Übersicht über App-Schutzrichtlinien

Intune-App-Schutzrichtlinien stellen sicher, dass die Daten einer organization sicher bleiben oder in einer verwalteten App enthalten bleiben. Mit diesen Richtlinien können Sie steuern, wie auf Daten von Apps auf mobilen Geräten zugegriffen und von ihnen freigegeben wird. Eine Richtlinie kann Regeln erzwingen, wenn der Benutzer versucht, auf "Unternehmensdaten" zuzugreifen oder diese zu verschieben. Es kann auch Aktionen verbieten oder überwachen, wenn sich der Benutzer in der App befindet. Eine verwaltete App in Intune ist eine geschützte App , bei der Intune App-Schutzrichtlinien anwendet und die App verwaltet.

Intune-App-Schutzrichtlinien bieten mehrere Vorteile. Zu diesen Vorteilen gehören der Schutz von Unternehmensdaten auf mobilen Geräten, ohne dass eine Geräteregistrierung erforderlich ist, und das Steuern, wie auf Daten zugegriffen und von Apps auf mobilen Geräten freigegeben wird.

Beispiele für die Verwendung von App-Schutzrichtlinien mit Microsoft Intune:

• Anfordern einer PIN oder eines Fingerabdrucks für den Zugriff auf Unternehmens-E-Mails auf einem mobilen Gerät
• Verhindern des Kopierens und Einfügens von Unternehmensdaten in persönliche Apps durch Benutzer
• Beschränken des Zugriffs auf Unternehmensdaten auf genehmigte Apps

Intune MAM verwaltet viele Produktivitäts-Apps, z. B. die Microsoft 365 (Office)-Apps. Weitere Informationen finden Sie in der offiziellen Liste mit von Microsoft Intune geschützten Apps, die für die Öffentlichkeit verfügbar sind.

Wie Sie Ihre App-Daten schützen können

Ihre Mitarbeiter verwenden mobile Geräte sowohl für private als auch für berufliche Zwecke. Während Sie sicherstellen, dass Ihre Mitarbeiter produktiv sein können, vermeiden Sie Datenverluste. Dies schließt sowohl absichtliche als auch unbeabsichtigte Datenverluste ein. Schützen Sie außerdem Unternehmensdaten, auf die von Geräten zugegriffen wird, die nicht von Ihnen verwaltet werden.

Sie können Intune-App-Schutzrichtlinien unabhängig von jeglicher mobilen Geräteverwaltungslösung verwenden. Diese Unabhängigkeit hilft Ihnen, die Daten Ihres Unternehmens mit oder ohne Registrierung von Geräten in einer Geräteverwaltungslösung zu schützen. Durch die Implementierung von Richtlinien auf App-Ebene können Sie den Zugriff auf Unternehmensressourcen einschränken und Daten innerhalb der Zuständigkeit Ihrer IT-Abteilung behalten.

App-Schutzrichtlinien auf Geräten

Konfigurieren von App-Schutzrichtlinien für Apps, die auf Geräten ausgeführt werden, die folgendes sind:

• Registriert bei Microsoft Intune: Diese Geräte sind in der Regel unternehmenseigene Geräte.

• Bei einer Nicht-Microsoft-Lösung für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) registriert: Diese Geräte befinden sich in der Regel im Besitz des Unternehmens.

  Hinweis

  Verwaltungsrichtlinien für mobile Apps sollten nicht mit Nicht-Microsoft-Verwaltungslösungen für mobile Apps oder sicheren Containerlösungen verwendet werden.

• Nicht bei einer Lösung für die Verwaltung mobiler Geräte registriert: Diese Geräte sind in der Regel mitarbeitereigene Geräte, die weder bei Intune noch anderen MDM-Lösungen registriert sind oder dort verwaltet werden.

Vorteile der Verwendung von Appschutz-Richtlinien

Die Verwendung von App-Schutzrichtlinien bietet folgende wichtige Vorteile:

• Schutz Ihrer Unternehmensdaten auf App-Ebene. Da für die Verwaltung mobiler Apps keine Geräteverwaltung erforderlich ist, schützen Sie Unternehmensdaten sowohl auf verwalteten als auch auf nicht verwalteten Geräten. Bei der Verwaltung wird die Benutzeridentität in den Mittelpunkt gestellt, wodurch sich die Geräteverwaltung erübrigt.

• Die Produktivität der Benutzer ist nicht betroffen, und Richtlinien gelten nicht, wenn die App in einem persönlichen Kontext verwendet wird. Intune wendet Richtlinien nur in einem Arbeitskontext an, sodass Sie Unternehmensdaten schützen können, ohne personenbezogene Daten berühren zu müssen.

• App-Schutz Richtlinien stellen sicher, dass der Schutz der App-Ebene vorhanden ist. Zum Beispiel:

  • Anfordern einer PIN zum Öffnen einer App in einem geschäftlichen Kontext
  • Steuern des Teilens von Daten zwischen Apps
  • Verhindern des Speicherns von Unternehmens-App-Daten an einem privaten Speicherort

• MDM mit MAM stellt sicher, dass das Gerät geschützt ist. Fordern Sie beispielsweise eine PIN an, um auf das Gerät zuzugreifen oder verwaltete Apps auf dem Gerät bereitzustellen. Stellen Sie außerdem Apps über Ihre MDM-Lösung auf Geräten bereit, um mehr Kontrolle über die App-Verwaltung zu erhalten.

Die Verwendung von MDM mit App-Schutzrichtlinien bietet weitere Vorteile, und Unternehmen können App-Schutzrichtlinien mit und ohne MDM gleichzeitig verwenden. Betrachten Sie beispielsweise einen Mitarbeiter, der sowohl ein vom Unternehmen ausgestelltes Telefon als auch sein eigenes persönliches Tablet verwendet. Das Unternehmenstelefon ist bei MDM registriert und durch App-Schutzrichtlinien geschützt. Das persönliche Gerät wird nur durch App-Schutzrichtlinien geschützt.

Wenn Sie eine MAM-Richtlinie auf den Benutzer anwenden, ohne den Gerätestatus festzulegen, erhält der Benutzer die MAM-Richtlinie sowohl auf byod (Bring Your Own Device) als auch auf dem von Intune verwalteten Gerät. Wenden Sie außerdem MAM-Richtlinien basierend auf dem Status der Geräteverwaltung an. Weitere Informationen finden Sie unter Ziel-App-Schutzrichtlinien basierend auf dem Status der Geräteverwaltung. Wenn Sie eine App-Schutzrichtlinie erstellen, wählen Sie neben Ziel auf alle App-Typen die Option Nein aus. Führen Sie dann eine der folgenden Aktionen aus:

• Wenden Sie eine weniger strenge MAM-Richtlinie auf mit Intune verwaltete Geräte an, und wenden Sie eine restriktivere MAM-Richtlinie auf nicht bei MDM registrierte Geräte an.
• Wenden Sie eine MAM-Richtlinie nur auf nicht registrierte Geräte an.

