Übersicht über App-Schutzrichtlinien

App-Schutzrichtlinien sind Regeln, die sicherstellen, dass die Daten einer Organisation in einer verwalteten App jederzeit sicher sind und dort verbleiben. Eine Richtlinie kann eine Regel sein, die erzwungen wird, wenn ein Benutzer versucht, auf „unternehmenseigene“ Daten zuzugreifen oder diese zu verschieben. Es kann sich auch um eine Reihe von Aktionen handeln, die nicht zulässig sind oder überwacht werden, wenn sich ein Benutzer in der App befindet. Eine verwaltete App ist eine App, auf die App-Schutzrichtlinien angewendet wurden und die von Intune verwaltet werden kann.

Mit App-Schutzrichtlinien der Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) können Sie die Daten Ihrer Organisation innerhalb einer Anwendung verwalten und schützen. Mit MAM ohne Geräteregistrierung (Mobile Application Management Without Enrollment, MAM-WE) kann eine Geschäfts-, Schul- oder Uni-App, die vertrauliche Daten enthält, auf nahezu jedem Gerät verwaltet werden, auch auf persönlichen Geräten in BYOD-Szenarien (Bring Your Own Device). Viele Produktivitätsanwendungen, wie beispielsweise die Microsoft Office-Apps, können mit Intune MAM verwaltet werden. Weitere Informationen finden Sie in der offiziellen Liste mit von Microsoft Intune geschützten Apps, die für die Öffentlichkeit verfügbar sind.

Wie Sie Ihre App-Daten schützen können

Ihre Mitarbeiter verwenden mobile Geräte sowohl für private als auch für berufliche Zwecke. Während Ihre Angestellten also weiterhin produktiv sein können, Sie werden gleichzeitig beabsichtigten und unbeabsichtigten Datenverlust verhindern wollen. Sie sollten außerdem Unternehmensdaten schützen, auf die über Geräte zugegriffen wird, die nicht von Ihnen verwaltet werden.

Sie können Intune-App-Schutzrichtlinien unabhängig von jeglicher mobilen Geräteverwaltungslösung verwenden. Diese Unabhängigkeit hilft Ihnen, die Daten Ihres Unternehmens mit oder ohne Registrierung von Geräten in einer Geräteverwaltungslösung zu schützen. Durch die Implementierung von Richtlinien auf App-Ebene können Sie den Zugriff auf Unternehmensressourcen einschränken und Daten im Zuständigkeitsbereich der IT-Abteilung halten.

App-Schutzrichtlinien auf Geräten

App-Schutzrichtlinien können für Apps konfiguriert werden, die auf Geräten ausgeführt werden, die folgende Voraussetzungen erfüllen:

  • Registriert bei Microsoft Intune: Diese Geräte sind in der Regel unternehmenseigene Geräte.

  • Registriert bei einer Drittanbieterlösung für die Verwaltung mobiler Geräte (MDM, Mobile Device Management): Diese Geräte sind in der Regel unternehmenseigene Geräte.

    Hinweis

    Verwaltungsrichtlinien für mobile Apps sollten nicht in Verbindung mit Verwaltungslösungen für mobile Geräte von Drittanbietern oder sicheren Containerlösungen verwendet werden.

  • Nicht bei einer Lösung für die Verwaltung mobiler Geräte registriert: Diese Geräte sind in der Regel mitarbeitereigene Geräte, die weder bei Intune noch anderen MDM-Lösungen registriert sind oder dort verwaltet werden.

Wichtig

Sie können Verwaltungsrichtlinien für mobile Apps für mobile Office-Apps erstellen, die eine Verbindung mit Microsoft 365-Diensten herstellen. Außerdem können Sie den Zugriff auf lokale Exchange-Postfächer schützen, indem Sie Intune-App-Schutzrichtlinien für Outlook für iOS/iPadOS und Android erstellen, die mit hybrider moderner Authentifizierung aktiviert wurden. Bevor Sie dieses Feature verwenden, sollten Sie sicherstellen, dass Sie die Anforderungen für Outlook für iOS/iPadOS und Android erfüllen. App-Schutzrichtlinien werden nicht für andere Apps unterstützt, die eine Verbindung mit lokalen Exchange- oder SharePoint-Diensten herstellen.

Vorteile der Verwendung von App-Schutzrichtlinien

Im Folgenden finden Sie die wichtigsten Vorteile von App-Schutzrichtlinien:

  • Schutz Ihrer Unternehmensdaten auf App-Ebene. Da die Verwaltung von mobilen Apps keine Geräteverwaltung voraussetzt, können Sie Unternehmensdaten auf verwalteten und auf nicht verwalteten Geräten schützen. Bei der Verwaltung wird die Benutzeridentität in den Mittelpunkt gestellt, wodurch sich die Geräteverwaltung erübrigt.

  • Die Produktivität der Endbenutzer wird nicht beeinträchtigt, und Richtlinien werden nicht angewendet, wenn die App in einem privaten Kontext verwendet wird. Die Richtlinien werden nur auf den beruflichen Kontext angewendet, wodurch Sie die Möglichkeit haben, Unternehmensdaten zu schützen, ohne dass private Daten einbezogen werden.

  • Mit Appschutz-Richtlinien wird sichergestellt, dass der Schutz auf App-Ebene erfolgt. Sie haben beispielsweise folgende Möglichkeiten:

    • Anfordern einer PIN zum Öffnen einer App in einem geschäftlichen Kontext
    • Steuern des Teilens von Daten zwischen Apps
    • Verhindern des Speicherns von Unternehmens-App-Daten an einem privaten Speicherort
  • Eine MDM-Lösung stellt zusätzlich zu MAM sicher, dass das Gerät geschützt ist. So können Sie beispielsweise die Eingabe einer PIN für den Zugriff auf das Gerät anfordern, oder Sie können verwaltete Apps auf dem Gerät bereitstellen. Sie können Apps auch über die MDM-Lösung auf Geräten bereitstellen, um mehr Kontrolle über die App-Verwaltung zu haben.

Es gibt weitere Vorteile bei der Verwendung einer MDM mit App-Schutzrichtlinien, und Unternehmen können App-Schutzrichtlinien sowohl mit als auch ohne MDM gleichzeitig verwenden. Nehmen Sie beispielsweise weinen Mitarbeiter an, der sowohl ein unternehmenseigenes Smartphone als auch seinen privaten Tablet verwendet. Das unternehmenseigene Smartphone wird in einer MDM registriert und von App-Schutzrichtlinien geschützt, während das private Gerät nur von App-Schutzrichtlinien geschützt wird.

Wenn Sie eine MAM-Richtlinie auf den Benutzer anwenden, ohne den Gerätezustand festzulegen, erhält der Benutzer die MAM-Richtlinie sowohl auf dem BYOD-Gerät als auch auf dem mit Intune verwalteten Gerät. Sie können eine MAM-Richtlinie auch basierend auf dem verwalteten Zustand anwenden. Wenn Sie also eine App-Schutzrichtlinie erstellen, wählen Sie in diesem Fall neben Auf alle App-Typen ausrichten die Option Nein aus. Gehen Sie dann auf eine der folgenden Arten vor:

  • Wenden Sie eine weniger strenge MAM-Richtlinie auf mit Intune verwaltete Geräte an, und wenden Sie eine restriktivere MAM-Richtlinie auf nicht bei MDM registrierte Geräte an.
  • Wenden Sie eine MAM-Richtlinie nur auf nicht registrierte Geräte an.

