App-beveiligingsbeleid maken en toewijzen

Meer informatie over het maken en toewijzen van app-beveiligingsbeleid (APP) van Microsoft Intune aan gebruikers van uw organisatie. Dit onderwerp beschrijft ook hoe u wijzigingen aanbrengt in bestaande beleidsregels.

Voordat u begint

App-beveiligingsbeleid kan van toepassing zijn op apps die worden uitgevoerd op apparaten die al dan niet door Intune worden beheerd. Voor een gedetailleerde beschrijving van de werking van het appbeveiligingsbeleid en de scenario's die worden ondersteund door het appbeveiligingsbeleid van Intune raadpleegt u Overzicht van appbeveiligingsbeleid.

Dankzij de opties die beschikbaar zijn in het appbeveiligingsbeleid (APP) kunnen organisaties de beveiliging aanpassen aan hun specifieke behoeften. Het is mogelijk niet voor iedereen duidelijk welke beleidsinstellingen vereist zijn om een volledig scenario te implementeren. Microsoft heeft een taxonomie geïntroduceerd voor het APP-gegevensbeschermingsframework voor het beheer van mobiele iOS- en Android-apps om organisaties te helpen bij het bepalen van de prioriteit van de beveiliging van mobiele clienteindpunten.

Het APP-gegevensbeschermingsframework is onderverdeeld in drie afzonderlijke configuratieniveaus, waarbij elk niveau is gebaseerd op het vorige niveau:

  • Met Basisgegevensbescherming voor ondernemingen (niveau 1) worden apps beveiligd met een pincode en versleuteld, en worden selectieve wisbewerkingen uitgevoerd. Voor Android-apparaten wordt met dit niveau Android-apparaatbevestiging gevalideerd. Dit is een configuratie op instapniveau die vergelijkbare gegevensbescherming biedt in het Exchange Online-postvakbeleid en die IT en de gebruikerspopulatie laat kennismaken met APP.
  • Met Geavanceerde gegevensbescherming voor ondernemingen (niveau 2) worden mechanismen voor preventie van gegevenslekkage en minimale vereisten voor het besturingssysteem geïntroduceerd. Dit is de configuratie die van toepassing is op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens.
  • Met Hoge gegevensbeveiliging voor ondernemingen (niveau 3) worden geavanceerde mechanismen voor gegevensbeveiliging, verbeterde configuratie van de pincode en APP Mobile Threat Defense geïntroduceerd. Deze configuratie is wenselijk voor gebruikers die toegang hebben tot gegevens met een hoog risico.

Als u de specifieke aanbevelingen voor elk configuratieniveau en de apps die minimaal moeten worden beveiligd, wilt bekijken, bestudeert u Gegevensbeschermingsframework met behulp van beveiligingsbeleid voor apps.

Zie Met Microsoft Intune beveiligde apps voor een lijst met apps die de Intune-SDK hebben geïntegreerd.

Zie Add apps to Microsoft Intune (Apps toevoegen aan Microsoft Intune) voor informatie over het toevoegen van LOB-apps (Line-Of-Business) aan Microsoft Intune in voorbereiding op app-beveiligingsbeleid.

Beveiligingsbeleid voor apps voor iOS/iPadOS- en Android-apps

Wanneer u een app-beveiligingsbeleid maakt voor iOS/iPadOS- en Android-apps, volgt u een moderne Intune-processtroom die resulteert in een nieuw beveiligingsbeleid voor apps. Zie Beleid voor Windows Information Protection (WIP) maken en implementeren met Intune voor informatie over het maken van een beveiligingsbeleid voor Windows-apps.

Een beveiligingsbeleid voor iOS/iPadOS- of Android-apps maken

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.

  2. Selecteer Apps > Beleid voor app-beveiliging. Hiermee opent u de details van het App-beveiligingsbeleid, waar u nieuw beleid kunt maken en bestaande beleidsregels kunt bewerken.

  3. Selecteer Beleid maken en selecteer iOS/iPadOS of Android. Het deelvenster Beleid maken wordt weergegeven.

  4. Voeg op de pagina Basisinformatie de volgende waarden toe:

    Waarde Beschrijving
    Naam De naam van dit app-beveiligingsbeleid.
    Beschrijving [Optioneel] De beschrijving van dit app-beveiligingsbeleid.

    De waarde Platform wordt ingesteld op basis van de bovenstaande keuze.

    Schermopname van de pagina Basisinformatie van het deelvenster Beleid maken

  5. Klik op Volgende om de pagina Apps weer te geven.
    Op de pagina Apps kunt u kiezen hoe u dit beleid wilt toepassen op apps op verschillende apparaten. U moet minstens één app toevoegen.

