Datenschutzframework, das App-Schutzrichtlinien anwendet
Da immer mehr Organisationen Strategien für mobile Geräte für den Zugriff auf Geschäfts-, Schul- oder Unidaten implementieren, ist der Schutz vor Datenlecks von entscheidender Bedeutung. Intune Lösung für die Verwaltung mobiler Anwendungen zum Schutz vor Datenlecks ist App-Schutzrichtlinien (APP). APP sind Regeln, die sicherstellen, dass die Daten eines organization sicher bleiben oder in einer verwalteten App enthalten bleiben, unabhängig davon, ob das Gerät registriert ist. Weitere Informationen finden Sie unter Übersicht über App-Schutz-Richtlinien.
Beim Konfigurieren von App-Schutzrichtlinien können Organisationen anhand der Anzahl verschiedener Einstellungen und Optionen den Schutz an ihre spezifischen Anforderungen anpassen. Aufgrund dieser Flexibilität ist es möglicherweise nicht offensichtlich, welche Permutation von Richtlinieneinstellungen erforderlich ist, um ein vollständiges Szenario zu implementieren. Um Organisationen bei der Priorisierung der Clientendpunkthärtung zu unterstützen, hat Microsoft eine neue Taxonomie für Sicherheitskonfigurationen in Windows 10 eingeführt, und Intune nutzt eine ähnliche Taxonomie für sein APP-Datenschutzframework für die Verwaltung mobiler Apps.
Das APP-Datenschutzkonfigurationsframework ist in drei verschiedene Konfigurationsszenarien unterteilt:
Enterprise Basic Data Protection (Stufe 1): Microsoft empfiehlt diese Konfiguration als Mindestkonfiguration für den Datenschutz für ein Unternehmensgerät.
Stufe 2 erweiterter Datenschutz für Unternehmen: Microsoft empfiehlt diese Konfiguration für Geräte, auf denen Benutzer auf vertrauliche oder vertrauliche Informationen zugreifen. Diese Konfiguration gilt für die meisten mobilen Benutzer, die auf Geschäfts-, Schul- oder Unidaten zugreifen. Einige Steuerungsmöglichkeiten können sich auf das Benutzererlebnis auswirken.
Hohe Datenschutzstufe 3 für Unternehmen– Microsoft empfiehlt diese Konfiguration für Geräte, die von einem organization mit einem größeren oder anspruchsvolleren Sicherheitsteam ausgeführt werden, oder für bestimmte Benutzer oder Gruppen, die einem eindeutig hohen Risiko ausgesetzt sind (Benutzer, die mit hochsensiblen Daten umgehen, bei denen die unbefugte Offenlegung erheblichen materiellen Verlust für die organization verursacht). Eine organization, die wahrscheinlich von gut finanzierten und anspruchsvollen Angreifern ins Visier genommen wird, sollte diese Konfiguration anstreben.
Bereitstellungsmethodik des APP-Datenschutzframeworks
Wie bei jeder Bereitstellung neuer Software, Features oder Einstellungen empfiehlt Microsoft die Investition in eine Ringmethodik zum Testen der Überprüfung vor der Bereitstellung des APP-Datenschutzframeworks. Das Definieren von Bereitstellungsringen ist in der Regel ein einmaliges Ereignis (oder zumindest selten), aber die IT sollte diese Gruppen erneut überprüfen, um sicherzustellen, dass die Sequenzierung weiterhin korrekt ist.
Microsoft empfiehlt den folgenden Bereitstellungsringansatz für das APP-Datenschutzframework:
| Bereitstellungsring | Mandant | Bewertungsteams | Ausgabe | Zeitachse |
|---|---|---|---|---|
| Qualitätssicherung | Präproduktionsmandant | Inhaber mobiler Funktionen, Sicherheit, Risikobewertung, Datenschutz, Servicequalität | Funktionelle Szenarioüberprüfung, Entwurfsdokumentation | 0-30 Tage |
| Vorschau | Produktionsmandant | Inhaber mobiler Funktionen, Servicequalität | Überprüfung von Endbenutzerszenarien, Benutzerdokumentation | 7-14 Tage, nach der Qualitätssicherung |
| Produktion | Produktionsmandant | Inhaber mobiler Funktionen, IT-Helpdesk | Nicht zutreffend | 7 Tage bis zu mehreren Wochen, nach der Vorschauphase |
Wie in der obigen Tabelle angegeben, sollten alle Änderungen an den App-Schutzrichtlinien zuerst in einer Präproduktionsumgebung ausgeführt werden, um die Auswirkungen auf die Richtlinieneinstellung zu verstehen. Sobald die Tests abgeschlossen sind, können die Änderungen in die Produktion verschoben und auf eine Teilmenge der Produktionsbenutzer angewendet werden, im Allgemeinen auf die IT-Abteilung und andere anwendbare Gruppen. Und schließlich kann der Rollout für den Rest der mobilen Benutzercommunity abgeschlossen werden. Der Rollout in die Produktion kann je nach Umfang der Auswirkungen in Bezug auf die Änderung länger dauern. Wenn es keine Auswirkungen auf den Benutzer gibt, sollte die Änderung schnell ausgeführt werden. Wenn die Änderung jedoch zu Auswirkungen auf den Benutzer führt, muss der Rollout möglicherweise langsamer erfolgen, da änderungen an die Benutzerpopulation übermittelt werden müssen.
