App-configuratiebeleid voor beheerde iOS-/iPadOS-apparaten toevoegen

  • Artikel

Gebruik app-configuratiebeleidsregels in Microsoft Intune om aangepaste configuratie-instellingen te bieden voor een iOS-/iPadOS-app. Met deze configuratie-instellingen kan een app worden aangepast op basis van de richting van de app-leveranciers. U moet deze configuratie-instellingen (sleutels en waarden) ophalen van de leverancier van de app. Als u de app wilt configureren, geeft u de instellingen op als sleutels en waarden, of als XML die de sleutels en waarden bevat.

Als Microsoft Intune-beheerder kunt u bepalen welke gebruikersaccounts worden toegevoegd aan Microsoft 365-toepassingen (Office) op beheerde apparaten. U kunt de toegang beperken tot alleen toegestane organisatiegebruikersaccounts en persoonlijke accounts op ingeschreven apparaten blokkeren. De ondersteunende toepassingen verwerken de app-configuratie en verwijderen en blokkeren niet-goedgekeurde accounts. De configuratiebeleidsinstellingen worden gebruikt wanneer de app hierop controleert, meestal de eerste keer dat deze wordt uitgevoerd.

Nadat u een app-configuratiebeleid hebt toegevoegd, kunt u de toewijzingen voor het app-configuratiebeleid instellen. Wanneer u de toewijzingen voor het beleid instelt, kunt u ervoor kiezen om een filter te gebruiken en de groepen gebruikers op te nemen en uit te sluiten waarop het beleid van toepassing is. Wanneer u ervoor kiest om een of meer groepen op te nemen, kunt u ervoor kiezen om specifieke groepen op te nemen of ingebouwde groepen te selecteren. Ingebouwde groepen zijn alle gebruikers, alle apparaten en alle gebruikers + alle apparaten.

Opmerking

Intune biedt vooraf gemaakte groepen Alle gebruikers en Alle apparaten in de console met ingebouwde optimalisaties voor uw gemak. Het wordt ten zeerste aanbevolen dat u deze groepen gebruikt om alle gebruikers en alle apparaten te targeten in plaats van alle groepen 'Alle gebruikers' of 'Alle apparaten' die u mogelijk zelf hebt gemaakt.

Nadat u de opgenomen groepen voor uw toepassingsconfiguratiebeleid hebt geselecteerd, kunt u ook de specifieke groepen kiezen die u wilt uitsluiten. Zie App-toewijzingen opnemen en uitsluiten in Microsoft Intune voor meer informatie.

Tip

Dit beleidstype is momenteel alleen beschikbaar voor apparaten met iOS/iPadOS 8.0 en hoger. Het ondersteunt de volgende app-installatietypen:

  • Beheerde iOS-/iPadOS-app uit de App Store
  • App-pakket voor iOS

Zie Een app toevoegen aan Microsoft Intune voor meer informatie over app-installatietypen. Zie Beheerde App Configuration in de documentatie voor iOS-ontwikkelaars voor meer informatie over het opnemen van app-configuratie in uw .ipa-app-pakket voor beheerde apparaten.

Een app-configuratiebeleid maken

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Kies hetapp-configuratiebeleid> voor apps>Beheerde apparatentoevoegen>. U kunt kiezen tussen Beheerde apparaten en Beheerde apps. Zie Apps die app-configuratie ondersteunen voor meer informatie.

  3. Stel op de pagina Basisinformatie de volgende details in:

    • Naam: de naam van het profiel dat wordt weergegeven in het Microsoft Intune-beheercentrum.
    • Beschrijving: de beschrijving van het profiel dat wordt weergegeven in het Microsoft Intune-beheercentrum.
    • Apparaatinschrijvingstype : deze instelling is ingesteld op Beheerde apparaten.

  4. Selecteer iOS/iPadOS als platform.

  5. Klik op App selecteren naast Doel-app. Het deelvenster Gekoppelde app wordt weergegeven.

  6. Kies in het deelvenster Doel-app de beheerde app die u wilt koppelen aan het configuratiebeleid en klik op OK.

  7. Klik op Volgende om de pagina Instellingen weer te geven.

  8. Selecteer in de vervolgkeuzelijst de indeling Configuratie-instellingen. Selecteer een van de volgende methoden om configuratiegegevens toe te voegen:

    • Configuration Designer gebruiken
    • XML-gegevens invoeren

      Zie Configuration Designer gebruiken voor meer informatie over het gebruik van de configuration designer. Zie XML-gegevens invoeren voor meer informatie over het invoeren van XML-gegevens.

