Apps beheren met Mobile Application Management-beleid in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
Met het Beginnen met System Center 2012 Configuration Manager SP2-beleid voor het beheer van apps kunt u de functionaliteit aanpassen van apps die u implementeert zodat deze weer in overeenstemming zijn met het nalevings- en beveiligingsbeleid van uw bedrijf. U kunt bijvoorbeeld knip-, kopieer- en plakbewerkingen beperken in een beperkte app of een app configureren om alle webkoppelingen te openen binnen een beheerde browser. Ondersteuning voor beleid voor het beheer van apps:
Apparaten met Android 4 en hoger.
Apparaten met iOS 7 en hoger.
Tip
Naast beheerde apparaten kunnen met het Mobile Application Management-beleid apps worden beveiligd op apparaten die niet worden beheerd door Intune. Met deze nieuwe mogelijkheid kunt u Mobile Application Management-beleid toepassen op apps die gebruikmaken van Office 365-services. Dit wordt niet ondersteund voor apps die gebruikmaken van een on-premises Exchange- of SharePoint-toepassing.
Als u gebruik wilt maken van deze nieuwe mogelijkheid, moet u de Azure Preview-portal gebruiken. De volgende onderwerpen kunnen u op weg helpen:
In tegenstelling tot configuratie-items en basislijnen in Configuration Manager implementeert u het beleid voor het beheer van apps niet rechtstreeks. In plaats daarvan koppelt u het beleid aan het implementatietype (DT) van de app die u wilt beperken. Wanneer het implementatietype van de app op apparaten is geïmplementeerd en geïnstalleerd, zullen de instellingen die u opgeeft in werking treden.
Als u beperkingen wilt toepassen op een app, moet de app beschikken over de Microsoft Intune App Software Development Kit (SDK). Er zijn twee methoden voor het verkrijgen van dit type app:
Een door beleid beheerde app gebruiken (Android en iOS): met een ingebouwde SDK voor apps. Om dit type app toe te voegen, geeft u een koppeling op naar de app uit een app store zoals iTunes store of Google Play. Er is geen verdere verwerking vereist voor dit type app. Zie Beheerde apps voor Microsoft Intune Mobile Application Management-beleid voor een lijst met door beleid beheerde apps die beschikbaar zijn voor iOS- en Android-apparaten.
Een 'verpakte' app gebruiken (Android en iOS): apps die samen met de SDK voor apps opnieuw zijn verpakt met de Microsoft Intune App Wrapping Tool. Dit hulpprogramma wordt meestal gebruikt voor het verwerken van bedrijfsapps die intern zijn gemaakt. Het kan niet worden gebruikt voor het verwerken van apps die zijn gedownload uit de app store. Zie iOS-apps voorbereiden voor Mobile Application Management met de Microsoft Intune App Wrapping Tool en Android-apps voorbereiden voor Mobile Application Management met de Microsoft Intune App Wrapping Tool.
Een app maken en implementeren met Mobile Application Management-beleid
Stap 1: de koppeling naar een door beleid beheerde app verkrijgen of een verpakte app maken
Stap 2: een Configuration Manager-toepassing maken waarin een app is opgenomen
Stap 3: een beleid voor toepassingsbeheer maken
Stap 4: beleid voor toepassingsbeheer koppelen aan een implementatietype
Stap 5: controleer de implementatie van de app.
Stap 1: de koppeling naar een door beleid beheerde app verkrijgen of een verpakte app maken
Een koppeling naar een door beleid beheerde app verkrijgen (iOS en Android): zoek in de app store naar de URL van de door beleid beheerde app die u wilt implementeren, en noteer deze URL.
De URL van de app Microsoft Word voor iPad is bijvoorbeeld https://itunes.apple.com/us/app/microsoft-word-for-ipad/id586447913?mt=8
Een verpakte app maken (iOS en Android): gebruik de informatie in de onderwerpen iOS-apps voorbereiden voor Mobile Application Management met de Microsoft Intune App Wrapping Tool en Android-apps voorbereiden voor Mobile Application Management met de Microsoft Intune App Wrapping Tool om een verpakte app te maken.
Het hulpprogramma maakt een verwerkte app en een daaraan gekoppeld manifestbestand. U hebt deze bestanden nodig bij het maken van een Configuration Manager-toepassing waarin de app is opgenomen.
Stap 2: een Configuration Manager-toepassing maken waarin een app is opgenomen
De procedure voor het maken van de Configuration Manager-toepassing verschilt, naargelang u een door beleid beheerde app (externe koppeling) gebruikt of een app die is gemaakt met de Microsoft Intune App Wrapping Tool voor iOS (app-pakket voor iOS). Gebruik een van de volgende procedures om de Configuration Manager-toepassing te maken.
