Problembehandlung bei der Bereitstellung von App-Schutzrichtlinien in Intune

Dieser Artikel hilft IT-Administratoren, Probleme zu verstehen und zu beheben, wenn Sie App-Schutzrichtlinien (APP) in Microsoft Intune anwenden. Befolgen Sie die Anweisungen in den Abschnitten, die für Ihre Situation gelten. Weitere App-bezogene Anleitungen zur Problembehandlung finden Sie im Leitfaden, z. B . Problembehandlung bei Benutzerproblemen mit App-Schutzrichtlinien und Problembehandlung bei der Datenübertragung zwischen Apps.

Bevor Sie beginnen:

Bevor Sie mit der Problembehandlung beginnen, sammeln Sie einige grundlegende Informationen, die Ihnen helfen, das Problem besser zu verstehen und die Zeit für die Suche nach einer Lösung zu verkürzen.

Sammeln Sie die folgenden Hintergrundinformationen:

• Welche Richtlinieneinstellung wird angewendet oder nicht? Wird eine Richtlinie angewendet?
• Wie sieht die Benutzererfahrung aus? Haben Benutzer die Ziel-App installiert und gestartet?
• Wann hat das Problem begonnen? Hat der App-Schutz jemals funktioniert?
• Welche Plattform (Android oder iOS) hat das Problem?
• Wie viele Benutzer sind betroffen? Sind alle Benutzer oder nur einige Benutzer betroffen?
• Wie viele Geräte sind betroffen? Sind alle Geräte oder nur einige Geräte betroffen?
• Obwohl Intune App-Schutzrichtlinien keinen MDM-Dienst (Mobile Device Management, Verwaltung mobiler Geräte) erfordern, verwenden betroffene Benutzer Intune oder eine MDM-Lösung eines Drittanbieters?
• Sind alle verwalteten Apps oder nur bestimmte Apps betroffen? Sind beispielsweise branchenspezifische Apps betroffen, die mit dem Intune App SDK erstellt wurden, store-Apps jedoch nicht?
• Wird auf dem Gerät ein anderer Verwaltungsdienst als Intune verwendet?

Wenn die oben genannten Informationen vorhanden sind, können Sie mit der Problembehandlung beginnen.

Empfohlener Untersuchungsablauf

Die erfolgreiche Bereitstellung von App-Schutzrichtlinien hängt von der ordnungsgemäßen Konfiguration von Einstellungen und anderen Abhängigkeiten ab. Der empfohlene Ablauf für die Untersuchung häufiger Probleme mit Intune APP lautet wie folgt, den wir in diesem Artikel ausführlicher überprüfen:

1. Vergewissern Sie sich, dass die Voraussetzungen für die Bereitstellung von App-Schutzrichtlinien erfüllt sind.
2. Überprüfen Sie die App-Schutzrichtlinie status und überprüfen Sie die Zielgruppenadressierung.
3. Vergewissern Sie sich, dass der Benutzer als Ziel verwendet wird.
4. Vergewissern Sie sich, dass die verwaltete App als Ziel verwendet wird.
5. Vergewissern Sie sich, dass sich der Benutzer mit dem Ziel-Unternehmenskonto bei der betroffenen Anwendung angemeldet hat.
6. Sammeln von Gerätedaten.

Schritt 1: Überprüfen Sie die Voraussetzungen für die App-Schutzrichtlinie

Der erste Schritt bei der Problembehandlung besteht darin, zu überprüfen, ob alle Voraussetzungen erfüllt sind. Obwohl Sie Intune APP unabhängig von jeder MDM-Lösung verwenden können, müssen die folgenden Voraussetzungen erfüllt sein:

• Dem Benutzer muss eine Intune-Lizenz zugewiesen sein.

• Der Benutzer muss zu einer Sicherheitsgruppe gehören, für die eine App-Schutzrichtlinie gilt. Dieselbe App-Schutzrichtlinie muss auf die spezifische App abzielen, die verwendet wird.

• Für Android-Geräte ist die Unternehmensportal-App erforderlich, um App-Schutzrichtlinien zu erhalten.

