Häufige Probleme und Szenarien bei der Datenübertragung

  • Artikel
  • 7 Minuten Lesedauer

Dieser Artikel enthält Problembehandlungsprüfungen für häufige Szenarien, in denen die Datenübertragung nicht wie erwartet mit Intune App-Schutzrichtlinien (APP) eingeschränkt wird. Allgemeine Anleitungen zur Problembehandlung im Zusammenhang mit der Datenübertragung und Intune APP finden Sie unter Problembehandlung bei der Datenübertragung zwischen Apps.

Benutzer können Unternehmensdateien übertragen oder Unternehmensdaten in nicht verwaltete Apps kopieren/einfügen.

In diesem Szenario kann ein Benutzer unerwartet Unternehmensdateien in nicht verwaltete Apps übertragen oder Daten aus einem Unternehmensdokument in nicht verwaltete Apps kopieren und einfügen.

  • Überprüfen Sie den Einstellungswert "Organisationsdaten an andere Apps senden" sowohl im Microsoft Endpoint Manager Admin Center als auch auf der Geräteseite mitHilfe von Microsoft Edge. Wenn sie auf "Alle Apps" festgelegt ist, können Benutzer Dateien in beliebige Apps übertragen. Anweisungen hierzu finden Sie unter [Link zum Abschnitt in einem anderen Artikel: Bestätigen, dass die erwarteten App-Schutzrichtlinieneinstellungen auf die Apps angewendet werden].

  • Vergewissern Sie sich, dass der Benutzer mit Unternehmenskonten und Unternehmensdaten arbeitet. Persönliche Konten und Daten sind nicht durch App-Schutzrichtlinien geschützt. Office-Dateien wie Word-, Excel- und PowerPoint-Dateien werden nicht als Unternehmensdaten behandelt, es sei denn, sie werden an verwalteten Speicherorten wie OneDrive for Business gespeichert.

Der Benutzer kann Dateien von nicht verwalteten Apps empfangen.

In diesem Szenario kann ein Benutzer unerwartet Dateien von nicht verwalteten Apps empfangen. Beispielsweise können Dateien aus der Kamera-, OneDrive for Business- oder SharePoint-App eingefügt werden.

  • Überprüfen Sie den Einstellungswert "Empfangen von Daten von anderen Apps" sowohl im Microsoft Endpoint Manager Admin Center als auch auf der Geräteseite mitHilfe von Microsoft Edge. Wenn sie auf "Alle Apps" festgelegt ist, können Benutzer Dateien von beliebigen Apps übertragen. Anweisungen hierzu finden Sie unter [Link zum Abschnitt in einem anderen Artikel: Bestätigen, dass die erwarteten App-Schutzrichtlinieneinstellungen auf die Apps angewendet werden].

  • Überprüfen Sie außerdem die Einstellungswerte für "Daten in Organisationsdokumenten öffnen ", und ermöglichen Sie Benutzern das Öffnen von Daten aus ausgewählten Diensten , um die von Ihnen blockierte/zugelassene Datenquelle einzuschränken. Derzeit können Sie Die Datenquellen für Kamera und Fotobibliothek nicht separat steuern.

    Dropdownoptionen für "Benutzern das Öffnen von Daten aus ausgewählten Diensten erlauben" im Admin Center.

Benutzer können Dateien auch dann an nicht verwaltete Apps übertragen, wenn die Datenübertragung eingeschränkt ist.

In diesem Szenario kann ein Benutzer Dateien in nicht verwaltete Richtlinien-Apps übertragen, obwohl Sie " Organisationsdaten an andere Apps senden " auf "Richtlinien-verwaltete Apps" festgelegt haben.

  • Überprüfen Sie den Einstellungswert " Apps auswählen", um den Einstellungswert freizustellen, und stellen Sie sicher, dass die empfangende App nicht als Ausnahme für die Datenübertragung festgelegt ist.

    Screenshot mit der Option "Apps auswählen, die ausgenommen werden sollen" unter "Organisationsdaten an andere Apps senden".

  • Wenn die Datei nach der Übertragung an nicht verwaltete Apps immer noch verschlüsselt ist, wird dieses Verhalten wie unter "Bestätigen der Verschlüsselung der Daten nach dem Übertragen von Dateien" erläutert erwartet. Die Dateien sind verschlüsselt und können nicht mit nicht verwalteten Apps geöffnet werden.

Benutzer können Unternehmensdateien im lokalen Speicher speichern, wenn sie blockiert werden sollen.