Beachten Sie beim Testen von Änderungen an einer APP den Zeitpunkt der Übermittlung. Die status der APP-Übermittlung für einen bestimmten Benutzer kann überwacht werden. Weitere Informationen finden Sie unter Überwachen von App-Schutzrichtlinien.
Einzelne APP-Einstellungen für jede App können auf Geräten mit Microsoft Edge und der URL about:Intunehelp überprüft werden. Weitere Informationen finden Sie unter Überprüfen von Client-App-Schutzprotokollen und Verwenden von Microsoft Edge für iOS und Android für den Zugriff auf verwaltete App-Protokolle.
Einstellungen des APP-Datenschutzframeworks
Die folgenden App-Schutzrichtlinie-Einstellungen sollten für die entsprechenden Apps aktiviert und allen mobilen Benutzern zugewiesen werden. Weitere Informationen zu den einzelnen Richtlinieneinstellungen finden Sie unter Einstellungen für iOS-App-Schutzrichtlinien und Einstellungen für Android-App-Schutzrichtlinien.
Microsoft empfiehlt, Nutzungsszenarien zu überprüfen und zu kategorisieren und dann Benutzer mithilfe der präskriptiven Anleitung für diese Ebene zu konfigurieren. Wie bei jedem Framework müssen Einstellungen innerhalb einer entsprechenden Ebene möglicherweise basierend auf den Anforderungen des organization angepasst werden, da der Datenschutz die Bedrohungsumgebung, die Risikobereitschaft und die Auswirkungen auf die Benutzerfreundlichkeit bewerten muss.
Administratoren können die folgenden Konfigurationsebenen in ihre Ringbereitstellungsmethodik für Tests und die Verwendung in der Produktion integrieren, indem sie die Beispielvorlagen Intune App Protection Policy Configuration Framework mitden PowerShell-Skripts von Intune importieren.
Hinweis
Wenn Sie MAM für Windows verwenden, lesen Sie App-Schutz Richtlinieneinstellungen für Windows.
Richtlinien für bedingten Zugriff
Um sicherzustellen, dass nur Apps, die App-Schutzrichtlinien unterstützen, auf Geschäfts-, Schul- oder Unikontodaten zugreifen, sind Microsoft Entra Richtlinien für bedingten Zugriff erforderlich. Diese Richtlinien werden unter Bedingter Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich beschrieben.
Schritte zum Implementieren der spezifischen Richtlinien finden Sie unter Anfordern genehmigter Client-Apps oder App-Schutzrichtlinie für mobile Geräte unter Bedingter Zugriff: Anfordern genehmigter Client-Apps oder App-Schutzrichtlinie . Implementieren Sie abschließend die Schritte unter Blockieren der Legacyauthentifizierung , um legacyauthentifizierungsfähige iOS- und Android-Apps zu blockieren.
Hinweis
Diese Richtlinien nutzen die Genehmigungssteuerelemente Genehmigte Client-App erforderlich und App-Schutzrichtlinie erforderlich.
Apps, die in die App-Schutzrichtlinien eingeschlossen werden sollen
Für jede App-Schutzrichtlinie ist die Gruppe Core Microsoft Apps vorgesehen, die die folgenden Apps umfasst:
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- To Do
- Word
Die Richtlinien sollten andere Microsoft-Apps basierend auf den geschäftlichen Bedarf, zusätzliche öffentliche Drittanbieter-Apps, die das in den organization verwendete Intune SDK integriert haben, sowie branchenspezifische Apps umfassen, die das Intune SDK integriert haben (oder umschlossen wurden).
