iOS- en iPadOS-apparaatinstellingen voor het gebruik van algemene iOS-/iPadOS-functies in Intune

  • Artikel

Opmerking

Intune ondersteunt mogelijk meer instellingen dan de instellingen die in dit artikel worden vermeld. Niet alle instellingen worden gedocumenteerd en worden niet gedocumenteerd. Als u de instellingen wilt zien die u kunt configureren, maakt u een apparaatconfiguratiebeleid en selecteert u Instellingencatalogus. Ga naar Instellingencatalogus voor meer informatie.

Intune bevat enkele ingebouwde instellingen waarmee iOS-/iPadOS-gebruikers verschillende Apple-functies op hun apparaten kunnen gebruiken. U kunt bijvoorbeeld AirPrint-printers beheren, apps en mappen toevoegen aan de dock- en startschermpagina's, app-meldingen weergeven, details van assettags weergeven op het vergrendelingsscherm, verificatie voor eenmalige aanmelding gebruiken en certificaatverificatie gebruiken.

Deze functie is van toepassing op:

  • iOS/iPadOS

Gebruik deze functies om iOS-/iPadOS-apparaten te beheren als onderdeel van uw MDM-oplossing (Mobile Device Management).

In dit artikel worden deze instellingen vermeld en wordt beschreven wat elke instelling doet. Ga naar Instellingen voor iOS-/iPadOS- of macOS-apparaatfuncties toevoegen voor meer informatie over deze functies.

Voordat u begint

Creatie een configuratieprofiel voor iOS-/iPadOS-apparaatfuncties.

Opmerking

Deze instellingen zijn van toepassing op verschillende inschrijvingstypen, waarbij sommige instellingen van toepassing zijn op alle inschrijvingsopties. Ga naar iOS-/iPadOS-inschrijving voor meer informatie over de verschillende inschrijvingstypen.

AirPrint

Instellingen zijn van toepassing op: alle inschrijvingstypen

Opmerking

Zorg ervoor dat u alle printers aan hetzelfde profiel toevoegt. Apple voorkomt dat meerdere AirPrint-profielen op hetzelfde apparaat zijn gericht.

  • IP-adres: voer het IPv4- of IPv6-adres van de printer in. Als u hostnamen gebruikt om printers te identificeren, kunt u het IP-adres ophalen door de printer in de terminal te pingen. Het IP-adres en het pad ophalen (in dit artikel) bevat meer informatie.

  • Resourcepad: Het pad is doorgaans ipp/print voor printers in uw netwerk. Het IP-adres en het pad ophalen (in dit artikel) bevat meer informatie.

  • Poort: voer de luisterpoort van de AirPrint-bestemming in. Als u deze eigenschap leeg laat, gebruikt AirPrint de standaardpoort.

    Deze functie is van toepassing op:

    • iOS 11.0+
    • iPadOS 13.0+

  • TLS forceren: Met Uitschakelen (standaard) worden AirPrint-verbindingen niet beveiligd met TLS. Schakel AirPrint-verbindingen in met Tls (Transport Layer Security).

    Deze functie is van toepassing op:

    • iOS 11.0+
    • iPadOS 13.0+

Als u AirPrint-servers wilt toevoegen, kunt u het volgende doen:

  • Voer printergegevens in om een AirPrint-bestemming aan de lijst toe te voegen. Er kunnen veel AirPrint-servers worden toegevoegd.
  • Importeer een door komma's gescheiden bestand (.csv) met deze informatie. Of exporteer om een lijst te maken met de AirPrint-servers die u hebt toegevoegd.

IP-adres, resourcepad en poort van de server ophalen

Als u AirPrinter-servers wilt toevoegen, hebt u het IP-adres van de printer, het resourcepad en de poort nodig. In de volgende stappen ziet u hoe u deze informatie kunt verkrijgen.

  1. Op een Mac die verbinding maakt met hetzelfde lokale netwerk (subnet) als de AirPrint-printers, opent u de Terminal-app (vanuit /Toepassingen/Hulpprogramma's).

  2. Voer in de Terminal-app in ippfinden selecteer Enter.

    Noteer de printergegevens. Het kan bijvoorbeeld iets retourneren als ipp://myprinter.local.:631/ipp/port1. Het eerste deel is de naam van de printer. Het laatste deel (ipp/port1) is het resourcepad.

  3. Voer in de Terminal-app in ping myprinter.localen selecteer Enter.

    Noteer het IP-adres. Het kan bijvoorbeeld iets retourneren als PING myprinter.local (10.50.25.21).

  4. Gebruik de waarden van het IP-adres en het resourcepad. In dit voorbeeld is 10.50.25.21het IP-adres en is het resourcepad /ipp/port1.

Indeling van startscherm

Deze functie is van toepassing op:

  • iOS 9.3 of hoger
  • iPadOS 13.0 en hoger
  • Geautomatiseerde apparaatinschrijving (onder supervisie)

Wat u moet weten

  • Voeg een app slechts eenmaal toe aan het dock, de pagina, de map op een pagina of de map in het dock. Als u dezelfde app op twee plaatsen toevoegt, voorkomt u dat de app wordt weergegeven op apparaten en kan er rapportagefouten worden weergegeven.