In diesem Szenario kann ein Benutzer Dateien im lokalen Speicher speichern, obwohl "Kopien von Organisationsdaten speichern " auf "Blockieren" festgelegt ist. Wie im vorherigen Szenario wird auch dieses Verhalten erwartet, solange die gespeicherten Dateien verschlüsselt sind. Einige Apps implementieren die Datenfreigabe mit der Dateien-App. In diesem Fall können Benutzer verschlüsselte Unternehmensdaten an die Files-App übertragen.

Die Richtlinie wird angewendet, aber iOS-Benutzer können weiterhin Arbeitsdateien in nicht verwaltete Apps übertragen.

Das Open-In-Verwaltungsfeature ( ) für iOS-Geräte (d. h. Freigabeerweiterung) kann Dateiübertragungen zwischen Apps einschränken, die über eine MdM-Lösung (Mobile Device Management) bereitgestellt werden. Je nach Konfiguration kann der Benutzer Arbeitsdateien von verwalteten Speicherorten wie OneDrive und Exchange in nicht verwaltete Apps oder Speicherorte übertragen. Das iOS Open-In-Verwaltungsfeature funktioniert außerhalb anderer Datenübertragungsmethoden. Daher ist dies nicht von den Einstellungen "Speichern unter" und " Kopieren/Einfügen" betroffen.

Sie können Intune App-Schutzrichtlinien zusammen mit dem iOS Open-In-Verwaltungsfeature verwenden, um Unternehmensdaten auf folgende Weise zu schützen:

  • Geräte im Besitz von Mitarbeitern, die nicht von einer MDM-Lösung verwaltet werden: Sie können die Richtlinieneinstellungen für den App-Schutz so festlegen, dass die App Daten nur an richtlinien verwaltete Apps übertragen kann. Anschließend stellt das Open-In-Verhalten in einer richtlinienverwalteten App nur andere richtlinienverwaltete Apps als Optionen für die Freigabe bereit. Wenn ein Benutzer beispielsweise versucht, eine geschützte Datei als Anlage von OneDrive in der systemeigenen Mail-App zu senden, kann diese Datei nicht gelesen werden.

  • Geräte, die von MDM-Lösungen verwaltet werden: Für Geräte, die in Intune- oder Drittanbieter-MDM-Lösungen registriert sind, steuern Intune APP und das Open-In-Verwaltungsfeature von iOS die Datenfreigabe zwischen geschützten Apps und anderen verwalteten iOS-Apps, die über MDM bereitgestellt werden.

Weitere Informationen zum Empfangen und Freigeben von App-Daten finden Sie in den Richtlinieneinstellungen für den iOS-App-Schutz und zum Verwalten der Datenübertragung zwischen iOS-Apps in Microsoft Intune. Ausführliche Informationen zum Anpassen der Apps, die beim Teilen angezeigt werden, finden Sie im folgenden Szenario.

Ich möchte die in der iOS-Freigabeerweiterung verfügbaren Apps anpassen.

Ein häufiges Szenario, das Administratoren anwenden möchten, besteht darin, die Liste der Apps zu filtern, die in der iOS-Freigabeerweiterung (empfangende Apps) angezeigt werden, um die Datenübertragung an nicht verwaltete Apps zu verhindern. Es gibt zwei Methoden, um zu steuern, welche Apps in der Freigabeerweiterung verfügbar sind. Sie können beide Methoden kombinieren, wenn Sie eine MDM-Lösung verwenden.

Option A: Einschränken der Freigabe für Intune-verwaltete Geräte

  • Legen Sie die MdM-Geräteeinschränkungseinstellung " Anzeigen von Unternehmensdokumenten in nicht verwalteten Apps blockieren" auf "Ja" fest.
  • Verwenden Sie Intune MDM, um die Apps bereitzustellen, zwischen denen Sie die Datenfreigabe zulassen möchten.
  • Stellen Sie keine anderen Apps bereit, und lassen Sie ihre Benutzer sie stattdessen über die Apple App Store installieren.

Bei dieser Konfiguration werden nur von MDM verwaltete Apps in der Freigabeerweiterung angezeigt, wenn die Absender-App MDM verwaltet wird. Hier ist ein Beispiel, wie sich Apps in der Freigabeerweiterung mit der MDM-Einstellung ändern. In diesem Beispiel wird die Teams-App nicht mit Intune bereitgestellt, sodass die App nicht in der Freigabeerweiterung angezeigt wird.

Parallele Screenshots mit den verschiedenen Optionen für Apps, mit denen Sie ein Dokument öffnen können, vor und nach dem Anwenden der MDM-Einstellung.

