Lijst met android enterprise-apparaatinstellingen voor het toestaan of beperken van functies op apparaten in persoonlijk eigendom met behulp van Intune
In dit artikel worden de verschillende instellingen beschreven die u kunt beheren op Android Enterprise-apparaten. Als onderdeel van uw MDM-oplossing (Mobile Device Management) gebruikt u deze instellingen om functies toe te staan of uit te schakelen, beveiliging te beheren en meer.
Deze functie is van toepassing op:
- Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel (BYOD)
Tip
- Voor AOSP gaat u naar Android-apparaatinstellingen (AOSP) om functies toe te staan of te beperken met behulp van Intune.
- Voor Android Enterprise-werkprofiel in bedrijfseigendom (COPE), volledig beheerde (COBO) of toegewezen apparaten (COSU) gaat u naar Android Enterprise-apparaatinstellingen om functies toe te staan of te beperken op apparaten in bedrijfseigendom met behulp van Intune.
Voordat u begint
Maak een configuratieprofiel voor Android-apparaatbeperkingen.
Instellingen voor werkprofielen
Deze instellingen zijn van toepassing op Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel (BYOD).
Algemene instellingen
Kopiëren en plakken tussen werk- en persoonlijke profielen: Met Blokkeren voorkomt u kopiëren en plakken tussen werk- en persoonlijke apps. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat gebruikers gegevens delen met behulp van kopiëren en plakken met apps in het persoonlijke profiel.
Gegevens delen tussen werkprofielen en persoonlijke profielen: kies of apps in het werkprofiel kunnen worden gedeeld met apps in het persoonlijke profiel. U kunt bijvoorbeeld acties voor delen in toepassingen beheren, zoals de optie Delen... in de Chrome-browser-app. Deze instelling is niet van toepassing op het gedrag van het klembord kopiëren en plakken. Uw opties:
- Standaardwaarde van apparaat: delen van het werkprofiel naar het persoonlijke profiel wordt geblokkeerd. Delen van het persoonlijke profiel naar het werkprofiel is toegestaan.
- Apps in werkprofiel kunnen aanvragen voor delen van een persoonlijk profiel verwerken: hiermee schakelt u de ingebouwde Android-functie in waarmee het delen van het persoonlijke profiel naar het werkprofiel mogelijk is. Wanneer dit is ingeschakeld, kan een aanvraag voor delen van een app in het persoonlijke profiel worden gedeeld met apps in het werkprofiel.
- Geen beperkingen voor delen: hiermee kunt u delen via de grens van het werkprofiel in beide richtingen. Wanneer u deze instelling selecteert, kunnen apps in het werkprofiel gegevens delen met niet-gebadgeerde apps in het persoonlijke profiel. Met deze instelling kunnen beheerde apps in het werkprofiel worden gedeeld met apps aan de onbeheerde kant van het apparaat. Gebruik deze instelling dus zorgvuldig.
Meldingen van werkprofielen terwijl het apparaat is vergrendeld: Blokkeren voorkomt dat venstermeldingen, inclusief pop-ups, binnenkomende oproepen, uitgaande oproepen, systeemwaarschuwingen en systeemfouten worden weergegeven op vergrendelde apparaten. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem meldingen weergeven.
Standaard-app-machtigingen: hiermee stelt u het standaardmachtigingsbeleid in voor alle apps in het werkprofiel. Vanaf Android 6 wordt gebruikers gevraagd bepaalde machtigingen te verlenen die zijn vereist voor apps wanneer de app wordt gestart. Met deze beleidsinstelling kunt u bepalen of gebruikers wordt gevraagd machtigingen te verlenen voor alle apps in het werkprofiel. U wijst bijvoorbeeld een app toe aan het werkprofiel waarvoor locatietoegang is vereist. Normaal gesproken vraagt die app gebruikers om locatietoegang tot de app goed te keuren of te weigeren. Gebruik dit beleid om automatisch machtigingen te verlenen zonder een prompt, machtigingen automatisch te weigeren zonder een prompt of gebruikers te laten beslissen. Uw opties:
- Standaardwaarde apparaat
- Prompt
- Automatische toekenning
- Automatisch weigeren
U kunt ook een app-configuratiebeleid gebruiken om machtigingen te verlenen voor afzonderlijke apps (App-configuratiebeleid voorapps>).
