Beheerde apps naar Apple apparaten distribueren

Beheerde apps installeren

Een voorziening voor apparaatbeheer kan apps installeren met de volgende methoden:

• Declaratief appbeheer (iOS 17.2, iPadOS 17.2, macOS 26, visionOS 2.4 of nieuwer)

• Het commando InstallApplication

Als declaratief appbeheer wordt gebruikt voor een app, heeft dit voorrang en mislukt een commando voor dezelfde app. Om de overgang gemakkelijk te maken, kunnen apps die met het commando InstallApplication zijn geïnstalleerd, worden omgezet in beheerde apps met behulp van declaratief appbeheer.

Met declaratief appbeheer kunnen apparaten zelfstandig apps installeren. Bij declaratief appbeheer zijn ook statusrapporten met uitgebreide informatie beschikbaar. Met behulp van activeringspredicaten kun je ook regels definiëren voor wanneer een app moet worden geïnstalleerd. Het apparaat installeert bijvoorbeeld een app die een beveiligde verbinding vereist alleen wanneer de bijbehorende netwerkrelayconfiguratie is toegepast en er een toegangscode op het apparaat is ingesteld.

Bij declaratief appbeheer kan een app als verplicht of optioneel worden aangemerkt. Verplichte apps worden automatisch geïnstalleerd en blijven op een apparaat geïnstalleerd. Een optionele app wordt op aanvraag geïnstalleerd wanneer de gebruiker hierom vraagt. Ontwikkelaars van voorzieningen voor apparaatbeheer kunnen het ManagedAppDistribution-framework gebruiken om een eigen app te maken waarmee de installatie van die optionele apps wordt beheerd.

Op apparaten onder toezicht worden apps op de achtergrond geïnstalleerd. In andere gevallen wordt de gebruiker gevraagd om de installatie goed te keuren.

Apps die zijn geïnstalleerd op iPhones, iPads, Apple TV's en Apple Vision Pro's worden altijd beheerd. Op een Mac worden apps die met declaratief appbeheer zijn geïnstalleerd ook beheerd. In andere gevallen kan de voorziening voor apparaatbeheer de beheerstatus voor elke app afzonderlijk bepalen.

Een specifieke appversie installeren

Meestal wordt de nieuwste versie van een app die in de App Store beschikbaar is geïnstalleerd. Met declaratief appbeheer kun je ook een specifieke versie van de app opgeven die moet worden geïnstalleerd. Eerdere versies van een app worden in de App Store bewaard, tenzij de ontwikkelaar deze heeft verwijderd.

Om de versie in de configuratie op te geven, moet de ExternalVersionIdentifier van een app worden gebruikt.

Wanneer je het beheer van een app overneemt, wordt de lokaal geïnstalleerde versie automatisch bijgewerkt naar de versie die in de configuratie is opgegeven. Als de lokaal geïnstalleerde versie nieuwer is dan de opgegeven versie, wordt een fout geretourneerd aan de voorziening voor apparaatbeheer.

ManagedAppDistribution-framework

Nadat een applicentie aan het apparaat of de gebruiker is toegewezen en de bijbehorende declaratieve appconfiguratie is toegepast, kan een uniforme interface worden gebruikt om de installatie van een app te starten met behulp van het ManagedAppDistribution-framework. Dit framework kan door voorzieningen voor apparaatbeheer worden geïmplementeerd, waarna de installatie op het apparaat zonder aanvullende acties van de voorziening voor apparaatbeheer kan worden uitgevoerd. Het geeft daarnaast inzicht over de voortgang en biedt een interactieve ervaring voor de gebruiker.

Beheerde apps configureren

Organisaties moeten de werking van een app vaak aanpassen aan de specifieke behoeften van de organisatie of een bepaalde groep gebruikers.

ManagedApp-framework

Op apparaten met iOS 18.4, iPadOS 18.4, visionOS 2.4 of nieuwer kunnen organisaties appspecifieke configuraties en geheimen (zoals wachtwoorden, certificaten en identiteiten) op een veilige manier implementeren in beheerde apps die het ManagedApp-framework gebruiken. Hierdoor kun je de werking van een app aanpassen, de gebruikerservaring stroomlijnen en de beveiliging verbeteren met declaratief appbeheer. Voorbeelden hiervan zijn:

• Een beheerde app of appextensie vooraf configureren voor een specifiek apparaat of een specifieke gebruiker.

