Was sind App-Schutzrichtlinien?What are app protection policies?

App-Schutzrichtlinien von Microsoft Intune helfen, Ihre Unternehmensdaten zu schützen und Datenverluste zu verhindern.Microsoft Intune app protection policies help protect your company data and prevent data loss.

Wie Sie Ihre App-Daten schützen könnenHow you can protect app data

Ihre Mitarbeiter verwenden mobile Geräte für private und berufliche Aufgaben.Your employees use mobile devices for both personal and work tasks. Sie möchten einerseits die Produktivität Ihrer Mitarbeiter sicherstellen, möchten andererseits aber Datenverlust verhindern, sei er beabsichtigt oder unbeabsichtigt.While making sure your employees can be productive, you want to prevent data loss, intentional and unintentional. Sie sollten außerdem Unternehmensdaten schützen, auf die über Geräte zugegriffen wird, die nicht von Ihnen verwaltet werden.You'll also want to protect company data that is accessed from devices that are not managed by you.

Sie können Intune-App-Schutzrichtlinien unabhängig von jeglicher mobilen Geräteverwaltungslösung verwenden.You can use Intune app protection policies independent of any mobile-device management (MDM) solution. Diese Unabhängigkeit hilft Ihnen, die Daten Ihres Unternehmens zu schützen, egal, ob Geräte in einer Geräteverwaltungslösung registriert sind oder nicht.This independence helps you protect your company’s data with or without enrolling devices in a device management solution. Durch die Implementierung von Richtlinien auf App-Ebene können Sie den Zugriff auf Unternehmensressourcen einschränken und Daten im Zuständigkeitsbereich der IT-Abteilung halten.By implementing app-level policies, you can restrict access to company resources and keep data within the purview of your IT department.

App-Schutzrichtlinien können für Apps konfiguriert werden, die auf Geräten ausgeführt werden, die folgende Voraussetzungen erfüllen:App protection policies can be configured for apps that run on devices that are:

  • Bei Microsoft Intune registriert: In der Regel sind diese Geräte unternehmenseigene Geräte.Enrolled in Microsoft Intune: These devices are typically corporate owned.

  • Bei einer Drittanbieterlösung für die Verwaltung mobiler Geräte (MDM, Mobile Device Management) registriert: In der Regel sind diese Geräte unternehmenseigene Geräte.Enrolled in a third-party Mobile device management (MDM) solution: These devices are typically corporate owned.

    Hinweis

    Verwaltungsrichtlinien für mobile Apps sollten nicht in Verbindung mit Verwaltungslösungen für mobile Geräte von Drittanbietern oder sicheren Containerlösungen verwendet werden.Mobile app management policies should not be used with third-party mobile app management or secure container solutions.

  • Nicht bei einer Lösung für die mobile Geräteverwaltung registriert: Diese Geräte sind in der Regel eigene Geräte der Mitarbeiter, die nicht in Intune oder anderen MDM-Lösungen verwaltet oder registriert werden.Not enrolled in any mobile device management solution: The devices are typically employee owned devices that aren't managed or enrolled in Intune or other MDM solutions.

Wichtig

Sie können Verwaltungsrichtlinien für mobile Apps für mobile Office-Apps erstellen, die eine Verbindung mit Office 365-Diensten herstellen.You can create mobile app management policies for Office mobile apps that connect to Office 365 services. Außerdem können Sie den Zugriff auf lokale Exchange-Postfächer schützen, indem Sie Intune-App-Schutzrichtlinien für Outlook für iOS und Android erstellen, die mit hybrider moderner Authentifizierung aktiviert wurden.You can also protect access to Exchange on-premises mailboxes by creating Intune app protection policies for Outlook for iOS and Android enabled with hybrid Modern Authentication. Bevor Sie dieses Feature verwenden, sollten Sie sicherstellen, dass Sie die Anforderungen für Outlook für iOS und Android erfüllen.Before using this feature, make sure you meet the Outlook for iOS and Android requirements. App-Schutzrichtlinien werden nicht für andere Apps unterstützt, die eine Verbindung mit lokalen Exchange- oder SharePoint-Diensten herstellen.App protection policies are not supported for other apps that connect to on-premises Exchange or SharePoint services.

Die wichtigsten Vorteile von App-Schutzrichtlinien sind:The important benefits of using App protection policies are:

  • Schutz Ihrer Unternehmensdaten auf App-Ebene.Protecting your company data at the app level. Da die Verwaltung von mobilen Apps keine Geräteverwaltung voraussetzt, können Sie Unternehmensdaten auf verwalteten und auf nicht verwalteten Geräten schützen.Because mobile app management doesn't require device management, you can protect company data on both managed and unmanaged devices. Bei der Verwaltung wird die Benutzeridentität in den Mittelpunkt gestellt, wodurch sich die Geräteverwaltung erübrigt.The management is centered on the user identity, which removes the requirement for device management.