    Als u bijvoorbeeld de camera-app toevoegt aan een dockingstation en een pagina, wordt de camera-app niet weergegeven en wordt er mogelijk een fout weergegeven voor het beleid. Als u de camera-app wilt toevoegen aan de indeling van het startscherm, kiest u alleen het dock of een pagina, niet beide.

  • Wanneer u een indeling voor het startscherm toepast, overschrijft deze elke door de gebruiker gedefinieerde indeling. Daarom raden we u aan om de indelingen van het startscherm te gebruiken op gebruikersloze apparaten.

  • U kunt bestaande apps op het apparaat hebben geïnstalleerd die niet zijn opgenomen in de configuratie van de indeling van het startscherm. Deze apps worden in alfabetische volgorde weergegeven na de geconfigureerde apps.

  • Wanneer u de rasterinstellingen voor het startscherm gebruikt om pagina's toe te voegen of pagina's en apps toe te voegen aan het dock, worden de pictogrammen op het startscherm en de pagina's vergrendeld. Ze kunnen niet worden verplaatst of verwijderd. Dit gedrag is mogelijk standaard met iOS/iPadOS en het MDM-beleid van Apple.

Beginscherm

Gebruik deze functie om apps toe te voegen. En bekijk hoe deze apps eruitzien op pagina's, het dock en in mappen. U ziet ook de app-pictogrammen. VPP-apps (Volume Purchase Program), Line-Of-Business-apps en webkoppelings-apps (web-app-URL's) worden ingevuld vanuit de client-apps die u toevoegt.

  • Rastergrootte: kies een geschikte rastergrootte voor het startscherm van het apparaat. Een app of map neemt één plaats in het raster in. Als het doelapparaat de geselecteerde grootte niet ondersteunt, passen sommige apps mogelijk niet en worden ze naar de volgende beschikbare positie op een nieuwe pagina gepusht. Ter referentie:

    • iPhone 5 ondersteunt 4 kolommen x 5 rijen
    • iPhone 6 en hoger ondersteunen 4 kolommen x 6 rijen
    • iPads ondersteunen 5 kolommen x 6 rijen

  • +: Selecteer de knop Toevoegen om apps toe te voegen.

  • Creatie map of apps toevoegen: Een appof map toevoegen:

    • App: selecteer bestaande apps in de lijst. Met deze optie worden apps toegevoegd aan het startscherm op apparaten. Als u geen apps hebt, kunt u Apps toevoegen aan Intune.

      U kunt ook zoeken naar apps op de naam van de app, zoals authenticator of drive. Of zoek op de uitgever van de app, zoals Microsoft of Apple.

    • Map: hiermee voegt u een map toe aan het startscherm. Voer de mapnaam in en selecteer bestaande apps in de lijst om naar de map te gaan. Deze mapnaam wordt weergegeven voor gebruikers op hun apparaten.

      U kunt ook zoeken naar apps op de naam van de app, zoals authenticator of drive. Of zoek op de uitgever van de app, zoals Microsoft of Apple.

      Apps zijn gerangschikt van links naar rechts en in dezelfde volgorde als weergegeven. Apps kunnen worden verplaatst naar andere posities. U kunt slechts één pagina in een map hebben. Voeg als een work-around negen (9) of meer apps toe aan de map. Apps worden automatisch verplaatst naar de volgende pagina. U kunt elke combinatie van VPP-apps, webkoppelingen (web-apps), Store-apps, Line-Of-Business-apps en systeem-apps toevoegen.

Dock

Voeg maximaal vier (4) items voor iPhones en maximaal zes (6) items voor iPads (apps en mappen gecombineerd) toe aan het dock op het scherm. Veel apparaten ondersteunen minder items. IPhone-apparaten ondersteunen bijvoorbeeld maximaal vier items. Alleen de eerste vier items die u toevoegt, worden dus weergegeven.

  • +: Selecteer de knop Toevoegen om apps of mappen toe te voegen aan het dock.

  • Creatie map of apps toevoegen: Een appof map toevoegen:

    • App: selecteer bestaande apps in de lijst. Met deze optie worden apps toegevoegd aan het dock op het scherm. Als u geen apps hebt, kunt u Apps toevoegen aan Intune.

      U kunt ook zoeken naar apps op de naam van de app, zoals authenticator of drive. Of zoek op de uitgever van de app, zoals Microsoft of Apple.

    • Map: hiermee voegt u een map toe aan het dock op het scherm. Voer de mapnaam in en selecteer bestaande apps in de lijst om naar de map te gaan. Deze mapnaam wordt weergegeven voor gebruikers op hun apparaten.

      U kunt ook zoeken naar apps op de naam van de app, zoals authenticator of drive. Of zoek op de uitgever van de app, zoals Microsoft of Apple.

      Apps zijn gerangschikt van links naar rechts en in dezelfde volgorde als weergegeven. Apps kunnen worden verplaatst naar andere posities. Als u meer apps toevoegt dan op een pagina past, worden de apps automatisch verplaatst naar een andere pagina. U kunt maximaal 20 pagina's toevoegen aan een map op het dock. U kunt elke combinatie van VPP-apps, webkoppelingen (web-apps), Store-apps, Line-Of-Business-apps en systeem-apps toevoegen.

