Gegevensbeschermingsframework met beleid voor app-beveiliging
Naarmate meer organisaties strategieën voor mobiele apparaten voor toegang tot werk- of schoolgegevens implementeren, wordt de beveiliging tegen lekkage van gegevens van cruciaal belang. De Mobile Application Management-oplossing van Intune voor beveiliging tegen gegevenslekken is een app-beveiligingsbeleid. Met beleid voor app-beveiliging wordt ervoor gezorgd dat de bedrijfsgegevens veilig blijven of worden opgenomen in een beheerde app, ongeacht of het apparaat al of niet is ingeschreven. Zie Overzicht van beleid voor app-beveiliging voor meer informatie.
Bij het configureren van beleid voor app-beveiliging kunnen organisaties diverse instellingen en opties gebruiken om de beveiliging aan te passen aan hun specifieke behoeften. Vanwege deze flexibiliteit is het wellicht niet duidelijk welke permutatie van beleidsinstellingen vereist is voor het implementeren van een volledig scenario. Om organisaties te helpen bij het bepalen van prioriteiten voor beperkingen voor clienteindpunten, heeft Microsoft een nieuwe taxonomie geïntroduceerd voor beveiligingsconfiguraties in Windows 10 en maakt Intune gebruik van een vergelijkbare taxonomie voor het gegevensbeschermingsframework met beleid voor app-beveiliging voor het beheer van mobiele apps.
Het framework voor de configuratie van gegevensbescherming met beleid voor app-beveiliging is onderverdeeld in drie aparte configuratiescenario's:
Basisgegevensbeveiliging voor ondernemingen (niveau 1): Microsoft raadt deze configuratie aan als de minimale configuratie voor gegevensbeveiliging voor een bedrijfsapparaat.
Geavanceerde gegevensbeveiliging voor ondernemingen (niveau 2): Microsoft raadt deze configuratie aan voor apparaten waarop gebruikers toegang krijgen tot gevoelige of vertrouwelijke informatie. Deze configuratie is van toepassing voor de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens. Sommige van de besturingselementen kunnen van invloed zijn op de gebruikerservaring.
Hoge gegevensbeveiliging voor ondernemingen (niveau 3): Microsoft raadt deze configuratie aan voor apparaten die worden uitgevoerd door een organisatie met een groter of meer geavanceerd beveiligingsteam, of voor specifieke gebruikers of groepen die een uniek hoog risico hebben (gebruikers die gegevens verwerken onbevoegde openbaarmaking ernstige gevolgen heeft voor de organisatie). Een organisatie die veel kans loopt het doelwit te zijn van goed gefinancierde en geavanceerde aanvallers, moet streven naar deze configuratie.
Implementatiemethodologie van gegevensbeschermingsframework met beleid voor app-beveiliging
Net als bij elke implementatie van nieuwe software, functies of instellingen, raadt Microsoft aan om te investeren in een ringmethodologie voor testvalidaties voorafgaand aan de implementatie van het gegevensbeschermingsframework met beleid voor app-beveiliging. Het definiëren van implementatieringen is over het algemeen een eenmalige gebeurtenis (of ten minste een niet veel voorkomende gebeurtenis), maar deze groepen moeten opnieuw worden gecontroleerd om ervoor te zorgen dat het sequentiëren nog steeds correct is.
