Beheerde apps naar Apple apparaten distribueren
Afhankelijk van de organisatie moet je mogelijk beperkingen opgeven om te regelen hoe je gedistribueerde apps verbinding maken met interne bronnen en hoe je de gegevens beveiligt als een gebruiker de organisatie verlaat. Je kunt gratis, betaalde en aangepaste apps draadloos via een voorziening voor apparaatbeheer distribueren en daarbij de gegevensstroom beheren om zo voor de juiste balans tussen organisatiebeveiliging en personalisering te zorgen.
Beheerde apps
Apps die met behulp van een voorziening voor apparaatbeheer worden geïnstalleerd, worden beheerde apps genoemd. Over beheerde apps, die vaak gevoelige informatie bevatten, heb je meer controle dan over apps die door de gebruiker zijn gedownload.
Beheerde apps kunnen van een apparaat worden verwijderd:
Op afstand door de voorziening voor apparaatbeheer.
Wanneer een gebruiker een apparaat uitschrijft bij een voorziening voor apparaatbeheer.
Als een app van een iPhone, iPad of Apple Vision Pro wordt verwijderd, worden ook de bijbehorende gegevens in de gegevenscontainer van de app verwijderd. Als de licentie van een app op een iPhone, iPad of Apple Vision Pro via een voorziening voor apparaatbeheer wordt ingetrokken, maar de app niet wordt verwijderd, kan de app nog gedurende 30 dagen op het apparaat worden gebruikt. Als de ontwikkelaar van de app controle van ontvangstbewijzen heeft geïmplementeerd, kan de app eerder worden uitgeschakeld. Op een Mac blijven apps bruikbaar totdat het ontvangstbewijs wordt gecontroleerd.
Nadat een app is uitgeschakeld, kan deze niet meer worden gestart. De gebruiker ontvangt een melding, maar de app blijft op het apparaat staan en de bijbehorende gegevens blijven bewaard. Zodra de gebruiker een exemplaar van de app heeft gekocht, kan de app weer worden gebruikt.
Beperkingen en mogelijkheden van beheerde apps
Op beheerde apps kunnen de volgende mogelijkheden en beperkingen van toepassing zijn om de beveiliging en de gebruikerservaring te verbeteren:
Uitschrijving bij een voorziening voor apparaatbeheer: Stel in of beheerde apps en de bijbehorende gegevens op het apparaat beschikbaar blijven wanneer de gebruiker zich bij een voorziening voor apparaatbeheer uitschrijft.
Apps omzetten: Zet onbeheerde apps om in beheerde apps.
Als het apparaat onder toezicht staat, is er geen actie van de gebruiker vereist als via een voorziening voor apparaatbeheer opdracht wordt gegeven om een onbeheerde app om te zetten in een beheerde app. Als het apparaat niet onder toezicht staat, moet de gebruiker beheer formeel accepteren. Deze conversie van apps is niet mogelijk bij gebruikersinschrijving.
Nieuwe versies van apps: Periodiek controleren of er in de App Store nieuwe versies van apps beschikbaar zijn en vervolgens een installatiecommando naar het apparaat sturen om de app bij te werken. Deze controle wordt ook uitgevoerd voor aangepaste apps. Aan apparaten toegewezen apps die je via een voorziening voor apparaatbeheer installeert en beheert, moeten door die voorziening worden bijgewerkt. Er worden geen meldingen voor app-updates aan gebruikers getoond in de App Store.
'Tap to Pay' toestaan (iOS): Op apparaten met iOS 16.4 of nieuwer kun je opgeven dat een op de voorgrond uitgevoerde betaalapp veilig kan worden gebruikt tijdens een Tap to Pay-transactie. Wanneer deze optie is ingesteld, moeten gebruikers hun apparaat met Face ID, Touch ID of een toegangscode ontgrendelen na elke transactie waarbij het apparaat aan een klant is overhandigd om de pincode van de betaalkaart in te voeren.
Beperkingen van de Open in-functie gebruiken (iOS, iPadOS): Je hebt de keuze uit drie functies waarmee je de appgegevens van je organisatie kunt beveiligen:
Sta documenten uit onbeheerde bronnen toe op beheerde locaties. Met deze beperking voorkom je dat met persoonlijke bronnen en accounts van de gebruiker documenten worden geopend op bestemmingen die door de organisatie worden beheerd. Je kunt zo bijvoorbeeld voorkomen dat de gebruiker in de pdf-app van je organisatie een pdf opent die ergens op een onbekende website staat.
Sta documenten uit beheerde bronnen toe op onbeheerde locaties. Met deze beperking wordt voorkomen dat met beheerde bronnen en accounts van een organisatie documenten worden geopend op persoonlijke bestemmingen van een gebruiker. Met deze beperking kun je bijvoorbeeld voorkomen dat een vertrouwelijke e‑mailbijlage in de beheerde mailaccount van je organisatie wordt geopend in een van de persoonlijke apps van de gebruiker.
Beheerd klembord. Op apparaten met iOS 15 en iPadOS 15 of nieuwer bepaalt deze beperking of er materiaal tussen beheerde en onbeheerde locaties kan worden geplakt. Wanneer de bovenstaande beperkingen worden afgedwongen, wordt bij het plakken van materiaal rekening gehouden met de grens tussen apps van derden en apps van Apple, zoals Agenda, Bestanden, Mail en Notities. Apps kunnen geen onderdelen van het klembord opvragen wanneer deze beperking wordt gebruikt en het materiaal de grens tussen onbeheerd en beheerd overschrijdt. Op apparaten met iOS 16 en iPadOS 16.1 of nieuwer geldt dit ook voor beheerde domeinen.