    Waarde/optie Beschrijving
    Toepassen op apps op alle apparaattypen Gebruik deze optie om uw beleid te richten op apps op apparaten met een beheerstatus. Kies Nee om apps te richten op specifieke typen apparaten. Zie Beleidsregels voor app-beveiliging toepassen op basis van de apparaatbeheerstatus voor informatie.
    Apparaattypen Gebruik deze optie om op te geven of dit beleid van toepassing is op door MDM beheerde apparaten of op onbeheerde apparaten. Voor iOS-/iPadOS-APP-beleid selecteert u Niet-beheerde en Beheerde apparaten. Voor Android-APP-beleid maakt u een keuze uit Niet-beheerd, Android-apparaatbeheerder en Android Enterprise.
    Openbare apps Kies in het vervolgkeuzevak Doelbeleid voor om uw app-beveiligingsbeleid te richten op Alle openbare apps, Microsoft Apps of Core Microsoft Apps. Vervolgens kunt u Lijst weergeven van apps die worden beïnvloed selecteren om een lijst weer te geven van de apps die door dit beleid worden beïnvloed.

    Als dat nodig is, kunt u ervoor kiezen om het beleid toe te passen op specifieke apps door te klikken op Openbare apps selecteren.

    Aangepaste apps Klik op Aangepaste apps selecteren om aangepaste apps te selecteren op basis van een bundel-id.

    De app(s) die u hebt geselecteerd, worden weergegeven in de lijst met openbare en aangepaste apps.

    Notitie

    Openbare apps worden ondersteund door apps van Microsoft en partners die vaak worden gebruikt met Microsoft Intune. Deze met Intune beveiligde apps worden ingeschakeld met uitgebreide ondersteuning voor beveiligingsbeleid voor mobiele toepassingen. Zie Met Microsoft Intune beveiligde apps voor meer informatie. Aangepaste apps zijn LOB-apps die zijn geïntegreerd met de Intune SDK of zijn verpakt door de Intune-App Wrapping Tool. Zie Overzicht van Microsoft Intune App SDK en Line-Of-Business-apps voorbereiden voor app-beveiligingsbeleid voor meer informatie.

  6. Klik op Volgende om de pagina Gegevensbescherming weer te geven.
    Deze pagina bevat de DLP-besturingselementen voor preventie van gegevensverlies, inclusief knippen, kopiëren, plakken en beperkingen voor opslaan als. Met deze instellingen bepaalt u hoe gebruikers kunnen werken met gegevens in de apps waarop dit app-beveiligingsbeleid van toepassing is.

    Instellingen voor gegevensbeveiliging:

  7. Klik op Volgende om de pagina Toegangsvereisten weer te geven.
    Deze pagina bevat instellingen waarmee u de pincode en referentievereisten kunt configureren waaraan gebruikers moeten voldoen om toegang te krijgen tot apps in een werkcontext.

    Instellingen voor toegangsvereisten:

  8. Klik op Volgende om de pagina Voorwaardelijke start weer te geven.
    Op deze pagina vindt u instellingen om beveiligingsvereisten voor aanmelden in te stellen voor toegangsbeveiligingsbeleid. Selecteer een instelling en voer de waarde in waaraan gebruikers moeten voldoen om zich aan te melden bij uw bedrijfsapp. Selecteer vervolgens de actie die u wilt uitvoeren als gebruikers niet voldoen aan uw vereisten. In sommige gevallen kunnen meerdere acties worden geconfigureerd voor één instelling.

    Instellingen voor voorwaardelijk start:

  9. Klik op Volgende om de pagina Toewijzingen weer te geven.
    Op de pagina Toewijzingen kunt u het beveiligingsbeleid voor apps toewijzen aan groepen gebruikers. U moet het beleid toepassen op een groep gebruikers om het beleid van kracht te laten worden.

  10. Klik op Volgende: Beoordelen en maken om de waarden en instellingen te bekijken die u hebt ingevoerd voor dit app-beveiligingsbeleid.

  11. Wanneer u klaar bent, klikt u op Maken om het app-beveiligingsbeleid in Intune te maken.

    Tip

    Deze beleidsinstellingen worden alleen afgedwongen wanneer u apps in de context van het werk gebruikt. Als eindgebruikers de app gebruiken voor een privétaak, worden deze beleidsregels niet toegepast. Let op: wanneer u een nieuw bestand maakt, wordt dit als een privébestand beschouwd.

    Belangrijk

    Het kan enige tijd duren voordat het app-beveiligingsbeleid wordt toegepast op bestaande apparaten. Eindgebruikers zien een melding op het apparaat wanneer het app-beveiligingsbeleid wordt toegepast. Uw app-beveiligingsbeleid toepassen op apparaten voordat u voorwaardelijke toegangsregels toepast.

