Einstellungen für App-Schutzrichtlinien in Microsoft IntuneAndroid app protection policy settings in Microsoft Intune

In diesem Artikel werden die Einstellungen für App-Schutzrichtlinien für Android-Geräte beschrieben.This article describes the app protection policy settings for Android devices. Die beschriebenen Richtlinieneinstellungen können im Azure-Portal im Bereich Einstellungen für eine App-Schutzrichtlinie konfiguriert werden.The policy settings that are described can be configured for an app protection policy on the Settings pane in the Azure portal. Es gibt drei Kategorien von Richtlinieneinstellungen: Datenschutzeinstellungen, Zugriffsanforderungen und bedingter Start.There are three categories of policy settings: data protection settings, access requirements, and conditional launch. In diesem Artikel bezieht sich der Begriff richtlinienverwaltete Apps auf Apps, die mit App-Schutzrichtlinien konfiguriert sind.In this article, the term policy-managed apps refers to apps that are configured with app protection policies.

Wichtig

Das Intune-Unternehmensportal ist auf dem Gerät erforderlich, um App-Schutzrichtlinien für Android-Geräte zu erhalten.The Intune Company Portal is required on the device to receive App Protection Policies for Android devices. Weitere Informationen finden Sie unter Zugriffsanforderungen für Apps im Intune-Unternehmensportal.For more information, see the Intune Company Portal access apps requirements.

Der Intune Managed Browser wurde eingestellt.The Intune Managed Browser has been retired. Verwenden Sie Microsoft Edge für Ihre geschützte Intune-Browserumgebung.Use Microsoft Edge for your protected Intune browser experience.

DatenschutzData protection

DatenübertragungData Transfer

EinstellungSetting VerwendungHow to use StandardwertDefault value
Organisationsdaten in Android-Sicherungsdiensten sichernBackup org data to Android backup services Wählen Sie Block (Blockieren) aus, um zu verhindern, dass diese App Geschäfts-, Schul- oder Unidaten im Android-Sicherungsdienst sichert.Select Block to prevent this app from backing up work or school data to the Android Backup Service.

Wählen Sie Allow (Zulassen) aus, um dieser App zu erlauben, Geschäfts-, Schul- oder Unidaten zu sichern.Select Allow to allow this app to back up work or school data.
ZulassenAllow
Organisationsdaten an andere Apps sendenSend org data to other apps Geben Sie an, welche Apps Daten von dieser App empfangen können:Specify what apps can receive data from this app:
  • Richtlinienverwaltete Apps: Hiermit werden Datenübertragungen nur an andere richtlinienverwaltete Apps zugelassen.Policy managed apps: Allow transfer only to other policy-managed apps.
  • Alle Apps: Hiermit werden Datenübertragungen an alle Apps zugelassen.All apps: Allow transfer to any app.
  • Keine: Hiermit werden keine Datenübertragungen an Apps zugelassen, auch nicht an andere richtlinienverwaltete Apps.None: Do not allow data transfer to any app, including other policy-managed apps.

Es gibt einige ausgenommene Apps und Dienste, für die Intune möglicherweise die Datenübertragung zulässt.There are some exempt apps and services to which Intune may allow data transfer by default. Darüber hinaus können Sie Ihre eigenen Ausnahmen erstellen, wenn Sie zulassen müssen, dass Daten an eine App übertragen werden, welche die Intune-App nicht unterstützt.In addition, you can create your own exemptions if you need to allow data to transfer to an app that doesn't support Intune APP. Weitere Informationen finden Sie im Artikel mit den Datenübertragungsausnahmen.For more information, see Data transfer exemptions.

Diese Richtlinie gilt möglichweise auch für Android-App-Links.This policy may also apply to Android App Links. Allgemeine Weblinks werden von der Richtlinieneinstellung App-Links in Intune Managed Browser öffnen verwaltet.General web links are managed by the Open app links in Intune Managed Browser policy setting.

HinweisNote

Intune unterstützt das Android Instant Apps-Feature derzeit nicht.Intune doesn't currently support the Android Instant Apps feature. Intune blockiert jegliche Datenbankverbindungen mit der App.Intune will block any data connection to or from the app. Weitere Informationen finden Sie in der Dokumententation für Android-Entwickler unter Android Instant Apps.For more information, see Android Instant Apps in the Android Developer documentation.

Wenn Organisationsdaten an andere Apps senden als Alle Apps konfiguriert ist, können Textdaten weiterhin per Betriebssystemfreigabe in die Zwischenablage übertragen werden.If Send org data to other apps is configured to All apps, text data may still be transferred via OS sharing to the clipboard.

All appsAll apps
    Wählen Sie die Apps aus, die ausgenommen werden sollenSelect apps to exempt
Diese Option ist dann verfügbar, wenn Sie die vorherige Option auf Richtlinienverwaltete Apps festgelegt haben.This option is available when you select Policy managed apps for the previous option.
    Kopien von Organisationsdaten speichernSave copies of org data
Klicken Sie auf Block (Blockieren), um die Verwendung der Option „Speichern unter“ in dieser App zu deaktivieren.Choose Block to disable the use of the Save As option in this app. Klicken Sie auf Allow (Zulassen), wenn die Verwendung von Speichern unter zulässig sein soll.Choose Allow if you want to allow the use of Save As. Wenn für diese Einstellung Block (Blockieren) festgelegt ist, können Sie die Einstellung Benutzer das Speichern von Kopien in den ausgewählten Diensten ermöglichen konfigurieren.When set to Block, you can configure the setting Allow user to save copies to selected services.

Hinweis:Note:
  • Diese Einstellung wird für Microsoft Excel, OneNote, PowerPoint und Word unterstützt. Sie wird möglicherweise auch von Drittanbietern und LOB-Apps unterstützt.This setting is supported for Microsoft Excel, OneNote, PowerPoint, and Word. It may also be supported by third-party and LOB apps.
  • Diese Einstellung kann nur konfiguriert werden, wenn die Einstellung Organisationsdaten an andere Apps senden auf Richtlinienverwaltete Apps festgelegt ist.This setting is only configurable when the setting Send org data to other apps is set to Policy managed apps.
  • Für diese Einstellung ist „Zulassen“ festgelegt, wenn die Einstellung Organisationsdaten an andere Apps senden auf Alle Apps festgelegt ist.This setting will be "Allow" when the setting Send org data to other apps is set to All apps.
  • Für diese Einstellung ist „Blockieren“ ohne zulässige Dienstidentifizierungen festgelegt, wenn die Einstellung Organisationsdaten an andere Apps senden auf Keine festgelegt ist.This setting will be "Block" with no allowed service locations when the setting Send org data to other apps is set to None.
ZulassenAllow
      Benutzer das Speichern von Kopien in den ausgewählten Diensten ermöglichenAllow user to save copies to selected services
Benutzer können Speichervorgänge in den ausgewählten Diensten (OneDrive for Business, SharePoint und lokaler Speicher) durchführen.Users can save to the selected services (OneDrive for Business, SharePoint, and Local Storage). Alle anderen Dienste werden blockiert.All other services will be blocked. 0 ausgewählt0 selected
    Transfer telecommunication data to (Telekommunikationsdaten übertragen an)Transfer telecommunications data to
Wenn ein Benutzer in einer App eine Telefonnummer mit Hyperlink auswählt, wird in der Regel eine Telefon-App mit der vorab eingestellten und verwendbaren Telefonnummer geöffnet.Typically, when a user selects a hyperlinked phone number in an app, a dialer app will open with the phone number prepopulated and ready to call. Bei dieser Einstellung können Sie festlegen, wie Inhalte dieser Art übertragen werden sollen, wenn die Übertragung von einer durch Richtlinien verwalteten App initiiert wird.For this setting, choose how to handle this type of content transfer when it is initiated from a policy-managed app:
  • None, do not transfer this data between apps (Keine, diese Daten nicht zwischen Apps übertragen): Hier werden keine Kommunikationsdaten übertragen, wenn eine Telefonnummer erkannt wird.None, do not transfer this data between apps: Do not transfer communication data when a phone number is detected.
  • A specific dialer app (Eine bestimmte Telefon-App): Hiermit gestatten Sie einer bestimmten Telefon-App das Initiieren von Kontakten, wenn eine Telefonnummer erkannt wird.A specific dialer app: Allow a specific dialer app to initiate contact when a phone number is detected.
  • Any policy-managed dialer app (Beliebige durch Richtlinien verwaltete Telefon-App): Hiermit gestatten Sie die Verwendung einer beliebigen durch Richtlinien verwalteten Telefon-App zum Initiieren von Kontakten, wenn eine Telefonnummer erkannt wird.Any policy-managed dialer app: Allow any policy managed dialer app to initiate contact when a phone number is detected.
  • Any dialer app (Beliebige Telefon-App): Hiermit gestatten Sie die Verwendung einer beliebigen Telefon-App zum Initiieren von Kontakten, wenn eine Telefonnummer erkannt wird.Any dialer app: Allow any dialer app to be used to initiate contact when a phone number is detected.
Any dialer app (Beliebige Telefon-App)Any dialer app
      Dialer App Package ID (Paket-ID der Telefon-App)Dialer App Package ID
Wenn eine bestimmte Telefon-App ausgewählt wurde, müssen Sie die entsprechende App-Paket-ID angeben.When a specific dialer app has been selected, you must provide the app package ID. LeerBlank
      Dialer App Name (Name der Telefon-App)Dialer App Name
Wenn eine bestimmte Telefon-App ausgewählt wurde, müssen Sie den Namen dieser App angeben.When a specific dialer app has been selected, you must provide the name of the dialer app. LeerBlank
Daten von anderen Apps empfangenReceive data from other apps Geben Sie an, welche Apps Daten an diese App übertragen können:Specify what apps can transfer data to this app:
  • Richtlinienverwaltete Apps: Hiermit werden Datenübertragungen nur aus anderen richtlinienverwalteten Apps zugelassen.Policy managed apps: Allow transfer only from other policy-managed apps.
  • Alle Apps: Hiermit werden Datenübertragungen aus allen Apps zugelassen.All apps: Allow data transfer from any app.
  • Keine: Hiermit werden keine Datenübertragungen aus Apps zugelassen, auch nicht aus anderen richtlinienverwalteten Apps.None: Do not allow data transfer from any app, including other policy-managed apps.