• Automatisch verstrekte identiteiten gebruiken voor authenticatie en ondertekening.

• API-toegangstokens veilig ontvangen.

• Certificaten verwerven voor een aangepaste vertrouwensrelatie (certificaattoewijzing).

• Aan hardware gekoppelde sleutels en attestatie van beheerde apparaten gebruiken voor sterke authenticatie van apparaten.

Zie het ManagedApp-framework op de Apple Developer-website voor meer informatie (Engelstalig).

Appkenmerken

Op de iPhone, iPad en Apple Vision Pro kun je extra kenmerken definiëren die op een app moeten worden toegepast:

• Voorkomen dat beheerde apps een back‑up van gegevens maken: Er wordt geen back‑up van gegevens in beheerde apps gemaakt in de Finder of iCloud. Wanneer het maken van back‑ups niet is toegestaan, is het niet mogelijk om gegevens van een beheerde app terug te zetten als de app via een voorziening voor apparaatbeheer wordt verwijderd en later door de gebruiker opnieuw wordt geïnstalleerd.

• Een netwerkdoorgifte- of een app-gebonden VPN definiëren: Wijs de app toe aan een netwerkdoorgifte- of app-gebonden VPN-configuratie die een tunnel creëert voor het verkeer van de app.

• Toestaan dat een app wordt verborgen of vergrendeld: Op iPhone- en iPad-apparaten met iOS 18 en iPadOS 18 of nieuwer kunnen gebruikers optioneel een app verbergen en zelfs vergrendelen. Voor beheerde apps kun je die functies beperken. Wanneer je instelt dat de gebruiker een app niet kan vergrendelen, kan de gebruiker de app ook niet verbergen.

• Bijbehorende domeinen en directe downloads: Configureer bijbehorende domeinen voor een app en geef aan of het apparaat rechtstreekse downloads voor bijbehorende domeinen kan gebruiken.

• Een materiaalfilter of DNS-proxy toewijzen: Wijs een specifieke materiaalfilter- of DNS-proxyconfiguratie toe aan de app.

• De app toewijzen aan een mobiel segment (alleen iPhone en iPad): Configureer de app om een specifiek mobiel netwerksegment te gebruiken. Zie Ondersteuning voor 5G-netwerksegmentering op Apple apparaten voor meer informatie.

• 'Tap to Pay' toestaan (alleen iPhone): Op apparaten met iOS 16.4 of nieuwer kun je opgeven dat een op de voorgrond uitgevoerde betaalapp veilig kan worden gebruikt tijdens een Tap to Pay-transactie. Wanneer deze optie is ingesteld, moeten gebruikers hun apparaat met Face ID, Touch ID of een toegangscode ontgrendelen na elke transactie waarbij het apparaat aan een klant is overhandigd om de pincode van de betaalkaart in te voeren.

• Downloads via mobiel netwerk toestaan (alleen iPhone en iPad, alleen declaratief appbeheer): Geeft aan hoe het apparaat een mobiel netwerk gebruikt wanneer de app wordt gedownload of bijgewerkt. Je kunt downloads van elke grootte toestaan, voorkomen dat het mobiele netwerk wordt gebruikt of de instellingen van de App Store volgen. Deze instelling is niet van toepassing op door gebruikers geïnitieerde acties.

Voor apps die met het commando InstallApplication in iOS 14, iPadOS 14 en tvOS 14 of nieuwer zijn geïnstalleerd, is een extra instelling beschikbaar.

• Apps als niet-verwijderbaar markeren: Je kunt een beheerde app als niet-verwijderbaar markeren. Hiermee kunnen gebruikers de rangschikking van hun apps wijzigen, nieuwe apps installeren en apps verwijderen die ze zelf hebben geïnstalleerd, maar wordt voorkomen dat essentiële beheerde apps worden verwijderd. Wanneer gebruikers een beheerde app proberen te verwijderen of te offloaden, wordt dit voorkomen en verschijnt een waarschuwing. Op die manier beschikken de gebruikers van een organisatie altijd over de apps die ze nodig hebben op hun apparaat.

  Met declaratief appbeheer worden verplichte apps automatisch als niet-verwijderbaar gemarkeerd.

