Häufig gestellte Fragen zu MAM und App-SchutzFrequently asked questions about MAM and app protection

Dieser Artikel beantwortet einige häufig gestellte Fragen zur mobilen Anwendungsverwaltung (Mobile Application Management, MAM) und zum App-Schutz in Intune.This article provides answers to some frequently asked questions on Intune mobile application management (MAM) and Intune app protection.

Grundlagen zu MAMMAM Basics

Was ist MAM?What is MAM?

Die mobile Anwendungsverwaltung (Mobile Application Management, MAM) von Intune bezeichnet die Intune-Verwaltungsfunktionen, mit denen Sie mobile Apps für Ihre Benutzer veröffentlichen, per Push bereitstellen, konfigurieren, schützen, überwachen und aktualisieren.Intune mobile application management refers to the suite of Intune management features that lets you publish, push, configure, secure, monitor, and update mobile apps for your users.

Welche Vorteile bietet der App-Schutz von MAM?What are the benefits of MAM app protection?

MAM schützt die Daten einer Organisation innerhalb einer Anwendung.MAM protects an organization's data within an application. Mit MAM ohne Geräteregistrierung (MAM-WE) kann eine Geschäfts-, Schul- oder Uni-App, die vertrauliche Daten enthält, auf nahezu jedem Gerät verwaltet werden, auch auf persönlichen Geräten in BYOD-Szenarien (Bring Your Own Device).With MAM without enrollment (MAM-WE), a work or school-related app that contains sensitive data can be managed on almost any device, including personal devices in bring-your-own-device (BYOD) scenarios. Viele Produktivitäts-Apps, wie z. B. die Microsoft Office-Apps, können über Intune MAM verwaltet werden.Many productivity apps, such as the Microsoft Office apps, can be managed by Intune MAM. Weitere Informationen finden Sie in der Liste von in Intune verwalteten Apps, die für die Öffentlichkeit verfügbar sind.See the official list of Intune-managed apps available for public use.

Welche Gerätekonfigurationen unterstützt MAM?What device configurations does MAM support?

Intune MAM unterstützt zwei Konfigurationen:Intune MAM supports two configurations:

  • Intune MDM und MAM : IT-Administratoren können Apps mithilfe von MAM und App-Schutzrichtlinien nur auf Geräten verwalten, die bei der Intune-Verwaltung mobiler Geräte (Mobile Device Management, MDM) registriert sind.Intune MDM + MAM : IT administrators can only manage apps using MAM and app protection policies on devices that are enrolled with Intune mobile device management (MDM). Um Apps mit MDM und MAM zu verwalten, sollten Kunden das Microsoft Endpoint Manager Admin Center verwenden.To manage apps using MDM + MAM, customers should use the Microsoft Endpoint Manager admin center.

  • MAM ohne Geräteregistrierung : Mit MAM ohne Geräteregistrierung (MAM without enrollment, MAM-WE) können IT-Administratoren Apps mithilfe von MAM und App-Schutzrichtlinien auf Geräten verwalten, die nicht bei Intune MDM registriert sind.MAM without device enrollment : MAM without device enrollment, or MAM-WE, allows IT administrators to manage apps using MAM and app protection policies on devices not enrolled with Intune MDM. Dies bedeutet, dass Apps über Intune auf Geräten verwaltet werden können, die bei EMM-Drittanbietern registriert sind.This means apps can be managed by Intune on devices enrolled with third-party EMM providers. Um Apps mit MAM-WE zu verwalten, sollten Kunden das Microsoft Endpoint Manager Admin Center verwenden.To manage apps using MAM-WE, customers should use the Microsoft Endpoint Manager admin center. Darüber hinaus können Apps auf Geräten, die entweder bei EMM-Drittanbietern (Enterprise Mobility Management, EMM) oder überhaupt nicht bei einer MDM registriert sind, von Intune verwaltet werden.Also, apps can be managed by Intune on devices enrolled with third-party Enterprise Mobility Management (EMM) providers or not enrolled with an MDM at all.

App-SchutzrichtlinienApp protection policies

Was sind App-Schutzrichtlinien?What are app protection policies?

App-Schutzrichtlinien sind Regeln, die sicherstellen, dass die Daten einer Organisation in einer verwalteten App jederzeit sicher sind und dort verbleiben.App protection policies are rules that ensure an organization's data remains safe or contained in a managed app. Eine Richtlinie kann eine Regel sein, die erzwungen wird, wenn ein Benutzer versucht, auf „unternehmenseigene“ Daten zuzugreifen oder diese zu verschieben. Es kann sich auch um eine Reihe von Aktionen handeln, die nicht zulässig sind oder überwacht werden, wenn sich ein Benutzer in der App befindet.A policy can be a rule that is enforced when the user attempts to access or move "corporate" data, or a set of actions that are prohibited or monitored when the user is inside the app.

Was sind Beispiele für App-Schutzrichtlinien?What are examples of app protection policies?

Ausführliche Informationen zu den einzelnen Einstellungen für App-Schutzrichtlinien finden Sie unter Einstellungen für App-Schutzrichtlinien in Microsoft Intune und Einstellungen für App-Schutzrichtlinien für iOS/iPadOS.See the Android app protection policy settings and iOS/iPadOS app protection policy settings for detailed information on each app protection policy setting.

Ist es möglich, sowohl MDM- als auch MAM-Richtlinien gleichzeitig auf denselben Benutzer, aber für verschiedene Geräte angewendet zu haben? Wenn ein Benutzer beispielsweise von seinem eigenen MAM-fähigen Computer aus auf seine Arbeitsressourcen zugreifen könnte, aber auch zur Arbeit kommen und dort ein mit Intune MDM verwaltetes Gerät verwenden könnte. Gibt es Vorbehalte gegenüber dieser Idee?Is it possible to have both MDM and MAM policies applied to the same user at the same time, for different devices? For example, if a user could be able to access their work resources from their own MAM-enabled machine, but also come to work and use an Intune MDM-managed device. Are there any caveats to this idea?

Wenn Sie eine MAM-Richtlinie auf den Benutzer anwenden, ohne den Gerätezustand festzulegen, erhält der Benutzer die MAM-Richtlinie sowohl auf dem BYOD-Gerät als auch auf dem mit Intune verwalteten Gerät.If you apply a MAM policy to the user without setting the device state, the user will get the MAM policy on both the BYOD device and the Intune-managed device. Sie können eine MAM-Richtlinie auch basierend auf dem verwalteten Zustand anwenden.You can also apply a MAM policy based on the managed state. Wenn Sie also eine App-Schutzrichtlinie erstellen, würden Sie neben „Ziel“ für alle App-Typen „Nein“ auswählen.So when you create an app protection policy, next to Target to all app types, you'd select No. Gehen Sie dann auf eine der folgenden Arten vor:Then do any of the following:

  • Wenden Sie eine weniger strenge MAM-Richtlinie auf mit Intune verwaltete Geräte an, und wenden Sie eine restriktivere MAM-Richtlinie auf nicht bei MDM registrierte Geräte an.Apply a less strict MAM policy to Intune managed devices, and apply a more restrictive MAM policy to non MDM-enrolled devices.
  • Wenden Sie auf mit Intune verwaltete Geräte eine ebenso strenge MAM-Richtlinie an wie auf verwaltete Geräte von Drittanbietern.Apply an equally strict MAM policy to Intune managed devices as to 3rd party managed devices.
  • Wenden Sie eine MAM-Richtlinie nur auf nicht registrierte Geräte an.Apply a MAM policy to unenrolled devices only.

Weitere Informationen finden Sie unter Überwachen von App-Schutzrichtlinien.For more information, see How to monitor app protection policies.

