Richtlinieneinstellungen für den Android-App-Schutz in Microsoft Intune.
In diesem Artikel werden die App-Schutzrichtlinieneinstellungen für Android-Geräte beschrieben. Die beschriebenen Richtlinieneinstellungen können im Portal im Bereich Einstellungen für eine App-Schutzrichtlinie konfiguriert werden. Es gibt drei Kategorien von Richtlinieneinstellungen: Datenschutzeinstellungen, Zugriffsanforderungen und bedingter Start. In diesem Artikel bezieht sich der Begriff richtlinienverwaltete Apps auf Apps, die über App-Schutzrichtlinien konfiguriert sind.
Wichtig
Die Intune-Unternehmensportal ist auf dem Gerät erforderlich, um App-Schutzrichtlinien für Android-Geräte zu erhalten.
Der Intune Managed Browser wurde eingestellt. Verwenden Sie Microsoft Edge für Ihre geschützte Intune-Browserumgebung.
Datenschutz
Datenübertragung
Setting | Anleitung | Standardwert |
---|---|---|
Sichern von Organisationsdaten in Android-Sicherungsdiensten | Wählen Sie Blockieren aus, um zu verhindern, dass diese App Geschäfts-, Schul- oder Unidaten im Android Backup Service sichert. Wählen Sie Zulassen aus, damit diese App Geschäfts-, Schul- oder Unidaten sichern kann. |
Zulassen |
Senden von Organisationsdaten an andere Apps | Geben Sie an, welche Apps Daten von dieser App empfangen können:
Es gibt einige ausgenommene Apps und Dienste, für die Intune möglicherweise die Datenübertragung zulässt. Darüber hinaus können Sie Ihre eigenen Ausnahmen erstellen, wenn Sie zulassen müssen, dass Daten an eine App übertragen werden, welche die Intune-App nicht unterstützt. Weitere Informationen finden Sie unter Datenübertragungsausnahmen. Diese Richtlinie kann auch für Android-App-Links gelten. Allgemeine Weblinks werden von der Richtlinieneinstellung App-Links in Intune Managed Browser öffnen verwaltet. Hinweis Intune unterstützt derzeit das Android Instant Apps-Feature nicht. Intune blockiert jede Datenverbindung mit oder von der App. Weitere Informationen finden Sie unter Android Instant Apps in der Android Developer-Dokumentation. Wenn Organisationsdaten an andere Apps senden auf Alle Apps konfiguriert ist, können Textdaten weiterhin über die Betriebssystemfreigabe in die Zwischenablage übertragen werden. |
Alle Apps |
|
Diese Option ist dann verfügbar, wenn Sie die vorherige Option auf Richtlinienverwaltete Apps festgelegt haben. | |
|
Klicken Sie auf Block (Blockieren), um die Verwendung der Option „Speichern unter“ in dieser App zu deaktivieren. Klicken Sie auf Allow (Zulassen), wenn die Verwendung von Speichern unter zulässig sein soll. Wenn für diese Einstellung Block (Blockieren) festgelegt ist, können Sie die Einstellung Benutzer das Speichern von Kopien in den ausgewählten Diensten ermöglichen konfigurieren. Hinweis:
|
Zulassen |
|
Benutzer können in den ausgewählten Diensten (OneDrive for Business, SharePoint, Fotobibliothek, Box und Lokaler Speicher) speichern. Alle anderen Dienste werden blockiert. | 0 ausgewählt |
|
Wenn ein Benutzer in einer App eine Telefonnummer mit Hyperlink auswählt, wird in der Regel eine Telefon-App mit der vorab eingestellten und verwendbaren Telefonnummer geöffnet. Wählen Sie für diese Einstellung aus, wie diese Art von Inhaltsübertragung behandelt werden soll, wenn sie von einer richtlinienverwalteten App initiiert wird:
|
Any dialer app (Jede Telefon-App) |
|
Wenn eine bestimmte Wähl-App ausgewählt wurde, müssen Sie die App-Paket-ID angeben. | Blank |
|
Wenn eine bestimmte Wähl-App ausgewählt wurde, müssen Sie den Namen der Wähl-App angeben. | Blank |
|
Wenn ein Benutzer in einer App eine Telefonnummer mit Hyperlink auswählt, wird in der Regel eine Telefon-App mit der vorab eingestellten und verwendbaren Telefonnummer geöffnet. Wählen Sie für diese Einstellung aus, wie diese Art der Inhaltsübertragung behandelt werden soll, wenn sie von einer richtlinienverwalteten App initiiert wird. Wählen Sie für diese Einstellung aus, wie diese Art von Inhaltsübertragung behandelt werden soll, wenn sie von einer richtlinienverwalteten App initiiert wird:
|
Beliebige Messaging-App |
|
Wenn eine bestimmte Messaging-App ausgewählt wurde, müssen Sie die App-Paket-ID angeben. | Blank |
|
Wenn eine bestimmte Messaging-App ausgewählt wurde, müssen Sie den Namen der Messaging-App angeben. | Blank |
Daten von anderen Apps empfangen | Geben Sie an, welche Apps Daten an diese App übertragen können:
Es gibt einige ausgenommene Apps und Dienste, von denen Intune die Datenübertragung zulassen können. Eine vollständige Liste der Apps und Dienste finden Sie unter Datenübertragungsausnahmen . |
Alle Apps |
|
Wählen Sie Blockieren aus, um die Verwendung der Option Öffnen oder anderer Optionen zum Teilen von Daten zwischen Konten in dieser App zu deaktivieren. Klicken Sie auf Zulassen, wenn die Verwendung von Öffnen zulässig sein soll. Wenn diese Option auf Blockieren festgelegt ist, können Sie die Einstellung Benutzern das Öffnen von Daten über ausgewählte Dienste erlauben konfigurieren, um anzugeben, welche Dienste für Speicherorte von Organisationsdaten zulässig sind. Hinweis:
|
Zulassen |
|
Wählen Sie Anwendungsspeicherdienste aus, aus denen Benutzer Daten öffnen können. Alle anderen Dienste werden blockiert. Wenn Sie keine Dienste auswählen, wird verhindert, dass Benutzer Daten öffnen. Unterstützte Dienste:
|
Alle ausgewählten |
Ausschneiden, Kopieren und Einfügen zwischen Apps einschränken | Geben Sie an, wann Ausschneide-, Kopier- und Einfügeaktionen in dieser App erlaubt sind. Wählen Sie zwischen:
|
Alle Apps |
|
Geben Sie die Anzahl der Zeichen an, die aus Organisationsdaten und -konten ausgeschnitten oder kopiert werden können. Dies ermöglicht die Freigabe der angegebenen Anzahl von Zeichen, wenn sie andernfalls durch die Einstellung "Ausschneiden, Kopieren und Einfügen mit anderen Apps einschränken" blockiert würde. Standardwert = 0 Hinweis: Erfordert Intune-Unternehmensportal Version 5.0.4364.0 oder höher. |
0 |
Bildschirmaufnahme und Google Assistant | Wählen Sie Blockieren aus, um die Bildschirmaufnahme zu blockieren, um die Suche von Kreis in die Suche zu blockieren, und blockieren Sie den Zugriff von Google Assistant auf Organisationsdaten auf dem Gerät, wenn Sie diese App verwenden. Wenn Sie Blockieren auswählen, wird auch das Vorschaubild der App-Switcher weicht, wenn Sie diese App mit einem Geschäfts-, Schul- oder Unikonto verwenden. Hinweis: Google Assistant kann für Benutzer in Szenarien zugänglich sein, die nicht auf Organisationsdaten zugreifen. |
Blockieren |
Genehmigte Tastaturen | Wählen Sie Erforderlich aus, und geben Sie dann eine Liste der genehmigten Tastaturen für diese Richtlinie an. Benutzer, die keine genehmigte Tastatur verwenden, erhalten eine Aufforderung, eine genehmigte Tastatur herunterzuladen und zu installieren, bevor sie die geschützte App verwenden können. Diese Einstellung erfordert, dass die App über das Intune SDK für Android Version 6.2.0 oder höher verfügt. |
Nicht erforderlich |
|
Diese Option ist verfügbar, wenn Sie für die vorherige Option Erforderlich auswählen. Wählen Sie Auswählen aus, um die Liste der Tastaturen und Eingabemethoden zu verwalten, die mit Apps verwendet werden können, die durch diese Richtlinie geschützt sind. Sie können der Liste zusätzliche Tastaturen hinzufügen und alle Standardoptionen entfernen. Sie müssen über mindestens eine genehmigte Tastatur verfügen, um die Einstellung speichern zu können. Im Laufe der Zeit kann Microsoft der Liste zusätzliche Tastaturen für neue App-Schutzrichtlinien hinzufügen, sodass Administratoren vorhandene Richtlinien bei Bedarf überprüfen und aktualisieren müssen. Um eine Tastatur hinzuzufügen, geben Sie Folgendes an:
Anmerkung: Einem Benutzer, dem mehrere App-Schutzrichtlinien zugewiesen sind, dürfen nur die genehmigten Tastaturen verwenden, die allen Richtlinien gemeinsam sind. |