Voorbeeld

In het volgende voorbeeld worden in het dockscherm de apps Safari, Mail en Stocks weergegeven. De app Aandelen is geselecteerd om de eigenschappen ervan weer te geven:

Voorbeeld van dockinstellingen voor iOS-/iPadOS-startschermindeling in Microsoft Intune

Wanneer u het beleid toewijst aan een iPhone, ziet het dock eruit als in de volgende afbeelding:

Voorbeeld van iOS-/iPadOS-dockindeling op een iPhone-apparaat

App-meldingen

Instellingen zijn van toepassing op: Automatische apparaatinschrijving (onder supervisie)

  • Toevoegen: Meldingen voor apps toevoegen:

    App-melding toevoegen in configuratieprofiel voor iOS-/iPadOS-apparaatfuncties in Microsoft Intune

    • App-bundel-id: voer de app-bundel-id in van de app die u wilt toevoegen.

      De app-bundel-id ophalen:

      Wanneer deze instelling is ingesteld op Niet geconfigureerd of leeg blijft, wordt deze instelling niet gewijzigd of bijgewerkt door Intune.

    • App-naam: voer de naam in van de app die u wilt toevoegen. Deze naam wordt gebruikt als referentie in het Microsoft Intune-beheercentrum. Deze wordt niet weergegeven op apparaten. Wanneer deze instelling is ingesteld op Niet geconfigureerd of leeg blijft, wordt deze instelling niet gewijzigd of bijgewerkt door Intune.

    • Uitgever: voer de uitgever in van de app die u toevoegt. Deze naam wordt gebruikt als referentie in het Microsoft Intune-beheercentrum. Deze wordt niet weergegeven op apparaten. Wanneer deze instelling is ingesteld op Niet geconfigureerd of leeg blijft, wordt deze instelling niet gewijzigd of bijgewerkt door Intune.

    • Meldingen: schakel het verzenden van meldingen naar apparaten in of uit voor de app. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt.

      Wanneer deze optie is ingesteld op Inschakelen, configureert u ook het volgende:

      • Weergeven in meldingencentrum: Met Inschakelen kan de app meldingen weergeven in het meldingencentrum van het apparaat. Met Uitschakelen voorkomt u dat de app meldingen weergeeft in het meldingencentrum. Wanneer deze instelling is ingesteld op Niet geconfigureerd of leeg blijft, wordt deze instelling niet gewijzigd of bijgewerkt door Intune.

      • Weergeven op vergrendelingsscherm: Met Inschakelen worden app-meldingen weergegeven op het vergrendelingsscherm van het apparaat. Met Uitschakelen voorkomt u dat de app meldingen op het vergrendelingsscherm weergeeft. Wanneer deze instelling is ingesteld op Niet geconfigureerd of leeg blijft, wordt deze instelling niet gewijzigd of bijgewerkt door Intune.

      • Waarschuwingstype: wanneer apparaten zijn ontgrendeld, kiest u hoe de melding wordt weergegeven. Uw opties:

        • Geen: er wordt geen melding weergegeven.
        • Banner: er wordt kort een banner weergegeven met de melding. Deze instelling wordt mogelijk ook wel tijdelijke banner genoemd.
        • Modaal: de melding wordt weergegeven en gebruikers moeten deze handmatig sluiten voordat ze het apparaat blijven gebruiken. Deze instelling wordt mogelijk ook wel Permanente banner genoemd.

      • Badge op app-pictogram: Met Inschakelen wordt een badge toegevoegd aan het app-pictogram. De badge betekent dat de app een melding heeft verzonden. Met Uitschakelen wordt geen badge toegevoegd aan het app-pictogram. Wanneer deze instelling is ingesteld op Niet geconfigureerd, wordt deze instelling niet gewijzigd of bijgewerkt door Intune.

      • Geluiden inschakelen: Inschakelen speelt een geluid af wanneer er een melding wordt ontvangen. Met Uitschakelen wordt geen geluid afgespeeld wanneer een melding wordt bezorgd. Wanneer deze instelling is ingesteld op Niet geconfigureerd, wordt deze instelling niet gewijzigd of bijgewerkt door Intune.

      • Voorbeeldweergaven weergeven: toont een voorbeeld van recente app-meldingen. Selecteer wanneer u het voorbeeld wilt weergeven. De waarde die u kiest, overschrijft de door de gebruiker geconfigureerde waarde op het apparaat (Instellingen > Meldingen > weergeven previews). Uw opties:

        • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij.
        • Wanneer ontgrendeld: het voorbeeld wordt alleen weergegeven wanneer het apparaat is ontgrendeld.
        • Altijd: het voorbeeld wordt altijd weergegeven op het vergrendelingsscherm.
        • Nooit: het voorbeeld wordt nooit weergegeven.

        Deze functie is van toepassing op:

        • iOS/iPadOS 14.0 en hoger

Bericht over vergrendelingsscherm

Deze functie is van toepassing op:

  • iOS 9.3 en hoger
  • iPadOS 13.0 en hoger

Instellingen zijn van toepassing op: Automatische apparaatinschrijving (onder supervisie)

  • "Als dit verloren is gegaan, keert u terug naar..." Bericht: als apparaten verloren of gestolen zijn, voert u een notitie in waarmee het apparaat kan worden geretourneerd als het wordt gevonden. U kunt elke gewenste tekst invoeren. Voer bijvoorbeeld iets in als If found, call Contoso at ....

    De tekst die u invoert, wordt weergegeven in het aanmeldingsvenster en het vergrendelingsscherm op apparaten.