Apps, die mit App-Schutzrichtlinien verwaltet werden könnenApps you can manage with app protection policies

Welche Apps können mithilfe von App-Schutzrichtlinien verwaltet werden?Which apps can be managed by app protection policies?

Jede App, die in das Intune App SDK integriert oder vom Intune App Wrapping Tool umschlossen wurde, kann mithilfe von Intune-App-Schutzrichtlinien verwaltet werden.Any app that has been integrated with the Intune App SDK or wrapped by the Intune App Wrapping Tool can be managed using Intune app protection policies. Weitere Informationen finden Sie in der Liste von in Intune verwalteten Apps, die für die Öffentlichkeit verfügbar sind.See the official list of Intune-managed apps available for public use.

Welche grundlegenden Anforderungen bestehen für die Verwendung von App-Schutzrichtlinien in einer mit Intune verwalteten App?What are the baseline requirements to use app protection policies on an Intune-managed app?

  • Der Endbenutzer muss über ein Azure Active Directory-Konto (Azure AD) verfügen.The end user must have an Azure Active Directory (Azure AD) account. Informationen dazu, wie Sie Intune-Benutzer in Azure Active Directory erstellen, finden Sie unter Hinzufügen von Benutzern und Gewähren von Administratorrechten für Intune.See Add users and give administrative permission to Intune to learn how to create Intune users in Azure Active Directory.

  • Dem AAD-Konto des Endbenutzers muss eine Lizenz für Microsoft Intune zugewiesen sein.The end user must have a license for Microsoft Intune assigned to their Azure Active Directory account. Informationen zum Zuweisen von Intune-Lizenzen zu Endbenutzern finden Sie unter Verwalten von Intune-Lizenzen.See Manage Intune licenses to learn how to assign Intune licenses to end users.

  • Der Endbenutzer muss zu einer Sicherheitsgruppe gehören, für die eine App-Schutzrichtlinie gilt.The end user must belong to a security group that is targeted by an app protection policy. Die gleiche App-Schutzrichtlinie muss für die verwendete App gelten.The same app protection policy must target the specific app being used. App-Schutzrichtlinien können im Microsoft Endpoint Manager Admin Center erstellt und bereitgestellt werden.App protection policies can be created and deployed in the Microsoft Endpoint Manager admin center. Sicherheitsgruppen können zurzeit im Microsoft 365 Admin Center erstellt werden.Security groups can currently be created in the Microsoft 365 admin center.

  • Der Endbenutzer muss sich mit seinem Azure AD-Konto bei der App anmelden.The end user must sign into the app using their Azure AD account.

Was geschieht, wenn ich eine App mit Intune-App-Schutz aktivieren möchte, diese aber keine unterstützte App-Entwicklungsplattform verwendet?What if I want to enable an app with Intune App Protection but it is not using a supported app development platform?

Das Intune SDK-Entwicklungsteam testet und unterstützt aktiv Apps, die mit den nativen Android-, iOS/iPadOS-Plattformen (Obj-C, Swift), Xamarin- und Xamarin.Forms-Plattformen erstellt wurden.The Intune SDK development team actively tests and maintains support for apps built with the native Android, iOS/iPadOS (Obj-C, Swift), Xamarin, and Xamarin.Forms platforms. Während einige Kunden das Intune SDK erfolgreich in andere Plattformen wie React Native und NativeScript integrieren konnten, bieten wir keine expliziten Anleitungen oder Plug-Ins für App-Entwickler, die andere als unsere unterstützten Plattformen verwenden.While some customers have had success with Intune SDK integration with other platforms such as React Native and NativeScript, we do not provide explicit guidance or plugins for app developers using anything other than our supported platforms.

Unterstützt das Intune App SDK die Microsoft-Authentifizierungsbibliothek (MSAL)?Does the Intune APP SDK support Microsoft Authentication Library (MSAL)?

Das Intune App SDK kann die Microsoft-Authentifizierungsbibliothek für die Authentifizierung und für Szenarios mit bedingtem Start verwenden.The Intune App SDK can use the Microsoft Authentication Library for its authentication and conditional launch scenarios. Außerdem nutzt es MSAL zum Registrieren des Benutzeridentität mit dem Dienst für die mobile Anwendungsverwaltung für Verwaltungsszenarios ohne Geräteregistrierung.It also relies on MSAL to register the user identity with the MAM service for management without device enrollment scenarios.

Welche zusätzlichen Anforderungen gelten für die Verwendung der mobilen Outlook-App?What are the additional requirements to use the Outlook mobile app?

  • Die mobile Outlook-App muss auf dem Gerät des Endbenutzers installiert sein.The end user must have the Outlook mobile app installed to their device.

  • Das Microsoft 365 Exchange Online-Postfach und die zugehörige Lizenz des Endbenutzers müssen mit dem Azure Active Directory-Konto des Endbenutzers verknüpft sein.The end user must have a Microsoft 365 Exchange Online mailbox and license linked to their Azure Active Directory account.

    Hinweis

    Die mobile Outlook-App unterstützt derzeit nur den Intune-App-Schutz für Microsoft Exchange Online und Exchange Server mit moderner hybrider Authentifizierung, nicht jedoch lokales Exchange oder Exchange in Office 365.The Outlook mobile app currently only supports Intune App Protection for Microsoft Exchange Online and Exchange Server with hybrid modern authentication and does not support Exchange in Office 365 Dedicated.

Welche zusätzlichen Anforderungen gelten für die Verwendung der Word-, Excel- und PowerPoint-Apps?What are the additional requirements to use the Word, Excel, and PowerPoint apps?

  • Mit dem AAD-Konto des Endbenutzers muss eine Lizenz für Microsoft 365-Apps für Business oder Enterprise verknüpft sein.The end user must have a license for Microsoft 365 Apps for business or enterprise linked to their Azure Active Directory account. Das Abonnement muss die Office-Apps auf mobilen Geräten enthalten und kann ein Cloudspeicherkonto mit OneDrive for Business umfassen.The subscription must include the Office apps on mobile devices and can include a cloud storage account with OneDrive for Business. Microsoft 365-Lizenzen können im Microsoft 365 Admin Center zugewiesen werden. Befolgen Sie dazu diese Anweisungen.Microsoft 365 licenses can be assigned in the Microsoft 365 admin center following these instructions.

  • Der Benutzer muss über einen verwalteten Speicherort verfügen, der mithilfe der Funktion „Speichern unter“ im Rahmen der Einstellung für die Anwendungsschutzrichtlinie „Kopien von Organisationsdaten speichern“ konfiguriert wird.The end user must have a managed location configured using the granular save as functionality under the "Save copies of org data" application protection policy setting. Wenn beispielsweise der verwaltete Speicherort OneDrive ist, muss die OneDrive-App in der Word-, Excel- oder PowerPoint-App des Endbenutzer konfiguriert werden.For example, if the managed location is OneDrive, the OneDrive app should be configured in the end user's Word, Excel, or PowerPoint app.

  • Wenn der verwaltete Speicherort OneDrive ist, muss die App unter die App-Schutzrichtlinie fallen, die für den Endbenutzer angegeben ist.If the managed location is OneDrive, the app must be targeted by the app protection policy deployed to the end user.

    Hinweis

    Die mobilen Office-Apps unterstützen zurzeit nur SharePoint Online, nicht jedoch SharePoint lokal.The Office mobile apps currently only support SharePoint Online and not SharePoint on-premises.

Warum wird ein verwalteter Speicherort (z. B. OneDrive) für Office benötigt?Why is a managed location (i.e. OneDrive) needed for Office?