Verschlüsselung
Setting | Anleitung | Standardwert |
---|---|---|
Verschlüsseln von Organisationsdaten | Wählen Sie Erforderlich aus, um die Verschlüsselung von Geschäfts-, Schul- oder Unidaten in dieser App zu aktivieren. Intune verwendet ein wolfSSL- 256-Bit-AES-Verschlüsselungsschema zusammen mit dem Android Keystore-System, um App-Daten sicher zu verschlüsseln. Daten werden während Datei-E/A-Aufgaben synchron verschlüsselt. Inhalte im Gerätespeicher sind immer verschlüsselt und können nur von Apps geöffnet werden, die die App-Schutzrichtlinien Intune unterstützen und denen Eine Richtlinie zugewiesen ist. Neue Dateien werden mit 256-Bit-Schlüsseln verschlüsselt. Vorhandene 128-Bit-verschlüsselte Dateien werden einem Migrationsversuch zu 256-Bit-Schlüsseln unterzogen, aber der Prozess ist nicht garantiert. Dateien, die mit 128-Bit-Schlüsseln verschlüsselt wurden, bleiben lesbar. Die Verschlüsselungsmethode ist FIPS 140-2 validiert; weitere Informationen finden Sie unter wolfCrypt FIPS 140-2 und FIPS 140-3. |
Erforderlich |
|
Wählen Sie Erforderlich aus, um die Verschlüsselung von Organisationsdaten mit Intune Verschlüsselung auf App-Ebene auf allen Geräten zu erzwingen. Wählen Sie Nicht erforderlich aus, um die Verschlüsselung von Organisationsdaten mit Intune Verschlüsselung auf App-Ebene auf registrierten Geräten nicht zu erzwingen. | Erforderlich |
Funktionalität
Setting | Anleitung | Standardwert |
---|---|---|
Per Richtlinie verwaltete App-Daten mit nativen Apps oder Add-Ins synchronisieren | Wählen Sie Blockieren aus, um zu verhindern, dass richtlinienverwaltete Apps Daten in den nativen Apps des Geräts (Kontakte, Kalender und Widgets) speichern und die Verwendung von Add-Ins in den richtlinienverwalteten Apps verhindern. Wenn von der Anwendung nicht unterstützt wird, sind das Speichern von Daten in nativen Apps und die Verwendung von Add-Ins zulässig. Wenn Sie „Zulassen“ auswählen, kann die von Richtlinien verwaltete App Daten in den nativen Apps speichern oder Add-Ins verwenden, wenn diese Features in der von Richtlinien verwalteten App unterstützt und aktiviert werden. Anwendungen können zusätzliche Steuerelemente bereitstellen, um das Datensynchronisierungsverhalten für bestimmte native Apps anzupassen oder dieses Steuerelement nicht zu berücksichtigen. Hinweis: Wenn Sie eine selektive Zurücksetzung durchführen, um Geschäfts-, Schul- oder Unidaten aus der App zu entfernen, werden Daten entfernt, die direkt aus der richtlinienverwalteten App mit der nativen App synchronisiert werden. Alle Daten, die von der nativen App mit einer anderen externen Quelle synchronisiert werden, werden nicht zurückgesetzt. Hinweis: Die folgenden Apps unterstützen dieses Feature:
|
Zulassen |
Organisationsdaten drucken | Wählen Sie Blockieren aus, um zu verhindern, dass die App Geschäfts-, Schul- oder Unidaten druckt. Wenn Sie für diese Einstellung den Standardwert Zulassen übernehmen, können die Benutzer alle Organisationsdaten exportieren und drucken. | Zulassen |
Übertragung von Webinhalten mit anderen Apps einschränken | Legen Sie fest, wie Webinhalte (HTTP-/HTTPS-Links) über mit Richtlinien verwaltete Anwendungen geöffnet werden. Wählen Sie zwischen:
Richtlinienverwaltete Browser Unter Android können Ihre Endbenutzer aus anderen richtlinienverwalteten Apps wählen, die http/https-Links unterstützen, wenn weder Intune Managed Browser noch Microsoft Edge installiert ist. Wenn zwar ein mittels Richtlinien verwalteter Browser erforderlich ist, dieser aber nicht installiert ist, werden Ihre Endbenutzer aufgefordert, Microsoft Edge zu installieren. Wenn ein richtlinienverwalteter Browser erforderlich ist, werden Android-App-Links von der Richtlinieneinstellung Der App das Übertragen von Daten an andere Apps erlauben verwaltet.
