Beheerde apps naar Apple apparaten distribueren
Afhankelijk van de organisatie moet je mogelijk beperkingen opgeven om te regelen hoe je gedistribueerde apps verbinding maken met interne bronnen en om de gegevens te beveiligen als een gebruiker de organisatie verlaat. Je kunt gratis, betaalde en aangepaste apps draadloos via een MDM-oplossing distribueren en daarbij de gegevensstroom beheren om zo voor de juiste balans tussen organisatiebeveiliging en personalisering te zorgen.
Beheerde apps
Apps die met behulp van MDM zijn geïnstalleerd, worden beheerde apps genoemd. Over beheerde apps, die vaak gevoelige informatie bevatten, heb je meer controle dan over apps die door de gebruiker zijn gedownload.
Beheerde apps kunnen op afstand door de MDM-oplossing worden verwijderd van een apparaat, maar kunnen ook worden verwijderd wanneer een gebruiker het apparaat verwijdert uit de MDM-oplossing. Als een app van een iPhone, iPad of Apple Vision Pro wordt verwijderd, worden ook de bijbehorende gegevens in de gegevenscontainer van de app verwijderd. Als de licentie van een app via de MDM-oplossing wordt ingetrokken, maar niet van een iPhone, iPad of Apple Vision Pro wordt verwijderd, kan de app nog gedurende 30 dagen op het apparaat worden gebruikt. Als de ontwikkelaar van de app controle van ontvangstbewijzen heeft geïmplementeerd, kan de app eerder worden uitgeschakeld. Op een Mac blijven apps bruikbaar totdat het ontvangstbewijs wordt gecontroleerd.
Nadat een app is uitgeschakeld, kan deze niet meer worden gestart. De gebruiker ontvangt een melding, maar de app blijft op het apparaat staan en de bijbehorende gegevens blijven bewaard. Zodra de gebruiker een exemplaar van de app heeft gekocht, kan de app weer worden gebruikt.
Beperkingen en mogelijkheden van beheerde apps
Op beheerde apps kunnen de volgende MDM-mogelijkheden en -beperkingen van toepassing zijn om de beveiliging en de gebruikerservaring te verbeteren:
Uitschrijving bij MDM: Stel in of beheerde apps en de bijbehorende gegevens op het apparaat beschikbaar blijven wanneer de gebruiker zich bij de MDM-oplossing uitschrijft.
Apps omzetten: Zet onbeheerde apps om in beheerde apps.
Als het apparaat onder toezicht staat, is er geen actie van de gebruiker vereist als via de MDM-oplossing opdracht wordt gegeven om een onbeheerde app om te zetten in een beheerde app. Als het apparaat niet onder toezicht staat, moet de gebruiker beheer formeel accepteren. Deze conversie van apps is niet mogelijk bij gebruikersinschrijving bij MDM.
Nieuwe versies van apps: Periodiek controleren of er in de App Store nieuwe versies van apps beschikbaar zijn en vervolgens een installatiecommando naar het apparaat sturen om de app bij te werken. Deze controle wordt ook uitgevoerd voor aangepaste apps. Aan apparaten toegewezen apps die via een MDM-oplossing worden geïnstalleerd en beheerd, moeten door de MDM-oplossing worden bijgewerkt. Er worden geen meldingen voor app-updates aan gebruikers getoond in de App Store.
'Tap to Pay' toestaan (iOS): In iOS 16.4 of nieuwer kun je opgeven dat een op de voorgrond uitgevoerde betaalapp veilig kan worden gebruikt tijdens een Tap to Pay-transactie. Wanneer deze optie is ingesteld, moeten gebruikers hun apparaat met Face ID, Touch ID of een toegangscode ontgrendelen na elke transactie waarbij het apparaat aan een klant is overhandigd om de pincode van de betaalkaart in te voeren.
Beperkingen van de Open in-functie gebruiken (iOS, iPadOS): Je hebt de keuze uit drie functies waarmee je de appgegevens van je organisatie kunt beveiligen:
Sta documenten uit onbeheerde bronnen toe op beheerde locaties. Met deze beperking voorkom je dat met persoonlijke bronnen en accounts van de gebruiker documenten worden geopend op bestemmingen die door de organisatie worden beheerd. Je kunt zo bijvoorbeeld voorkomen dat de gebruiker in de pdf-app van je organisatie een pdf opent die ergens op een onbekende website staat.
Sta documenten uit beheerde bronnen toe op onbeheerde locaties. Met deze beperking wordt voorkomen dat met beheerde bronnen en accounts van een organisatie documenten worden geopend op persoonlijke bestemmingen van een gebruiker. Met deze beperking kun je bijvoorbeeld voorkomen dat een vertrouwelijke e‑mailbijlage in de beheerde mailaccount van je organisatie wordt geopend in een van de persoonlijke apps van de gebruiker.