Level 1 Enterprise Basic Data Protection
Ebene 1 ist die minimale Datenschutzkonfiguration für ein mobiles Unternehmensgerät. Diese Konfiguration ersetzt die Notwendigkeit grundlegender Exchange Online Gerätezugriffsrichtlinien, indem eine PIN für den Zugriff auf Geschäfts-, Schul- oder Unidaten erforderlich ist, die Geschäfts-, Schul- oder Unikontodaten verschlüsselt und die Möglichkeit bereitgestellt wird, die Schul- oder Geschäftsdaten selektiv zu löschen. Im Gegensatz zu Exchange Online Gerätezugriffsrichtlinien gelten die folgenden App-Schutzrichtlinieneinstellungen jedoch für alle apps, die in der Richtlinie ausgewählt sind, und stellen so sicher, dass der Datenzugriff über mobile Messaging-Szenarien hinaus geschützt ist.
Die Richtlinien in Ebene 1 erzwingen eine angemessene Datenzugriffsebene bei gleichzeitiger Minimierung der Auswirkungen auf Benutzer und Spiegel standardeinstellungen für Datenschutz und Zugriff beim Erstellen einer App-Schutzrichtlinie innerhalb Microsoft Intune.
Datenschutz
| Einstellung | Einstellungsbeschreibung | Wert | Plattform |
|---|---|---|---|
| Datenübertragung | Organisationsdaten sichern in... | Zulassen | iOS/iPadOS, Android |
| Datenübertragung | Senden von Organisationsdaten an andere Apps | Alle Apps | iOS/iPadOS, Android |
| Datenübertragung | Senden von Organisationsdaten an | Alle Ziele | Windows |
| Datenübertragung | Daten von anderen Apps empfangen | Alle Apps | iOS/iPadOS, Android |
| Datenübertragung | Empfangen von Daten von | Alle Quellen | Windows |
| Datenübertragung | Ausschneiden, Kopieren und Einfügen zwischen Apps einschränken | Alle Apps | iOS/iPadOS, Android |
| Datenübertragung | Ausschneiden, Kopieren und Einfügen für zulassen | Beliebiges Ziel und jede Quelle | Windows |
| Datenübertragung | Tastaturen von Drittanbietern | Zulassen | iOS/iPadOS |
| Datenübertragung | Genehmigte Tastaturen | Nicht erforderlich | Android |
| Datenübertragung | Bildschirmaufnahme und Google Assistant | Zulassen | Android |
| Verschlüsselung | Verschlüsseln von Organisationsdaten | Erforderlich | iOS/iPadOS, Android |
| Verschlüsselung | Verschlüsseln von Organisationsdaten auf registrierten Geräten | Erforderlich | Android |
| Funktionalität | Synchronisieren der App mit nativer Kontakt-App | Zulassen | iOS/iPadOS, Android |
| Funktionalität | Drucken von Organisationsdaten | Zulassen | iOS/iPadOS, Android, Windows |
| Funktionalität | Übertragung von Webinhalten mit anderen Apps einschränken | Alle Apps | iOS/iPadOS, Android |
| Funktionalität | Benachrichtigungen zu Organisationsdaten | Zulassen | iOS/iPadOS, Android |
Erforderliche Zugriffsberechtigungen
| Einstellung | Wert | Plattform | Hinweise |
|---|---|---|---|
| PIN für Zugriff | Erforderlich | iOS/iPadOS, Android | |
| PIN-Typ | Numeric | iOS/iPadOS, Android | |
| Einfache PIN | Zulassen | iOS/iPadOS, Android | |
| Wählen Sie Minimale PIN-Länge aus. | 4 | iOS/iPadOS, Android | |
| Touch-ID statt PIN für den Zugriff (iOS 8+/iPadOS) | Zulassen | iOS/iPadOS | |
| Überschreiben biometrischer Daten mit PIN nach timeout | Erforderlich | iOS/iPadOS, Android | |
| Timeout (Aktivitätsminuten) | 1440 | iOS/iPadOS, Android | |
| Gesichtserkennungs-ID anstelle einer PIN für den Zugriff (iOS 11+/iPadOS) | Zulassen | iOS/iPadOS | |
| Biometrisch statt PIN für den Zugriff | Zulassen | iOS/iPadOS, Android | |
| Anzahl von Tagen für PIN-Zurücksetzung | Nein | iOS/iPadOS, Android | |
| Wählen Sie die Anzahl der vorherigen PIN-Werte aus, die verwaltet werden sollen. | 0 | Android | |
