Integratie van VMware Workspace ONE® powered by AirWatch met Microsoft Intune®-app-beveiligingsbeleid maakt het beheer van DLP-beleid voor uw Microsoft Intune-app-beveiligingsbeleid in twee consoles overbodig.

U kunt het applicatiebeleid voor preventie van gegevensverlies (data loss prevention, DLP) voor uw Microsoft Intune-app-beveiliging configureren in Workspace ONE UEM. Nadat u de twee systemen heeft geïntegreerd, kunt u het DLP-applicatiebeleid in de Workspace ONE UEM console beheren, zodat de integratie actueel blijft.

De meeste Microsoft Intune-app-besveiligingsbeleidsregels zijn beschikbaar voor het Android-platform en het iOS-platform.

Beheren in de Workspace ONE UEM Console om gesynchroniseerd te blijven

Nadat u de twee systemen heeft geïntegreerd, kunt u het DLP-applicatiebeleid in de Workspace ONE UEM console beheren, zodat de integratie actueel blijft. Workspace ONE UEM ontvangt geen wijzigingen die in andere delen van de integratie zijn aangebracht. De synchronisatie van DLP-applicatiebeleidsregels of beveiligingsgroepstoewijzingen kan verstoord raken.

Gebruikerservaringen in Android en iOS

De iOS- en Android-platformen hebben verschillende gebruikerservaringen wanneer gebruikers apps voor het eerst openen na een succesvolle integratie met Intune.

iOS-ervaring

Wanneer de gebruiker van het toestel zich bij de Microsoft Office 365-applicaties verifieert op iOS-toestellen en het profiel succesvol is gepusht, wordt in een pop-upvenster gemeld dat uw organisatie de applicatie beheert. De configuratie heeft geen aanvullende stappen.

Android-ervaring

Om Android- en Android Enterprise-toestellen te beheren, moeten gebruikers de Intune Company Portal-applicatie installeren. Deze applicatie werkt als broker voor de Intune App-SDK, zoals de Workspace ONE Intelligent Hub werkt als broker voor Workspace ONE UEM applicaties.

Gemeenschappelijke ervaring voor iOS en Android

Op beide platformen moet Intune als de MDM-autoriteit op het toestel worden ingesteld. U kunt deze instelling op het toestel configureren in Azure Tenant > Alle resources > Intune. Schakel Intune MDM-autoriteit in vanuit de melding Aan de slag.

Voer deze acties uit in Azure om Microsoft Intune te integreren

Voor integratie maakt u een gebruikersaccount en wijst u de vermelde Microsoft-licenties toe aan de gebruiker.

Als u omgevingen heeft die niet over de Azure AD-integratie in Directory Services in de Workspace ONE UEM console beschikken, moet u de AirWatch by VMware-app in Azure toevoegen. Ga naar Workspace ONE UEM configureren om Azure AD als identiteitsservice te gebruiken voor meer informatie.

Belangrijk:

Als u Out of the Box Enrollment (OOBE) al heeft ingesteld met een andere MDM-provider dan Workspace ONE UEM, voegt u AirWatch by VMware toe en voert u geen andere instellingen in Azure in en bewerkt u deze niet. Als u configuraties invoert of bewerkt, kunt u het bestaande inschrijvingsproces verstoren.

  • Maak een serviceaccount (een gebruiker) in Azure en wijs de juiste rollen toe aan de gebruiker.
    Opmerking:

    Deze stappen zijn algemeen. Zie de Microsoft-documentatie voor actuele informatie over het configureren van Azure.

    1. Ga naar uw Azure-portaal door portal.azure.com in uw browser in te voeren.
    2. Maak een gebruiker of synchroniseer een gebruiker met een On-premises Active Directory.

      Deactiveer MFA (verificatie met meerdere factoren) deactiveren voor het domein van deze gebruiker.

    3. Wijs aan deze gebruiker de vermelde rollen toe.
      • Intune Administrator
      • Application Administrator
      • Directory Reader
      • Directory Writer
  • Als u een gebruiker heeft gemaakt in Azure AD, gebruikt u dit account om u aan te melden bij Azure op portal.azure.com. Controleer of het wachtwoord geldig is en niet moet worden bijgewerkt.
  • U moet deze vermelde licenties in Azure toewijzen aan de gebruiker.
    • Microsoft Intune App Protection Policies
    • Microsoft Enterprise Mobility + Security E3 or E5

Intune-instellingen configureren

Configureer en pas in de Workspace ONE UEM console DLP-applicatiebeleid (beleid voor preventie van gegevensverlies) toe op applicaties en gegevens met Microsoft Intune®-app-beveiliging. Configureer eerst het tabblad Verificatie zodat de systemen kunnen communiceren. Configureer vervolgens uw DLP-instellingen en wijs deze toe aan groepen.