• Wenn Sie Word-, Excel- oder PowerPoint-Apps verwenden, müssen die folgenden zusätzlichen Anforderungen erfüllt sein:

  • Der Benutzer muss über eine Lizenz für Microsoft 365 Apps for Business oder ein Unternehmen verfügen, das mit dem Microsoft Entra Konto des Benutzers verknüpft ist. Das Abonnement muss die Office-Apps auf mobilen Geräten enthalten und kann ein Cloudspeicherkonto mit OneDrive for Business umfassen. Microsoft 365-Lizenzen können im Microsoft 365 Admin Center zugewiesen werden, indem Sie diese Anweisungen befolgen.
  • Der Benutzer muss über einen verwalteten Speicherort verfügen, der mithilfe der granularen Funktion Speichern unter konfiguriert ist. Dieser Befehl befindet sich unter der Anwendungsschutzrichtlinieneinstellung Kopien von Organisationsdaten speichern. Wenn der verwaltete Speicherort beispielsweise OneDrive ist, sollte die OneDrive-App in der Word, Excel- oder PowerPoint-App des Benutzers konfiguriert werden.
  • Wenn es sich bei dem verwalteten Speicherort um OneDrive handelt, muss die App als Ziel der App-Schutzrichtlinie gelten, die für den Benutzer bereitgestellt wird.

  Hinweis

  Die mobilen Office-Apps unterstützen derzeit nur SharePoint Online und kein lokales SharePoint.

• Wenn Sie Intune App-Schutzrichtlinien zusammen mit lokalen Ressourcen (Microsoft Skype for Business und Microsoft Exchange Server) verwenden, müssen Sie die moderne Hybridauthentifizierung für Skype for Business und Exchange aktivieren.

Schritt 2: Überprüfen Sie den Status der App-Schutzrichtlinie

Überprüfen Sie die folgenden Details, um die status Ihrer App-Schutzrichtlinien zu verstehen:

• Gab es einen Benutzer-Check-in von dem betroffenen Gerät?
• Werden die Anwendungen für das Problemszenario über die zielorientierte Richtlinie verwaltet?
• Vergewissern Sie sich, dass der Zeitpunkt der Richtlinienübermittlung innerhalb des erwarteten Verhaltens liegt. Weitere Informationen finden Sie unter Grundlegendes zum Zeitpunkt der Bereitstellung von App-Schutzrichtlinien.

Verwenden Sie die folgenden Schritte, um ausführliche Informationen zu erhalten:

1. Melden Sie sich beim Microsoft Intune Admin Center an.
2. Wählen Sie Apps>Monitor>App-Schutz status und dann die Kachel Zugewiesene Benutzer aus.
3. Wählen Sie auf der Seite App-Berichterstellungdie Option Benutzer auswählen aus, um eine Liste mit Benutzern und Gruppen anzuzeigen.
4. Suchen Sie in der Liste nach einem der betroffenen Benutzer, und wählen Sie sie aus, und wählen Sie dann Benutzer auswählen aus. Oben auf der App-Berichtsseite können Sie sehen, ob der Benutzer für den App-Schutz lizenziert ist und über eine Lizenz für Microsoft 365 verfügt. Sie können auch den App-Status für alle Geräte des Benutzers sehen.
5. Notieren Sie sich wichtige Informationen wie die Ziel-Apps, Gerätetypen, Richtlinien, status des Geräte-Check-Ins und den Zeitpunkt der letzten Synchronisierung.

Hinweis

App-Schutzrichtlinien werden nur angewendet, wenn Apps im Arbeitskontext verwendet werden. Beispielsweise wenn der Benutzer über ein Arbeitskonto auf Apps zugreift.

Weitere Informationen finden Sie unter Überprüfen der Einrichtung Ihrer App-Schutzrichtlinie in Microsoft Intune.

Schritt 3: Überprüfen, ob der Benutzer als Ziel verwendet wird

Intune-App-Schutzrichtlinien müssen auf Benutzer ausgerichtet sein. Wenn Sie einem Benutzer oder einer Benutzergruppe keine App-Schutzrichtlinie zuweisen, wird die Richtlinie nicht angewendet.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Richtlinie auf den Zielbenutzer angewendet wird:

1. Melden Sie sich beim Microsoft Intune Admin Center an.
2. Wählen SieApps-Monitor>>App-Schutz status und dann die Kachel Benutzer status (basierend auf der Betriebssystemplattform des Geräts) aus. Wählen Sie im daraufhin geöffneten Bereich App-Berichterstellungdie Option Benutzer auswählen aus, um nach einem Benutzer zu suchen.
3. Wählen Sie den Benutzer aus der Liste aus. Sie können die Details für diesen Benutzer anzeigen. Beachten Sie, dass es bis zu 24 Stunden dauern kann, bis ein neuer Zielbenutzer in Berichten angezeigt wird.