| App-PIN, wenn Geräte-PIN festgelegt ist | Erforderlich | iOS/iPadOS, Android | Wenn das Gerät in Intune registriert ist, können Administratoren erwägen, dies auf "Nicht erforderlich" festzulegen, wenn sie eine sichere Geräte-PIN über eine Gerätekonformitätsrichtlinie erzwingen. |
| Anmeldeinformationen für Geschäfts-, Schul- oder Unikonto für Zugriff | Nicht erforderlich | iOS/iPadOS, Android | |
| Recheck the access requirements after (minutes of inactivity) (Zugriffsanforderungen nach (Minuten der Inaktivität) prüfen) | 30 | iOS/iPadOS, Android |
Bedingter Start
| Einstellung | Einstellungsbeschreibung | Wert/Aktion | Plattform | Hinweise |
|---|---|---|---|---|
| App-Bedingungen | Maximal zulässige PIN-Versuche | 5 / PIN zurücksetzen | iOS/iPadOS, Android | |
| App-Bedingungen | Offline-Toleranzperiode | 10080 / Zugriff blockieren (Minuten) | iOS/iPadOS, Android, Windows | |
| App-Bedingungen | Offline-Toleranzperiode | 90 / Daten löschen (Tage) | iOS/iPadOS, Android, Windows | |
| Gerätebedingungen | Geräte mit Jailbreak/entfernten Nutzungsbeschränkungen | N/A/Zugriff blockieren | iOS/iPadOS, Android | |
| Gerätebedingungen | SafetyNet-Gerätenachweis | Grundlegende Integrität und zertifizierte Geräte / Zugriff blockieren | Android | Diese Einstellung konfiguriert die Google Play-Geräteintegritätsprüfung auf Endbenutzergeräten. „Basisintegrität“ überprüft die Integrität des Geräts. Für gerootete Geräte, Emulatoren, virtuelle Geräte und Geräte, die Anzeichen von Manipulationen aufweisen, schlägt die Überprüfung der grundlegenden Integrität fehl. Die Option „Basisintegrität und zertifizierte Geräte“ überprüft die Kompatibilität des Geräts mit Google-Diensten. Nur unveränderte Geräte, die von Google zertifiziert wurden, bestehen diese Überprüfung. |
| Gerätebedingungen | Bedrohungsüberprüfung für Apps erforderlich | N/A/Zugriff blockieren | Android | Diese Einstellung sorgt dafür, dass die Verify Apps-Überprüfung von Google für Endbenutzergeräte aktiviert ist. Wenn dies konfiguriert ist, wird der Zugriff des Endbenutzers blockiert, bis er die App-Überprüfung von Google auf seinem Android-Gerät aktiviert. |
| Gerätebedingungen | Maximal zulässige Gerätebedrohungsstufe | Zugriff niedrig/Blockieren | Windows | |
| Gerätebedingungen | Gerätesperre erforderlich | Niedrig/Warnung | Android | Diese Einstellung stellt sicher, dass Android-Geräte über ein Gerätekennwort verfügen, das die Mindestkennwortanforderungen erfüllt. |
Hinweis
Windows-Einstellungen für bedingten Start werden als Integritätsprüfungen bezeichnet.
Ebene 2: Erweiterter Datenschutz für Unternehmen
Ebene 2 ist die Datenschutzkonfiguration, die als Standard für Geräte empfohlen wird, auf denen Benutzer auf sensiblere Informationen zugreifen. Heutzutage sind diese Geräte in Unternehmen oftmals Angriffen ausgesetzt. Diese Empfehlungen gehen nicht von einem großen Personal hochqualifizierter Sicherheitsexperten aus und sollten daher für die meisten Unternehmen zugänglich sein. Diese Konfiguration erweitert die Konfiguration in Ebene 1, indem Datenübertragungsszenarien eingeschränkt und eine Mindestversion des Betriebssystems erforderlich ist.
Wichtig
Die in Ebene 2 erzwungenen Richtlinieneinstellungen enthalten alle für Ebene 1 empfohlenen Richtlinieneinstellungen. Ebene 2 listet jedoch nur die Einstellungen auf, die hinzugefügt oder geändert wurden, um mehr Steuerelemente und eine komplexere Konfiguration als Ebene 1 zu implementieren. Diese Einstellungen haben zwar eine etwas höhere Auswirkung auf Benutzer oder Anwendungen, aber sie erzwingen ein Datenschutzniveau, das den Risiken entspricht, denen Benutzer mit Zugriff auf vertrauliche Informationen auf mobilen Geräten ausgesetzt sind.