Es gibt einige ausgenommene Apps und Dienste, von denen Intune möglicherweise die Datenübertragung zulässt.There are some exempt apps and services from which Intune may allow data transfer. Unter Data transfer exemptions (Ausnahmen bei der Datenübertragung) finden Sie eine vollständige Liste der Apps und Dienste.See Data transfer exemptions for a full list of apps and services.

All appsAll apps
    Daten in Organisationsdokumenten öffnenOpen data into Org documents
Wählen Sie Blockieren aus, um die Verwendung der Option Öffnen oder anderer Optionen zum Teilen von Daten zwischen Konten in dieser App zu deaktivieren.Select Block to disable the use of the Open option or other options to share data between accounts in this app. Klicken Sie auf Zulassen, wenn die Verwendung von Öffnen zulässig sein soll.Select Allow if you want to allow the use of Open.

Wenn diese Option auf Blockieren festgelegt ist, können Sie die Einstellung Benutzern das Öffnen von Daten über ausgewählte Dienste erlauben konfigurieren, um anzugeben, welche Dienste für Speicherorte von Organisationsdaten zulässig sind.When set to Block you can configure the Allow user to open data from selected services to specific which services are allowed for Org data locations.

Hinweis:Note:
  • Diese Einstellung wird nur erzwungen, wenn die Einstellung Daten von anderen Apps empfangen auf Per Richtlinie verwaltete Apps festgelegt ist.This setting is only enforced if the setting Receive data from other apps is set to Policy managed apps.
  • Diese Einstellung wird von den folgenden Apps unterstützt:The following apps support this setting:
    • OneDrive 6.14.1 oder höher.OneDrive 6.14.1 or later.
    • Outlook für Android 4.2039.2 oder höher.Outlook for Android 4.2039.2 or later.
..


ZulassenAllow
      Benutzern das Öffnen von Daten aus ausgewählten Diensten gestattenAllow users to open data from selected services
Wählen Sie Anwendungsspeicherdienste aus, aus denen Benutzer Daten öffnen können.Select the application storage services that users can open data from. Alle anderen Dienste werden blockiert.All other services are blocked. Wenn Sie keine Dienste auswählen, werden Benutzer am Öffnen von Daten gehindert.Selecting no services will prevent users from opening data.

Unterstützte Dienste:Supported services:
  • OneDrive for BusinessOneDrive for Business
  • SharePoint OnlineSharePoint Online
  • KameraCamera
Alle ausgewähltenAll selected
Ausschneiden, Kopieren und Einfügen zwischen Apps einschränkenRestrict cut, copy and paste between other apps Geben Sie an, wann Ausschneide-, Kopier- und Einfügeaktionen in dieser App erlaubt sind.Specify when cut, copy, and paste actions can be used with this app. Es stehen die folgenden Optionen zur Auswahl:Choose from:
  • Blockiert: Hiermit werden keine Ausschneide-, Kopier- und Einfügeaktionen zwischen dieser App und anderen Apps zugelassen.Blocked: Do not allow cut, copy, and paste actions between this app and any other app.
  • Richtlinienverwaltete Apps: Hiermit werden Ausschneide-, Kopier- und Einfügeaktionen zwischen dieser App und anderen richtlinienverwalteten Apps zugelassen.Policy managed apps: Allow cut, copy, and paste actions between this app and other policy-managed apps.
  • Richtlinienverwaltete Apps mit Einfügen: Hiermit werden Ausschneide- oder Kopieraktionen zwischen dieser App und anderen richtlinienverwalteten Apps zugelassen.Policy managed with paste in: Allow cut or copy between this app and other policy-managed apps. Einfügen von Daten aus beliebigen Apps in diese App zulassen.Allow data from any app to be pasted into this app.
  • Alle Apps: Keine Einschränkungen für Ausschneide-, Kopier- und Einfügeaktionen in und aus dieser App.Any app: No restrictions for cut, copy, and paste to and from this app.
Any appAny app
    Zeichenlimit für Ausschneiden und Kopieren für alle AppsCut and copy character limit for any app
Anzahl der Zeichen festlegen, die aus Unternehmensdaten und -konten ausgeschnitten oder kopiert werden können.Specify the number of characters that may be cut or copied from org data and accounts. Damit kann die festgelegte Zeichenanzahl unabhängig von der Einstellung „Ausschneiden, Kopieren und Einfügen mit anderen Apps einschränken“ mit einer beliebigen Anwendung geteilt werden.This will allow sharing of the specified number of characters when it would be otherwise blocked by the "Restrict cut, copy, and paste with other apps" setting.

Standardwert = 0Default Value = 0

Hinweis: Erfordert mindestens die Intune-Unternehmensportalversion 5.0.4364.0.Note: Requires Intune Company Portal version 5.0.4364.0 or later.

00
Screen capture and Google Assistant (Bildschirmaufnahme und Google Assistant)Screen capture and Google Assistant Wählen Sie Blockieren aus, um Bildschirmaufnahmen und die Google Assistant-Funktionen des Geräts zu blockieren, wenn diese App verwendet wird.Select Block to block screen capture and the Google Assistant capabilities of the device when using this app. Bei der Auswahl von Zulassen wird auch das Vorschaubild für den App-Schnellzugriff unscharf, wenn diese App mit einem Geschäfts-, Schul- oder Unikonto verwendet wird.Choosing Allow will also blur the App-switcher preview image when using this app with a work or school account. BlockierenBlock
Genehmigte TastaturenApproved keyboards Wählen Sie Erforderlich aus, und geben Sie dann eine Liste der genehmigten Tastaturen für diese Richtlinie an.Select Require and then specify a list of approved keyboards for this policy.

Benutzer, die keine genehmigte Tastatur verwenden, werden aufgefordert, eine genehmigte Tastatur herunterzuladen und zu installieren, bevor sie die geschützte App verwenden können.Users who aren't using an approved keyboard receive a prompt to download and install an approved keyboard before they can use the protected app. Für diese Einstellung benötigt die App das Intune SDK for Android, Version 6.2.0 oder höher.This setting requires the app to have the Intune SDK for Android version 6.2.0 or later.

Not requiredNot required
    Zu genehmigende Tastaturen auswählenSelect keyboards to approve
Diese Option ist verfügbar, wenn Sie für die vorhergehende Option Erforderlich ausgewählt haben.This option is available when you select Require for the previous option. Wählen Sie Auswählen aus, um die Liste der Tastaturen und Eingabemethoden zu verwalten, die mit den von dieser Richtlinie geschützten Apps verwendet werden können.Choose Select to manage the list of keyboards and input methods that can be used with apps protected by this policy. Sie können der Liste zusätzliche Tastaturen hinzufügen und jede der Standardoptionen entfernen.You can add additional keyboards to the list, and remove any of the default options. Sie müssen wenigstens eine genehmigte Tastatur angeben, um die Einstellung zu speichern.You must have at least one approved keyboard to save the setting. Im Laufe der Zeit fügt Microsoft möglicherweise der Liste neuer App-Schutzrichtlinien weitere Tastaturen hinzu. Administratoren müssen dann vorhandene Richtlinien überprüfen und bei Bedarf aktualisieren.Over time, Microsoft may add additional keyboards to the list for new App Protection Policies, which will require administrators to review and update existing policies as needed.