Unterstützte Plattformen für App-Schutzrichtlinien

Intune bietet eine Reihe von Funktionen, die Ihnen dabei helfen, die benötigten Apps auf jene Geräte zu übertragen, auf denen sie ausgeführt werden sollen. Weitere Informationen finden Sie unter App-Verwaltungsfunktionen nach Plattform.

Die Plattform für Schutzrichtlinien für Intune-Apps ist auf die Plattformunterstützung für mobile Office-Anwendungen für Android- und iOS/iPadOS-Geräte ausgerichtet. Weitere Informationen finden Sie im Abschnitt Mobile Apps unter Systemanforderungen für Office.

Erstellen Sie außerdem App-Schutzrichtlinien für Windows-Geräte. Weitere Informationen finden Sie unter App-Schutz Erfahrung für Windows-Geräte.

Datenschutzframework für App-Schutzrichtlinien

Die in App-Schutzrichtlinien verfügbaren Optionen ermöglichen Es Organisationen, den Schutz an ihre spezifischen Anforderungen anzupassen. Für einige ist möglicherweise nicht offensichtlich, welche Richtlinieneinstellungen erforderlich sind, um ein vollständiges Szenario zu implementieren. Um Organisationen bei der Priorisierung mobiler Clientendpunkte zu unterstützen, führt Microsoft die Taxonomie für seine App-Schutzrichtlinien-Datenschutzframework für die Verwaltung mobiler Apps mit iOS und Android ein.

Das Datenschutzframework für App-Schutzrichtlinien ist in drei verschiedene Konfigurationsebenen unterteilt, wobei jede Ebene auf der vorherigen Ebene aufbaut:

• Einfacher Datenschutz für Unternehmen (Ebene 1): Diese Ebene stellt sicher, dass Apps mit einer PIN geschützt und verschlüsselt sind, und dient zum Durchführen selektiver Löschvorgänge. Bei Android-Geräten überprüft diese Ebene den Android-Gerätenachweis. Die Konfiguration der Ebene 1 ist eine Einsteigerkonfiguration, die eine ähnliche Datenschutzsteuerung in Exchange Online Postfachrichtlinien bietet und die IT und die Benutzerpopulation in APP einführt.
• Der erweiterte Datenschutz in Unternehmen (Stufe 2) führt App-Schutzrichtlinien zur Verhinderung von Datenlecks und Mindestanforderungen an das Betriebssystem ein. Die Konfiguration der Ebene 2 gilt für die meisten mobilen Benutzer, die auf Geschäfts-, Schul- oder Unidaten zugreifen.
• Enterprise High Data Protection (Level 3) führt erweiterte Datenschutzmechanismen, erweiterte PIN-Konfiguration und App-Schutzrichtlinien für Mobile Threat Defense ein. Die Konfiguration der Stufe 3 ist für Benutzer wünschenswert, die auf Daten mit hohem Risiko zugreifen.

Die spezifischen Empfehlungen für jede Konfigurationsebene sowie die minimalen zu schützenden Apps finden Sie unter Datenschutzframework mithilfe von App-Schutzrichtlinien.

So schützen App-Schutzrichtlinien Ihre App-Daten

Apps ohne App-Schutzrichtlinien

Wenn Sie Apps ohne Einschränkungen verwenden, können sich Unternehmens- und personenbezogene Daten vermeinen. Unternehmensdaten können damit an Speicherorten wie dem persönlichen Speicher abgelegt oder an Apps außerhalb Ihres Zuständigkeitsbereichs übermittelt werden, was Datenverlust bedeuten würde. Die Pfeile im folgenden Diagramm zeigen die uneingeschränkte Datenverschiebung zwischen sowohl unternehmenseigenen als auch persönlichen Apps sowie zu Speicherorten.

Datenschutz mit App-Schutzrichtlinien

Verwenden Sie App-Schutz Richtlinien, um zu verhindern, dass Unternehmensdaten im lokalen Speicher des Geräts gespeichert werden (siehe folgende Abbildung).) Schränken Sie außerdem die Datenverschiebung auf andere Apps ein, die nicht durch App-Schutz-Richtlinien geschützt sind. Einstellungen für App-Schutzrichtlinien:

• Datenverschiebungsrichtlinien wie Speichern von Kopien von Organisationsdaten und Ausschneiden, Kopieren und Einfügen einschränken.
• Einstellungen von Zugriffsrichtlinien wie Einfache PIN für den Zugriff erforderlich und Ausführen verwalteter Apps auf mit Jailbreak oder Rooting manipulierten Geräten blockieren.

Schutz von Daten mit App-Schutzrichtlinien auf Geräten, die durch eine MDM-Lösung verwaltet werden

Die folgende Abbildung zeigt die Schutzebenen, die MDM- und App-Schutz-Richtlinien zusammen bieten.

Die MDM-Lösung bietet einen Mehrwert durch Folgendes:

• Registrieren das Gerät
• Stellt die Apps auf dem Gerät bereit
• Sorgt für kontinuierliche Gerätekonformität und -verwaltung

Die App-Schutzrichtlinien bieten einen Mehrwert durch Folgendes:

• Schutz der Unternehmensdaten vor dem Zugriff durch Verbraucher-Apps und -Dienste
• Anwenden von Einschränkungen, z. B. für Speichern unter, Zwischenablage oder PIN, auf Client-Apps
• Löschen von Unternehmensdaten aus Apps bei Bedarf, ohne die Apps vom Gerät zu entfernen

Schutz von Daten mit App-Schutzrichtlinien für Geräte ohne Registrierung

Das folgende Diagramm zeigt, wie die Datenschutzrichtlinien auf App-Ebene ohne MDM funktionieren.

Bei BYOD-Geräten, die nicht in einer MDM-Lösung registriert sind, können App-Schutzrichtlinien dazu beitragen, Unternehmensdaten auf App-Ebene zu schützen. Es gibt jedoch einige Einschränkungen, die Sie kennen sollten:

• Apps werden nicht auf dem Gerät bereitgestellt. Der Benutzer erhält die Apps aus dem Store.
• Zertifikatprofile werden auf diesen Geräten nicht bereitgestellt.
• Unternehmens-Wi-Fi- und VPN-Einstellungen werden auf diesen Geräten nicht bereitgestellt.

Apps, die mit App-Schutzrichtlinien verwaltet werden können

Jede App, die in das Intune SDK integriert oder vom Intune-App Wrapping Tool umschließt, kann mithilfe von Intune-App-Schutzrichtlinien verwaltet werden. Sehen Sie sich die offizielle Liste der von Microsoft Intune geschützten Apps an, die diese Tools verwenden und für die öffentliche Verwendung verfügbar sind.

Das Intune SDK-Entwicklungsteam testet und verwaltet aktiv Unterstützung für Apps, die mit den nativen Android- und iOS-/iPadOS-Plattformen (Obj-C, Swift) erstellt wurden. Während einige Kunden erfolgreich mit der Integration des Intune SDK mit anderen Plattformen wie React Native und NativeScript waren, werden keine expliziten Anleitungen oder Plug-Ins für App-Entwickler bereitgestellt, die etwas anderes als die unterstützten Plattformen verwenden.