Datenschutz
| Einstellung | Einstellungsbeschreibung | Wert | Plattform | Hinweise |
|---|---|---|---|---|
| Datenübertragung | Organisationsdaten sichern in... | Blockieren | iOS/iPadOS, Android | |
| Datenübertragung | Senden von Organisationsdaten an andere Apps | Richtlinienverwaltete Apps | iOS/iPadOS, Android | Bei iOS/iPadOS können Administratoren diesen Wert als "Richtlinienverwaltete Apps", "Richtlinienverwaltete Apps mit Betriebssystemfreigabe" oder "Richtlinienverwaltete Apps mit Open-In/Freigabefilterung" konfigurieren. Richtlinienverwaltete Apps mit Betriebssystemfreigabe sind verfügbar, wenn das Gerät auch bei Intune registriert ist. Diese Einstellung ermöglicht die Datenübertragung an andere richtlinienverwaltete Apps und Dateiübertragungen an andere Apps, die von Intune verwaltet werden. Richtlinienverwaltete Apps mit Open-In/Share-Filter filtern die Dialogfelder Öffnen/Freigeben des Betriebssystems, um nur richtlinienverwaltete Apps anzuzeigen. Weitere Informationen finden Sie unter Einstellungen für iOS-App-Schutzrichtlinien. |
| Datenübertragung | Senden von Daten oder an | Keine Ziele | Windows | |
| Datenübertragung | Empfangen von Daten von | Keine Quellen | Windows | |
| Datenübertragung | Wählen Sie die Apps aus, die ausgenommen werden sollen | Standard/skype; App-Einstellungen; calshow; itms; itmss; itms-apps; itms-appss; itms-services; | iOS/iPadOS | |
| Datenübertragung | Kopien von Organisationsdaten speichern | Blockieren | iOS/iPadOS, Android | |
| Datenübertragung | Benutzern das Speichern von Kopien in ausgewählten Diensten erlauben | OneDrive for Business, SharePoint Online, Fotobibliothek | iOS/iPadOS, Android | |
| Datenübertragung | Transfer telecommunication data to (Telekommunikationsdaten übertragen an): | Any dialer app (Jede Telefon-App) | iOS/iPadOS, Android | |
| Datenübertragung | Ausschneiden, Kopieren und Einfügen zwischen Apps einschränken | Richtlinienverwaltete Apps mit Einfügen | iOS/iPadOS, Android | |
| Datenübertragung | Ausschneiden, Kopieren und Einfügen für zulassen | Kein Ziel oder Keine Quelle | Windows | |
| Datenübertragung | Bildschirmaufnahme und Google Assistant | Blockieren | Android | |
| Funktionalität | Übertragung von Webinhalten mit anderen Apps einschränken | Microsoft Edge | iOS/iPadOS, Android | |
| Funktionalität | Benachrichtigungen zu Organisationsdaten | Organisationsdaten blockieren | iOS/iPadOS, Android | Eine Liste der Apps, die diese Einstellung unterstützen, finden Sie unter Einstellungen für iOS-App-Schutzrichtlinien und Einstellungen für Android-App-Schutzrichtlinien. |
Bedingter Start
| Einstellung | Einstellungsbeschreibung | Wert/Aktion | Plattform | Hinweise |
|---|---|---|---|---|
| App-Bedingungen | Deaktiviertes Konto | N/A/Zugriff blockieren | iOS/iPadOS, Android, Windows | |
| Gerätebedingungen | Mindestversion für Betriebssystem |
Format: Major.Minor.Build Beispiel: 14.8 / Zugriff blockieren |
iOS/iPadOS | Microsoft empfiehlt das Konfigurieren der Mindesthauptversion für das iOS-Betriebssystem, um übereinstimmende unterstützte iOS-Versionen für Microsoft-Apps verwenden zu können. Microsoft-Apps unterstützen einen N-1-Ansatz, wobei N die aktuelle iOS-Hauptversion ist. Als Werte für Neben- und Buildversionen empfiehlt Microsoft, dafür zu sorgen, dass die Geräte über die aktuellen entsprechenden Sicherheitsupdates verfügen. Informationen zu den neuesten Empfehlungen von Apple finden Sie unter Apple-Sicherheitsupdates . |
| Gerätebedingungen | Mindestversion für Betriebssystem |
Format: Major.Minor Beispiel: 9.0 / Zugriff blockieren |