Intune kennzeichnet alle Daten in der App entweder als „unternehmenseigen“ oder „persönlich“.Intune marks all data in the app as either "corporate" or "personal." Daten werden als „unternehmenseigen“ betrachtet, wenn sie von einem Speicherort des Unternehmens stammen.Data is considered "corporate" when it originates from a business location. Bei den Office-Apps betrachtet Intune Folgendes als Unternehmensspeicher: E-Mail-Speicher (Exchange) oder Cloudspeicher (OneDrive-App mit einem OneDrive for Business-Konto).For the Office apps, Intune considers the following as business locations: email (Exchange) or cloud storage (OneDrive app with a OneDrive for Business account).

Welche zusätzlichen Anforderungen gelten für die Verwendung von Skype for Business?What are the additional requirements to use Skype for Business?

Informationen hierzu finden Sie in den Lizenzanforderungen für Skype for Business.See Skype for Business license requirements. Informationen zu Skype for Business (SfB)-Hybrid- und lokalen Konfigurationen finden Sie unter Moderne Hybridauthentifizierung für SfB und Exchange wird allgemein verfügbar bzw. Moderne Authentifizierung für SfB OnPrem mit Azure AD.For Skype for Business (SfB) hybrid and on-prem configurations, see Hybrid Modern Auth for SfB and Exchange goes GA and Modern Auth for SfB OnPrem with Azure AD, respectively.

App-SchutzfunktionenApp protection features

Was ist die Unterstützung mehrerer Identitäten?What is multi-identity support?

Die Unterstützung mehrerer Identitäten ist die Fähigkeit des Intune App SDK, App-Schutzrichtlinien nur anzuwenden, wenn ein Geschäfts-, Schul- oder Unikonto bei der App angemeldet ist.Multi-identity support is the ability for the Intune App SDK to only apply app protection policies to the work or school account signed into the app. Wenn ein persönliches Konto bei der App angemeldet ist, kann nicht auf die Daten zugegriffen werden.If a personal account is signed into the app, the data is untouched.

Zu welchem Zweck dient die Unterstützung mehrerer Identitäten?What is the purpose of multi-identity support?

Dank der Unterstützung mehrerer Identitäten können Apps, die sowohl geschäftlich als auch privat genutzt werden (z. B. die Office-Apps), öffentlich freigegeben werden. Auf die „unternehmenseigenen“ Konten werden die Intune-App-Schutzfunktionen angewendet.Multi-identity support allows apps with both "corporate" and consumer audiences (i.e. the Office apps) to be released publicly with Intune app protection capabilities for the "corporate" accounts.

Funktionieren mehrere Identitäten in Outlook?What about Outlook and multi-identity?

Da in Outlook persönliche und „unternehmenseigene“ E-Mails in einer gemeinsamen Ansicht angezeigt werden, fordert die Outlook-App beim Start zur Eingabe der Intune-PIN auf.Because Outlook has a combined email view of both personal and "corporate" emails, the Outlook app prompts for the Intune PIN on launch.

Was ist die Intune-App-PIN?What is the Intune app PIN?

Die PIN (Personal Identification Number) ist eine Kennung, mit der sichergestellt wird, dass der richtige Benutzer in einer Anwendung auf die Daten der Organisation zugreift.The Personal Identification Number (PIN) is a passcode used to verify that the correct user is accessing the organization's data in an application.

  • Wann wird ein Benutzer zur Eingabe der PIN aufgefordert?When is the user prompted to enter their PIN?

    Intune fordert den Benutzer zur Eingabe seiner App-PIN auf, wenn dieser versucht, auf „unternehmenseigene“ Daten zuzugreifen.Intune prompts for the user's app PIN when the user is about to access "corporate" data. In Apps mit Unterstützung mehrerer Identitäten wie z. B. Word, Excel oder PowerPoint wird der Benutzer zur PIN-Eingabe aufgefordert, wenn er versucht, ein „unternehmenseigenes“ Dokument oder eine „unternehmenseigene“ Datei zu öffnen.In multi-identity apps such as Word/Excel/PowerPoint, the user is prompted for their PIN when they try to open a "corporate" document or file. In Apps mit nur einer Identität wie z. B. Branchen-Apps, die über das Intune App Wrapping Tool verwaltet werden, wird der Benutzer beim Start der App zur Eingabe der PIN aufgefordert, da dem Intune App SDK bekannt ist, dass die Verwendung der App immer „unternehmenseigen“ ist.In single-identity apps, such as line-of-business apps managed using the Intune App Wrapping Tool, the PIN is prompted at launch, because the Intune App SDK knows the user's experience in the app is always "corporate."

  • Wie häufig wird ein Benutzer zur Eingabe der Intune-PIN aufgefordert?How often will the user be prompted for the Intune PIN?

    Der IT-Administrator kann in der Intune-Verwaltungskonsole die Einstellung „Zugriffsanforderungen nach (Minuten) erneut überprüfen“ für die Intune-App-Schutzrichtlinie definieren.The IT admin can define the Intune app protection policy setting 'Recheck the access requirements after (minutes)' in the Intune admin console. Diese Einstellung gibt die Zeitspanne an, nach der die Zugriffsanforderungen auf dem Gerät überprüft werden und der Bildschirm zur Eingabe der PIN erneut angezeigt wird.This setting specifies the amount of time before the access requirements are checked on the device, and the application PIN screen is shown again. Folgende Faktoren beeinflussen, wie häufig ein Benutzer zur PIN-Eingabe aufgefordert wird:However, important details about PIN that affect how often the user will be prompted are:

    • Eine PIN wird für alle Apps des gleichen Herausgebers genutzt, um die Benutzerfreundlichkeit zu erhöhen : In iOS/iPadOS wird eine gemeinsame App-PIN für alle Apps des gleichen App-Herausgebers genutzt.The PIN is shared among apps of the same publisher to improve usability: On iOS/iPadOS, one app PIN is shared amongst all apps of the same app publisher. Unter Android wird eine App-PIN für alle Apps genutzt.On Android, one app PIN is shared amongst all apps.
    • Das Verhalten für „Zugriffsanforderungen erneut überprüfen nach (Minuten)“ nach einem Geräteneustart : Ein „PIN-Timer“ zählt die Anzahl von Minuten der Inaktivität, die angeben, wann die Intune-App-PIN das nächste Mal angezeigt werden soll.The 'Recheck the access requirements after (minutes)' behavior after a device reboot: A "PIN timer" tracks the number of minutes of inactivity that determine when to show the Intune app PIN next. Unter iOS/iPadOS hat ein Neustart des Geräts keine Auswirkung auf den PIN-Timer.On iOS/iPadOS, the PIN timer is unaffected by device reboot. Das bedeutet, dass ein Neustart des Geräts keine Auswirkung auf die Anzahl der inaktiven Minuten des Benutzers einer iOS/iPadOS-App mit der Intune-PIN-Richtlinie hat.Thus, device restart has no effect on the number of minutes the user has been inactive from an iOS/iPadOS app with Intune PIN policy. Unter Android wird der PIN-Timer beim Neustart des Geräts zurückgesetzt.On Android, the PIN timer is reset on device reboot. Deshalb fordern Android-Apps mit der Intune-PIN-Richtlinie den Benutzer wahrscheinlich unabhängig vom Wert der Einstellung „Zugriffsanforderungen erneut überprüfen nach (Minuten)“ nach dem Neustart des Geräts zur Eingabe einer PIN für die App auf.As such, Android apps with Intune PIN policy will likely prompt for an app PIN regardless of the 'Recheck the access requirements after (minutes)' setting value after a device reboot.
    • Das Wiederholungsverhalten des Timers für die PIN : Wenn für den Zugriff auf eine App (App A) eine PIN eingegeben wurde und diese App auf dem Gerät nicht mehr im Vordergrund (Haupteingabefokus) ausgeführt wird, wird der PIN-Zeitgeber für diese PIN zurückgesetzt.The rolling nature of the timer associated with the PIN: Once a PIN is entered to access an app (app A), and the app leaves the foreground (main input focus) on the device, the PIN timer gets reset for that PIN. Eine andere App (App B), für die die gleiche PIN gilt, fordert den Benutzer nicht zur PIN-Eingabe auf, weil der Zeitgeber zurückgesetzt wurde.Any app (app B) that shares this PIN will not prompt the user for PIN entry because the timer has reset. Die Aufforderung wird wieder angezeigt, wenn der Wert für „Zugriffsanforderungen nach (Minuten) erneut überprüfen“ erneut erreicht wurde.The prompt will show up again once the 'Recheck the access requirements after (minutes)' value is met again.