Benutzeranforderungen für die Verwendung von App-Schutzrichtlinien

Die folgende Liste enthält die Benutzeranforderungen für die Verwendung von App-Schutzrichtlinien für eine von Intune verwaltete App:

• Der Benutzer muss über ein Microsoft Entra-Konto verfügen. Informationen zum Erstellen von Intune-Benutzern in Microsoft Entra ID finden Sie unter Hinzufügen von Benutzern und Erteilen von Administratorberechtigungen für Intune.

• Dem Benutzer muss eine Lizenz für Microsoft Intune zugewiesen sein, die dem Microsoft Entra Konto zugewiesen ist. Informationen zum Zuweisen von Intune-Lizenzen zu Benutzern finden Sie unter Verwalten von Intune-Lizenzen .

• Der Benutzer muss zu einer Sicherheitsgruppe gehören, für die eine App-Schutzrichtlinie gilt. Die selbe App-Schutzrichtlinie muss auf die App angewendet werden, die verwendet werden soll. App-Schutz Richtlinien können im Microsoft Intune Admin Center erstellt und bereitgestellt werden. Sicherheitsgruppen können zurzeit im Microsoft 365 Admin Center erstellt werden.

• Der Benutzer muss sich mit dem Microsoft Entra Konto bei der App anmelden.

App-Schutz-Richtlinien für Microsoft 365-Apps (Office)

Es gibt einige weitere Anforderungen, die Sie beachten sollten, wenn Sie App-Schutz Richtlinien mit Microsoft 365 (Office)-Apps verwenden.

Mobile Outlook-App

Die Anforderungen für die Verwendung der mobilen Outlook-App umfassen Folgendes:

• Der Benutzer muss die mobile Outlook-App auf dem Gerät installiert haben.

• Der Benutzer muss über ein Microsoft 365 Exchange Online Postfach und eine Lizenz verfügen, die mit dem Microsoft Entra-Konto verknüpft ist.

  Hinweis

  Die mobile Outlook-App unterstützt derzeit nur Intune App Protection für Microsoft Exchange Online und Exchange Server mit moderner Hybridauthentifizierung und nicht Exchange in Office 365 Dedicated.

Word, Excel und PowerPoint

Für die Verwendung der Word-, Excel- und PowerPoint-Apps gelten folgende Anforderungen:

• Der Benutzer muss über eine Lizenz für Microsoft 365 Apps for Business oder ein Unternehmen verfügen, das mit dem Microsoft Entra-Konto verknüpft ist. Das Abonnement muss die Microsoft 365-Apps auf mobilen Geräten enthalten und kann ein Cloudspeicherkonto mit Microsoft OneDrive enthalten. Microsoft 365-Lizenzen können im Microsoft 365 Admin Center zugewiesen werden. Befolgen Sie dazu diese Anweisungen.

• Der Benutzer muss über einen verwalteten Speicherort verfügen, der mithilfe der präzisen Funktion zum Speichern unter der Anwendungsschutzrichtlinieneinstellung "Kopien von Organisationsdaten speichern" konfiguriert ist. Wenn der verwaltete Speicherort beispielsweise OneDrive ist, sollte die OneDrive-App in der Word, Excel- oder PowerPoint-App des Benutzers konfiguriert werden.

• Wenn der verwaltete Speicherort OneDrive ist, muss für die App die App-Schutzrichtlinie gelten, die für den Benutzer bereitgestellt wird.

  Hinweis

  Die mobilen Office-Apps unterstützen zurzeit nur SharePoint Online, nicht jedoch SharePoint lokal.

Verwalteter Speicherort für Office erforderlich

Für Office ist ein verwalteter Speicherort (d. h. OneDrive) erforderlich. Intune markiert alle Daten in der App entweder als "unternehmensintern" oder "persönlich". Daten werden als "Unternehmensdaten" betrachtet, wenn sie von einem Geschäftsstandort stammen. Für die Microsoft 365-Apps betrachtet Intune Folgendes als Geschäftsstandorte: E-Mail (Exchange) oder Cloudspeicher (OneDrive-App mit einem OneDrive-Geschäfts-, Schul- oder Unikonto).

Skype for Business

Es gibt weitere Anforderungen für die Verwendung von Skype for Business. Informationen hierzu finden Sie in den Lizenzanforderungen für Skype for Business. Informationen zu Skype for Business hybriden und lokalen Konfigurationen (SfB) finden Sie unter Hybrid Modern Auth for SfB and Exchange goes GA und Modern Auth for SfB on-premises mit Microsoft Entra ID.

Globale App-Schutzrichtlinie

Wenn ein OneDrive-Administrator zu admin.onedrive.com navigiert und Gerätezugriff auswählt, kann er Steuerelemente für die Mobile Anwendungsverwaltung für die OneDrive- und SharePoint-Client-Apps festlegen.

Mit den Einstellungen, die der OneDrive Admin-Konsole zur Verfügung gestellt werden, konfigurieren Sie eine spezielle Intune-App-Schutzrichtlinie, die als globale Richtlinie bezeichnet wird. Diese globale Richtlinie gilt für alle Benutzer in Ihrem Mandanten und kann nicht eingeschränkt angewendet werden.

Sobald sie aktiviert ist, werden die OneDrive- und SharePoint-Apps für iOS/iPadOS und Android standardmäßig über die ausgewählten Einstellungen geschützt. Ein IT-Experte kann diese Richtlinie im Microsoft Intune Admin Center bearbeiten, um gezieltere Apps hinzuzufügen und richtlinieneinstellungen zu ändern.

Standardmäßig darf nur eine globale Richtlinie pro Mandant vorhanden sein. Intune Graph-APIs können Sie jedoch verwenden, um zusätzliche globale Richtlinien pro Mandant zu erstellen, was jedoch nicht empfohlen wird. Das Erstellen zusätzlicher globaler Richtlinien wird nicht empfohlen, da die Problembehandlung bei der Implementierung einer solchen Richtlinie sehr kompliziert sein kann.

Während die globale Richtlinie für alle Benutzer in Ihrem Mandanten gilt, setzt jede standardmäßige Intune-App-Schutzrichtlinie diese Einstellungen außer Kraft.

App-Schutzfunktionen

Mehrere Identitäten

Mit der Unterstützung mehrerer Identitäten kann eine App mehrere Zielgruppen unterstützen. Hierbei kann es sich sowohl um „Unternehmensbenutzer“ als auch um „persönliche Benutzer“ handeln. "Unternehmensgruppen" verwenden Geschäfts-, Schul- und Unikonten, während Benutzergruppen wie Microsoft 365 (Office) persönliche Konten verwenden würden. Eine App, die mehrere Identitäten unterstützt, kann öffentlich freigegeben werden. Dabei werden App-Schutzrichtlinien nur angewendet, wenn die App im Kontext eines Geschäfts-, Schul- und Unikontos („Unternehmen“) verwendet wird. Bei der Unterstützung mehrerer Identitäten wird das Intune SDK verwendet, um App-Schutzrichtlinien nur auf das Geschäfts-, Schul- oder Unikonto anzuwenden, das bei der App angemeldet ist. Wenn ein persönliches Konto bei der App angemeldet ist, kann nicht auf die Daten zugegriffen werden. App-Schutzrichtlinien können verwendet werden, um zu verhindern, dass Daten von Geschäfts-, Schul- oder Unikonten an persönliche Konten innerhalb der App mit mehreren Identitäten, an persönliche Konten mit anderen Apps oder persönliche Apps übertragen werden.