Microsoft raadt de volgende implementatieringmethode aan voor het gegevensbeschermingsframework met beleid voor app-beveiliging:
| Implementatiering | Tenant | Evaluatieteams | Uitvoer | Tijdlijn |
|---|---|---|---|---|
| Kwaliteitsgarantie | Tenant vóór productie | Eigenaren van mobiele mogelijkheden, beveiliging, evaluatie van risico's, privacy, UX | Validatie van functionele scenario's, conceptdocumentatie | 0-30 dagen |
| Preview | Productietenant | Eigenaren van mobiele mogelijkheden, UX | Validatie van scenario's voor eindgebruikers, documentatie voor gebruikers | 7-14 dagen, kwaliteitsgarantie achteraf |
| Productie | Productietenant | Eigenaren van mobiele mogelijkheden, IT-helpdesk | N.v.t. | 7 dagen tot verschillende weken, na preview |
Zoals in de bovenstaande tabel wordt aangegeven, moeten alle wijzigingen in het beleid voor app-beveiliging eerst worden uitgevoerd in een pre-productieomgeving om inzicht te krijgen in de gevolgen van de beleidsinstellingen. Zodra het testen is voltooid, kunnen de wijzigingen worden verplaatst naar de productie en worden toegepast op een subset productiegebruikers, meestal de IT-afdeling en andere toepasselijke groepen. En ten slotte kan de implementatie worden voltooid naar de rest van de mobiele-gebruikerscommunity. Implementatie naar productie kan enige tijd duren, afhankelijk van hoe groot de impact van de wijziging is. Als er geen gevolgen voor de gebruikers zijn, wordt de wijziging waarschijnlijk snel geïmplementeerd. Maar als de wijziging wel gevolgen voor de gebruikers heeft, is er mogelijk meer tijd nodig voor de implementatie omdat de gebruikers van de wijzigingen op de hoogte moeten worden gesteld.
Bij het testen van wijzigingen in een beleid voor app-beveiliging moet u zich bewust zijn van de leveringstiming. De status van de levering van het beleid voor app-beveiliging voor een bepaalde gebruiker kan worden gecontroleerd. Zie How to monitor app protection policies (App-beveiligingsbeleid controleren) voor meer informatie.
Afzonderlijke instellingen van het beleid voor app-beveiliging voor elke app kunnen worden gevalideerd op apparaten met Edge en de URL about:Intunehelp. Zie Logboeken voor beveiliging van de client-app controleren en Microsoft Edge voor iOS en Android gebruiken voor toegang tot logboeken voor beheerde apps voor meer informatie.
Gegevensbeschermingsframework met beleid voor app-beveiliging
De volgende instellingen voor het app-beveiligingsbeleid moeten worden ingeschakeld voor de toepasselijke apps en worden toegewezen aan alle mobiele gebruikers. Zie Beveiligingsbeleidsinstellingen voor iOS-apps en Beveiligingsbeleidsinstellingen voor Android-apps voor meer informatie over de beleidsinstellingen.
Microsoft raadt u aan gebruiksscenario's te bekijken en te categoriseren, en vervolgens gebruikers te configureren met behulp van de specifieke richtlijnen voor dat niveau. Net als bij elk framework moeten instellingen binnen een overeenkomstig niveau mogelijk worden aangepast op basis van de behoeften van de organisatie, omdat bij de gegevensbescherming de dreigingsomgeving, risicobereidheid en impact op de bruikbaarheid moeten worden beoordeeld.
Beheerders kunnen de onderstaande configuratieniveaus opnemen in hun ringimplementatiemethodologie voor test- en productiegebruik door het voorbeeld van JSON-sjablonen van het Intune-app-beveiliging Policy Configuration Framework te importeren met PowerShell-scripts van Intune.
Beleid voor voorwaardelijke toegang
Beleid voor voorwaardelijke toegang van Azure Active Directory is vereist om ervoor te zorgen dat alleen apps die ondersteuning bieden voor app-beveiligingsbeleid toegang hebben tot gegevens in werk- en schoolaccounts. Deze beleidsregels worden beschreven in App-beveiligingsbeleid vereisen voor toegang tot cloud-apps met voorwaardelijke toegang.
Zie Scenario 1: Office 365-apps vereisen goedgekeurde apps met app-beveiligingsbeleid en Scenario 2: Browser-apps vereisen goedgekeurde apps met app-beveiligingsbeleid in App-beveiligingsbeleid vereisen voor toegang tot cloud-apps met voorwaardelijke toegang voor stappen voor het implementeren van het specifieke beleid. Implementeert tot slot de stappen in Verouderde verificatie blokkeren om verouderde verificatie voor iOS- en Android-apps te blokkeren.
Notitie
Deze beleidsregels maken gebruik van de toekenningsbesturingselementen Goedgekeurde client-app vereisen en App-beveiligingsbeleid vereisen.
