Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Einstellungen für App-Schutzrichtlinien für iOS-/iPadOS-Geräte beschrieben. Die beschriebenen Richtlinieneinstellungen können im Portal im Bereich Einstellungen für eine App-Schutzrichtlinie konfiguriert werden, wenn Sie eine neue Richtlinie erstellen.
Es gibt drei Kategorien von Richtlinieneinstellungen: Datenverschiebung, Zugriffsanforderungen und Bedingter Start. In diesem Artikel bezieht sich der Begriff richtlinienverwaltete Apps auf Apps, die mit App-Schutzrichtlinien konfiguriert sind.
Wichtig
Die Intune Managed Browser wird eingestellt. Verwenden Sie Microsoft Edge für Ihre geschützte Intune-Browserumgebung.
Datenschutz
Wichtig
Wenn Sie für Apps, die auf Version 19.7.6 oder höher für Xcode 15 und v20.2.1 oder höher für Xcode 16 des SDK aktualisiert wurden, die Einstellung Organisationsdaten an andere Apps senden auf einen anderen Wert als Alle Apps festgelegt haben, wird der Bildschirmaufnahmeblock für die folgenden Szenarien angewendet:
- Screenshots
- Bildschirmaufzeichnung auf dem Gerät
- Bildschirmfreigabe über Geräte-Apps wie Teams und Zoom Mobile
- Bildschirmspiegelung auf einem anderen Gerät über AirPlay
- Bildschirmspiegelung oder -aufzeichnung über QuickTime auf einem verbundenen Mac
Sie können die Richtlinieneinstellung com.microsoft.intune.mam.screencapturecontrol = Disabled für die App-Konfiguration so konfigurieren, dass die Bildschirmaufnahme für Ihre iOS-Geräte zugelassen wird. Diese Einstellung ist in Intune verfügbar, indem SieApps-Konfiguration>>Verwaltete Appserstellen> auswählen. Wählen Sie im Schritt Einstellungen die Option Allgemeine Konfigurationseinstellungen aus.
Apps müssen neu gestartet werden, nachdem sie die aktualisierte App-Konfigurationsrichtlinie erhalten haben, damit sie wirksam wird.
Datenübertragung
| Setting | Anleitung | Standardwert |
|---|---|---|
| Organisationsdaten in iTunes und iCloud sichern | Klicken Sie auf Block (Blockieren), um zu verhindern, dass diese App Geschäfts-, Schul- oder Unidaten in iTunes und iCloud sichert. Klicken Sie auf Zulassen, um dieser App zu erlauben, Geschäfts-, Schul- oder Unidaten in iTunes und iCloud zu sichern. | Zulassen |
| Organisationsdaten an andere Apps senden | Geben Sie an, welche Apps Daten von dieser App empfangen können:
Spotlight-Suche (ermöglicht das Durchsuchen von Daten in Apps) und Siri-Tastenkombinationen werden blockiert, es sei denn, sie sind auf Alle Apps festgelegt. Diese Richtlinie kann auch für universelle iOS-/iPadOS-Links gelten. Es gibt einige ausgenommene Apps und Dienste, für die Intune die Datenübertragung standardmäßig zulassen. Darüber hinaus können Sie Ihre eigenen Ausnahmen erstellen, wenn Sie zulassen müssen, dass Daten an eine App übertragen werden, welche die Intune-App nicht unterstützt. Weitere Informationen finden Sie unter Datenübertragungsausnahmen. |
Alle Apps |
|
Diese Option ist dann verfügbar, wenn Sie die vorherige Option auf Richtlinienverwaltete Apps festgelegt haben. | |
|
Geben Sie an, welche universellen iOS-/iPadOS-Links in der angegebenen nicht verwalteten Anwendung anstelle des geschützten Browsers geöffnet werden sollen, der durch die Einstellung Übertragung von Webinhalten mit anderen Apps einschränken festgelegt ist. Sie müssen sich an den Anwendungsentwickler wenden, um das richtige universelle Linkformat für die jeweilige Anwendung zu ermitteln. | |
|
Geben Sie an, welche universellen iOS-/iPadOS-Links in der angegebenen verwalteten Anwendung anstelle des geschützten Browsers geöffnet werden sollen, der durch die Einstellung Übertragung von Webinhalten mit anderen Apps einschränken festgelegt ist. Sie müssen sich an den Anwendungsentwickler wenden, um das richtige universelle Linkformat für die jeweilige Anwendung zu ermitteln. | |
|
Klicken Sie auf Block (Blockieren), um die Verwendung der Option „Speichern unter“ in dieser App zu deaktivieren. Klicken Sie auf Allow (Zulassen), wenn die Verwendung von Speichern unter zulässig sein soll. Wenn für diese Einstellung Block (Blockieren) festgelegt ist, können Sie die Einstellung Benutzer das Speichern von Kopien in den ausgewählten Diensten ermöglichen konfigurieren. Hinweis:
|
Zulassen |
|
Benutzer können Dateien in den ausgewählten Diensten speichern: Microsoft OneDrive, SharePoint, Box, Fotobibliothek, iManage, Egnyte und lokaler Speicher. Alle anderen Dienste werden blockiert. OneDrive für Arbeit oder Schule: Sie können Dateien auf OneDrive für Arbeit, Schule und SharePoint speichern. SharePoint: Sie können Dateien in der lokalen SharePoint-Instanz speichern. Fotobibliothek: Sie können Dateien lokal in der Fotobibliothek speichern. Lokaler Speicher: Verwaltete Apps können Kopien von Organisationsdaten lokal speichern. Dies umfasst NICHT das Speichern von Dateien an lokalen, nicht verwalteten Speicherorten wie der Datei-App auf dem Gerät. | 0 ausgewählt |