Betrachten Sie als Beispiel für einen "persönlichen" Kontext einen Benutzer, der ein neues Dokument in Word startet. Dies gilt als persönlicher Kontext, sodass Intune-App-Schutzrichtlinien nicht angewendet werden. Sobald das Dokument im OneDrive-Konto des Unternehmens gespeichert wurde, wird es als "Unternehmenskontext" betrachtet, und Die Intune-App-Schutzrichtlinien werden angewendet.

Sehen Sie sich die folgenden Beispiele für die Arbeit oder den Unternehmenskontext an:

• Ein Benutzer startet die OneDrive-App über sein Geschäftskonto. Im geschäftlichen Kontext kann er keine Dateien an einen privaten Speicherort verschieben. Wenn der Benutzer OneDrive später jedoch mit einem persönlichen Konto verwendet, kann er Daten ohne Einschränkung aus dem persönlichen OneDrive kopieren und verschieben.
• Ein Benutzer beginnt, eine E-Mail in der Outlook-App zu verfassen. Sobald der Betreff oder der Nachrichtentext aufgefüllt ist, kann der Benutzer die FROM-Adresse („An“) nicht mehr vom Arbeitskontext in den persönlichen Kontext umstellen, da der Betreff und der Nachrichtentext durch die App-Schutzrichtlinie geschützt sind.

Intune-App-PIN

Die PIN (Personal Identification Number) ist eine Kennung, mit der sichergestellt wird, dass der richtige Benutzer in einer Anwendung auf die Daten der Organisation zugreift.

Aufforderung zur Eingabe der PIN
Intune fordert den Benutzer zur Eingabe seiner App-PIN auf, wenn dieser versucht, auf „unternehmenseigene“ Daten zuzugreifen. In Apps mit Unterstützung mehrerer Identitäten – z. B. Word, Excel oder PowerPoint – wird der Benutzer zur PIN-Eingabe aufgefordert, wenn er versucht, ein „unternehmenseigenes“ Dokument oder eine „unternehmenseigene“ Datei zu öffnen. In Apps mit nur einer Identität, z. B. branchenspezifischen Apps, die mit dem Intune-App Wrapping Tool verwaltet werden, wird die PIN beim Start aufgefordert, da das Intune SDK weiß, dass die Benutzerfreundlichkeit in der App immer "unternehmensintern" ist.

Häufigkeit der Aufforderung zur Eingabe der PIN oder Administratoranmeldeaufforderung eines Unternehmens
Der IT-Administrator kann die Intune-App-Schutzrichtlinieneinstellung Im Microsoft Intune Admin Center die Zugriffsanforderungen nach (Minuten) erneut überprüfen definieren. Diese Einstellung gibt die Zeitspanne an, nach der die Zugriffsanforderungen auf dem Gerät überprüft werden und der Bildschirm zur Eingabe der PIN oder Administratoranmeldeaufforderung eines Unternehmens erneut angezeigt wird. Wichtige Details zur PIN, die sich darauf auswirken, wie oft der Benutzer aufgefordert wird, sind jedoch:

• Eine PIN wird für alle Apps des gleichen Herausgebers genutzt, um die Benutzerfreundlichkeit zu erhöhen:
  Unter iOS/iPadOS wird eine App-PIN für alle Apps desselben App-Herausgebers freigegeben. Beispielsweise verwenden alle Microsoft-Apps dieselbe PIN. Unter Android wird eine App-PIN von allen Apps gemeinsam genutzt.
• Das Verhalten von Zugriffsanforderungen nach (Minuten) erneut überprüfen nach einem Geräteneustart:
  Ein Timer zählt die Anzahl von Minuten der Inaktivität, die angeben, wann die Intune-App-PIN oder Administratoranmeldeaufforderung eines Unternehmens das nächste Mal angezeigt werden soll. Unter iOS/iPadOS hat ein Neustart des Geräts keine Auswirkung auf den Timer. Daher hat der Neustart des Geräts keine Auswirkungen auf die Anzahl der Minuten, in denen der Benutzer inaktiv bleibt, wenn eine iOS-/iPadOS-App mit einer Intune-PIN-Richtlinie (oder einer Richtlinie für Unternehmensanmeldeinformationen) als Ziel verwendet wird. Unter Android wird der Timer beim Neustart des Geräts zurückgesetzt. Daher fordern Android-Apps mit intune-PIN (oder Unternehmensanmeldeinformationen) wahrscheinlich zur Eingabe einer App-PIN oder einer Aufforderung zu Unternehmensanmeldeinformationen auf, unabhängig vom Einstellungswert "Zugriffsanforderungen nach (Minuten)" nach einem Geräteneustart.
• Das Wiederholungsverhalten des Timers für die PIN:
  Wenn für den Zugriff auf eine App (App A) eine PIN eingegeben wurde und diese App auf dem Gerät nicht mehr im Vordergrund (Haupteingabefokus) ausgeführt wird, wird der Timer für diese PIN zurückgesetzt. Jede App (App B), die diese PIN teilt, fordert den Benutzer nicht zur PIN-Eingabe auf, da der Timer zurückgesetzt wurde. Die Eingabeaufforderung wird erneut angezeigt, sobald der Wert "Zugriffsanforderungen erneut überprüfen nach (Minuten)" erfüllt ist.

Bei iOS-/iPadOS-Geräten wird die Eingabeaufforderung erneut angezeigt, selbst wenn die PIN von Apps verschiedener Herausgeber gemeinsam genutzt wird, wenn der Wert " Zugriffsanforderungen nach (Minuten) erneut überprüfen" für die App erfüllt ist, die nicht der Haupteingabefokus ist. Beispiel: Der Benutzer verfügt über die App A von Herausgeber X und über die App B von Herausgeber Y, und für diese Apps wird die gleiche PIN verwendet. Der Benutzer verwendet App A (im Vordergrund), und die App B ist minimiert. Nachdem der Wert Zugriffsanforderungen nach (Minuten) erneut überprüfen erfüllt wurde und der Benutzer zu App B wechselt, ist die PIN erforderlich.

Integrierte App-PINs für Outlook und OneDrive
Die Intune-PIN basiert auf einem auf Inaktivität basierenden Timer (der Wert von Erneut überprüfen der Zugriffsanforderungen nach (Minuten)). Daher werden Intune-PIN-Eingabeaufforderungen unabhängig von den integrierten App-PIN-Aufforderungen für Outlook und OneDrive angezeigt, die häufig standardmäßig an den App-Start gebunden sind. Wenn der Benutzer beide PIN-Eingabeaufforderungen gleichzeitig empfängt, ist das erwartete Verhalten, dass die Intune-PIN Vorrang hat.