Um eine Tastatur hinzuzufügen, geben Sie Folgendes an:To add a keyboard, specify:

  • Name: Ein Anzeigename zur Bezeichnung der Tastatur, der für die Benutzer sichtbar ist.Name: A friendly name that that identifies the keyboard, and is visible to the user.
  • Paket-ID: Die Paket-ID der App im Google Play Store.Package ID: The Package ID of the app in the Google Play store. Wenn die URL für die App im Play-Store beispielsweise https://play.google.com/store/details?id=com.contoskeyboard.android.prod ist, lautet die Paket-ID com.contosokeyboard.android.prod.For example, if the URL for the app in the Play store is https://play.google.com/store/details?id=com.contoskeyboard.android.prod, then the Package ID is com.contosokeyboard.android.prod. Diese Paket-ID wird dem Benutzer als einfacher Link zum Herunterladen der Tastatur von Google Play angezeigt.This package ID is presented to the user as a simple link to download the keyboard from Google Play.

Hinweis: Ein Benutzer, dem mehrere App-Schutzrichtlinien zugewiesen sind, kann nur die genehmigten Tastaturen verwenden, die allen Richtlinien gemein sind.Note: A user assigned multiple App Protection Policies will be allowed to use only the approved keyboards common to all policies.

VerschlüsselungEncryption

EinstellungSetting VerwendungHow to use StandardwertDefault value
Organisationsdaten verschlüsselnEncrypt org data Wählen Sie Require (Erforderlich) aus, um die Verschlüsselung von Geschäfts-, Schul- oder Unidaten in dieser App zu aktivieren.Choose Require to enable encryption of work or school data in this app. Intune verwendet ein OpenSSL-AES-Verschlüsselungsschema mit 256 Bit sowie das Android Keystore-System, um App-Daten sicher zu verschlüsseln.Intune uses an OpenSSL, 256-bit AES encryption scheme along with the Android Keystore system to securely encrypt app data. Daten werden während der Datei-E/A-Tasks synchron verschlüsselt.Data is encrypted synchronously during file I/O tasks. Inhalt im Speicher des Geräts wird immer verschlüsselt.Content on the device storage is always encrypted. Neue Dateien werden mit 256-Bit-Schlüsseln verschlüsselt.New files will be encrypted with 256-bit keys. Bei vorhandenen, mit 128 Bit verschlüsselten Dateien wird eine Migration zu 256-Bit-Schlüsseln versucht, ein Erfolg des Prozesses ist jedoch nicht garantiert.Existing 128-bit encrypted files will undergo a migration attempt to 256-bit keys, but the process is not guaranteed. Mit 128-Bit-Schlüsseln verschlüsselte Dateien bleiben lesbar.Files encrypted with 128-bit keys will remain readable.

Die Verschlüsselungsmethode ist nach FIPS 140-2 validiert. Weitere Informationen finden Sie unter Leitfaden für OpenSSL-Bibliothek und Android.The encryption method is FIPS 140-2 validated; for more information, see OpenSSL FIPS Library and Android Guide.
RequireRequire
    Organisationsdaten auf registrierten Geräten verschlüsselnEncrypt org data on enrolled devices
Wählen Sie Erforderlich aus, um auf allen Geräten die Verschlüsselung von Organisationsdaten mit der Intune-Verschlüsselung auf App-Ebene zu erzwingen.Select Require to enforce encrypting org data with Intune app layer encryption on all devices. Wählen Sie Nicht erforderlich aus, um auf registrierten Geräten die Verschlüsselung von Organisationsdaten mit der Intune-Verschlüsselung auf App-Ebene nicht zu erzwingen.Select Not required to not enforce encrypting org data with Intune app layer encryption on enrolled devices. RequireRequire

FunktionalitätFunctionality

EinstellungSetting VerwendungHow to use StandardwertDefault value
Per Richtlinie verwaltete App-Daten mit nativen Apps synchronisierenSync policy managed app data with native apps Wählen Sie Blockieren aus, um zu verhindern, dass richtlinienverwaltete Apps Daten in den nativen Apps „Kontakte“ und „Kalender“ auf dem Gerät speichern.Choose Block to prevent the policy managed apps from saving data to the native Contacts and Calendar apps on the device. Wenn Sie Zulassen auswählen, kann die App Daten in den nativen Kontakten und Kalender-Apps auf dem Gerät speichern, wenn diese Features in der richtlinienverwalteten App aktiviert sind.If you choose Allow, the app can save data to the native Contacts and Calendar apps on the device, when those features are enabled within the policy managed app.

Bei Ausführung eines selektiven Zurücksetzens zum Entfernen von Geschäfts-, Schul- oder Unidaten aus der App werden Kontakt- und Kalenderdaten entfernt, die direkt aus der App in die nativen Apps „Kontakte“ und „Kalender“ synchronisiert wurden.When you perform a selective wipe to remove work, or school data from the app, contacts and calendar data synced directly from the app to the native Contacts and Calendar apps are removed. Alle Kontakte oder Kalenderdaten, die von den nativen Apps „Kontakte“ oder „Kalender“ mit einer anderen externen Quelle synchronisiert werden, können nicht zurückgesetzt werden.Any contacts or calendar data synced from the native Contacts or Calendar apps to another external source can't be wiped. Zurzeit gilt dies nur für Outlook für iOS und die Android-App. Weitere Informationen finden Sie unter Konfigurationseinstellungen zum Bereitstellen von Outlook für iOS und die Android-App.Currently, this applies only to Outlook for iOS and Android app; for more information, see Deploying Outlook for iOS and Android app configuration settings.
ZulassenAllow
Organisationsdaten druckenPrinting Org data Wählen Sie Blockieren aus, um zu verhindern, dass die App Geschäfts-, Schul- oder Unidaten druckt.Choose Block to prevent the app from printing work or school data. Wenn Sie für diese Einstellung den Standardwert Zulassen übernehmen, können die Benutzer alle Organisationsdaten exportieren und drucken.If you leave this setting to Allow, the default value, users will be able to export and print all Org data. ZulassenAllow
Übertragung von Webinhalten mit anderen Apps einschränkenRestrict web content transfer with other apps Legen Sie fest, wie Webinhalt (HTTP-/HTTPS-Links) über mit Richtlinien verwaltete Anwendungen geöffnet werden.Specify how web content (http/https links) are opened from policy-managed applications. Es stehen die folgenden Optionen zur Auswahl:Choose from:
  • Alle Apps: Lässt Weblinks in jeder App zu.Any app: Allow web links in any app.
  • Intune Managed Browser: Lässt das Öffnen von Webinhalten nur im von Intune verwalteten Browser (Intune Managed Browser) zu.Intune Managed Browser: Allow web content to open only in the Intune Managed Browser. Dieser Browser ist ein durch Richtlinien verwalteter Browser.This browser is a policy-managed browser.
  • Microsoft Edge: Lässt das Öffnen von Webinhalten nur in Microsoft Edge zu.Microsoft Edge: Allow web content to open only in the Microsoft Edge. Dieser Browser ist ein durch Richtlinien verwalteter Browser.This browser is a policy-managed browser.
  • Nicht verwalteter Browser: Hiermit können Webinhalte nur in dem nicht verwalteten Browser geöffnet werden, der in der Einstellung Protokoll von nicht verwaltetem Browser definiert wurde.Unmanaged browser: Allow web content to open only in the unmanaged browser defined by Unmanaged browser protocol setting. Der Webinhalt wird im Zielbrowser nicht verwaltet.The web content will be unmanaged in the target browser.
    Hinweis: Erfordert mindestens die Version 5.0.4415.0 des Intune-Unternehmensportals.Note: Requires Intune Company Portal version 5.0.4415.0 or later.


  • Mit Richtlinien verwaltete BrowserPolicy-managed browsers
    Unter Android können Endbenutzer andere mit Richtlinien verwaltete Apps auswählen, die HTTP/HTTPS-Links unterstützen, wenn weder Intune Managed Browser noch Microsoft Edge installiert sind.On Android, your end users can choose from other policy-managed apps that support http/https links if neither Intune Managed Browser nor Microsoft Edge are installed.

    Wenn zwar ein mit Richtlinien verwalteter Browser erforderlich ist, dieser aber nicht installiert ist, werden Ihre Endbenutzer aufgefordert, Microsoft Edge zu installieren.If a policy-managed browser is required but not installed, your end users will be prompted to install the Microsoft Edge.