Android | Microsoft empfiehlt, die Mindesthauptversion für das Android-Betriebssystem so festzulegen, dass übereinstimmende unterstützte Android-Versionen von Microsoft-Apps verwendet werden können. OEMs und Geräte, die den Anforderungen für "Android Enterprise Recommended" entsprechen, müssen die aktuelle Versandversion und ein Upgrade auf die nächste Version unterstützen. Aktuell empfiehlt Android für Wissensarbeiter Android 9.0 und höher. Informationen zu den neuesten Android-Empfehlungen finden Sie unter Empfohlene Anforderungen für Android Enterprise . |
| Gerätebedingungen | Mindestversion für Betriebssystem |
Format: Build Beispiel: 10.0.22621.2506 / Zugriff blockieren |
Windows | Microsoft empfiehlt, den Windows-Mindestbuild so zu konfigurieren, dass er den unterstützten Windows-Versionen für Microsoft-Apps entspricht. Derzeit empfiehlt Microsoft Folgendes:
|
| Gerätebedingungen | Min. Patchversion |
Format: JJJJ-MM-TT Beispiel: 01.01.2020 / Zugriff blockieren |
Android | Android-Geräte können monatliche Sicherheitsupdates erhalten, aber das Release hängt von den OEMs und/oder Netzbetreibern ab. Unternehmen sollten dafür sorgen, dass bereitgestellte Android-Geräte Sicherheitsupdates erhalten, bevor diese Einstellung implementiert wird. Die neuesten Patchversionen finden Sie unter Android-Sicherheitsbulletins . |
| Gerätebedingungen | Erforderlicher SafetyNet-Auswertungstyp | Hardwaregestützter Schlüssel | Android | Hardware-gestützter Nachweis verbessert die vorhandene Google Play Integrity Service-Überprüfung, indem ein neuer Auswertungstyp namens Hardware Backed angewendet wird, der eine stabilere Stammerkennung als Reaktion auf neuere Arten von Rooting-Tools und -Methoden bietet, die von einer reinen Softwarelösung nicht immer zuverlässig erkannt werden können. Wie der Name schon sagt, verwendet der hardwaregestützte Nachweis eine hardwarebasierte Komponente, die mit Geräten ausgeliefert wird, die mit Android 8.1 und höher installiert sind. Geräte, für die ein Upgrade von einer älteren Version von Android auf Android 8.1 durchgeführt wurde, verfügen wahrscheinlich nicht über die hardwarebasierten Komponenten, die für den hardwaregestützten Nachweis erforderlich sind. Auch wenn diese Einstellung auf Geräten mit Android 8.1 und höher weitgehend unterstützt werden sollte, empfiehlt Microsoft dringend, die Geräte einzeln zu testen, bevor diese Richtlinieneinstellung allgemein aktiviert wird. |
| Gerätebedingungen | Gerätesperre erforderlich | Zugriff mit Mittel/Block | Android | Diese Einstellung stellt sicher, dass Android-Geräte über ein Gerätekennwort verfügen, das die Mindestkennwortanforderungen erfüllt. |
| Gerätebedingungen | Samsung Knox-Gerätenachweis | Zugriff blockieren | Android | Microsoft empfiehlt, die Samsung Knox-Gerätenachweiseinstellung auf Zugriff blockieren zu konfigurieren, um sicherzustellen, dass der Zugriff auf das Benutzerkonto blockiert wird, wenn das Gerät nicht der hardwarebasierten Überprüfung der Geräteintegrität von Samsung Knox entspricht. Diese Einstellung überprüft, ob alle Intune MAM-Clientantworten an den Intune Dienst von einem fehlerfreien Gerät gesendet wurden. Diese Einstellung gilt für alle Geräte, die als Ziel verwendet werden. Um diese Einstellung nur auf Samsung-Geräte anzuwenden, können Sie Zuweisungsfilter für verwaltete Apps verwenden. Weitere Informationen zu Zuweisungsfiltern finden Sie unter Verwenden von Filtern beim Zuweisen Von Apps, Richtlinien und Profilen in Microsoft Intune. |
| App-Bedingungen | Offline-Toleranzperiode | 30 / Daten löschen (Tage) | iOS/iPadOS, Android, Windows |
Hinweis
Windows-Einstellungen für bedingten Start werden als Integritätsprüfungen bezeichnet.