  • Informatie over assettag: voer informatie in over de assettag van het apparaat. Voer bijvoorbeeld of Serial Number: {{serialnumber}}inOwned by Contoso Corp.

    Apparaattokens kunnen ook worden gebruikt om apparaatspecifieke informatie toe te voegen aan deze velden. Als u bijvoorbeeld het serienummer wilt weergeven, voert u of in Serial Number: {{serialnumber}}Device ID: {{DEVICEID}}. Op het vergrendelingsscherm wordt de tekst weergegeven zoals Serial Number 123456789ABC. Wanneer u variabelen invoert, moet u accolades {{ }}gebruiken.

    De volgende variabelen voor apparaatgegevens worden ondersteund. Variabelen worden niet gevalideerd in de gebruikersinterface en zijn hoofdlettergevoelig. Als u een onjuiste variabele invoert, kunt u profielen zien die zijn opgeslagen met onjuiste invoer. Als u bijvoorbeeld in plaats van {{deviceid}} of {{DEVICEID}}invoert{{DeviceID}}, wordt de letterlijke tekenreeks weergegeven in plaats van de unieke id van het apparaat. Zorg ervoor dat u de juiste gegevens invoert. Alle variabelen met kleine letters of hoofdletters worden ondersteund, maar geen combinatie.

    • {{AADDeviceId}}: Microsoft Entra apparaat-id
    • {{AccountId}}: Intune tenant-id of account-id
    • {{AccountName}}: Intune tenantnaam of accountnaam
    • {{AppleId}}: Apple ID van de gebruiker
    • {{Department}}: Afdeling toegewezen tijdens configuratieassistent
    • {{DeviceId}}: Intune apparaat-id
    • {{DeviceName}}: Intune apparaatnaam
    • {{domain}}:Domeinnaam
    • {{EASID}}: Exchange Active Sync-id
    • {{EDUUserType}}: Type gebruiker
    • {{IMEI}}: IMEI van het apparaat
    • {{mail}}: Email adres van de gebruiker
    • {{ManagedAppleId}}: Beheerde Apple ID van de gebruiker
    • {{MEID}}: MEID van het apparaat
    • {{partialUPN}}: UPN-voorvoegsel vóór het @-symbool
    • {{SearchableDeviceKey}}: NGC-sleutel-id
    • {{SerialNumber}}: Serienummer van apparaat
    • {{SerialNumberLast4Digits}}: Laatste 4 cijfers van het serienummer van het apparaat
    • {{SIGNEDDEVICEID}}: Apparaat-id-blob toegewezen aan client tijdens Bedrijfsportal inschrijving
    • {{SignedDeviceIdWithUserId}}: Apparaat-id-blob toegewezen aan client met gebruikersaffiniteit tijdens Apple Setup Assistant
    • {{UDID}}: Apparaat-UDID
    • {{UDIDLast4Digits}}: Laatste 4 cijfers van het apparaat UDID
    • {{UserId}}: Intune gebruikers-id
    • {{UserName}}: Gebruikersnaam
    • {{userPrincipalName}}: UPN van de gebruiker

Eenmalige aanmelding

Instellingen zijn van toepassing op: Apparaatinschrijving, Geautomatiseerde apparaatinschrijving (onder supervisie)

  • Microsoft Entra kenmerk gebruikersnaam: Intune zoekt dit kenmerk voor elke gebruiker in Microsoft Entra ID. Intune vult vervolgens het betreffende veld (zoals de UPN) in voordat de XML wordt gegenereerd die op apparaten wordt geïnstalleerd. Uw opties:

    • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard vraagt het besturingssysteem gebruikers om een Kerberos-principalnaam wanneer het profiel op apparaten wordt geïmplementeerd. Er is een principal-naam vereist voor MDM's om eenmalige aanmeldingsprofielen te installeren.

    • User principal name: De UPN (User Principal Name) wordt op de volgende manier geparseerd:

      IOS-/iPadOS-kenmerk gebruikersnaam SSO in Microsoft Intune

      U kunt de realm ook overschrijven met de tekst die u in het tekstvak Realm invoert.

      Contoso heeft bijvoorbeeld verschillende regio's, waaronder Europa, Azië en Noord-Amerika. Contoso wil dat hun gebruikers in Azië eenmalige aanmelding gebruiken en voor de app is de UPN in de username@asia.contoso.com indeling vereist. Wanneer u User Principal Name selecteert, wordt de realm voor elke gebruiker opgehaald uit Microsoft Entra ID, namelijk contoso.com. Voor gebruikers in Azië selecteert u User Principal Name en voert u asia.contoso.comin. De UPN van de gebruiker wordt username@asia.contoso.comin plaats van username@contoso.com.

    • Intune apparaat-id: Intune selecteert automatisch de Intune apparaat-id. Standaard:

      • Apps hoeven alleen de apparaat-id te gebruiken. Maar als uw app gebruikmaakt van de realm en de apparaat-id, kunt u de realm invoeren in het tekstvak Realm .
      • Als u apparaat-id gebruikt, houdt u de realm leeg.

    • Azure AD apparaat-id: de Microsoft Entra apparaat-id

    • SAM-accountnaam: Intune vult de on-premises SAM-accountnaam (Security Accounts Manager).

  • Realm: voer het domeingedeelte van de URL in. Voer bijvoorbeeld in contoso.com.