    Wenn ein mit Richtlinien verwalteter Browser erforderlich ist, werden Android-App-Links über die Richtlinieneinstellung Allow app to transfer data to other apps (Datenübertragung von einer App an eine andere zulassen) verwaltet.If a policy-managed browser is required, Android App Links are managed by the Allow app to transfer data to other apps policy setting.

    Registrieren von Intune-GerätenIntune device enrollment
    Wenn Sie Intune zum Verwalten Ihrer Geräte verwenden, lesen Sie Verwalten des Internetzugriffs mittels Richtlinien für Managed Browser mit Microsoft Intune.If you are using Intune to manage your devices, see Manage Internet access using managed browser policies with Microsoft Intune.

    Microsoft Edge: mit Richtlinien verwaltetPolicy-managed Microsoft Edge
    Microsoft Edge für mobile Geräte (iOS/iPadOS und Android) unterstützt Intune-App-Schutzrichtlinien.The Microsoft Edge browser for mobile devices (iOS/iPadOS and Android) supports Intune app protection policies. Benutzer, die sich mit ihren Azure AD-Unternehmenskonten bei der Microsoft Edge-App anmelden, werden von Intune geschützt.Users who sign in with their corporate Azure AD accounts in the Microsoft Edge browser application will be protected by Intune. Der Microsoft Edge-Browser integriert das APP SDK und unterstützt alle zugehörigen Datenschutzrichtlinien. Folgendes wird jedoch verhindert:The Microsoft Edge browser integrates the APP SDK and supports all of its data protection policies, with the exception of preventing:

    • Speichern unter: Der Microsoft Edge-Browser erlaubt Benutzern nicht, in einer App direkte Verbindungen mit Cloudspeicheranbietern (z. B. OneDrive) herzustellen.Save-as: The Microsoft Edge browser does not allow a user to add direct, in-app connections to cloud storage providers (such as OneDrive).
    • Kontaktsynchronisierung: Der Microsoft Edge-Browser speichert keine Daten in nativen Kontaktlisten.Contact sync: The Microsoft Edge browser does not save to native contact lists.
    Hinweis: Das App SDK kann nicht bestimmen, ob es sich bei der Ziel-App um einen Browser handelt. Auf Android-Geräten können andere verwaltete Browser-Apps verwendet werden, die HTTP-/HTTPS-Links unterstützen.Note: The APP SDK cannot determine if a target app is a browser. On Android devices, other managed browser apps that support the http/https intent are allowed.
Nicht konfiguriertNot configured
    ID von nicht verwaltetem BrowserUnmanaged Browser ID
Geben Sie die Anwendungs-ID für einen einzelnen Browser ein.Enter the application ID for a single browser. Webinhalte (HTTP/HTTPS-Links) aus Richtlinien unterliegenden Anwendungen werden im angegebenen Browser geöffnet.Web content (http/https links) from policy managed applications will open in the specified browser. Der Webinhalt wird im Zielbrowser nicht verwaltet.The web content will be unmanaged in the target browser. LeerBlank
    Name von nicht verwaltetem BrowserUnmanaged Browser Name
Geben Sie den Anwendungsnamen des Browsers ein, der ID von nicht verwaltetem Browser zugeordnet ist.Enter the application name for browser associated with the Unmanaged Browser ID. Dieser Name wird Benutzern angezeigt, wenn der angegebene Browser nicht installiert ist.This name will be displayed to users if the specified browser is not installed. LeerBlank
Benachrichtigungen zu OrganisationsdatenOrg data notifications Geben Sie an, wie viele Organisationsdaten über Benachrichtigungen des Betriebssystems für Organisationskonten freigegeben werden.Specify how much org data is shared via OS notifications for org accounts. Diese Richtlinieneinstellung wirkt sich auf das lokale Gerät und alle verbundenen Geräte, wie Wearables und intelligente Lautsprecher, aus.This policy setting will impact the local device and any connected devices such as wearables and smart speakers. In Apps werden möglicherweise zusätzliche Steuerelemente zum Anpassen des Benachrichtigungsverhaltens bereitgestellt, oder es werden nicht alle Werte berücksichtigt.Apps may provide additional controls to customize notification behavior or may choose to not honor all values. Wählen Sie aus unter:Select from:
  • Blockieren: Benachrichtigungen werden nicht freigegeben.Block: Do not share notifications.
    • Wenn dies von der App nicht unterstützt wird, sind Benachrichtigungen zulässig.If not supported by the application, notifications will be allowed.
  • Organisationsdaten blockieren: Organisationsdaten nicht in Benachrichtigungen freigeben.Block org data: Do not share org data in notifications. Beispiele: „Sie haben eine neue E-Mail“, „Sie haben ein Meeting“For example, "You have new mail"; "You have a meeting".
    • Wenn dies von der App nicht unterstützt wird, werden Benachrichtigungen blockiert.If not supported by the application, notifications will be blocked.
  • Zulassen: Organisationsdaten in Benachrichtigungen freigeben.Allow: Shares org data in the notifications

Hinweis: Diese Einstellung muss von der App unterstützt werden:

  • Outlook für Android 4.0.95 oder höher
  • Teams für Android 1416/1.0.0.2020092202 oder höher.Note: This setting requires app support:
    • Outlook for Android 4.0.95 or later
    • Teams for Android 1416/1.0.0.2020092202 or later.
ZulassenAllow

DatenübertragungsausnahmenData transfer exemptions

Die App-Schutzrichtlinien von Intune erlauben die Datenübertragung zu und von einigen ausgenommenen Apps und Plattformdiensten.There are some exempt apps and platform services that Intune app protection policies allow data transfer to and from. Beispielsweise müssen alle über Intune verwaltete Apps unter Android in der Lage sein, Daten zu und vom Google-Programm für die Sprachwiedergabe von Text zu übertragen, sodass Text vom Bildschirm Ihres mobilen Geräts laut vorgelesen werden kann.For example, all Intune-managed apps on Android must be able to transfer data to and from the Google Text-to-speech, so that text from your mobile device screen can be read aloud. Diese Liste unterliegt Änderungen und gibt die Dienste und Apps wieder, die als nützlich für die sichere Produktivität gelten.This list is subject to change and reflects the services and apps considered useful for secure productivity.

Vollständige AusnahmenFull exemptions

Diese Apps und Dienste sind für die Datenübertragung zu und von verwalteten Apps durch Intune vollständig zugelassen.These apps and services are fully allowed for data transfer to and from Intune-managed apps.

Name der App / des DienstsApp/service name BeschreibungDescription
com.android.phonecom.android.phone Native Phone-AppNative phone app
com.android.vendingcom.android.vending Google Play StoreGoogle Play Store
com.android.documentsuicom.android.documentsui Android-DokumentauswahlAndroid Document Picker
com.google.android.webviewcom.google.android.webview WebView: erforderlich für viele Apps, einschließlich OutlookWebView, which is necessary for many apps including Outlook.
com.android.webviewcom.android.webview WebView: erforderlich für viele Apps, einschließlich OutlookWebview, which is necessary for many apps including Outlook.
com.google.android.ttscom.google.android.tts Google-Text-zu-SpracheGoogle Text-to-speech
com.android.providers.settingscom.android.providers.settings Android-SystemeinstellungenAndroid system settings
com.android.settingscom.android.settings Android-SystemeinstellungenAndroid system settings
com.azure.authenticatorcom.azure.authenticator Azure-Authentifikator-App, die in vielen Szenarios für die erfolgreiche Authentifizierung erforderlich istAzure Authenticator app, which is required for successful authentication in many scenarios.
com.microsoft.windowsintune.companyportalcom.microsoft.windowsintune.companyportal Intune UnternehmensportalIntune Company Portal

Bedingte AusnahmenConditional exemptions

Diese Apps und Dienste sind für die Datenübertragung zu und von verwalteten Apps durch Intune unter bestimmten Bedingungen zugelassen.These apps and services are only allowed for data transfer to and from Intune-managed apps under certain conditions.