Level 3 Enterprise High Data Protection
Stufe 3 ist die Datenschutzkonfiguration, die als Standard für Organisationen mit großen und anspruchsvollen Sicherheitsorganisationen oder für bestimmte Benutzer und Gruppen empfohlen wird, die von Angreifern eindeutig ins Visier genommen werden. Solche Organisationen werden in der Regel von gut finanzierten und anspruchsvollen Angreifern ins Visier genommen und verdienen daher die beschriebenen zusätzlichen Einschränkungen und Kontrollen. Diese Konfiguration erweitert die Konfiguration in Ebene 2, indem zusätzliche Datenübertragungsszenarien eingeschränkt, die Komplexität der PIN-Konfiguration erhöht und die mobile Bedrohungserkennung hinzugefügt wird.
Wichtig
Die in Ebene 3 erzwungenen Richtlinieneinstellungen enthalten alle richtlinieneinstellungen, die für Ebene 2 empfohlen werden, listet jedoch nur die unten stehenden Einstellungen auf, die hinzugefügt oder geändert wurden, um mehr Steuerelemente und eine komplexere Konfiguration als Ebene 2 zu implementieren. Diese Richtlinieneinstellungen können potenziell erhebliche Auswirkungen auf Benutzer oder Anwendungen haben und ein Sicherheitsniveau erzwingen, das den Risiken der Zielorganisationen entspricht.
Datenschutz
| Einstellung | Einstellungsbeschreibung | Wert | Plattform | Hinweise |
|---|---|---|---|---|
| Datenübertragung | Transfer telecommunication data to (Telekommunikationsdaten übertragen an): | Jede richtlinienverwaltete Wählprogramm-App | Android | Administratoren können diese Einstellung auch für die Verwendung einer Wähl-App konfigurieren, die keine App-Schutzrichtlinien unterstützt, indem sie Eine bestimmte Wähl-App auswählen und die Werte Dialer-App-Paket-ID und Dialer-App-Name angeben. |
| Datenübertragung | Transfer telecommunication data to (Telekommunikationsdaten übertragen an): | Eine bestimmte Dialer-App | iOS/iPadOS | |
| Datenübertragung | URL-Schema der Telefon-App | replace_with_dialer_app_url_scheme | iOS/iPadOS | Unter iOS/iPadOS muss dieser Wert durch das URL-Schema für die verwendete benutzerdefinierte Wähl-App ersetzt werden. Wenn das URL-Schema nicht bekannt ist, wenden Sie sich an den App-Entwickler, um weitere Informationen zu erhalten. Weitere Informationen zu URL-Schemas finden Sie unter Definieren eines benutzerdefinierten URL-Schemas für Ihre App. |
| Datenübertragung | Daten von anderen Apps empfangen | Richtlinienverwaltete Apps | iOS/iPadOS, Android | |
| Datenübertragung | Daten in Organisationsdokumenten öffnen | Blockieren | iOS/iPadOS, Android | |
| Datenübertragung | Benutzern das Öffnen von Daten aus ausgewählten Diensten gestatten | OneDrive for Business, SharePoint, Kamera, Fotobibliothek | iOS/iPadOS, Android | Weitere Informationen finden Sie unter Einstellungen für Android-App-Schutzrichtlinien und Einstellungen für iOS-App-Schutzrichtlinien. |
| Datenübertragung | Tastaturen von Drittanbietern | Blockieren | iOS/iPadOS | Unter iOS/iPadOS wird dadurch verhindert, dass alle Tastaturen von Drittanbietern innerhalb der App funktionieren. |
| Datenübertragung | Genehmigte Tastaturen | Erforderlich | Android | |
| Datenübertragung | Auswählen der zu genehmigenden Tastaturen | Hinzufügen/Entfernen von Tastaturen | Android | Bei Android müssen Tastaturen ausgewählt werden, damit sie basierend auf Ihren bereitgestellten Android-Geräten verwendet werden können. |
| Funktionalität | Drucken von Organisationsdaten | Blockieren | iOS/iPadOS, Android, Windows |
Erforderliche Zugriffsberechtigungen
| Einstellung | Wert | Plattform |
|---|---|---|
| Einfache PIN | Blockieren | iOS/iPadOS, Android |
| Wählen Sie Minimale PIN-Länge aus. | 6 | iOS/iPadOS, Android |
| Anzahl von Tagen für PIN-Zurücksetzung | Ja | iOS/iPadOS, Android |
