App-beveiliging beleidsinstellingen voor Windows
In dit artikel worden de instellingen voor app-beveiligingsbeleid (APP) voor Windows beschreven. De beleidsinstellingen die worden beschreven, kunnen worden geconfigureerd voor een app-beveiligingsbeleid in het deelvenster Instellingen in het Intune-beheercentrum wanneer u een nieuw beleid maakt.
U kunt beveiligde MAM-toegang tot organisatiegegevens inschakelen via Microsoft Edge op persoonlijke Windows-apparaten. Deze mogelijkheid staat bekend als Windows MAM en biedt functionaliteit met behulp van Intune Application Configuration Policies (ACP), Intune Application Protection Policies (APP), Windows-beveiliging Center client threat defense en Application Protection Conditional Access. Zie Gegevensbeveiliging voor Windows MAM, Een MTD-app-beveiligingsbeleid voor Windows maken en Microsoft Edge voor Windows configureren met Intune voor meer informatie over Windows MAM.
Er zijn twee categorieën instellingen voor app-beveiligingsbeleid voor Windows:
Belangrijk
Intune MAM in Windows ondersteunt niet-beheerde apparaten. Als een apparaat al wordt beheerd, wordt Intune MAM-inschrijving geblokkeerd en worden app-instellingen niet toegepast. Als een apparaat wordt beheerd na mam-inschrijving, worden app-instellingen niet meer toegepast.
Gegevensbescherming
De instellingen voor gegevensbescherming zijn van invloed op de organisatiegegevens en -context. Als beheerder kunt u de verplaatsing van gegevens naar en uit de context van de organisatiebeveiliging beheren. De organisatiecontext wordt gedefinieerd door documenten, services en sites die worden geopend door het opgegeven organisatieaccount. De volgende beleidsinstellingen helpen bij het beheren van externe gegevens die zijn ontvangen in de organisatiecontext en organisatiegegevens die worden verzonden uit de organisatiecontext.
Gegevensoverdracht
Instelling | Procedure | Standaardwaarde |
---|---|---|
Gegevens ontvangen van | Selecteer een van de volgende opties om op te geven van welke bronnen organisatiegebruikers gegevens kunnen ontvangen:
|
Alle bronnen |
Organisatiegegevens verzenden naar | Selecteer een van de volgende opties om op te geven naar welke bestemmingen organisatiegebruikers gegevens kunnen verzenden:
|
Alle bestemmingen |
Knippen, kopiëren en plakken toestaan voor | Selecteer een van de volgende opties om de bronnen en bestemmingen op te geven die organisatiegebruikers kunnen knippen of kopiëren of plakken:
|
Elke bestemming en elke bron |
Functionaliteit
Instelling | Procedure | Standaardwaarde |
---|---|---|
Organisatiegegevens afdrukken | Selecteer Blokkeren om het afdrukken van organisatiegegevens te voorkomen. Selecteer Toestaan om het afdrukken van organisatiegegevens toe te staan. Persoonlijke of onbeheerde gegevens worden niet beïnvloed. | Toestaan |
Statuscontroles
Stel de statuscontrolevoorwaarden in voor uw app-beveiligingsbeleid. Selecteer een instelling en voer de waarde in waaraan gebruikers moeten voldoen om toegang te krijgen tot uw organisatiegegevens. Selecteer vervolgens de actie die u wilt uitvoeren als gebruikers niet voldoen aan uw voorwaardelijke voorwaarden. In sommige gevallen kunnen meerdere acties worden geconfigureerd voor één instelling. Zie Acties voor statuscontrole voor meer informatie.
App-voorwaarden
Configureer de volgende statuscontrole-instellingen om de toepassingsconfiguratie te controleren voordat u toegang tot organisatieaccounts en -gegevens toestaat.
Opmerking
De term door beleid beheerde app verwijst naar apps die zijn geconfigureerd met app-beveiligingsbeleid.
