Migrieren einer genehmigten Client-App zur Anwendungsschutzrichtlinie im bedingten Zugriff

  • Artikel

In diesem Artikel erfahren Sie, wie Sie von der genehmigten Client-App-Zugangsberechtigung zur Anwendungsschutzrichtlinie migrieren. Anwendungsschutzrichtlinien bieten den gleichen Schutz vor Datenverlusten wie genehmigte Client-Anwendungsrichtlinien, jedoch mit weiteren Vorteilen. Weitere Informationen zu den Vorteilen der Verwendung von App-Schutzrichtlinien finden Sie im Artikel Übersicht über App-Schutzrichtlinien.

Der genehmigte Zuschuss für die Client-App läuft Anfang März 2026 aus. Organisationen müssen bis März 2026 alle aktuellen Richtlinien für bedingten Zugriff, die nur das Gewährungssteuerelement „Genehmigte Client-App erforderlich“ verwenden, auf eine der Richtlinien „Genehmigte Client-App erforderlich“ oder „Anwendungsschutz“ umstellen. Wenden Sie außerdem für jede neue Richtlinie für bedingten Zugriff nur die Richtliniengewährung Anwendungsschutz verlangen an.

Nach März 2026 wird Microsoft die Kontrolle über genehmigte Client-Apps nicht mehr durchsetzen, und es wird so sein, als ob diese Berechtigung nicht ausgewählt wäre. Nutzen Sie die folgenden Schritte vor März 2026, um Ihre Organisationsdaten zu schützen.

Bearbeitung einer vorhandene Richtlinie für bedingten Zugriff

Voraussetzen von genehmigten Client-Apps oder App-Schutzrichtlinien mit mobilen Geräten

Mit den folgenden Schritten machen Sie eine bestehende Richtlinie für bedingten Zugriff von einer genehmigten Client-App oder einer App-Schutzrichtlinie abhängig, wenn Sie ein iOS/iPadOS- oder Android-Gerät verwenden. Diese Richtlinie funktioniert zusammen mit einer App-Schutzrichtlinie, die in Microsoft Intune erstellt wurde.

Organisationen können ihre Richtlinien anhand der folgenden Schritte aktualisieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Browsen Sie zu Schutz>Bedingter Zugriff.
  3. Wählen Sie eine Richtlinie, die die genehmigte Client-App-Gewährung verwendet.
  4. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
    1. Wählen Sie Genehmigte Client-App erforderlich und App-Schutzrichtlinie erforderlich aus.
    2. Für mehrere Steuerelemente wählen Sie Eines der ausgewählten Steuerelemente verlangen.
  5. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  6. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Wenn ein Administrator die Einstellungen mit dem reinen Berichtsmodus bestätigt hat, kann er den Schalter Richtlinie aktivieren von Nur Bericht auf Ein festlegen.

Wiederholen Sie die vorherigen Schritte für alle Ihre Richtlinien, die die genehmigte Client-App-Gewährung verwenden.

Warnung

Nicht alle Anwendungen werden als genehmigte Anwendungen unterstützt oder unterstützen Anwendungsschutzrichtlinien. Eine Liste einiger der gängigsten Client-Apps finden Sie unter Anforderung an die App-Schutzrichtlinie. Wenn Ihre Anwendung dort nicht aufgeführt ist, wenden Sie sich an den Anwendungsentwickler.

Erstellen der Richtlinie für bedingten Zugriff

Verlangt eine App-Schutzrichtlinie für mobile Geräte

Die folgenden Schritte helfen bei der Erstellung einer Richtlinie für den bedingten Zugriff, die eine genehmigte Client-App oder eine App-Schutzrichtlinie bei der Verwendung eines iOS/iPadOS- oder Android-Geräts erfordert. Diese Richtlinie funktioniert zusammen mit einer App-Schutzrichtlinie, die in Microsoft Intune erstellt wurde.

Organisationen können diese Richtlinie anhand der folgenden Schritte einrichten.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Browsen Sie zu Schutz>Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie erstellen aus.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und schließen Sie mindestens ein Konto aus, um zu verhindern, dass Sie selbst gesperrt werden. Wenn Sie keine Konten ausschließen, können Sie die Richtlinie nicht erstellen.
  6. Wählen Sie unter Zielressourcen>Cloud-Apps>Einschließen die Option Alle Cloud-Apps aus.
  7. Navigieren Sie zu Bedingungen>Geräteplattformen und setzen Sie die Option Konfigurieren auf Ja.
    1. Wählen Sie unter Einschließen die Option Geräteplattformen auswählen aus.
    2. Wählen Sie Android und iOS.
    3. Wählen Sie Fertig aus.
  8. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
    1. Wählen Sie Genehmigte Client-App erforderlich und App-Schutzrichtlinie erforderlich aus.
    2. Für mehrere Steuerelemente wählen Sie Eines der ausgewählten Steuerelemente verlangen.
  9. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Wenn ein Administrator die Einstellungen mit dem reinen Berichtsmodus bestätigt hat, kann er den Schalter Richtlinie aktivieren von Nur Bericht auf Ein festlegen.

Hinweis

Wenn eine App die App-Schutzrichtlinie anfordern nicht unterstützt, werden Endbenutzer, die versuchen, auf Ressourcen dieser App zuzugreifen, blockiert.

Nächste Schritte

Weitere Informationen über Anwendungsschutzrichtlinien finden Sie unter:

Übersicht über App-Schutzrichtlinien