Een toepassing maken voor een app die is gemaakt met de Microsoft Intune App Wrapping Tool voor iOS
-
Klik op Softwarebibliotheek in de Configuration Manager-console.
-
Vouw in de werkruimte Softwarebibliotheek het knooppunt Toepassingsbeheer uit en klik vervolgens op Toepassingen.
-
Klik op het tabblad Start in de groep Maken op Toepassing maken om de wizard Toepassing maken te openen.
-
Selecteer op de pagina Algemeen de optie Automatisch informatie over deze toepassing detecteren uit installatiebestanden.
-
Selecteer App-pakket voor iOS (IPA-bestand) in de vervolgkeuzelijst Type.
-
Klik op Bladeren om het apppakket te selecteren dat u wilt importeren en klik vervolgens op Volgende.
-
Voer op de pagina Algemene informatie de beschrijvende tekst en categorie-informatie in die u voor gebruikers wilt weergeven op de bedrijfsportal.
-
Voltooi de wizard.
De nieuwe toepassing wordt weergegeven in het knooppunt Toepassingen van de werkruimte Softwarebibliotheek.
Een toepassing maken met een koppeling naar een door beleid beheerde app
-
Klik op Softwarebibliotheek in de Configuration Manager-console.
-
Vouw in de werkruimte Softwarebibliotheek het knooppunt Toepassingsbeheer uit en klik vervolgens op Toepassingen.
-
Klik op het tabblad Start in de groep Maken op Toepassing maken om de wizard Toepassing maken te openen.
-
Selecteer op de pagina Algemeen de optie Automatisch informatie over deze toepassing detecteren uit installatiebestanden.
-
Selecteer in de vervolgkeuzelijst Type een van de volgende opties:
- Voor iOS: **App-pakket voor iOS uit de App Store** - Voor Android: **App-pakket voor Android in Google Play** -
Geef de URL voor de app (uit stap 1) op en klik vervolgens op Volgende.
-
Voer op de pagina Algemene informatie de beschrijvende tekst en categorie-informatie in die u voor gebruikers wilt weergeven op de bedrijfsportal.
-
Voltooi de wizard.
De nieuwe toepassing wordt weergegeven in het knooppunt Toepassingen van de werkruimte Softwarebibliotheek.
Stap 3: een beleid voor toepassingsbeheer maken
Vervolgens maakt u een beleid voor toepassingsbeheer dat u aan de toepassing koppelt. U kunt een algemeen beleid of Managed Browser-beleid maken.
Een beleid voor toepassingsbeheer maken
-
Klik op Softwarebibliotheek in de Configuration Manager-console.
-
Vouw in de werkruimte Softwarebibliotheek het knooppunt Toepassingsbeheer uit en klik vervolgens op Beleid voor toepassingsbeheer.
-
Klik op het tabblad Start in de groep Maken op Beleid voor toepassingsbeheer maken.
-
Geef op de pagina Algemeen de naam en beschrijving voor het beleid op en klik vervolgens op Volgende.
-
Selecteer op de pagina Beleidstype het platform en beleidstype voor dit beleid en klik vervolgens op Volgende. U kunt uit de volgende beleidstypen kiezen:
- **Algemeen**: met het beleidstype Algemeen kunt u de functionaliteit wijzigen van apps die u implementeert zodat deze voldoen aan het nalevings- en beveiligingsbeleid van uw bedrijf. U kunt bijvoorbeeld bewerkingen zoals knippen, kopiëren en plakken binnen een beperkte app beperken. - **Managed Browser**: configureer of u wilt toestaan of verhinderen dat de beheerde browser een lijst met URL's opent. Met het beleidstype Managed Browser kunt u de functionaliteit van de Intune Managed Browser-app wijzigen. Dit is een browser waarmee u de acties die gebruikers kunnen uitvoeren, kunt beheren, met inbegrip van de websites die ze kunnen bezoeken en de manier waarop koppelingen naar inhoud in de browser worden geopend. Voor meer informatie over de Intune Managed Browser-app klikt u [hier](https://itunes.apple.com/us/app/microsoft-intune-managed-browser/id943264951?mt=8) voor iOS en [hier](https://play.google.com/store/apps/details?id=com.microsoft.intune.mam.managedbrowser%26hl=en) voor Android. -
Configureer op de pagina iOS-beleid of Android-beleid zo nodig de volgende waarden en klik vervolgens op Volgende. De opties kunnen variëren, afhankelijk van het apparaattype waarvoor u het beleid configureert.
Waarde
Meer informatie
Webinhoud beperken en weergeven in een bedrijfsbeheerde browser
Als deze instelling is ingeschakeld, worden koppelingen in de app geopend in de beheerde browser. Deze optie werkt alleen als u deze app hebt geïmplementeerd op apparaten.