Sicherheit für Intune-PINs
Mit der PIN wird sichergestellt, dass nur der richtige Benutzer in der App auf Daten der Organisation zugreifen kann. Daher muss sich ein Benutzer mit dem Geschäfts-, Schul- oder Unikonto anmelden, bevor er seine Intune-App-PIN festlegen oder zurücksetzen kann. Microsoft Entra-ID verarbeitet diese Authentifizierung über einen sicheren Tokenaustausch, und das Intune SDK wird sie nicht angezeigt. Hinsichtlich der Sicherheit ist die beste Möglichkeit, ein Geschäfts-, Uni- oder Schulkonto zu schützen, das Konto zu verschlüsseln. Die Verschlüsselung bezieht sich nicht auf die App-PIN, sondern ist eine eigene App-Schutzrichtlinie.

Schutz vor Brute-Force-Angriffen und der Intune-PIN
Im Rahmen der App-PIN-Richtlinie kann der IT-Administrator festlegen, wie oft ein Benutzer versuchen kann, die PIN zu authentifizieren, bevor die App gesperrt wird. Nachdem die Anzahl der Versuche erfüllt wurde, kann das Intune SDK die "Unternehmensdaten" in der App zurücksetzen.

Intune-PIN und selektives Zurücksetzen
Unter iOS/iPadOS werden die PIN-Informationen auf App-Ebene im Schlüsselbund gespeichert, der von Apps desselben Herausgebers, wie z. B. allen Apps von Microsoft als Erstanbieter, gemeinsam genutzt wird. Diese PIN-Informationen sind auch an ein Benutzerkonto gebunden. Eine selektive Zurücksetzung einer App wirkt sich nicht auf eine andere App aus.

Beispielsweise wird eine für Outlook festgelegte PIN für den angemeldeten Benutzer in einem gemeinsam genutzten Schlüsselbund gespeichert. Wenn sich der Benutzer bei OneDrive (ebenfalls von Microsoft veröffentlicht) anmeldet, wird die gleiche PIN wie Outlook angezeigt, da derselbe freigegebene Schlüsselbund verwendet wird. Wenn Sie sich von Outlook abmelden oder die Benutzerdaten in Outlook löschen, löscht das Intune SDK diesen Schlüsselbund nicht, da OneDrive diese PIN möglicherweise weiterhin verwendet. Aus diesem Fall wird der freigegebene Schlüsselbund, einschließlich der PIN, durch selektive Zurücksetzungen nicht gelöscht. Dieses Verhalten bleibt auch dann unverändert, wenn nur eine App eines Herausgebers auf dem Gerät vorhanden ist.

Da die PIN von Apps mit demselben Herausgeber geteilt wird, weiß das Intune SDK nicht, ob auf dem Gerät andere Apps mit demselben Herausgeber vorhanden sind, wenn die Zurücksetzung an eine einzelne App erfolgt. Daher löscht das Intune SDK die PIN nicht, da sie möglicherweise weiterhin für andere Apps verwendet wird. Es wird davon ausgegangen, dass die App-PIN zurückgesetzt wird, wenn die letzte App von diesem Herausgeber schließlich im Rahmen einer Betriebssystembereinigung entfernt wird.

Wenn Sie beobachten, dass die PIN auf einigen Geräten zurückgesetzt wird, tritt wahrscheinlich das folgende Verhalten auf: Da die PIN an eine Identität gebunden ist, wird der Benutzer, der sich nach einer Zurücksetzung mit einem anderen Konto anmeldet, aufgefordert, eine neue PIN einzugeben. Wenn sie sich jedoch mit einem zuvor vorhandenen Konto anmelden, kann eine im Schlüsselbund gespeicherte PIN für die Anmeldung verwendet werden.

Doppeltes Festlegen einer PIN für Apps vom gleichen Herausgeber?
MAM (unter iOS/iPadOS) ermöglicht derzeit pin auf Anwendungsebene mit alphanumerischen und Sonderzeichen (als "Kennung" bezeichnet), die die Teilnahme von Anwendungen (d. h. WXP, Outlook, Managed Browser, Viva Engage) erfordert, um das Intune SDK für iOS zu integrieren. Ohne dies werden die Kennungseinstellungen für die Zielanwendungen nicht ordnungsgemäß erzwungen. Dies war ein Feature, das im Intune SDK für iOS v. 7.1.12 veröffentlicht wurde.

Um dieses Feature zu unterstützen und die Abwärtskompatibilität mit früheren Versionen des Intune SDK für iOS/iPadOS sicherzustellen, werden alle PINs (entweder numerisch oder passcode) in Version 7.1.12 und höher getrennt von der numerischen PIN in früheren Versionen des SDK behandelt. Eine weitere Änderung wurde im Intune SDK für iOS v 14.6.0 eingeführt, die bewirkt, dass alle PINs in 14.6.0+ getrennt von PINS in früheren Versionen des SDK behandelt werden.

Wenn ein Gerät über Anwendungen mit dem Intune SDK für iOS-Versionen vor 7.1.12 UND nach 7.1.12 desselben Herausgebers (oder Versionen vor 14.6.0 UND nach 14.6.0) verfügt, müssen zwei PINs eingerichtet werden. Die beiden PINs (für jede App) stehen in keiner Weise im Zusammenhang (d. h., sie müssen der App-Schutzrichtlinie entsprechen, die auf die App angewendet wird). Wenn also für Apps A und B die gleichen Richtlinien (in Bezug auf PIN) angewendet werden, kann der Benutzer dieselbe PIN zweimal einrichten.

Dieses Verhalten gilt speziell für die PIN für iOS/iPadOS-Anwendungen, die mit der Intune-Verwaltung mobiler Apps aktiviert sind. Wenn Anwendungen im Laufe der Zeit höhere Intune SDK-Versionen für iOS/iPadOS annehmen, ist das zweimalige Festlegen einer PIN für Apps desselben Herausgebers weniger entscheidend.

Verschlüsselung von App-Daten

IT-Administratoren können eine App-Schutzrichtlinie bereitstellen, die erzwingt, dass App-Daten verschlüsselt werden. Im Rahmen einer solchen Richtlinie kann ein IT-Administrator auch angeben, wann die Inhalte verschlüsselt werden.

Intune-Verfahren für die Datenverschlüsselung
Ausführliche Informationen zur Verschlüsselungseinstellung im Rahmen von App-Schutzrichtlinien finden Sie unter Einstellungen für App-Schutzrichtlinien in Microsoft Intune und Einstellungen für App-Schutzrichtlinien für iOS.