Onbeheerde apps omzetten in beheerde apps

Als de gebruiker al een app heeft geïnstalleerd, kan de voorziening voor apparaatbeheer het beheer van die app overnemen. Op apparaten onder toezicht gebeurt dit zonder tussenkomst van de gebruiker. In andere gevallen moet de gebruiker het beheer formeel accepteren. Deze omzetting van apps is niet beschikbaar voor accountgebonden inschrijvingen.

Beheerde apps bijwerken

Een voorziening voor apparaatbeheer kan bepalen hoe een beheerde app wordt bijgewerkt.

Apps bijwerken met declaratief appbeheer

Apps die zijn geïmplementeerd met behulp van declaratief appbeheer, kunnen op twee manieren worden bijgewerkt:

• Met automatische app-updates

• Installeer een nieuwe configuratie waarin je ofwel geen versie, ofwel een nieuwere versie van de app opgeeft. Als er geen versie is opgegeven, wordt de nieuwste beschikbare versie geïnstalleerd.

Met de instelling voor het updategedrag kun je definiëren hoe apps worden bijgewerkt:

• Automatisch: Het apparaat zoekt periodiek (meestal elke 24 uur) in de App Store of het manifestbestand naar nieuwe versies en werkt de app automatisch bij naar de nieuwste versie.

• Nooit: Het apparaat werkt de app nooit automatisch bij.

• App Store-instellingen: Het apparaat gebruikt de instellingen van de bijbehorende Store en werkt ook nooit automatisch interne apps van de organisatie bij.

Op de iPhone, iPad en Apple Vision Pro worden apps bijgewerkt wanneer het apparaat is vergrendeld. In macOS wordt de gebruiker indien nodig gevraagd de app te stoppen.

Apps bijwerken met het app-installatiecommando

Als de app is geïnstalleerd met behulp van een commando, controleert de voorziening voor apparaatbeheer periodiek de App Store of het manifestbestand op nieuwe versies en stuurt de voorziening vervolgens een installatiecommando naar het apparaat om de app bij te werken. Deze controle wordt ook uitgevoerd voor aangepaste apps. Aan apparaten toegewezen apps worden alleen bijgewerkt wanneer de voorziening voor apparaatbeheer een app-installatiecommando verstuurt; gebruikers zien geen meldingen voor app-updates in de App Store.

Als het apparaat onder toezicht staat, wordt de update op de achtergrond uitgevoerd, tenzij de app op de voorgrond actief is. In dat geval wordt de gebruiker om toestemming voor de update gevraagd. Op apparaten die niet onder toezicht staan, wordt de gebruiker gevraagd om de update goed te keuren of te annuleren.

Verwijder beheerde apps

Beheerde apps kunnen van een apparaat worden verwijderd:

• Op afstand door de voorziening voor apparaatbeheer door de appconfiguratie te verwijderen of een commando om de app te verwijderen te versturen.

• Wanneer een gebruiker een apparaat uitschrijft bij een voorziening voor apparaatbeheer.

  • Bij uitschrijving worden ook toegepaste appconfiguraties en de bijbehorende apps verwijderd.

  • Als de app is geïnstalleerd met behulp van het appinstallatiecommando, kan een kenmerk worden ingesteld dat bepaalt of de app bij uitschrijving wordt verwijderd.

  • Bij een accountgebonden uitschrijving worden beheerde apps altijd verwijderd.

Als een app van een iPhone, iPad of Apple Vision Pro wordt verwijderd, worden ook de bijbehorende gegevens in de gegevenscontainer van de app verwijderd.

Een applicentie intrekken

Een voorziening voor apparaatbeheer kan de licentie van een app die aan een apparaat of gebruiker is toegewezen, intrekken.

De licentie intrekken van een app die met declaratief appbeheer is geïnstalleerd

Als een voorziening voor apparaatbeheer de licentie van een app die met declaratieve appbeheer is geïnstalleerd intrekt, wordt de app verwijderd.

De licentie intrekken van een app die met het appinstallatiecommando is geïnstalleerd

Als de licentie van een app via een voorziening voor apparaatbeheer wordt ingetrokken, maar de app niet wordt verwijderd, kan de app nog worden gebruikt totdat de app een ontvangstbewijscontrole uitvoert.

Nadat een app is uitgeschakeld, kan deze niet meer worden gestart. De gebruiker ontvangt een melding, maar de app blijft op het apparaat staan en de bijbehorende gegevens blijven bewaard. Zodra de gebruiker een exemplaar van de app heeft gekocht, kan de app weer worden gebruikt.