|
Wenn ein Benutzer in einer App eine mit Hyperlink verknüpfte Telefonnummer auswählt, wird in der Regel eine Wähl-App mit der telefonnummer geöffnet, die bereits aufgefüllt und anrufbereit ist. Wählen Sie für diese Einstellung aus, wie diese Art von Inhaltsübertragung behandelt werden soll, wenn sie von einer richtlinienverwalteten App initiiert wird:
Hinweis: Diese Einstellung erfordert Intune SDK 12.7.0 und höher. Wenn Ihre Apps auf die Wählfunktion angewiesen sind und nicht die richtige Intune SDK-Version verwenden, sollten Sie als Problemumgehung erwägen, "tel; telprompt" als Datenübertragungsausnahme. Sobald die Apps die richtige Intune SDK-Version unterstützen, kann die Ausnahme entfernt werden. |
Any dialer app (Jede Telefon-App) |
|
Wenn eine bestimmte Wähl-App ausgewählt ist, müssen Sie das URL-Schema der Wähl-App angeben, das zum Starten der Wähl-App auf iOS-Geräten verwendet wird. Weitere Informationen finden Sie in der Apple-Dokumentation zu Telefonverknüpfungen. | Blank |
|
Wenn ein Benutzer in einer App einen linkierten Messaging-Link auswählt, wird in der Regel eine Messaging-App mit der telefonnummer geöffnet, die bereits aufgefüllt und zum Senden bereit ist. Wählen Sie für diese Einstellung aus, wie diese Art der Inhaltsübertragung behandelt werden soll, wenn sie von einer richtlinienverwalteten App initiiert wird. Möglicherweise sind zusätzliche Schritte erforderlich, damit diese Einstellung wirksam wird. Vergewissern Sie sich zunächst, dass sms aus der Liste Apps zum Ausschließen auswählen entfernt wurde. Stellen Sie dann sicher, dass die Anwendung eine neuere Version des Intune SDK (Version > 19.0.0) verwendet. Wählen Sie für diese Einstellung aus, wie diese Art von Inhaltsübertragung behandelt werden soll, wenn sie von einer richtlinienverwalteten App initiiert wird:
Hinweis: Diese Einstellung erfordert Intune SDK 19.0.0 und höher. |
Beliebige Messaging-App |
|
Wenn eine bestimmte Messaging-App ausgewählt wurde, müssen Sie das URL-Schema der Messaging-App angeben, das zum Starten der Messaging-App auf iOS-Geräten verwendet wird. Weitere Informationen finden Sie in der Apple-Dokumentation zu Telefonverknüpfungen. | Blank |
| Daten von anderen Apps empfangen | Geben Sie an, welche Apps Daten an diese App übertragen können:
|
Alle Apps |
|
Wählen Sie Blockieren aus, um die Verwendung der Option Öffnen oder anderer Optionen zum Teilen von Daten zwischen Konten in dieser App zu deaktivieren. Klicken Sie auf Zulassen, wenn die Verwendung von Öffnen zulässig sein soll. Wenn sie auf Blockieren festgelegt ist, können Sie benutzer das Öffnen von Daten aus ausgewählten Diensten zulassen konfigurieren, um anzugeben, welche Dienste für Organisationsdatenspeicherorte zulässig sind. Hinweis:
|
Zulassen |
|
Wählen Sie Anwendungsspeicherdienste aus, aus denen Benutzer Daten öffnen können. Alle anderen Dienste werden blockiert. Wenn Sie keine Dienste auswählen, wird verhindert, dass Benutzer Daten von externen Speicherorten öffnen. Anmerkung: Dieses Steuerelement ist für die Arbeit mit Daten konzipiert, die sich außerhalb des Unternehmenscontainers befinden. Unterstützte Dienste:
|
Alle ausgewählten |
| Ausschneiden, Kopieren und Einfügen zwischen Apps einschränken | Geben Sie an, wann Ausschneide-, Kopier- und Einfügeaktionen in dieser App erlaubt sind. Wählen Sie zwischen:
|
Alle Apps |
|
Geben Sie die Anzahl der Zeichen an, die aus Organisationsdaten und -konten ausgeschnitten oder kopiert werden können. Dies ermöglicht die Freigabe der angegebenen Anzahl von Zeichen für jede Anwendung, einschließlich nicht verwalteter Apps, unabhängig von der Einstellung Ausschneiden, Kopieren und Einfügen mit anderen Apps einschränken . Standardwert = 0 Hinweis: Die App muss Version 9.0.14 oder höher des Intune SDK aufweisen. |
0 |
| Bildschirmaufnahme | Wählen Sie Blockieren aus, um die Bildschirmaufnahme von Geschäfts-, Schul- oder Unidaten zu verhindern. Wenn Sie diese Einstellung als Standardwert Zulassen beibehalten, können Benutzer alle Organisationsdaten erfassen und ohne Einschränkungen freigeben. Anmerkung: Weitere Informationen zu unterstützten Bildschirmaufnahmeszenarien finden Sie unter Datenschutz. |
Zulassen |
Hinweis
Für IntuneMAMUPN ist eine Appschutz-Richtlinie für verwaltete Geräte erforderlich. Dies gilt auch für alle Einstellungen, für die registrierte Geräte erforderlich sind.