Wenn Sie die Richtlinie einer Benutzergruppe zuweisen, stellen Sie sicher, dass sich der Benutzer in der Benutzergruppe befindet. Gehen Sie dazu wie folgt vor:

1. Melden Sie sich beim Microsoft Intune Admin Center an.
2. Wählen Sie Gruppen > Alle Gruppen aus, und suchen Sie dann nach der Gruppe, die für Ihre App-Schutzrichtlinienzuweisung verwendet wird, und wählen Sie sie aus.
3. Wählen Sie im Abschnitt Verwalten die Option Mitglieder aus.
4. Wenn der betroffene Benutzer nicht aufgeführt ist, lesen Sie Verwalten des Zugriffs auf Apps und Ressourcen mithilfe Microsoft Entra Gruppen und Ihrer Gruppenmitgliedschaftsregeln. Stellen Sie sicher, dass der betroffene Benutzer in der Gruppe enthalten ist.
5. Stellen Sie sicher, dass sich der betroffene Benutzer nicht in einer der ausgeschlossenen Gruppen für die Richtlinie befindet.

Wichtig

• Die Intune-App-Schutzrichtlinie muss Benutzergruppen und nicht Gerätegruppen zugewiesen werden.
• Wenn das betroffene Gerät Android Enterprise verwendet, unterstützen nur persönliche Arbeitsprofile App-Schutzrichtlinien.
• Wenn das betroffene Gerät die automatisierte Geräteregistrierung (Automated Device Enrollment, ADE) von Apple verwendet, stellen Sie sicher, dass die Benutzeraffinität aktiviert ist. Die Benutzeraffinität ist für jede App erforderlich, die eine Benutzerauthentifizierung unter ADE erfordert. Weitere Informationen zur iOS/iPadOS ADE-Registrierung finden Sie unter iOS/iPadOS-Geräte automatisch registrieren.

Schritt 4: Überprüfen, ob die verwaltete App als Ziel verwendet wird

Wenn Sie Intune App-Schutzrichtlinien konfigurieren, müssen die Ziel-Apps Intune App SDK verwenden. Andernfalls funktionieren App-Schutzrichtlinien möglicherweise nicht richtig.

Stellen Sie sicher, dass die Ziel-App unter Microsoft Intune geschützten Apps aufgeführt ist. Vergewissern Sie sich bei branchenspezifischen oder benutzerdefinierten Apps, dass die Apps die neueste Version von Intune App SDK verwenden.

Für iOS ist diese Vorgehensweise wichtig, da jede Version Korrekturen enthält, die sich darauf auswirken, wie diese Richtlinien angewendet werden und wie sie funktionieren. Weitere Informationen finden Sie unter iOS-Versionen des Intune App SDK. Android-Benutzer sollten die neueste Version der Unternehmensportal-App installiert haben, da die App als Policy Broker Agent fungiert.

Schritt 5: Überprüfen, ob sich der Benutzer mit dem Ziel-Unternehmenskonto bei der betroffenen Anwendung angemeldet hat

Einige Apps können ohne Benutzeranmeldung verwendet werden, aber um eine App mit Intune APP erfolgreich zu verwalten, müssen sich Ihre Benutzer mit ihren Unternehmensanmeldeinformationen bei der App anmelden. Intune App-Schutzrichtlinien erfordern, dass die Identität des Benutzers zwischen der App und Intune App SDK konsistent ist. Stellen Sie sicher, dass sich der betroffene Benutzer erfolgreich mit dem Firmenkonto bei der App angemeldet hat.

In den meisten Szenarien melden sich Benutzer mit ihrem Benutzerprinzipalnamen (UPN) bei ihren Konten an. In einigen Umgebungen (z. B. in lokalen Szenarien) verwenden Benutzer jedoch möglicherweise eine andere Form von Anmeldeinformationen. In diesen Fällen stellen Sie möglicherweise fest, dass der in der App verwendete UPN nicht mit dem UPN-Objekt in Microsoft Entra ID übereinstimmt. Wenn dieses Problem auftritt, werden App-Schutzrichtlinien nicht wie erwartet angewendet.