Accounts toevoegen en verwijderen: met deze instelling kunt u voorkomen of toestaan dat accounts worden toegevoegd aan het werkprofiel, inclusief Google-accounts. Uw opties:
Alle typen accounts toestaan, met uitzondering van Google-accounts (standaard): Intune wijzigt of werkt deze instelling niet bij. Standaard is het mogelijk dat het besturingssysteem het toevoegen van accounts in het werkprofiel toestaat.
In een eerdere versie heette deze instelling Niet geconfigureerd.
Alle accounttypen toestaan: hiermee staat u alle accounts toe, inclusief Google-accounts. Deze Google-accounts worden geblokkeerd voor het installeren van apps uit de beheerde Google Play Store.
U kunt ook het volgende configureren:
lijst met toegestane Google-domeinen: hiermee beperkt u gebruikers om alleen bepaalde Google-accountdomeinen toe te voegen aan het werkprofiel. U kunt een lijst met toegestane domeinen importeren in de volgende indeling:
contoso.com microsoft.com
Of voeg de domeinen afzonderlijk toe met behulp van de
contoso.com
indeling. Als u niets opgeeft, is het standaard mogelijk dat het besturingssysteem het toevoegen van alle Google-domeinen in het werkprofiel toestaat.
Voor deze instelling is het volgende vereist:
- Google Play-app-versie 80970100 of hoger
Alle accounttypen blokkeren: hiermee voorkomt u dat gebruikers handmatig accounts in het werkprofiel kunnen toevoegen of verwijderen. Wanneer u bijvoorbeeld de Gmail-app in het werkprofiel implementeert, kunt u voorkomen dat gebruikers accounts in dit werkprofiel toevoegen of verwijderen.
Opmerking
Op apparaten in persoonlijk eigendom met een werkprofiel (BYOD) en apparaten in bedrijfseigendom met werkprofiel (COPE) kunnen Google-accounts niet worden toegevoegd aan de instellingen-app>Accounts>Work.
Contact delen via Bluetooth: Met Inschakelen kunt u apparaten in persoonlijk eigendom delen en openen met contactpersonen in een werkprofiel vanaf een ander apparaat, waaronder een auto, dat is gekoppeld via Bluetooth. Als u deze instelling inschakelt, kunnen bepaalde Bluetooth-apparaten werkcontactpersonen in de cache opslaan bij de eerste verbinding. Als u dit beleid uitschakelt na een eerste koppeling/synchronisatie, worden werkcontactpersonen mogelijk niet verwijderd van een Bluetooth-apparaat.
Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem geen werkcontactpersonen deelt.
Deze instelling is van toepassing op:
- Android 8.0 en nieuwere apparaten in persoonlijk eigendom met een werkprofiel
Schermopname: Met Blokkeren voorkomt u schermopnamen of schermopnamen op het apparaat in het werkprofiel. Het voorkomt ook dat de inhoud wordt weergegeven op beeldschermapparaten die geen beveiligde video-uitvoer hebben. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem het ophalen van schermopnamen toestaat.
Beller-id van werkcontactpersoon weergeven in persoonlijk profiel: Met Blokkeren wordt het nummer van de beller van de werkcontactpersoon niet weergegeven in het persoonlijke profiel. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard worden in het besturingssysteem mogelijk de gegevens van de beller van de werkcontactpersoon weergegeven.
Deze instelling is van toepassing op:
- Android 8.0 en nieuwere apparaten in persoonlijk eigendom met een werkprofiel
Werkcontactpersonen zoeken vanuit persoonlijk profiel: Met Blokkeren kunnen gebruikers niet zoeken naar werkcontactpersonen in apps in het persoonlijke profiel. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem het zoeken naar werkcontactpersonen in het persoonlijke profiel toestaat.