Eindgebruikers kunnen de apps downloaden in de App Store of via Google Play. Zie voor meer informatie:

Bestaande beleidsregels wijzigen

U kunt een bestaand beleid bewerken en toepassen op de beoogde gebruikers. Wanneer u echter bestaand beleid wijzigt, worden de wijzigingen pas na 8 uur zichtbaar voor gebruikers die al bij de apps zijn aangemeld.

Om het effect van de wijzigingen onmiddellijk te zien, moet de eindgebruiker zich afmelden bij de app en zich daarna opnieuw aanmelden.

De lijst met aan het beleid gekoppelde apps wijzigen

  1. Selecteer het beleid dat u wilt wijzigen op de blade App-beveiligingsbeleid.

  2. Selecteer Eigenschappen in het deelvenster Intune-app-beveiliging.

  3. Selecteer Bewerken naast de sectie Apps.

  4. Op de pagina Apps kunt u kiezen hoe u dit beleid wilt toepassen op apps op verschillende apparaten. U moet minstens één app toevoegen.

    Waarde/optie Beschrijving
    Toepassen op apps op alle apparaattypen Gebruik deze optie om uw beleid te richten op apps op apparaten met een beheerstatus. Kies Nee om toe te passen op specifieke apparaattypen. Er is mogelijk extra app-configuratie nodig voor deze instelling. Zie Beleidsregels voor app-beveiliging toepassen op basis van de apparaatbeheerstatus voor meer informatie.
    Apparaattypen Gebruik deze optie om op te geven of dit beleid van toepassing is op door MDM beheerde apparaten of op onbeheerde apparaten. Voor iOS-/iPadOS-APP-beleid selecteert u Niet-beheerde en Beheerde apparaten. Voor Android-APP-beleid maakt u een keuze uit Niet-beheerd, Android-apparaatbeheerder en Android Enterprise.
    Openbare apps Kies in de vervolgkeuzevak Doelbeleid voor om uw app-beveiligingsbeleid te richten op Alle openbare apps, Microsoft Apps of Core Microsoft Apps. Vervolgens kunt u Lijst weergeven van apps die worden beïnvloed selecteren om een lijst weer te geven van de apps die door dit beleid worden beïnvloed.

    Als dat nodig is, kunt u ervoor kiezen om het beleid toe te passen op specifieke apps door te klikken op Openbare apps selecteren.

    Aangepaste apps Klik op Aangepaste apps selecteren om aangepaste apps te selecteren op basis van een bundel-id.

    De app(s) die u hebt geselecteerd, worden weergegeven in de lijst met openbare en aangepaste apps.

  5. Klik op Beoordelen en maken om de apps te controleren die zijn geselecteerd voor dit beleid.

  6. Wanneer u klaar bent, klikt u op Opslaan om het app-beveiligingsbeleid bij te werken.

De lijst met gebruikersgroepen wijzigen

  1. Selecteer het beleid dat u wilt wijzigen op de blade App-beveiligingsbeleid.

  2. Selecteer Eigenschappen in het deelvenster Intune-app-beveiliging.

  3. Selecteer Bewerken naast de sectie Toewijzingen.

  4. Als u een nieuwe gebruikersgroep wilt toevoegen aan het beleid op het tabblad Opnemen kiest u Selecteer groepen om op te nemen en selecteert u de gebruikersgroep. Kies Selecteren om de groep toe te voegen.

  5. Als u een gebruikersgroep wilt uitsluiten, kiest u op het tabblad Uitsluiten de optie Groepen selecteren voor uitsluiten, en selecteert u de gebruikersgroep. Kies Selecteren om de gebruikersgroep te verwijderen.

  6. Als u groepen wilt verwijderen die eerder zijn toegevoegd, selecteert u op het tabblad Opnemen of op het tabblad Uitsluiten het weglatingsteken (...) en selecteert u Verwijderen.

  7. Klik op Beoordelen en maken om de gebruikersgroepen te controleren die zijn geselecteerd voor dit beleid.

  8. Als uw wijzigingen aan de toewijzingen gereed zijn, selecteert u Opslaan om de configuratie op te slaan en implementeert u het beleid voor de nieuwe groep gebruikers. Als u Annuleren selecteert vóórdat u de configuratie opslaat, worden alle wijzigingen verwijderd die u hebt aangebracht op de tabbladen Opnemen en Uitsluiten.

