App-configuratiebeleid voor Microsoft Intune

  • Artikel
  • 9 minuten om te lezen

Door App-configuratiebeleid kunnen problemen met app-instellingen worden voorkomen doordat u configuratie-instellingen kunt toewijzen aan beleid dat aan eindgebruikers wordt toegewezen voordat ze de app uitvoeren. De instellingen worden vervolgens automatisch verstrekt wanneer de app wordt geconfigureerd op het apparaat van eindgebruikers. Eindgebruikers hoeven zelf geen actie te ondernemen. De configuratie-instellingen zijn uniek voor elke app.

U kunt app-configuratiebeleid maken en gebruiken om configuratie-instellingen te verstrekken voor zowel iOS-/iPadOS- als Android-apps. Met deze configuratie-instellingen kan een app worden aangepast met behulp van app-configuratie en -beheer. De configuratiebeleidsinstellingen worden gebruikt wanneer deze instellingen in de app worden gecontroleerd, doorgaans als de app voor het eerst wordt uitgevoerd.

Het is bijvoorbeeld mogelijk dat u een van de volgende details moet opgeven voor een app-configuratie-instelling:

  • Een aangepast poortnummer
  • Taalinstellingen
  • Beveiligingsinstellingen
  • Huisstijlinstellingen, zoals een bedrijfslogo

Als deze instellingen in plaats daarvan door eindgebruikers zouden kunnen worden ingevoerd, zouden ze daarbij fouten kunnen maken. Met App-configuratiebeleid kan de consistentie in een onderneming toenemen en het aantal telefoontjes naar de helpdesk worden beperkt van eindgebruikers die proberen de instellingen zelf te configureren. Door gebruik te maken van app-configuratiebeleid kunnen apps eenvoudiger en sneller worden geaccepteerd.

De beschikbare configuratieparameters en de implementatie van de configuratieparameters worden bepaald door de ontwikkelaars van de toepassing. Documentatie van de leverancier van de toepassing moet worden gecontroleerd om te zien welke configuraties beschikbaar zijn en hoe de configuraties het gedrag van de toepassing beïnvloeden. Voor sommige toepassingen worden de beschikbare configuratie-instellingen door Intune bepaald.

Notitie

In de beheerde Google Play Store worden apps die configuratie ondersteunen als zodanig gemarkeerd:

Schermopname van een geconfigureerde app

U krijgt alleen apps van de Beheerde Google Play Store te zien, niet van de Google Play Store, wanneer u Beheerde apparaten gebruikt als het registratietype voor Android-apparaten. Apps van de Beheerde Google Play Store, ook bekend als Android for work (AfW) en Android Enterprise, zijn de apps in het werkprofiel die de app-versies bevatten die app-configuratie ondersteunen.

U kunt app-configuratiebeleid toewijzen aan een groep eindgebruikers en apparaten door een combinatie van toewijzingen voor opnemen en uitsluiten te gebruiken. Zodra u een appconfiguratiebeleid hebt toegevoegd, kunt u de toewijzingen voor het appconfiguratiebeleid instellen. Wanner u de toewijzingen voor het beleid instelt, kunt u ervoor kiezen de groepen eindgebruikers op wie het beleid van toepassing is op te nemen of uit te sluiten. Als u ervoor kiest een of meer groepen op te nemen, kunt u specifieke groepen selecteren waarvoor u ingebouwde groepen wilt opnemen of selecteren. Ingebouwde groepen zijn Alle gebruikers, Alle apparaten en Alle gebruikers + alle apparaten.

U hebt twee opties voor het gebruik van app-configuratiebeleid met Intune:

  • Beheerde apparaten: het apparaat wordt beheerd door Intune als MDM-provider (Mobile Device Management). De app moet zodanig zijn ontworpen dat deze ondersteuning biedt voor app-configuratie.