  • URL's: voeg URL's in uw organisatie toe waarvoor gebruikersverificatie via eenmalige aanmelding (SSO) is vereist.

    Wanneer een gebruiker bijvoorbeeld verbinding maakt met een van deze sites, gebruikt het iOS-/iPadOS-apparaat de SSO-referenties. Gebruikers hoeven geen referenties meer in te voeren. Als meervoudige verificatie (MFA) is ingeschakeld, moeten gebruikers de tweede verificatie invoeren.

    Ook:

    • Deze URL's moeten de juiste FQDN-indeling hebben. Apple vereist dat de URL's de http://<yourURL.domain> indeling hebben.

    • De URL-overeenkomende patronen moeten beginnen met http:// of https://. Er wordt een eenvoudige tekenreeksovereenkomst uitgevoerd, zodat het http://www.contoso.com/ URL-voorvoegsel niet overeenkomt met http://www.contoso.com:80/. Met iOS 10.0+ en iPadOS 13.0+ kan één jokerteken * worden gebruikt om alle overeenkomende waarden in te voeren. Komt bijvoorbeeld http://*.contoso.com/ overeen met en http://store.contoso.com/http://www.contoso.com.

      De http://.com patronen en https://.com komen respectievelijk overeen met alle HTTP- en HTTPS-URL's.

  • Apps: voeg apps toe op apparaten van gebruikers die eenmalige aanmelding kunnen gebruiken.

    De AppIdentifierMatches matrix moet tekenreeksen bevatten die overeenkomen met de app-bundel-id's. Deze tekenreeksen kunnen exacte overeenkomsten zijn, zoals com.contoso.myapp, of een voorvoegselovereenkomst invoeren op de bundel-id met behulp van het * jokerteken. Het jokerteken moet worden weergegeven na een puntteken (.) en kan slechts eenmaal worden weergegeven, aan het einde van de tekenreeks, zoals com.contoso.*. Wanneer een jokerteken wordt opgenomen, krijgt elke app waarvan de bundel-id begint met het voorvoegsel toegang tot het account.

    Gebruik App-naam om een gebruiksvriendelijke naam in te voeren om de bundel-id te identificeren.

  • Certificaat voor het vernieuwen van referenties: als u certificaten gebruikt voor verificatie (geen wachtwoorden), selecteert u het bestaande SCEP - of PFX-certificaat als verificatiecertificaat. Dit certificaat is meestal hetzelfde certificaat dat is geïmplementeerd voor gebruikers voor andere profielen, zoals VPN, Wi-Fi of e-mail.

Filter voor webinhoud

Instellingen zijn van toepassing op: Automatische apparaatinschrijving (onder supervisie)

Deze instellingen maken gebruik van de instellingen voor het filter voor webinhoud van Apple. Ga voor meer informatie over deze instellingen naar de platformimplementatiesite van Apple (hiermee opent u de website van Apple).

  • Filtertype: kies ervoor om specifieke websites toe te staan. Uw opties:

    • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij.

    • URL's configureren: gebruik het ingebouwde webfilter van Apple dat zoekt naar termen voor volwassenen, waaronder grof taalgebruik en seksueel expliciete taal. Deze functie evalueert elke webpagina terwijl deze wordt geladen en identificeert en blokkeert ongeschikte inhoud. U kunt ook URL's toevoegen die u niet wilt laten controleren door het filter. Of blokkeer specifieke URL's, ongeacht de filterinstellingen van Apple.

      • Toegestane URL's: voeg de URL's toe die u wilt toestaan. Deze URL's omzeilen het webfilter van Apple.

        De URL's die u invoert, zijn de URL's die u niet wilt laten evalueren door het Webfilter van Apple. Deze URL's zijn geen lijst met toegestane websites. Als u een lijst met toegestane websites wilt maken, stelt u het filtertypein op Alleen specifieke websites.

      • Geblokkeerde URL's: voeg de URL's toe die u niet meer wilt openen, ongeacht de webfilterinstellingen van Apple.

    • Alleen specifieke websites (alleen voor Safari-webbrowser): deze URL's worden toegevoegd aan de bladwijzers van de Safari-browser. Gebruikers mogen deze sites alleen bezoeken; er kunnen geen andere sites worden geopend. Gebruik deze optie alleen als u de exacte lijst met URL's kent waartoe gebruikers toegang hebben.

      • URL: voer de URL in van de website die u wilt toestaan. Voer bijvoorbeeld in https://www.contoso.com.
      • Bladwijzerpad: Apple heeft deze instelling gewijzigd. Alle bladwijzers gaan naar de map Toegestane sites . Bladwijzers gaan niet naar het bladwijzerpad dat u invoert.
      • Titel: Voer een beschrijvende titel in voor de bladwijzer.

      Als u geen URL's invoert, hebben gebruikers geen toegang tot websites, behalve microsoft.com, microsoft.neten apple.com. Intune staat deze URL's automatisch toe.

App-extensie voor eenmalige aanmelding

Deze functie is van toepassing op:

  • iOS 13.0 en hoger
  • iPadOS 13.0 en hoger

Instellingen zijn van toepassing op: alle inschrijvingstypen

  • Type SSO-app-extensie: kies het type app-extensie voor eenmalige aanmelding. Uw opties:

    • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard maakt het besturingssysteem geen gebruik van app-extensies. Als u een app-extensie wilt uitschakelen, kunt u het type app-extensie voor eenmalige aanmelding wijzigen in Niet geconfigureerd.