Unterstützte Plattformen für App-Schutzrichtlinien

Intune bietet eine Reihe von Funktionen, die Ihnen dabei helfen, die benötigten Apps auf jene Geräte zu übertragen, auf denen sie ausgeführt werden sollen. Weitere Informationen finden Sie unter App-Verwaltungsfunktionen nach Plattform.

Die Plattform für Schutzrichtlinien für Intune-Apps ist auf die Plattformunterstützung für mobile Office-Anwendungen für Android- und iOS/iPadOS-Geräte ausgerichtet. Weitere Informationen finden Sie im Abschnitt Mobile Apps unter Systemanforderungen für Office.

Wichtig

Das Intune-Unternehmensportal ist auf dem Gerät erforderlich, damit das Gerät App-Schutzrichtlinien unter Android empfangen kann. Weitere Informationen finden Sie unter Zugriffsanforderungen für Apps im Intune-Unternehmensportal.

Datenschutzframework für App-Schutzrichtlinien

Die in den App-Schutzrichtlinien verfügbaren Optionen ermöglichen Organisationen, den Schutz an ihre speziellen Anforderungen anzupassen. Für einige Organisationen ist es jedoch möglicherweise nicht offensichtlich, welche Richtlinieneinstellungen genau erforderlich sind, um ein vollständiges Szenario zu implementieren. Um Unternehmen bei der Priorisierung der Absicherung mobiler Clientendpunkte zu unterstützen, hat Microsoft für die Verwaltung mobiler iOS- und Android-Apps eine Taxonomie für sein Datenschutzframework für App-Schutzrichtlinien eingeführt.

Dieses Datenschutzframework ist in drei Konfigurationsebenen unterteilt, wobei jede Ebene auf der vorherigen Ebene aufbaut:

  • Einfacher Datenschutz für Unternehmen (Ebene 1): Diese Ebene stellt sicher, dass Apps mit einer PIN geschützt und verschlüsselt sind, und dient zum Durchführen selektiver Löschvorgänge. Bei Android-Geräten überprüft diese Ebene den Android-Gerätenachweis. Dabei handelt es sich um eine Konfiguration auf Einstiegsebene, die ähnliche Datenschutzkontrolle in Exchange Online-Postfachrichtlinien bereitstellt und der IT sowie dem Benutzerstamm eine Einführung in App-Schutzrichtlinien bietet.
  • Erweiterter Datenschutz für Unternehmen (Ebene 2): Diese Ebene führt Mechanismen für App-Schutzrichtlinien zur Verhinderung von Datenlecks sowie die mindestens zu erfüllenden Betriebssystemanforderungen ein. Dies ist die Konfiguration, die für die meisten mobilen Benutzer gilt, die auf Geschäfts-, Schul- oder Unidaten zugreifen.
  • Hoher Datenschutz für Unternehmen (Ebene 3): Auf dieser Ebene werden Mechanismen zum erweiterten Datenschutz, eine verbesserte PIN-Konfiguration sowie Mobile Threat Defense für App-Schutzrichtlinien eingeführt. Diese Konfiguration ist für Benutzer vorgesehen, die auf Hochrisikodaten zugreifen.

Die spezifischen Empfehlungen für jede Konfigurationsebene sowie die minimalen zu schützenden Apps finden Sie unter Datenschutzframework mithilfe von App-Schutzrichtlinien.

So schützen App-Schutzrichtlinien Ihre App-Daten

Apps ohne App-Schutzrichtlinien

Wenn Apps ohne Einschränkungen verwendet werden, können Unternehmensdaten und private Daten vermischt werden. Unternehmensdaten können damit an Speicherorten wie dem persönlichen Speicher abgelegt oder an Apps außerhalb Ihres Zuständigkeitsbereichs übermittelt werden, was Datenverlust bedeuten würde. Die Pfeile im folgenden Diagramm zeigen die uneingeschränkte Datenverschiebung zwischen sowohl unternehmenseigenen als auch persönlichen Apps sowie zu Speicherorten.

Darstellung der Datenverschiebung zwischen Apps ohne Richtlinien

Datenschutz mit App-Schutzrichtlinien

Mit App-Schutzrichtlinien können Sie verhindern, dass Unternehmensdaten im lokalen Speicher des Geräts gespeichert werden (siehe folgende Abbildung). Außerdem können Sie das Verschieben von Daten in andere Apps einschränken, die nicht durch App-Schutzrichtlinien geschützt sind. Einstellungen für App-Schutzrichtlinien:

  • Richtlinien zur Datenverschiebung wie Kopien von Organisationsdaten speichern und Ausschneiden, Kopieren und Einfügen einschränken.
  • Einstellungen von Zugriffsrichtlinien wie Einfache PIN für den Zugriff erforderlich und Ausführen verwalteter Apps auf mit Jailbreak oder Rooting manipulierten Geräten blockieren.

Darstellung von Unternehmensdaten, die durch Richtlinien geschützt werden

Schutz von Daten mit App-Schutzrichtlinien auf Geräten, die durch eine MDM-Lösung verwaltet werden

Die folgende Abbildung zeigt die Schutzebenen, die durch den gemeinsamen Einsatz von MDM und App-Schutzrichtlinien bereitgestellt werden.

Die Abbildung zeigt, wie App-Schutzrichtlinien auf BYOD-Geräten funktionieren

Die MDM-Lösung bietet einen Mehrwert durch Folgendes:

  • Registrieren das Gerät
  • Stellt die Apps auf dem Gerät bereit
  • Sorgt für kontinuierliche Gerätekonformität und -verwaltung

Die App-Schutzrichtlinien bieten einen Mehrwert durch Folgendes:

  • Schutz der Unternehmensdaten vor dem Zugriff durch Verbraucher-Apps und -Dienste
  • Anwenden von Einschränkungen, z. B. für Speichern unter, Zwischenablage oder PIN, auf Client-Apps
  • Löschen von Unternehmensdaten aus Apps bei Bedarf, ohne die Apps vom Gerät zu entfernen

Schutz von Daten mit App-Schutzrichtlinien für Geräte ohne Registrierung

Das folgende Diagramm zeigt, wie die Datenschutzrichtlinien auf App-Ebene ohne MDM funktionieren.

Die Abbildung zeigt, wie App-Schutzrichtlinien auf Geräten ohne Registrierung (nicht verwalteten Geräten) funktionieren.

Bei BYOD-Geräten, die nicht in einer MDM-Lösung registriert sind, können App-Schutzrichtlinien dazu beitragen, Unternehmensdaten auf App-Ebene zu schützen. Es gibt jedoch einige Einschränkungen, die Sie kennen sollten:

  • Sie können auf dem Gerät keine Apps bereitstellen. Der Endbenutzer muss die Apps aus dem Store beziehen.
  • Sie können auf diesen Geräten keine Zertifikatprofile bereitstellen.
  • Sie können auf diesen Geräten keine unternehmensweiten WLAN- und VPN-Einstellungen bereitstellen.

Apps, die mit App-Schutzrichtlinien verwaltet werden können

Jede App, die in das Intune SDK integriert oder vom Intune App Wrapping Tool umschlossen wurde, kann mithilfe von Intune-App-Schutzrichtlinien verwaltet werden. Weitere Informationen finden Sie in der offiziellen Liste der durch Microsoft Intune geschützten Apps, die mithilfe dieser Tools erstellt wurden und für die öffentliche Nutzung verfügbar sind.