Workspace ONE UEM dwingt beleid voor applicaties niet direct af. De Microsoft SDK beheert en dwingt het beleid af.
Opmerking:

De waarschuwing is anders voor elke versie van het besturingssysteem en de app. De Android-patchversie informeert de gebruiker alleen met een waarschuwingsbericht. De waarschuwingen voorkomen echter niet dat eindgebruikers de app kunnen gebruiken.

Vereisten

Om DLP-applicatiebeleidsregels te configureren en toe te passen op Intune-applicaties, moet u over de juiste rechten beschikken om app-beleidsregels te configureren in Intune.

Procedure

  1. Navigeer naar Groepen en instellingen > Alle instellingen > Applicaties > Microsoft Intune®-app-beveiligingsbeleid.
  2. Selecteer het tabblad Verificatie en voer de gebruikersnaam en het wachtwoord voor de Azure-beheerder in.

    Met Microsoft Graph-API's kunnen beheerders Office 365 DLP-applicatiebeleid gebruiken om Office 365-apps en -gegevens te beschermen. Om Office 365 DLP-beleid te configureren, heeft u beheerdersinloggegevens nodig om uw tenant te verbinden met Workspace ONE UEM.

    Instelling Beschrijving
    Gebruikersnaam Voer de gebruikersnaam in die wordt gebruikt om uw tenant te configureren voor Workspace ONE UEM.
    Wachtwoord Voer het wachtwoord in dat wordt gebruikt om uw tenant te configureren voor Workspace ONE UEM.

    Workspace ONE UEM gebruikt deze inloggegevens om de DLP-beleidsregels (beleid voor preventie van gegevensverlies) te zoeken en toe te wijzen aan de Microsoft-beveiligingsgroepen.

  3. Selecteer het tabblad Preventie van gegevensverlies en configureer het gewenste DLP-beleidsregels van Microsoft Intune-app-beveiligingsbeleid. Configureer DLP-app-beleidsregels voor uw beheerde applicaties en gegevens met Microsoft Intune-app-beveiligingsbeleid.
    Instellingen voor het verplaatsen van gegevens Beschrijving
    Back-up blokkeren Voorkomt dat gebruikers een gegevensback-up van hun beheerde applicaties maken.
    Applicaties toestaan gegevens naar andere applicaties te verplaatsen

    • Alle - Gebruikers kunnen gegevens van beheerde applicaties naar elke applicatie verzenden.

    • Beperkt - Gebruikers kunnen gegevens van hun beheerde applicaties naar andere beheerde applicaties verzenden.

    • Geen - Voorkomt dat gebruikers gegevens van beheerde applicaties naar elke applicatie verzenden.
    Applicaties toestaan om data van andere applicaties te ontvangen

    • Alle - Gebruikers kunnen gegevens van alle applicaties ontvangen in hun beheerde applicaties.

    • Beperkt - Gebruikers kunnen gegevens van andere beheerde applicaties ontvangen in hun beheerde applicaties.

    • Geen - Voorkomt dat gebruikers gegevens van alle applicaties ontvangen in hun beheerde applicaties.
    "Opslaan als" blokkeren Voorkomt dat gebruikers beheerde applicatiegegevens met Microsoft Intune-app-beveiligingsbeleid opslaan in een ander opslagsysteem of opslaggebied.
    Blokkeer kopiëren en plakken naar andere applicaties

    • Elke app - Gebruikers kunnen gegevens knippen, kopiëren en plakken tussen hun beheerde applicaties en elke applicatie.

    • Geblokkeerd - Voorkomt dat gebruikers gegevens knippen, kopiëren en plakken tussen beheerde applicaties en alle applicaties.

    • Door beleid beheerde apps - Gebruikers kunnen gegevens knippen, kopiëren en plakken tussen beheerde applicaties met Microsoft Intune-app-beveiligingsbeleid.

    • Door beleid beheerde apps met 'Plakken in' - Gebruikers kunnen gegevens uit hun beheerde applicaties knippen en kopiëren en deze gegevens plakken in andere beheerde applicaties.