Verschlüsselung
| Setting | Anleitung | Standardwert |
|---|---|---|
| Organisationsdaten verschlüsseln | Wählen Sie „Require“ (Erforderlich) aus, um die Verschlüsselung von Geschäfts-, Schul- oder Unidaten in dieser App zu aktivieren. Intune erzwingt die Verschlüsselung auf iOS-/iPadOS-Geräteebene, um App-Daten zu schützen, während das Gerät gesperrt ist. Darüber hinaus können Anwendungen optional App-Daten mit Intune APP SDK-Verschlüsselung verschlüsseln. Das Intune App SDK verwendet iOS-/iPadOS-Kryptografiemethoden, um eine 256-Bit-AES-Verschlüsselung auf App-Daten anzuwenden. Wenn Sie diese Einstellung aktivieren, muss der Benutzer möglicherweise eine Geräte-PIN einrichten und verwenden, um auf sein Gerät zuzugreifen. Wenn keine Geräte-PIN vorliegt und die Verschlüsselung erforderlich ist, wird der Benutzer mit der Meldung „Ihre Organisation hat festgelegt, dass Sie zuerst eine Geräte-PIN aktivieren müssen, um auf diese App zugreifen zu können“ aufgefordert, eine PIN einzurichten. Besuchen Sie die offizielle Apple-Dokumentation , um mehr über ihre Datenschutzklassen im Rahmen der Apple Platform Security zu erfahren. |
Erforderlich |
Funktionalität
| Setting | Anleitung | Standardwert |
|---|---|---|
| Per Richtlinie verwaltete App-Daten mit nativen Apps oder Add-Ins synchronisieren | Wählen Sie Blockieren aus, um zu verhindern, dass richtlinienverwaltete Apps Daten in den nativen Apps des Geräts (Kontakte, Kalender und Widgets) speichern und die Verwendung von Add-Ins in den richtlinienverwalteten Apps verhindern. Wenn von der Anwendung nicht unterstützt wird, sind das Speichern von Daten in nativen Apps und die Verwendung von Add-Ins zulässig. Wenn Sie „Zulassen“ auswählen, kann die von Richtlinien verwaltete App Daten in den nativen Apps speichern oder Add-Ins verwenden, wenn diese Features in der von Richtlinien verwalteten App unterstützt und aktiviert werden. Anwendungen bieten möglicherweise weitere Steuerelemente, um das Datensynchronisierungsverhalten für bestimmte native Apps anzupassen, oder berücksichtigen dieses Steuerelement nicht. Hinweis: Wenn Sie eine selektive Zurücksetzung durchführen, um Geschäfts-, Schul- oder Unidaten aus der App zu entfernen, werden Daten entfernt, die direkt aus der richtlinienverwalteten App mit der nativen App synchronisiert werden. Alle Daten, die von der nativen App mit einer anderen externen Quelle synchronisiert werden, werden nicht zurückgesetzt. Hinweis: Die folgenden Apps unterstützen dieses Feature:
|
Zulassen |
| Organisationsdaten drucken | Wählen Sie Blockieren aus, um zu verhindern, dass die App Geschäfts-, Schul- oder Unidaten druckt. Wenn Sie diese Einstellung auf Zulassen (Standardwert) belassen, können Benutzer alle Organisationsdaten exportieren und drucken. | Zulassen |
| Übertragung von Webinhalten mit anderen Apps einschränken | Legen Sie fest, wie Webinhalte (HTTP-/HTTPS-Links) über mit Richtlinien verwaltete Anwendungen geöffnet werden. Wählen Sie zwischen:
Wenn ein richtlinienverwalteter Browser erforderlich ist, aber nicht installiert ist, wird eine Aufforderung für Benutzer angezeigt, Microsoft Edge zu installieren. Wenn ein richtlinienverwalteter Browser erforderlich ist, werden universelle iOS-/iPadOS-Links durch die Richtlinieneinstellung Organisationsdaten an andere Apps senden verwaltet.
