Delen via

Informatie over app-gegevensbeveiliging

  • Artikel

De instellingen voor gegevensbescherming in Intune bepalen hoe gebruikers communiceren met organisatiegegevens en context in door beleid beheerde apps. Als beheerder kunt u de verplaatsing van gegevens naar en uit de context van de organisatiebeveiliging beheren. De organisatiecontext wordt gedefinieerd door documenten, services en sites die worden geopend door het opgegeven organisatieaccount (Microsoft Entra ID) dat eigendom is van de eindgebruiker. De instellingen voor app-beveiligingsbeleid helpen bij het beheren van externe gegevens die zijn ontvangen in de organisatiecontext en organisatiegegevens die worden verzonden uit de organisatiecontext.

Opmerking

De term door beleid beheerde apps verwijst naar apps die zijn geconfigureerd met app-beveiligingsbeleid.

Gegevensbeveiliging is beschikbaar voor door beleid beheerde apps die ondersteuning bieden voor de platforms iOS/iPadOS, Android en Windows . Elk platform biedt een andere set instellingen met betrekking tot gegevensbeveiliging.

De instellingen voor gegevensbescherming in app-beveiligingsbeleid bieden de volgende categorieën voor elk platform:

Gegevensbescherming Categorieën
iOS/iPadOS Gegevensoverdracht, versleuteling, functionaliteit
Android Gegevensoverdracht, versleuteling, functionaliteit
Windows Gegevensoverdracht, functionaliteit

Gegevensoverdracht

Gegevensoverdracht voor iOS-/iPadOS-app-beveiligingsbeleid

De sectie Gegevensoverdracht van de instellingen voor gegevensbescherming voor een specifiek app-beveiligingsbeleid voor iOS/iPadOS bevat instellingen die specifiek zijn voor het iOS-/iPadOS-platform. Deze instellingen bepalen hoe eindgebruikers communiceren met organisatiegegevens in de iOS-/iPadOS-apps op een apparaat. U selecteert instellingen om back-ups van iTunes en iCloud toe te staan of te blokkeren, te bepalen hoe apps organisatiegegevens kunnen verzenden en ontvangen, door eindgebruikers geïnitieerde gegevensverplaatsing tussen apps te beperken en toetsenborden van derden te voorkomen.

Gebruikersinterface voor gegevensoverdracht voor iOS/iPadOS.

Beveiligingsbeleid voor gegevensoverdracht voor Android-apps

De sectie Gegevensoverdracht van de instellingen voor gegevensbescherming voor een android-specifiek app-beveiligingsbeleid bevat instellingen die ook specifiek zijn voor het Android-platform. Naast de veelgebruikte instellingen voor app-beveiliging biedt Android-app-beveiliging aanvullende instellingen, zoals schermopname en Google Assistant toestaan.

Gebruikersinterface voor gegevensoverdracht voor Android.

Gegevensoverdracht voor windows-app-beveiligingsbeleid

De sectie Gegevensoverdracht van de instellingen voor gegevensbescherming voor een windows-specifiek app-beveiligingsbeleid bevat instellingen die specifiek zijn voor het Windows-platform. Deze DLP-instellingen bieden drie hoofdopties voor Android-apps. Deze instellingen hebben betrekking op hoe gegevens worden ontvangen, verzonden en verplaatst tussen apps.

Gebruikersinterface voor gegevensoverdracht voor Windows.

Versleuteling

Versleuteling is beschikbaar voor iOS/iPadOS en Android als onderdeel van een app-beveiligingsbeleid. De sectie Versleuteling onder de sectie Gegevensoverdracht maakt ook deel uit van de instellingen voor gegevensbescherming .

Belangrijk

U moet Vereisen kiezen om versleuteling van werk- of schoolgegevens in een app in te schakelen.

Versleuteling voor beveiligingsbeleid voor iOS-/iPadOS-apps

Intune dwingt iOS-/iPadOS-apparaatversleuteling af om app-gegevens te beveiligen terwijl het apparaat is vergrendeld. Toepassingen kunnen optioneel app-gegevens versleutelen met intune APP SDK-versleuteling. Intune APP SDK maakt gebruik van iOS-/iPadOS-cryptografiemethoden om 256-bits AES-versleuteling toe te passen op app-gegevens.