      Gebruikers kunnen ook gegevens uit elke applicatie knippen en kopiëren naar hun beheerde applicaties.
    Weergeven van internetinhoud alleen in beheerde browser toestaan Forceert dat links in beheerde applicaties worden geopend in een beheerde browser.
    Applicatiegegevens versleutelen Versleutelt gegevens van beheerde applicaties wanneer het toestel zich in de geselecteerde status bevindt. Het systeem versleutelt gegevens die overal opgeslagen worden, inclusief externe opslagstations en SIM-kaarten.
    Contentsynchronisatie uitschakelen Voorkomt dat beheerde applicaties contactpersonen in het systeemeigen adresboek opslaan.
    Afdrukken uitschakelen Voorkomt dat gebruikers gegevens van beheerde applicaties afdrukken.
    Toegestane gegevensopslaglocaties Beheerders kunnen bepalen waar gebruikers beheerde applicatiegegevens kunnen opslaan.
    Instellingen voor toegang Beschrijving
    Pincode verplichten voor toegang

    Gebruikers moeten een pincode invoeren voor toegang tot beheerde applicaties.

    Gebruikers maken de pincode tijdens hun eerste toegang.
    Aantal pogingen voor opnieuw instellen van pincode Hiermee stelt u in hoe vaak een gebruiker mag proberen in te loggen voordat het systeem de pincode opnieuw instelt.
    Eenvoudige pincode toestaan Gebruikers kunnen viercijferige pincodes met herhaalde tekens maken.
    Lengte van pincode Stelt het aantal tekens in dat gebruikers moeten instellen voor hun pincodes.
    Toegestane tekens in pincode Stelt de tekens in die gebruikers mogen gebruiken voor hun pincodes.
    Vingerafdruk in plaats van pincode toestaan Gebruikers krijgen toegang tot beheerde applicaties met hun vingerafdruk in plaats van pincode.
    Zakelijke inloggegevens verplichten voor toegang Gebruikers krijgen toegang tot beheerde applicaties met hun bedrijfsinloggegevens.
    Blokkeer beheerde applicaties op gecompromitteerde toestellen (jailbroken of geroot). Voorkomt dat gebruikers toegang krijgen tot beheerde applicaties op verdachte apparaten.
    Toegangsvoorwaarden opnieuw controleren na (minuten)

    Hiermee wordt ingesteld dat het systeem de informatie over de toegangspincode, vingerafdruk of inloggegevens valideert wanneer de toegangssessie een van de tijdsintervallen bereikt.

    • Time-out - Het aantal minuten dat de toegangssessies voor beheerde applicaties inactief zijn.

    • Respijtperiode voor offlinegebruik - Het aantal minuten dat toestellen met beheerde applicaties offline zijn.
    Periode offline (in dagen) voordat applicatiegegevens worden gewist Hiermee wordt ingesteld dat het systeem beheerde applicatiegegevens van toestellen verwijdert als toestellen gedurende een bepaald aantal dagen offline zijn.
    Instellingen voor Android Beschrijving
    Blokkeer schermafdruk en Android Assistant Indien u Ja heeft gekozen, worden schermafdrukken en app scanning door Android Assistant geblokkeerd wanneer u een Office-applicatie gebruikt.
    Minimaal vereiste besturingssysteemversie Voer het vereiste minimale Android OS-versienummer in dat een gebruiker moet hebben om veilig toegang te krijgen tot de app.
    Minimaal vereiste besturingssysteemversie (alleen waarschuwing) Voer het minimale Android OS-versienummer in dat een gebruiker moet hebben om veilig toegang te krijgen tot de app.
    Minimaal vereiste applicatieversie Voer het vereiste minimale applicatieversienummer in dat een gebruiker moet hebben om veilig toegang te krijgen tot de app.
    Minimaal vereiste applicatieversie (alleen waarschuwingsmelding) Voer het minimale applicatieversienummer in dat een gebruiker moet hebben om veilig toegang te krijgen tot de app.
    Minimaal vereiste Android-patchversie Voer het oudste vereiste Android-beveiligingspatchniveau in dat een gebruiker kan hebben om veilig toegang te krijgen tot de app.
    Minimaal vereiste Android-patchversie (alleen waarschuwing) Voer het oudste Android-beveiligingspatchniveau in dat een gebruiker kan hebben om veilig toegang te krijgen tot de app.
  4. Selecteer het tabblad Toegewezen groepen en wijs het DLP-applicatiebeleid toe aan de Microsoft-beveiligingsgroepen. De beveiligingsgroepen zijn eerder geconfigureerd in Azure.
    Instelling Beschrijving
    Alle beveiligingsgroepen

    Voer de naam van de beveiligingsgroep in en wijs deze toe aan het DLP-applicatiebeleid. Selecteer uit de lijst die het systeem na een invoer weergeeft.

    Selecteer Groep toevoegen en wijs het DLP-applicatiebeleid toe aan de beveiligingsgroep.
    Beveiligingsgroepen aan Office 365-beleid toegewezen

    Geeft een overzicht van de beveiligingsgroepen die aan het DLP-applicatiebeleid zijn toegewezen.