Das Intune SDK-Entwicklungsteam testet und unterstützt aktiv Apps, die mit den nativen Android-, iOS/iPadOS-Plattformen (Obj-C, Swift), Xamarin- und Xamarin.Forms-Plattformen erstellt wurden. Während einige Kunden das Intune SDK erfolgreich in andere Plattformen wie React Native und NativeScript integrieren konnten, bieten wir keine expliziten Anleitungen oder Plug-Ins für App-Entwickler, die andere als unsere unterstützten Plattformen verwenden.

Anforderungen an die Endbenutzer bei der Verwendung von App-Schutzrichtlinien

Die folgende Liste enthält die Anforderungen, die für Endbenutzer bei der Verwendung von App-Schutzrichtlinien in einer mit Intune verwalteten App erfüllt sein müssen:

  • Der Endbenutzer muss über ein Azure Active Directory-Konto (Azure AD) verfügen. Informationen dazu, wie Sie Intune-Benutzer in Azure Active Directory erstellen, finden Sie unter Hinzufügen von Benutzern und Gewähren von Administratorrechten für Intune.

  • Der Endbenutzer muss über eine Lizenz für Microsoft Intune verfügen, die seinem Azure Active Directory-Konto zugeordnet ist. Informationen zum Zuweisen von Intune-Lizenzen zu Endbenutzern finden Sie unter Verwalten von Intune-Lizenzen.

  • Der Endbenutzer muss einer Sicherheitsgruppe angehören, für die eine App-Schutzrichtlinie vorgesehen ist. Die selbe App-Schutzrichtlinie muss auf die App angewendet werden, die verwendet werden soll. App-Schutzrichtlinien können im Microsoft Endpoint Manager Admin Center erstellt und bereitgestellt werden. Sicherheitsgruppen können zurzeit im Microsoft 365 Admin Center erstellt werden.

  • Der Endbenutzer muss sich mit seinem Azure AD-Konto bei der App anmelden.

App-Schutzrichtlinien für Microsoft Office-Apps

Es gibt einige zusätzliche Anforderungen, die Sie kennen müssen, wenn Sie App-Schutzrichtlinien für Microsoft Office-Apps verwenden.

Mobile Outlook-App

Für die Verwendung der mobilen Outlook-App gelten u. a. folgende zusätzliche Anforderungen:

  • Die mobile Outlook-App muss auf dem Gerät des Endbenutzers installiert sein.

  • Das Microsoft 365 Exchange Online-Postfach und die zugehörige Lizenz des Endbenutzers müssen mit dem Azure Active Directory-Konto des Endbenutzers verknüpft sein.

    Hinweis

    Die mobile Outlook-App unterstützt derzeit nur den Intune-App-Schutz für Microsoft Exchange Online und Exchange Server mit moderner hybrider Authentifizierung, nicht jedoch lokales Exchange oder Exchange in Office 365.

Word, Excel und PowerPoint

Für die Verwendung der Apps für Word, Excel und PowerPoint gelten u. a. folgende zusätzliche Anforderungen:

  • Mit dem AAD-Konto des Endbenutzers muss eine Lizenz für Microsoft 365-Apps für Business oder Enterprise verknüpft sein. Das Abonnement muss die Office-Apps auf mobilen Geräten enthalten und kann ein Cloudspeicherkonto mit OneDrive for Business umfassen. Microsoft 365-Lizenzen können im Microsoft 365 Admin Center zugewiesen werden. Befolgen Sie dazu diese Anweisungen.

  • Der Benutzer muss über einen verwalteten Speicherort verfügen, der mithilfe der Funktion „Speichern unter“ im Rahmen der Einstellung für die Anwendungsschutzrichtlinie „Kopien von Organisationsdaten speichern“ konfiguriert wird. Wenn beispielsweise der verwaltete Speicherort OneDrive ist, muss die OneDrive-App in der Word-, Excel- oder PowerPoint-App des Endbenutzer konfiguriert werden.

  • Wenn der verwaltete Speicherort OneDrive ist, muss die App unter die App-Schutzrichtlinie fallen, die für den Endbenutzer angegeben ist.

    Hinweis

    Die mobilen Office-Apps unterstützen zurzeit nur SharePoint Online, nicht jedoch SharePoint lokal.

Verwalteter Speicherort für Office erforderlich

Für Office wird ein verwalteter Speicherort (z. B. OneDrive) benötigt. Intune kennzeichnet alle Daten in der App entweder als „unternehmenseigen“ oder „persönlich“. Daten werden als „unternehmenseigen“ betrachtet, wenn sie von einem Speicherort des Unternehmens stammen. Bei den Office-Apps betrachtet Intune Folgendes als Unternehmensspeicher: E-Mail-Speicher (Exchange) oder Cloudspeicher (OneDrive-App mit einem OneDrive for Business-Konto).

Skype for Business

Für die Verwendung von Skype for Business gelten zusätzliche Anforderungen. Informationen hierzu finden Sie in den Lizenzanforderungen für Skype for Business. Informationen zu Skype for Business (SfB)-Hybrid- und lokalen Konfigurationen finden Sie unter Moderne Hybridauthentifizierung für SfB und Exchange wird allgemein verfügbar bzw. Moderne Authentifizierung für SfB OnPrem mit Azure AD.

Globale App-Schutzrichtlinie

Wenn ein OneDrive-Administrator zu admin.onedrive.com navigiert und Gerätezugriff auswählt, kann er Steuerelemente für die Mobile Anwendungsverwaltung für die OneDrive- und SharePoint-Client-Apps festlegen.

Die Einstellungen, die für die OneDrive-Administratorkonsole zur Verfügung gestellt wurden, konfigurieren eine besondere App-Schutzrichtlinie für Intune, die globale Richtlinie. Diese globale Richtlinie gilt für alle Benutzer in Ihrem Mandanten und kann nicht eingeschränkt angewendet werden.

Sobald sie aktiviert ist, werden die OneDrive- und SharePoint-Apps für iOS/iPadOS und Android standardmäßig über die ausgewählten Einstellungen geschützt. Ein IT-Experte kann diese Richtlinie in der Intune-Konsole bearbeiten, um weitere Ziel-Apps hinzuzufügen und Richtlinieneinstellungen zu ändern.

Standardmäßig darf nur eine globale Richtlinie pro Mandant vorhanden sein. Intune Graph-APIs können Sie jedoch verwenden, um zusätzliche globale Richtlinien pro Mandant zu erstellen, was jedoch nicht empfohlen wird. Das Erstellen zusätzlicher globaler Richtlinien wird nicht empfohlen, da die Problembehandlung bei der Implementierung einer solchen Richtlinie sehr kompliziert sein kann.

Obwohl die globale Richtlinie für alle Benutzer in Ihrem Mandanten gilt, werden diese Einstellungen von jeder standardmäßigen App-Schutzrichtlinie für Intune überschrieben.

Hinweis

Die Richtlinieneinstellungen im OneDrive Admin Center werden nicht mehr aktualisiert. Stattdessen kann Microsoft Endpoint Manager verwendet werden. Weitere Informationen finden Sie unter Steuern des Zugriffs auf Features in den mobilen OneDrive- und SharePoint-Apps.

