Was sind App-Schutzrichtlinien?What are app protection policies?

Gilt für: Intune in AzureApplies to: Intune on Azure
Suchen Sie nach der Dokumentation zu Intune in der klassischen Konsole?Looking for documentation about Intune in the classic console? Diese finden Sie hier.Go to here.

App-Schutzrichtlinien von Microsoft Intune helfen, Ihre Unternehmensdaten zu schützen und Datenverluste zu verhindern.Microsoft Intune app protection policies help protect your company data and prevent data loss.

Wie Sie Ihre App-Daten schützen könnenHow you can protect app data

Ihre Mitarbeiter verwenden mobile Geräte für private und berufliche Aufgaben.Your employees use mobile devices for both personal and work tasks. Sie möchten einerseits die Produktivität Ihrer Mitarbeiter sicherstellen, möchten andererseits aber auch Datenverlust verhindern, sei er beabsichtigt oder unbeabsichtigt.While making sure your employees can be productive, you also want to prevent data loss, intentional and unintentional. Darüber hinaus möchten Sie auch dann die Möglichkeit zum Schützen der Unternehmensdaten haben, wenn der Zugriff darauf über Geräte erfolgt, die nicht von Ihnen verwaltet werden.In addition, you want to have the ability to protect company data accessed using devices even in the case where they are not managed by you.

Sie können Intune-App-Schutzrichtlinien verwenden, um Ihre Unternehmensdaten zu schützen.You can use Intune app protection policies to help protect your company’s data. Da Intune-App-Schutzrichtlinien unabhängig von Lösungen für die Verwaltung mobiler Geräte (MDM) einsetzbar sind, können Sie sie mit oder ohne Registrierung der Geräte bei einer Geräteverwaltungslösung zum Schutz Ihrer Unternehmensdaten verwenden.Because Intune app protection policies can be used independent of any mobile-device management (MDM) solution, you can use it to protect your company’s data with or without enrolling devices in a device management solution. Durch die Implementierung von Richtlinien auf App-Ebene können Sie den Zugriff auf Unternehmensressourcen einschränken und Daten im Zuständigkeitsbereich der IT-Abteilung halten.By implementing app-level policies, you can restrict access to company resources and keep data within the purview of your IT department.

App-Schutzrichtlinien können für Apps konfiguriert werden, die auf Geräten ausgeführt werden, die folgende Voraussetzungen erfüllen:App protection policies can be configured for app running on devices that are:

  • Registriert bei Microsoft Intune: Die Geräte in dieser Kategorie sind in der Regel unternehmenseigene Geräte.Enrolled in Microsoft Intune: The devices in this category are typically corporate owned devices.

  • Registriert bei einer Drittanbieterlösung für die Verwaltung mobiler Geräte (MDM, Mobile Device Management): Die Geräte in dieser Kategorie sind in der Regel unternehmenseigene Geräte.Enrolled in a third-party Mobile device management (MDM) solution: The devices in this category are typically corporate owned devices.

    Hinweis

    Verwaltungsrichtlinien für mobile Apps sollten nicht in Verbindung mit Verwaltungslösungen für mobile Geräte von Drittanbietern oder sicheren Containerlösungen verwendet werden.Mobile app management policies should not be used with third party mobile app management or secure container solutions.

  • Nicht bei einer Lösung für die Verwaltung mobiler Geräte registriert: Die Geräte in dieser Kategorie sind in der Regel mitarbeitereigene Geräte, die weder bei Intune noch anderen MDM-Lösungen registriert sind oder dort verwaltet werden.Not enrolled in any mobile device management solution: The devices in this category are typically employee owned devices that are not managed or enrolled in Intune or other MDM solutions.

Wichtig

Sie können Verwaltungsrichtlinien für mobile Apps für mobile Office-Apps erstellen, die eine Verbindung mit Office 365-Diensten herstellen.You can create mobile app management policies for Office mobile apps that connect to Office 365 services. App-Schutzrichtlinien werden nicht für Apps unterstützt, die eine Verbindung mit Exchange lokal, Skype for Business oder SharePoint-Diensten herstellen.App protection policies are not supported for apps that connect to on-premises Exchange, Skype for Business, or SharePoint services.

Die wichtigsten Vorteile von App-Schutzrichtlinien sind:The important benefits of using App protection policies are

  • Schutz Ihrer Unternehmensdaten auf App-Ebene.Protecting your company data at the app level. Da die Verwaltung von mobilen Apps keine Geräteverwaltung voraussetzt, können Sie Unternehmensdaten auf verwalteten und auf unverwalteten Geräten schützen.Since mobile app management does not require device management, you can protect company data on both managed and unmanaged devices. Bei der Verwaltung wird die Benutzeridentität in den Mittelpunkt gestellt, wodurch sich die Geräteverwaltung erübrigt.The management is centered on the user identity, which removes the requirement for device management.