Apps die moeten worden opgenomen in het app-beveiligingsbeleid
Voor elk app-beveiligingsbeleid moeten de volgende Microsoft-kern-apps worden opgenomen:
- Edge
- Excel
- Kantoor
- OneDrive
- OneNote
- Outlook
- PowerPoint
- Microsoft Teams
- Microsoft To Do
- Word
- Microsoft SharePoint
Het beleid moet ook gelden voor andere Microsoft-apps op basis van bedrijfsbehoeften, extra openbare apps van derden waarin de Intune-SDK die in de organisatie wordt gebruikt is geïntegreerd, evenals Line-Of-Business-apps waarin de Intune-SDK is geïntegreerd (of die zijn verpakt).
Basisgegevensbeveiliging voor ondernemingen op niveau 1
Niveau 1 is de minimale configuratie van gegevensbeveiliging voor mobiele bedrijfsapparaten. Deze configuratie vervangt de noodzaak van basis-Exchange Online-beleid voor toegang tot apparaten door een pincode te vereisen voor toegang tot werk- of schoolgegevens, de gegevens van het werk- of schoolaccount te versleutelen en de mogelijkheid te bieden om de school- of werkgegevens selectief te wissen. In tegenstelling tot het Exchange Online-beleid voor toegang tot apparaten zijn de onderstaande instellingen voor app-beveiligingsbeleid van toepassing op alle apps die in het beleid zijn geselecteerd, zodat de toegang tot gegevens ook buiten de scenario's voor mobiele berichten is beveiligd.
Met het beleid in niveau 1 wordt een redelijk gegevenstoegangsniveau afgedwongen, terwijl de gevolgen voor gebruikers worden geminimaliseerd en de standaardinstellingen voor gegevensbeveiliging en -toegang worden gespiegeld wanneer er een app-beveiligingsbeleid in Microsoft Eindpuntbeheer wordt gemaakt.
Gegevensbescherming
| Instelling | Beschrijving van instelling | Waarde | Platform |
|---|---|---|---|
| Gegevensoverdracht | Back-up van organisatiegegevens naar... | Toestaan | iOS/iPadOS, Android |
| Gegevensoverdracht | Organisatiegegevens naar andere apps verzenden | Alle apps | iOS/iPadOS, Android |
| Gegevensoverdracht | Gegevens ontvangen van andere apps | Alle apps | iOS/iPadOS, Android |
| Gegevensoverdracht | Knippen, kopiëren en plakken tussen apps beperken | Elke app | iOS/iPadOS, Android |
| Gegevensoverdracht | Toetsenborden van derden | Toestaan | iOS/iPadOS |
| Gegevensoverdracht | Goedgekeurde toetsenborden | Niet vereist | Android |
| Gegevensoverdracht | Schermopname en Google Assistant | Toestaan | Android |
| Versleuteling | Organisatiegegevens versleutelen | Vereist | iOS/iPadOS, Android |
| Versleuteling | Organisatiegegevens op ingeschreven apparaten versleutelen | Vereist | Android |
| Functionaliteit | App synchroniseren met systeemeigen app Contactpersonen | Toestaan | iOS/iPadOS, Android |
| Functionaliteit | Organisatiegegevens afdrukken | Toestaan | iOS/iPadOS, Android |
| Functionaliteit | Overdracht van webinhoud met andere apps beperken | Elke app | iOS/iPadOS, Android |
| Functionaliteit | Meldingen van organisatiegegevens | Toestaan | iOS/iPadOS, Android |
Vereisten voor toegang
| Instelling | Waarde | Platform | Opmerkingen |
|---|---|---|---|
| Pincode voor toegang | Vereist | iOS/iPadOS, Android | |
| Pincodetype | Numeriek | iOS/iPadOS, Android | |
| Eenvoudige pincode | Toestaan | iOS/iPadOS, Android | |
| Minimale lengte pincode selecteren | 4 | iOS/iPadOS, Android | |
| Touch ID in plaats van pincode voor toegang (iOS 8+/iPadOS) | Toestaan | iOS/iPadOS | |
| Vingerafdruk in plaats van pincode voor toegang (Android 6.0+) | Toestaan | Android | |
| Biometrie overschrijven met pincode na time-out | Vereist | iOS/iPadOS | |
| Vingerafdruk overschrijven met pincode na time-out | Vereist | Android | |