  • Die Produktivität der Endbenutzer wird nicht beeinträchtigt, und Richtlinien werden nicht angewendet, wenn die App in einem privaten Kontext verwendet wird.End-user productivity isn't affected and policies don't apply when using the app in a personal context. Die Richtlinien werden nur auf den beruflichen Kontext angewendet, wodurch Sie die Möglichkeit haben, Unternehmensdaten zu schützen, ohne dass private Daten einbezogen werden.The policies are applied only in a work context, which gives you the ability to protect company data without touching personal data.

Es gibt weitere Vorteile bei der Verwendung einer MDM mit App-Schutzrichtlinien, und Unternehmen können App-Schutzrichtlinien sowohl mit als auch ohne MDM gleichzeitig verwenden.There are additional benefits to using MDM with App protection policies, and companies can use App protection policies with and without MDM at the same time. Nehmen Sie beispielsweise weinen Mitarbeiter an, der sowohl ein unternehmenseigenes Smartphone als auch seinen privaten Tablet verwendet.For example, consider an employee that uses both a phone issued by the company, and their own personal tablet. Das unternehmenseigene Smartphone wird in einer MDM registriert und von App-Schutzrichtlinien geschützt, während das private Gerät nur von App-Schutzrichtlinien geschützt wird.The company phone is enrolled in MDM and protected by App protection policies while the personal device is protected by App protection policies only.

  • Eine MDM-Lösung stellt sicher, dass das Gerät geschützt ist.MDM makes sure that the device is protected. So können Sie beispielsweise die Eingabe einer PIN für den Zugriff auf das Gerät anfordern, oder Sie können verwaltete Apps auf dem Gerät bereitstellen.For example, you can require a PIN to access the device, or you can deploy managed apps to the device. Sie können Apps auch über die MDM-Lösung auf Geräten bereitstellen, um mehr Kontrolle über die App-Verwaltung zu haben.You can also deploy apps to devices through your MDM solution, to give you more control over app management.

  • App-Schutzrichtlinien stellen sicher, dass Schutzfunktionen auf App-Ebene vorhanden sind.App protection policies makes sure that the app-layer protections are in place. Beispielsweise können Sie folgende Aktionen ausführen:For example, you can:

    • Anfordern einer PIN zum Öffnen einer App in einem geschäftlichen KontextRequire a PIN to open an app in a work context
    • Steuern des Teilens von Daten zwischen AppsControl the sharing of data between apps
    • Verhindern des Speicherns von Unternehmens-App-Daten an einem privaten SpeicherortPrevent the saving of company app data to a personal storage location

Unterstützte Plattformen für App-SchutzrichtlinienSupported platforms for app protection policies

Die Plattform für Schutzrichtlinien für Intune-Apps ist auf die Plattformunterstützung für mobile Office-Anwendungen für Android- und iOS-Geräte ausgerichtet.Intune app protection policies platform support aligns with Office mobile application platform support for Android and iOS devices. Weitere Informationen finden Sie im Abschnitt Mobile Apps unter Systemanforderungen für Office.For details, see the Mobile apps section of Office System Requirements.

Wichtig

Das Intune-Unternehmensportal ist auf dem Gerät erforderlich, um App-Schutzrichtlinien unter Android zu erhalten.The Intune Company Portal is required on the device to recieve App Protection Policies on Android. Weitere Informationen finden Sie unter Zugriffsanforderungen für Apps im Intune-Unternehmensportal .For more information, see the Intune Company Portal access apps requirements.

So schützen App-Schutzrichtlinien Ihre App-DatenHow app protection policies protect app data

Apps ohne App-SchutzrichtlinienApps without app protection policies

Darstellung der Datenverschiebung zwischen Apps ohne Richtlinien

Wenn Apps ohne Einschränkungen verwendet werden, können Unternehmensdaten und private Daten vermischt werden.When apps are used without restrictions, company and personal data can get intermingled. Unternehmensdaten können damit an Speicherorten wie dem persönlichen Speicher abgelegt oder an Apps außerhalb Ihres Zuständigkeitsbereichs übermittelt werden, was Datenverlust bedeuten würde.Company data can end up in locations like personal storage or transferred to apps beyond your purview and result in data loss. Die Pfeile im vorangehenden Diagramm zeigen die uneingeschränkte Datenverschiebung zwischen sowohl geschäftlichen als auch privaten Apps sowie zu Speicherorten.The arrows in the preceding diagram show unrestricted data movement between both corporate and personal apps, and to storage locations.

