Problembehandlung bei der Datenübertragung zwischen Apps
Dieser Artikel enthält Anleitungen zur Problembehandlung für Szenarien, in denen eine Microsoft Intune App-Schutzrichtlinie (APP) zum Blockieren der Datenübertragung nicht wie beabsichtigt funktioniert. Eine der häufigsten Verwendungsmöglichkeiten von Intune APP ist der Datenschutz, um die Übertragung von Unternehmensdaten zwischen Intune app-verwalteten Apps zu steuern und die Datenübertragung auf nicht verwaltete Apps einzuschränken. Benutzer können beispielsweise Unternehmensdaten aus der Outlook-App in die Excel-App übertragen (beide sind richtlinienverwaltete Apps), aber nicht in die Dropbox-App (eine nicht verwaltete App).
Wenn Sie Intune APP für den Datenschutz anwenden, würde ein schwerwiegendes unerwartetes Verhalten darin auftreten, dass Ihre Benutzer Daten von einer verwalteten App, z. B. Outlook, an eine nicht verwaltete App wie Dropbox übertragen. Verwenden Sie in solchen Szenarien die Schritte zur Problembehandlung in diesem Artikel, um das Problem zu diagnostizieren und zu beheben. Allgemeine App-Problembehandlung finden Sie unter Problembehandlung bei der Bereitstellung von App-Schutzrichtlinien in Intune.
Stellen Sie sicher, dass Sie unterstützte Plattformen, Betriebssystemversionen und Apps verwenden
Sie können zunächst bestätigen, dass Sie die Voraussetzungen für die Verwendung von App-Schutzrichtlinien erfüllt haben. Es gibt einige Anforderungen für unterstützte Plattformen, Betriebssystemversionen und Apps.
Unterstützte Plattformen: App-Schutz Richtlinien werden unter iOS, iPadOS und Android unterstützt. Freigegebene iPad-Geräte und dedizierte Android Enterprise-Geräte werden jedoch nicht unterstützt.
Unterstützte Betriebssystemversionen: Überprüfen Sie, ob Sie mit einem unterstützten Betriebssystem und einer unterstützten Version arbeiten, und beachten Sie alle speziellen Versionsanforderungen für App-Schutzrichtlinien: Unterstützte Betriebssysteme und Browser in Intune. Unterstützte OSes werden sich in Zukunft ändern, und ältere Versionen werden nicht unterstützt. Außerdem müssen Sie die Anforderungen jeder verwendeten App erfüllen, z. B. Office-Apps.
Unterstützte Apps: Apps müssen in das Microsoft Intune App SDK integriert werden, um App-Schutzrichtlinien zu unterstützen. Eine Liste der unterstützten Microsoft-Apps und Partner-Apps finden Sie unter Microsoft Intune geschützten Apps.
Stellen Sie sicher, dass es sich bei dem Konto um ein Unternehmenskonto handelt und dass es sich bei der Datei um Unternehmensdaten handelt.
Der Anwendungsbereich von Intune App-Schutzrichtlinien sind Unternehmenskonten und Unternehmensdaten. Mit anderen Worten: Sie können APP nicht verwenden, um persönliche Konten zu schützen oder die Übertragung personenbezogener Daten zu verwalten. Um APP richtig anzuwenden, müssen Sie sicherstellen, dass es sich bei dem von Ihnen verwendeten Konto um ein Unternehmenskonto handelt und dass es sich bei den Daten, die Sie freigeben möchten, um Unternehmensdaten handelt. Überprüfen Sie Folgendes:
Unternehmenskonten: Die Benutzerkonten gehören zum Azure Active Directory (Azure AD)-Mandanten Ihres Unternehmens. Die Konten können mithilfe von Azure AD Connect mit lokales Active Directory synchronisiert werden. Sie müssen Ihren Benutzern Intune Lizenzen zuweisen, um APP verwenden zu können.
Unternehmensdaten: Die Daten, die an verwalteten Speicherorten gespeichert sind, z. B. OneDrive for Business oder SharePoint Online. Daten, die an persönlichen, lokalen Speicherorten gespeichert sind, werden nicht als Unternehmensdaten behandelt. Bei Microsoft Office-Apps (z. B. Word oder Excel) werden leere Dateien nicht als Unternehmensdaten behandelt. Wenn Sie Office-Dateien auf OneDrive for Business speichern, werden sie als Unternehmensdaten behandelt. Wenn Sie Office-Dateien im lokalen Speicher speichern, werden sie als personenbezogene Daten behandelt. Für die Outlook-App werden empfangene, gesendete und Entwurfs-E-Mails als Unternehmensdaten behandelt, wenn sie während der Anmeldung mit einem Unternehmenskonto erstellt wurden.