Camera: Met Blokkeren voorkomt u toegang tot de camera op het apparaat in het werkprofiel in persoonlijk eigendom. Deze instelling heeft geen invloed op de camera aan de persoonlijke kant. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem toegang tot de camera toestaat.
Widgets van apps voor werkprofielen toestaan: met Inschakelen kunnen gebruikers widgets van apps op het startscherm plaatsen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem deze functie uitschakelen.
Outlook wordt bijvoorbeeld geïnstalleerd in het werkprofiel van uw gebruikers. Wanneer deze optie is ingesteld op Inschakelen, kunnen gebruikers de agendawidget op het startscherm van het apparaat plaatsen.
Wachtwoord voor werkprofiel
Deze wachtwoordinstellingen zijn van toepassing op het wachtwoord van het werkprofiel op apparaten in persoonlijk eigendom met een werkprofiel.
Alle Android-apparaten
Wachtwoord voor werkprofiel vereisen: Vereisen dwingt een wachtwoordcodebeleid af dat alleen van toepassing is op apps in het werkprofiel. Standaard kunnen gebruikers de twee afzonderlijk gedefinieerde pincodes gebruiken. Of gebruikers kunnen de pincodes combineren tot de sterkere van de twee pincodes. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem gebruikers toestaan om werk-apps te gebruiken zonder een wachtwoord in te voeren.
Deze instelling is van toepassing op:
- Android 8.0 en nieuwere apparaten in persoonlijk eigendom met een werkprofiel
Maximum aantal minuten van inactiviteit totdat het werkprofiel wordt vergrendeld: voer de tijdsduur in die apparaten inactief moeten zijn voordat het scherm automatisch wordt vergrendeld. Gebruikers moeten hun referenties invoeren om weer toegang te krijgen. Voer bijvoorbeeld in
5
om het apparaat te vergrendelen na 5 minuten inactief te zijn. Wanneer de waarde leeg is of is ingesteld op Niet geconfigureerd, wordt deze instelling niet gewijzigd of bijgewerkt door Intune.Op apparaten kunnen gebruikers geen tijdwaarde instellen die groter is dan de geconfigureerde tijd in het profiel. Gebruikers kunnen een lagere tijdwaarde instellen. Als het profiel bijvoorbeeld is ingesteld op
15
minuten, kunnen gebruikers de waarde instellen op 5 minuten. Gebruikers kunnen de waarde niet instellen op 30 minuten.Aantal mislukte aanmeldingen voordat het apparaat wordt gewist: voer het aantal verkeerde wachtwoorden in dat is toegestaan voordat het werkprofiel op het apparaat wordt gewist, van 4 tot 11. Wanneer de waarde leeg is, gebruikt Intune de standaardwaarde voor deze instelling.
Wachtwoordverlooptijd (dagen): voer het aantal dagen in totdat gebruikerswachtwoorden moeten worden gewijzigd (van 1-365).
Voorkomen dat eerdere wachtwoorden opnieuw worden gebruikt: gebruik deze instelling om te voorkomen dat gebruikers eerder gebruikte wachtwoorden maken. Voer het aantal eerder gebruikte wachtwoorden in dat niet kan worden gebruikt, van 1 tot 24. Voer bijvoorbeeld in
5
, zodat gebruikers geen nieuw wachtwoord kunnen instellen op hun huidige wachtwoord of een van hun vorige vier wachtwoorden. Wanneer de waarde leeg is, wordt deze instelling niet gewijzigd of bijgewerkt door Intune.Ontgrendelen met gezicht: Met Blokkeren voorkomt u dat gebruikers de gezichtsherkenning van het apparaat gebruiken om het werkprofiel in persoonlijk eigendom te ontgrendelen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat gebruikers het apparaat ontgrendelen met behulp van gezichtsherkenning.
Ontgrendelen met vingerafdruk: Met Blokkeren kunnen gebruikers de vingerafdrukscanner van het apparaat niet gebruiken om het werkprofiel in persoonlijk eigendom te ontgrendelen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat gebruikers het apparaat ontgrendelen met behulp van een vingerafdruk.