| Anzahl von Tagen | 365 | iOS/iPadOS, Android |
| Biometrie der Klasse 3 (Android 9.0 und höher) | Erforderlich | Android |
| Biometrie mit PIN nach biometrischen Updates außer Kraft setzen | Erforderlich | Android |
Bedingter Start
| Einstellung | Einstellungsbeschreibung | Wert/Aktion | Plattform | Hinweise |
|---|---|---|---|---|
| Gerätebedingungen | Gerätesperre erforderlich | Zugriff mit hoher Auslastung/Blockierung | Android | Diese Einstellung stellt sicher, dass Android-Geräte über ein Gerätekennwort verfügen, das die Mindestkennwortanforderungen erfüllt. |
| Gerätebedingungen | Maximal zulässige Gerätebedrohungsstufe | Geschützt/Zugriff blockieren | Windows | |
| Gerätebedingungen | Geräte mit Jailbreak/entfernten Nutzungsbeschränkungen | N/A/Wipe data | iOS/iPadOS, Android | |
| Gerätebedingungen | Maximal zulässige Bedrohungsstufe | Geschützt/Zugriff blockieren | iOS/iPadOS, Android | Nicht registrierte Geräte können mithilfe von Mobile Threat Defense auf Bedrohungen überprüft werden. Weitere Informationen finden Sie unter Mobile Threat Defense für nicht registrierte Geräte. Wenn das Gerät registriert ist, kann diese Einstellung zugunsten der Bereitstellung von Mobile Threat Defense für registrierte Geräte übersprungen werden. Weitere Informationen finden Sie unter Mobile Threat Defense für registrierte Geräte. |
| Gerätebedingungen | Maximale Betriebssystemversion |
Format: Major.Minor Beispiel: 11.0 / Zugriff blockieren |
Android | Microsoft empfiehlt, die maximale Android-Hauptversion zu konfigurieren, um sicherzustellen, dass keine Beta- oder nicht unterstützten Versionen des Betriebssystems verwendet werden. Informationen zu den neuesten Android-Empfehlungen finden Sie unter Empfohlene Anforderungen für Android Enterprise . |
| Gerätebedingungen | Maximale Betriebssystemversion |
Format: Major.Minor.Build Beispiel: 15.0 / Zugriff blockieren |
iOS/iPadOS | Microsoft empfiehlt, die maximale iOS-/iPadOS-Hauptversion zu konfigurieren, um sicherzustellen, dass keine Beta- oder nicht unterstützten Versionen des Betriebssystems verwendet werden. Informationen zu den neuesten Empfehlungen von Apple finden Sie unter Apple-Sicherheitsupdates . |
| Gerätebedingungen | Maximale Betriebssystemversion |
Format: Major.Minor Beispiel: 22631. / Zugriff blockieren |
Windows | Microsoft empfiehlt, die maximale Windows-Hauptversion zu konfigurieren, um sicherzustellen, dass keine Beta- oder nicht unterstützten Versionen des Betriebssystems verwendet werden. |
| Gerätebedingungen | Samsung Knox-Gerätenachweis | Daten löschen | Android | Microsoft empfiehlt, die Samsung Knox-Gerätenachweiseinstellung auf Daten zurücksetzen zu konfigurieren, um sicherzustellen, dass die Organisationsdaten entfernt werden, wenn das Gerät nicht der hardwarebasierten Überprüfung der Geräteintegrität von Samsung Knox entspricht. Diese Einstellung überprüft, ob alle Intune MAM-Clientantworten an den Intune Dienst von einem fehlerfreien Gerät gesendet wurden. Diese Einstellung gilt für alle Geräte, die als Ziel verwendet werden. Um diese Einstellung nur auf Samsung-Geräte anzuwenden, können Sie Zuweisungsfilter für verwaltete Apps verwenden. Weitere Informationen zu Zuweisungsfiltern finden Sie unter Verwenden von Filtern beim Zuweisen Von Apps, Richtlinien und Profilen in Microsoft Intune. |
| App-Bedingungen | Offline-Toleranzperiode | 30 / Zugriff blockieren (Tage) | iOS/iPadOS, Android, Windows |
Nächste Schritte
Administratoren können die oben genannten Konfigurationsebenen in ihre Ringbereitstellungsmethodik für Tests und Die Verwendung in der Produktion integrieren, indem sie die Beispielvorlagen Intune App Protection Policy Configuration Framework mitden PowerShell-Skripts von Intune importieren.