    • Microsoft Entra ID: maakt gebruik van de invoegtoepassing Microsoft Entra ID Enterprise SSO. Dit is een SSO-app-extensie van het omleidingstype. Deze invoegtoepassing biedt eenmalige aanmelding voor on-premises Active Directory-accounts in alle toepassingen die ondersteuning bieden voor de functie voor eenmalige aanmelding van Apple Enterprise. Gebruik dit type app-extensie voor eenmalige aanmelding om eenmalige aanmelding in te schakelen voor Microsoft-apps, organisatie-apps en websites die worden geverifieerd met behulp van Microsoft Entra ID.

      De SSO-invoegtoepassing fungeert als een geavanceerde verificatiebroker die verbeteringen biedt op het gebied van beveiliging en gebruikerservaring. Alle apps die de Microsoft Authenticator-app voor verificatie gebruiken, blijven eenmalige aanmelding krijgen met de Microsoft Enterprise SSO-invoegtoepassing voor Apple-apparaten.

      Belangrijk

      Als u eenmalige aanmelding wilt bereiken met het type Microsoft Entra SSO-app-extensie, installeert u eerst de iOS/iPadOS Microsoft Authenticator-app op apparaten. De Authenticator-app levert de SSO-invoegtoepassing van Microsoft Enterprise op apparaten en de instellingen voor de MDM SSO-app-extensie activeren de invoegtoepassing. Zodra Authenticator en het SSO-app-extensieprofiel op apparaten zijn geïnstalleerd, moeten gebruikers hun referenties invoeren om zich aan te melden en een sessie op hun apparaten tot stand te brengen. Deze sessie wordt vervolgens gebruikt in verschillende toepassingen zonder dat gebruikers zich opnieuw hoeven te verifiëren. Ga naar Wat is de Microsoft Authenticator-app voor meer informatie over Authenticator.

      Ga voor meer informatie naar De SSO-invoegtoepassing van Microsoft Enterprise gebruiken op iOS-/iPadOS-apparaten.

    • Omleiding: gebruik een algemene, aanpasbare omleidings-app-extensie om eenmalige aanmelding te gebruiken met moderne verificatiestromen. Zorg ervoor dat u de extensie-id voor de app-extensie van uw organisatie kent.

    • Referentie: gebruik een algemene, aanpasbare referentie-app-extensie om eenmalige aanmelding te gebruiken met verificatiestromen voor uitdagingen en antwoorden. Zorg ervoor dat u de extensie-id voor de app-extensie van uw organisatie kent.

    • Kerberos: gebruik de ingebouwde Kerberos-extensie van Apple, die is opgenomen in iOS 13.0+ en iPadOS 13.0+. Deze optie is een Kerberos-specifieke versie van de app-extensie Referentie .

    Tip

    Met de typen Omleiding en Referentie voegt u uw eigen configuratiewaarden toe om de extensie te passeren. Als u referentie gebruikt, kunt u overwegen om ingebouwde configuratie-instellingen van Apple te gebruiken in het Kerberos-type .

    Nadat gebruikers zich hebben aangemeld bij de Authenticator-app, wordt ze niet gevraagd zich aan te melden bij andere apps die gebruikmaken van de SSO-extensie. De eerste keer dat gebruikers beheerde apps openen die niet gebruikmaken van de SSO-extensie, wordt de gebruikers gevraagd het account te selecteren dat is aangemeld.

  • Modus voor gedeelde apparaten inschakelen (alleen Microsoft Entra ID): kies Ja als u de Microsoft Enterprise SSO-invoegtoepassing implementeert op iOS-/iPadOS-apparaten die zijn geconfigureerd voor Microsoft Entra functie voor gedeelde apparaten. Met apparaten in de gedeelde modus kunnen veel gebruikers zich globaal aanmelden bij toepassingen die de modus voor gedeelde apparaten ondersteunen. Wanneer deze instelling is ingesteld op Niet geconfigureerd, wordt deze instelling niet gewijzigd of bijgewerkt door Intune. Standaard zijn iOS-/iPadOS-apparaten niet bedoeld om te worden gedeeld door meerdere gebruikers.

    Voor meer informatie over de modus gedeelde apparaten en hoe u deze kunt inschakelen, gaat u naar Overzicht van de modus voor gedeelde apparaten en de modus Gedeeld apparaat voor iOS-apparaten.

    Deze functie is van toepassing op:

    • iOS/iPadOS 13.5 en hoger

  • Extensie-id (omleiding en referentie): voer de bundel-id in waarmee uw SSO-app-extensie wordt geïdentificeerd, zoals com.apple.extensiblesso.

  • Team-id (omleiding en referentie): voer de team-id van uw SSO-app-extensie in. Een team-id is een alfanumerieke tekenreeks van 10 tekens (cijfers en letters) die door Apple wordt gegenereerd, zoals ABCDE12345. De team-id is niet vereist.

    Uw team-id zoeken (hiermee opent u de website van Apple) vindt u meer informatie.

  • Realm (referentie en Kerberos): voer de naam van uw verificatiedomein in. De realm-naam moet een hoofdletter hebben, zoals CONTOSO.COM. Normaal gesproken is uw realm-naam hetzelfde als uw DNS-domeinnaam, maar in hoofdletters.