    Selecteer Groep verwijderen en verwijder de toewijzing uit de beveiligingsgroep.

Waarschuwingsberichten voor verwijderd en gewijzigd beleid

Nadat het Microsoft Intune-app-beveiligingsbeleid is geladen, controleert Workspace ONE UEM console op verwijderingen en wijzigingen in Intune in de Azure-portal. Het is mogelijk dat de synchronisatie tussen beheerde beleidsregels en geïmplementeerde beleidsregels verstoord raakt. Om beheerders te waarschuwen over mogelijke verwijderingen en wijzigingen, geeft de Workspace ONE UEM console waarschuwingsberichten weer op basis van de betreffende situatie.

  • Beleid is verwijderd op het Microsoft Intune-portaal. Klik op Instellingen verwijderen om de beleidsinstellingen uit UEM te verwijderen.

    De Workspace ONE UEM console geeft dit bericht weer nadat iemand een of meer iOS- en Android-beleidsregels heeft verwijderd die in Intune zijn geïmplementeerd. Als u Instellingen verwijderen selecteert, worden de instellingen van beide beleidsregels uit de Workspace ONE UEM console verwijderd zonder iets aan de Azure-zijde te wijzigen. De consolepagina wordt niet automatisch vernieuwd.

    Gebruikers kunnen nieuwe iOS- en Android-beleidsregels zonder fouten implementeren in Azure.

    Opmerking: Als slechts een van de beleidsregels, iOS of Android, wordt verwijderd in Azure, blijft de andere beleidsregel aanwezig in Azure. Gebruikers moeten de andere beleidsregel handmatig verwijderen als ze de oude instellingen niet willen behouden. 
  • Beleidsinstellingen zijn bijgewerkt op het Microsoft Intune-portaal en zijn niet gesynchroniseerd met Workspace ONE UEM. Klik op Instellingen synchroniseren om dit beleid in UEM bij te werken.
    De Workspace ONE UEM console geeft dit bericht weer nadat iemand zowel het iOS- als Android-beleidsregels in Intune in het Azure-portaal wijzigt en de beleidsinstellingen nog steeds hetzelfde zijn in beide beleidsregels. Door Instellingen synchroniseren te selecteren, worden de instellingen van beide beleidsregels in Workspace ONE UEM bijgewerkt zodat deze overeenkomen met die van het beleid in Azure. De consolepagina wordt niet automatisch vernieuwd.
    Opmerking: Dit scenario sluit alle instellingen uit die specifiek zijn voor iOS of Android, zoals iOS SDK-instellingen en Android Assistant-instellingen. 
  • Het beleid 'Gegevens ontvangen tussen andere apps' is anders voor Android-beleid en iOS-beleid in het Azure-portaal. Deze instelling moet gelijk zijn voor Workspace ONE UEM om het Android- en iOS-beleid te kunnen synchroniseren. Neem contact op met uw IT-beheerder om het probleem op te lossen.
    De beleidsregels 'Gegevens ontvangen tussen andere apps' en 'Organisatiegegevens naar andere apps verzenden' zijn anders in het Android-beleid en het iOS-beleid in het Azure-portaal. Deze instellingen moeten gelijk zijn voor Workspace ONE UEM om het Android- en iOS-beleid te kunnen synchroniseren. Neem contact op met uw IT-beheerder om het probleem op te lossen.
    'Back-ups blokkeren', 'Gegevens ontvangen tussen andere apps' en 'Organisatiegegevens naar andere apps verzenden' zijn anders voor het Android-beleid en het iOS-beleid in het Azure-portaal. Deze instellingen moeten gelijk zijn voor Workspace ONE UEM om het Android- en iOS-beleid te kunnen synchroniseren. Neem contact op met uw IT-beheerder om het probleem op te lossen.

    De Workspace ONE UEM console geeft dit bericht weer nadat iemand beide beleidsregels in Intune in het Azure-portaal wijzigt maar de beleidsinstellingen niet overeenkomen hetzelfde zijn in beide beleidsregels. De berichten geven de instellingsverschillen tussen de twee beleidsregels in Azure weer. Ze vermelden ook de beleidsnamen die in Azure worden vermeld en niet de beleidsnamen die door de Workspace ONE UEM console worden gebruikt.

    Los de in de berichten vermelde conflicten op voordat u het menu-item Instellingen synchroniseren gebruikt in de Workspace ONE UEM console.

    Opmerking: Dit scenario sluit alle instellingen uit die specifiek zijn voor iOS of Android, zoals iOS SDK-instellingen en Android Assistant-instellingen.

Het menu-item Instellingen verwijderen en het menu-item Instellingen synchroniseren wijzigen geen instellingen in Intune in de Azure-portal.