  • Die Produktivität der Endbenutzer wird nicht beeinträchtigt, und die Richtlinien werden nicht angewendet, wenn die App im privaten Kontext verwendet wird.End user productivity is not impacted, and the policies are not applied when using the app in a personal context. Die Richtlinien werden nur auf den beruflichen Kontext angewendet, wodurch Sie die Möglichkeit haben, Unternehmensdaten zu schützen, ohne dass private Daten einbezogen werden.The policies are applied only in a work context, thus giving you the ability to protect company data without touching personal data.

Es gibt weitere Vorteile bei der Verwendung einer MDM mit App-Schutzrichtlinien, und Unternehmen können App-Schutzrichtlinien sowohl mit als auch ohne MDM gleichzeitig verwenden.There are additional benefits to using MDM with App protection policies, and companies can use both App protection policies with and without MDM at the same time. So kann ein Mitarbeiter beispielsweise ein unternehmenseigenes Smartphone und ein privates Tablet verwenden.For example, an employee may use a phone issued by the company as well as a personal tablet. In diesem Fall wird das unternehmenseigene Smartphone in einer MDM registriert und von App-Schutzrichtlinien geschützt, während das private Geräte nur mit App-Schutzrichtlinien geschützt wird.In this case, the company phone is enrolled in MDM and protected by App protection policies, and the personal device is protected by App protection policies only.

  • Eine MDM-Lösung stellt sicher, dass das Gerät geschützt ist.MDM makes sure that the device is protected. So können Sie beispielsweise die Eingabe einer PIN für den Zugriff auf das Gerät anfordern, oder Sie können verwaltete Apps auf dem Gerät bereitstellen.For example, you can require a PIN to access the device, or you can deploy managed apps to the device. Sie können Apps auch über die MDM-Lösung auf Geräten bereitstellen, um mehr Kontrolle über die App-Verwaltung zu haben.You can also deploy apps to devices through your MDM solution, to give you more control over app management.

  • App-Schutzrichtlinien stellen sicher, dass Schutzfunktionen auf App-Ebene vorhanden sind.App protection policies makes sure that the app-layer protections are in place. So können Sie beispielsweise eine PIN anfordern, wenn eine App im beruflichen Kontext geöffnet werden soll oder wenn Daten zwischen Apps ausgetauscht werden können oder um zu verhindern, dass App-Daten des Unternehmens an einem privaten Speicherort gespeichert werden.For example, you can require a PIN to open an app in a work context, or if data can be shared between apps, or preventing company app data from being saved to a personal storage location.

Unterstützte Plattformen für App-SchutzrichtlinienSupported platforms for app protection polices

  • iOS 8.1 oder höheriOS 8.1 or later

  • Android 4 oder höherAndroid 4 or later

Windows-Geräte werden momentan nicht unterstützt.Windows devices are currently not supported. Wenn Sie jedoch Windows 10-Geräte mit Intune registrieren, können Sie Windows Information Protection verwenden, das ähnliche Funktionen bietet.However, when you enroll Windows 10 devices with Intune, you can use Windows Information Protection, which offers similar functionality. Weitere Informationen finden Sie unter Schutz von Unternehmensdaten mit Windows Information Protection (WIP).For details, see Protect your enterprise data using Windows Information Protection (WIP).

So schützen App-Schutzrichtlinien Ihre App-DatenHow app protection policies protect app data

Apps ohne App-SchutzrichtlinienApps without app protection policies

Die Abbildung zeigt, dass Daten ungehindert zwischen Apps verschoben werden können, wenn keine App-Schutzrichtlinien angewendet werden.

Wenn Apps ohne Einschränkungen verwendet werden, können Unternehmensdaten und private Daten vermischt werden.When apps are used without restrictions, company and personal data can get intermingled. Unternehmensdaten könnten damit an Speicherorten wie dem persönlichen Speicher abgelegt oder an Apps außerhalb Ihres Zuständigkeitsbereichs übermittelt werden, was Datenverlust bedeuten würde.Company data could end up in locations like personal storage or transferred to apps outside of your purview, resulting in data loss. Die Pfeile im Diagramm zeigen die uneingeschränkte Datenbewegung zwischen Apps (geschäftlich und privat) und zu Speicherorten.The arrows in the diagram show unrestricted data movement between apps (corporate and personal) and to storage locations.

Datenschutz mit App-SchutzrichtlinienData protection with app protection policies

<span data-ttu-id="2e033-146">Die Abbildung zeigt, wie Unternehmensdaten durch die Anwendung von App-Schutzrichtlinien geschützt werden.</span><span class="sxs-lookup"><span data-stu-id="2e033-146">Image that shows how company data is protect when App protection policies are applied</span></span>

Mit App-Schutzrichtlinien können Sie verhindern, dass Unternehmensdaten im lokalen Speicher des Geräts gespeichert werden. Außerdem können Sie das Verschieben von Daten in andere Apps einschränken, die nicht durch App-Schutzrichtlinien geschützt sind.You can use App protection policies to prevent company data from saving to the local storage of the device, and restrict data movement to other apps that are not protected by App protection policies. Einstellungen für App-Schutzrichtlinien:App protection policy settings include:

  • Richtlinien zur Datenverschiebung wie „Speichern unter“ verhindern, Ausschneiden, Kopieren und Einfügen einschränken.Data relocation policies like Prevent Save As, Restrict cut, copy, and paste.
  • Einstellungen von Zugriffsrichtlinien wie Einfache PIN für den Zugriff erforderlich, Ausführen verwalteter Apps auf Geräten mit Jailbreak oder Rootzugriff blockieren.Access policy settings like Require simple PIN for access, Block managed apps from running on jailbroken or rooted devices.