  9. Klik op Volgende om de pagina Bereiktags weer te geven.

  10. [Optioneel] U kunt bereiktags configureren voor uw app-configuratiebeleid. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

  11. Klik op Volgende om de pagina Toewijzingen weer te geven.

  12. Selecteer op de pagina Toewijzingen de optie Groepen toevoegen, Alle gebruikers toevoegen of Alle apparaten toevoegen om het app-configuratiebeleid toe te wijzen. Nadat u een toewijzingsgroep hebt geselecteerd, kunt u een filter selecteren om het toewijzingsbereik te verfijnen bij het implementeren van app-configuratiebeleid voor beheerde apparaten.

    Schermopname van de pagina configuratiebeleidstoewijzingen

  13. Selecteer Alle gebruikers in de vervolgkeuzelijst.

    Schermopname van beleidstoewijzingen - vervolgkeuzelijst Alle gebruikers

  14. [Optioneel] Klik op Filter bewerken om een filter toe te voegen en het toewijzingsbereik te verfijnen.

    Schermopname van beleidstoewijzingen - Filter bewerken

  15. Klik op Groepen selecteren om uit te sluiten om het gerelateerde deelvenster weer te geven.

  16. Kies de groepen die u wilt uitsluiten en klik op Selecteren.

    Opmerking

    Wanneer u een groep toevoegt en een andere groep al is opgenomen voor een bepaald toewijzingstype, is deze vooraf geselecteerd en kan deze niet worden gewijzigd voor andere toewijzingstypen voor opnemen. De groep die is gebruikt, kan daarom niet worden gebruikt als een uitgesloten groep.

  17. Klik op Volgende om de pagina Controleren en maken weer te geven.

  18. Klik op Maken om het app-configuratiebeleid toe te voegen aan Intune.

Configuration Designer gebruiken

Microsoft Intune biedt configuratie-instellingen die uniek zijn voor een app. U kunt de configuratieontwerper gebruiken voor apps op apparaten die al dan niet zijn ingeschreven bij Microsoft Intune. Met de ontwerpfunctie kunt u specifieke configuratiesleutels en -waarden configureren waarmee u de onderliggende XML kunt maken. U moet ook het gegevenstype voor elke waarde opgeven. Deze instellingen worden automatisch aan apps geleverd wanneer de apps worden geïnstalleerd.

Een instelling toevoegen

  1. Stel voor elke sleutel en waarde in de configuratie het volgende in:
    • Configuratiesleutel : de hoofdlettergevoelige sleutel die de specifieke instellingsconfiguratie uniek identificeert.
    • Waardetype : het gegevenstype van de configuratiewaarde. Typen zijn onder andere Geheel getal, Echt, Tekenreeks of Booleaanse waarde.
    • Configuratiewaarde : de waarde voor de configuratie.
  2. Kies OK om uw configuratie-instellingen in te stellen.

Een instelling verwijderen

  1. Kies het beletselteken (...) naast de instelling.
  2. Selecteer Verwijderen.

De tekens {{ en }} worden alleen gebruikt door tokentypen en mogen niet voor andere doeleinden worden gebruikt.

Alleen geconfigureerde organisatieaccounts in apps toestaan

Als Microsoft Intune beheerder kunt u bepalen welke werk- of schoolaccounts worden toegevoegd aan Microsoft-apps op beheerde apparaten. U kunt de toegang beperken tot alleen toegestane gebruikersaccounts van de organisatie en persoonlijke accounts in de apps blokkeren (indien ondersteund) op ingeschreven apparaten. Gebruik voor iOS-/iPadOS-apparaten de volgende sleutel-waardeparen in een app-configuratiebeleid voor beheerde apparaten:

Sleutel Waarden
IntuneMAMAllowedAccountsOnly
  • Ingeschakeld: het enige account dat is toegestaan, is het beheerde gebruikersaccount dat is gedefinieerd met de IntuneMAMUPN-sleutel .
  • Uitgeschakeld (of een waarde die geen hoofdlettergevoelige overeenkomst is met Ingeschakeld): elk account is toegestaan.
IntuneMAMUPN
  • UPN van het account dat is toegestaan om zich aan te melden bij de app.
  • Voor Intune ingeschreven apparaten kan het {{userprincipalname}} token worden gebruikt om het geregistreerde gebruikersaccount weer te geven.