Geräteregistrierung mit Intune
Microsoft Edge: mit Richtlinien verwaltet
Hinweis: Das Intune SDK kann nicht ermitteln, ob eine Ziel-App ein Browser ist. Auf iOS-/iPadOS-Geräten sind keine anderen Verwalteten Browser-Apps zulässig. |
Nicht konfiguriert |
|
Geben Sie das Protokoll für einen einzelnen nicht verwalteten Browser ein. Webinhalte (HTTP/HTTPS-Links) von richtlinienverwalteten Anwendungen werden in jeder App geöffnet, die dieses Protokoll unterstützt. Der Webinhalt wird im Zielbrowser nicht verwaltet. Verwenden Sie dieses Feature nur, wenn Sie geschützte Inhalte für einen bestimmten Browser freigeben müssen, Intune App-Schutzrichtlinien nicht aktivieren. Sie müssen beim Browseranbieter erfragen, welches Protokoll vom gewünschten Browser unterstützt wird. Hinweis:Schließen Sie nur das Protokollpräfix ein. Wenn Ihr Browser Links der Art mybrowser://www.microsoft.com erfordert, geben Sie mybrowser an.Links werden wie folgt übersetzt:
|
Blank |
| Benachrichtigungen zu Organisationsdaten | Geben Sie an, wie Organisationsdaten über Benachrichtigungen des Betriebssystems für Organisationskonten freigegeben werden. Diese Richtlinieneinstellung wirkt sich auf das lokale Gerät und alle verbundenen Geräte wie Wearables und intelligente Lautsprecher aus. Apps bieten möglicherweise weitere Steuerelemente zum Anpassen des Benachrichtigungsverhaltens oder können sich dafür entscheiden, nicht alle Werte zu berücksichtigen. Wählen Sie zwischen:
Hinweis:
|
Zulassen |
Hinweis
Keine der Datenschutzeinstellungen steuert das von Apple verwaltete Feature „Öffnen in“ auf iOS-/iPadOS-Geräten. Informationen zum Verwalten der Apple-Funktion „Öffnen in“ finden Sie unter Verwalten der Datenübertragung zwischen iOS-/iPadOS-Apps in Microsoft Intune.
Datenübertragungsausnahmen
Es gibt einige ausgenommene Apps und Plattformdienste, die Intune App-Schutzrichtlinie in bestimmten Szenarien die Datenübertragung zu und von zulassen kann. Diese Liste unterliegt Änderungen und gibt die Dienste und Apps wieder, die als nützlich für eine sichere Produktivität gelten.
Sie können nicht von Microsoft verwaltete Apps zur Ausnahmeliste hinzufügen, um Datenübertragungsausnahmen zuzulassen. Weitere Informationen finden Sie unter How to create exceptions to the Intune App Protection Policy (APP)-Datenübertragungsrichtlinie.For more information, see How to create exceptions to the Intune App Protection Policy (APP)-Datenübertragungsrichtlinie. Die ausgenommene nicht verwaltete App muss basierend auf dem iOS-URL-Protokoll aufgerufen werden. Wenn z. B. die Datenübertragungsausnahme für eine nicht verwaltete App hinzugefügt wird, würde sie dennoch verhindern, dass Benutzer Ausschneide-, Kopier- und Einfügevorgänge durchführen, wenn eine Beschränkung durch eine Richtlinie besteht. Diese Art von Ausnahme würde auch weiterhin verhindern, dass Benutzer die Aktion Öffnen in einer verwalteten App verwenden, um Daten freizugeben oder zu speichern, da sie nicht auf dem iOS-URL-Protokoll basiert. Weitere Informationen zu Öffnen in finden Sie unter Verwenden des App-Schutzes mit iOS-Apps.
| Name der App/des Diensts | Beschreibung |
|---|---|
skype |
Skype |
app-settings |
Geräteeinstellungen |
itms; itmss; itms-apps; itms-appss; itms-services |
App Store |
calshow |
Nativer Kalender |
Wichtig
Richtlinien für den Intune-App-Schutz, die vor dem 15. Juni 2020 erstellt wurden, enthalten die URL-Schemas tel und telprompt in den Standardausnahmen für die Datenübertragung. Diese URL-Schemas ermöglichen es verwalteten Apps, die Telefonfunktionalität zu initiieren. Diese Funktionalität wurde durch die App-Schutzrichtlinieneinstellung Telekommunikationsdaten übertragen ersetzt. Administratoren sollten tel;telprompt; aus den Datenübertragungsausnahmen entfernen und sich auf die Richtlinieneinstellung für den App-Schutz verlassen, sofern die verwalteten Anwendungen, deren Telefonfunktionalität initiiert wird, das Intune SDK 12.7.0 oder höher enthalten.
Wichtig
In Intune SDK 14.5.0 oder höher ermöglichen einschließlich sms- und mailto-URL-Schemas in den Datenübertragungsausnahmen die Freigabe von Organisationsdaten an die Ansichtscontroller MFMessageCompose (für sms) und MFMailCompose (für mailto) in richtlinienverwalteten Anwendungen.
Universelle Links
Universelle Links ermöglichen dem Benutzer das direkte Starten einer Anwendung, die dem Link zugeordnet ist, anstelle eines geschützten Browsers, der durch die Einstellung Übertragung von Webinhalten mit anderen Apps einschränken angegeben wurde. Sie müssen sich an den Anwendungsentwickler wenden, um das richtige universelle Linkformat für die jeweilige Anwendung zu ermitteln.