Datenschutz mit App-SchutzrichtlinienData protection with app protection policies

Darstellung von Unternehmensdaten, die durch Richtlinien geschützt werden

Mit App-Schutzrichtlinien können Sie verhindern, dass Unternehmensdaten im lokalen Speicher des Geräts gespeichert werden.You can use App protection policies to prevent company data from saving to the local storage of the device. Außerdem können Sie das Verschieben von Daten in andere Apps einschränken, die nicht durch App-Schutzrichtlinien geschützt sind.You can also restrict data movement to other apps that aren't protected by App protection policies. Einstellungen für App-Schutzrichtlinien:App protection policy settings include:

  • Richtlinien zur Datenverschiebung wie „Speichern unter“ verhindernund Ausschneiden, Kopieren und Einfügen einschränken.Data relocation policies like Prevent Save As, and Restrict cut, copy, and paste.
  • Einstellungen von Zugriffsrichtlinien wie Einfache PIN für den Zugriff erforderlich und Ausführen verwalteter Apps auf mit Jailbreak oder Rooting manipulierten Geräten blockieren.Access policy settings like Require simple PIN for access, and Block managed apps from running on jailbroken or rooted devices.

Schutz von Daten mit App-Schutzrichtlinien auf Geräten, die durch eine mobile Geräteverwaltungslösung verwaltet werdenData protection with app protection policies on devices managed by a Mobile Device Management solution

Die Abbildung zeigt, wie App-Schutzrichtlinien auf BYOD-Geräten funktionieren.

Für Geräte, die in einer MDM-Lösung registriert sind-For devices enrolled in an MDM solution-

Die vorangehende Abbildung zeigt die Schutzebenen, die durch den gemeinsamen Einsatz von MDM und App-Schutzrichtlinien geboten werden.The preceding illustration shows the layers of protection that MDM and App protection policies offer together.

Die MDM-Lösung:The MDM solution:

  • Registrieren das GerätEnrolls the device

  • Stellt die Apps auf dem Gerät bereitDeploys the apps to the device

  • Sorgt für kontinuierliche Gerätekonformität und -verwaltungProvides ongoing device compliance and management

App-Schutzrichtlinien bieten Mehrwert:App protection policies add value by:

  • Sie tragen zum Schutz der Unternehmensdaten bei, indem der Zugriff durch Verbraucher-Apps und -Dienste verhindert wird.Helping protect company data from leaking to consumer apps and services

  • Es werden Einschränkungen wie Speichern unter, Zwischenablage oder PIN auf Client-Apps angewendet.Applying restrictions like save-as, clipboard, or PIN, to client apps

  • Unternehmensdaten können aus Apps entfernt werden, ohne die Apps vom Gerät zu löschen.Wipe company data from apps without removing those apps from the device

Schutz von Daten mit App-Schutzrichtlinien für Geräte ohne RegistrierungData protection with app protection policies for devices without enrollment

Die Abbildung zeigt, wie App-Schutzrichtlinien auf verwalteten Geräten funktionieren.

Das voranstehende Diagramm zeigt, wie die Datenschutzrichtlinien auf App-Ebene ohne MDM funktionieren.The preceding diagram illustrates how the data protection policies work at the app level without MDM.

Bei BYOD-Geräten, die nicht in einer MDM-Lösung registriert sind, können App-Schutzrichtlinien dazu beitragen, Unternehmensdaten auf App-Ebene zu schützen.For BYOD devices not enrolled in any MDM solution, App protection policies can help protect company data at the app level. Es gibt jedoch einige Einschränkungen, die Sie kennen sollten:However, there are some limitations to be aware of, like:

  • Sie können auf dem Gerät keine Apps bereitstellen.You can't deploy apps to the device. Der Endbenutzer muss die Apps aus dem Store beziehen.The end user has to get the apps from the store.

  • Sie können auf diesen Geräten keine Zertifikatprofile bereitstellen.You can't provision certificate profiles on these devices.

  • Sie können auf diesen Geräten keine unternehmensweiten WLAN- und VPN-Einstellungen bereitstellen.You can't provision company Wi-Fi and VPN settings on these devices.

Globale App-SchutzrichtlinieApp protection Global policy

Wenn ein OneDrive-Administrator zu admin.office.com wechselt und Gerätezugriff auswählt, kann er die Steuerelemente für die Verwaltung mobiler Anwendungen auf die OneDrive- und SharePoint-Client-Apps festlegen.If a OneDrive administrator browses to admin.office.com and selects Device access, they can set Mobile application management controls to the OneDrive and SharePoint client apps.