Selbst wenn die PIN auf iOS/iPadOS-Geräten von mehreren Apps von verschiedenen Herausgebern genutzt wird, wird die Eingabeaufforderung noch mal angezeigt, wenn der Wert für Zugriffsanforderungen nach (Minuten) erneut überprüfen nochmals für die App erreicht wird, die nicht über den Eingabefokus verfügt.For iOS/iPadOS devices, even if the PIN is shared between apps from different publishers, the prompt will show up again when the Recheck the access requirements after (minutes) value is met again for the app that is not the main input focus. Beispiel: Der Benutzer verfügt über die App A von Herausgeber X und über die App B von Herausgeber Y , und für diese Apps wird die gleiche PIN verwendet.So, for example, a user has app A from publisher X and app B from publisher Y , and those two apps share the same PIN. Der Benutzer verwendet App A (im Vordergrund), und die App B ist minimiert.The user is focused on app A (foreground), and app B is minimized. Wenn der Wert für Zugriffsanforderungen nach (Minuten) erneut überprüfen erreicht wurde und der Benutzer zur App B wechselt, ist eine PIN erforderlich.After the Recheck the access requirements after (minutes) value is met and the user switches to app B , the PIN would be required.

Hinweis

Um die Zugriffsanforderungen des Benutzers (besonders bei häufig verwendeten Apps) öfter zu überprüfen (z. B. die PIN-Eingabeaufforderung), empfiehlt es sich, den Wert für die Einstellung „Zugriffsanforderungen nach (Minuten) erneut überprüfen“ zu senken.In order to verify the user's access requirements more often (i.e. PIN prompt), especially for a frequently used app, it is recommended to reduce the value of the 'Recheck the access requirements after (minutes)' setting.

  • Wie funktioniert die Intune-PIN mit integrierten App-PINs für Outlook und OneDrive?How does the Intune PIN work with built-in app PINs for Outlook and OneDrive?

    Die Intune-PIN funktioniert mit einem auf Inaktivität basierten Timer, also dem Wert von „Überprüfen der Zugriffsanforderungen nach (Minuten)“.The Intune PIN works based on an inactivity-based timer (the value of 'Recheck the access requirements after (minutes)'). Deshalb werden Aufforderungen zur Eingabe der Intune-PIN unabhängig von Aufforderungen zur Eingabe der integrierten App-PIN für Outlook und OneDrive, die standardmäßig beim Start der App angezeigt werden, angezeigt.As such, Intune PIN prompts show up independently from the built-in app PIN prompts for Outlook and OneDrive which often are tied to app launch by default. Wenn der Benutzer gleichzeitig zur Eingabe beider PINs aufgefordert wird, sollte die Intune-PIN Vorrang haben.If the user receives both PIN prompts at the same time, the expected behavior should be that the Intune PIN takes precedence.

  • Ist die PIN sicher?Is the PIN secure?

    Mit der PIN wird sichergestellt, dass nur der richtige Benutzer in der App auf Daten der Organisation zugreifen kann.The PIN serves to allow only the correct user to access their organization's data in the app. Ein Endbenutzer muss sich daher mit seinem Geschäfts-, Uni- oder Schulkonto anmelden, bevor er seine Intune-App-PIN festlegen oder zurücksetzen kann.Therefore, an end user must sign in with their work or school account before they can set or reset their Intune app PIN. Diese Authentifizierung wird von Azure Active Directory über einen Austausch sicherer Token durchgeführt und ist für das Intune App SDK nicht transparent.This authentication is handled by Azure Active Directory via secure token exchange and is not transparent to the Intune App SDK. Hinsichtlich der Sicherheit ist die beste Möglichkeit, ein Geschäfts-, Uni- oder Schulkonto zu schützen, das Konto zu verschlüsseln.From a security perspective, the best way to protect work or school data is to encrypt it. Die Verschlüsselung steht nicht in Zusammenhang mit der App-PIN, sondern stellt eine eigene App-Schutzrichtlinie dar.Encryption is not related to the app PIN but is its own app protection policy.

  • Wie schützt Intune die PIN vor Brute-Force-Angriffen?How does Intune protect the PIN against brute force attacks?

    Im Rahmen der App-PIN-Richtlinie kann der IT-Administrator festlegen, wie oft ein Benutzer versuchen kann, die PIN zu authentifizieren, bevor die App gesperrt wird.As part of the app PIN policy, the IT administrator can set the maximum number of times a user can try to authenticate their PIN before locking the app. Nachdem die maximale Anzahl von Versuchen erreicht wurde, kann das Intune App SDK die „unternehmenseigenen“ Daten aus der App zurücksetzen.After the number of attempts has been met, the Intune App SDK can wipe the "corporate" data in the app.

  • Warum muss ich bei Apps desselben Herausgebers zweimal eine PIN festlegen?Why do I have to set a PIN twice on apps from same publisher?

    MAM (für iOS/iPadOS) erlaubt derzeit eine PIN auf Anwendungsebene mit alphanumerischen Zeichen und Sonderzeichen (als „Passcode“ bezeichnet), was die Beteiligung von Anwendungen (z. B. WXP, Outlook, Managed Browser, Yammer) erfordert, damit das Intune App SDK für iOS/iPadOS integriert werden kann.MAM (on iOS/iPadOS) currently allows application-level PIN with alphanumeric and special characters (called 'passcode') which requires the participation of applications (i.e. WXP, Outlook, Managed Browser, Yammer) to integrate the Intune APP SDK for iOS/iPadOS. Ohne das SDK werden die Kennungseinstellungen nicht ordnungsgemäß für die Zielanwendungen erzwungen.Without this, the passcode settings are not properly enforced for the targeted applications. Hierbei handelte es sich um ein Feature, das im Intune SDK für iOS/iPadOS VersionThis was a feature released in the Intune SDK for iOS/iPadOS v. 7.1.12 veröffentlicht wurde.7.1.12.

    Alle numerischen PINs oder Kennungen in Version 7.1.12 oder höher werden getrennt von der numerischen PIN in früheren Versionen des SDK verarbeitet, um dieses Feature zu unterstützen und die Abwärtskompatibilität mit früheren Versionen des Intune SDK für iOS/iPadOS zu gewährleisten.In order to support this feature and ensure backward compatibility with previous versions of the Intune SDK for iOS/iPadOS, all PINs (either numeric or passcode) in 7.1.12+ are handled separately from the numeric PIN in previous versions of the SDK. Wenn also ein Gerät Anwendungen mit Intune SDK für iOS/iPadOS-Versionen zwischen 7.1.12 UND 7.1.12 vom selben Hersteller aufweist, müssen sie zwei PINs einrichten.Therefore, if a device has applications with Intune SDK for iOS/iPadOS versions before 7.1.12 AND after 7.1.12 from the same publisher, they will have to set up two PINs.