Apps als niet-verwijderbaar markeren (iOS, iPadOS): Op apparaten met iOS 14 en iPadOS 14 of nieuwer kun je beheerde apps als niet-verwijderbaar markeren. In eerdere versies moesten beheerders het beginscherm helemaal vergrendelen om te voorkomen dat apps konden worden verwijderd, waardoor de mogelijkheid van de gebruiker werd beperkt om de eigen apps te beheren. Gebruikers kunnen gewoon de rangschikking van hun apps wijzigen, nieuwe apps installeren en apps verwijderen die ze zelf hebben geïnstalleerd. Beheerders kunnen hun bedrijfskritieke beheerde apps als niet-verwijderbaar markeren. Wanneer gebruikers een beheerde app proberen te verwijderen of te offloaden, wordt dit voorkomen en verschijnt een waarschuwing. Op die manier beschikken de gebruikers van een organisatie altijd over de apps die ze nodig hebben op hun apparaat.
Voorkomen dat beheerde apps een back‑up maken van gegevens (macOS): Je kunt voorkomen dat beheerde apps in de Finder (in macOS 10.15 of nieuwer), in iTunes (in macOS 10.14 of ouder) of in iCloud back‑ups van gegevens maken. Wanneer het maken van back‑ups niet is toegestaan, is het niet mogelijk om gegevens van een beheerde app terug te zetten als de app via een voorziening voor apparaatbeheer wordt verwijderd en later door de gebruiker opnieuw wordt geïnstalleerd.
Instellingen voor appconfiguratie gebruiken: Appontwikkelaars kunnen aangeven welke configuratie-instellingen kunnen worden opgegeven voor- of nadat de app als een beheerde app is geïnstalleerd. Een ontwikkelaar kan bijvoorbeeld een SkipIntro-instelling opgeven om in de app geen introductieschermen weer te geven voor de beheerde app.
Instellingen voor appfeedback gebruiken die door een voorziening voor apparaatbeheer kunnen worden gelezen: Appontwikkelaars kunnen aangeven welke appinstellingen met behulp van een voorziening voor apparaatbeheer kunnen worden opgehaald. Een ontwikkelaar kan bijvoorbeeld een
DidFinishSetup-sleutel opgeven, die een voorziening voor apparaatbeheer vervolgens kan opvragen om vast te stellen of de app is gestart en geconfigureerd.Beheerde documenten downloaden uit Safari: Bestanden die via Safari worden gedownload, worden als beheerde documenten beschouwd als ze afkomstig zijn van een beheerd domein. Als een gebruiker bijvoorbeeld een pdf downloadt uit een beheerd domein, moet die pdf voldoen aan alle instellingen voor beheerde documenten. Zie Voorbeelden van beheerde domeinen voor meer informatie.
Voorkomen dat beheerde apps gegevens opslaan in iCloud: Gegevens die door gebruikers zijn aangemaakt in onbeheerde apps kunnen nog wel worden opgeslagen in iCloud.
Opmerking: Niet alle opties zijn in alle voorzieningen voor apparaatbeheer beschikbaar. Als je wilt weten welke opties voor jouw apparaten beschikbaar zijn, raadpleeg je de documentatie van de ontwikkelaar van je voorziening voor apparaatbeheer.
Beheerde apps configureren
Organisaties moeten de werking van een app vaak aanpassen aan de specifieke behoeften van de organisatie of een bepaalde groep gebruikers.
Op apparaten met iOS 18.4, iPadOS 18.4, visionOS 2.4 of nieuwer kunnen organisaties appspecifieke configuraties en geheimen (zoals wachtwoorden, certificaten en identiteiten) op een veilige manier implementeren in beheerde apps die het ManagedApp-framework gebruiken. Daarbij kunnen organisaties met de configuratie com.apple.configuration.app.managed de werking van een app aanpassen, de gebruikerservaring stroomlijnen en de beveiliging verbeteren. Voorbeelden hiervan zijn:
Een beheerde app of appextensie vooraf configureren voor een specifiek apparaat of een specifieke gebruiker.
Automatisch verstrekte identiteiten gebruiken voor authenticatie en ondertekening.
API-toegangstokens veilig ontvangen.
Certificaten verwerven voor een aangepaste vertrouwensrelatie (certificaattoewijzing).
Aan hardware gekoppelde sleutels en attestatie van beheerde apparaten gebruiken voor sterke authenticatie van apparaten.
Zie het ManagedApp-framework op de Apple Developer-website voor meer informatie (Engelstalig).
Beheerde boeken
Je kunt beheerde boeken, EPUB-boeken en pdf's die je hebt aangemaakt ook distribueren via een voorziening voor apparaatbeheer.
EPUB-boeken en pdf's die via een voorziening voor apparaatbeheer worden gedistribueerd, hebben dezelfde kenmerken als andere beheerde documenten. Dit betekent dat ze indien nodig met nieuwere versies kunnen worden bijgewerkt, dat ze alleen met andere beheerde apps kunnen worden gedeeld en dat ze via een beheerde Apple Account kunnen worden gemaild. In de voorziening voor apparaatbeheer kan ook zijn ingesteld dat gebruikers geen back‑ups mogen maken van beheerde boeken. Hoewel je deze boeken aan gebruikers toewijst, worden ze alleen weergegeven op iPhones en iPads die door een voorziening voor apparaatbeheer aan die gebruikers zijn toegewezen.
Opmerking: Beheerde boeken worden niet ondersteund op de Apple Vision Pro.
Beperkingen instellen voor toetsenborden van andere fabrikanten
iOS en iPadOS ondersteunen regels van 'Open in' voor toetsenbordextensies van andere leveranciers. Deze regels voorkomen dat onbeheerde toetsenborden worden weergegeven in beheerde apps.