| Time-out (minuten van inactiviteit) | 720 | iOS/iPadOS, Android | |
| Face ID in plaats van pincode voor toegang (iOS 11+/iPadOS) | Toestaan | iOS/iPadOS | |
| Biometrische gegevens in plaats van pincode voor toegang | Toestaan | iOS/iPadOS, Android | |
| Pincode na aantal dagen opnieuw instellen | Nee | iOS/iPadOS, Android | |
| Aantal vorige pincodes selecteren dat moet worden onderhouden | 0 | Android | |
| Pincode voor de app wanneer een apparaatpincode is ingesteld | Vereist | iOS/iPadOS, Android | Als het apparaat is ingeschreven bij Intune, kunnen beheerders overwegen om dit in te stellen op Niet vereist als ze een sterke pincode voor het apparaat afdwingen via een nalevingsbeleid voor apparaten. |
| Aanmeldingsgegevens voor werk- of schoolaccount voor toegang | Niet vereist | iOS/iPadOS, Android | |
| Toegangsvereisten opnieuw controleren na (minuten van inactiviteit) | 30 | iOS/iPadOS, Android |
Voorwaardelijk starten
| Instelling | Beschrijving van instelling | Waarde/actie | Platform | Opmerkingen |
|---|---|---|---|---|
| App-voorwaarden | Maximum aantal pincodepogingen | 5/Pincode opnieuw instellen | iOS/iPadOS, Android | |
| App-voorwaarden | Offlinerespijtperiode | 720/Toegang blokkeren (minuten) | iOS/iPadOS, Android | |
| App-voorwaarden | Offlinerespijtperiode | 90/Gegevens wissen (dagen) | iOS/iPadOS, Android | |
| Apparaatvoorwaarden | Apparaten die zijn opengebroken of geroot | N.v.t./Toegang blokkeren | iOS/iPadOS, Android | |
| Apparaatvoorwaarden | SafetyNet-attestation voor apparaat | Basisintegriteit en gecertificeerde apparaten/Toegang blokkeren | Android | Met deze instelling wordt SafetyNet-Attestation van Google op apparaten van de eindgebruiker geconfigureerd. Met basisintegriteit wordt de integriteit van het apparaat gevalideerd. Geroote apparaten, emulators, virtuele apparaten en apparaten met zichtbare sabotagesporen voldoen niet aan de basisintegriteit. Met basisintegriteit en gecertificeerde apparaten worden de compatibiliteit van het apparaat met services van Google gevalideerd. Alleen niet-aangepaste apparaten die door Google zijn gecertificeerd, voldoen aan deze controle. |
| Apparaatvoorwaarden | Bedreigingsscan voor apps vereisen | N.v.t./Toegang blokkeren | Android | Deze instelling zorgt ervoor dat de scanfunctie voor Apps controleren van Google wordt ingeschakeld voor eindgebruikerapparaten. Als deze instelling is geconfigureerd, wordt de toegang geblokkeerd voor de eindgebruiker zolang deze de scanfunctie van Google voor apps niet inschakelt op het Android-apparaat. |
| Apparaatvoorwaarden | Apparaatvergrendeling vereisen | N.v.t./Toegang blokkeren | Android | Deze instelling zorgt ervoor dat Android-apparaten een pincode, wachtwoord of patroon voor het apparaat hebben om een apparaatvergrendeling in te stellen. Deze voorwaarde maakt geen onderscheid tussen vergrendelingsopties of de complexiteit. |
Geavanceerde gegevensbeveiliging voor ondernemingen op niveau 2
Niveau 2 is de configuratie voor gegevensbeveiliging die wordt aanbevolen als standaard voor apparaten waarbij gebruikers toegang hebben tot meer gevoelige informatie. Deze apparaten zijn tegenwoordig vaak het doelwit in ondernemingen. Bij deze aanbevelingen wordt er niet uitgegaan van een groot aantal medewerkers met veel ervaring op het gebied van beveiliging. Om die reden is het belangrijk dat de configuratie voor veel bedrijven toegankelijk is. Deze configuratie is een uitbreiding van de configuratie in niveau 1 door scenario's voor gegevensoverdracht te beperken en door een minimumversie van het besturingssysteem te vereisen.