Die Richtlinie für universelle Verknüpfungen verwaltet auch Standardmäßige App-Cliplinks.
Universelle Links ausschließen
Durch Hinzufügen von universellen Links zu nicht verwalteten Apps können Sie die angegebene Anwendung starten. Um die App hinzuzufügen, müssen Sie den Link zur Ausnahmeliste hinzufügen.
Achtung
Die Zielanwendungen für diese universellen Links sind nicht verwaltet, und das Hinzufügen einer Ausnahme kann zu Datenverlusten führen.
Die Standard-App-Ausnahmen für universelle Verknüpfungen umfassen die folgenden Apps:
| Universeller App-Link | Beschreibung |
|---|---|
http://maps.apple.com;
https://maps.apple.com
|
Karten-App |
http://facetime.apple.com;
https://facetime.apple.com
|
FaceTime-App |
Wenn Sie die standardmäßigen Ausnahmen für universelle Links nicht zulassen möchten, können Sie diese löschen. Sie können auch Universelle Links für Nicht-Microsoft- oder Branchen-Apps hinzufügen. Die ausgenommenen universellen Links erlauben Platzhalter wie http://*.sharepoint-df.com/*.
Verwaltete universelle Links
Durch Hinzufügen von universellen Links zu verwalteten Apps können Sie die angegebene Anwendung sicher starten. Um die App hinzuzufügen, müssen Sie den universellen Link der App zur verwalteten Liste hinzufügen. Wenn die Zielanwendung Intune App-Schutzrichtlinie unterstützt, wird durch Auswählen des Links versucht, die App zu starten. Wenn die App nicht geöffnet werden kann, wird der Link im geschützten Browser geöffnet. Wenn die Zielanwendung das Intune SDK nicht integriert, wird durch Auswählen des Links der geschützte Browser gestartet.
Die standardmäßigen verwalteten universellen Links sind die folgenden:
| Universeller Link für verwaltete Apps | Beschreibung |
|---|---|
http://*.onedrive.com/*;
https://*.onedrive.com/*;
|
Microsoft OneDrive-App |
http://*.appsplatform.us/*;
http://*.powerapps.cn/*;
http://*.powerapps.com/*;
http://*.powerapps.us/*;
https://*.powerbi.com/*;
https://app.powerbi.cn/*;
https://app.powerbigov.us/*;
https://app.powerbi.de/*;
|
PowerApps |
http://*.powerbi.com/*;
http://app.powerbi.cn/*;
http://app.powerbigov.us/*;
http://app.powerbi.de/*;
https://*.appsplatform.us/*;
https://*.powerapps.cn/*;
https://*.powerapps.com/*;
https://*.powerapps.us/*;
|
Power BI |
http://*.service-now.com/*;
https://*.service-now.com/*;
|
ServiceNow |
http://*.sharepoint.com/*;
http://*.sharepoint-df.com/*;
https://*.sharepoint.com/*;
https://*.sharepoint-df.com/*;
|
SharePoint |
http://web.microsoftstream.com/video/*;
http://msit.microsoftstream.com/video/*;
https://web.microsoftstream.com/video/*;
https://msit.microsoftstream.com/video/*;
|
Stream |
http://*teams.microsoft.com/l/*;
http://*devspaces.skype.com/l/*;
http://*teams.live.com/l/*;
http://*collab.apps.mil/l/*;
http://*teams.microsoft.us/l/*;
http://*teams-fl.microsoft.com/l/*;
https://*teams.microsoft.com/l/*;
https://*devspaces.skype.com/l/*;
https://*teams.live.com/l/*;
https://*collab.apps.mil/l/*;
https://*teams.microsoft.us/l/*;
https://*teams-fl.microsoft.com/l/*;
|
Teams |
http://tasks.office.com/*;
https://tasks.office.com/*;
http://to-do.microsoft.com/sharing*;
https://to-do.microsoft.com/sharing*;
|
ToDo |
http://*.yammer.com/*;
https://*.yammer.com/*;
|
Viva Engage |
http://*.zoom.us/*;
https://*.zoom.us/*;
|
Zoom |
Wenn Sie die standardmäßigen Ausnahmen für universelle Links nicht zulassen möchten, können Sie diese löschen. Sie können auch Universelle Links für Nicht-Microsoft- oder BRANCHEN-Apps hinzufügen.