Name der App / des DienstsApp/service name BeschreibungDescription AusnahmebedingungExemption condition
com.android.chromecom.android.chrome Google Chrome-BrowserGoogle Chrome Browser Chrome wird für einige WebView-Komponenten unter Android 7.0 und höher verwendet und wird nie ausgeblendet.Chrome is used for some WebView components on Android 7.0+ and is never hidden from view. Der Datenfluss zu und von der App ist jedoch immer eingeschränkt.Data flow to and from the app, however, is always restricted.
com.skype.raidercom.skype.raider SkypeSkype Die Skype-App ist nur für bestimmte Aktionen zulässig, die zu einem Anruf führen.The Skype app is allowed only for certain actions that result in a phone call.
com.android.providers.mediacom.android.providers.media Android-MedieninhaltsanbieterAndroid media content provider Dieser Inhaltsanbieter für Medien ist nur für die Aktion zum Auswählen von Klingeltönen zulässig.The media content provider allowed only for the ringtone selection action.
com.google.android.gms; com.google.android.gsfcom.google.android.gms; com.google.android.gsf Google Play Services-PaketeGoogle Play Services packages Diese Pakete sind für Google Cloud Messaging-Aktionen zulässig, z.B. Pushbenachrichtigungen.These packages are allowed for Google Cloud Messaging actions, such as push notifications.
com.google.android.apps.mapscom.google.android.apps.maps Google MapsGoogle Maps Adressen sind für die Navigation zulässig.Addresses are allowed for navigation

Weitere Informationen finden Sie unter Ausnahmen von der Datenübertragungsrichtlinie für Apps.For more information, see Data transfer policy exceptions for apps.

Erforderliche ZugriffsberechtigungenAccess requirements

EinstellungSetting VerwendungHow to use
PIN für ZugriffPIN for access Klicken Sie auf Require (Erforderlich), um für die Verwendung dieser App eine PIN anzufordern.Select Require to require a PIN to use this app. Benutzer werden beim ersten Ausführen der App in einem Geschäfts-, Schul- oder Unikontext aufgefordert, diese PIN einzurichten.The user is prompted to set up this PIN the first time they run the app in a work or school context.

Standardwert = ErforderlichDefault value = Require

Sie können die PIN-Sicherheit mithilfe der Einstellungen im Abschnitt „PIN für Zugriff“ konfigurieren.You can configure the PIN strength using the settings available under the PIN for access section.
    PIN-TypPIN type
Legen Sie fest, dass eine numerische PIN oder ein Passcode eingegeben werden muss, bevor Benutzer auf eine App zugreifen können, für die App-Schutzrichtlinien gelten.Set a requirement for either numeric or passcode type PINs before accessing an app that has app protection policies applied. Numerische Anforderungen enthalten nur Zahlen, während eine Kennung mit mindestens einem Buchstaben oder mindestens einem Sonderzeichen definiert werden kann.Numeric requirements involve only numbers, while a passcode can be defined with at least 1 alphabetical letter or at least 1 special character.

Standardwert = NumerischDefault value = Numeric

Hinweis: Zu den erlaubten Sonderzeichen gehören alle Sonderzeichen und Symbole auf der Android-Tastatur in englischer Sprache.Note: Special characters allowed include the special characters and symbols on the Android English language keyboard.
    Einfache PIN Simple PIN
Klicken Sie auf Allow (Zulassen), um Benutzern das Verwenden einfacher PIN-Sequenzen wie 1234, 1111, abcd oder aaaa zu erlauben.Select Allow to allow users to use simple PIN sequences like 1234, 1111, abcd or aaaa. Klicken Sie auf Blockieren, um die Verwendung von einfachen Sequenzen zu verhindern.Select Blocks to prevent them from using simple sequences. Einfache Sequenzen werden in gleitenden Fenstern mit drei Zeichen überprüft.Simple sequences are checked in 3 character sliding windows. Wenn Blockieren konfiguriert ist, würden die Ziffernfolgen 1235 oder 1112 als vom Benutzer festgelegte PIN nicht akzeptiert. 1122 wäre hingegen zulässig.If Block is configured, 1235 or 1112 would not be accepted as PIN set by the end user, but 1122 would be allowed.

Standardwert = ZulassenDefault value = Allow

Hinweis: Wenn der Passcodetyp „PIN“ konfiguriert und die Einstellung „Einfache PIN“ auf „Zulassen“ festgelegt ist, benötigen Benutzer mindestens einen Buchstaben oder mindestens ein Sonderzeichen in ihren PINs.Note: If Passcode type PIN is configured, and Simple PIN is set to Allow, the user needs at least one letter or at least one special character in their PIN. Wenn der Passcode „PIN“ konfiguriert und die Einstellung „Einfache PIN“ auf „Blockieren“ festgelegt ist, benötigen Benutzer mindestens eine Ziffer und einen Buchstaben und mindestens ein Sonderzeichen in ihren PINs.If Passcode type PIN is configured, and Simple PIN is set to Block, the user needs at least one number and one letter and at least one special character in their PIN.
    Auswählen der PIN-Mindestlänge Select minimum PIN length
Geben Sie die Mindestanzahl von Ziffern in einer PIN-Sequenz an.Specify the minimum number of digits in a PIN sequence.

Standardwert = 4Default value = 4
    Fingerabdruck statt PIN für Zugriff (Android 6.0 und höher) Fingerprint instead of PIN for access (Android 6.0+)
Wählen Sie Allow (Zulassen) aus, um Benutzern für den Zugriff auf die App das Verwenden der Authentifizierung per Fingerabdruck anstelle einer PIN zu erlauben.Select Allow to allow the user to use fingerprint authentication instead of a PIN for app access.

Standardwert = ZulassenDefault value = Allow

Hinweis: Dieses Feature unterstützt allgemeine biometrische Steuerelemente auf Android-Geräten.Note: This feature supports generic controls for biometric on Android devices. OEM-spezifische biometrische Einstellungen wie Samsung Pass werden nicht unterstützt.OEM-specific biometric settings, like Samsung Pass, are not supported.

Unter Android können Sie es Benutzern ermöglichen, ihre Identität durch Verwendung der Android-Fingerabdruckauthentifizierung anstatt mit einer PIN nachzuweisen.On Android, you can let the user prove their identity by using Android fingerprint authentication instead of a PIN. Wenn der Benutzer versucht, diese App mit seinem Geschäfts-, Schul- oder Unikonto zu nutzen, wird er aufgefordert, seine Identität per Fingerabdruck und nicht durch Eingabe einer PIN zu bestätigen.When the user tries to use this app with their work or school account, they are prompted to provide their fingerprint identity instead of entering a PIN.

Bei Geräten mit persönlichen Android-Arbeitsprofilen muss ein separater Fingerabdruck registriert werden, damit die Richtlinie Fingerabdruck statt PIN für Zugriff erzwungen wird.Android personally-owned work profile enrolled devices require registering a separate fingerprint for the Fingerprint instead of PIN for access policy to be enforced. Diese Richtlinie gilt nur für richtlinienverwaltete Apps, die im persönlichen Android-Arbeitsprofil installiert sind.This policy takes effect only for policy-managed apps installed in the Android personally-owned work profile. Der separate Fingerabdruck muss für das Gerät registriert werden, nachdem das persönliche Android-Arbeitsprofil durch Registrierung im Unternehmensportal erstellt wurde.The separate fingerprint must be registered with the device after the Android personally-owned work profile is created by enrolling in the Company Portal. Weitere Informationen zu Fingerabdrücken für persönliche Arbeitsprofile für die Verwendung mit persönlichen Android-Arbeitsprofilen finden Sie unter Arbeitsprofil sperren.For more information about personally-owned work profile fingerprints using Android personally-owned work profiles, see Lock your work profile.
    Override fingerprint with PIN after timeout (Nach einem Timeout Fingerabdruck durch PIN ersetzen)Override fingerprint with PIN after timeout
Klicken Sie auf Require (Erforderlich), und konfigurieren Sie ein Inaktivitätstimeout, um diese Einstellung zu verwenden.To use this setting, select Require and then configure an inactivity timeout.

Standardwert = ErforderlichDefault value = Require
      Timeout (Minuten der Inaktivität) Timeout (minutes of inactivity)
Geben Sie einen Zeitraum in Minuten an, nach dem entweder ein Passcode oder eine numerische PIN (wie konfiguriert) die Verwendung eines Fingerabdrucks außer Kraft setzt.Specify a time in minutes after which either a passcode or numeric (as configured) PIN will override the use of a fingerprint. Dieser Timeoutwert sollte größer als der unter „Zugriffsanforderungen nach (Minuten der Inaktivität) erneut überprüfen“ angegebene Wert sein.This timeout value should be greater than the value specified under 'Recheck the access requirements after (minutes of inactivity)'.

Standardwert = 30Default value = 30
    Anzahl von Tagen für PIN-ZurücksetzungPIN reset after number of days
Klicken Sie auf Yes (Ja), damit die Benutzer nach einem bestimmten Zeitraum die App-PIN ändern müssen.Select Yes to require users to change their app PIN after a set period of time, in days.