Die empfohlenen bewährten Methoden von Microsoft bestehen darin, den UPN mit der primären SMTP-Adresse abzugleichen. Auf diese Weise können sich Benutzer bei verwalteten Apps, Intune App-Schutz und anderen Microsoft Entra Ressourcen anmelden, indem sie über eine konsistente Identität verfügen. Weitere Informationen finden Sie unter Microsoft Entra UserPrincipalName-Auffüllung.

Diese Konsistenz kann nur durch moderne Authentifizierung gewährleistet werden. Es gibt Szenarien, in denen Apps in einer lokalen Konfiguration ohne moderne Authentifizierung funktionieren können. Die Ergebnisse sind jedoch nicht konsistent oder garantiert.

Wenn Ihre Umgebung alternative Anmeldemethoden erfordert, lesen Sie Konfigurieren einer alternativen Anmelde-ID, insbesondere hybrider moderner Authentifizierung mit alternativer ID.

Schritt 6: Sammeln Sie Gerätedaten mit Microsoft Edge

Arbeiten Sie mit dem Benutzer zusammen, um Details über den Versuch und die Schritte zu sammeln, die er ausführt. Bitten Sie den Benutzer, Screenshots oder Videoaufzeichnungen des Verhaltens zu sammeln. Dies hilft, die expliziten Geräteaktionen zu verdeutlichen, die ausgeführt werden. Sammeln Sie dann protokolle der verwalteten App über Microsoft Edge auf dem Gerät.

Benutzer, die Microsoft Edge auf ihrem iOS- oder Android-Gerät installiert haben, können die Verwaltungs-status aller von Microsoft veröffentlichten Apps anzeigen. Sie können die folgenden Schritte verwenden, um Protokolle zur Unterstützung bei der Fehlerbehebung zu senden.

1. Öffnen Sie Microsoft Edge für iOS und Android auf Ihrem Gerät.
2. Geben Sie in der Adressleiste about:intunehelp ein.
3. Microsoft Edge für iOS und Android wird im Fehlerbehebungsmodus gestartet.

Auf diesem Bildschirm werden ihnen zwei Optionen und Daten zum Gerät angezeigt.

Wählen Sie Intune App-Status anzeigen aus, um eine Liste der Apps anzuzeigen. Wenn Sie eine bestimmte App auswählen, werden die app-Einstellungen angezeigt, die dieser App zugeordnet sind, die derzeit auf dem Gerät aktiv sind.

Wenn die für eine bestimmte App angezeigten Informationen auf die App-Version beschränkt sind und mit dem Eincheckzeitstempel der Richtlinie gebündelt werden, bedeutet dies, dass derzeit keine Richtlinie auf diese App auf dem Gerät angewendet wird.

Mit der Option Erste Schritte können Sie Protokolle zu den APP-fähigen Anwendungen sammeln. Wenn Sie ein Supportticket bei Microsoft für App-Schutzrichtlinien öffnen, sollten Sie diese Protokolle nach Möglichkeit immer von einem betroffenen Gerät bereitstellen. Android-spezifische Anweisungen finden Sie unter Upload- und E-Mail-Protokolle.

Eine Liste der in den Intune Diagnostics (APP)-Protokollen gespeicherten Einstellungen finden Sie unter Überprüfen der Client-App-Schutzprotokolle.

Zusätzliche Fehlerbehebungsszenarien

Sehen Sie sich die folgenden gängigen Szenarien bei der Behandlung von APP-Problemen an. Sie können sich auch die Szenarien unter Allgemeine Probleme bei der Datenübertragung ansehen.

Szenario: Richtlinienänderungen werden nicht angewendet

Das Intune App SDK überprüft regelmäßig auf Richtlinienänderungen. Dieser Vorgang kann sich jedoch aus folgenden Gründen verzögern:

• Die App hat sich nicht beim Dienst angemeldet.
• Die Unternehmensportal-App wurde vom Gerät entfernt.