Geräteregistrierung mit Intune
Microsoft Edge: mit Richtlinien verwaltet |
Nicht konfiguriert |
|
Geben Sie die Anwendungs-ID für einen einzelnen Browser ein. Webinhalte (http/https-Links) von richtlinienverwalteten Anwendungen werden im angegebenen Browser geöffnet. Der Webinhalt wird im Zielbrowser nicht verwaltet. | Blank |
|
Geben Sie den Anwendungsnamen für den Browser ein, der der ID des nicht verwalteten Browsers zugeordnet ist. Dieser Name wird Benutzern angezeigt, wenn der angegebene Browser nicht installiert ist. | Blank |
Benachrichtigungen zu Organisationsdaten | Geben Sie an, wie viele Organisationsdaten über Betriebssystembenachrichtigungen für Organisationskonten freigegeben werden. Diese Richtlinieneinstellung wirkt sich auf das lokale Gerät und alle verbundenen Geräte, wie Wearables und intelligente Lautsprecher, aus. In Apps werden möglicherweise zusätzliche Steuerelemente zum Anpassen des Benachrichtigungsverhaltens bereitgestellt, oder es werden nicht alle Werte berücksichtigt. Wählen Sie zwischen:
Hinweis: Diese Einstellung erfordert App-Unterstützung:
|
Zulassen |
Datenübertragungsausnahmen
Es gibt einige ausgenommene Apps und Plattformdienste, die Intune App-Schutzrichtlinien die Datenübertragung zu und von ermöglichen. Beispielsweise müssen alle Intune verwalteten Apps unter Android In der Lage sein, Daten an und aus google Text-to-Speech zu übertragen, damit Text vom Bildschirm Ihres mobilen Geräts laut vorgelesen werden kann. Diese Liste unterliegt Änderungen und gibt die Dienste und Apps wieder, die als nützlich für eine sichere Produktivität gelten.
Vollständige Ausnahmen
Diese Apps und Dienste sind für die Datenübertragung zu und von Intune verwalteten Apps vollständig zulässig.
App-/Dienstname | Beschreibung |
---|---|
com.android.phone | Native Smartphone-App |
com.android.vending | Google Play Store |
com.google.android.webview | WebView, die für viele Apps einschließlich Outlook erforderlich ist. |
com.android.webview | Webview, die für viele Apps einschließlich Outlook erforderlich ist. |
com.google.android.tts | Google Text-zu-Sprache |
com.android.providers.settings | Android-Systemeinstellungen |
com.android.settings | Android-Systemeinstellungen |
com.azure.authenticator | Azure Authenticator-App, die für eine erfolgreiche Authentifizierung in vielen Szenarien erforderlich ist. |
com.microsoft.windowsintune.companyportal | Intune-Unternehmensportal |
com.android.providers.contacts | App für native Kontakte |
Bedingte Ausnahmen
Diese Apps und Dienste sind nur unter bestimmten Bedingungen für die Datenübertragung an und von Intune verwalteten Apps zulässig.
App-/Dienstname | Beschreibung | Ausnahmebedingung |
---|---|---|
com.android.chrome | Google Chrome-Browser | Chrome wird für einige WebView-Komponenten unter Android 7.0 und höher verwendet und wird nie ausgeblendet. Der Datenfluss zur und von der App ist jedoch immer eingeschränkt. |
com.skype.raider | Skype | Die Skype-App ist nur für bestimmte Aktionen zulässig, die zu einem Telefonanruf führen. |
com.android.providers.media | Android-Medieninhaltsanbieter | Der Medieninhaltsanbieter ist nur für die Klingeltonauswahl-Aktion zulässig. |
com.google.android.gms; com.google.android.gsf | Google Play Services-Pakete | Diese Pakete sind für Google Cloud Messaging-Aktionen wie Pushbenachrichtigungen zulässig. |
com.google.android.apps.maps | Google Maps | Adressen sind für die Navigation zulässig. |
com.android.documentsui | Android-Dokumentauswahl | Zulässig beim Öffnen oder Erstellen einer Datei. |
com.google.android.documentsui | Android-Dokumentauswahl (Android 10 und höher) | Zulässig beim Öffnen oder Erstellen einer Datei. |
Weitere Informationen finden Sie unter Datenübertragungsrichtlinienausnahmen für Apps.