  • Domeinen (referentie en Kerberos): voer de domein- of hostnamen in van de sites die kunnen worden geverifieerd via eenmalige aanmelding. Als uw website bijvoorbeeld is mysite.contoso.com, mysite is dat de hostnaam en .contoso.com de domeinnaam. Wanneer gebruikers verbinding maken met een van deze sites, verwerkt de app-extensie de verificatievraag. Met deze verificatie kunnen gebruikers zich aanmelden met Face ID, Touch ID of Pincode/wachtwoordcode van Apple.

    • Alle domeinen in uw app-extensie voor eenmalige aanmelding Intune profielen moeten uniek zijn. U kunt een domein in een extensieprofiel voor aanmeldingsapps niet herhalen, zelfs niet als u verschillende typen SSO-app-extensies gebruikt.
    • Deze domeinen zijn niet hoofdlettergevoelig.
    • Het domein moet beginnen met een punt (.).

  • URL's (alleen omleiden): voer de URL-voorvoegsels in van uw id-providers namens wie de omleidings-app-extensie eenmalige aanmelding gebruikt. Wanneer gebruikers worden omgeleid naar deze URL's, treedt de SSO-app-extensie op en wordt SSO gevraagd.

    • Alle URL's in uw Intune app-extensieprofielen voor eenmalige aanmelding moeten uniek zijn. U kunt een domein niet herhalen in een app-extensieprofiel voor eenmalige aanmelding, zelfs niet als u verschillende typen SSO-app-extensies gebruikt.
    • De URL's moeten beginnen met http:// of https://.

  • Aanvullende configuratie (Microsoft Entra ID, omleiding en referentie): voer meer extensiespecifieke gegevens in om door te geven aan de SSO-app-extensie:

    • Sleutel: voer de naam in van het item dat u wilt toevoegen, zoals user name of AppAllowList.

    • Type: voer het type gegevens in. Uw opties:

      • Tekenreeks
      • Booleaanse waarde: voer in Configuratiewaarde of in TrueFalse.
      • Geheel getal: voer bij Configuratiewaarde een getal in.

    • Waarde: Voer de gegevens in.

    • Toevoegen: Selecteer om uw configuratiesleutels toe te voegen.

  • Gebruik van sleutelhangers blokkeren (alleen Kerberos): Met Ja voorkomt u dat wachtwoorden worden opgeslagen en opgeslagen in de sleutelhanger. Als dit wordt geblokkeerd, wordt gebruikers niet gevraagd hun wachtwoord op te slaan en moeten ze het wachtwoord opnieuw invoeren wanneer het Kerberos-ticket verloopt. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem toestaat dat wachtwoorden worden opgeslagen in de sleutelhanger. Gebruikers worden niet gevraagd hun wachtwoord opnieuw in te voeren wanneer het ticket verloopt.

  • Face ID, Touch ID of wachtwoordcode vereisen (alleen Kerberos): Met Ja moeten gebruikers hun Face ID, Touch ID of wachtwoordcode voor het apparaat invoeren wanneer de referentie nodig is om het Kerberos-ticket te vernieuwen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat gebruikers in het besturingssysteem geen biometrische gegevens of apparaatcode gebruiken om het Kerberos-ticket te vernieuwen. Als het gebruik van de sleutelhanger is geblokkeerd, is deze instelling niet van toepassing.

  • Instellen als standaarddomein (alleen Kerberos): Met Ja wordt de realm-waarde ingesteld die u hebt ingevoerd als de standaard-realm. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem geen standaarddomein instelt.

    • Als u meerdere App-extensies voor eenmalige aanmelding van Kerberos in uw organisatie configureert, selecteert u Ja.
    • Als u meerdere realms gebruikt, selecteert u Ja. Hiermee wordt de realm-waarde ingesteld die u hebt ingevoerd als het standaarddomein.
    • Als u slechts één realm hebt, selecteert u Niet geconfigureerd (standaard).

  • Automatische detectie blokkeren (alleen Kerberos): Met Ja voorkomt u dat de Kerberos-extensie automatisch LDAP en DNS gebruikt om de Naam van de Active Directory-site te bepalen. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt.

  • Alleen beheerde apps toestaan (alleen Kerberos): wanneer deze is ingesteld op Ja, staat de Kerberos-extensie alleen beheerde apps en alle apps die zijn ingevoerd met de app-bundel-id toe om toegang te krijgen tot de referentie. Als deze optie is ingesteld op Niet geconfigureerd (standaard), wordt deze instelling niet door Intune gewijzigd of bijgewerkt. Standaard is het mogelijk dat het besturingssysteem niet-beheerde apps toegang geeft tot de referentie.

    Deze functie is van toepassing op:

    • iOS/iPadOS 14 en hoger

  • Principal-naam (alleen Kerberos): voer de gebruikersnaam van de Kerberos-principal in. U hoeft de realmnaam niet op te nemen. In is bijvoorbeeld user@contoso.comuser de principal-naam en contoso.com is de realmnaam.

    • U kunt ook variabelen in de principal-naam gebruiken door accolades {{ }}in te voeren. Als u bijvoorbeeld de gebruikersnaam wilt weergeven, voert u in Username: {{username}}.
    • Wees voorzichtig met het vervangen van variabelen. Variabelen worden niet gevalideerd in de gebruikersinterface en ze zijn hoofdlettergevoelig. Zorg ervoor dat u de juiste gegevens invoert.