Wenn Sie diese Einstellung auf Ja festlegen, können Sie die Anzahl der Tage festlegen, nach denen die PIN zurückgesetzt werden muss.When set to Yes, you then configure the number of days before the PIN reset is required.

Standardwert = NeinDefault value = No
      Anzahl von Tagen Number of days
Konfigurieren Sie die Anzahl der Tage, nach denen die PIN zurückgesetzt werden muss.Configure the number of days before the PIN reset is required.

Standardwert = 90Default value = 90
    Anzahl der beizubehaltenden vorherigen PIN-Werte auswählenSelect number of previous PIN values to maintain
Diese Einstellung gibt die Anzahl vorheriger PINs an, die Intune beibehält.This setting specifies the number of previous PINs that Intune will maintain. Neue PINs müssen sich von denjenigen unterscheiden, die Intune beibehält.Any new PINs must be different from those that Intune is maintaining.

Standardwert = 0Default value = 0
    App-PIN, wenn Geräte-PIN festgelegt istApp PIN when device PIN is set
Wählen Sie Nicht erforderlich aus, um die App-PIN zu deaktivieren, wenn eine Gerätesperre auf einem registrierten Gerät erkannt wird, auf dem das Unternehmensportal konfiguriert ist.Select Not required to disable the app PIN when a device lock is detected on an enrolled device with Company Portal configured.

Standardwert = Erforderlich.Default value = Require.
Anmeldeinformationen für Geschäfts-, Schul- oder Unikonto für ZugriffWork or school account credentials for access Klicken Sie auf Require (Erforderlich), um zu erfordern, dass sich der Benutzer für den Zugriff auf die App mit seinem Geschäfts-, Schul- oder Unikonto anmeldet, anstatt eine PIN einzugeben.Choose Require to require the user to sign in with their work or school account instead of entering a PIN for app access. Wenn diese Option auf Require (Erforderlich) festgelegt ist und eine PIN oder biometrische Eingabeaufforderungen aktiviert sind, werden die Unternehmensanmeldeinformationen und entweder die PIN oder die biometrischen Eingabeaufforderungen angezeigt.When set to Require, and PIN or biometric prompts are turned on, both corporate credentials and either the PIN or biometric prompts are shown.

Standardwert = Nicht erforderlichDefault value = Not required
Recheck the access requirements after (minutes of inactivity) (Zugriffsanforderungen nach (Minuten der Inaktivität) prüfen)Recheck the access requirements after (minutes of inactivity) Konfigurieren Sie die folgende Einstellung:Configure the following setting:
  • Timeout: Die Anzahl von Minuten, bevor die (zuvor in der Richtlinie definierten) Zugriffsanforderungen erneut überprüft werden.Timeout: This is the number of minutes before the access requirements (defined earlier in the policy) are rechecked. Beispielsweise aktiviert ein Administrator Geräte in der Richtlinie, für die die Nutzungsbeschränkungen durch PIN und Blöcke entfernt wurden, oder ein Benutzer öffnet eine durch Intune verwaltete App, gibt eine PIN ein und muss die App auf einem Gerät verwenden, für das keine Nutzungsbeschränkungen aktiviert sind.For example, an admin turns on PIN and Blocks rooted devices in the policy, a user opens an Intune-managed app, must enter a PIN, and must be using the app on a non-rooted device. Bei Verwendung dieser Einstellung muss der Benutzer für einen bestimmten Zeitraum, der dem konfigurierten Wert entspricht, bei keiner in Intune verwalteten App eine PIN eingeben oder sich einer Prüfung für die Erkennung der Nutzungsbeschränkung unterziehen.When using this setting, the user won't have to enter a PIN or undergo another root-detection check on any Intune-managed app for a period of time equal to the configured value.

    Dieses Format der Richtlinieneinstellung unterstützt eine positive ganze Zahl.This policy setting format supports a positive whole number.

    Standardwert = 30 MinutenDefault value = 30 minutes

    Hinweis: Unter Android wird die PIN für alle in Intune verwalteten Apps genutzt.Note: On Android, the PIN is shared with all Intune-managed apps. Der PIN-Zeitgeber wird zurückgesetzt, sobald die App auf dem Gerät nicht mehr im Vordergrund ausgeführt wird.The PIN timer is reset once the app leaves the foreground on the device. Während der Dauer des Timeouts, das in dieser Einstellung definiert ist, muss der Benutzer keine PIN für in Intune verwaltete Apps eingeben, für die diese PIN gilt.The user won't have to enter a PIN on any Intune-managed app that shares its PIN for the duration of the timeout defined in this setting.

Hinweis

Weitere Informationen dazu, wie mehrere Einstellungen des Intune-Schutzes für Apps unter Android funktionieren, die im Abschnitt „Zugriff“ für die gleiche Gruppe von Apps und Benutzern konfiguriert wurden, finden Sie unter Häufig gestellte Fragen zu Intune-MAM und Selektives Löschen von Daten mithilfe von Zugriffsaktionen für App-Schutzrichtlinien in Intune.To learn more about how multiple Intune app protection settings configured in the Access section to the same set of apps and users work on Android, see Intune MAM frequently asked questions and Selectively wipe data using app protection policy access actions in Intune.

Bedingter StartConditional launch

Konfigurieren Sie die Einstellungen für einen bedingten Start, um die Sicherheitsanforderungen bei der Anmeldung für Ihre App-Schutzrichtlinie festzulegen.Configure conditional launch settings to set sign-in security requirements for your app protection policy.

Standardmäßig werden mehrere Einstellungen mit vorkonfigurierten Werten und Aktionen bereitgestellt.By default, several settings are provided with pre-configured values and actions. Sie können einige der Einstellungen löschen, z. B. Mindestversion für Betriebssystem.You can delete some settings, like the Min OS version. Außerdem können Sie zusätzliche Einstellungen in der Dropdownliste Eine auswählen auswählen.You can also select additional settings from the Select one dropdown.

EinstellungSetting VerwendungHow to use
Maximal zulässige PIN-VersucheMax PIN attempts Geben Sie die Anzahl der Versuche an, die der Benutzer zum erfolgreichen Eingeben seiner PIN hat, ehe die konfigurierte Aktion ausgeführt wird.Specify the number of tries the user has to successfully enter their PIN before the configured action is taken. Wenn der Benutzer es nicht schafft, seine PIN innerhalb der maximalen Anzahl der Versuche für die PIN-Eingabe einzugeben, muss er seine PIN zurücksetzen, nachdem er sich erfolgreich bei seinem Konto angemeldet und ggf. eine mehrstufige Authentifizierung absolviert hat.If the user fails to successfully enter their PIN after the maximum PIN attempts, the user must reset their pin after successfully logging into their account and completing a Multi-Factor authentication (MFA) challenge if required. Dieses Format der Richtlinieneinstellung unterstützt eine positive ganze Zahl.This policy setting format supports a positive whole number. Dazu gehören die folgenden Aktionen:Actions include:
  • PIN zurücksetzen: Der Benutzer muss die PIN zurücksetzen.Reset PIN - The user must reset their PIN.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.Wipe data - The user account that is associated with the application is wiped from the device.
Standardwert = 5Default value = 5
Offline-ToleranzperiodeOffline grace period Die Anzahl der Minuten, die MAM-Apps offline ausgeführt werden können.The number of minutes that MAM apps can run offline. Geben Sie die Zeit (in Minuten) an, bevor die Zugriffsanforderungen der App erneut überprüft werden.Specify the time (in minutes) before the access requirements for the app are rechecked. Dazu gehören die folgenden Aktionen:Actions include:
  • Zugriff blockieren (Minuten) : Die Anzahl der Minuten, die MAM-Apps offline ausgeführt werden können.Block access (minutes) - The number of minutes that MAM apps can run offline. Geben Sie die Zeit (in Minuten) an, bevor die Zugriffsanforderungen der App erneut überprüft werden.Specify the time (in minutes) before the access requirements for the app are rechecked. Nach Ablauf ist die Benutzerauthentifizierung in Azure Active Directory erforderlich, damit die App weiter ausgeführt werden kann.After this period expires, the app requires user authentication to Azure Active Directory (Azure AD) so that the app can continue to run.

    Dieses Format der Richtlinieneinstellung unterstützt eine positive ganze Zahl.This policy setting format supports a positive whole number.