Erforderliche Zugriffsberechtigungen
| Setting | Anleitung | Standardwert |
|---|---|---|
| PIN für Zugriff | Klicken Sie auf Require (Erforderlich), um für die Verwendung dieser App eine PIN anzufordern. Benutzer werden beim ersten Ausführen der App in einem Geschäfts-, Schul- oder Unikontext aufgefordert, diese PIN einzurichten. Die PIN wird entweder beim Online- oder beim Offlinearbeiten angewendet. Sie können die PIN-Sicherheit mithilfe der Einstellungen im Abschnitt PIN for access (PIN für Zugriff) konfigurieren. Anmerkung: Endbenutzer, die auf die App zugreifen dürfen, können die App-PIN zurücksetzen. Diese Einstellung ist in einigen Fällen auf iOS-Geräten möglicherweise nicht sichtbar. iOS-Geräte haben eine maximale Beschränkung von vier verfügbaren Tastenkombinationen. Um die Verknüpfung zum Zurücksetzen der APP-PIN anzuzeigen, muss der Endbenutzer möglicherweise über eine andere verwaltete App auf die Verknüpfung zugreifen. |
Erforderlich |
|
Legen Sie fest, dass eine numerische PIN oder ein Passcode eingegeben werden muss, bevor Benutzer auf eine App zugreifen können, für die App-Schutzrichtlinien gelten. Numerische Anforderungen enthalten nur Zahlen, während ein Passcode mit mindestens einem Buchstaben oder mindestens einem Sonderzeichen definiert werden kann. Hinweis:Zum Konfigurieren des Kennungstyps muss die App über Intune SDK-Version 7.1.12 oder höher verfügen. Der numerische Typ hat keine Intune SDK-Versionseinschränkung. Zu den zulässigen Sonderzeichen gehören Sonderzeichen und Symbole auf der englischsprachigen iOS/iPadOS-Tastatur. |
Numeric |
|
Klicken Sie auf Zulassen, um Benutzern das Verwenden einfacher PIN-Sequenzen wie „1234“, „1111“, „abcd“ oder „aaaa“ zu erlauben. Klicken Sie auf Block (Blockieren), um zu verhindern, dass einfache Sequenzen verwendet werden. Einfache Sequenzen werden in drei gleitenden Zeichenfenstern überprüft. Wenn Block konfiguriert ist, würde 1235 oder 1112 nicht als VOM Endbenutzer festgelegte PIN akzeptiert, aber 1122 wäre zulässig. Hinweis:Wenn die Passcodetyp-PIN konfiguriert und "Einfache PIN zulassen" auf "Ja" festgelegt ist, muss der Benutzer in seiner PIN mindestens einen Buchstaben oder mindestens ein Sonderzeichen verwenden. Wenn die Passcodetyp-PIN konfiguriert und "Einfache PIN zulassen" auf "Nein" festgelegt ist, muss der Benutzer in seiner PIN mindestens eine Zahl und einen Buchstaben sowie mindestens 1 Sonderzeichen verwenden. |
Zulassen |
|
Geben Sie die Mindestanzahl von Ziffern in einer PIN-Sequenz an. | 4 |
|
Klicken Sie auf Zulassen, um Benutzern für den Zugriff auf die App das Verwenden von Touch ID anstelle einer PIN zu erlauben. | Zulassen |
|
Klicken Sie auf Require (Erforderlich), und konfigurieren Sie ein Inaktivitätstimeout, um diese Einstellung zu verwenden. | Erforderlich |
|
Geben Sie eine Zeit in Minuten an, nach der entweder eine Kennung oder eine numerische PIN (wie konfiguriert) die Verwendung eines Fingerabdrucks oder Gesichts als Zugriffsmethode überschreibt. Dieser Timeoutwert sollte größer als der unter „Zugriffsanforderungen nach (Minuten der Inaktivität) erneut überprüfen“ angegebene Wert sein. | 30 |
|
Klicken Sie auf Zulassen, damit die Benutzer die Gesichtserkennungstechnologie zur Benutzerauthentifizierung auf iOS-/iPadOS-Geräten verwenden können. Wenn Sie diese Option zulassen, muss Face ID verwendet werden, damit auf einem mit Face ID kompatiblen Gerät auf die App zugegriffen werden kann. | Zulassen |
|
Klicken Sie auf Yes (Ja), damit die Benutzer nach einem bestimmten Zeitraum die App-PIN ändern müssen. Wenn Sie diese Einstellung auf Ja festlegen, können Sie die Anzahl der Tage festlegen, nach denen die PIN zurückgesetzt werden muss. |
Nein |
|
Konfigurieren Sie die Anzahl der Tage, nach denen die PIN zurückgesetzt werden muss. | 90 |
|