Back-ups van Android verhinderen of Back-ups van iTunes en iCloud verhinderen
Hiermee worden back-ups van gegevens uit de app uitgeschakeld.
App mag gegevens overdragen naar ander apps
Hiermee geeft u de apps aan waarnaar deze app gegevens kan verzenden. U kunt kiezen om geen gegevensoverdracht naar apps toe te staan, alleen overdracht naar andere beperkte apps toe te staan of overdracht naar alle apps toe te staan.
Om bij iOS-apparaten documentoverdracht tussen beheerde en onbeheerde apps te voorkomen, moet u ook een beveiligingsbeleid voor mobiele apparaten configureren en implementeren, waarmee de instelling Beheerde documenten toestaan in andere onbeheerde apps wordt uitgeschakeld.
Notitie
Als u selecteert dat u alleen overdracht naar andere beperkte apps toestaat, worden de Intune PDF- en afbeeldingsviewers (indien geïmplementeerd) gebruikt om inhoud van de verschillende typen te openen.
App mag gegevens ontvangen van andere apps
Hiermee geeft u de apps op waarvan deze app gegevens mag ontvangen. U kunt als volgt kiezen:
geen gegevensoverdracht vanuit apps toestaan;
alleen overdracht uit andere beperkte apps toestaan;
overdracht uit alle apps toestaan.
Opslaan als verhinderen
Hiermee wordt gebruik van de optie Opslaan als uitgeschakeld in elke app die gebruikmaakt van dit beleid.
Knippen, kopiëren en plakken met andere apps beperken
Hiermee geeft u op hoe knip-, kopieer- en plakbewerkingen kunnen worden gebruikt met de app. U kunt kiezen uit:
Geblokkeerd: geen knip-, kopieer- en plakbewerkingen toestaan tussen deze app en andere apps.
Door beleid beheerde apps: alleen knip-, kopieer- en plakbewerkingen toestaan tussen deze app en andere beperkte apps.
Door beleid beheerde apps met inplakken: alleen gegevens die uit deze app zijn geknipt of gekopieerd, mogen in andere beperkte apps worden geplakt. Gegevens die uit alle apps zijn geknipt of gekopieerd, mogen in deze app worden geplakt.
Elke app: geen beperkingen aan knip-, kopieer- en plakbewerkingen naar of vanuit deze app.
Eenvoudige pincode vereist voor toegang
De gebruiker moet een zelf opgegeven pincode invoeren om deze app te gebruiken. De eerste keer dat de gebruiker de app uitvoert, wordt gevraagd om dit in te stellen.
Aantal pogingen voordat pincode opnieuw wordt ingesteld
Hiermee wordt het aantal invoerpogingen van de pincode opgegeven voordat de gebruiker de pincode opnieuw moet instellen.
Bedrijfsreferenties vereisen voor toegang
Hiermee wordt vereist dat gebruikers hun bedrijfsaanmeldingsgegevens invoeren voordat ze toegang krijgen tot de app.
Apparaatcompatibiliteit met bedrijfsbeleid vereisen voor toegang
Hiermee mag de app alleen worden gebruikt wanneer het apparaat niet jailbroken of geroot is.
Toegangsvereisten opnieuw controleren na (minuten)
In het veld Time-out geeft u de tijdsperiode op waarna de toegangsvereisten voor de app opnieuw worden gecontroleerd nadat de app is gestart.
Als het apparaat offline is, geeft u in het veld Offline respijtperiode de tijdsperiode op waarna de toegangsvereisten voor de app opnieuw worden gecontroleerd.
Appgegevens versleutelen
Hiermee geeft u op dat alle gegevens die aan deze app zijn gekoppeld worden versleuteld, met inbegrip van gegevens die extern zijn opgeslagen, zoals SD-kaarten.
Notitie
Versleuteling voor iOS
Voor apps die zijn gekoppeld aan een Configuration Manager Mobile Application Management-beleid worden inactieve gegevens versleuteld met een versleuteling op apparaatniveau die wordt geleverd door het besturingssysteem. Dit wordt ingeschakeld via apparaatpincodebeleid dat moet worden ingesteld door de IT-beheerder. Als een pincode is vereist, worden de gegevens versleuteld volgens de instellingen in het Mobile Application Management-beleid. Zoals vermeld in de Apple-documentatie zijn de modules die worden gebruikt door iOS 7 gecertificeerd volgens FIPS 140-2.