App-Schutzfunktionen

Mehrere Identitäten

Mit der Unterstützung mehrerer Identitäten kann eine App mehrere Zielgruppen unterstützen. Hierbei kann es sich sowohl um „Unternehmensbenutzer“ als auch um „persönliche Benutzer“ handeln. Geschäfts-, Schul- und Unikonten werden von „Unternehmensbenutzern“ verwendet, persönliche Konten dagegen von „Endbenutzern“, beispielsweise von Microsoft Office-Benutzern. Eine App, die mehrere Identitäten unterstützt, kann öffentlich freigegeben werden. Dabei werden App-Schutzrichtlinien nur angewendet, wenn die App im Kontext eines Geschäfts-, Schul- und Unikontos („Unternehmen“) verwendet wird. Bei der Unterstützung mehrerer Identitäten wird das Intune SDK verwendet, um App-Schutzrichtlinien nur auf das Geschäfts-, Schul- oder Unikonto anzuwenden, das bei der App angemeldet ist. Wenn ein persönliches Konto bei der App angemeldet ist, kann nicht auf die Daten zugegriffen werden. App-Schutzrichtlinien können verwendet werden, um zu verhindern, dass Daten von Geschäfts-, Schul- oder Unikonten an persönliche Konten innerhalb der App mit mehreren Identitäten, an persönliche Konten mit anderen Apps oder persönliche Apps übertragen werden.

Ein Beispiel: Wenn ein Benutzer ein neues Dokument in Word startet, wird dies als „persönlicher“ Kontext betrachtet, und die App-Schutzrichtlinien von Intune werden nicht angewendet. Sobald das Dokument im OneDrive-„Unternehmenskonto“ gespeichert wird, gilt dies als „Unternehmenskontext“, und die Intune-App-Schutzrichtlinien werden angewendet.

Sehen Sie sich die folgenden Beispiele für die Arbeit oder den Unternehmenskontext an:

  • Ein Benutzer startet die OneDrive-App über sein Geschäftskonto. Im geschäftlichen Kontext kann er keine Dateien an einen privaten Speicherort verschieben. Wenn der Benutzer OneDrive später jedoch mit einem persönlichen Konto verwendet, kann er Daten ohne Einschränkung aus dem persönlichen OneDrive kopieren und verschieben.
  • Ein Benutzer beginnt, eine E-Mail in der Outlook-App zu verfassen. Sobald der Betreff oder der Nachrichtentext aufgefüllt ist, kann der Benutzer die FROM-Adresse („An“) nicht mehr vom Arbeitskontext in den persönlichen Kontext umstellen, da der Betreff und der Nachrichtentext durch die App-Schutzrichtlinie geschützt sind.

Hinweis

Outlook bietet eine kombinierte Ansicht für „persönliche“ und „geschäftliche“ E-Mails. In dieser Situation fordert die Outlook-App beim Start zur Eingabe der Intune-PIN auf.

Wichtig

Obwohl Microsoft Edge im „Unternehmenskontext“ ausgeführt wird, können Benutzer OneDrive-Dateien aus dem „Unternehmenskontext“ absichtlich in einen unbekannten persönlichen Cloudspeicherort verschieben. Um dies zu vermeiden, finden Sie weitere Informationen unter Verwalten eingeschränkter Websites und „Konfigurieren der Liste zulässiger/blockierter Websites für Microsoft Edge“.

Intune-App-PIN

Die PIN (Personal Identification Number) ist eine Kennung, mit der sichergestellt wird, dass der richtige Benutzer in einer Anwendung auf die Daten der Organisation zugreift.

Aufforderung zur Eingabe der PIN
Intune fordert den Benutzer zur Eingabe seiner App-PIN auf, wenn dieser versucht, auf „unternehmenseigene“ Daten zuzugreifen. In Apps mit Unterstützung mehrerer Identitäten – z. B. Word, Excel oder PowerPoint – wird der Benutzer zur PIN-Eingabe aufgefordert, wenn er versucht, ein „unternehmenseigenes“ Dokument oder eine „unternehmenseigene“ Datei zu öffnen. In Apps mit nur einer Identität – z. B. branchenspezifische Apps, die über das Intune App Wrapping Tool verwaltet werden – wird der Benutzer beim Start der App zur Eingabe der PIN aufgefordert, da dem Intune SDK bekannt ist, dass die Verwendung der App immer „unternehmenseigen“ ist.

Häufigkeit der Aufforderung zur Eingabe der PIN oder Administratoranmeldeaufforderung eines Unternehmens
Der IT-Administrator kann die Intune-App-Schutzrichtlinieneinstellung Zugriffsanforderungen nach (Minuten) erneut überprüfen in der Intune-Verwaltungskonsole definieren. Diese Einstellung gibt die Zeitspanne an, nach der die Zugriffsanforderungen auf dem Gerät überprüft werden und der Bildschirm zur Eingabe der PIN oder Administratoranmeldeaufforderung eines Unternehmens erneut angezeigt wird. Folgende Faktoren beeinflussen, wie häufig ein Benutzer zur PIN-Eingabe aufgefordert wird:

  • Eine PIN wird für alle Apps des gleichen Herausgebers genutzt, um die Benutzerfreundlichkeit zu erhöhen:
    In iOS/iPadOS wird eine gemeinsame App-PIN für alle Apps des gleichen App-Herausgebers genutzt. Beispielsweise verwenden alle Microsoft-Apps dieselbe PIN. Unter Android wird eine App-PIN für alle Apps genutzt.
  • Das Verhalten von Zugriffsanforderungen nach (Minuten) erneut überprüfen nach einem Geräteneustart:
    Ein Timer zählt die Anzahl von Minuten der Inaktivität, die angeben, wann die Intune-App-PIN oder Administratoranmeldeaufforderung eines Unternehmens das nächste Mal angezeigt werden soll. Unter iOS/iPadOS hat ein Neustart des Geräts keine Auswirkung auf den Timer. Das bedeutet, dass ein Neustart des Geräts keine Auswirkung auf die Anzahl der inaktiven Minuten des Benutzers einer iOS/iPadOS-App mit der Intune-PIN-Richtlinie (oder Administratoranmeldeaufforderungs-Richtlinie) hat. Unter Android wird der Timer beim Neustart des Geräts zurückgesetzt. Deshalb ist es wahrscheinlich, dass Android-Apps mit der Intune-PIN-Richtlinie (oder Administratoranmeldeaufforderungs-Richtlinie) den Benutzer unabhängig vom Wert der Einstellung „Zugriffsanforderungen erneut überprüfen nach (Minuten)“ nach dem Neustart des Geräts zur Eingabe einer PIN oder Administratoranmeldeaufforderung eines Unternehmens für die App auffordern.
  • Das Wiederholungsverhalten des Timers für die PIN:
    Wenn für den Zugriff auf eine App (App A) eine PIN eingegeben wurde und diese App auf dem Gerät nicht mehr im Vordergrund (Haupteingabefokus) ausgeführt wird, wird der Timer für diese PIN zurückgesetzt. Eine andere App (App B), für die dieselbe PIN gilt, fordert den Benutzer nicht zur PIN-Eingabe auf, weil der Zeitgeber zurückgesetzt wurde. Die Aufforderung wird wieder angezeigt, wenn der Wert für „Zugriffsanforderungen nach (Minuten) erneut überprüfen“ erneut erreicht wurde.