Iris ontgrendelen: Met Blokkeren voorkomt u dat gebruikers de irisscanner van het apparaat gebruiken om het werkprofiel in persoonlijk eigendom te ontgrendelen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat gebruikers het apparaat ontgrendelen met behulp van de irisscanner.
Smart Lock en andere vertrouwensagenten: Blokkeren voorkomt dat Smart Lock of andere vertrouwensagenten instellingen voor het vergrendelingsscherm op compatibele apparaten aanpassen. Als apparaten zich op een vertrouwde locatie bevinden, kunt u met deze functie, ook wel een vertrouwensagent genoemd, het wachtwoord voor het vergrendelingsscherm van het apparaat uitschakelen of omzeilen. Sla bijvoorbeeld het wachtwoord van het werkprofiel over wanneer apparaten zijn verbonden met een specifiek Bluetooth-apparaat of wanneer apparaten zich in de buurt van een NFC-tag bevinden. Gebruik deze instelling om te voorkomen dat gebruikers Smart Lock configureren.
Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt.
Eén vergrendeling voor apparaat en werkprofiel: Blokkeren voorkomt dat gebruikers hetzelfde wachtwoord gebruiken voor het vergrendelingsscherm op het apparaat en het werkprofiel. Eindgebruikers moeten het apparaatwachtwoord invoeren om het apparaat te ontgrendelen en het wachtwoord van hun werkprofiel invoeren om toegang te krijgen tot hun werkprofiel.
Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem gebruikers toegang geeft tot hun werkprofiel met één wachtwoord.
Android 12 en hoger
Wachtwoordcomplexiteit: gebruik deze instelling om de vereisten voor wachtwoordcomplexiteit in te stellen. Uw opties:
- Geen: Intune wijzigt of werkt deze instelling niet bij. Standaard is voor het besturingssysteem mogelijk geen wachtwoord vereist.
- Laag: een patroon of pincode met herhalende (4444) of geordende (1234, 4321, 2468) reeksen zijn toegestaan.
- Normaal: pincode met herhalende (4444) of geordende (1234, 4321, 2468) reeksen worden geblokkeerd. De lengte, alfabetische lengte of alfanumerieke lengte moet ten minste vier tekens lang zijn.
- Hoog: pincode met herhalende (4444) of geordende (1234, 4321, 2468) reeksen worden geblokkeerd. De lengte moet ten minste acht tekens lang zijn. De alfabetische of alfanumerieke lengte moet ten minste zes tekens lang zijn.
Op apparaten in persoonlijk eigendom met een werkprofiel worden twee wachtwoorden beïnvloed door deze instelling voor wachtwoordcomplexiteit :
- Het apparaatwachtwoord waarmee het apparaat wordt ontgrendeld
- Het wachtwoord voor het werkprofiel waarmee gebruikers toegang hebben tot het werkprofiel
Als de complexiteit van het apparaatwachtwoord te laag is, wordt het wachtwoord van het apparaat automatisch gewijzigd om een hoge complexiteit te vereisen. De eindgebruikers moeten het wachtwoord van het apparaat bijwerken om te voldoen aan de complexiteitsvereisten. Vervolgens melden ze zich aan bij het werkprofiel en wordt ze gevraagd de complexiteit van het werkprofiel bij te werken die is geconfigureerd in de instelling Wachtwoordcomplexiteit in uw beleid.
Belangrijk
Voordat de instelling Wachtwoordcomplexiteit beschikbaar was, werden de instellingen Vereist wachtwoordtype en Minimale wachtwoordlengte gebruikt. Deze instellingen zijn nog steeds beschikbaar, maar worden afgeschaft door Google voor Android 12+ apparaten in persoonlijk eigendom met een werkprofiel. Ga naar Android 11 en eerder (in dit artikel) voor informatie over deze instellingen.
U moet het volgende weten:
Als de instellingen Vereist wachtwoordtype en Minimale wachtwoordlengte zijn gewijzigd van de standaardwaarden in een beleid, gaat u als volgt te werk:
Nieuw ingeschreven Android Enterprise 12+-apparaten gebruiken automatisch de instelling Wachtwoordcomplexiteit met hoge complexiteit. Dus als u geen hoge wachtwoordcomplexiteit wilt, maakt u een nieuw beleid voor Android Enterprise 12+-apparaten en configureert u de instelling Wachtwoordcomplexiteit .