Multiidentitäts-Apps: Einige Apps wie Outlook und OneDrive unterstützen Multiidentität, und Sie können den Apps gleichzeitig Unternehmens- und persönliche Konten hinzufügen. In diesem Szenario werden Dateien, E-Mails und Dokumente unter den Unternehmenskonten als Unternehmensdaten behandelt und durch APP geschützt. Beispielsweise handelt es sich bei Dateien, die im OneDrive for Business-Speicher gespeichert sind, um Unternehmensdaten. Outlook-E-Mails und -Anlagen im Unternehmens-E-Mail-Konto werden auch als Unternehmensdaten behandelt. Sie können die Datenübertragung dieser Daten mithilfe von APP einschränken. Andererseits werden OneDrive-Dateien und Outlook-E-Mails unter persönlichen Konten als personenbezogene Daten behandelt. Die Datenübertragung für diese Konten wird von APP nicht eingeschränkt.
Überprüfen, ob sich die Apps im Arbeitsprofil befinden
Wenn Sie Android-Arbeitsprofilgeräte verwenden, stellen Sie sicher, dass Ihre Benutzer beim Arbeiten mit Unternehmensdaten Apps im Arbeitsprofil anstelle von Apps im persönlichen Profil verwenden. Um Intune APP auf diese Geräte anzuwenden, müssen Sie die Intune-Unternehmensportal-App im Arbeitsprofil installieren.
Apps im Arbeitsprofil werden mit einem Aktenkoffer-Badge auf den App-Symbolen identifiziert.
Vergewissern Sie sich, dass die erwarteten APP-Einstellungen auf die Apps angewendet werden.
Der nächste Schritt besteht darin, die Richtlinieneinstellungen für den App-Schutz sowohl im Microsoft Endpoint Manager Admin Center als auch auf der Geräteseite zu überprüfen. Im Folgenden finden Sie einige allgemeine Überprüfungen, um festzustellen, ob Sie die Einstellungen im Admin Center ordnungsgemäß konfiguriert haben, und bestätigen dann, dass dieselben Einstellungen auf Apps auf den Geräten angewendet werden.
Überprüfen der APP-Einstellungen in Endpoint Manager
Im Endpoint Manager Admin Center können Sie Ihre App-Schutzrichtlinien unter "Apps > App-Schutz-Richtlinien" erstellen und verwalten. Der Abschnitt "Datenschutz " enthält wichtige Einstellungen für Datenübertragungsszenarien, die Sie überprüfen sollten, wenn unerwartetes Verhalten auftritt. In der folgenden Tabelle sind allgemeine APP-Einstellungen für den Datenschutz und deren Anwendungsfälle aufgeführt.
| Einstellungsname im Admin Center | Einstellungswert | Anwendungsfall |
|---|---|---|
| Senden von Organisationsdaten an andere Apps | Richtlinienverwaltete Apps | Einschränken der Datenübertragung auf Richtlinien-verwaltete Apps. Daten können an nicht verwaltete Apps übertragen werden, aber die Daten sind verschlüsselt und können nicht geöffnet werden. |
| Richtlinien-verwaltete Apps mit Betriebssystemfreigabe* | Ähnlich wie "Richtlinien-verwaltete Apps", aber richtlinienverwaltete Apps von der Einschränkung durch Anwenden der App-Konfigurationsrichtlinie "IntuneMAMUPN" ausgenommen. | |
| Richtlinienverwaltete App mit Open-In/Share-Filterung* | Schränken Sie die Datenübertragung ein, indem Sie Apps filtern, die in Freigabeerweiterungen angezeigt werden. | |
| Wählen Sie die Apps aus, die ausgenommen werden sollen | Benutzerdefinierte URI-Schemas (iOS) | Zulassen der Datenübertragung an bestimmte nicht verwaltete Apps. |
| (Android)-App-PackageIDs | Zulassen der Datenübertragung an bestimmte nicht verwaltete Apps. | |
| Wählen Sie universelle Links aus, die ausgenommen werden sollen* | URL-Zeichenfolgen | URL-Links, die Sie mit nicht verwalteten Apps anstelle von Microsoft Edge öffnen möchten. |
| Verwaltete universelle Links auswählen* | URL-Zeichenfolgen | URL-Links, die Sie mit verwalteten Apps anstelle von Microsoft Edge öffnen möchten. |
| Kopien von Organisationsdaten speichern | Blockieren | Blockieren oder Einschränken von Speicherorten, an die Sie Dateien speichern können. |
| Benutzer das Speichern von Kopien in den ausgewählten Diensten ermöglichen | OneDrive for Business, SharePoint, Box, lokaler Speicher | Wählen Sie Speicherorte aus, die Sie als verwalteten Speicherort festlegen möchten. Sie können Dateien an ausgewählten Speicherorten speichern. Andere Speicherorte werden blockiert oder Daten werden verschlüsselt. |
| Daten von anderen Apps empfangen | Alle Apps | Zulassen, dass eingehende Daten von allen Apps empfangen werden, einschließlich nicht verwalteter Apps. |
| Alle Apps mit eingehenden Organisationsdaten* | Zulassen, dass eingehende Daten von allen Apps empfangen werden, einschließlich nicht verwalteter Apps. | |
| Richtlinienverwaltete Apps | Empfangen von Daten nur von richtlinien verwalteten Apps. | |
| Keine | Blockieren eingehender Daten aus beliebigen Apps. | |
| Daten in Organisationsdokumenten öffnen | Zulassen | Öffnen von Daten aus beliebigen Datenquellen zulassen. |
| Blockieren | Einschränken des Öffnens von Daten aus bestimmten Datenquellen. | |
| Benutzern das Öffnen von Daten aus ausgewählten Diensten gestatten | OneDrive for Business, SharePoint, Kamera | Wählen Sie Datenquellen aus, aus denen Sie das Öffnen von Daten zulassen möchten. |
| Übertragung von Webinhalten mit anderen Apps einschränken | Microsoft Edge | Schützen Sie Webinhalte, indem Sie URL-Links mit der Microsoft Edge-App öffnen, bei der es sich um eine richtlinien verwaltete App handelt. |
*Nur für iOS/iPadOS verfügbar
Weitere Informationen finden Sie unter iOS/iPadOS-App-Schutzrichtlinieneinstellungen und Richtlinieneinstellungen für den Android-App-Schutz.