Klicken Sie auf Deaktivieren, um die App-PIN zu deaktivieren, wenn eine Gerätesperre auf einem registrierten Gerät erkannt wird, auf dem das Unternehmensportal konfiguriert ist. Hinweis:Erfordert, dass die App Intune SDK-Version 7.0.1 oder höher aufweist. Die IntuneMAMUPN-Einstellung muss für Anwendungen konfiguriert werden, um den Registrierungsstatus zu erkennen. Auf iOS-/iPadOS-Geräten können Sie Benutzern erlauben, ihre Identität mithilfe von Touch ID oder Face ID statt einer PIN nachzuweisen. Intune verwendet die LocalAuthentication-API, um die Benutzer mithilfe von Touch ID und Face ID zu authentifizieren. Weitere Informationen zu Touch ID und Face ID finden Sie im iOS Security-Handbuch. Wenn der Benutzer versucht, diese App mit seinem Geschäfts-, Schul- oder Unikonto zu nutzen, wird er aufgefordert, seine Identität per Fingerabdruck oder Gesichtserkennung anstatt durch Eingabe einer PIN nachzuweisen. Wenn diese Einstellung aktiviert ist, wird das Vorschaubild der App-Switcher bei verwendung eines Geschäfts-, Schul- oder Unikontos verschwommen. Wenn sich die biometrische Datenbank des Geräts ändert, fordert Intune den Benutzer zur Eingabe einer PIN auf, wenn der nächste Inaktivitätstimeoutwert erreicht wird. Änderungen an biometrischen Daten umfassen das Hinzufügen oder Entfernen eines Fingerabdrucks oder Gesichts zur Authentifizierung. Wenn der Intune Benutzer keine PIN festgelegt hat, wird er aufgefordert, eine Intune PIN einzurichten. |
Enable |
| Anmeldeinformationen für Geschäfts-, Schul- oder Unikonto für Zugriff | Wählen Sie Erforderlich aus, damit sich der Benutzer mit dem Geschäfts-, Schul- oder Unikonto anmeldet, anstatt eine PIN für den Zugriff auf die App zu verwenden. Wenn Sie diese Einstellung auf Erforderlich festlegen und PIN oder biometrische Eingabeaufforderungen aktiviert sind, wird dem Benutzer sowohl die Aufforderung zu den Unternehmensanmeldeinformationen als auch die PIN oder biometrische Eingabeaufforderung angezeigt. | Nicht erforderlich |
| Recheck the access requirements after (minutes of inactivity) (Zugriffsanforderungen nach (Minuten der Inaktivität) prüfen) | Konfigurieren Sie die Minuten der Inaktivität, bevor die App anfordert, dass der Benutzer die Zugriffsanforderungen erneut angibt. Ein Administrator aktiviert z. B. pin und blockiert geräte mit Rootzugriff in der Richtlinie, ein Benutzer öffnet eine Intune verwaltete App, muss eine PIN eingeben und die App auf einem Gerät ohne Stammbasis verwenden. Wenn Sie diese Einstellung verwenden, muss der Benutzer für den von Ihnen konfigurierten Zeitraum keine PIN eingeben oder eine andere Überprüfung der Stammerkennung in einer Intune verwalteten App durchführen. Hinweis:Unter iOS/iPadOS wird die PIN für alle Intune verwalteten Apps desselben Herausgebers freigegeben. Der PIN-Timer für eine bestimmte PIN wird zurückgesetzt, sobald die App den Vordergrund auf dem Gerät verlässt. Der Benutzer müsste keine PIN für Intune verwaltete App eingeben, die seine PIN während des in dieser Einstellung definierten Timeouts freigibt. Dieses Richtlinieneinstellungsformat unterstützt eine positive ganze Zahl. |
30 |
Hinweis
Weitere Informationen dazu, wie mehrere App-Schutzeinstellungen in Intune, die im Abschnitt „Zugriff“ für dieselbe Gruppe von Apps und Benutzern konfiguriert wurden, unter iOS/iPadOS funktionieren, finden Sie unter Häufig gestellte Fragen zu MAM und App-Schutz und Selektives Löschen von Daten in Intune über durch App-Schutzrichtlinien festgelegte bedingte Startaktionen.
Bedingter Start
Konfigurieren Sie die Einstellungen für einen bedingten Start, um die Sicherheitsanforderungen bei der Anmeldung für Ihre Zugriffsschutzrichtlinie festzulegen.
Standardmäßig werden mehrere Einstellungen mit vorkonfigurierten Werten und Aktionen bereitgestellt. Sie können einige dieser Werte löschen, z. B. die Mindestversion des Betriebssystems. Sie können auch andere Einstellungen aus der Dropdownliste Auswählen auswählen auswählen.