Selbst wenn die PIN auf iOS/iPadOS-Geräten von mehreren Apps von verschiedenen Herausgebern genutzt wird, wird die Eingabeaufforderung noch mal angezeigt, wenn der Wert für Zugriffsanforderungen nach (Minuten) erneut überprüfen nochmals für die App erreicht wird, die nicht über den Eingabefokus verfügt. Beispiel: Der Benutzer verfügt über die App A von Herausgeber X und über die App B von Herausgeber Y, und für diese Apps wird die gleiche PIN verwendet. Der Benutzer verwendet App A (im Vordergrund), und die App B ist minimiert. Wenn der Wert für Zugriffsanforderungen nach (Minuten) erneut überprüfen erreicht wurde und der Benutzer zur App B wechselt, ist eine PIN erforderlich.

Hinweis

Um die Zugriffsanforderungen des Benutzers (besonders bei häufig verwendeten Apps) öfter zu überprüfen (z. B. die PIN-Eingabeaufforderung), empfiehlt es sich, den Wert für die Einstellung „Zugriffsanforderungen nach (Minuten) erneut überprüfen“ zu senken.

Integrierte App-PINs für Outlook und OneDrive
Die Intune-PIN funktioniert mit einem auf Inaktivität basierten Timer, also dem Wert von Zugriffsanforderungen nach (Minuten) erneut überprüfen. Deshalb werden Aufforderungen zur Eingabe der Intune-PIN unabhängig von Aufforderungen zur Eingabe der integrierten App-PIN für Outlook und OneDrive, die standardmäßig beim Start der App angezeigt werden, angezeigt. Wenn der Benutzer gleichzeitig zur Eingabe beider PINs aufgefordert wird, sollte die Intune-PIN Vorrang haben.

Sicherheit für Intune-PINs
Mit der PIN wird sichergestellt, dass nur der richtige Benutzer in der App auf Daten der Organisation zugreifen kann. Ein Endbenutzer muss sich daher mit seinem Geschäfts-, Uni- oder Schulkonto anmelden, bevor er seine Intune-App-PIN festlegen oder zurücksetzen kann. Diese Authentifizierung wird von Azure Active Directory über einen Austausch sicherer Token durchgeführt und ist für das Intune SDK nicht transparent. Hinsichtlich der Sicherheit ist die beste Möglichkeit, ein Geschäfts-, Uni- oder Schulkonto zu schützen, das Konto zu verschlüsseln. Die Verschlüsselung steht nicht in Zusammenhang mit der App-PIN, sondern stellt eine eigene App-Schutzrichtlinie dar.

Schutz vor Brute-Force-Angriffen und der Intune-PIN
Im Rahmen der App-PIN-Richtlinie kann der IT-Administrator festlegen, wie oft ein Benutzer versuchen kann, die PIN zu authentifizieren, bevor die App gesperrt wird. Nachdem die maximale Anzahl von Versuchen erreicht wurde, kann das Intune SDK die „unternehmenseigenen“ Daten aus der App entfernen.

Intune-PIN und selektives Zurücksetzen
Unter iOS/iPadOS werden die PIN-Informationen auf App-Ebene im Schlüsselbund gespeichert, der von Apps desselben Herausgebers, wie z. B. allen Apps von Microsoft als Erstanbieter, gemeinsam genutzt wird. Diese PIN-Informationen sind auch an ein Endbenutzerkonto gebunden. Ein selektives Zurücksetzen einer App darf keine Auswirkung auf eine andere App haben.

Beispielsweise wird eine für Outlook festgelegte PIN für den angemeldeten Benutzer in einem gemeinsam genutzten Schlüsselbund gespeichert. Wenn sich der Benutzer bei OneDrive (auch ein Microsoft-Produkt) anmeldet, wird die gleiche PIN wie bei Outlook verwendet, da derselbe gemeinsam genutzte Schlüsselbund zum Einsatz kommt. Wenn sich der Benutzer aus Outlook abmeldet oder die Benutzerdaten in Outlook zurückgesetzt werden, löscht das Intune SDK diesen Schlüsselbund nicht, da OneDrive diese PIN möglicherweise noch immer verwendet. Aus diesem Grund wird beim selektiven Zurücksetzen der gemeinsam genutzte Schlüsselbund, einschließlich PIN, nicht gelöscht. Dieses Verhalten bleibt auch dann unverändert, wenn nur eine App eines Herausgebers auf dem Gerät vorhanden ist.

Die PIN wird von Apps desselben Herausgebers gemeinsam genutzt. Wenn das Zurücksetzen für eine einzelne App erfolgt, weiß das Intune SDK nicht, ob sich auf dem Gerät weitere Apps desselben Herausgebers befinden. Daher löscht das Intune SDK die PIN nicht, da sie möglicherweise noch von anderen Apps verwendet wird. Es wird erwartet, dass die PIN der App zurückgesetzt wird, wenn die letzte App dieses Herausgebers im Rahmen einer Betriebssystembereinigung endgültig entfernt wird.

Wenn Sie feststellen, dass die PIN auf einigen Geräten gelöscht wird, geschieht wahrscheinlich Folgendes: Da die PIN an eine Identität gebunden ist, wird der Benutzer, der sich nach einer Zurücksetzung mit einem anderen Konto angemeldet hat, aufgefordert, eine neue PIN einzugeben. Wenn er sich jedoch mit einem zuvor bestehenden Konto anmeldet, kann eine bereits im Schlüsselbund gespeicherte PIN zur Anmeldung verwendet werden.

Doppeltes Festlegen einer PIN für Apps vom gleichen Herausgeber?
MAM (für iOS/iPadOS) erlaubt derzeit eine PIN auf Anwendungsebene mit alphanumerischen Zeichen und Sonderzeichen (als „Passcode“ bezeichnet), was die Beteiligung von Anwendungen (z. B. WXP, Outlook, Managed Browser, Yammer) erfordert, damit das Intune SDK für iOS integriert werden kann. Ohne das SDK werden die Kennungseinstellungen nicht ordnungsgemäß für die Zielanwendungen erzwungen. Hierbei handelte es sich um ein Feature, das im Intune SDK für iOS Version 7.1.12 veröffentlicht wurde.

Alle numerischen PINs oder Kennungen in Version 7.1.12 oder höher werden getrennt von der numerischen PIN in früheren Versionen des SDK verarbeitet, um dieses Feature zu unterstützen und die Abwärtskompatibilität mit früheren Versionen des Intune SDK für iOS/iPadOS zu gewährleisten. Eine weitere Änderung wurde im Intune SDK für iOS v 14.6.0 eingeführt, die bewirkt, dass alle PINs in 14.6.0+ getrennt von PINS in früheren Versionen des SDK behandelt werden.

Wenn also ein Gerät Anwendungen mit Intune SDK für iOS-Versionen zwischen 7.1.12 UND 7.1.12 vom selben Hersteller aufweist (oder Versionen vor 14.6.0 UND nach 14.6.0), müssen sie zwei PINs einrichten. Die beiden PINs (für jede App) sind in keiner Weise miteinander verknüpft (sie müssen also für die jeweilige App geltende App-Schutzrichtlinie einhalten). Daher kann der Benutzer ein und dieselbe PIN nur dann zweimal einrichten, wenn für App A und App B die gleichen Richtlinien (in Bezug auf die PIN) gelten.

Dieses Verhalten gilt speziell für die PIN für iOS/iPadOS-Anwendungen, die mit der Intune-Verwaltung mobiler Apps aktiviert sind. Wenn Anwendungen im Laufe der Zeit höhere Intune SDK-Versionen für iOS/iPadOS annehmen, ist das zweimalige Festlegen einer PIN für Apps desselben Herausgebers weniger entscheidend. Beachten Sie den Hinweis unterhalb eines Beispiels.