De beleidsinstellingen die in niveau 2 worden afgedwongen, bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 1, maar vermelden alleen de onderstaande beleidsinstellingen die zijn toegevoegd of gewijzigd om meer besturingselementen en een geavanceerdere configuratie dan niveau 1 te implementeren. Hoewel deze instellingen misschien iets meer impact op gebruikers of toepassingen hebben, wordt een niveau van gegevensbescherming afgedwongen dat beter past bij de risico's die gelden voor gebruikers met toegang tot gevoelige informatie op mobiele apparaten.
Gegevensbescherming
| Instelling | Beschrijving van instelling | Waarde | Platform | Opmerkingen |
|---|---|---|---|---|
| Gegevensoverdracht | Back-up van organisatiegegevens naar... | Blokkeren | iOS/iPadOS, Android | |
| Gegevensoverdracht | Organisatiegegevens naar andere apps verzenden | Door beleid beheerde apps | iOS/iPadOS, Android | Bij iOS/iPadOS kunnen beheerders deze waarde configureren als Door beleid beheerde apps, Door beleid beheerde apps met delen van het besturingssysteem of Door beleid beheerde apps met filteren op openen in/delen. Door beleid beheerde apps met delen van het besturingssysteem is beschikbaar wanneer het apparaat ook is ingeschreven bij Intune. Met deze instelling is gegevensoverdracht naar andere door beleid beheerde apps toegestaan, evenals bestandsoverdracht naar andere apps die worden beheerd met Intune. Met Door beleid beheerde apps met filteren op openen in/delen worden de dialoogvensters Openen in/Delen van het besturingssysteem zo gefilterd dat alleen door beleid beheerde apps worden weergegeven. Zie Beveiligingsbeleidsinstellingen voor iOS-apps voor meer informatie. |
| Gegevensoverdracht | Apps selecteren die moeten worden uitgesloten | Default / skype;app-settings;calshow;itms;itmss;itms-apps;itms-appss;itms-services; | iOS/iPadOS | |
| Gegevensoverdracht | Kopieën van de organisatiegegevens opslaan | Blokkeren | iOS/iPadOS, Android | |
| Gegevensoverdracht | De gebruiker toestaan om kopieën op te slaan in de geselecteerde services | OneDrive voor Bedrijven, SharePoint Online | iOS/iPadOS, Android | |
| Gegevensoverdracht | Telecommunicatiegegevens overdragen aan | Elke kiezer-app | iOS/iPadOS, Android | |
| Gegevensoverdracht | Knippen, kopiëren en plakken tussen apps beperken | Door beleid beheerde apps met plakken in | iOS/iPadOS, Android | |
| Gegevensoverdracht | Schermopname en Google Assistant | Blokkeren | Android | |
| Functionaliteit | Overdracht van webinhoud met andere apps beperken | Microsoft Edge | iOS/iPadOS, Android | |
| Functionaliteit | Meldingen van organisatiegegevens | Organisatiegegevens blokkeren | iOS/iPadOS, Android | Zie Beveiligingsbeleidsinstellingen voor iOS-apps en Beveiligingsbeleidsinstellingen voor Android-apps voor een lijst met apps die deze instelling ondersteunen. |
Voorwaardelijk starten
| Instelling | Beschrijving van instelling | Waarde/actie | Platform | Opmerkingen |
|---|---|---|---|---|