Bestaande Android Enterprise 12+-apparaten blijven de instellingen Vereist wachtwoordtype en Minimale wachtwoordlengte gebruiken, en de bestaande waarden die al zijn geconfigureerd.
Als u een bestaand beleid wijzigt met de instellingen Vereist wachtwoordtype en Minimale wachtwoordlengte die al zijn geconfigureerd, gebruiken Android Enterprise 12+-apparaten automatisch de instelling Wachtwoordcomplexiteit met de hoge complexiteit.
Voor Android Enterprise 12+-apparaten wordt aanbevolen om de instelling Wachtwoordcomplexiteit te configureren.
Als de instellingen Vereist wachtwoordtype en Minimale wachtwoordlengte niet worden gewijzigd van de standaardwaarden in een beleid, wordt er geen wachtwoordbeleid automatisch toegepast op nieuw ingeschreven Android Enterprise 12+-apparaten.
Android 11 en eerder
Belangrijk
- Google beëindigt deze instellingen voor Vereist wachtwoordtype en Minimale wachtwoordlengte voor Android 12+ apparaten in persoonlijk eigendom met een werkprofiel en vervangt deze door nieuwe vereisten voor wachtwoordcomplexiteit. Ga voor meer informatie over deze wijziging naar Ondersteuning van dag nul voor Android 13.
- Gebruik op Android Enterprise 12+-apparaten de instelling Wachtwoordcomplexiteit .
Vereist wachtwoordtype: voer het vereiste wachtwoordcomplexiteitsniveau in en geef aan of biometrische apparaten kunnen worden gebruikt. Uw opties:
- Standaardwaarde van apparaat (standaard): Intune wijzigt of werkt deze instelling niet bij. Standaard is voor het besturingssysteem mogelijk geen wachtwoord vereist.
- Biometrie met lage beveiliging: sterke versus zwakke biometrie (hiermee wordt de website van Android geopend)
- Vereist
-
Ten minste numeriek: bevat numerieke tekens, zoals
123456789
. -
Numeriek complex: herhaalde of opeenvolgende getallen, zoals
1111
of1234
, zijn niet toegestaan. - Ten minste alfabetisch: bevat letters in het alfabet. Getallen en symbolen zijn niet vereist.
- Ten minste alfanumeriek: bevat hoofdletters, kleine letters en numerieke tekens.
- Ten minste alfanumeriek met symbolen: bevat hoofdletters, kleine letters, numerieke tekens, leestekens en symbolen.
Minimale wachtwoordlengte: voer de minimale lengte van het wachtwoord in, tussen 4 (standaard) en 16 tekens.
Wachtwoord
Deze wachtwoordinstellingen zijn van toepassing op het apparaatwachtwoord op apparaten in persoonlijk eigendom met een werkprofiel.
Alle Android-apparaten
Maximum aantal minuten van inactiviteit totdat het scherm wordt vergrendeld: voer de tijdsduur in die apparaten inactief moeten zijn voordat het scherm automatisch wordt vergrendeld. Gebruikers moeten hun referenties invoeren om weer toegang te krijgen. Voer bijvoorbeeld in
5
om het apparaat te vergrendelen na 5 minuten inactief te zijn. Wanneer de waarde leeg is of is ingesteld op Niet geconfigureerd, wordt deze instelling niet gewijzigd of bijgewerkt door Intune.Op apparaten kunnen gebruikers geen tijdwaarde instellen die groter is dan de geconfigureerde tijd in het profiel. Gebruikers kunnen een lagere tijdwaarde instellen. Als het profiel bijvoorbeeld is ingesteld op
15
minuten, kunnen gebruikers de waarde instellen op 5 minuten. Gebruikers kunnen de waarde niet instellen op 30 minuten.Aantal mislukte aanmeldingen voordat het apparaat wordt gewist: voer het aantal verkeerde wachtwoorden in dat is toegestaan voordat het werkprofiel in persoonlijk eigendom in het apparaat wordt gewist, van 4 tot 11.