Hinweis

Beispiel: Wenn App A mit einer niedrigeren Version als 7.1.12 (oder 14.6.0) und App B mit einer höheren oder gleichen Version wie 7.1.12 (oder 14.6.0) vom selben Herausgeber erstellt wurde, muss der Endbenutzer die PINs für A und B separat einrichten, sofern beide auf einem iOS/iPadOS-Gerät installiert sind. Wenn eine App C mit der SDK-Version 7.1.9 (oder 14.5.0) auf dem Gerät installiert ist, verwendet diese dieselbe PIN wie App A. Eine App D, die mit Version 7.1.14 (oder 14.6.2) erstellt wurde, verwendet dieselbe PIN wie App B.
Wenn auf einem Gerät nur App A und C installiert sind, muss eine PIN festgelegt werden. Dasselbe gilt, wenn auf einem Gerät nur App B und D installiert sind.

Verschlüsselung von App-Daten

IT-Administratoren können eine App-Schutzrichtlinie bereitstellen, die erzwingt, dass App-Daten verschlüsselt werden. Im Rahmen einer solchen Richtlinie kann ein IT-Administrator auch angeben, wann die Inhalte verschlüsselt werden.

Intune-Verfahren für die Datenverschlüsselung
Ausführliche Informationen zur Verschlüsselungseinstellung im Rahmen von App-Schutzrichtlinien finden Sie unter Einstellungen für App-Schutzrichtlinien in Microsoft Intune und Einstellungen für App-Schutzrichtlinien für iOS.

Verschlüsselte Daten
Nur Daten, die als „unternehmenseigen“ markiert sind, werden gemäß der vom IT-Administrator eingerichteten App-Schutzrichtlinie verschlüsselt. Daten werden als „unternehmenseigen“ betrachtet, wenn sie von einem Speicherort des Unternehmens stammen. Bei den Office-Apps betrachtet Intune Folgendes als unternehmenseigenen Speicherort:

  • E-Mail (Exchange)
  • Cloudspeicher (OneDrive-App mit einem OneDrive for Business-Konto)

Bei Branchen-Apps, die vom Intune App Wrapping Tool verwaltet werden, werden alle App-Daten als „unternehmenseigen“ betrachtet.

Selektives Zurücksetzen

Löschen von Daten per Remotezugriff
Intune kann App-Daten auf drei verschiedene Arten löschen:

  • Vollständiges Zurücksetzen des Geräts
  • Selektives Zurücksetzen für MDM
  • Selektives Zurücksetzen für MAM

Weitere Informationen zur Remotezurücksetzung der MDM finden Sie unter Entfernen von Geräten durch Zurücksetzen oder Abkoppeln. Weitere Informationen zum selektiven Zurücksetzen mit MAM finden Sie unter the Retire action (Die Aktion „Abkoppeln“) und Zurücksetzen von Unternehmensdaten in Apps.

Beim vollständigen Zurücksetzen des Geräts werden alle Benutzerdaten und -einstellungen vom Gerät entfernt, indem das Gerät auf die werkseitigen Standardeinstellungen zurückgesetzt wird. Das Gerät wird aus Intune entfernt.

Hinweis

Ein vollständiges Zurücksetzen des Geräts und selektives Zurücksetzen für MDM kann nur auf Geräten erreicht werden, die bei der Intune-Verwaltung mobiler Geräte (MDM) registriert sind.

Selektives Zurücksetzen für MDM
Informationen zum Entfernen von Unternehmensdaten finden Sie unter Remove devices – retire (Entfernen von Geräten: Abkoppeln).

Selektives Zurücksetzen für MAM
Durch selektives Zurücksetzen für MAM können Unternehmensanwendungsdaten von einer App entfernt werden. Die Anforderung wird mit Intune initiiert. Informationen zum Initiieren einer Zurücksetzungsanforderung finden Sie unter So setzen Sie nur die Unternehmensdaten in einer App zurück.

Wenn das selektive Zurücksetzen initiiert wird, während ein Benutzer die App verwendet, überprüft das Intune SDK alle 30 Minuten, ob eine Anforderung zum selektiven Zurücksetzen vom Intune MAM-Dienst vorhanden ist. Das SDK überprüft auch, ob eine Anforderung zum selektiven Zurücksetzen vorhanden ist, wenn ein Benutzer eine App zum ersten Mal startet und sich mit einem Geschäfts-, Uni- oder Schulkonto anmeldet.

Wenn lokale Dienste nicht mit von Intune geschützten Apps funktionieren
Der Intune-App-Schutz hängt davon ab, dass die Identität des Benutzers in der App und im Intune SDK konsistent ist. Die einzige Möglichkeit, dies zu garantieren, ist eine moderne Authentifizierung. Es gibt Szenarien, in denen Apps möglicherweise mit einer lokalen Konfiguration funktionieren. Dies ist aber weder konsistent noch garantiert.

Eine sichere Möglichkeit zum Öffnen von Weblinks in verwalteten Apps
Ein IT-Administrator kann eine App-Schutzrichtlinie für Microsoft Edge bereitstellen und festlegen. Dieser Webbrowser kann problemlos mit Intune verwaltet werden. Der IT-Administrator kann erzwingen, dass alle Weblinks in über Intune verwalteten Apps mit einem verwalteten Browser geöffnet werden müssen.

App-Schutzfunktionen für iOS-Geräte

Erkennung von Fingerabdrücken oder Gesichtern auf dem Gerät

Die Richtlinien für den Intune-App-Schutz ermöglichen es Ihnen, den App-Zugriff nur auf Benutzer mit Intune-Lizenz zu beschränken. Eine der Möglichkeiten, den Zugriff auf die App zu steuern, besteht darin, Apple Touch ID oder Face ID auf unterstützten Geräten zu erfordern. Intune implementiert ein Verhalten, bei dem Intune den Benutzer bei Änderungen an der biometrischen Datenbank des Geräts zur PIN-Eingabe auffordert, wenn der nächste Wert des Inaktivitätstimeouts erfüllt ist. Zu Änderungen an biometrischen Daten zählen das Hinzufügen oder Entfernen von Fingerabdrücken oder Gesichtern. Wenn der Intune-Benutzer keine PIN festgelegt hat, wird er zu einem Fenster für die Einrichtung einer Intune-PIN weitergeleitet.

Zweck dieses Verfahrens ist es, die Daten Ihrer Organisation innerhalb der App und auf App-Ebene kontinuierlich zu schützen. Dieses Feature ist nur für iOS/iPadOS verfügbar und erfordert, dass das Intune SDK für iOS/iPadOS, Version 9.0.1 oder höher in betreffende Anwendungen integriert wird. Die Integration des SDK ist erforderlich, damit das Verhalten für die Zielanwendungen erzwungen werden kann. Diese Integration erfolgt kontinuierlich und ist abhängig von den jeweiligen Anwendungsteams. Zu den betreffenden Apps zählen z. B. WXP, Outlook, Managed Browser und Yammer.

iOS-Freigabeerweiterung

Mithilfe der iOS/iPadOS-Freigabeerweiterung können Geschäfts-, Schul- oder Unidaten in nicht verwalteten Apps geöffnet werden, auch wenn die Datenübertragungsrichtlinie auf Nur verwaltete Apps oder Keine Apps festgelegt ist. Die Intune-App-Schutzrichtlinie kann die iOS/iPadOS-Freigabeerweiterung nicht steuern, ohne das Gerät zu verwalten. Daher verschlüsselt Intune „unternehmenseigene“ Daten, bevor diese außerhalb der App freigegeben werden. Sie können dieses Verschlüsselungsverhalten überprüfen, indem Sie versuchen, eine „unternehmenseigene“ Datei außerhalb der verwalteten App zu öffnen. Die Datei sollte verschlüsselt sein und außerhalb der verwalteten App nicht geöffnet werden können.