Die Einstellungen, die für die OneDrive-Administratorkonsole zur Verfügung gestellt wurden, konfigurieren eine besondere App-Schutzrichtlinie für Intune, die globale Richtlinie.The settings, made available to the OneDrive Admin console, configure a special Intune app protection policy called the Global policy. Diese globale Richtlinie gilt für alle Benutzer in Ihrem Mandanten und kann nicht eingeschränkt angewendet werden.This global policy applies to all users in your tenant, and has no way to control the policy targeting.

Sobald sie aktiviert ist, werden die OneDrive- und SharePoint-Apps für iOS und Android standardmäßig über die ausgewählten Einstellungen geschützt.Once enabled, the OneDrive and SharePoint apps for iOS and Android are protected with the selected settings by default. Ein IT-Experte kann diese Richtlinie in der Intune-Konsole bearbeiten, um weitere Ziel-Apps hinzuzufügen und Richtlinieneinstellungen zu ändern.An IT Pro can edit this policy in the Intune console to add more targeted apps and to modify any policy setting.

Standardmäßig darf nur eine globale Richtlinie pro Mandant vorhanden sein.By default, there can only be one Global policy per tenant. Intune Graph-APIs können Sie jedoch verwenden, um zusätzliche globale Richtlinien pro Mandant zu erstellen, was jedoch nicht empfohlen wird.However, you can use Intune Graph APIs to create extra global policies per tenant, but doing so isn't recommended. Das Erstellen zusätzlicher globaler Richtlinien wird nicht empfohlen, da die Problembehandlung bei der Implementierung einer solchen Richtlinie sehr kompliziert sein kann.Creating extra global policies isn’t recommended because troubleshooting the implementation of such a policy can become complicated.

Obwohl die globale Richtlinie für alle Benutzer in Ihrem Mandanten gilt, werden diese Einstellungen von jeder standardmäßigen App-Schutzrichtlinie für Intune überschrieben.While the Global policy applies to all users in your tenant, any standard Intune app protection policy will override these settings.

Mehrere IdentitätenMulti-identity

Apps, die mehrere Identitäten unterstützen, bieten Ihnen die Möglichkeit, verschiedene Konten (Geschäfts- und persönliche Konten) für den Zugriff auf die gleichen Apps zu verwenden. Hierbei werden App-Schutzrichtlinien nur angewendet, wenn die Apps im Arbeitskontext verwendet werden.Apps that support multi-identity let you use different accounts (work and personal) to access the same apps, while app protection policies apply only when the apps are used in the work context.

Stellen Sie sich als Beispiel für privaten Kontext einen Benutzer vor, der ein neues Dokument in Word beginnt – dies gilt als privater Kontext, sodass die App-Schutzrichtlinien für Intune nicht angewendet werden.For an example of personal context, consider a user who starts a new document in Word, this is considered personal context so Intune App Protection policies are not applied. Sobald das Dokument im OneDrive-Unternehmenskonto gespeichert wird, steht es im Unternehmenskontext, und Intune-App-Schutzrichtlinien werden angewendet.Once the document is saved on the corporate OneDrive account then it will be considered corporate context and Intune App Protection polices will be applied.

Betrachten Sie im geschäftlichen Kontext beispielsweise einen Benutzer, der die OneDrive-App mit seinem Geschäftskonto startet.For an example of work context, consider a user who starts the OneDrive app by using their work account. Im geschäftlichen Kontext kann er keine Dateien an einen privaten Speicherort verschieben.In the work context, they can't move files to a personal storage location. Wenn der Benutzer OneDrive später jedoch mit einem persönlichen Konto verwendet, kann er Daten ohne Einschränkung aus dem persönlichen OneDrive kopieren und verschieben.Later, when they use OneDrive with their personal account, they can copy and move data from their personal OneDrive without restrictions.

Nächste SchritteNext steps

Erstellen und Bereitstellen von App-Schutzrichtlinien mit Microsoft IntuneHow to create and deploy app protection policies with Microsoft Intune

Siehe auchSee also

Apps von Drittanbietern wie beispielsweise die mobile Salesforce-App arbeiten auf eine bestimmte Weise mit Intune zusammen, um die Unternehmensdaten zu schützen.Third-party apps such as the Salesforce mobile app work with Intune in specific ways to protect corporate data. Weitere Informationen zur speziellen Zusammenarbeit der Salesforce-App mit Intune (einschließlich Konfigurationseinstellungen für die MDM-App) finden Sie unter Salesforce-App und Microsoft Intune.To learn more about how the Salesforce app in particular works with Intune (including MDM app configurations settings), see Salesforce App and Microsoft Intune.