0
(nul) kan de functionaliteit voor het wissen van het apparaat uitschakelen. Wanneer de waarde leeg is, wordt deze instelling niet gewijzigd of bijgewerkt door Intune.Wachtwoordverlooptijd (dagen): voer het aantal dagen in, totdat het wachtwoord van het apparaat moet worden gewijzigd, van 1 tot 365. Voer bijvoorbeeld in
90
om het wachtwoord na 90 dagen te laten verlopen. Wanneer het wachtwoord verloopt, wordt gebruikers gevraagd een nieuw wachtwoord te maken. Wanneer de waarde leeg is, wordt deze instelling niet gewijzigd of bijgewerkt door Intune.Voorkomen dat eerdere wachtwoorden opnieuw worden gebruikt: gebruik deze instelling om te voorkomen dat gebruikers eerder gebruikte wachtwoorden maken. Voer het aantal eerder gebruikte wachtwoorden in dat niet kan worden gebruikt, van 1 tot 24. Voer bijvoorbeeld in
5
, zodat gebruikers geen nieuw wachtwoord kunnen instellen op hun huidige wachtwoord of een van hun vorige vier wachtwoorden. Wanneer de waarde leeg is, wordt deze instelling niet gewijzigd of bijgewerkt door Intune.Ontgrendelen met vingerafdruk: Met Blokkeren voorkomt u dat gebruikers de vingerafdrukscanner van het apparaat gebruiken om het apparaat te ontgrendelen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat gebruikers het apparaat ontgrendelen met behulp van een vingerafdruk.
Ontgrendelen met gezicht: Met Blokkeren kunnen gebruikers de gezichtsherkenning van het apparaat niet gebruiken om het apparaat te ontgrendelen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat gebruikers het apparaat ontgrendelen met behulp van gezichtsherkenning.
Iris ontgrendelen: Met Blokkeren voorkomt u dat gebruikers de irisscanner van het apparaat gebruiken om het apparaat te ontgrendelen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem toestaan dat gebruikers het apparaat ontgrendelen met behulp van de irisscanner.
Smart Lock en andere vertrouwensagenten: Blokkeren voorkomt dat Smart Lock of andere vertrouwensagenten instellingen voor het vergrendelingsscherm op compatibele apparaten aanpassen. Als apparaten zich op een vertrouwde locatie bevinden, kunt u met deze functie, ook wel een vertrouwensagent genoemd, het wachtwoord voor het vergrendelingsscherm van het apparaat uitschakelen of omzeilen. Sla bijvoorbeeld het wachtwoord voor het werkprofiel in persoonlijk eigendom over wanneer apparaten zijn verbonden met een specifiek Bluetooth-apparaat of wanneer apparaten zich in de buurt van een NFC-tag bevinden. Gebruik deze instelling om te voorkomen dat gebruikers Smart Lock configureren.
Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt.
Android 12 en hoger
Wachtwoordcomplexiteit: gebruik deze instelling om de vereisten voor wachtwoordcomplexiteit in te stellen. Uw opties:
- Geen: Intune wijzigt of werkt deze instelling niet bij. Standaard is voor het besturingssysteem mogelijk geen wachtwoord vereist.
- Laag: een patroon of pincode met herhalende (4444) of geordende (1234, 4321, 2468) reeksen zijn toegestaan.
- Normaal: pincode met herhalende (4444) of geordende (1234, 4321, 2468) reeksen worden geblokkeerd. De lengte, alfabetische lengte of alfanumerieke lengte moet ten minste vier tekens lang zijn.
- Hoog: pincode met herhalende (4444) of geordende (1234, 4321, 2468) reeksen worden geblokkeerd. De lengte moet ten minste acht tekens lang zijn. De alfabetische of alfanumerieke lengte moet ten minste zes tekens lang zijn.