Überprüfen von APP-Einstellungen auf geräteseitiger Seite mit Microsoft Edge
Sie können Intune Diagnose in Microsoft Edge ausführen, um jede APP-Einstellung zu überprüfen, die auf jede App auf einem Gerät angewendet wird. Öffnen Sie Microsoft Edge auf dem Gerät, und geben Sie die folgende URL ein: about:intunehelp
Intune Diagnose wird geöffnet, wie in den folgenden Beispielen gezeigt. Tippen Sie auf "Ansicht Intune App-Status (iOS/iPad)" oder "APP INFO anzeigen" (Android), um die APP-Einstellungen anzuzeigen, die auf jede App auf dem Gerät angewendet wurden. Sie können Werte von Einstellungen in dieser Ansicht mit den in Endpoint Manager konfigurierten vergleichen. Eine Erläuterung der Werte dieser Einstellungen finden Sie unter Überprüfen der Client-App-Schutzprotokolle.
In dieser Ansicht können Sie auch die App-Versionsinformationen und Intune App SDK-Versionsinformationen überprüfen.
Vergleichen des Verhaltens mit anderen Geräten, Benutzern, Apps und Mustern
Vergleichen Sie das Verhalten zwischen Geräten, Benutzern, Apps und Vorgängen, um die Ursache zu trennen und einzugrenzen. Versuchen Sie, das Problem auf anderen Geräten und mit anderen Benutzern zu identifizieren oder zu reproduzieren, um zu verstehen, ob das Problem für ein Gerät oder eine Teilmenge von Geräten spezifisch ist. Wenn das Problem auf anderen Geräten nicht angezeigt wird, versuchen Sie zu ermitteln, was an dem problematischen Gerät anders ist, z. B. Benutzergruppen, Gerätemodelle, Betriebssystemversionen usw.
Es hilft auch, das Verhalten zwischen Apps zu vergleichen. Ein Problem, das bei der Excel-App auftritt, tritt möglicherweise nicht mit der Word-App auf. Wenn Sie diese Vergleiche durchführen, ist es wichtig, App-Versionen und Intune App SDK-Versionen zu beachten, da das unerwartete Verhalten nur bei bestimmten Versionen auftreten kann. Es wird empfohlen, Apps regelmäßig auf die neueste verfügbare Version zu aktualisieren.
Vergewissern Sie sich, dass die Daten verschlüsselt sind, sobald Dateien übertragen werden
In einigen Szenarien für iOS- oder iPadOS-Geräte können Dateien in nicht verwaltete Apps übertragen werden, auch wenn Sie " Organisationsdaten an andere Apps senden " auf "Richtlinien-verwaltete Apps" festlegen und Kopien von Organisationsdaten auf "Blockieren" speichern. Ein Benutzer kann beispielsweise Freigabeoptionen verwenden, um Word-Dateien von Unternehmen aus der Word-App in die Dropbox-App zu übertragen.
Dies ist ein erwartetes Verhalten, da das Festlegen von "Senden von Organisationsdaten an andere Apps " auf "Richtlinien-verwaltete Apps" keine Apps herausfiltert, die in der Freigabeerweiterung angezeigt werden. Und obwohl Kopien von Organisationsdaten gespeichert werden können, können Speichervorgänge blockiert werden, die Freigabeoptionen werden jedoch nicht blockiert. Daher können Benutzer mit diesen Einstellungen weiterhin Unternehmensdaten an nicht verwaltete Apps übertragen. Nach der Übertragung werden die Daten jedoch weiterhin mit APP verschlüsselt, sodass die übertragenen Dateien nicht mit nicht verwalteten Apps geöffnet werden können.
Weitere Informationen finden Sie in den häufig gestellten Fragen.For more details please please this FAQ.