Sinds kort kan je met Microsoft Intune MAM (Mobile Application Management) policies toepassen zonder een device te hoeven registreren in de MDM-omgeving van Intune.
Met Intune MAM kan je dus de productiviteitsapplicaties van Microsoft individueel beheren zonder volledige controle te nemen over het apparaat. Mogelijke scenario’s:
☑ BYOD: indien mobiele gebruikers (waaronder externe partijen) over vertrouwelijke informatie moeten beschikken op een eigen (Bring Your Own) device
☑ Alternatief MDM-product: indien IT reeds gebruik maakt (al dan niet naar tevredenheid) van een ander MDM-product dan kan dit ingezet blijven voor het MDM-deel. De MAM-beleidsregels vanuit Intune functioneren afzonderlijk hiervan.
Vooralsnog zijn enkele mobiele applicaties beschikbaar om met MAM te beheren. Echter lijkt MAM-functionaliteit dermate gewild dat meer applicaties spoedig volgen, zoals ook aangegeven in de blogpost op TechNet.com over de release van deze functionaliteit. De onderstaande mobiele apps kan je nu al met de MAM-optie van Intune beheren:
☑ OneDrive (ook voor iOS en Android)
☑ Excel (ook voor iOS)
☑ PowerPoint (ook voor iOS)
☑ Word (ook voor iOS)
Op die applicaties kan je de beleidsregels toepassen in onderstaande tabel.
Intune MAM policies
| Regel | Optie 1 | Optie 2 | Optie 3 | Optie 4 |
| iOS | ||||
| Herlocatie van gegevens | ||||
| Geen iTunes- en iCloud-back-ups | Ja | Nee | ||
| Toestaan dat een app gegevens overdraagt naar andere apps | Door beleid beheerde apps | Alle apps | geen | |
| Toestaan dat een app gegevens van andere apps ontvangt | Door beleid beheerde apps | Alle apps | geen | |
| Geen Opslaan als | Ja | Nee | ||
| Knippen, kopiëren en plakken met andere apps beperken | Door beleid beheerde apps met inplakken | Geblokkeerd | Door beleid beheerde apps | Willekeurige app |
| Webinhoud beperken voor weergave in de Managed Browser | Ja | Nee | ||
| App-gegevens versleutelen | Wanneer het apparaat is vergrendeld | Wanneer het apparaat is vergrendeld (Behalve geopende bestanden) | Na opnieuw opstarten van het apparaat | Apparaat instellingen gebruiken |
| Toegang | ||||
| Eenvoudige pincode vereisen voor toegang | Ja | Nee | ||
| Aantal pogingen voordat de pincode opnieuw wordt ingesteld | Tussen de 1 en 65535 | |||
| Vingerafdruk in plaats van pincode toestaan (iOS 8+) | Ja | Nee | ||
| Bedrijfsreferenties vereisen voor toegang | Ja | Nee | ||
| Beheerde apps blokkeren op gekraakte of geroote apparaten | Ja | Nee | ||
| Toegangsvereisten opnieuw controleren na (minuten) | Tussen de 0 en 65535 | |||
| Offlinerespijtperiode | Tussen de 0 en 65535 | |||
| Offline-interval (dagen) voor gegevens van app worden gewist | Tussen de 0 en 65535 | |||
| Android | ||||
| Herlocatie van gegevens | ||||
| Geen Android-back-ups | Ja | Nee | ||
| Toestaan dat een app gegevens overdraagt naar andere apps | Door beleid beheerde apps | Alle apps | geen | |
| Toestaan dat een app gegevens van andere apps ontvangt | Door beleid beheerde apps | Alle apps | geen | |
| Geen Opslaan als | Ja | Nee | ||
| Knippen, kopiëren en plakken met andere apps beperken | Door beleid beheerde apps met inplakken | Geblokkeerd | Door beleid beheerde apps | Willekeurige app |
| Webinhoud beperken voor weergave in de Managed Browser | Ja | Nee | ||
| App-gegevens versleutelen | Wanneer het apparaat is vergrendeld | Wanneer het apparaat is vergrendeld (Behalve geopende bestanden) | Na opnieuw opstarten van het apparaat | Apparaat instellingen gebruiken |
| Toegang | ||||
| Eenvoudige pincode vereisen voor toegang | Ja | Nee | ||
| Aantal pogingen voordat de pincode opnieuw wordt ingesteld | Tussen de 1 en 65535 | |||
| Bedrijfsreferenties vereisen voor toegang | Ja | Nee | ||
| Beheerde apps blokkeren op gekraakte of geroote apparaten | Ja | Nee | ||
| Toegangsvereisten opnieuw controleren na (minuten) | Tussen de 0 en 65535 | |||
| Offlinerespijtperiode | Tussen de 0 en 65535 | |||
| Offline-interval (dagen) voor gegevens van app worden gewist | Tussen de 0 en 65535 | |||
| Schermopname en Android Assistant blokkeren | Ja | Nee |
Welke applicaties zou jij graag met MAM willen servicen?
Wat ik me toch nog even afvraag, hoe is de volgorde nu eigenlijk.
1. we hebben O365 MDM (deels intune volgens mij) met een company portal app. Binnen O365 kun je ook policies aanmaken.
2. De intune portal waar je uitgebreidere device management kunt doen
3. ook nog een Azure AD Intune portal. Wat is nu leading en wanneer gebruik je welke omgeving?
Hallo Soetie,
Microsoft Intune kent inmiddels 4 varianten:
1: Inbegrepen in Office 365;
2: Als standalone product;
3: Als hybride variant waarbij de koppeling wordt gemaakt met on-premises Microsoft Configuration Manager;
4: Intune MAM zonder MDM vanuit de Azure Portal.
Zie voor de verschillen tussen de MDM voor Office 365 en de volledige Intune versie ook: https://technet.microsoft.com/library/dn957912.aspx.
In het kort komt het erop neer dat de MDM versie in office 365 een uitgeklede versie is van Intune. Als er de beschikking is over een volledige Intune licentie dan zal de MDM configuratie in Office 365 niet meer gelden maar is Intune leading. Indien er vanuit Intune een koppeling wordt gemaakt met een installatie van Configuration Manager in een on-premises omgeving wordt hiermee een ‘single-pane-of-glass’ management schil gemaakt waardoor de vaste werkplekken en de mobiele apparaten vanuit 1 console beheerd kunnen worden.
Intune MAM zonder MDM gaat uit van Intune licenties maar dan zonder het toepassen van MDM policy’s. Hiermee kunnen dus o.a. de Office apps op mobiele apparaten voorzien worden van policy’s indien een gebruiker hierop inlogt met een zakelijk account, zonder de gebruiker lastig te vallen met bijvoorbeeld het afdwingen van een pincode op zijn of haar eigen device. Overigens is het ook zo dat de MAM policy’s ook vanuit Intune beheerd kunnen worden maar verlopen dan via het MDM component.
Hoop dat dit wat duidelijkheid brengt.