Beheerd klembord. In iOS 15 en iPadOS 15 of nieuwer bepaalt deze beperking of er materiaal tussen beheerde en onbeheerde locaties kan worden geplakt. Wanneer de bovenstaande beperkingen worden afgedwongen, wordt bij het plakken van materiaal rekening gehouden met de grens tussen apps van derden en apps van Apple, zoals Agenda, Bestanden, Mail en Notities. Apps kunnen geen onderdelen van het klembord opvragen wanneer deze beperking wordt gebruikt en het materiaal de grens tussen onbeheerd en beheerd overschrijdt. In iOS 16 en iPadOS 16.1 of nieuwer geldt dit ook voor beheerde domeinen.
Apps als niet-verwijderbaar markeren (iOS, iPadOS): In iOS 14 en iPadOS 14 of nieuwer kun je beheerde apps als niet-verwijderbaar markeren. In eerdere versies moesten beheerders het beginscherm helemaal vergrendelen om te voorkomen dat apps konden worden verwijderd, waardoor de mogelijkheid van de gebruiker werd beperkt om de eigen apps te beheren. Gebruikers kunnen gewoon de rangschikking van hun apps wijzigen, nieuwe apps installeren en apps verwijderen die ze zelf hebben geïnstalleerd. Beheerders kunnen hun bedrijfskritieke beheerde apps als niet-verwijderbaar markeren. Wanneer gebruikers een beheerde app proberen te verwijderen of te offloaden, wordt dit voorkomen en verschijnt een waarschuwing. Op die manier beschikken de gebruikers van een organisatie altijd over de apps die ze nodig hebben op hun apparaat.
Voorkomen dat beheerde apps een back‑up maken van gegevens (macOS): Je kunt voorkomen dat beheerde apps in de Finder (in macOS 10.15 of nieuwer), in iTunes (in macOS 10.14 of ouder) of in iCloud back‑ups van gegevens maken. Wanneer het maken van back‑ups niet is toegestaan, is het niet mogelijk om gegevens van een beheerde app terug te zetten als de app via een MDM-oplossing wordt verwijderd en later door de gebruiker opnieuw wordt geïnstalleerd.
Instellingen voor appconfiguratie gebruiken: Appontwikkelaars kunnen aangeven welke configuratie-instellingen kunnen worden opgegeven voor- of nadat de app als een beheerde app is geïnstalleerd. Een ontwikkelaar kan bijvoorbeeld een SkipIntro-instelling opgeven om in de app geen introductieschermen weer te geven voor de beheerde app.
Instellingen voor appfeedback gebruiken die door MDM kunnen worden gelezen: Appontwikkelaars kunnen aangeven welke appinstellingen met behulp van een MDM-oplossing kunnen worden opgehaald. Een ontwikkelaar kan bijvoorbeeld een
DidFinishSetup-sleutel opgeven, die de MDM-oplossing vervolgens kan opvragen om vast te stellen of de app is gestart en geconfigureerd.Beheerde documenten downloaden uit Safari: Bestanden die via Safari worden gedownload, worden als beheerde documenten beschouwd als ze afkomstig zijn van een beheerd domein. Als een gebruiker bijvoorbeeld een pdf downloadt uit een beheerd domein, moet die pdf voldoen aan alle instellingen voor beheerde documenten. Zie Voorbeelden van beheerde domeinen voor meer informatie.
Voorkomen dat beheerde apps gegevens opslaan in iCloud: Gegevens die door gebruikers zijn aangemaakt in onbeheerde apps kunnen nog wel worden opgeslagen in iCloud.
Opmerking: Niet alle opties zijn in alle MDM-oplossingen beschikbaar. Als je wilt weten welke MDM-opties voor jouw apparaten beschikbaar zijn, raadpleeg je de documentatie van je MDM-leverancier.
Beheerde boeken
Je kunt beheerde boeken, EPUB-boeken en pdf's die je hebt aangemaakt ook distribueren via een MDM-oplossing.
EPUB-boeken en pdf's die via de MDM-oplossing worden gedistribueerd, hebben dezelfde kenmerken als andere beheerde documenten. Dit betekent dat ze indien nodig met nieuwere versies kunnen worden bijgewerkt, dat ze alleen met andere beheerde apps kunnen worden gedeeld en dat ze alleen via beheerde accounts kunnen worden gemaild. In de MDM-oplossing kan zijn ingesteld dat er van beheerde boeken geen back‑ups mogen worden gemaakt. Deze boeken zijn aan gebruikers toegewezen, maar worden alleen weergegeven op iPhones en iPads die via MDM aan de gebruiker zijn toegewezen.
Opmerking: Beheerde boeken worden niet ondersteund op de Apple Vision Pro.
Beperkingen instellen voor toetsenborden van andere fabrikanten
iOS en iPadOS ondersteunen regels van 'Open in' voor toetsenbordextensies van andere leveranciers. Deze regels voorkomen dat onbeheerde toetsenborden worden weergegeven in beheerde apps.