Genehmigte Client-Apps oder eine Richtlinie zum Schutz von Apps erforderlich machen

Viele Menschen verwenden mobile Geräte sowohl für private als auch für berufliche Zwecke. Unternehmen wollen nicht nur sicherstellen, dass ihre Mitarbeiter produktiv arbeiten können, sondern auch Datenverluste durch Anwendungen auf Geräten verhindern, die sie nicht vollständig verwalten können.

Mit bedingtem Zugriff können Organisationen den Zugriff auf genehmigte (moderne authentifizierungsfähige) Client-Apps mithilfe von Intune-App-Schutzrichtlinien einschränken. Für ältere Client-Apps, die möglicherweise keine App-Schutzrichtlinien unterstützen, können Administratoren den Zugriff auf genehmigte Client-Apps einschränken.

Warnung

App-Schutzrichtlinien werden auf iOS und Android unterstützt, wenn die Apps bestimmte Anforderungen erfüllen. App-Schutzrichtlinien werden auf Windows in der Vorschau nur für den Microsoft Edge-Browser unterstützt. Nicht alle Anwendungen werden als genehmigte Anwendungen unterstützt oder unterstützen Anwendungsschutzrichtlinien. Eine Liste einiger der gängigsten Client-Apps finden Sie unter Anforderung an die App-Schutzrichtlinie. Wenn Ihre Anwendung dort nicht aufgeführt ist, wenden Sie sich an den Anwendungsentwickler. Um für iOS- und Android-Geräte genehmigte Client-Apps zu erfordern oder App-Schutzrichtlinien zu erzwingen, müssen diese Geräte zunächst bei Microsoft Entra registriert werden.

Hinweis

Das Erfordern einer der ausgewählten Kontrollen unter den Zuweisungskontrollen ist wie eine ODER-Klausel. Sie wird innerhalb einer Richtlinie verwendet, um benutzenden Personen die Verwendung von Apps zu ermöglichen, die die Gewährungssteuerelemente Appschutz-Richtlinie erforderlich oder Genehmigte Client-App erforderlich unterstützen. App-Schutzrichtlinie erforderlich wird erzwungen, wenn die App dieses Gewährungssteuerungselement unterstützt.

Weitere Informationen zu den Vorteilen der Verwendung von App-Schutzrichtlinien finden Sie im Artikel Übersicht über App-Schutzrichtlinien.

Für die folgenden Richtlinien wird zu Beginn der Modus Nur melden festgelegt, damit Administratoren die Auswirkungen auf vorhandene Benutzer ermitteln können. Wenn Sie als Administrator der Ansicht sind, dass die Richtlinien den beabsichtigten Zweck erfüllen, können Sie sie auf EIN einstellen oder die nächste Phase der Bereitstellung beginnen, indem Sie bestimmte Gruppen hinzufügen und andere ausschließen.

Erfordern genehmigte Client-Apps oder App-Schutzrichtlinien für mobile Geräte.

Die folgenden Schritte helfen bei der Erstellung einer Richtlinie für den bedingten Zugriff, die eine genehmigte Client-App oder eine App-Schutzrichtlinie bei der Verwendung eines iOS/iPadOS- oder Android-Geräts erfordert. Diese Richtlinie verhindert auch die Verwendung von Exchange ActiveSync-Clients, welche die Standardauthentifizierung auf mobilen Geräten verwenden. Diese Richtlinie funktioniert zusammen mit einer App-Schutzrichtlinie, die in Microsoft Intune erstellt wurde.

Unternehmen können diese Richtlinie entweder mit den unten beschriebenen Schritten oder mit den Vorlagen für bedingten Zugriff einrichten.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
2. Navigieren Sie zu Entra ID>Bedingter Zugriff.
3. Wählen Sie Neue Richtlinie erstellen aus.
4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
   1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
   2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und schließen Sie mindestens ein Konto aus, um zu verhindern, dass Sie selbst gesperrt werden. Wenn Sie keine Konten ausschließen, können Sie die Richtlinie nicht erstellen.
6. Wählen Sie unter Zielressourcen>Ressourcen (früher Cloud-Apps)>Einschließen die Option Alle Ressourcen (früher „Alle Cloud-Apps") aus.
7. Navigieren Sie zu Bedingungen>Geräteplattformen und setzen Sie die Option Konfigurieren auf Ja.
   1. Wählen Sie unter Einschließen die Option Geräteplattformen auswählen aus.
   2. Wählen Sie Android und iOS.
   3. Wählen Sie Fertig aus.
8. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
   1. Wählen Sie Genehmigte Client-App erforderlich und Anwendungsschutz-Richtlinie erforderlich aus.
   2. Für mehrere Steuerelemente wählen Sie Eines der ausgewählten Steuerelemente verlangen.
9. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Hinweis

Wenn eine Richtlinie im Nur Bericht Modus für das Steuerelement "App-Schutzrichtlinie erforderlich" erstellt wird, zeigt Ihr Anmeldeprotokoll möglicherweise das Ergebnis als "Nur Bericht: Fehlschlag" auf der Registerkarte "Bedingter Zugriff", auch wenn alle konfigurierten Richtlinienbedingungen erfüllt sind. Dies liegt daran, dass das Steuerelement nicht im Nur-Bericht-Modus zufriedengestellt wurde. Nachdem Sie die Richtlinie aktiviert haben, wird das Steuerelement auf die App angewendet, und die Anmeldung wird nicht blockiert.

Nachdem Administratoren die Richtlinieneinstellungen mithilfe des Richtlinieneffekts oder des Nur-Bericht-Modus ausgewertet haben, können sie die Option "Richtlinie einschalten" von "Nur Bericht" auf "Ein" umstellen.

Tipp

Organisationen sollten zusätzlich zu dieser Richtlinie auch eine Richtlinie bereitstellen, die den Zugriff von nicht unterstützten oder unbekannten Geräteplattformen blockiert.

Sperren von Exchange ActiveSync auf allen Geräten

Diese Richtlinie hindert alle Exchange ActiveSync-Clients, welche die Standardauthentifizierung verwenden, daran, eine Verbindung mit Exchange Online herzustellen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
2. Navigieren Sie zu Entra ID>Bedingter Zugriff.
3. Wählen Sie Neue Richtlinie erstellen aus.
4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
   1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
   2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und schließen Sie mindestens ein Konto aus, um zu verhindern, dass Sie selbst gesperrt werden. Wenn Sie keine Konten ausschließen, können Sie die Richtlinie nicht erstellen.
   3. Wählen Sie Fertig aus.
6. Wählen Sie unter Zielressourcen>Ressourcen (früher Cloud-Apps)>Einschließen die Option Ressourcen auswählen aus.
   1. Wählen Sie Office 365 Exchange Online aus.
   2. Wählen Sie Auswählen.
7. Legen Sie unter Bedingungen>Client-Apps die Option Konfigurieren auf Ja fest.
   1. Deaktivieren Sie alle Optionen außer Exchange ActiveSync-Clients.
   2. Wählen Sie Fertig aus.
8. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
   1. Wählen Sie Erforderliche App-Schutzrichtlinie aus.
9. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Nachdem Administratoren die Richtlinieneinstellungen mithilfe des Richtlinieneffekts oder des Nur-Bericht-Modus ausgewertet haben, können sie die Option "Richtlinie einschalten" von "Nur Bericht" auf "Ein" umstellen.

Verwandte Inhalte

• Übersicht über App-Schutzrichtlinien
• Allgemeine Richtlinien für bedingten Zugriff
• Migrieren einer genehmigten Client-App zur Appschutz-Richtlinie in Conditional Access