Opmerking

De volgende apps verwerken de bovenstaande app-configuratie en staan alleen organisatieaccounts toe:

  • Copilot voor iOS (28.1.420324001 en hoger)
  • Edge voor iOS (44.8.7 en hoger)
  • Office, Word, Excel, PowerPoint voor iOS (2.41 en hoger)
  • OneDrive voor iOS (10.34 en hoger)
  • OneNote voor iOS (2.41 en hoger)
  • Outlook voor iOS (2.99.0 en hoger)
  • Teams voor iOS (2.0.15 en hoger)

Geconfigureerde organisatieaccounts in apps vereisen

Op ingeschreven apparaten kunnen organisaties vereisen dat het werk- of schoolaccount is aangemeld bij beheerde Microsoft-apps om organisatiegegevens van andere beheerde apps te ontvangen. Denk bijvoorbeeld aan het scenario waarin de gebruiker bijlagen heeft opgenomen in e-mailberichten die zijn opgenomen in het beheerde e-mailprofiel in de systeemeigen iOS-e-mailclient. Als de gebruiker probeert de bijlagen over te dragen naar een Microsoft-app, zoals Office, die wordt beheerd op het apparaat en waarop deze sleutels zijn toegepast, wordt de overgedragen bijlage in deze configuratie behandeld als organisatiegegevens, waarbij het werk- of schoolaccount moet worden aangemeld en de instellingen voor het app-beveiligingsbeleid worden afgedwongen.

Gebruik voor iOS-/iPadOS-apparaten de volgende sleutel-waardeparen in een app-configuratiebeleid voor beheerde apparaten voor elke Microsoft-app:

Sleutel Waarden
IntuneMAMRequireAccounts
  • Ingeschakeld: Voor de app moet de gebruiker zich aanmelden bij het beheerde gebruikersaccount dat is gedefinieerd door de IntuneMAMUPN-sleutel om organisatiegegevens te ontvangen.
  • Uitgeschakeld (of een waarde die geen hoofdlettergevoelige overeenkomst is met Ingeschakeld): Er is geen account-aanmelding vereist
IntuneMAMUPN
  • UPN van het account dat is toegestaan om zich aan te melden bij de app.
  • Voor Intune ingeschreven apparaten kan het {{userprincipalname}} token worden gebruikt om het geregistreerde gebruikersaccount weer te geven.

Opmerking

Apps moeten beschikken over Intune APP SDK voor iOS versie 12.3.3 of hoger en moeten een Intune-app-beveiligingsbeleid hebben wanneer aanmelding bij een werk- of schoolaccount is vereist. Binnen het app-beveiligingsbeleid moet de optie 'Gegevens ontvangen van andere apps' zijn ingesteld op 'Alle apps met binnenkomende organisatiegegevens'.

Op dit moment is aanmelding van apps alleen vereist wanneer er binnenkomende organisatiegegevens naar een doel-app zijn.

XML-gegevens invoeren

U kunt een XML-eigenschappenlijst typen of plakken die de app-configuratie-instellingen bevat voor apparaten die zijn ingeschreven in Intune. De indeling van de XML-eigenschappenlijst varieert, afhankelijk van de app die u configureert. Neem voor meer informatie over de exacte indeling contact op met de leverancier van de app.

Intune valideert de XML-indeling. Intune controleert echter niet of de XML-eigenschappenlijst (PList) werkt met de doel-app.

Voor meer informatie over XML-eigenschappenlijsten:

Voorbeeldindeling voor een XML-bestand voor app-configuratie

Wanneer u een app-configuratiebestand maakt, kunt u een of meer van de volgende waarden opgeven met behulp van deze indeling:

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

Ondersteunde XML PList-gegevenstypen

Intune ondersteunt de volgende gegevenstypen in een eigenschappenlijst:

  • <Geheel getal>
  • <Echte>
  • <Tekenreeks>
  • <Array>
  • <Dict>
  • <waar /> of <onwaar />

Tokens die worden gebruikt in de eigenschappenlijst

Daarnaast ondersteunt Intune de volgende tokentypen in de eigenschappenlijst:

  • {{userprincipalname}}, bijvoorbeeld: John@contoso.com
  • {{mail}}, bijvoorbeeld John@contoso.com
  • {{partialupn}}— bijvoorbeeld Jan
  • {{accountid}}— bijvoorbeeld fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}}— bijvoorbeeld b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}}— bijvoorbeeld 3ec2c00f-b125-4519-acf0-302ac3761822
  • {{username}}— bijvoorbeeld John Doe
  • {{serialnumber}}— bijvoorbeeld F4KN99ZUG5V2 (voor iOS-/iPadOS-apparaten)
  • {{serialnumberlast4digits}}, bijvoorbeeld G5V2 (voor iOS-/iPadOS-apparaten)
  • {{aaddeviceid}}, bijvoorbeeld ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}}, bijvoorbeeld Waar (voor iOS-/iPadOS-apparaten)

De Bedrijfsportal-app configureren voor ondersteuning van iOS- en iPadOS-apparaten die zijn ingeschreven met automatische apparaatinschrijving

Automatische apparaatinschrijvingen van Apple zijn standaard niet compatibel met de App Store-versie van de Bedrijfsportal-app. U kunt de Bedrijfsportal-app echter configureren voor ondersteuning van iOS-/iPadOS ADE-apparaten, zelfs wanneer gebruikers de Bedrijfsportal van de App Store hebben gedownload met behulp van de volgende stappen.