    Allerdings sind die beiden PINs (für jede App) in keiner Weise miteinander verknüpft, d. h., sie müssen die jeweilige für die App geltende App-Schutzrichtlinie einhalten.That being said, the two PINs (for each app) are not related in any way i.e. they must adhere to the app protection policy that's applied to the app. Daher kann der Benutzer eine PIN nur dann zweimal einrichten, wenn für App A und B die gleichen Richtlinien (in Bezug auf die PIN) gelten.As such, only if apps A and B have the same policies applied (with respect to PIN), user may setup the same PIN twice.

    Dieses Verhalten gilt speziell für die PIN für iOS/iPadOS-Anwendungen, die mit der Intune-Verwaltung mobiler Apps aktiviert sind.This behavior is specific to the PIN on iOS/iPadOS applications that are enabled with Intune Mobile App Management. Wenn Anwendungen im Laufe der Zeit höhere Intune SDK-Versionen für iOS/iPadOS annehmen, ist das zweimalige Festlegen einer PIN für Apps desselben Herausgebers weniger entscheidend.Over time, as applications adopt later versions of the Intune SDK for iOS/iPadOS, having to set a PIN twice on apps from the same publisher becomes less of an issue. Beachten Sie den Hinweis unterhalb eines Beispiels.Please see the note below for an example.

    Hinweis

    Beispiel: Wenn App A mit einer niedrigeren Version als 7.1.12 und App B mit einer höheren oder gleichen Version wie 7.1.12 vom selben Herausgeber erstellt wurde, muss der Endbenutzer die PINs für A und B separat einrichten, sofern beide auf einem iOS/iPadOS-Gerät installiert sind.For example, if app A is built with a version prior to 7.1.12 and app B is built with a version greater than or equal to 7.1.12 from the same publisher, the end user will need to set up PINs separately for A and B if both are installed on an iOS/iPadOS device.

    Wenn App C mit SDK Version 7.1.9 auf dem Gerät installiert ist, verwendet diese dieselbe PIN wie bei App A.If an app C that has SDK version 7.1.9 is installed on the device, it will share the same PIN as app A.

    App D, die mit 7.1.14 erstellt wurde, verwendet dieselbe PIN wie App B.An app D built with 7.1.14 will share the same PIN as app B.

    Wenn auf einem Gerät nur App A und C installiert sind, muss eine PIN festgelegt werden.If only apps A and C are installed on a device, then one PIN will need to be set. Dasselbe gilt, wenn auf einem Gerät nur App B und D installiert sind.The same applies to if only apps B and D are installed on a device.

Wie funktioniert die Verschlüsselung?What about encryption?

IT-Administratoren können eine App-Schutzrichtlinie bereitstellen, die erzwingt, dass App-Daten verschlüsselt werden.IT administrators can deploy an app protection policy that requires app data to be encrypted. Im Rahmen einer solchen Richtlinie kann ein IT-Administrator auch angeben, wann die Inhalte verschlüsselt werden.As part of the policy, the IT administrator can also specify when the content is encrypted.

  • Wie verschlüsselt Intune Daten?How does Intune encrypt data?

    Ausführliche Informationen zur Verschlüsselungseinstellung im Rahmen von App-Schutzrichtlinien finden Sie unter Einstellungen für App-Schutzrichtlinien in Microsoft Intune und Einstellungen für App-Schutzrichtlinien für iOS.See the Android app protection policy settings and iOS/iPadOS app protection policy settings for detailed information on the encryption app protection policy setting.

  • Was wird verschlüsselt?What gets encrypted?

    Nur Daten, die als „unternehmenseigen“ markiert sind, werden gemäß der vom IT-Administrator eingerichteten App-Schutzrichtlinie verschlüsselt.Only data marked as "corporate" is encrypted according to the IT administrator's app protection policy. Daten werden als „unternehmenseigen“ betrachtet, wenn sie von einem Speicherort des Unternehmens stammen.Data is considered "corporate" when it originates from a business location. Bei den Office-Apps betrachtet Intune Folgendes als Unternehmensspeicher: E-Mail-Speicher (Exchange) oder Cloudspeicher (OneDrive-App mit einem OneDrive for Business-Konto).For the Office apps, Intune considers the following as business locations: email (Exchange) or cloud storage (OneDrive app with a OneDrive for Business account). Bei Branchen-Apps, die vom Intune App Wrapping Tools verwaltet werden, werden alle App-Daten als „unternehmenseigen“ betrachtet.For line-of-business apps managed by the Intune App Wrapping Tool, all app data is considered "corporate."

Wie setzt Intune Daten remote zurück?How does Intune remotely wipe data?

Intune kann App-Daten auf drei Arten zurücksetzen: vollständiges Zurücksetzen des Geräts, selektives Zurücksetzen für MDM und selektives Zurücksetzen für MAM.Intune can wipe app data in three different ways: full device wipe, selective wipe for MDM, and MAM selective wipe. Weitere Informationen zur Remotezurücksetzung der MDM finden Sie unter Entfernen von Geräten durch Zurücksetzen oder Abkoppeln.For more information about remote wipe for MDM, see Remove devices by using wipe or retire. Weitere Informationen zum selektiven Zurücksetzen mit MAM finden Sie unter the Retire action (Die Aktion „Abkoppeln“) und Zurücksetzen von Unternehmensdaten in Apps.For more information about selective wipe using MAM, see the Retire action and How to wipe only corporate data from apps.

  • Was ist Zurücksetzen?What is wipe?

    Beim Zurücksetzen werden alle Benutzerdaten und -einstellungen vom Gerät entfernt, indem die werkseitigen Standardeinstellungen auf dem Gerät wiederhergestellt werden.Wipe removes all user data and settings from the device by restoring the device to its factory default settings. Das Gerät wird aus Intune entfernt.The device is removed from Intune.

    Hinweis

    Die Zurücksetzung kann nur auf Geräten ausgeführt werden, die mit Intune-MDM registriert sind.Wipe can only be achieved on devices enrolled with Intune mobile device management (MDM).

  • Was ist selektives Zurücksetzen für MDM?What is selective wipe for MDM?

    Informationen zum Entfernen von Unternehmensdaten finden Sie unter Remove devices - retire (Entfernen von Geräten: Abkoppeln).See Remove devices - retire to read about removing company data.

  • Was ist selektives Zurücksetzen für MAM?What is selective wipe for MAM?

    Durch selektives Zurücksetzen für MAM können Unternehmensanwendungsdaten von einer App entfernt werden.Selective wipe for MAM simply removes company app data from an app. Die Anforderung wird über das Microsoft Endpoint Manager Admin Center initiiert.The request is initiated using the Microsoft Endpoint Manager admin center. Informationen zum Initiieren einer Zurücksetzungsanforderung finden Sie unter So setzen Sie nur die Unternehmensdaten in einer App zurück.To learn how to initiate a wipe request, see How to wipe only corporate data from apps.

  • Wie schnell wird das selektive Zurücksetzen für MAM ausgeführt?How quickly does selective wipe for MAM happen?

    Wenn das selektive Zurücksetzen initiiert wird, während ein Benutzer die App verwendet, überprüft das Intune App SDK alle 30 Minuten, ob eine Anforderung zum selektiven Zurücksetzen vom Intune MAM-Dienst vorhanden ist.If the user is using the app when selective wipe is initiated, the Intune App SDK checks every 30 minutes for a selective wipe request from the Intune MAM service. Das SDK überprüft auch, ob eine Anforderung zum selektiven Zurücksetzen vorhanden ist, wenn ein Benutzer eine App zum ersten Mal startet und sich mit einem Geschäfts-, Uni- oder Schulkonto anmeldet.It also checks for selective wipe when the user launches the app for the first time and signs in with their work or school account.