Option B: Einschränken der Freigabe für Geräte mit app-verwalteten Apps

  • Legen Sie die App-Schutzeinstellung " Organisationsdaten an andere Apps senden " auf "Richtlinienverwaltete App mit Open-In/Freigabefilterung" fest.

Bei dieser Konfiguration wird die Freigabeerweiterung so gefiltert, dass nur Apps angezeigt werden, die Intune APP unterstützen. Diese Methode kann für eine Anwendungsverwaltung ohne Registrierungsszenario verwendet werden. Das folgende Beispiel zeigt, wie sich die verfügbaren Apps in der Freigabeerweiterung ändern, sobald Sie die Richtlinieneinstellung auf richtlinienverwaltete App mit Open-In-/Freigabefilterung festgelegt haben. In diesem Beispiel wird die Dropbox-App nicht in der Freigabeerweiterung angezeigt, da sie Intune APP nicht unterstützt. Außerdem wird die Option "In Dateien speichern" herausgefiltert, um die Datenübertragung mithilfe der lokalen Dateien-App zu verhindern.

Parallele Screenshots mit den verschiedenen Optionen für Apps, an die Sie eine Datei vor und nach dem Anwenden der MDM-Einstellung senden können.

Weitere Informationen finden Sie unter Verwalten der Datenübertragung zwischen iOS-Apps in Microsoft Intune.

Ich möchte die Apps anpassen, für die Benutzer auf Android-Geräten freigeben können

Bei Android-Arbeitsprofilen und vollständig verwalteten Geräten gibt es einige Überlegungen, um zu steuern, für welche Apps Ihre Benutzer Dateien freigeben können (Empfangen von Apps). Als bewährte Methode zum Steuern der Datenübertragung verwenden Sie verwaltetes Google Play, um die Apps bereitzustellen, zwischen denen Sie die Datenfreigabe zulassen möchten, und stellen Sie keine anderen unnötigen Apps bereit. Bei Android-Arbeitsprofilgeräten können Benutzer Dateien nur für apps freigeben, die im Arbeitsprofil installiert sind.

Benutzer können nicht genehmigte Google Play-Apps installieren und freigeben

In diesem Szenario installieren Benutzer nicht genehmigte Apps manuell von Google Play auf vollständig verwaltete Android Enterprise-Geräte, und sie können Dateien für die Apps freigeben.

Überprüfen Sie die Einstellung für MDM-Geräteeinschränkung . Zugriff auf alle Apps im Google Play Store zulassen. Wenn Sie die App-Installation nicht explizit zulassen möchten, sollte sie auf "Nicht konfiguriert" festgelegt werden, was der Standardwert ist. Wenn die Einstellung auf "Zulassen" festgelegt ist, können Benutzer beliebige Apps mit verwalteter Google Play-App installieren und auf vollständig verwalteten Geräten verwenden.

Screenshot mit der Option "Zugriff auf alle Apps im Google Play Store zulassen" im Admin Center.

Wenn ein Benutzer in diesem Szenario eine URL oder einen universellen Link auswählt, wird er in einer nicht verwalteten App anstelle des Schützen-Browsers, Microsoft Edge, geöffnet. Weitere Informationen finden Sie unter iOS-App-Schutzrichtlinieneinstellungen.

  • Überprüfen Sie, ob die Dropdowneinstellung " Webinhaltsübertragung mit anderen Apps einschränken " auf "Microsoft Edge" festgelegt ist.

  • Überprüfen Sie, ob die Linkadressen in den Einstellungen " Universelle Links auswählen" und "Verwaltete universelle Links auswählen" aufgeführt sind. Die in diesen Listen angegebenen universellen Links können mit anderen Apps statt mit Microsoft Edge geöffnet werden. Entfernen Sie die Links aus diesen Listen, um sie mit Microsoft Edge zu öffnen.

    Screenshot mit den Einstellungen "Organisationsdaten an andere Apps senden", der zwei Einstellungen für universelle Links enthält, die überprüft werden müssen.

Dieses Szenario ist das Gegenteil des vorherigen Szenarios: Sie möchten, dass eine URL oder ein universeller Link in der entsprechenden verwalteten App geöffnet wird, stattdessen aber in Microsoft Edge geöffnet wird.

  • Überprüfen Sie, ob die Links in den Einstellungen " Universelle Links auswählen" und " Verwaltete universelle Links auswählen" aufgeführt sind. Wenn nicht, fügen Sie sie hinzu, damit sie in der angegebenen App geöffnet werden.