  1. Voeg in Microsoft Intune beheercentrum de Intune-bedrijfsportal-app toe als deze nog niet is toegevoegd door naar Apps>Alle apps>iOS Store-apptoevoegen> te gaan.

  2. Ga naarApp-configuratiebeleid voor apps> om een app-configuratiebeleid te maken voor de Bedrijfsportal-app.

  3. Maak een app-configuratiebeleid met de onderstaande XML. Meer informatie over het maken van een app-configuratiebeleid en het invoeren van XML-gegevens vindt u in App-configuratiebeleid toevoegen voor beheerde iOS-/iPadOS-apparaten.

    • Gebruik de Bedrijfsportal op een ADE-apparaat (Automated Device Enrollment) dat is ingeschreven met gebruikersaffiniteit:

      Opmerking

      Wanneer voor het inschrijvingsprofiel 'Bedrijfsportal installeren' is ingesteld op ja, pusht Intune het onderstaande toepassingsconfiguratiebeleid automatisch als onderdeel van het initiële inschrijvingsproces. Deze configuratie mag niet handmatig worden geïmplementeerd op gebruikers of apparaten, omdat dit een conflict veroorzaakt met de nettolading die al is verzonden tijdens de inschrijving, waardoor eindgebruikers wordt gevraagd een nieuw beheerprofiel te downloaden nadat ze zich hebben aangemeld bij Bedrijfsportal (wanneer dat niet het geval is, omdat er al een beheerprofiel op deze apparaten is geïnstalleerd).

      <dict>
    <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
    <dict>
        <key>IntuneDeviceId</key>
        <string>{{deviceid}}</string>
        <key>UserId</key>
        <string>{{userid}}</string>
    </dict>
</dict>

    • Gebruik de Bedrijfsportal op een ADE-apparaat dat is ingeschreven zonder gebruikersaffiniteit (ook wel apparaatfasering genoemd):

      Opmerking

      De gebruiker die zich aanmeldt bij Bedrijfsportal is ingesteld als de primaire gebruiker van het apparaat.

      <dict>
    <key>IntuneUDAUserlessDevice</key>
    <string>{{SIGNEDDEVICEID}}</string>
</dict>

  4. Implementeer de Bedrijfsportal op apparaten met het app-configuratiebeleid dat is gericht op de gewenste groepen. Zorg ervoor dat u het beleid alleen implementeert op groepen apparaten die al zijn ingeschreven bij ADE.

  5. Laat eindgebruikers zich aanmelden bij de Bedrijfsportal-app wanneer deze automatisch wordt geïnstalleerd.

Opmerking

Wanneer u een app-configuratie toevoegt om de Bedrijfsportal app toe te staan op ADE-apparaten zonder gebruikersaffiniteit, kunt u een STATE Policy Errorervaren. In tegenstelling tot andere app-configuraties geldt deze situatie niet telkens wanneer het apparaat wordt ingecheckt. In plaats daarvan is deze app-configuratie bedoeld als een eenmalige bewerking om bestaande apparaten die zijn ingeschreven zonder gebruikersaffiniteit in staat te stellen gebruikersaffiniteit te verkrijgen wanneer een gebruiker zich aanmeldt bij de Bedrijfsportal. Deze app-configuratie wordt verwijderd uit het beleid op de achtergrond zodra deze is toegepast. De beleidstoewijzing bestaat, maar rapporteert niet 'geslaagd' zodra de app-configuratie op de achtergrond is verwijderd. Zodra het app-configuratiebeleid is toegepast op het apparaat, kunt u de toewijzing van het beleid ongedaan maken.

Configuratiestatus van iOS-/iPadOS-apps per apparaat bewaken

Zodra een configuratiebeleid is toegewezen, kunt u de configuratiestatus van de iOS-/iPadOS-app controleren voor elk beheerd apparaat. Selecteer in Microsoft Intune in het Microsoft Intune-beheercentrumde optie Apparaten>Alle apparaten. Selecteer in de lijst met beheerde apparaten een specifiek apparaat om een deelvenster voor het apparaat weer te geven. Selecteer app-configuratie in het apparaatvenster.

Aanvullende informatie

Volgende stappen

Ga door met het toewijzen en bewaken van de app.