Wanneer u deze instelling inschakelt, moet de gebruiker mogelijk een pincode instellen en gebruiken om toegang te krijgen tot het apparaat. Als er geen pincode voor het apparaat is en versleuteling is vereist, wordt de gebruiker gevraagd een pincode in te stellen met het bericht 'Uw organisatie heeft vereist dat u eerst een apparaatpincode inschakelen om toegang te krijgen tot deze app'.

Opmerking

Ga naar de officiële Apple-documentatie om te zien welke iOS-versleutelingsmodules compatibel zijn met FIPS 140-2 of fips 140-2-naleving in behandeling zijn.

Versleutelingsinterface voor iOS/iPadOS.

Versleuteling voor android-app-beveiligingsbeleid

Intune gebruikt een wolfSSL, 256-bits AES-versleutelingsschema samen met het Android Keystore-systeem om app-gegevens veilig te versleutelen. Gegevens worden synchroon versleuteld tijdens I/O-taken van bestanden. Inhoud op de apparaatopslag wordt altijd versleuteld. Nieuwe bestanden worden versleuteld met 256-bits sleutels. Bestaande 128-bits versleutelde bestanden ondergaan een migratiepoging naar 256-bits sleutels, maar het proces is niet gegarandeerd. Bestanden die zijn versleuteld met 128-bits sleutels blijven leesbaar.

Opmerking

De versleutelingsmethode voldoet aan FIPS 140-2.

Versleutelingsinterface voor Android.

Functionaliteit

De sectie Functionaliteit is de laatste sectie in de instellingen voor gegevensbescherming van een app-beveiligingsbeleid. In deze sectie vindt u aanvullende instellingen voor gegevensbeveiliging.

Tip

Apps bieden mogelijk aanvullende configuratiemogelijkheden met app-configuratiebeleid. Zie de documentatie van de app-ontwikkelaar voor meer informatie.

Functionaliteit voor beveiligingsbeleid voor iOS-/iPadOS- en Android-apps

Voor beveiligingsbeleid voor iOS-/iPadOS- en Android-apps kunt u ervoor kiezen om te voorkomen dat door beleid beheerde apps gegevens opslaan in de systeemeigen apps van het apparaat (zoals contactpersonen, agenda en widgets), of om het gebruik van invoegtoepassingen in de door beleid beheerde apps te voorkomen. Als u Toestaan kiest, kan de door beleid beheerde app gegevens opslaan in de systeemeigen apps of invoegtoepassingen gebruiken, als deze functies worden ondersteund en ingeschakeld in de door beleid beheerde app.

Daarnaast kunt u het afdrukken van organisatiegegevens toestaan of blokkeren, de overdracht van webinhoud met andere apps beperken en bepalen hoe organisatiegegevensmeldingen worden verwerkt. Wanneer u de overdracht van webinhoud beperkt, kunt u overwegen om webinhoud alleen in Microsoft Edge te openen.

Opmerking

Android en iOS/iPadOS bieden visueel verschillende opties bij het beperken van de overdracht van webinhoud met behulp van app-beveiligingsbeleid. Voor iOS/iPadOS kunt u een specifiek protocol invoeren voor één onbeheerde browser. Voor Android kunt u een onbeheerde browser-id of een onbeheerde browsernaam invoeren.

U ziet dat iOS/iPadOS een enigszins andere functionaliteit voor app-beveiliging biedt:

Functionaliteitsinterface voor iOS/iPadOS.

Android biedt vergelijkbare functionaliteit als iOS-/iPadOS-functionaliteit:

Functionaliteitsinterface voor Android.

Daarnaast kunt u met Android een verbinding met Microsoft Tunnel VPN selecteren wanneer de app wordt gestart die is opgegeven door uw app-beveiligingsbeleid.

Functionaliteit voor beveiligingsbeleid voor Windows-apps

Voor beveiligingsbeleid voor Windows-apps kunt u het afdrukken van organisatiegegevens toestaan of blokkeren.

Functionaliteitsinterface voor Windows.

Belangrijk

Beveiligingsbeleid voor Windows-apps staat alleen Microsoft Edge toe als de beheerde app die is opgegeven in het beleid.