Erforderliche Zugriffsberechtigungen
Setting | Anleitung |
---|---|
PIN für Zugriff | Klicken Sie auf Require (Erforderlich), um für die Verwendung dieser App eine PIN anzufordern. Benutzer werden beim ersten Ausführen der App in einem Geschäfts-, Schul- oder Unikontext aufgefordert, diese PIN einzurichten. Standardwert = Erforderlich Sie können die PIN-Sicherheit mithilfe der Einstellungen im Abschnitt PIN for access (PIN für Zugriff) konfigurieren. Anmerkung: Endbenutzer, die auf die App zugreifen dürfen, können die App-PIN zurücksetzen. Diese Einstellung ist in einigen Fällen auf Android-Geräten möglicherweise nicht sichtbar. Android-Geräte haben eine maximale Einschränkung von vier verfügbaren Tastenkombinationen. Wenn das Maximum erreicht wurde, muss der Endbenutzer alle personalisierten Verknüpfungen entfernen (oder über eine andere verwaltete App-Ansicht auf die Verknüpfung zugreifen), um die Verknüpfung zum Zurücksetzen der APP-PIN anzuzeigen. Alternativ kann der Endbenutzer die Verknüpfung an seine Homepage anheften. |
PIN-Typ |
Legen Sie fest, dass eine numerische PIN oder ein Passcode eingegeben werden muss, bevor Benutzer auf eine App zugreifen können, für die App-Schutzrichtlinien gelten. Numerische Anforderungen enthalten nur Zahlen, während ein Passcode mit mindestens einem Buchstaben oder mindestens einem Sonderzeichen definiert werden kann. Standardwert = Numerisch Anmerkung: Zu den zulässigen Sonderzeichen gehören die Sonderzeichen und Symbole auf der Android-Tastatur in englischer Sprache. |
|
Wählen Sie Zulassen aus, um Benutzern die Verwendung einfacher PIN-Sequenzen wie 1234, 1111, abcd oder aaaa zu ermöglichen. Wählen Sie Blöcke aus, um zu verhindern, dass sie einfache Sequenzen verwenden. Einfache Sequenzen werden in gleitenden Fenstern mit drei Zeichen überprüft. Wenn Block konfiguriert ist, würde 1235 oder 1112 nicht als VOM Endbenutzer festgelegte PIN akzeptiert, aber 1122 wäre zulässig. Standardwert = Zulassen Anmerkung: Wenn pin vom Kennungstyp konfiguriert ist und Einfache PIN auf Zulassen festgelegt ist, benötigt der Benutzer mindestens einen Buchstaben oder mindestens ein Sonderzeichen in seiner PIN. Wenn der Kennungstyp PIN konfiguriert ist und Einfache PIN auf Blockieren festgelegt ist, benötigt der Benutzer mindestens eine Zahl und einen Buchstaben sowie mindestens ein Sonderzeichen in seiner PIN. |
|
Geben Sie die Mindestanzahl von Ziffern in einer PIN-Sequenz an. Standardwert = 4 |
|
Wählen Sie Zulassen aus, um dem Benutzer die Verwendung biometrischer Daten zur Authentifizierung von Benutzern auf Android-Geräten zu ermöglichen. Sofern zulässig, wird biometrische Daten verwendet, um auf Android 10- oder höher-Geräten auf die App zuzugreifen. |
|
Klicken Sie auf Require (Erforderlich), und konfigurieren Sie ein Inaktivitätstimeout, um diese Einstellung zu verwenden. Standardwert = Erforderlich |
|
Geben Sie eine Zeit in Minuten an, nach der entweder eine Kennung oder eine numerische PIN (wie konfiguriert) die Verwendung einer biometrischen Pin außer Kraft setzt. Dieser Timeoutwert sollte größer als der unter „Zugriffsanforderungen nach (Minuten der Inaktivität) erneut überprüfen“ angegebene Wert sein. Standardwert = 30 |
|
Wählen Sie Erforderlich aus, um zu verlangen, dass sich der Benutzer mit Biometrie der Klasse 3 anmeldet. Weitere Informationen zu Biometrie der Klasse 3 finden Sie unter Biometrie in der Dokumentation von Google. |
|
Wählen Sie Erforderlich aus, um die Verwendung von Biometriedaten mit PIN zu überschreiben, wenn eine Änderung der biometrischen Daten erkannt wird.
HINWEIS: |
|
Klicken Sie auf Yes (Ja), damit die Benutzer nach einem bestimmten Zeitraum die App-PIN ändern müssen. Wenn Sie diese Einstellung auf Ja festlegen, können Sie die Anzahl der Tage festlegen, nach denen die PIN zurückgesetzt werden muss. Standardwert = Nein |
|
Konfigurieren Sie die Anzahl der Tage, nach denen die PIN zurückgesetzt werden muss. Standardwert = 90 |
|
Diese Einstellung gibt die Anzahl der vorherigen PINs an, die Intune beibehalten werden. Alle neuen PINs müssen sich von denen unterscheiden, die Intune aufrechterhalten. Standardwert = 0 |
|
Wählen Sie Nicht erforderlich aus, um die App-PIN zu deaktivieren, wenn auf einem registrierten Gerät mit konfiguriertem Unternehmensportal eine Gerätesperre erkannt wird. Standardwert = Erforderlich. |
Anmeldeinformationen für Geschäfts-, Schul- oder Unikonto für Zugriff | Wählen Sie Erforderlich aus, um zu verlangen, dass sich der Benutzer mit dem Geschäfts-, Schul- oder Unikonto anmeldet, anstatt eine PIN für den App-Zugriff einzugeben. Wenn auf Erforderlich festgelegt und PIN oder biometrische Eingabeaufforderungen aktiviert sind, werden sowohl Unternehmensanmeldeinformationen als auch die PIN oder biometrische Eingabeaufforderungen angezeigt. Standardwert = Nicht erforderlich |
Recheck the access requirements after (minutes of inactivity) (Zugriffsanforderungen nach (Minuten der Inaktivität) prüfen) | Konfigurieren Sie die folgende Einstellung:
|
Hinweis
Weitere Informationen dazu, wie mehrere Intune App-Schutzeinstellungen, die im Abschnitt Zugriff auf dieselbe Gruppe von Apps und Benutzern unter Android konfiguriert sind, funktionieren, finden Sie unter häufig gestellte Fragen zu Intune MAM und Selektives Zurücksetzen von Daten mithilfe von App-Schutzrichtlinien-Zugriffsaktionen in Intune.
Bedingter Start
Konfigurieren Sie einstellungen für bedingten Start, um Sicherheitsanforderungen für die Anmeldung für Ihre App-Schutzrichtlinie festzulegen.
Standardmäßig werden mehrere Einstellungen mit vorkonfigurierten Werten und Aktionen bereitgestellt. Sie können einige Einstellungen löschen, z. B. die Mindestversion des Betriebssystems. Außerdem können Sie zusätzliche Einstellungen in der Dropdownliste Auswählen auswählen.
App-Bedingungen
Setting | Anleitung |
---|---|
Maximal zulässige PIN-Versuche | Geben Sie die Anzahl der Versuche an, die der Benutzer zum erfolgreichen Eingeben seiner PIN hat, ehe die konfigurierte Aktion ausgeführt wird. Wenn der Benutzer seine PIN nach den maximalen PIN-Versuchen nicht erfolgreich eingeben kann, muss der Benutzer seine Pin zurücksetzen, nachdem er sich erfolgreich bei seinem Konto angemeldet und ggf. eine MFA-Anforderung (Multi-Factor Authentication) abgeschlossen hat. Dieses Richtlinieneinstellungsformat unterstützt eine positive ganze Zahl. Zu den Aktionen zählen:
|
Offline-Toleranzperiode | Die Anzahl der Minuten, die verwaltete Apps offline ausgeführt werden können. Geben Sie die Zeit (in Minuten) an, bevor die Zugriffsanforderungen der App erneut überprüft werden. Zu den Aktionen zählen:
|
Mindestversion für App | Legen Sie einen Wert für die Mindestversion der Anwendung fest. Zu den Aktionen zählen:
Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt. Dieses Richtlinieneinstellungsformat unterstützt major.minor, major.minor.build oder major.minor.build.revision („Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“). Sie können zusätzlich konfigurieren, wo Ihre Endbenutzer eine aktualisierte Version einer branchenspezifischen App (LOB, Line-of-Business) erhalten können. Endbenutzer sehen dies im bedingten Startdialogfeld App-Mindestversion, über das der Benutzer aufgefordert wird, auf eine Mindestversion der LOB-App zu aktualisieren. Unter Android verwendet dieses Feature die Unternehmensportal. Um zu konfigurieren, wo ein Endbenutzer eine LOB-App aktualisieren soll, muss eine verwaltete App-Konfigurationsrichtlinie mit dem Schlüssel com.microsoft.intune.myappstore an diese gesendet werden. Der gesendete Wert definiert, aus welchem Store der Endbenutzer die App herunterladen wird. Wenn die App über das Unternehmensportal bereitgestellt wird, muss der Wert CompanyPortal sein. Für alle anderen Store müssen Sie eine vollständige URL eingeben. |
Deaktiviertes Konto | Für diese Einstellung gibt es keinen festzulegenden Wert. Zu den Aktionen zählen:
|
Arbeitsfreie Zeit | Für diese Einstellung gibt es keinen festzulegenden Wert. Zu den Aktionen zählen:
Die folgenden Apps unterstützen dieses Feature mit Unternehmensportal v5.0.5849.0 oder höher:
|
Gerätebedingungen
Setting | Anleitung |
---|---|
Geräte mit Jailbreak/entfernten Nutzungsbeschränkungen | Geben Sie an, ob der Zugriff auf das Gerät blockiert oder die Gerätedaten für Geräte mit Jailbreak oder Rootzugriff zurückgesetzt werden sollen. Zu den Aktionen zählen:
|
Mindestversion für Betriebssystem | Geben Sie ein Android-Mindestbetriebssystem an, das für die Verwendung dieser App erforderlich ist. Betriebssystemversionen unter der angegebenen Mindestversion des Betriebssystems lösen die Aktionen aus. Zu den Aktionen zählen:
|
Maximale Betriebssystemversion | Geben Sie ein maximales Android-Betriebssystem an, das für die Verwendung dieser App erforderlich ist. Betriebssystemversionen unter der angegebenen Maximalen Betriebssystemversion lösen die Aktionen aus. Zu den Aktionen zählen:
|
Min. Patchversion | Geräte müssen mindestens über einen von Google veröffentlichten Android-Sicherheitspatch verfügen.