  • Beheerde apps: een app die is ontwikkeld om de Intune App SDK te integreren. Dit is bekend als Mobile Application Management zonder registratie (MAM-WE). U kunt ook een app inpakken om de Intune App SDK te implementeren en te ondersteunen. Zie Line-Of-Business-apps voor app-beveiligingsbeleid voorbereiden voor meer informatie over het inpakken van apps.

    Notitie

    In door Intune beheerde apps wordt de status van App-configuratiebeleid van Intune gecontroleerd volgens een interval van 30 minuten wanneer deze zijn geïmplementeerd in combinatie met App-beveiliging van Intune. Als App-beveiliging van Intune niet aan de gebruiker is toegewezen, wordt de interval voor het controleren van App-configuratiebeleid van Intune ingesteld op 720 minuten.

Apps die app-configuratie ondersteunen

Beheerde apparaten

U kunt app-configuratiebeleid gebruiken voor apps die hiervoor ondersteuning bieden. Apps bieden alleen ondersteuning voor app-configuratie van Intune als deze zodanig zijn geschreven dat ze app-configuraties ondersteunen, zoals is gedefinieerd door het besturingssysteem. Neem contact op met de leverancier van de app voor meer informatie over welke app-configuratiesleutels worden ondersteund.

Managed apps

U kunt uw Line-Of-Business-apps voorbereiden door de Intune App SDK in de app te integreren of door de app nadat deze is ontwikkeld in te pakken met behulp van de Intune App Wrapping Tool. In de Intune App SDK wordt ernaar gestreefd om het aantal door de app-ontwikkelaar vereiste codewijzigingen zo laag mogelijk te houden. Zie het overzicht van de Intune App SDK voor meer informatie. Zie Line-Of-Business-apps voorbereiden voor app-beveiligingsbeleid voor een vergelijking tussen de Intune App SDK en de Intune App Wrapping tool.

Als u Beheerde apps selecteert als het Type apparaatregistratie, verwijst dat gewoonlijk naar apps die zijn geconfigureerd via Intune-configuratiebeleid op een apparaat dat niet is geregistreerd bij Apparaatbeheer, terwijl Beheerde apparaten van toepassing zijn op apps die zijn geïmplementeerd via het MDM-kanaal en dus door Intune worden beheerd. Selecteer de gewenste keuze op basis van deze beschrijvingen.

Type apparaatregistratie

Notitie

Voor apps met meerdere identiteiten, zoals Microsoft Outlook, kunnen gebruikersvoorkeuren worden overwogen. Zo worden voor het Postvak IN met prioriteit de gebruikersinstellingen gerespecteerd en wordt de configuratie ervan niet gewijzigd. Met andere parameters kunt u bepalen of een gebruiker de instelling wel of niet kan wijzigen. Zie Configuratie-instellingen voor de Outlook-app voor iOS/iPadOS en Android implementeren voor meer informatie.

Configuratiebeleidsregels voor Android-apps

Voor Android-app-configuratiebeleid kunt u het type apparaatinschrijving selecteren voordat er een app-configuratieprofiel wordt gemaakt. U bent op de hoogte van de certificaatprofielen die worden gebaseerd op het type inschrijving.

Inschrijvingstype kan een van de volgende waarden zijn:

  • Alle profieltypen: Als er een nieuw profiel wordt gemaakt en Alle profieltypen wordt geselecteerd als inschrijvingstype voor het apparaat, kunt u geen certificaatprofiel aan het app-configuratiebeleid koppelen. Deze optie biedt ondersteuning voor verificatie op basis van gebruikersnaam en wachtwoord. Gebruik deze optie niet als u verificatie op basis van certificaten gebruikt.
  • Alleen volledig beheerde en toegewezen werkprofielen in bedrijfseigendom: Als er een nieuw profiel wordt gemaakt en Alleen volledig beheerd en toegewezen werkprofiel in bedrijfseigendom wordt geselecteerd, kan het certificaatbeleid voor Volledig beheerd en toegewezen werkprofiel in bedrijfseigendom worden gebruikt dat is gemaakt onder Apparaat > Configuratieprofielen. Deze optie biedt ondersteuning voor verificatie op basis van certificaten en verificatie op basis van gebruikersnaam en wachtwoord. Volledig beheerd is van toepassing op volledig beheerde Android Enterprise-apparaten (COBO). Toegewezen is van toepassing op Android Enterprise-apparaten (COSU). Het werkprofiel in bedrijfseigendom is van toepassing op Android Enterprise-werkprofiel in bedrijfseigendom (COPE).
  • Uitsluitend werkprofiel in persoonlijk eigendom: Als er een nieuw profiel wordt gemaakt en Alleen werkprofiel in persoonlijk eigendom is geselecteerd, kan Werkprofiel-certificaatbeleid dat is gemaakt onder Apparaat > Configuratieprofielen worden gebruikt. Deze optie biedt ondersteuning voor verificatie op basis van certificaten en verificatie op basis van gebruikersnaam en wachtwoord.

Notitie

Als u een Gmail- of Nine-configuratieprofiel implementeert op een toegewezen Android Enterprise-apparaatwerkprofiel dat geen gebruiker heeft, mislukt dit omdat de gebruiker niet kan worden omgezet met Intune.

Belangrijk

Bestaand beleid dat is gemaakt voorafgaand aan de release van deze functie (release april 2020 - 2004) en waarvoor geen certificaatprofielen zijn gekoppeld aan het beleid, wordt het type apparaatinschrijving standaard ingesteld op Alle profieltypen. Bestaand beleid dat is gemaakt voorafgaand aan de release van deze functie en waaraan certificaatprofielen zijn gekoppeld, wordt bovendien standaard ingesteld op uitsluitend Werkprofiel.

Met bestaand beleid worden geen nieuwe certificaten hersteld of uitgegeven.

Het toegepaste app-configuratiebeleid valideren

U kunt op de volgende drie manieren het app-configuratiebeleid valideren:

  1. Controleer of het app-configuratiebeleid zichtbaar is op het apparaat. Controleer of de doel-app het gedrag vertoont dat is toegepast in het app-configuratiebeleid.

  2. Controleer via diagnostische logboeken (zie de sectie Diagnostische logboeken hieronder).

  3. Controleer in het Microsoft Endpoint Manager-beheercentrum. Selecteer in het Microsoft Endpoint Manager-beheercentrum de opties Apps > Alle apps > selecteer de verwante app*. Selecteer vervolgens in de sectie Monitor de optie Apparaatinstallatiestatus of Gebruikersinstallatiestatus:

    Eerste schermopname van de installatiestatus van het apparaat

    Tweede schermopname van de installatiestatus van het apparaat

    Selecteer daarnaast in het Beheercentrum voor Microsoft Endpoint Manager Apparaten > Alle apparaten > selecteer een apparaat > App-configuratie. In het deelvenster App-configuratie** worden alle toegewezen beleidsregels en hun status weergegeven:

    Schermopname van de app-configuratie

Diagnostische logboeken

iOS/iPadOS-configuratie op niet-beheerde apparaten

U kunt de iOS-/iPadOS-configuratie valideren met het diagnostische logboek van Intune op niet-beheerde apparaten voor de configuratie van beheerde apps. Behalve met de onderstaande stappen, kunt u ook toegang krijgen tot de logboeken van beheerde apps met behulp van Microsoft Edge. Zie Microsoft Edge voor iOS en Android gebruiken voor toegang tot logboeken voor beheerde apps voor meer informatie.

  1. Download en installeer Microsoft Edge vanuit de App Store als het nog niet is geïnstalleerd op het apparaat. Zie Met Microsoft Intune beveiligde apps voor meer informatie.