Instelling | Procedure | Standaardwaarde |
---|---|---|
Offline respijtperiode | Het aantal minuten dat door beleid beheerde app offline kan worden uitgevoerd. Geef de tijd op (in minuten) voordat de toegangsvereisten voor de app opnieuw worden gecontroleerd.
Acties zijn onder andere:
|
Toegang blokkeren (minuten): 720 minuten (12 uur) Gegevens wissen (dagen): 90 dagen |
Minimale app-versie | Geef een waarde op voor de minimale waarde van de toepassingsversie.
Acties zijn onder andere:
Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt. Deze beleidsinstelling ondersteunt overeenkomende windows-app-bundelversies (major.minor of major.minor.patch). |
Geen standaardwaarde |
Minimale SDK-versie | Geef een minimumwaarde op voor de Intune SDK-versie.
Acties zijn onder andere:
|
Geen standaardwaarde |
Uitgeschakeld account | Geef een geautomatiseerde actie op als het Microsoft Entra-account voor de gebruiker is uitgeschakeld. Beheer mag slechts één actie opgeven. Er is geen waarde om in te stellen voor deze instelling.
Acties zijn onder andere:
|
Geen standaardwaarde |
Apparaatvoorwaarden
Configureer de volgende instellingen voor statuscontrole om de apparaatconfiguratie te controleren voordat u toegang tot organisatieaccounts en -gegevens toestaat. Vergelijkbare apparaatinstellingen kunnen worden geconfigureerd voor ingeschreven apparaten. Meer informatie over het configureren van instellingen voor apparaatnaleving voor ingeschreven apparaten.
Instelling | Procedure | Standaardwaarde |
---|---|---|
Minimale versie van het besturingssysteem | Geef een minimaal Windows-besturingssysteem op om deze app te gebruiken.
Acties zijn onder andere:
Deze indeling van de beleidsinstelling ondersteunt major.minor, major.minor.build, major.minor.build.revision. Open een opdrachtprompt om de Windows-versie te vinden. De versie wordt bovenaan het opdrachtpromptvenster weergegeven. Een voorbeeld van de te gebruiken versie-indeling is 10.0.22631.3155. Opmerking: als u de winver opdracht gebruikt, ziet u alleen de build van het besturingssysteem (zoals 22631.3155), wat niet de juiste indeling is om te gebruiken. |
|
Maximale versie van het besturingssysteem | Geef een maximaal Windows-besturingssysteem op om deze app te gebruiken.
Acties zijn onder andere:
Deze vermelding kan meerdere keren worden weergegeven, waarbij elk exemplaar een andere actie ondersteunt. Deze indeling van de beleidsinstelling ondersteunt major.minor, major.minor.build, major.minor.build.revision. |
|
Maximaal toegestaan bedreigingsniveau voor apparaten | App-beveiliging-beleidsregels kunnen gebruikmaken van de Intune-MTD-connector. Geef een maximaal bedreigingsniveau op dat acceptabel is voor het gebruik van deze app. Bedreigingen worden bepaald door de door u gekozen MTD-leverancier-app (Mobile Threat Defense) op het apparaat van de eindgebruiker. Geef beveiligd, Laag, Gemiddeld of Hoog op.
Beveiligd vereist geen bedreigingen op het apparaat en is de meest beperkende configureerbare waarde, terwijl High in wezen een actieve Intune-naar-MTD-verbinding vereist.
Acties zijn onder andere:
Zie MTD inschakelen voor niet-ingeschreven apparaten voor meer informatie over het gebruik van deze instelling. |
Aanvullende informatie
Zie de volgende bronnen voor meer informatie over APP voor Windows-apparaten:
- Overzicht van app-beveiligingsbeleid
- Gegevensbescherming voor Windows MAM
- Een MTD-app-beveiligingsbeleid maken voor Windows
- Een app-configuratiebeleid toevoegen voor beheerde apps op Windows-apparaten
- Microsoft Edge voor Windows configureren met Intune
- Een app-beveiligingsbeleid vereisen op Windows-apparaten