|
Gerätehersteller | Geben Sie eine durch Semikolons getrennte Liste von Herstellern an. Bei den Werten wird nicht zwischen Groß- und Kleinschreibung unterschieden. Zu den Aktionen zählen:
|
Integritätsbewertung wiedergeben | App-Schutz Richtlinien unterstützen einige der Google Play-Integritäts-APIs. Diese Einstellung konfiguriert insbesondere die Play-Integritätsprüfung von Google auf Endbenutzergeräten, um die Integrität dieser Geräte zu überprüfen. Geben Sie entweder Die Standardintegrität oder die Standardintegrität und die Geräteintegrität an. Grundlegende Integrität informiert Sie über die allgemeine Integrität des Geräts. Für gerootete Geräte, Emulatoren, virtuelle Geräte und Geräte, die Anzeichen von Manipulationen aufweisen, schlägt die Überprüfung der grundlegenden Integrität fehl. Grundlegende Integrität & zertifizierten Geräten informiert Sie über die Kompatibilität des Geräts mit den Diensten von Google. Nur unveränderte Geräte, die von Google zertifiziert wurden, bestehen diese Überprüfung. Wenn Sie Wiedergabeintegritätsbewertung als für bedingten Start erforderlich auswählen, können Sie angeben, dass eine starke Integritätsprüfung als Auswertungstyp verwendet wird. Das Vorhandensein einer starken Integritätsprüfung als Auswertungstyp weist auf eine höhere Integrität eines Geräts hin. Geräte, die keine starken Integritätsprüfungen unterstützen, werden von der MAM-Richtlinie blockiert, wenn sie für diese Einstellung vorgesehen sind. Die starke Integritätsprüfung bietet eine stabilere Stammerkennung als Reaktion auf neuere Typen von Rootingtools und -methoden, die von einer reinen Softwarelösung nicht immer zuverlässig erkannt werden können. Innerhalb von APP wird der Hardwarenachweis aktiviert, indem der Auswertungstyp Play-Integritätsbewertung auf Starke Integrität überprüfen festgelegt wird, nachdem die Play-Integritätsbewertung konfiguriert wurde, und der Erforderliche SafetyNet-Auswertungstyp auf starke Integritätsprüfung , nachdem die Geräteintegritätsprüfung konfiguriert wurde. Der hardwaregestützte Nachweis nutzt eine hardwarebasierte Komponente, die mit Geräten ausgeliefert wird, die mit Android 8.1 und höher installiert sind. Geräte, für die ein Upgrade von einer älteren Version von Android auf Android 8.1 durchgeführt wurde, verfügen wahrscheinlich nicht über die hardwarebasierten Komponenten, die für den hardwaregestützten Nachweis erforderlich sind. Auch wenn diese Einstellung auf Geräten mit Android 8.1 und höher weitgehend unterstützt werden sollte, empfiehlt Microsoft dringend, die Geräte einzeln zu testen, bevor diese Richtlinieneinstellung allgemein aktiviert wird. Wichtig: Geräte, die diesen Auswertungstyp nicht unterstützen, werden basierend auf der Aktion Geräteintegritätsprüfung blockiert oder zurückgesetzt. Organisationen, die diese Funktionalität verwenden möchten, müssen sicherstellen, dass Benutzer über unterstützte Geräte verfügen. Weitere Informationen zu den empfohlenen Geräten von Google finden Sie unter Empfohlene Anforderungen für Android Enterprise. Zu den Aktionen zählen:
|
Bedrohungsüberprüfung für Apps erforderlich | App-Schutz Richtlinien unterstützen einige APIs von Google Play Protect. Diese Einstellung stellt insbesondere sicher, dass die Überprüfung von Google Verify Apps für Endbenutzergeräte aktiviert ist. Wenn diese Einstellung konfiguriert ist, wird der Zugriff für den Endbenutzer so lange gesperrt, bis er auf seinem Android-Gerät die App-Überprüfung von Google aktiviert. Zu den Aktionen zählen:
|
Erforderlicher SafetyNet-Auswertungstyp | Hardware-gestützter Nachweis verbessert die vorhandene SafetyNet-Nachweisdienstüberprüfung. Sie können den Wert auf Hardwaregestützter Schlüssel festlegen, nachdem Sie safteyNet-Gerätenachweis festgelegt haben. |
Gerätesperre erforderlich | Diese Einstellung bestimmt, ob das Android-Gerät über eine Geräte-PIN verfügt, die die Mindestkennwortanforderung erfüllt. Die App-Schutz-Richtlinie kann Maßnahmen ergreifen, wenn die Gerätesperre die Mindestkennwortanforderung nicht erfüllt.