Standardmäßig wird der Zugriff auf nicht autorisierte Anwendungsinhalte durch Intune-App-Schutz-Richtlinien verhindert. Für iOS/iPadOS gibt es Funktionen zum Öffnen bestimmter Inhalte oder Anwendungen mit universellen Links.

Benutzer können die universellen Links einer App deaktivieren, indem sie in Safari zu diesen Links navigieren und auf In neuer Registerkarte öffnen oder Öffnen klicken. Es ist wichtig, die universellen Links erneut zu aktivieren, um universelle Links mit Intune-App-Schutz-Richtlinien zu verwenden. Der Endbenutzer muss hierzu in Safari nach langem Tippen auf einen entsprechenden Link auf Open in <app name> (In öffnen) tippen. Dadurch wird jede zusätzliche geschützte App aufgefordert, alle universellen Links an die geschützte Anwendung auf dem Gerät weiterzuleiten.

Mehrere Zugriffseinstellungen des Intune-App-Schutzes für die gleiche Gruppe von Apps und Benutzern

Intune-App-Schutzrichtlinien für den Zugriff werden in einer bestimmten Reihenfolge auf Endbenutzergeräten angewendet, wenn die Benutzer versuchen, über ihr Unternehmenskonto auf eine App zuzugreifen. In der Regel hat ein Zurücksetzungsvorgang Vorrang vor einem Block. Verwerfbare Warnungen werden erst als letztes berücksichtigt. Im Anschluss an die Einstellung, die dem Benutzer den Zugriff verweigert, wird z. B. eine Einstellung der mindestens erforderlichen iOS/iPadOS-Version angewendet, die den Benutzer auffordert, ein Update des iOS/iPadOS-Betriebssystems auszuführen (wenn dies auf den Benutzer/die App zutrifft). In diesem Szenario konfiguriert der IT-Administrator die Einstellung für die mindestens erforderliche iOS-Version auf Version 11.0.0.0 und die mindestens erforderliche iOS-Version, die nur für Warnungen gilt, auf 11.1.0.0. Gleichzeitig versucht das Gerät, auf dem noch die iOS-Version 10 installiert ist, auf die App zuzugreifen. In Folge dessen wird der Endbenutzer basierend auf restriktiveren Einstellungen für die mindestens erforderliche iOS-Version blockiert und erhält keinen Zugriff.

Wenn verschiedene Arten von Einstellungen verarbeitet werden müssen, haben die Anforderungen hinsichtlich bestimmter Versionen des Intune SDK Vorrang. Erst danach werden Anforderungen berücksichtigt, die eine Version einer App oder eines iOS/iPadOS-Betriebssystems betreffen. Anschließend werden in derselben Reihenfolge mögliche Warnungen für sämtliche Einstellungstypen überprüft. Es wird empfohlen, die Anforderung, die die Intune SDK-Version betrifft, nur unter Anleitung des Intune-Produktteams für grundlegende Blockierungsszenarien zu konfigurieren.

App-Schutzfunktionen für Android-Geräte

Hinweis

App-Schutzrichtlinien werden auf in Intune verwalteten dedizierten Android Enterprise-Geräten nicht unterstützt. Wenn für Benutzer auf dedizierten Android Enterprise-Geräten App-Richtlinien für ein anderes Gerät gelten, ist es sinnvoll, die folgenden Schritte auszuführen:

  1. Stellen Sie sicher, dass die gewünschten Geräte nur von Intune verwaltete dedizierte Geräte sind. Die Sperrrichtlinie wird nicht wirksam, wenn das Gerät von einem anderen MDM-Anbieter verwaltet wird.

  2. Stellen Sie sicher, dass das Unternehmensportal auf dem dedizierten Gerät installiert ist. Dies ist erforderlich, damit die App-Sperrrichtlinie wirksam wird. In der Unternehmensportal-App auf dedizierten Geräten ist keine Interaktion des Endbenutzers erforderlich, um App-Funktionalität zu sperren, sodass keine Notwendigkeit besteht, die Unternehmensportal-App für Endbenutzer aufrufbar zu gestalten. Der Unternehmensportal muss lediglich auf dem Gerät installiert werden. Sie müssen es z. B. auf dem verwalteten Startbildschirm nicht auf die Positivliste setzen.

Beachten Sie, dass Benutzer, für die App-Richtlinien auf nicht dedizierten Geräten gelten, davon nicht betroffen sind.

Biometrische Geräteauthentifizierung

Für Android-Geräte, die die biometrische Authentifizierung unterstützen, können Sie Endbenutzern die Verwendung von Fingerabdruck oder Entsperrung per Gesichtserkennung gestatten, je nachdem, was ihr Android-Gerät unterstützt. Sie können konfigurieren, ob alle biometrischen Typen, die über den Fingerabdruck hinausgehen, zum Authentifizieren verwendet werden können. Beachten Sie, dass die Fingerabdruckauthentifizierung und die Entsperrung per Gesichtserkennung nur für Geräte verfügbar sind, die herstellerbedingt diese biometrischen Typen unterstützen und auf denen die richtige Android-Version ausgeführt wird. Für Fingerabdrücke ist Android 6 erforderlich, für die Entsperrung per Gesichtserkennung ist Android 10 oder höher erforderlich.

Unternehmensportal-App und Intune-App-Schutz

Ein Großteil der App-Schutzfunktionen ist in die Unternehmensportal-App integriert. Eine Registrierung der Geräte ist nicht erforderlich, allerdings wird immer die Unternehmensportal-App benötigt. Bei der Verwaltung mobiler Anwendungen ohne Registrierung (Mobile Application Management Without Enrollment, MAM-WE) muss lediglich die Unternehmensportal-App auf dem Gerät des Endbenutzers installiert sein.

Mehrere Zugriffseinstellungen des Intune-App-Schutzes für die gleiche Gruppe von Apps und Benutzern

Intune-App-Schutzrichtlinien für den Zugriff werden in einer bestimmten Reihenfolge auf Endbenutzergeräten angewendet, wenn die Benutzer versuchen, über ihr Unternehmenskonto auf eine App zuzugreifen. In der Regel haben Blöcke Vorrang vor verwerfbaren Warnungen. Es wird z. B. eine Einstellung der mindestens erforderlichen Android-Patch-Version, die den Benutzer auffordert, ein Patchupgrade auszuführen, im Anschluss an die Einstellung angewendet, die dem Benutzer den Zugriff verweigert (wenn dies auf den Benutzer/die App zutrifft). In diesem Szenario konfiguriert der IT-Administrator die Einstellung für die mindestens erforderliche Version des Android-Patch auf den 1.3.2018 und die für die mindestens erforderliche Version des Android-Patch, die nur für Warnungen gilt, auf den 1.2.2018. Gleichzeitig versucht das Gerät, das noch die Patch-Version vom 1.1.2018 verwendet, auf die App zuzugreifen. In Folge dessen wird der Endbenutzer basierend auf restriktiveren Einstellungen für die mindestens erforderliche Version des Android-Patch blockiert und erhält keinen Zugriff.