| App-voorwaarden | Uitgeschakeld account | N.v.t./Toegang blokkeren | iOS/iPadOS, Android | |
| Apparaatvoorwaarden | Minimale versie van het besturingssysteem | Indeling: Major.Minor.Build Voorbeeld: 13.7 / Toegang blokkeren |
iOS/iPadOS | Microsoft raadt aan de minimale primaire iOS-versie te configureren zodat deze overeenkomt met de ondersteunde iOS-versies voor Microsoft-apps. Microsoft-apps ondersteunen een N-1-benadering waarbij N de huidige versie van de primaire iOS-release is. Voor primaire en buildversies raadt Microsoft aan ervoor te zorgen dat apparaten zijn bijgewerkt met de respectieve beveiligingspatches. Zie Apple-beveiligingspatches voor de meest recente aanbevelingen van Apple |
| Apparaatvoorwaarden | Minimale versie van het besturingssysteem | Indeling: Major.Minor Voorbeeld: 6.0 / Toegang blokkeren |
Android | Microsoft raadt aan de minimale primaire versie van Android te configureren zodat deze overeenkomt met de ondersteunde Android-versies voor Microsoft-apps. OEM's en apparaten die voldoen aan de aanbevolen Android Enterprise-vereisten, moeten ondersteuning bieden voor de release die nu wordt vrijgegeven + upgrade van één letter. Android raadt momenteel Android 9.0 en hoger aan voor kenniswerkers. Zie Aanbevolen Android Enterprise-vereisten voor de nieuwste aanbevelingen van Android |
| Apparaatvoorwaarden | Minimale patchversie | Indeling: JJJJ-MM-DD Voorbeeld: 2020-01-01/Toegang blokkeren |
Android | Android-apparaten kunnen maandelijkse beveiligingspatches ontvangen, maar de release is afhankelijk van OEM's en/of providers. Organisaties moeten ervoor zorgen dat geïmplementeerde Android-apparaten beveiligingspatches ontvangen voordat deze instelling wordt geïmplementeerd. Zie Android-beveiligingsbulletins voor de nieuwste patchreleases. |
Hoge gegevensbeveiliging voor ondernemingen op niveau 3
Niveau 3 is de configuratie voor gegevensbeveiliging die wordt aanbevolen als standaard voor organisaties met veel ervaren beveiligingsmedewerkers of voor specifieke gebruikers en groepen die een grote kans op aanvallen hebben. Het gaat hier vaak om goed gefinancierde geavanceerde aanvallen zodat de hier beschreven extra beperkingen en besturingselementen heel nuttig zijn. Deze configuratie is een uitbreiding van de configuratie in niveau 2 door extra scenario's voor gegevensoverdracht te beperken, de complexiteit van de configuratie van pincodes te verhogen en detectie van mobiele bedreigingen toe te voegen.
De beleidsinstellingen die in niveau 3 worden afgedwongen, bevatten alle beleidsinstellingen die worden aanbevolen voor niveau 2, maar vermelden alleen de onderstaande beleidsinstellingen die zijn toegevoegd of gewijzigd om meer besturingselementen en een geavanceerdere configuratie dan niveau 2 te implementeren. Deze beleidsinstellingen kunnen veel impact op gebruikers of toepassingen hebben, doordat een beveiligingsniveau wordt afgedwongen dat beter past bij organisaties die risico's lopen.