Verschlüsselte Daten
Nur Daten, die als „unternehmenseigen“ markiert sind, werden gemäß der vom IT-Administrator eingerichteten App-Schutzrichtlinie verschlüsselt. Daten werden als „unternehmenseigen“ betrachtet, wenn sie von einem Speicherort des Unternehmens stammen. Für die Microsoft 365-Apps betrachtet Intune Folgendes als Geschäftsstandorte:

• E-Mail (Exchange)
• Cloudspeicher (OneDrive-App mit einem OneDrive-Konto für Geschäfts-, Schul- oder Unikonto)

Bei branchenspezifischen Apps, die vom Intune-App Wrapping Tool verwaltet werden, werden alle App-Daten als "Unternehmensdaten" betrachtet.

Selektives Zurücksetzen

Löschen von Daten per Remotezugriff
Intune kann App-Daten auf drei verschiedene Arten löschen:

• Vollständiges Zurücksetzen des Geräts
• Selektives Zurücksetzen für MDM
• Selektives Zurücksetzen für MAM

Weitere Informationen zur Remotezurücksetzung der MDM finden Sie unter Entfernen von Geräten durch Zurücksetzen oder Abkoppeln. Weitere Informationen zum selektiven Zurücksetzen mit MAM finden Sie unter the Retire action (Die Aktion „Abkoppeln“) und Zurücksetzen von Unternehmensdaten in Apps.

Beim vollständigen Zurücksetzen des Geräts werden alle Benutzerdaten und -einstellungen vom Gerät entfernt, indem das Gerät auf die werkseitigen Standardeinstellungen zurückgesetzt wird. Das Gerät wird aus Intune entfernt.

Selektives Zurücksetzen für MDM
Informationen zum Entfernen von Unternehmensdaten finden Sie unter Remove devices – retire (Entfernen von Geräten: Abkoppeln).

Selektives Zurücksetzen für MAM
Die selektive Zurücksetzung für MAM entfernt Unternehmens-App-Daten aus einer App. Die Anforderung wird mit Intune initiiert. Informationen zum Initiieren einer Zurücksetzungsanforderung finden Sie unter So setzen Sie nur die Unternehmensdaten in einer App zurück.

Wenn das selektive Zurücksetzen initiiert wird, während ein Benutzer die App verwendet, überprüft das Intune SDK alle 30 Minuten, ob eine Anforderung zum selektiven Zurücksetzen vom Intune MAM-Dienst vorhanden ist. Das SDK überprüft auch, ob eine Anforderung zum selektiven Zurücksetzen vorhanden ist, wenn ein Benutzer eine App zum ersten Mal startet und sich mit einem Geschäfts-, Uni- oder Schulkonto anmeldet.

Wenn lokale Dienste nicht mit von Intune geschützten Apps funktionieren
Der Intune-App-Schutz hängt davon ab, dass die Identität des Benutzers in der App und im Intune SDK konsistent ist. Die einzige Möglichkeit, dies zu garantieren, ist eine moderne Authentifizierung. Es gibt Szenarien, in denen Apps möglicherweise mit einer lokalen Konfiguration funktionieren, aber nicht konsistent oder garantiert sind.

Eine sichere Möglichkeit zum Öffnen von Weblinks in verwalteten Apps
Ein IT-Administrator kann eine App-Schutzrichtlinie für Microsoft Edge bereitstellen und festlegen. Dieser Webbrowser kann problemlos mit Intune verwaltet werden. Der IT-Administrator kann erzwingen, dass alle Weblinks in über Intune verwalteten Apps mit einem verwalteten Browser geöffnet werden müssen.

App-Schutzfunktionen für iOS-Geräte

Erkennung von Fingerabdrücken oder Gesichtern auf dem Gerät

Die Richtlinien für den Intune-App-Schutz ermöglichen es Ihnen, den App-Zugriff nur auf Benutzer mit Intune-Lizenz zu beschränken. Eine der Möglichkeiten, den Zugriff auf die App zu steuern, besteht darin, Apple Touch ID oder Face ID auf unterstützten Geräten zu erfordern. Intune implementiert ein Verhalten, bei dem Intune den Benutzer zur Eingabe einer PIN auffordert, wenn es eine Änderung an der biometrischen Datenbank des Geräts gibt, wenn der nächste Inaktivitätstimeoutwert erreicht wird. Zu Änderungen an biometrischen Daten zählen das Hinzufügen oder Entfernen von Fingerabdrücken oder Gesichtern. Wenn der Intune-Benutzer keine PIN festgelegt hat, wird er aufgefordert, eine Intune-PIN einzurichten.

Zweck dieses Verfahrens ist es, die Daten Ihrer Organisation innerhalb der App und auf App-Ebene kontinuierlich zu schützen. Dieses Feature ist nur für iOS/iPadOS verfügbar und erfordert, dass das Intune SDK für iOS/iPadOS, Version 9.0.1 oder höher in betreffende Anwendungen integriert wird. Die Integration des SDK ist erforderlich, damit das Verhalten für die Zielanwendungen erzwungen werden kann. Diese Integration erfolgt kontinuierlich und ist abhängig von den jeweiligen Anwendungsteams. Einige Apps, die teilnehmen, sind WXP, Outlook, Managed Browser und Viva Engage.

iOS-Freigabeerweiterung

Verwenden Sie die iOS-/iPadOS-Freigabeerweiterung, um Geschäfts-, Schul- oder Unidaten in nicht verwalteten Apps zu öffnen, auch wenn die Datenübertragungsrichtlinie auf nur verwaltete Apps oder keine Apps festgelegt ist. Die Intune-App-Schutzrichtlinie kann die iOS-/iPadOS-Freigabeerweiterung nicht steuern, ohne das Gerät zu verwalten. Daher verschlüsselt Intune „unternehmenseigene“ Daten, bevor diese außerhalb der App freigegeben werden. Überprüfen Sie dieses Verschlüsselungsverhalten, indem Sie versuchen, eine "Unternehmensdatei" außerhalb der verwalteten App zu öffnen. Die Datei sollte verschlüsselt sein und außerhalb der verwalteten App nicht geöffnet werden können.

Unterstützung für universelle Links

Standardmäßig verhindern Intune-App-Schutzrichtlinien den Zugriff auf nicht autorisierte Anwendungsinhalte. In iOS/iPadOS gibt es Funktionen zum Öffnen bestimmter Inhalte oder Anwendungen mithilfe von Universellen Links.

Benutzer können die universellen Links einer App deaktivieren, indem sie in Safari zu diesen Links navigieren und auf In neuer Registerkarte öffnen oder Öffnen klicken. Um universelle Links mit Intune-App-Schutzrichtlinien zu verwenden, ist es wichtig, die universellen Links erneut zu aktivieren. Der Benutzer muss in Safari einenApp-Namen>öffnen<, nachdem er lange auf einen entsprechenden Link gedrückt hat. Dadurch sollte jede geschützte App aufgefordert werden, alle universellen Links an die geschützte Anwendung auf dem Gerät weiterzuleiten.