Wenn verschiedene Arten von Einstellungen verarbeitet werden müssen, haben die Anforderungen hinsichtlich bestimmter App-Versionen Vorrang. Erst danach werden Anforderungen berücksichtigt, die eine Version des Android-Betriebssystems und Android-Patch-Versionen betreffen. Anschließend werden in derselben Reihenfolge mögliche Warnungen für sämtliche Einstellungstypen überprüft.

Intune-App-Schutzrichtlinien und SafetyNet Attestation von Google für Android-Geräte

Administratoren können in Intune-App-Schutzrichtlinien festlegen, dass Endbenutzergeräte die Google-Funktion „SafetyNet Attestation“ für Android-Geräte erfolgreich durchlaufen müssen. Eine neue Google Play-Dienstbestimmung wird in einem von Intune festgelegten Intervall an den IT-Administrator gesendet. Die Anzahl der Dienstaufrufe wird in Abhängigkeit von der Last gedrosselt; dieser Wert wird also intern verwaltet und kann nicht konfiguriert werden. Jede Aktion für die Einstellung von SafetyNet Attestation von Google, die von einem IT-Administrator konfiguriert wurde, wird auf Grundlage des zuletzt an Intune gemeldeten Ergebnisses zum Zeitpunkt des bedingten Starts ausgeführt. Wenn keine Daten vorhanden sind, wird der Zugriff abhängig davon gewährt, dass keine anderen Überprüfungen für den bedingten Start fehlschlagen, und der „Roundtrip“ des Google Play-Diensts zur Bestimmung der Nachweisergebnisse im Back-End startet. Wenn es beim Gerät zu Problemen kommt, wird der Benutzer asynchron benachrichtigt. Wenn die Daten veraltet sind, wird der Zugriff auf Grundlage des zuletzt gemeldeten Ergebnisses blockiert oder gewährt, und ein „Roundtrip“ des Google Play-Diensts zur Bestimmung der Nachweisergebnisse startet. Wenn es beim Gerät zu Problemen kommt, wird der Benutzer asynchron benachrichtigt.

Intune-App-Schutzrichtlinien und die Verify Apps-API von Google für Android-Geräte

Administratoren können in Intune-App-Schutzrichtlinien festlegen, dass Endbenutzergeräte Signale über die Verify Apps-API von Google für Android-Geräte senden müssen. Die dafür erforderlichen Schritte unterscheiden sich leicht je nach Gerät. Grundsätzlich müssen Sie dafür den Google Play Store besuchen, dort auf My apps & games (Meine Apps und Spiele) klicken und dann auf das Ergebnis der letzten App-Überprüfung klicken. Dadurch gelangen Sie zum Play Protect-Menü. Sorgen Sie dafür, dass die Option Scan device for security threats (Gerät auf Sicherheitsbedrohungen überprüfen) aktiviert ist.

SafetyNet Attestation-API von Google

Für Intune werden die Google Play Protect SafetyNet-APIs verwendet, um die vorhandenen Überprüfungen auf Rootingerkennung für nicht registrierte Geräte zu ergänzen. Google hat diese APIs für Android-Apps entwickelt und verwaltet sie, wenn die Apps nicht auf gerooteten Geräten ausgeführt werden sollen. Sie kommen z. B. bei der Google Pay-App zum Einsatz. Google stellt zwar nicht alle Überprüfungen, die durchgeführt werden, um Rooting zu erkennen, öffentlich zur Verfügung; wir gehen jedoch davon aus, dass diese APIs Benutzer identifizieren können, die ihr Gerät gerootet haben. Diesen Benutzern kann der Zugriff dann verwehrt werden, oder ihre Unternehmenskonten können aus den Apps entfernt werden, für die Richtlinien aktiviert sind. Die Option Check basic integrity (Grundlegende Integrität überprüfen) informiert Sie über die allgemeine Integrität des Geräts. Für gerootete Geräte, Emulatoren, virtuelle Geräte und Geräte, die Anzeichen von Manipulationen aufweisen, schlägt die Überprüfung der grundlegenden Integrität fehl. Die Option Check basic integrity & certified devices (Grundlegende Integrität und zertifizierte Geräte überprüfen) informiert Sie über die Kompatibilität des Geräts mit Google-Diensten. Nur unveränderte Geräte, die von Google zertifiziert wurden, bestehen diese Überprüfung. Die folgenden Geräte bestehen die Überprüfung nicht:

  • Geräte, für die die Überprüfung der Basisintegrität fehlschlägt
  • Geräte mit entsperrtem Bootloader
  • Geräte mit einem benutzerdefinierten Systemimage/ROM
  • Geräte, für die der Hersteller entweder keine Google-Zertifizierung beantragt hat, oder für die diese nicht bestanden wurde
  • Geräte mit einem Systemimage, das direkt aus den Quelldateien des Open Source-Programms für Android erstellt wurde
  • Geräte mit einem Systemimage, das sich noch in der Betaversion oder in der Entwicklervorschau befindet

Technische Details finden Sie in der Dokumentation von Google zu „SafetyNet Attestation“.

Einstellung für den SafetyNet-Gerätenachweis und die Einstellung „Geräte mit Jailbreak/entfernten Nutzungsbeschränkungen“

Die Überprüfungen im Rahmen der SafetyNet-API von Google Play Protect erfordern, dass der Endbenutzer online ist, zumindest während der Zeit, in der der „Roundtrip“ zur Bestimmung von Nachweisergebnissen ausgeführt wird. Wenn der Endbenutzer offline ist, kann der IT-Administrator immer noch davon ausgehen, dass ein Ergebnis der Einstellung Geräte mit Jailbreak/entfernten Nutzungsbeschränkungen erzwungen wird. Hierbei kommt der Wert Offlinetoleranzperiode ins Spiel, wenn der Endbenutzer zu lange offline war: Sobald dieser Wert erreicht ist, wird der Zugriff auf Geschäfts-, Schul- und Unidaten solange blockiert, bis wieder Netzwerkzugriff besteht. Durch Aktivieren beider Einstellungen können Sie die Integrität von Endbenutzergeräten auf mehreren Ebenen gewährleisten – ein wichtiger Aspekt, wenn Endbenutzer über Mobilgeräte auf Geschäfts-, Schul- und Unidaten zugreifen.

Google Play Protect-APIs und Google Play Services

Die App-Schutzrichtlinieneinstellungen, die Google Play Protect-APIs verwenden, erfordern funktionierende Google Play Services. Sowohl für SafetyNet-Gerätenachweis als auch für Bedrohungsüberprüfung für Apps muss die von Google bestimmte Version von Google Play Services ordnungsgemäß funktionieren. Da diese Einstellungen in den Sicherheitsbereich fallen, werden die Endbenutzer blockiert, für die diese Einstellungen gelten, wenn diese nicht die entsprechende Version von Google Play Services verwenden oder keinen Zugriff auf Google Play Services haben.

Nächste Schritte

Erstellen und Bereitstellen von App-Schutzrichtlinien mit Microsoft Intune

Verfügbare Einstellungen für Schutzrichtlinien für Android-Apps mit Microsoft Intune

Einstellungen für App-Schutzrichtlinien für iOS