Schutz von Daten mit App-Schutzrichtlinien auf Geräten, die durch eine MDM-Lösung verwaltet werdenData protection with app protection policies on devices managed by a MDM solution

Die Abbildung zeigt, wie App-Schutzrichtlinien auf BYOD-Geräten funktionieren.

Für Geräte, die in einer MDM-Lösung registriert sind-For devices enrolled in an MDM solution-

Die obige Abbildung zeigt die Schutzebenen, die durch den gemeinsamen Einsatz von MDM und App-Schutzrichtlinien geboten werden.The illustration above shows the layers of protection that MDM and App protection policies offer together.

Die MDM-Lösung:The MDM solution:

  • Registrieren das GerätEnrolls the device

  • Stellt die Apps auf dem Gerät bereitDeploys the apps to the device

  • Sorgt für kontinuierliche Gerätekonformität und -verwaltungProvides ongoing device compliance and management

App-Schutzrichtlinien bieten Mehrwert:App protection policies add value by:

  • Sie tragen zum Schutz der Unternehmensdaten bei, indem der Zugriff durch Verbraucher-Apps und -Dienste verhindert wird.Helping protect company data from leaking to consumer apps and services

  • Es werden Einschränkungen ("Speichern unter", Zwischenablage, PIN usw.) auf mobile Apps angewendet.Applying restrictions (save-as, clipboard, PIN, etc.) to mobile apps

  • Unternehmensdaten können aus Apps entfernt werden, ohne die Apps vom Gerät zu löschen.Wipe company data from apps without removing those apps from the device

Schutz von Daten mit App-Schutzrichtlinien für Geräte ohne RegistrierungData protection with app protection policies for devices without enrollment

Die Abbildung zeigt, wie App-Schutzrichtlinien auf verwalteten Geräten funktionieren.

Das obige Diagramm zeigt, wie die Datenschutzrichtlinien auf App-Ebene ohne MDM funktionieren.The diagram above illustrates how the data protection policies work at the app level without MDM.

Bei BYOD-Geräten, die nicht in einer MDM-Lösung registriert sind, können App-Schutzrichtlinien dazu beitragen, Unternehmensdaten auf App-Ebene zu schützen.For BYOD devices not enrolled in any MDM solution, App protection policies can help protect company data at the app level. Es gibt jedoch einige Einschränkungen, die Sie kennen sollten:However, there are some limitations to be aware of, like:

  • Sie können auf dem Gerät keine Apps bereitstellen.You cannot deploy apps to the device. Der Endbenutzer muss die Apps aus dem Store beziehen.The end user has to get the apps from the store.

  • Sie können auf diesen Geräten keine Zertifikatprofile bereitstellen.You cannot provision certificate profiles on these devices.

  • Sie können auf diesen Geräten keine unternehmensweiten WLAN- und VPN-Einstellungen bereitstellen.You cannot provision company Wi-Fi and VPN settings on these devices.

Mehrere IdentitätenMulti-identity

Apps, die mehrere Identitäten unterstützen, bieten Ihnen die Möglichkeit, verschiedene Konten (Geschäfts- und persönliche Konten) für den Zugriff auf die gleichen Apps zu verwenden. Hierbei werden App-Schutzrichtlinien nur angewendet, wenn die Apps im Arbeitskontext verwendet werden.Apps that support multi-identity let you use different accounts (work and personal) to access the same apps, while app protection policies are applied only when the apps are used in the work context.

Wenn ein Benutzer beispielsweise die OneDrive-App mit seinem Geschäftskonto startet, kann er die Dateien nicht an einen persönlichen Speicherort verschieben.For example, when a user starts the OneDrive app by using their work account, they can't move the files to a personal storage location. Wenn der Benutzer OneDrive jedoch mit einem persönlichen Konto verwendet, kann er Daten ohne Einschränkung aus dem persönlichen OneDrive kopieren und verschieben.However, when they use OneDrive with their personal account, they can copy and move data from their personal OneDrive without restrictions.

Nächste SchritteNext steps

Erstellen und Bereitstellen von App-Schutzrichtlinien mit Microsoft IntuneHow to create and deploy app protection policies with Microsoft Intune

Um Feedback zu einem Produkt zu geben, besuchen Sie folgende Seite Intune Feedback