| Setting | Anleitung |
|---|---|
| Maximale Betriebssystemversion | Geben Sie die maximale iOS- oder iPadOS-Betriebssystemversion an, die für die Verwendung dieser App zulässig ist. Zu den Aktionen zählen:
Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt. Dieses Richtlinieneinstellungsformat unterstützt major.minor, major.minor.build oder major.minor.build.revision („Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“). Hinweis:Für die App muss Intune SDK-Version 14.4.0 oder höher verwendet werden. |
| Mindestversion für Betriebssystem | Geben Sie zur Verwendung dieser App eine Mindestversion für das iOS-/iPadOS-Betriebssystem an. Zu den Aktionen zählen:
Dieses Richtlinieneinstellungsformat unterstützt major.minor, major.minor.build oder major.minor.build.revision („Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“). Hinweis:Erfordert, dass die App Intune SDK-Version 7.0.1 oder höher aufweist. |
| Maximal zulässige PIN-Versuche | Geben Sie die Anzahl der Versuche an, die der Benutzer zum erfolgreichen Eingeben seiner PIN hat, ehe die konfigurierte Aktion ausgeführt wird. Wenn der Benutzer seine PIN nach den maximalen PIN-Versuchen nicht erfolgreich eingeben kann, muss der Benutzer seine Pin zurücksetzen, nachdem er sich erfolgreich bei seinem Konto angemeldet und ggf. eine MFA-Anforderung (Multi-Factor Authentication) abgeschlossen hat. Dieses Richtlinieneinstellungsformat unterstützt eine positive ganze Zahl. Zu den Aktionen zählen:
|
| Offline-Toleranzperiode | Hierbei handelt es sich um die Anzahl an Minuten, während der von Richtlinien verwaltete Apps offline ausgeführt werden können. Geben Sie die Zeit (in Minuten) an, bevor die Zugriffsanforderungen der App erneut überprüft werden. Zu den Aktionen zählen:
|
| Geräte mit Jailbreak/entfernten Nutzungsbeschränkungen | Für diese Einstellung muss kein Wert festgelegt werden. Zu den Aktionen zählen:
|
| Deaktiviertes Konto | Für diese Einstellung muss kein Wert festgelegt werden. Zu den Aktionen zählen:
|
| Mindestversion für App | Legen Sie einen Wert für die Mindestversion der Anwendung fest. Zu den Aktionen zählen:
Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt. Diese Richtlinieneinstellung unterstützt übereinstimmende iOS-App-Bundle-Versionsformate (Hauptversion.Nebenversion oder Hauptversion.Nebenversion.patch). Hinweis:Erfordert, dass die App Intune SDK-Version 7.0.1 oder höher aufweist. Sie können zusätzlich konfigurieren, wo Ihre Endbenutzer eine aktualisierte Version einer branchenspezifischen App (LOB, Line-of-Business) erhalten können. Endbenutzern wird dies im Dialogfeld für bedingten Start der Mindestversion der App angezeigt, in dem Endbenutzer aufgefordert werden, auf eine Mindestversion der BRANCHEN-App zu aktualisieren. Unter iOS/iPadOS muss die App mit dem Intune SDK für iOS v. 10.0.7 oder höher integriert (oder mit dem Wrapping-Tool umschlossen werden). Um zu konfigurieren, wo ein Endbenutzer eine LOB-App aktualisieren soll, muss eine verwaltete App-Konfigurationsrichtlinie mit dem Schlüssel com.microsoft.intune.myappstore an diese gesendet werden. Der gesendete Wert definiert, aus welchem Speicher der Endbenutzer die App herunterlädt. Wenn die App über das Unternehmensportal bereitgestellt wird, muss der Wert CompanyPortal sein. Für alle anderen Store müssen Sie eine vollständige URL eingeben. |
| Mindestversion für SDK | Geben Sie einen Mindestwert für die Intune SDK-Version an. Zu den Aktionen zählen:
Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt. |
| Gerätemodelle | Geben Sie eine durch Semikolons getrennte Liste von Modellbezeichnern an. Bei diesen Werten wird die Groß-/Kleinschreibung nicht beachtet. Zu den Aktionen zählen:
|
| Maximal zulässige Gerätebedrohungsstufe | App-Schutzrichtlinien können die Vorteile des Intune-MTD-Connectors nutzen. Geben Sie eine maximale Bedrohungsstufe an, die für die Verwendung dieser App zulässig ist. Die ausgewählte Mobile Threat Defense-App (MTD) bestimmt Bedrohungen auf dem Gerät des Benutzers. Geben Sie entweder Geschützt, Niedrig, Mittel oder Stark ein.
Geschützt erfordert keine Bedrohungen auf dem Gerät und ist der restriktivste konfigurierbare Wert, während Stark im Wesentlichen eine aktive Verbindung zwischen Intune und MTD erfordert. Zu den Aktionen zählen:
Weitere Informationen zu dieser Einstellung finden Sie unter Aktivieren von MTD auf nicht registrierten Geräten. |
| Primärer MTD-Dienst | Wenn Sie mehrere Intune-MTD-Connectors konfiguriert haben, geben Sie die primäre MTD-Anbieter-App an, die auf dem Endbenutzergerät verwendet werden soll.
Zu den Werten gehören:
Sie müssen die Einstellung "Max. zulässige Geräte-Bedrohungsstufe" konfigurieren, um diese Einstellung zu verwenden. Für diese Einstellung gibt es keine Aktionen . |
| Arbeitsfreie Zeit | Für diese Einstellung muss kein Wert festgelegt werden. Zu den Aktionen zählen:
Die folgenden Apps unterstützen dieses Feature:
|
Weitere Informationen
- Erfahren Sie mehr über LinkedIn-Informationen und -Features in Ihren Microsoft-Apps.
- Hier erfahren Sie mehr über die Veröffentlichung von LinkedIn-Kontoverbindungen über die Microsoft 365-Roadmap.
- Erfahren Sie mehr über das Konfigurieren von LinkedIn-Kontoverbindungen.
- Weitere Informationen über Daten, die zwischen den LinkedIn- und Microsoft-Arbeits- oder -Schulkonten freigegeben werden, finden Sie unter LinkedIn in Microsoft-Anwendungen mit Ihrem Arbeits- oder Schulkonto.