Op apparaten in persoonlijk eigendom met een werkprofiel worden twee wachtwoorden beïnvloed door deze instelling voor wachtwoordcomplexiteit :
- Het apparaatwachtwoord waarmee het apparaat wordt ontgrendeld
- Het wachtwoord voor het werkprofiel waarmee gebruikers toegang hebben tot het werkprofiel
Als de complexiteit van het apparaatwachtwoord te laag is, wordt het wachtwoord van het apparaat automatisch gewijzigd om een hoge complexiteit te vereisen. De eindgebruikers moeten het wachtwoord van het apparaat bijwerken om te voldoen aan de complexiteitsvereisten. Vervolgens melden ze zich aan bij het werkprofiel en wordt ze gevraagd de complexiteit van het werkprofiel bij te werken die is geconfigureerd in de instelling Wachtwoordcomplexiteit in uw beleid.
Belangrijk
Voordat de instelling Wachtwoordcomplexiteit beschikbaar was, werden de instellingen Vereist wachtwoordtype en Minimale wachtwoordlengte gebruikt. Deze instellingen zijn nog steeds beschikbaar, maar worden afgeschaft door Google voor Android 12+ apparaten in persoonlijk eigendom met een werkprofiel. Ga naar Android 11 en eerder (in dit artikel) voor meer informatie over deze instellingen.
U moet het volgende weten:
Als de instellingen Vereist wachtwoordtype en Minimale wachtwoordlengte zijn gewijzigd van de standaardwaarden in een beleid, gaat u als volgt te werk:
Nieuw ingeschreven Android Enterprise 12+-apparaten gebruiken automatisch de instelling Wachtwoordcomplexiteit met hoge complexiteit. Dus als u geen hoge wachtwoordcomplexiteit wilt, maakt u een nieuw beleid voor Android Enterprise 12+-apparaten en configureert u de instelling Wachtwoordcomplexiteit .
Bestaande Android Enterprise 12+-apparaten blijven de instellingen Vereist wachtwoordtype en Minimale wachtwoordlengte gebruiken, en de bestaande waarden die al zijn geconfigureerd.
Als u een bestaand beleid wijzigt met de instellingen Vereist wachtwoordtype en Minimale wachtwoordlengte die al zijn geconfigureerd, gebruiken Android Enterprise 12+-apparaten automatisch de instelling Wachtwoordcomplexiteit met de hoge complexiteit.
Voor Android Enterprise 12+-apparaten wordt aanbevolen om de instelling Wachtwoordcomplexiteit te configureren.
Als de instellingen Vereist wachtwoordtype en Minimale wachtwoordlengte niet worden gewijzigd van de standaardwaarden in een beleid, wordt er geen wachtwoordbeleid automatisch toegepast op nieuw ingeschreven Android Enterprise 12+-apparaten.
Android 11 en eerder
Belangrijk
- Google beëindigt deze instellingen voor Vereist wachtwoordtype en Minimale wachtwoordlengte voor Android 12+ apparaten in persoonlijk eigendom met een werkprofiel en vervangt deze door nieuwe vereisten voor wachtwoordcomplexiteit. Ga voor meer informatie over deze wijziging naar Ondersteuning van dag nul voor Android 13.
- Gebruik op Android Enterprise 12+-apparaten de instelling Wachtwoordcomplexiteit .
Vereist wachtwoordtype: voer het vereiste wachtwoordcomplexiteitsniveau in en geef aan of biometrische apparaten kunnen worden gebruikt. Uw opties:
- Standaardwaarde van apparaat (standaard): Intune wijzigt of werkt deze instelling niet bij. Standaard is voor het besturingssysteem mogelijk geen wachtwoord vereist.
- Biometrie met lage beveiliging: sterke versus zwakke biometrie (hiermee wordt de website van Android geopend)
- Vereist
-
Ten minste numeriek: bevat numerieke tekens, zoals
123456789
. -
Numeriek complex: herhaalde of opeenvolgende getallen, zoals
1111
of1234
, zijn niet toegestaan. - Ten minste alfabetisch: bevat letters in het alfabet. Getallen en symbolen zijn niet vereist.
- Ten minste alfanumeriek: bevat hoofdletters, kleine letters en numerieke tekens.