    Standardwert = 720 Minuten (12 Stunden)Default value = 720 minutes (12 hours)
  • Daten löschen (Tage) : Nach diesem Zeitraum (durch den Administrator definiert) im Offlinemodus muss der Benutzer für die App eine Verbindung mit dem Netzwerk herstellen und sich erneut authentifizieren.Wipe data (days) - After this many days (defined by the admin) of running offline, the app will require the user to connect to the network and reauthenticate. Wenn sich Benutzer erfolgreich authentifiziert haben, können sie weiterhin auf ihre Daten zugreifen, und das Offline-Intervall wird zurückgesetzt.If the user successfully authenticates, they can continue to access their data and the offline interval will reset. Wenn sich der Benutzer nicht authentifizieren kann, führt die App eine selektive Zurücksetzung des Benutzerkontos und der -daten durch.If the user fails to authenticate, the app will perform a selective wipe of the users account and data. Weitere Informationen finden Sie unter Zurücksetzen nur von Unternehmensdaten aus mit Intune verwalteten Apps.For more information, see How to wipe only corporate data from Intune-managed apps.
Dieses Format der Richtlinieneinstellung unterstützt eine positive ganze Zahl.This policy setting format supports a positive whole number.

Standardwert = 90 TageDefault value = 90 days

Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt.This entry can appear multiple times, with each instance supporting a different action.
Geräte mit Jailbreak/entfernten NutzungsbeschränkungenJailbroken/rooted devices Für diese Einstellung gibt es keinen festzulegenden Wert.There is no value to set for this setting. Dazu gehören die folgenden Aktionen:Actions include:
  • Zugriff blockieren: Verhindert die Ausführung dieser App auf Geräten mit entfernten Nutzungsbeschränkungen.Block access - Prevent this app from running on jailbroken or rooted devices. Der Benutzer kann diese App weiterhin für private Zwecke verwenden, muss jedoch für den Zugriff auf Geschäfts-, Schul- oder Unidaten ein anderes Gerät verwenden.The user continues to be able to use this app for personal tasks, but will have to use a different device to access work or school data in this app.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.Wipe data - The user account that is associated with the application is wiped from the device.
Deaktiviertes KontoDisabled account Für diese Einstellung gibt es keinen festzulegenden Wert.There is no value to set for this setting. Dazu gehören die folgenden Aktionen:Actions include:
  • Zugriff blockieren: Wenn bestätigt wurde, dass der Benutzer in Azure Active Directory deaktiviert wurde, blockiert die App den Zugriff auf Daten in Geschäfts-, Schul- oder Unikonten.Block access - When we have confirmed the user has been disabled in Azure Active Directory, the app blocks access to work or school data.
  • Daten löschen: Wenn bestätigt wurde, dass der Benutzer in Azure Active Directory deaktiviert wurde, führt die App einen selektiven Löschvorgang für das Konto und die Daten des Benutzers aus.Wipe data - When we have confirmed the user has been disabled in Azure Active Directory, the app will perform a selective wipe of the users' account and data.
Mindestversion für BetriebssystemMin OS version Geben Sie eine Mindestanforderung für das Android-Betriebssystem an, die zum Verwenden dieser App erfüllt werden muss.Specify a minimum Android operating system that is required to use this app. Dazu gehören die folgenden Aktionen:Actions include:
  • Warnung: Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die Android-Version auf dem Gerät diese Anforderung nicht erfüllt.Warn - The user will see a notification if the Android version on the device doesn't meet the requirement. Diese Benachrichtigung kann verworfen werden.This notification can be dismissed.
  • Zugriff blockieren: Der Zugriff des Benutzers wird blockiert, wenn die Android-Version auf dem Gerät diese Anforderung nicht erfüllt.Block access - The user will be blocked from access if the Android version on the device doesn't meet this requirement.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.Wipe data - The user account that is associated with the application is wiped from the device.
Diese Richtlinieneinstellung unterstützt das Format „Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“.This policy setting format supports either major.minor, major.minor.build, major.minor.build.revision.
Mindestversion für AppMin app version Legen Sie einen Wert für die Mindestversion der Anwendung fest.Specify a value for the minimum application version value. Dazu gehören die folgenden Aktionen:Actions include:
  • Warnung: Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die App-Version auf dem Gerät die Anforderung nicht erfüllt.Warn - The user sees a notification if the app version on the device doesn't meet the requirement. Diese Benachrichtigung kann verworfen werden.This notification can be dismissed.
  • Zugriff blockieren: Der Zugriff des Benutzers wird blockiert, wenn die App-Version auf dem Gerät die Anforderung nicht erfüllt.Block access - The user is blocked from access if the app version on the device does not meet the requirement.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.Wipe data - The user account that is associated with the application is wiped from the device.
Da Apps selbst häufig individuelle Versionsschemas aufweisen, erstellen Sie eine Richtlinie mit einer minimalen App-Version, die auf eine App abzielt (z. B. Outlook-Versionsrichtlinie).As apps often have distinct versioning schemes between them, create a policy with one minimum app version targeting one app (for example, Outlook version policy).

Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt.This entry can appear multiple times, with each instance supporting a different action.

Diese Richtlinieneinstellung unterstützt das Format „Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“.This policy setting format supports either major.minor, major.minor.build, major.minor.build.revision.

