geblokkeerd voor toegang als het bedreigingsniveau dat is bepaald door de gekozen MTD-leverancier-app (Mobile Threat Defense) op het apparaat van de eindgebruiker niet aan deze vereiste voldoet.
  • Gegevens wissen : het gebruikersaccount dat aan de toepassing is gekoppeld, wordt gewist van het apparaat.

Zie MTD inschakelen voor niet-ingeschreven apparaten voor meer informatie over het gebruik van deze instelling.

Aanvullende informatie

Zie de volgende bronnen voor meer informatie over APP voor Windows-apparaten: