Erstellen und Zuweisen von App-SchutzrichtlinienHow to create and assign app protection policies

Erfahren Sie, wie Sie Microsoft Intune-App-Schutzrichtlinien erstellen und Ihren Benutzern zuweisen.Learn how to create and assign Microsoft Intune app protection policies to your users. In diesem Thema wird beschrieben, wie Änderungen an bestehenden Richtlinien vorgenommen werden.This topic also describes how to make changes to existing policies.

VorbereitungBefore you begin

Wenn Sie nach Anweisungen für das klassische Intune-Portal suchen, finden Sie weitere Informationen unter Erstellen von App-Schutzrichtlinien.If you're looking for instructions in the Intune classic portal, see how to create app protection policies.

App-Schutzrichtlinien können angewendet werden, unabhängig davon, ob die Geräte, auf denen die Apps ausgeführt werden, von Intune verwaltet werden.App protection policies can be applied to apps running on devices that may or may not be managed by Intune. Eine ausführlichere Beschreibung der Funktionsweise von App-Schutzrichtlinien und der von Intune-App-Schutzrichtlinien unterstützten Szenarien finden Sie im Thema Was sind Microsoft Intune-App-Schutzrichtlinien.For a more detailed description of how app protection policies work and the scenarios supported by Intune app protection policies, see What is Microsoft Intune app protection policies.

Wenn Sie nach einer Liste der unterstützten MAM-Apps suchen, finden Sie weitere Informationen in der Liste der MAM-Apps.If you're looking for a list of MAM supported apps, see MAM apps list.

Erstellen einer App-SchutzrichtlinieCreate an app protection policy

  1. Wählen Sie in der Workload Mobile Apps im Bereich Verwalten die Option App-Schutzrichtlinien aus.In the Mobile apps workload, select App protection policies from the Manage section. Mit dieser Auswahl werden die Details zu App-Schutzrichtlinien geöffnet und Sie können neue Richtlinien erstellen und vorhandene bearbeiten.This selection opens the App protection policies details, where you create new policies and edit existing policies.

  2. Wählen Sie Richtlinie hinzufügen aus.Choose Add a policy.

    Screenshot des Blatts „Richtlinie hinzufügen“

  3. Geben Sie einen Namen für die Richtlinie sowie eine kurze Beschreibung ein, und wählen Sie den Plattformtyp für Ihre Richtlinie aus.Type a name for the policy, add a brief description, and select the platform type for your policy. Bei Bedarf können Sie für jede Plattform mehr als eine Richtlinie erstellen.If needed, you can create more than one policy for each platform.

  4. Wählen Sie Apps aus, um das Blatt Apps zu öffnen, auf dem eine Liste der verfügbaren Apps angezeigt wird.Choose Apps to open the Apps blade, where a list of available apps is displayed. Wählen Sie eine oder mehrere Apps in der Liste aus, mit denen Sie die von Ihnen zu erstellende Richtlinie verknüpfen möchten.Select one or more apps from the list that you want to associate with the policy that you're creating.

  5. Nachdem Sie die Apps ausgewählt haben, wählen Sie Auswählen aus, um Ihre Auswahl zu speichern.Once you've selected the apps, choose Select to save your selection.

    Wichtig

    Sie müssen mindestens eine App auswählen, um eine Richtlinie erstellen zu können.You must select at least one app to create a policy.

  6. Wählen Sie auf dem Blatt Richtlinie hinzufügen die Option Erforderliche Einstellungen konfigurieren aus, um Einstellungen zu öffnen.Choose Configure required settings on the Add a policy blade to open Settings.

    Es gibt zwei Kategorien von Richtlinieneinstellungen: Datenverlagerung und Zugriff.There are two categories of policy settings, Data relocation and Access. Datenverschiebungsrichtlinien können auf Datenverschiebungen in und aus Apps angewendet werden.Data relocation policies are applicable to data movement in and out of the apps. Mit den Zugriffsrichtlinien wird festgelegt, wie der Endbenutzer in einem Arbeitskontext auf die Apps zugreift.The access polices determine how the end user accesses the apps in a work context. Um Ihnen bei den ersten Schritten zu helfen, enthalten die Richtlinieneinstellung Standardwerte.To get you started, the policy settings have default values. Sie müssen keine Änderungen vornehmen, wenn die Standardwerte Ihren Anforderungen entsprechen.If the default values meet your requirements, you don't have to make any changes.

    Tipp

    Diese Richtlinieneinstellungen werden nur durchgesetzt, wenn Apps im beruflichen Kontext verwendet werden.These policy settings are enforced only when using apps in the work context. Wenn der Endbenutzer die App zum Erledigen einer privaten Aufgabe verwendet, ist er von diesen Richtlinien nicht betroffen.When end users use the app to do a personal task, they aren't affected by these policies.

  7. Wählen Sie OK aus, um diese Konfiguration zu speichern.Choose OK to save this configuration. Damit befinden Sie sich wieder im Bereich Richtlinie hinzufügen.You are now back in the Add a policy pane. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und Ihre Einstellungen zu speichern.Choose Create to create the policy and save your settings.

  8. Wählen Sie OK aus, um diese Konfiguration zu speichern.Choose OK to save this configuration. Damit befinden Sie sich wieder im Bereich Richtlinie hinzufügen.You're now back in the Add a policy blade.

  9. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und Ihre Einstellungen zu speichern.Choose Create to create the policy and save your settings.

Wenn Sie mit dem Erstellen einer Richtlinie wie im vorherigen Verfahren beschrieben fertig sind, wird sie noch nicht für Benutzer bereitgestellt.When you finish creating a policy as described in the previous procedure, it is not deployed to any users. Informationen zum Bereitstellen einer Richtlinie finden Sie unter Bereitstellen einer Richtlinie für Benutzer.To deploy a policy, see Deploy a policy to users.

Bereitstellen einer Richtlinie für BenutzerDeploy a policy to users

  1. Wählen Sie im Bereich App-Schutzrichtlinien eine Richtlinie aus.In the App protection policies pane, select a policy.

  2. Wählen Sie im Bereich Richtlinie die Option Zuweisungen aus. Dadurch wird der Bereich Intune-App-Schutz - Zuweisungen geöffnet.In the Policy pane, choose Assignments, which opens the Intune App Protection - Assignments pane. Wählen Sie im Bereich Zuweisungen die Option Select groups to include (Einzuschließende Gruppen auswählen) aus, um den Bereich Select groups to include zu öffnen.Choose Select groups to include in the Assignments pane to open the Select groups to include pane.

    Screenshot des Bereichs „Zuweisungen“ mit Hervorhebung der Menüoption „Select groups to include“ (Einzuschließende Gruppen auswählen)

  3. Im Bereich Benutzergruppe hinzufügen wird eine Liste der Benutzergruppen angezeigt.A list of user groups is displayed on the Add user group pane. In dieser Liste werden alle Sicherheitsgruppen in Ihrem Azure Active Directory angezeigt.This list shows all the security groups in your Azure Active Directory. Wählen Sie die Benutzergruppen aus, auf die diese Richtlinie angewendet werden soll, und anschließend Auswählen.Select the user groups you want this policy to apply to, and then choose Select. Die Auswahl von Auswählen bewirkt die Bereitstellung der Richtlinie für Benutzer.Choosing Select, deploys the policy to users.

    Screenshot des Bereichs „Benutzergruppe hinzufügen“ mit der Liste der Azure Active Directory-Benutzer

Damit haben Sie eine Richtlinie erstellt und für die Benutzer bereitgestellt.You've now created a policy and deployed it to users.

Von der Richtlinie sind nur Benutzer mit zugewiesenen Microsoft Intune-Lizenzen betroffen.Only users with assigned Microsoft Intune licenses are affected by the policy. Benutzer in der ausgewählten Sicherheitsgruppe, denen keine Intune-Lizenz zugewiesen wurde, sind nicht betroffen.Users in the selected security group that don’t have an assigned Intune license aren't affected.

Wichtig

Wenn Sie Intune mit Configuration Manager verwenden, um Ihre Geräte zu verwalten, wird die Richtlinie nur auf Benutzer in der Gruppe angewendet, die Sie ausgewählt haben.If you're using Intune with Configuration Manager to manage your devices, the policy is only applied to the users directly in the group that you selected. Mitglieder untergeordneter Gruppen, die in der ausgewählten Gruppe geschachtelt sind, sind nicht betroffen.Members of child groups nested within the group you selected aren't affected.

Endbenutzer können die Apps aus dem App Store oder aus Google Play herunterladen.End users can download the apps from the App store or Google Play. Weitere Informationen finden Sie in folgenden Quellen:For more information, see:

Ändern vorhandener RichtlinienChange existing policies

Sie können eine vorhandene Richtlinie bearbeiten und sie auf die als Ziel festgelegten Benutzer anwenden.You can edit an existing policy and apply it to the targeted users. Wenn Sie vorhandene Richtlinien ändern, werden diese Änderungen für Benutzer, die bereits bei der App angemeldet sind, jedoch in den nächsten acht Stunden nicht wirksam.However, when you change existing policies, users who are already signed in to the apps won’t see the changes for an 8-hour period.

Um die Auswirkungen der Änderungen sofort zu erfahren, muss der Endbenutzer sich bei der App abmelden und sich dann erneut anmelden.To see the effect of the changes immediately, the end user must log out of the app, and sign back in.

So ändern Sie die Liste der Apps, die einer Richtlinie zugeordnet sindTo change the list of apps associated with the policy

  1. Wählen Sie im Bereich App-Schutzrichtlinien die Richtlinie aus, die Sie ändern möchten, um einen für die eben ausgewählte Richtlinie spezifischen Bereich zu öffnen.In the App protection policies pane, choose the policy you want to change to open a pane specific to the policy you just selected.

  2. Wählen Sie im Richtlinienbereich Ziel-Apps aus, um eine Liste der Apps zu öffnen.In the policy pane, choose Targeted apps to open the list of apps.

  3. Fügen Sie der Liste Apps hinzu, oder entfernen Sie Apps hieraus, und wählen Sie dann das Symbol Speichern aus, um die Änderungen zu speichern.Remove or add apps from the list and choose the Save icon to save your changes.

So ändern Sie die Liste der BenutzergruppenTo change the list of user groups

  1. Wählen Sie im Bereich App-Schutzrichtlinien die Richtlinie aus, die Sie ändern möchten, um den für die ausgewählte Richtlinie spezifischen Bereich zu öffnen.In the App protection policies pane, choose the policy you want to change to open the pane specific to the policy you selected.

  2. Wählen Sie im Richtlinienbereich Zuweisungen aus, um den Bereich Intune-App-Schutz – Zuweisungen zu öffnen. Hier wird eine Liste mit aktuellen Benutzergruppen angezeigt, denen diese Richtlinie zugewiesen wurde.In the policy pane, choose Assignments to open the Intune App Protection - Assignments pane that shows the list of current user groups who have this policy.

  3. Um eine neue Benutzergruppe hinzuzufügen, wählen Sie auf der Registerkarte Einschließen die Option Select groups to include (Einzuschließende Gruppen auswählen) und anschließend die Benutzergruppe aus.To add a new user group to the policy, on the Include tab choose Select groups to include, and select the user group. Wählen Sie Auswählen aus, um die Richtlinie für die ausgewählte Gruppe bereitzustellen.Choose Select to deploy the policy to the group you selected.

  4. Um eine Benutzergruppe zu löschen, wählen Sie auf der Registerkarte Ausschließen die Option Select groups to exclude (Auszuschließende Gruppen auswählen) und anschließend die Benutzergruppe aus.To delete a user group, on the Exclude tab choose Select groups to exclude, and select the user group. Wählen Sie Auswählen aus, um die Benutzergruppe zu entfernen.Choose Select to remove the user group.

So ändern Sie RichtlinieneinstellungenTo change policy settings

  1. Wählen Sie im Bereich App-Schutzrichtlinien die Richtlinie aus, die Sie ändern möchten, um einen für die eben ausgewählte Richtlinie spezifischen Bereich zu öffnen.In the App protection policies pane, choose the policy you want to change to open a pane specific to the policy you just selected.

  2. Wählen Sie Richtlinieneinstellungen aus, um den Bereich Richtlinieneinstellungen zu öffnen.Choose Policy settings to open the Policy settings pane.

  3. Ändern Sie die Einstellungen, und wählen Sie das Symbol Speichern aus, um die Änderungen zu speichern.Change the settings, and choose the Save icon to save your changes.

Verwendung von App-Schutzrichtlinien als Ziel, basierend auf dem Status der GeräteverwaltungTarget app protection policies based on device management state

Viele Organisationen erlauben Benutzern sowohl die Verwendung von mit Intune-MDM verwalteten Geräten, z.B. unternehmenseigene Geräte, als auch die Verwendung von nicht verwalteten Geräten, die nur mit Intune App-Schutzrichtlinien geschützt werden, wie BYO-Geräten.In many organizations it’s common to allow end users to use both Intune Mobile Device Management (MDM) managed devices, such as corporate owned devices, and un-managed devices protected with only Intune app protection policies, such as BYO devices.

Da die App-Schutzrichtlinien von Intune die Identität eines Benutzers ansteuern, gelten die Schutzeinstellungen üblicherweise jeweils für registrierte (MDM-verwaltete) und nicht registrierte Geräte (kein MDM).Because Intune app protection policies are targeted to a user’s identity, the protection settings for a user traditionally apply to both enrolled (MDM managed) and non-enrolled devices (no MDM). Aus diesem Grund können Sie mit einer App-Schutzrichtlinie von Intune entweder Intune-registrierte oder nicht registrierte iOS- und Android-Geräte als Ziel verwenden.Therefore, you can target an Intune app protection policy to either Intune enrolled or un-enrolled iOS and Android devices. Sie können über eine Schutzrichtlinie für nicht verwaltete Geräte verfügen, bei dem Steuerelemente für die Verhinderung von Datenverlust (DLP) vorhanden sind, und eine separate Schutzrichtlinie für mit MDM verwaltete Geräte, bei denen die DLP-Steuerelemente nicht so streng sind.You can have one protection policy for un-managed devices in which strict data loss prevention (DLP) controls are in place, and a separate protection policy for MDM managed devices, where the DLP controls may be a little more relaxed.

Navigieren Sie in der Intune-Konsole zu den Richtlinien Mobile Apps > App-Schutz, und klicken Sie auf Hinzufügen einer Richtlinie, um diese Richtlinien zu erstellen.To create these policies, browse to Mobile apps > App protection policies in the Intune console, and click Add a policy. Sie können auch eine vorhandene App-Schutzrichtlinie bearbeiten.You can also edit an existing app protection policy. Wenn die App-Schutzrichtlinie für verwaltete und nicht verwaltete Geräte angewendet werden soll, bestätigen Sie, dass Target to all app types (Alle App-Typen als Ziel verwenden) auf den Standardwert Ja festgelegt ist.If you want the app protection policy to apply to both managed and un-managed devices, confirm that the Target to all app types is set to Yes, the default value. Wenn Sie eine Basis granular einem Verwaltungsstatus zuweisen wollen, legen Sie die Option Target to all app types (Alle App-Typen als Ziel verwenden) auf Nein fest.If you want to granularly assign base on management state, set the Target to all app types option to No.

Damit iOS-Apps als „verwaltet“ erkannt werden, muss die Konfigurationsrichtlinieneinstellung IntuneMAMUPN für jede App bereitgestellt werden.For iOS apps to be considered "Managed," the IntuneMAMUPN configuration policy setting needs to be deployed for each app. Weitere Informationen finden Sie unter Verwalten der Datenübertragung zwischen iOS-Apps in Microsoft Intune.For more information, see How to manage data transfer between iOS apps in Microsoft Intune.

Hinweis

Spezifische iOS-Supportinfomationen über App-Schutzrichtlinien basierend auf dem Status der Geräteverwaltung finden Sie unter MAM protection policies targeted based on management state (Angesteuerte MAM-Schutzrichtlinien basierend auf dem Verwaltungsstatus).For specific iOS support information about app protection policies based on device management state, see MAM protection policies targeted based on management state.

RichtlinieneinstellungenPolicy settings

Eine vollständige Liste der Richtlinieneinstellungen für iOS und Android finden Sie unter den folgenden Links:To see a full list of the policy settings for iOS and Android, select one of the following links:

Nächste SchritteNext steps

Überwachen der Verwaltungsrichtlinien für mobile Apps mit Microsoft IntuneMonitor compliance and user status

Siehe auchSee also