Sie können zusätzlich konfigurieren, wo Ihre Endbenutzer eine aktualisierte Version einer branchenspezifischen App (LOB, Line-of-Business) erhalten können.Additionally, you can configure where your end users can get an updated version of a line-of-business (LOB) app. Endbenutzer sehen dies im bedingten Startdialogfeld App-Mindestversion, in dem der Benutzer aufgefordert wird, auf eine Mindestversion der LOB-App zu aktualisieren.End users will see this in the min app version conditional launch dialog, which will prompt end users to update to a minimum version of the LOB app. Unter Android verwendet diese Funktion das Unternehmensportal.On Android, this feature uses the Company Portal. Um zu konfigurieren, wo ein Endbenutzer eine LOB-App aktualisieren soll, muss eine verwaltete App-Konfigurationsrichtlinie mit dem Schlüssel com.microsoft.intune.myappstore an diese gesendet werden.To configure where an end user should update a LOB app, the app needs a managed app configuration policy sent to it with the key, com.microsoft.intune.myappstore. Der gesendete Wert definiert, aus welchem Speicher der Endbenutzer die App herunterladen wird.The value sent will define which store the end user will download the app from. Wenn die App über das Unternehmensportal bereitgestellt wird, muss der Wert CompanyPortal sein.If the app is deployed via the Company Portal, the value must be CompanyPortal. Für alle anderen Speicher müssen Sie eine vollständige URL eingeben.For any other store, you must enter a complete URL.
Mindestversion für den PatchMin patch version Geräte müssen zumindest über einen von Google veröffentlichten Android-Sicherheitspatch verfügen.Require devices have a minimum Android security patch released by Google.
  • Warnung: Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die Android-Version auf dem Gerät diese Anforderung nicht erfüllt.Warn - The user will see a notification if the Android version on the device doesn't meet the requirement. Diese Benachrichtigung kann verworfen werden.This notification can be dismissed.
  • Zugriff blockieren: Der Zugriff des Benutzers wird blockiert, wenn die Android-Version auf dem Gerät diese Anforderung nicht erfüllt.Block access - The user will be blocked from access if the Android version on the device doesn't meet this requirement.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.Wipe data - The user account that is associated with the application is wiped from the device.
Diese Richtlinieneinstellung unterstützt das Datumsformat JJJJ-MM-TT.This policy setting supports the date format of YYYY-MM-DD.
GeräteherstellerDevice manufacturer(s) Geben Sie eine durch Semikolons getrennte Liste von Herstellern an.Specify a semicolon separated list of manufacturer(s). Bei den Werten wird nicht zwischen Groß- und Kleinschreibung unterschieden.These values are not case sensitive. Dazu gehören die folgenden Aktionen:Actions include:
  • Angegebene zulassen (nicht Angegebene blockieren) : Nur Geräte, die mit dem angegebenen Hersteller übereinstimmen, können die App verwenden.Allow specified (Block non-specified) - Only devices that match the specified manufacturer can use the app. Alle anderen Geräte werden blockiert.All other devices are blocked.
  • Angegebene zulassen (nicht Angegebene löschen) : Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.Allow specified (Wipe non-specified) - The user account that is associated with the application is wiped from the device.
Weitere Informationen zur Verwendung dieser Einstellung finden Sie in der Auflistung bedingter Startaktionen.For more information on using this setting, see Conditional Launch actions.
SafetyNet-GerätenachweisSafetyNet device attestation App-Schutzrichtlinien unterstützen einige der APIs von Google Play Protect.App protection policies support some of Google Play Protect's APIs. Diese Einstellung konfiguriert insbesondere „SafetyNet Attestation“ von Google auf Endbenutzergeräten.This setting in particular configures Google's SafetyNet Attestation on end user devices. Legen Sie entweder Basisintegrität oder Basisintegrität und zertifizierte Geräte fest.Specify either Basic integrity or Basic integrity and certified devices. Die Basisintegrität informiert Sie über die allgemeine Integrität des Geräts.Basic integrity tells you about the general integrity of the device. Für gerootete Geräte, Emulatoren, virtuelle Geräte und Geräte, die Anzeichen von Manipulationen aufweisen, schlägt die Überprüfung der grundlegenden Integrität fehl.Rooted devices, emulators, virtual devices, and devices with signs of tampering fail basic integrity. Die Option Basisintegrität und zertifizierte Geräte informiert Sie über die Kompatibilität des Geräts mit Google-Diensten.Basic integrity & certified devices tells you about the compatibility of the device with Google's services. Nur unveränderte Geräte, die von Google zertifiziert wurden, bestehen diese Überprüfung.Only unmodified devices that have been certified by Google can pass this check. Dazu gehören die folgenden Aktionen:Actions include:
  • Warnung: Dem Benutzer wird eine Benachrichtigung angezeigt, wenn das Gerät nicht der SafetyNet Attestation-Überprüfung von Google auf Grundlage des konfigurierten Werts entspricht.Warn - The user sees a notification if the device does not meet Google's SafetyNet Attestation scan based on the value configured. Diese Benachrichtigung kann verworfen werden.This notification can be dismissed.
  • Zugriff blockieren: Der Zugriff wird für den Benutzer blockiert, wenn das Gerät nicht der SafetyNet Attestation-Überprüfung von Google auf Grundlage des konfigurierten Werts entspricht.Block access - The user is blocked from access if the device does not meet Google's SafetyNet Attestation scan based on the value configured.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.Wipe data - The user account that is associated with the application is wiped from the device.
Häufig gestellte Fragen zu dieser Einstellung finden unter Häufig gestellte Fragen zu MAM und App-Schutz.For commonly asked questions related to this setting, see Frequently asked questions about MAM and app protection.
Bedrohungsüberprüfung für Apps erzwingenRequire threat scan on apps App-Schutzrichtlinien unterstützen einige der APIs von Google Play Protect.App protection policies support some of Google Play Protect's APIs. Diese Einstellung sorgt insbesondere dafür, dass die Verify Apps-Überprüfung von Google für Endbenutzergeräte aktiviert ist.This setting in particular ensures that Google's Verify Apps scan is turned on for end user devices. Wenn diese Einstellung konfiguriert ist, wird der Zugriff für den Endbenutzer so lange gesperrt, bis er auf seinem Android-Gerät die App-Überprüfung von Google aktiviert.If configured, the end user will be blocked from access until they turn on Google's app scanning on their Android device. Dazu gehören die folgenden Aktionen:Actions include:
  • Warnung: Dem Benutzer wird eine Benachrichtigung angezeigt, wenn auf dem Gerät nicht die Verify Apps-Überprüfung von Google aktiviert ist.Warn - The user sees a notification if Google's Verify Apps scan on the device is not turned on. Diese Benachrichtigung kann verworfen werden.This notification can be dismissed.
  • Zugriff blockieren: Der Zugriff wird für den Benutzer blockiert, wenn auf dem Gerät nicht die Verify Apps-Überprüfung von Google aktiviert ist.Block access - The user is blocked from access if Google's Verify Apps scan on the device is not turned on.
Die Ergebnisse der Verify Apps-Überprüfung von Google können in der Konsole über den Bericht Potentially Harmful Apps (Potenziell schädliche Apps) eingesehen werden.Results from Google's Verify Apps scan are surfaced in the Potentially Harmful Apps report in the console.
Mindestversion für UnternehmensportalMin Company Portal version Wenn Sie Mindestversion für Unternehmensportal verwenden, können Sie eine bestimmte, minimal definierte Version des Unternehmensportals angeben, die auf einem Endbenutzergerät erzwungen wird.By using the Min Company Portal version, you can specify a specific minimum defined version of the Company Portal that is enforced on an end user device. Diese Einstellung für den bedingten Start ermöglicht Ihnen, Werte für Zugriff blockieren , Daten löschen oder Warnen als mögliche Aktionen festzulegen, wenn der Wert nicht erreicht wird.This conditional launch setting allows you to set values to Block access, Wipe data, and Warn as possible actions when each value is not met. Die möglichen Formate für diesen Wert folgen dem Muster [Hauptversion].[Nebenversion] , [Hauptversion].[Nebenversion].[Build] oder [Hauptversion].[Nebenversion].[Build].[Revision] .The possible formats for this value follows the pattern [Major].[Minor], [Major].[Minor].[Build], or [Major].[Minor].[Build].[Revision]. Da einige Endbenutzer ein erzwungenes sofortiges Update von Apps nicht bevorzugen, ist die Option „Warnen“ möglicherweise ideal, wenn Sie diese Einstellung konfigurieren.Given that some end users may not prefer a forced update of apps on the spot, the 'warn' option may be ideal when configuring this setting. Der Google Play Store sendet in der Regel nur die Differenzbytes für App-Updates. Dies kann jedoch immer noch eine große Datenmenge sein, die möglicherweise für Benutzer ungelegen kommt, wenn sie zum Zeitpunkt des Updates Daten senden oder empfangen.The Google Play Store does a good job of only sending the delta bytes for app updates, but this can still be a large amount of data that the user may not want to utilize if they are on data at the time of the update. Das Erzwingen eines Updates und damit das Herunterladen einer aktualisierten App könnte zum Zeitpunkt des Updates unerwartete Datengebühren mit sich bringen.Forcing an update and thereby downloading an updated app could result in unexpected data charges at the time of the update. Weitere Informationen finden Sie in den Android-Richtlinieneinstellungen.For more information, see Android policy settings.
Höchstalter der Version des Unternehmensportals (in Tagen)Max Company Portal version age (days) Sie können eine maximale Anzahl an Tagen als Alter der Unternehmensportal-Version (CP) für Android-Geräte festlegen.You can set a maximum number of days as the age of the Company Portal (CP) version for Android devices. So wird sichergestellt, dass Endbenutzer über Unternehmensportalversionen verfügen, die innerhalb einer bestimmten Spanne von Tagen veröffentlicht wurden.This setting ensures that end users are within a certain range of CP releases (in days). Der Wert muss zwischen 0 und 365 Tagen liegen.The value must be between 0 and 365 days. Wenn der für die Geräte festgelegte Wert nicht erfüllt wird, wird eine Aktion für diese Einstellung ausgelöst.When the setting for the devices is not met, the action for this setting is triggered. Zu den Aktionen gehört Zugriff blockieren, Daten löschen oder Warnung.Actions include Block access, Wipe data, or Warn. Weitere Informationen finden Sie unter Android-Richtlinieneinstellungen.For related information, see Android policy settings.
Maximal zulässige GerätebedrohungsstufeMax allowed device threat level App-Schutzrichtlinien können die Vorteile des Intune-MTD-Connectors nutzen.App protection policies can take advantage of the Intune-MTD connector. Geben Sie eine maximale Bedrohungsstufe an, die für die Verwendung dieser App zulässig ist.Specify a maximum threat level acceptable to use this app. Die Bedrohungen werden von der von Ihnen gewählten MTD-Anwendung (Mobile Threat Defense) des Anbieters auf dem Endbenutzergerät bestimmt.Threats are determined by your chosen Mobile Threat Defense (MTD) vendor app on the end user device. Geben Sie entweder Geschützt, Niedrig, Mittel oder Stark ein.Specify either Secured, Low, Medium, or High. Geschützt erfordert keine Bedrohungen auf dem Gerät und ist der restriktivste konfigurierbare Wert, während Stark im Wesentlichen eine aktive Verbindung zwischen Intune und MTD erfordert.Secured requires no threats on the device and is the most restrictive configurable value, while High essentially requires an active Intune-to-MTD connection. Dazu gehören die folgenden Aktionen:Actions include:
  • Zugriff blockieren: Der Benutzer wird für den Zugriff gesperrt, wenn die von der von Ihnen gewählten Mobile Threat Defense-App des Anbieters auf dem Benutzerendgerät festgelegte Bedrohungsstufe diese Anforderung nicht erfüllt.Block access - The user will be blocked from access if the threat level determined by your chosen Mobile Threat Defense (MTD) vendor app on the end user device doesn't meet this requirement.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.Wipe data - The user account that is associated with the application is wiped from the device.
Weitere Informationen zum Verwenden dieser Einstellung finden Sie unter Aktivieren des Mobile Threat Defense-Connector in Intune für nicht registrierte Geräte.For more information on using this setting, see Enable the Mobile Threat Defense connector in Intune for unenrolled devices.