Gegevensbescherming
| Instelling | Beschrijving van instelling | Waarde | Platform | Opmerkingen |
|---|---|---|---|---|
| Gegevensoverdracht | Telecommunicatiegegevens overdragen aan | Een door beleid beheerde kiezer-app | Android | Beheerders kunnen deze instelling ook configureren voor het gebruik van een kiezer-app die geen ondersteuning biedt voor het beveiligingsbeleid voor apps door Een specifieke kiezer-app te selecteren en de pakket-id van de kiezer-app en naam van de kiezer-app op te geven. |
| Gegevensoverdracht | Telecommunicatiegegevens overdragen aan | Een specifieke kiezer-app | iOS/iPadOS | |
| Gegevensoverdracht | URL-schema van kiezer-app | replace_with_dialer_app_url_scheme | iOS/iPadOS | Op iOS/iPadOS moet deze waarde worden vervangen door het URL-schema voor de aangepaste kiezer-app die wordt gebruikt. Als het URL-schema niet bekend is, moet u contact opnemen met de app-ontwikkelaar voor meer informatie. Zie Een aangepast URL-schema definiëren voor uw app voor meer informatie over URL-schema's. |
| Gegevensoverdracht | Gegevens ontvangen van andere apps | Door beleid beheerde apps | iOS/iPadOS, Android | |
| Gegevensoverdracht | Gegevens openen in organisatiedocumenten | Blokkeren | iOS/iPadOS, Android | |
| Gegevensoverdracht | Gebruikers toestaan om gegevens van geselecteerde services te openen | OneDrive voor Bedrijven, SharePoint | iOS/iPadOS, Android | |
| Gegevensoverdracht | Toetsenborden van derden | Blokkeren | iOS/iPadOS | Hiermee worden in iOS/iPadOS alle toetsenborden van derden in de app geblokkeerd. |
| Gegevensoverdracht | Goedgekeurde toetsenborden | Vereist | Android | |
| Gegevensoverdracht | Toetsenborden selecteren voor goedkeuring | toetsenborden toevoegen/verwijderen | Android | Bij Android moeten er toetsenborden worden geselecteerd voor gebruik op de geïmplementeerde Android-apparaten. |
| Functionaliteit | Organisatiegegevens afdrukken | Blokkeren | iOS/iPadOS, Android |
Vereisten voor toegang
| Instelling | Waarde | Platform |
|---|---|---|
| Eenvoudige pincode | Blokkeren | iOS/iPadOS, Android |
| Minimale lengte pincode selecteren | 6 | iOS/iPadOS, Android |
| Pincode na aantal dagen opnieuw instellen | Ja | iOS/iPadOS, Android |
| Aantal dagen | 365 | iOS/iPadOS, Android |
Voorwaardelijk starten
| Instelling | Beschrijving van instelling | Waarde/actie | Platform | Opmerkingen |
|---|---|---|---|---|
| Apparaatvoorwaarden | Minimale versie van het besturingssysteem | Indeling: Major.Minor Voorbeeld: 9.0/ Toegang blokkeren |
Android | Microsoft raadt aan de minimale primaire versie van Android te configureren zodat deze overeenkomt met de ondersteunde Android-versies voor Microsoft-apps. OEM's en apparaten die voldoen aan de aanbevolen Android Enterprise-vereisten, moeten ondersteuning bieden voor de release die nu wordt vrijgegeven + upgrade van één letter. Android raadt momenteel Android 9.0 en hoger aan voor kenniswerkers. Zie Aanbevolen Android Enterprise-vereisten voor de nieuwste aanbevelingen van Android |
| Apparaatvoorwaarden | Apparaten die zijn opengebroken of geroot | N.v.t./Gegevens wissen | iOS/iPadOS, Android | |
| Apparaatvoorwaarden | Maximaal toegestaan bedreigingsniveau | Beveiligd/Toegang blokkeren | iOS/iPadOS, Android | Apparaten die niet zijn ingeschreven, kunnen worden gecontroleerd op bedreigingen met behulp van Mobile Threat Defense. Zie Mobile Threat Defense voor niet-ingeschreven apparaten voor meer informatie. Als het apparaat is ingeschreven, kan deze instelling worden overgeslagen als u Mobile Threat Defense voor ingeschreven apparaten wilt implementeren. Zie Mobile Threat Defense voor ingeschreven apparaten voor meer informatie. |
| Apparaatvoorwaarden | Maximale versie van het besturingssysteem | Indeling: Major.Minor Voorbeeld: 11.0 / Toegang blokkeren |
Android | Microsoft raadt aan de maximale hoofdversie van Android te configureren om ervoor te zorgen dat bètaversies of niet-ondersteunde versies van het besturingssysteem niet worden gebruikt. Zie Aanbevolen Android Enterprise-vereisten voor de nieuwste aanbevelingen van Android |
Volgende stappen
Beheerders kunnen de bovenstaande configuratieniveaus opnemen in hun ringimplementatiemethode voor test- en productiegebruik door de voorbeeld-JSON-sjablonen voor het framework voor de configuratie van Intune-app-beveiligingsbeleid met PowerShell-scripts te importeren.