- Ten minste alfanumeriek met symbolen: bevat hoofdletters, kleine letters, numerieke tekens, leestekens en symbolen.
Minimale wachtwoordlengte: voer de minimale lengte van het wachtwoord in, tussen 4 (standaard) en 16 tekens.
Systeembeveiliging
Bedreigingsscan voor apps: Vereisen dwingt af dat de instelling Apps verifiëren is ingeschakeld voor werk- en persoonlijke profielen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt.
Deze instelling is van toepassing op:
- Android 8 (Oreo) en nieuwere apparaten in persoonlijk eigendom met een werkprofiel
Installatie van apps van onbekende bronnen in het persoonlijke profiel voorkomen: Android Enterprise-apparaten in persoonlijk eigendom met een werkprofiel kunnen standaard geen apps installeren uit andere bronnen dan de Play Store. Met deze instelling hebben beheerders meer controle over app-installaties van onbekende bronnen. Blokkeren voorkomt dat app-installaties van andere bronnen dan de Google Play Store in het persoonlijke profiel worden geïnstalleerd. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem app-installaties van onbekende bronnen in het persoonlijke profiel toestaat. Apparaten in persoonlijk eigendom met een werkprofiel zijn van nature bedoeld als twee profielen:
- Een apparaat in persoonlijk eigendom met een werkprofiel dat wordt beheerd met MDM.
- Een persoonlijk profiel dat is geïsoleerd van MDM-beheer.
Connectiviteit
Always-on VPN: Met Inschakelen stelt u een VPN-client in om automatisch verbinding te maken en opnieuw verbinding te maken met het VPN. Altijd ingeschakelde VPN-verbindingen blijven verbonden. Of maak direct verbinding wanneer gebruikers hun apparaat vergrendelen, het apparaat opnieuw wordt opgestart of het draadloze netwerk wordt gewijzigd.
Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard kan het besturingssysteem altijd ingeschakelde VPN uitschakelen voor alle VPN-clients.
Belangrijk
Zorg ervoor dat u slechts één AlwaysOn VPN-beleid implementeert op één apparaat. Het implementeren van meerdere Always VPN-beleidsregels op één apparaat wordt niet ondersteund.
VPN-client: kies een VPN-client die AlwaysOn ondersteunt. Uw opties:
- Cisco AnyConnect
- F5-toegang
- Palo Alto Networks GlobalProtect
- Pulse Secure
- Aangepast
-
Pakket-id: voer de pakket-id van de app in de Google Play Store in. Als de URL voor de app in de Play Store bijvoorbeeld is, is
https://play.google.com/store/details?id=com.contosovpn.android.prod
com.contosovpn.android.prod
de pakket-id .
-
Pakket-id: voer de pakket-id van de app in de Google Play Store in. Als de URL voor de app in de Play Store bijvoorbeeld is, is
Belangrijk
- De VPN-client die u kiest, moet op het apparaat zijn geïnstalleerd. Het moet ook VPN per app ondersteunen op apparaten in persoonlijk eigendom met een werkprofiel. Anders treedt er een fout op.
- U moet de VPN-client-app goedkeuren in de beheerde Google Play Store, de app synchroniseren met Intune en de app implementeren op het apparaat. Nadat u dit hebt uitgevoerd, wordt de app geïnstalleerd op de persoonlijke apparaten van de gebruiker met een werkprofiel.
- Er zijn mogelijk bekende problemen bij het gebruik van VPN per app met F5 Access voor Android 3.0.4. Zie releaseopmerkingen van F5 voor F5 Access voor Android 3.0.4 voor meer informatie.
Vergrendelingsmodus: Inschakelen dwingt al het netwerkverkeer om de VPN-tunnel te gebruiken. Als er geen verbinding met het VPN tot stand is gebracht, heeft het apparaat geen netwerktoegang.
Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem verkeer via de VPN-tunnel of via het mobiele netwerk toestaat.
Volgende stappen
Wijs het profiel toe en controleer de status ervan.
Configureer en los problemen op met Android Enterprise-apparaten in Microsoft Intune.