Warum funktionieren lokale Dienste nicht mit von Intune geschützten Apps?Why don't On-Premises (on-prem) services work with Intune protected apps?

Der Intune-App-Schutz basiert darauf, dass die Identität des Benutzers in der App und im Intune App SDK konsistent ist.Intune app protection depends on the identity of the user to be consistent between the application and the Intune App SDK. Die einzige Möglichkeit, dies zu garantieren, ist eine moderne Authentifizierung.The only way to guarantee that is through modern authentication. Es gibt Szenarien, in denen Apps möglicherweise mit einer lokalen Konfiguration funktionieren. Dies ist aber weder konsistent noch garantiert.There are scenarios in which apps may work with an on-prem configuration, but they are neither consistent nor guaranteed.

Gibt es eine sichere Möglichkeit, Weblinks in verwalteten Apps zu öffnen?Is there a secure way to open web links from managed apps?

Ja!Yes! Ein IT-Administrator kann App-Schutzrichtlinien für die Microsoft Edge-App bereitstellen und festlegen.The IT administrator can deploy and set app protection policy for the Microsoft Edge app. Der IT-Administrator kann festlegen, dass alle Weblinks in über Intune verwaltete Apps mit der Microsoft Edge-App geöffnet werden müssen.The IT administrator can require all web links in Intune-managed apps to be opened using the Microsoft Edge app.

Apps unter AndroidApp experience on Android

Warum ist die Unternehmensportal-App erforderlich, damit der Intune-App-Schutz auf Android-Geräten funktioniert?Why is the Company Portal app needed for Intune app protection to work on Android devices?

Ein Großteil der App-Schutzfunktionen ist in die Unternehmensportal-App integriert.Much of app protection functionality is built into the Company Portal app. Eine Registrierung der Geräte ist nicht erforderlich , allerdings wird immer die Unternehmensportal-App benötigt.Device enrollment is not required even though the Company Portal app is always required. Bei MAM-WE muss lediglich die Unternehmensportal-App auf dem Gerät des Endbenutzers installiert sein.For MAM-WE, the end user just needs to have the Company Portal app installed on the device.

Wie funktionieren die verschiedenen Zugriffseinstellungen für den Intune-App-Schutz unter Android, die für mehrere Apps und Benutzer konfiguriert sind?How do multiple Intune app protection access settings that are configured to the same set of apps and users work on Android?

Zugriffsrichtlinien für den Intune-App-Schutz werden in einer bestimmten Reihenfolge auf den Geräten von Endbenutzern angewendet, wenn diese versuchen, über ihr Unternehmenskonto auf eine App zuzugreifen.Intune app protection policies for access will be applied in a specific order on end user devices as they try to access a targeted app from their corporate account. In der Regel haben Blöcke Vorrang vor verwerfbaren Warnungen.In general, a block would take precedence, then a dismissible warning. Es wird z. B. eine Einstellung der mindestens erforderlichen Android-Patch-Version, die den Benutzer auffordert, ein Patchupgrade auszuführen, im Anschluss an die Einstellung angewendet, die dem Benutzer den Zugriff verweigert (wenn dies auf den Benutzer/die App zutrifft).For example, if applicable to the specific user/app, a minimum Android patch version setting that warns a user to take a patch upgrade will be applied after the minimum Android patch version setting that blocks the user from access. In diesem Szenario konfiguriert der IT-Administrator die Einstellung für die mindestens erforderliche Version des Android-Patch auf den 1.3.2018 und die für die mindestens erforderliche Version des Android-Patch, die nur für Warnungen gilt, auf den 1.2.2018. Gleichzeitig versucht das Gerät, das noch die Patch-Version vom 1.1.2018 verwendet, auf die App zuzugreifen. In Folge dessen wird der Endbenutzer basierend auf restriktiveren Einstellungen für die mindestens erforderliche Version des Android-Patch blockiert und erhält keinen Zugriff.So, in the scenario where the IT admin configures the min Android patch version to 2018-03-01 and the min Android patch version (Warning only) to 2018-02-01, while the device trying to access the app was on a patch version 2018-01-01, the end user would be blocked based on the more restrictive setting for min Android patch version that results in blocked access.

Wenn verschiedene Arten von Einstellungen verarbeitet werden müssen, haben die Anforderungen hinsichtlich bestimmter App-Versionen Vorrang. Erst danach werden Anforderungen berücksichtigt, die eine Version des Android-Betriebssystems und Android-Patch-Versionen betreffen.When dealing with different types of settings, an app version requirement would take precedence, followed by Android operating system version requirement and Android patch version requirement. Anschließend werden in derselben Reihenfolge mögliche Warnungen für sämtliche Einstellungstypen überprüft.Then, any warnings for all types of settings in the same order are checked.

In Intune-App-Schutzrichtlinien können Administratoren festlegen, dass Endbenutzergeräte SafetyNet Attestation von Google für Android-Geräte übergeben müssen. Wie oft wird ein neues SafetyNet Attestation-Ergebnis an den Dienst gesendet?Intune App Protection Policies provide the capability for admins to require end user devices to pass Google's SafetyNet Attestation for Android devices. How often is a new SafetyNet Attestation result sent to the service?

Eine neue Google Play-Dienstbestimmung wird in einem von Intune festgelegten Intervall an den IT-Administrator gesendet.A new Google Play service determination will be reported to the IT admin at an interval determined by the Intune service. Die Anzahl der Dienstaufrufe wird in Abhängigkeit von der Last gedrosselt; dieser Wert wird also intern verwaltet und kann nicht konfiguriert werden.How often the service call is made is throttled due to load, thus this value is maintained internally and is not configurable. Jede Aktion für die Einstellung von SafetyNet Attestation von Google, die von einem IT-Administrator konfiguriert wurde, wird auf Grundlage des zuletzt an Intune gemeldeten Ergebnisses zum Zeitpunkt des bedingten Starts ausgeführt.Any IT admin configured action for the Google SafetyNet Attestation setting will be taken based on the last reported result to the Intune service at the time of conditional launch. Wenn keine Daten vorhanden sind, wird der Zugriff abhängig davon gewährt, dass keine anderen Überprüfungen für den bedingten Start fehlschlagen, und der „Roundtrip“ des Google Play-Diensts zur Bestimmung der Nachweisergebnisse im Back-End startet. Wenn es beim Gerät zu Problemen kommt, wird der Benutzer asynchron benachrichtigt.If there is no data, access will be allowed depending on no other conditional launch checks failing, and Google Play Service "roundtrip" for determining attestation results will begin in the backend and prompt the user asynchronously if the device has failed. Wenn die Daten veraltet sind, wird der Zugriff auf Grundlage des zuletzt gemeldeten Ergebnisses blockiert oder gewährt, und ein „Roundtrip“ des Google Play-Diensts zur Bestimmung der Nachweisergebnisse startet. Wenn es beim Gerät zu Problemen kommt, wird der Benutzer asynchron benachrichtigt.If there is stale data, access will be blocked or allowed depending on the last reported result, and similarly, a Google Play Service "roundtrip" for determining attestation results will begin and prompt the user asynchronously if the device has failed.

In Intune-App-Schutz-Richtlinien können Administratoren festlegen, dass Endbenutzergeräte Signale über die Verify Apps-API von Google für Android-Geräte (API von Google für die Überprüfung von Apps für Android-Geräte) senden müssen. Wie können Endbenutzer die Überprüfung der App aktivieren, sodass der Zugriff für sie aufgrund einer solchen Richtlinie nicht blockiert wird?Intune App Protection Policies provide the capability for admins to require end user devices to send signals via Google's Verify Apps API for Android devices. How can an end user turn on the app scan so that they are not blocked from access due to this?