Beleidsinstellingen wijzigen

  1. Selecteer het beleid dat u wilt wijzigen op de blade App-beveiligingsbeleid.

  2. Selecteer Eigenschappen in het deelvenster Intune-app-beveiliging.

  3. Selecteer Bewerken naast de sectie die overeenkomt met de instellingen die u wilt wijzigen. Wijzig de instellingen vervolgens in nieuwe waarden.

  4. Klik op Beoordelen en maken om de bijgewerkte instellingen voor dit beleid te controleren.

  5. Selecteer Opslaan om uw wijzigingen op te slaan. Herhaal de procedure voor het selecteren van een instellingsgebied en breng uw wijzigingen. Sla vervolgens uw wijzigingen op totdat alle wijzigingen zijn voltooid. U kunt het deelvenster Intune-app-beveiliging dan sluiten.

Beleidsregels voor app-beveiliging toepassen op basis van de apparaatbeheerstatus

In veel organisaties is het gebruikelijk dat eindgebruikers gebruik mogen maken van via Intune MDM (Mobile Device Management) beheerde apparaten zoals apparaten in eigendom van het bedrijf, en van niet-beheerde apparaten die alleen door Intune-app-beveiligingsbeleid worden beschermd. Niet-beheerde apparaten zijn vaak bekend onder de naam BYOD-apparaten (Bring Your Own).

Omdat Intune-app-beveiligingsbeleid op de identiteit van een gebruiker is gericht, worden de beveiligingsinstellingen voor een gebruiker op zowel ingeschreven (via MDM beheerde) als niet-ingeschreven apparaten (geen MDM) toegepast. Daarom kunt u Intune-app-beveiligingsbeleid richten op ofwel in Intune ingeschreven apparaten of iOS-/iPadOS- en Android-apparaten waarvan de registratie ongedaan is gemaakt. U mag één beveiligingsbeleid voor niet-beheerde apparaten hebben waarin strenge DLP-besturingselementen voor preventie van gegevensverlies zijn toegepast, en een afzonderlijk beveiligingsbeleid voor via MDM beheerde apparaten waarbij minder strenge DLP-besturingselementen mogelijk zijn. Zie App-beveiligingsbeleid en werkprofielen voor meer informatie over hoe dit werkt op persoonlijke Android Enterprise-apparaten.

Voor het maken van deze beleidsregels bladert u naar Apps > App-beveiliging in de Intune-console en selecteert u Beleid maken. U kunt ook een bestaand app-beveiligingsbeleid bewerken. Als u het app-beveiligingsbeleid op zowel beheerde als niet-beheerde apparaten wilt toepassen, gaat u naar de pagina Apps en bevestigt u dat Toepassen op apps op alle apparaattypen is ingesteld op Ja, de standaardwaarde. Als u granulair wilt toewijzen op basis van de beheerstatus, stelt u Toepassen op apps op alle apparaattypen in op Nee.

Apparaattypen

  • Onbeheerd: Voor iOS-en iPadOS-apparaten zijn niet-beheerde apparaten alle apparaten waarvoor het Intune MDM-beheer of een MDM/EMM-oplossing van derden niet voldoet aan de IntuneMAMUPN-sleutel. Voor Android-apparaten zijn niet-beheerde apparaten alle apparaten waarop Intune MDM niet is gedetecteerd. Dit omvat apparaten die worden beheerd door andere MDM-leveranciers.
  • Door Intune beheerde apparaten: Beheerde apparaten worden beheerd door Intune MDM.
  • Android-apparaatbeheerder: Door Intune beheerde apparaten met de Android Device Administration-API.
  • Android Enterprise: Door Intune beheerde apparaten met Android Enterprise-werkprofielen of volledig apparaatbeheer van Android Enterprise.

Op Android-apparaten wordt gevraagd of de Intune-bedrijfsportal-app moet worden geïnstalleerd, ongeacht welk apparaattype is gekozen. Als u bijvoorbeeld 'Android Enterprise ' selecteert, wordt deze vraag toch gesteld aan gebruikers met niet-beheerde Android-apparaten.

Voor iOS/iPadOS zijn extra configuratie-instellingen voor de app nodig om de selectie Apparaattype af te dwingen voor door Intune beheerde apparaten. Deze configuraties communiceren aan de APP-service dat een bepaalde app wordt beheerd, en dat de APP-instellingen niet van toepassing zijn:

Notitie

Zie MAM-beveiligingsbeleid toepassen op basis van beheerstatus voor specifieke iOS-/iPadOS-ondersteuningsinformatie over app-beveiligingsbeleid op basis van de apparaatbeheerstatus.

Beleidsinstellingen

Selecteer een van de volgende links voor een volledig overzicht van de beleidsinstellingen voor iOS/iPadOS en Android:

Volgende stappen

Compatibiliteit- en gebruikersstatus controleren

Zie tevens