Versleuteling voor Android
Voor apps die zijn gekoppeld aan een Configuration Manager Mobile Application Management-beleid, wordt de versleuteling geleverd door Microsoft. Gegevens worden synchroon versleuteld tijdens bestands-I/O-bewerkingen overeenkomstig de instelling in het Mobile Application Management-beleid. Beheerde apps op Android gebruiken AES-128-versleuteling in CBC-modus waarbij de cryptografiebibliotheken van het platform worden gebruikt. De versleutelingsmethode is niet gecertificeerd volgens FIPS 140-2. Inhoud in de apparaatopslag wordt altijd versleuteld.
Schermafbeelding blokkeren (alleen Android-apparaten)
Hiermee wordt opgegeven dat de schermafbeeldingsmogelijkheden van het apparaat zijn geblokkeerd bij gebruik van deze app.
-
Selecteer op de pagina Managed Browser of de beheerde browser alleen URL's mag openen die in de lijst staan of dat het openen van URL's in de lijst moet worden geblokkeerd voor de beheerde browser, beheer de URL’s in de lijst en klik vervolgens op Volgende.
.jpeg "System_CAPS_warning")
WaarschuwingZie Internettoegang beheren met beleid voor beheerde browsers in Configuration Manager voor meer informatie.
-
Voltooi de wizard.
Het nieuwe beleid wordt weergegeven in het knooppunt Beleid voor toepassingsbeheer van de werkruimte Softwarebibliotheek.
Stap 4: beleid voor toepassingsbeheer koppelen aan een implementatietype
Wanneer een implementatietype is gemaakt voor een app waarvoor beleid voor toepassingsbeheer is vereist, herkent Configuration Manager dat er beleid voor het beheer van apps moet worden gekoppeld aan dit implementatietype wanneer de bijbehorende app wordt geïmplementeerd en wordt u gevraagd een beleid voor het beheren van apps te koppelen. U moet aan de beheerde browser zowel een algemeen beleid als Managed Browser-beleid koppelen. Zie Toepassingen voor mobiele apparaten maken en implementeren in Configuration Manager voor meer informatie.
.jpeg "System_CAPS_important") Belangrijk |
|---|
Als de toepassing al is geïmplementeerd, slaagt de implementatie van het nieuwe implementatietype pas wanneer deze koppeling tot stand is gebracht. U kunt op het tabblad Toepassingsbeheer de koppeling aanbrengen in Eigenschappen voor de toepassing. |
| Belangrijk |
|---|
Voor apparaten met besturingssystemen die ouder zijn dan iOS 7.1, wordt gekoppeld beleid niet verwijderd wanneer de app wordt verwijderd. Als het apparaat wordt uitgeschreven bij Configuration Manager, wordt er geen beleid uit de apps verwijderd. Apps waarop beleid is toegepast, behouden die beleidsinstellingen, zelfs nadat de app is verwijderd en opnieuw is geïnstalleerd. |
Stap 5: controleer de implementatie van de app.
Wanneer u een app hebt gemaakt en geïmplementeerd die is gekoppeld aan een Mobile Application Management-beleid, kunt u de app controleren en eventuele beleidsconflicten oplossen.
-
Klik op Softwarebibliotheek in de Configuration Manager-console.
-
Vouw in de werkruimte Controle het knooppunt Overzicht uit en klik vervolgens op Implementaties.
-
Selecteer de implementatie en klik op het tabblad Start op Eigenschappen.
-
Klik in het detailvenster voor de implementatie op Beleid voor toepassingsbeheer onder Verwante objecten.
Zie Toepassingen bewaken in Configuration Manager voor meer informatie over het controleren van toepassingen.
Oplossen van beleidsconflicten
Als er een conflict optreedt in het Mobile Application Management-beleid bij de eerste implementatie naar de gebruiker of het apparaat, wordt de specifieke conflicterende instellingswaarde verwijderd uit het beleid dat op de app is geïmplementeerd, en gebruikt de app een ingebouwde conflictwaarde.
Als er een conflict optreedt in het Mobile Application Management-beleid bij latere implementaties naar de app of gebruiker, wordt de specifieke conflicterende instellingswaarde niet bijgewerkt in het Mobile Application Management-beleid dat op de app is geïmplementeerd, en gebruikt de app de bestaande waarde voor die instelling.
In gevallen waarin het apparaat of de gebruiker twee conflicterende sets beleidsregels ontvangt, is het volgende van toepassing:
Als u al een beleid is geïmplementeerd op het apparaat, worden de bestaande beleidsinstellingen niet overschreven.
Als er nog geen beleid is geïmplementeerd op het apparaat en er twee conflicterende instellingen worden geïmplementeerd, wordt de standaardinstelling gebruikt die is ingebouwd in het apparaat.
Beschikbare door beleid beheerde apps
Zie Beheerde apps voor Microsoft Intune Mobile Application Management-beleid voor een lijst met door beleid beheerde apps die beschikbaar zijn voor iOS- en Android-apparaten.