Mehrere Zugriffseinstellungen des Intune-App-Schutzes für die gleiche Gruppe von Apps und Benutzern

Intune-App-Schutzrichtlinien für den Zugriff werden in einer bestimmten Reihenfolge auf Benutzergeräten angewendet, wenn diese versuchen, über ihr Unternehmenskonto auf eine Ziel-App zuzugreifen. In der Regel hat ein Zurücksetzungsvorgang Vorrang vor einem Block. Verwerfbare Warnungen werden erst als letztes berücksichtigt. Wenn dies z. B. auf den jeweiligen Benutzer/die app anwendbar ist, wird eine Mindestenseinstellung des iOS-/iPadOS-Betriebssystems, die einen Benutzer warnt, seine iOS-/iPadOS-Version zu aktualisieren, nach der Mindesteinstellung des iOS-/iPadOS-Betriebssystems angewendet, die den Benutzer am Zugriff hindert. In dem Szenario, in dem der IT-Administrator das mindeste iOS-Betriebssystem auf 11.0.0.0 und das mindeste iOS-Betriebssystem (nur Warnung) auf 11.1.0.0 konfiguriert, während sich das Gerät, das versucht, auf die App zuzugreifen, unter iOS 10 befindet, wird der Benutzer basierend auf der restriktiveren Einstellung für die minimale iOS-Betriebssystemversion blockiert, die zu einem blockierten Zugriff führt.

Wenn verschiedene Arten von Einstellungen verarbeitet werden müssen, haben die Anforderungen hinsichtlich bestimmter Versionen des Intune SDK Vorrang. Erst danach werden Anforderungen berücksichtigt, die eine Version einer App oder eines iOS/iPadOS-Betriebssystems betreffen. Anschließend werden in derselben Reihenfolge mögliche Warnungen für sämtliche Einstellungstypen überprüft. Konfigurieren Sie die Intune SDK-Versionsanforderung nur nach Anleitung des Intune-Produktteams für wichtige Blockierungsszenarien.

App-Schutzfunktionen für Android-Geräte

Microsoft Teams-Android-Geräte

Die Teams-App auf Microsoft Teams Android-Geräten unterstützt keine App-Schutzrichtlinien (erhält keine Richtlinie über die Unternehmensportal-App). Dies bedeutet, dass App-Schutzrichtlinieneinstellungen nicht auf Teams auf Microsoft Teams Android-Geräten angewendet werden. Wenn Sie App-Schutzrichtlinien für diese Geräte konfiguriert haben, sollten Sie eine Gruppe von Teams-Gerätebenutzern erstellen und diese Gruppe aus den zugehörigen App-Schutzrichtlinien ausschließen. Erwägen Sie außerdem, Ihre Intune-Registrierungsrichtlinie, Richtlinien für bedingten Zugriff und Intune-Konformitätsrichtlinien so zu ändern, dass sie unterstützte Einstellungen enthalten. Wenn Sie Ihre vorhandenen Richtlinien nicht ändern können, müssen Sie Gerätefilter (Ausschluss) konfigurieren. Überprüfen Sie jede Einstellung anhand der vorhandenen Konfiguration für bedingten Zugriff und der Intune-Konformitätsrichtlinie, um zu ermitteln, ob Sie nicht unterstützte Einstellungen einschließen. Weitere Informationen finden Sie unter Unterstützter bedingter Zugriff und Intune-Gerätekonformitätsrichtlinien für Microsoft Teams-Räume und Teams Android-Geräte. Informationen zu Microsoft Teams Rooms finden Sie unter Bedingter Zugriff und Intune-Compliance für Microsoft Teams Rooms.

Biometrische Geräteauthentifizierung

Für Android-Geräte, die die biometrische Authentifizierung unterstützen, können Benutzer einen Fingerabdruck oder die Gesichtsentsperrung verwenden, je nachdem, was ihr Android-Gerät unterstützt. Konfigurieren Sie, ob alle biometrischen Typen über den Fingerabdruck hinaus für die Authentifizierung verwendet werden können. Fingerabdruck und Gesichtserkennung sind nur für Geräte verfügbar, die zur Unterstützung dieser biometrischen Typen hergestellt wurden und die richtige Version von Android ausführen. Für Fingerabdrücke ist Android 6 erforderlich, für die Entsperrung per Gesichtserkennung ist Android 10 oder höher erforderlich.

Unternehmensportal-App und Intune-App-Schutz

Ein Großteil der App-Schutzfunktionen ist in die Unternehmensportal-App integriert. Die Geräteregistrierung ist nicht erforderlich*, obwohl die Unternehmensportal-App immer erforderlich ist. Für die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) muss die Unternehmensportal-App auf dem Gerät installiert sein.

Mehrere Zugriffseinstellungen des Intune-App-Schutzes für die gleiche Gruppe von Apps und Benutzern

Intune-App-Schutzrichtlinien für den Zugriff werden in einer bestimmten Reihenfolge auf Benutzergeräten angewendet, wenn diese versuchen, über ihr Unternehmenskonto auf eine Ziel-App zuzugreifen. Im Allgemeinen hat ein -Block Vorrang und dann eine abweisendbare Warnung. Wenn dies z. B. für den jeweiligen Benutzer bzw. die Bestimmte App zutreffend ist, wird eine Android-Mindest-Patchversionseinstellung angewendet, die einen Benutzer warnt, ein Patchupgrade durchzuführen, nachdem die Einstellung für die Minimale Android-Patchversion festgelegt wurde, die den Zugriff des Benutzers blockiert. In dem Szenario, in dem der IT-Administrator die minimale Android-Patchversion auf 2018-03-01 und die minimale Android-Patchversion (nur Warnung) auf 2018-02-01konfiguriert, während das Gerät, das auf die App zugreifen möchte, eine Patchversion 2018-01-01verwendet, wird der Benutzer basierend auf der restriktiveren Einstellung für mindestens die Android-Patchversion blockiert, die zu einem blockierten Zugriff führt.

Bei verschiedenen Einstellungstypen hätte eine App-Versionsanforderung Vorrang, gefolgt von einer Anforderung der Android-Betriebssystemversion und einer Android-Patchversionsanforderung. Anschließend werden alle Warnungen auf alle Arten von Einstellungen in derselben Reihenfolge überprüft.

Intune-App-Schutzrichtlinien und Die Google Play-Geräteintegritätsprüfung für Android-Geräte

Intune-App-Schutzrichtlinien bieten Administratoren die Möglichkeit, zu verlangen, dass Benutzergeräte die Google Play-Geräteintegritätsprüfung für Android-Geräte bestehen. Eine neue Google Play-Dienstermittlung wird dem IT-Administrator in einem vom Intune-Dienst festgelegten Intervall gemeldet. Wie oft der Dienstaufruf durchgeführt wird, wird aufgrund von Last gedrosselt. Daher wird dieser Wert intern beibehalten und ist nicht konfigurierbar. Jede vom IT-Administrator konfigurierte Aktion für die Google-Geräteintegritätseinstellung wird basierend auf dem letzten an den Intune-Dienst gemeldeten Ergebnis zum Zeitpunkt des bedingten Starts ausgeführt. Wenn keine Daten vorhanden sind, wird der Zugriff zugelassen, je nachdem, ob andere bedingte Startprüfungen fehlschlagen, und der Google Play-Dienst "Roundtrip" zum Bestimmen der Nachweisergebnisse beginnt im Back-End und fordert den Benutzer asynchron auf, wenn das Gerät ausfällt. Wenn veraltete Daten vorhanden sind, wird der Zugriff je nach zuletzt gemeldetem Ergebnis blockiert oder zugelassen. Auf ähnliche Weise beginnt ein Google Play Service-Roundtrip zum Bestimmen der Nachweisergebnisse und fordert den Benutzer asynchron auf, wenn das Gerät ausfällt.

Intune-App-Schutzrichtlinien und die Verify Apps-API von Google für Android-Geräte

Intune-App-Schutzrichtlinien bieten Administratoren die Möglichkeit, von Benutzergeräten das Senden von Signalen über die Verify Apps-API von Google für Android-Geräte zu verlangen. Die dafür erforderlichen Schritte unterscheiden sich leicht je nach Gerät. Der allgemeine Prozess besteht darin, zum Google Play Store zu wechseln, dann Meine Apps & Spiele auszuwählen und das Ergebnis der letzten App-Überprüfung auszuwählen, wodurch Sie zum Menü Play Protect gelangen. Sorgen Sie dafür, dass die Option Scan device for security threats (Gerät auf Sicherheitsbedrohungen überprüfen) aktiviert ist.

Googles Play-Integritäts-API

Intune verwendet die Play-Integritäts-APIs von Google, um vorhandene Stammerkennungsprüfungen für nicht registrierte Geräte hinzuzufügen. Google entwickelt und verwaltet diesen API-Satz für Android-Apps, die übernommen werden sollen, wenn ihre Apps nicht auf Geräten mit Root-Basis ausgeführt werden sollen. Dies ist beispielsweise in der Android Pay-App enthalten. Google gibt zwar nicht die gesamte Stammerkennungsüberprüfung öffentlich frei, aber diese APIs erkennen Benutzer, die ihre Geräte rooten. Diesen Benutzern kann der Zugriff dann verwehrt werden, oder ihre Unternehmenskonten können aus den Apps entfernt werden, für die Richtlinien aktiviert sind. Die Option Check basic integrity (Grundlegende Integrität überprüfen) informiert Sie über die allgemeine Integrität des Geräts. Für gerootete Geräte, Emulatoren, virtuelle Geräte und Geräte, die Anzeichen von Manipulationen aufweisen, schlägt die Überprüfung der grundlegenden Integrität fehl. Die Option Check basic integrity & certified devices (Grundlegende Integrität und zertifizierte Geräte überprüfen) informiert Sie über die Kompatibilität des Geräts mit Google-Diensten. Nur unveränderte Geräte, die von Google zertifiziert werden, können diese Überprüfung bestehen. Zu den Geräten, bei denen ein Fehler auftritt, gehören:

• Geräte, für die die Überprüfung der Basisintegrität fehlschlägt
• Geräte mit entsperrtem Bootloader
• Geräte mit einem benutzerdefinierten Systemimage/ROM
• Geräte, für die der Hersteller keine Google-Zertifizierung beantragt oder bestanden hat
• Geräte mit einem Systemimage, das direkt aus den Quelldateien des Open Source-Programms für Android erstellt wurde
• Geräte mit einem Systemimage, das sich noch in der Betaversion oder in der Entwicklervorschau befindet

Technische Details finden Sie in der Google-Dokumentation zur Play-Integritäts-API von Google .

Einstellung "Integritätsbewertung wiedergeben" und "Geräte mit Jailbreak/Rootzugriff"

Die Wiedergabeintegritätsbewertung erfordert, dass der Benutzer online ist, zumindest während des Zeitraums, zu dem der "Roundtrip" zum Bestimmen der Nachweisergebnisse ausgeführt wird. Wenn der Benutzer offline ist, kann der IT-Administrator weiterhin davon ausgehen, dass ein Ergebnis von der Einstellung für Geräte mit Jailbreak/Rootzugriff erzwungen wird. Wenn der Benutzer jedoch zu lange offline bleibt, kommt der Wert für die Offline-Toleranzperiode ins Spiel, und der gesamte Zugriff auf Geschäfts-, Schul- oder Unidaten wird blockiert, sobald dieser Zeitgeberwert erreicht ist, bis der Netzwerkzugriff verfügbar ist. Das Aktivieren beider Einstellungen ermöglicht einen mehrstufigen Ansatz, um die Integrität von Benutzergeräten zu gewährleisten. Dies ist wichtig, wenn Benutzer auf Mobilgeräten auf Geschäfts-, Schul- oder Unidaten zugreifen.

Google Play Protect-APIs und Google Play Services

Die Einstellungen der App-Schutzrichtlinie, die Google Play Protect-APIs verwenden, erfordern, dass Google Play Services funktionieren. Sowohl die Bewertung der Play-Integrität als auch die Bedrohungsüberprüfung für Apps erfordern, dass die von Google ermittelte Version der Google Play-Dienste ordnungsgemäß funktioniert. Da diese Einstellungen in den Sicherheitsbereich fallen, wird der Benutzer blockiert, wenn er diese Einstellungen verwendet und nicht die entsprechende Version von Google Play Services erfüllt oder keinen Zugriff auf Google Play Services hat.

App-Schutz Erfahrung für Windows-Geräte

Es gibt zwei Kategorien von Richtlinieneinstellungen: Datenschutz und Integritätsprüfungen. Der Begriff richtlinienverwaltete App bezieht sich auf Apps, die mit App-Schutzrichtlinien konfiguriert sind.

Datenschutz

Die Datenschutzeinstellungen wirken sich auf die Organisationsdaten und den Kontext aus. Als Administrator können Sie die Verschiebung von Daten in und aus dem Kontext des Organisationsschutzes steuern. Der Organisationskontext wird durch Dokumente, Dienste und Websites definiert, auf die über das angegebene Organisationskonto zugegriffen wird. Die folgenden Richtlinieneinstellungen helfen beim Steuern externer Daten, die in den Organisationskontext empfangen werden, und Organisationsdaten, die aus dem Organisationskontext gesendet werden.

Integritätsprüfungen

Mit Integritätsprüfungen können Sie Funktionen für bedingten Start konfigurieren. Dazu müssen Sie die Integritätsprüfungsbedingungen für Ihre App-Schutzrichtlinie festlegen. Wählen Sie eine Einstellung aus, und geben Sie den Wert ein, den Benutzer für den Zugriff auf Ihre Organisationsdaten erfüllen müssen. Wählen Sie dann die Aktion aus, die Sie ausführen möchten, wenn Benutzer Ihre Bedingungen nicht erfüllen. In einigen Fällen können mehrere Aktionen für eine einzelne Einstellung konfiguriert werden.

Nächste Schritte

Erstellen und Bereitstellen von App-Schutzrichtlinien mit Microsoft Intune

Verfügbare Einstellungen für Schutzrichtlinien für Android-Apps mit Microsoft Intune

Einstellungen für App-Schutzrichtlinien für iOS