Die Intune-App-Schutzrichtlinie basiert auf der Benutzeridentität. Daher sind eine gültige Anmeldung, die ein Geschäfts-, Schul- oder Unikonto für die App verwendet, und eine konsistente Verbindung mit dem Dienst erforderlich. Wenn sich der Benutzer nicht bei der App angemeldet hat oder die Unternehmensportal-App vom Gerät entfernt wurde, werden Richtlinienaktualisierungen nicht angewendet.

Wichtig

Das Intune App SDK überprüft alle 30 Minuten auf selektives Zurücksetzen. Änderungen an bestehenden Richtlinien für Benutzer, die bereits angemeldet sind, werden jedoch möglicherweise bis zu 8 Stunden lang nicht angezeigt. Um diesen Prozess zu beschleunigen, müssen Sie den Benutzer bei der App abmelden und sich dann wieder anmelden oder sein Gerät neu starten.

Führen Sie die folgenden Schritte aus, um den App-Schutz status zu überprüfen:

1. Melden Sie sich beim Microsoft Intune Admin Center an.
2. Wählen Sie Apps>Monitor>App-Schutz status und dann die Kachel Zugewiesene Benutzer aus.
3. Wählen Sie auf der Seite App-Berichterstellung die Option Benutzer auswählen aus, um eine Liste mit Benutzern und Gruppen zu öffnen.
4. Suchen Sie in der Liste nach einem der betroffenen Benutzer, und wählen Sie sie aus, und wählen Sie dann Benutzer auswählen aus.
5. Überprüfen Sie die richtlinien, die derzeit angewendet werden, einschließlich der status und der letzten Synchronisierungszeit.
6. Wenn die status Nicht eingecheckt ist oder die Anzeige anzeigt, dass keine kürzlich durchgeführte Synchronisierung stattgefunden hat, überprüfen Sie, ob der Benutzer über eine konsistente Netzwerkverbindung verfügt. Stellen Sie für Android-Benutzer sicher, dass die neueste Version der Unternehmensportal-App installiert ist.

Intune-App-Schutzrichtlinien beinhalten Unterstützung für mehrere Identitäten. Intune kann App-Schutzrichtlinien nur auf das Geschäfts-, Schul- oder Unikonto anwenden, das bei der App angemeldet ist. Es wird jedoch nur ein Geschäfts-, Schul- oder Unikonto pro Gerät unterstützt.

Szenario: Intune registrierten iOS-Geräte erfordern eine zusätzliche Konfiguration

Wenn Sie eine App-Schutzrichtlinie erstellen, können Sie sie auf alle App-Typen oder die folgenden App-Typen ausrichten:

• Apps auf nicht verwalteten Geräten
• Apps auf Intune verwalteten Geräten
• Apps im persönlichen Android-Arbeitsprofil

Hinweis

Um die App-Typen anzugeben, legen Sie Ziel auf alle App-Typen auf Nein fest, und wählen Sie dann aus der Liste App-Typen aus.

Wenn Sie nur auf iOS Intune verwaltete Geräte abzielen, müssen die folgenden zusätzlichen App-Konfigurationseinstellungen neben Ihrer App-Schutzrichtlinie verwendet werden:

• IntuneMAMUPN muss für alle von MDM (Intune oder EMM eines Drittanbieters) verwalteten Anwendungen konfiguriert werden. Weitere Informationen finden Sie unter Konfigurieren der Benutzer-UPN-Einstellung für Microsoft Intune oder EMM eines Drittanbieters.
• IntuneMAMDeviceID muss für alle Drittanbieter- und LOB-MDM-verwalteten Anwendungen konfiguriert werden.
• IntuneMAMDeviceID muss als Geräte-ID-Token konfiguriert werden. Beispiel: key=IntuneMAMDeviceID, value={{deviceID}}. Weitere Informationen finden Sie unter App-Konfigurationsrichtlinien für verwaltete iOS-Geräte hinzufügen.
• Wenn nur der IntuneMAMDeviceID-Wert konfiguriert ist, betrachtet Intune APP das Gerät als nicht verwaltet.

Nächste Schritte

• Behandeln von Problemen mit Benutzern von App-Schutzrichtlinien
• Häufig gestellte Fragen zu MAM und App-Schutz
• Überprüfen Der Einrichtung der App-Schutzrichtlinie in Microsoft Intune