Die dafür erforderlichen Schritte unterscheiden sich leicht je nach Gerät.The instructions on how to do this vary slightly by device. Grundsätzlich müssen Sie dafür den Google Play Store besuchen, dort auf My apps & games (Meine Apps und Spiele) klicken und dann auf das Ergebnis der letzten App-Überprüfung klicken. Dadurch gelangen Sie zum Play Protect-Menü.The general process involves going to the Google Play Store, then clicking on My apps & games , clicking on the result of the last app scan which will take you into the Play Protect menu. Sorgen Sie dafür, dass die Option Scan device for security threats (Gerät auf Sicherheitsbedrohungen überprüfen) aktiviert ist.Ensure the toggle for Scan device for security threats is switched to on.

Was genau überprüft die SafetyNet Attestation-API von Google auf Android-Geräten eigentlich? Worin besteht der Unterschied zwischen den konfigurierbaren Werten von „Check basic integrity“ (Basisintegrität überprüfen) und „Check basic integrity & certified devices“ (Basisintegrität und zertifizierte Geräte überprüfen)?What does Google's SafetyNet Attestation API actually check on Android devices? What is the difference between the configurable values of 'Check basic integrity' and 'Check basic integrity & certified devices'?

Für Intune werden die Google Play Protect SafetyNet-APIs verwendet, um die vorhandenen Überprüfungen auf Rootingerkennung für nicht registrierte Geräte zu ergänzen.Intune leverages Google Play Protect SafetyNet APIs to add to our existing root detection checks for unenrolled devices. Google hat diese APIs für Android-Apps entwickelt und verwaltet sie, wenn die Apps nicht auf gerooteten Geräten ausgeführt werden sollen.Google has developed and maintained this API set for Android apps to adopt if they do not want their apps to run on rooted devices. Sie kommen z. B. bei der Google Pay-App zum Einsatz.The Android Pay app has incorporated this, for example. Google stellt zwar nicht alle Überprüfungen, die durchgeführt werden, um Rooting zu erkennen, öffentlich zur Verfügung; wir gehen jedoch davon aus, dass diese APIs Benutzer identifizieren können, die ihr Gerät gerootet haben.While Google does not share publicly the entirety of the root detection checks that occur, we expect these APIs to detect users who have rooted their devices. Diesen Benutzern kann der Zugriff dann verwehrt werden, oder ihre Unternehmenskonten können aus den Apps entfernt werden, für die Richtlinien aktiviert sind.These users can then be blocked from accessing, or their corporate accounts wiped from their policy enabled apps. Die Option „Check basic integrity“ (Basisintegrität überprüfen) informiert Sie über die allgemeine Integrität des Geräts.'Check basic integrity' tells you about the general integrity of the device. Für gerootete Geräte, Emulatoren, virtuelle Geräte und Geräte, die Anzeichen von Manipulationen aufweisen, schlägt die Überprüfung der grundlegenden Integrität fehl.Rooted devices, emulators, virtual devices, and devices with signs of tampering fail basic integrity. Die Option „Check basic integrity & certified devices“ (Basisintegrität und zertifizierte Geräte überprüfen) informiert Sie über die Kompatibilität des Geräts mit Google-Diensten.'Check basic integrity & certified devices' tells you about the compatibility of the device with Google's services. Nur unveränderte Geräte, die von Google zertifiziert wurden, bestehen diese Überprüfung.Only unmodified devices that have been certified by Google can pass this check. Die folgenden Geräte bestehen die Überprüfung nicht:Devices that will fail include the following:

  • Geräte, für die die Überprüfung der Basisintegrität fehlschlägtDevices that fail basic integrity
  • Geräte mit entsperrtem BootloaderDevices with an unlocked bootloader
  • Geräte mit einem benutzerdefinierten Systemimage/ROMDevices with a custom system image/ROM
  • Geräte, für die der Hersteller entweder keine Google-Zertifizierung beantragt hat, oder für die diese nicht bestanden wurdeDevices for which the manufacturer didn't apply for, or pass, Google certification
  • Geräte mit einem Systemimage, das direkt aus den Quelldateien des Open Source-Programms für Android erstellt wurdeDevices with a system image built directly from the Android Open Source Program source files
  • Geräte mit einem Systemimage, das sich noch in der Betaversion oder in der Entwicklervorschau befindetDevices with a beta/developer preview system image

Technische Details finden Sie in der Dokumentation von Google zu „SafetyNet Attestation“.See Google's documentation on the SafetyNet Attestation for technical details.

Beim Erstellen einer Intune-App-Schutzrichtlinie für Android-Geräte gibt es im Bereich „Conditional Launch“ (Bedingter Start) zwei ähnliche Überprüfungen. Sollte als Anforderung die Einstellung „SafetyNet device attestation“ (SafetyNet-Gerätenachweis) oder die Einstellung „jailbroken/rooted devices“ (Mit Jailbreak oder Rooting manipulierte Geräte) verwendet werden?There are two similar checks in the Conditional Launch section when creating an Intune App Protection Policy for Android devices. Should I be requiring the 'SafetyNet device attestation' setting or the 'jailbroken/rooted devices' setting?

Die Überprüfungen im Rahmen der SafetyNet-API von Google Play Protect erfordern, dass der Endbenutzer online ist, zumindest während der Zeit, in der der „Roundtrip“ zur Bestimmung von Nachweisergebnissen ausgeführt wird.Google Play Protect's SafetyNet API checks require the end user being online, atleast for the duration of the time when the "roundtrip" for determining attestation results executes. Wenn der Endbenutzer offline ist, kann der IT-Administrator immer noch davon ausgehen, dass ein Ergebnis der Einstellung „jailbroken/rooted devices“ (Mit Jailbreak oder Rooting manipulierte Geräte) erzwungen wird.If end user is offline, IT admin can still expect a result to be enforced from the 'jailbroken/rooted devices' setting. Vor diesem Hintergrund kommt der Wert „Offline grace period“ (Offlinetoleranzperiode) ins Spiel, wenn der Endbenutzer zu lange offline war, und sobald der Zeitwert erreicht wird, wird der Zugriff auf Unternehmens- oder Schuldaten solange blockiert, bis wieder Netzwerkzugriff besteht.That being said, if the end user has been offline too long, the 'Offline grace period' value comes into play, and all access to work or school data is blocked once that timer value is reached, until network access is available. Wenn beide Einstellungen aktiviert werden, steht Ihnen ein mehrstufiger Ansatz zur Verfügung, um die Integrität von Endbenutzergeräten zu gewährleisten, was wichtig ist, wenn Endbenutzer über Mobilgeräte auf Unternehmens- und Schuldaten zugreifen.Turning on both settings allows for a layered approach to keeping end user devices healthy which is important when end users access work or school data on mobile.

Für die Schutzrichtlinieneinstellungen für Apps, die APIs von Google Play Protect verwenden, muss Google Play Services funktionieren. Was ist, wenn Google Play Services am Standort des Endbenutzers nicht zulässig sind?The app protection policy settings that leverage Google Play Protect APIs require Google Play Services to function. What if Google Play Services are not allowed in the location where the end user may be?