Zu den Werten gehören:
Dieser Komplexitätswert ist auf Android 12 und höher ausgerichtet. Bei Geräten mit Android 11 und früheren Versionen wird beim Festlegen eines Komplexitätswerts auf "Niedrig", "Mittel" oder "Hoch" standardmäßig das erwartete Verhalten für "Niedrige Komplexität" festgelegt. Weitere Informationen finden Sie in der Google-Entwicklerdokumentation getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM und PASSWORD_COMPLEXITY_HIGH. Zu den Aktionen zählen:
|
Mindestversion Unternehmensportal | Mithilfe der Mindestversion Unternehmensportal können Sie eine bestimmte mindestdefinierte Version der Unternehmensportal angeben, die auf einem Endbenutzergerät erzwungen wird. Mit dieser Einstellung für den bedingten Start können Sie Werte auf Zugriff blockieren, Daten zurücksetzen und Warnen als mögliche Aktionen festlegen, wenn die einzelnen Werte nicht erfüllt werden. Die möglichen Formate für diesen Wert folgen dem Muster [Haupt].[ Minor], [Major].[ Nebenfach]. [Build], oder [Haupt].[ Nebenfach]. [Build]. [Revision]. Da einige Endbenutzer möglicherweise kein erzwungenes Update von Apps vor Ort bevorzugen, ist die Option "Warn" beim Konfigurieren dieser Einstellung möglicherweise ideal. Der Google Play Store leistet gute Arbeit, nur die Deltabytes für App-Updates zu senden, aber dies kann immer noch eine große Menge an Daten sein, die der Benutzer möglicherweise nicht verwenden möchte, wenn er sich zum Zeitpunkt des Updates auf Daten befindet. Das Erzwingen eines Updates und damit das Herunterladen einer aktualisierten App kann zu unerwarteten Datengebühren zum Zeitpunkt des Updates führen. Weitere Informationen finden Sie unter Android-Richtlinieneinstellungen. |
Max. Unternehmensportal Versionsalter (Tage) | Sie können eine maximale Anzahl von Tagen als Alter der Unternehmensportal (CP)-Version für Android-Geräte festlegen. Diese Einstellung stellt sicher, dass Endbenutzer innerhalb eines bestimmten Bereichs von CP-Releases (in Tagen) liegen. Der Wert muss zwischen 0 und 365 Tagen betragen. Wenn die Einstellung für die Geräte nicht erfüllt ist, wird die Aktion für diese Einstellung ausgelöst. Zu den Aktionen gehören Zugriff blockieren, Daten zurücksetzen oder Warnen. Weitere Informationen finden Sie unter Android-Richtlinieneinstellungen. Anmerkung: Das Alter des Unternehmensportal Builds wird durch Google Play auf dem Endbenutzergerät bestimmt. |
Samsung Knox-Gerätenachweis | Geben Sie an, ob die Samsung Knox-Gerätenachweisprüfung erforderlich ist. Nur unveränderte Geräte, die von Samsung überprüft wurden, können diese Überprüfung bestehen. Eine Liste der unterstützten Geräte finden Sie unter samsungknox.com. Mit dieser Einstellung überprüfen Microsoft Intune auch, ob die Kommunikation zwischen dem Unternehmensportal und dem Intune Dienst von einem fehlerfreien Gerät gesendet wurde. Zu den Aktionen zählen:
Anmerkung: Der Benutzer muss die Samsung Knox-Bedingungen akzeptieren, bevor die Überprüfung des Gerätenachweises durchgeführt werden kann. Wenn der Benutzer die Samsung Knox-Bedingungen nicht akzeptiert, wird die angegebene Aktion ausgeführt. Anmerkung: Diese Einstellung gilt für alle Geräte, die als Ziel verwendet werden. Um diese Einstellung nur auf Samsung-Geräte anzuwenden, können Sie Zuweisungsfilter für verwaltete Apps verwenden. Weitere Informationen zu Zuweisungsfiltern finden Sie unter Verwenden von Filtern beim Zuweisen Von Apps, Richtlinien und Profilen in Microsoft Intune. |
Maximal zulässige Gerätebedrohungsstufe | App-Schutzrichtlinien können die Vorteile des Intune-MTD-Connectors nutzen. Geben Sie eine maximale Bedrohungsstufe an, die für die Verwendung dieser App zulässig ist. Die Bedrohungen werden von der von Ihnen gewählten MTD-Anwendung (Mobile Threat Defense) des Anbieters auf dem Endbenutzergerät bestimmt. Geben Sie entweder Geschützt, Niedrig, Mittel oder Stark ein.
Geschützt erfordert keine Bedrohungen auf dem Gerät und ist der restriktivste konfigurierbare Wert, während Stark im Wesentlichen eine aktive Verbindung zwischen Intune und MTD erfordert. Zu den Aktionen zählen:
|
Primärer MTD-Dienst | Wenn Sie mehrere Intune-MTD-Connectors konfiguriert haben, geben Sie die primäre MTD-Anbieter-App an, die auf dem Endbenutzergerät verwendet werden soll.
Zu den Werten gehören:
Sie müssen die Einstellung "Max. zulässige Geräte-Bedrohungsstufe" konfigurieren, um diese Einstellung zu verwenden. Für diese Einstellung gibt es keine Aktionen . |