  2. Start Microsoft Edge en selecteer Info > Help bij Intune in de navigatiebalk.

  3. Klik op Aan de slag.

  4. Klik op Logboeken delen.

  5. Gebruik de e-mail-app van uw keuze om de logboeken naar uzelf te verzenden zodat deze op uw pc kunnen worden weergegeven.

  6. Open IntuneMAMDiagnostics.txt in uw tekstbestandsviewer.

  7. Zoek naar ApplicationConfiguration. De resultaten zien er ongeveer als volgt uit:

        {
        (
            {
                Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                Value = "https://www.aol.com";
            },
            {
                Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
            }
        );
    },
    {
        ApplicationConfiguration =             
        (
            {
            Name = IntuneMAMUPN;
            Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
            },
            {
            Name = "com.microsoft.outlook.Mail.NotificationsEnabled";
            Value = false;
            }
        );
    }

De configuratiedetails van uw toepassing moeten voldoen aan het toepassingsconfiguratiebeleid dat voor uw tenant is geconfigureerd.

Configuratie van doel-app

iOS/iPadOS-configuratie op beheerde apparaten

U kunt de iOS-/iPadOS-configuratie valideren met het diagnostische logboek van Intune op beheerde apparaten voor de configuratie van beheerde apps.

  1. Download en installeer Microsoft Edge vanuit de App Store als het nog niet is geïnstalleerd op het apparaat. Zie Met Microsoft Intune beveiligde apps voor meer informatie.
  2. Start Microsoft Edge en selecteer Info > Help bij Intune in de navigatiebalk.
  3. Klik op Aan de slag.
  4. Klik op Logboeken delen.
  5. Gebruik de e-mail-app van uw keuze om de logboeken naar uzelf te verzenden zodat deze op uw pc kunnen worden weergegeven.
  6. Open IntuneMAMDiagnostics.txt in uw tekstbestandsviewer.
  7. Zoek naar AppConfig. Uw resultaten moeten voldoen aan het toepassingsconfiguratiebeleid dat voor uw tenant is geconfigureerd.

Android-configuratie op beheerde apparaten

U kunt de Android-configuratie valideren met het diagnostische logboek van Intune op beheerde apparaten voor de configuratie van beheerde apps.

Als u logboeken van een Android-apparaat wilt verzamelen, moet u of de eindgebruiker de logboeken van het apparaat downloaden via een USB-verbinding (of het equivalent van File Explorer op het apparaat). Dit zijn de stappen:

  1. Sluit het Android-apparaat met de USB-kabel aan op de computer.

  2. Zoek op de computer naar een map met de naam van uw apparaat. Zoek in die map naar Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal.

  3. Open de map Files in de map com.microsoft.windowsintune.companyportal en open OMADMLog_0.

  4. Zoek naar AppConfigHelper om berichten te vinden die gerelateerd zijn aan de app-configuratie. De resultaten moeten er ongeveer uitzien als het volgende gegevensblok:

    2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

Graph API-ondersteuning voor app-configuratie

U kunt Graph API gebruiken om app-configuratietaken uit te voeren. Zie het Engelstalige Graph API Reference MAM Targeted Config voor meer informatie. Zie Working with Intune in Microsoft Graph (Werken met intune in Microsoft Graph) voor meer informatie over Intune en Graph.

Probleemoplossing

Logboeken gebruiken om een configuratieparameter weer te geven

Wanneer in de logboeken een configuratieparameter wordt weergegeven die van toepassing is maar niet lijkt te werken, is er mogelijk een probleem met de configuratie-implementatie van de app-ontwikkelaar. Als u eerst contact opneemt met de app-ontwikkelaar of de kennisdatabase van de app-ontwikkelaar raadpleegt, kunt u zich mogelijk een ondersteuningsgesprek met Microsoft besparen. Als het een probleem betreft met de manier waarop de configuratie wordt verwerkt in een app, moet dit probleem worden opgelost in een toekomstige bijgewerkte versie van die app.

Volgende stappen

Beheerde apparaten

Managed apps