Für die beiden Einstellungen „SafetyNet device attestation“ (SafetyNet-Gerätenachweis) und „Threat scan on apps“ (Apps auf Bedrohungen überprüfen) muss die von Google bestimmte Version von Google Play Services ordnungsgemäß funktionieren.Both the 'SafetyNet device attestation', and 'Threat scan on apps' settings require Google determined version of Google Play Services to function correctly. Da diese Einstellungen in den Sicherheitsbereich fallen, werden die Endbenutzer blockiert, für die diese Einstellungen gelten, wenn diese nicht die entsprechende Version von Google Play Services verwenden oder keinen Zugriff auf Google Play Services haben.Since these are settings that fall in the area of security, the end user will be blocked if they have been targeted with these settings and are not meeting the appropriate version of Google Play Services or have no access to Google Play Services.

Apps unter iOSApp experience on iOS

Was geschieht, wenn ich einen Fingerabdruck oder ein Gesicht auf meinem Gerät hinzufüge oder entferne?What happens if I add or remove a fingerprint or face to my device?

Die Richtlinien für den Intune-App-Schutz ermöglichen es Ihnen, den App-Zugriff nur auf Benutzer mit Intune-Lizenz zu beschränken.Intune app protection policies allow control over app access to only the Intune licensed user. Eine der Möglichkeiten, den Zugriff auf die App zu steuern, besteht darin, Apple Touch ID oder Face ID auf unterstützten Geräten zu erfordern.One of the ways to control access to the app is to require either Apple's Touch ID or Face ID on supported devices. Intune implementiert ein Verhalten, bei dem Intune den Benutzer bei Änderungen an der biometrischen Datenbank des Geräts zur PIN-Eingabe auffordert, wenn der nächste Wert des Inaktivitätstimeouts erfüllt ist.Intune implements a behavior where if there is any change to the device's biometric database, Intune prompts the user for a PIN when the next inactivity timeout value is met. Zu Änderungen an biometrischen Daten zählen das Hinzufügen oder Entfernen von Fingerabdrücken oder Gesichtern.Changes to biometric data include the addition or removal of a fingerprint, or face. Wenn der Intune-Benutzer keine PIN festgelegt hat, wird er zu einem Fenster für die Einrichtung einer Intune-PIN weitergeleitet.If the Intune user does not have a PIN set, they are led to set up an Intune PIN.

Durch diese Maßnahmen sollen die Daten Ihrer Organisation innerhalb der App und auf App-Ebene geschützt werden.The intent of this is to continue keeping your organization's data within the app secure and protected at the app level. Dieses Feature ist nur für iOS/iPadOS verfügbar und erfordert, dass das Intune App SDK für iOS, Version 9.0.1 oder höher in betreffende Anwendungen integriert wird.This feature is only available for iOS/iPadOS, and requires the participation of applications that integrate the Intune APP SDK for iOS/iPadOS, version 9.0.1 or later. Die Integration des SDK ist erforderlich, damit das Verhalten für die Zielanwendungen erzwungen werden kann.Integration of the SDK is necessary so that the behavior can be enforced on the targeted applications. Diese Integration erfolgt kontinuierlich und ist abhängig von den jeweiligen Anwendungsteams.This integration happens on a rolling basis and is dependent on the specific application teams. Zu den betreffenden Apps zählen z. B. WXP, Outlook, Managed Browser und Yammer.Some apps that participate include WXP, Outlook, Managed Browser, and Yammer.

Ich kann die iOS-Freigabeerweiterung verwenden, um Geschäfts-, Uni- oder Schuldaten in nicht verwalteten Apps zu öffnen, auch wenn die Datenübertragungsrichtlinie auf „nur verwaltete Apps“ oder „keine Apps“ festgelegt ist. Führt das nicht zu Datenlecks?I am able to use the iOS share extension to open work or school data in unmanaged apps, even with the data transfer policy set to "managed apps only" or "no apps." Doesn't this leak data?

Die Intune-App-Schutzrichtlinie kann die iOS-Freigabeerweiterung nicht steuern, ohne das Gerät zu verwalten.Intune app protection policy cannot control the iOS share extension without managing the device. Daher verschlüsselt Intune „unternehmenseigene“ Daten, bevor diese außerhalb der App freigegeben werden.Therefore, Intune encrypts "corporate" data before it is shared outside the app. Sie können dies überprüfen, indem Sie versuchen, die „unternehmenseigene“ Datei außerhalb der verwalteten App zu öffnen.You can validate this by attempting to open the "corporate" file outside of the managed app. Die Datei sollte verschlüsselt sein und außerhalb der verwalteten App nicht geöffnet werden können.The file should be encrypted and unable to be opened outside the managed app.

Wie funktionieren die verschiedenen Zugriffseinstellungen für den Intune-App-Schutz unter iOS, die für dieselben Apps und Benutzer konfiguriert sind?How do multiple Intune app protection access settings that are configured to the same set of apps and users work on iOS?

Zugriffsrichtlinien für den Intune-App-Schutz werden in einer bestimmten Reihenfolge auf den Geräten von Endbenutzern angewendet, wenn diese versuchen, über ihr Unternehmenskonto auf eine App zuzugreifen.Intune app protection policies for access will be applied in a specific order on end user devices as they try to access a targeted app from their corporate account. In der Regel hat ein Zurücksetzungsvorgang Vorrang vor einem Block. Verwerfbare Warnungen werden erst als letztes berücksichtigt.In general, a wipe would take precedence, followed by a block, then a dismissible warning. Im Anschluss an die Einstellung, die dem Benutzer den Zugriff verweigert, wird z. B. eine Einstellung der mindestens erforderlichen iOS/iPadOS-Version angewendet, die den Benutzer auffordert, ein Update des iOS/iPadOS-Betriebssystems auszuführen (wenn dies auf den Benutzer/die App zutrifft).For example, if applicable to the specific user/app, a minimum iOS/iPadOS operating system setting that warns a user to update their iOS/iPadOS version will be applied after the minimum iOS/iPadOS operating system setting that blocks the user from access. In diesem Szenario konfiguriert der IT-Administrator die Einstellung für die mindestens erforderliche iOS/iPadOS-Version auf Version 11.0.0.0 und die mindestens erforderliche iOS/iPadOS-Version, die nur für Warnungen gilt, auf 11.1.0.0. Gleichzeitig versucht das Gerät, auf dem noch die iOS/iPadOS-Version 10 installiert ist, auf die App zuzugreifen. In Folge dessen wird der Endbenutzer basierend auf restriktiveren Einstellungen für die mindestens erforderliche iOS/iPadOS-Version blockiert und erhält keinen Zugriff.So, in the scenario where the IT admin configures the min iOS/iPadOS operating system to 11.0.0.0 and the min iOS/iPadOS operating system (Warning only) to 11.1.0.0, while the device trying to access the app was on iOS/iPadOS 10, the end user would be blocked based on the more restrictive setting for min iOS/iPadOS operating system version that results in blocked access.

Wenn verschiedene Arten von Einstellungen verarbeitet werden müssen, haben die Anforderungen hinsichtlich bestimmter Versionen des Intune App SDK Vorrang. Erst danach werden Anforderungen berücksichtigt, die eine Version einer App oder eines iOS/iPadOS-Betriebssystems betreffen.When dealing with different types of settings, an Intune App SDK version requirement would take precedence, then an app version requirement, followed by the iOS/iPadOS operating system version requirement. Anschließend werden in derselben Reihenfolge mögliche Warnungen für sämtliche Einstellungstypen überprüft.Then, any warnings for all types of settings in the same order are checked. Es wird empfohlen, die Anforderung, die die Intune App SDK-Version betrifft, nur unter Anleitung des Intune-Produktteams für grundlegende Blockierungsszenarios zu konfigurieren.We recommend the Intune App SDK version requirement be configured only upon guidance from the Intune product team for essential blocking scenarios.

Weitere Informationen:See also