  • Active Directory-sitecode (alleen Kerberos): voer de naam in van de Active Directory-site die de Kerberos-extensie moet gebruiken. Mogelijk hoeft u deze waarde niet te wijzigen, omdat de Kerberos-extensie automatisch de Active Directory-sitecode kan vinden.

  • Cachenaam (alleen Kerberos): voer de GSS-naam (Generic Security Services) van de Kerberos-cache in. U hoeft deze waarde waarschijnlijk niet in te stellen.

  • Tekst van aanmeldingsvenster (alleen Kerberos): voer de tekst in die wordt weergegeven voor gebruikers in het aanmeldingsvenster van Kerberos.

    Deze functie is van toepassing op:

    • iOS/iPadOS 14 en hoger

  • App-bundel-id's (Microsoft Entra ID, Kerberos): voer de bundel-id's in van andere apps waarvoor eenmalige aanmelding via een extensie op uw apparaten moet worden uitgevoerd. Als u de bundel-id van een app wilt ophalen die is toegevoegd aan Intune, kunt u het Intune-beheercentrum gebruiken.

    Als u het type Microsoft Entra ID SSO-app-extensie gebruikt, gaat u als volgende te werk:

    • Deze apps gebruiken de SSO-invoegtoepassing van Microsoft Enterprise om de gebruiker te verifiëren zonder dat hiervoor aanmelding nodig is.

    • De app-bundel-id's die u invoert, zijn gemachtigd om de app-extensie Microsoft Entra SSO te gebruiken als ze geen Microsoft-bibliotheken gebruiken, zoals Microsoft Authentication Library (MSAL).

      De ervaring voor deze apps is mogelijk niet zo naadloos in vergelijking met de Microsoft-bibliotheken. Oudere apps die gebruikmaken van MSAL-verificatie of apps die niet gebruikmaken van de nieuwste Microsoft-bibliotheken, moeten aan deze lijst worden toegevoegd om goed te kunnen werken met de App-extensie voor eenmalige aanmelding van Microsoft Azure.

    Als u het app-extensietype Kerberos SSO gebruikt, gaat u als volgt te werk:

    • Toegang hebben tot het Kerberos Ticket Granting Ticket
    • Toegang hebben tot het verificatieticket
    • Gebruikers verifiëren bij services die ze mogen openen

  • Domeindomeintoewijzing (alleen Kerberos): voer de DNS-achtervoegsels van het domein in die moeten worden toegewezen aan uw realm. Gebruik deze instelling wanneer de DNS-namen van de hosts niet overeenkomen met de realmnaam. U hoeft deze aangepaste domein-naar-realm-toewijzing waarschijnlijk niet te maken.

  • PKINIT-certificaat (alleen Kerberos): selecteer het PKINIT-certificaat (Public Key Cryptography for Initial Authentication) dat kan worden gebruikt voor Kerberos-verificatie. U kunt kiezen uit PKCS- of SCEP-certificaten die u hebt toegevoegd in Intune.

    Ga naar Certificaten gebruiken voor verificatie in Microsoft Intune voor meer informatie over certificaten.

Wallpaper

U kunt onverwacht gedrag ervaren wanneer een profiel zonder afbeelding wordt toegewezen aan apparaten met een bestaande afbeelding. U maakt bijvoorbeeld een profiel zonder afbeelding. Dit profiel wordt toegewezen aan apparaten die al een afbeelding hebben. In dit scenario kan de afbeelding worden gewijzigd in de standaardinstelling van het apparaat of kan de oorspronkelijke afbeelding op het apparaat blijven staan. Dit gedrag wordt beheerd en beperkt door het MDM-platform van Apple.

Instellingen zijn van toepassing op: Automatische apparaatinschrijving (onder supervisie)

  • Weergavelocatie achtergrond: kies een locatie op apparaten waarop de afbeelding wordt weergegeven. Uw opties:
    • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Er wordt geen aangepaste installatiekopieën toegevoegd aan apparaten. Standaard kan het besturingssysteem een eigen installatiekopieën instellen.
    • Vergrendelingsscherm: voegt de afbeelding toe aan het vergrendelingsscherm.
    • Startscherm: hiermee voegt u de afbeelding toe aan het startscherm.
    • Vergrendelingsscherm en startscherm: gebruikt dezelfde afbeelding op het vergrendelingsscherm en het startscherm.
  • Achtergrondafbeelding: Upload een bestaande .png, .jpg of .jpeg afbeelding die u wilt gebruiken. Zorg ervoor dat de bestandsgrootte kleiner is dan 750 kB. U kunt ook een afbeelding verwijderen die u hebt toegevoegd.

Tip

  • Wanneer u een achtergrondbeleid configureert, raadt Microsoft aan om de instelling Wijziging van achtergrond blokkeren in te schakelen. Met deze instelling voorkomt u dat gebruikers de achtergrond wijzigen.
  • Als u verschillende afbeeldingen wilt weergeven op het vergrendelingsscherm en het startscherm, maakt u een profiel met de afbeelding van het vergrendelingsscherm. Creatie een ander profiel met de afbeelding op het startscherm. Wijs beide profielen toe aan uw iOS-/iPadOS-gebruikers- of apparaatgroepen.