Erstellen und Zuweisen von App-Schutzrichtlinien

Erfahren Sie, wie Sie Microsoft Intune App-Schutzrichtlinien (APP) für Benutzer Ihrer Organisation erstellen und zuweisen. In diesem Thema wird auch beschrieben, wie Änderungen an vorhandenen Richtlinien vorgenommen werden.

Vorabinformationen

App-Schutz Richtlinien können für Apps gelten, die auf Geräten ausgeführt werden, die von Intune verwaltet werden oder nicht. Eine ausführlichere Beschreibung der Funktionsweise von App-Schutzrichtlinien und der Szenarien, die von Intune App-Schutzrichtlinien unterstützt werden, finden Sie unter Übersicht über App-Schutz-Richtlinien.

Die in den App-Schutzrichtlinien verfügbaren Optionen ermöglichen Organisationen, den Schutz an ihre speziellen Anforderungen anzupassen. Für einige Organisationen ist es jedoch möglicherweise nicht offensichtlich, welche Richtlinieneinstellungen genau erforderlich sind, um ein vollständiges Szenario zu implementieren. Um Unternehmen bei der Priorisierung der Absicherung mobiler Clientendpunkte zu unterstützen, hat Microsoft für die Verwaltung mobiler iOS- und Android-Apps eine Taxonomie für sein Datenschutzframework für App-Schutzrichtlinien eingeführt.

Dieses Datenschutzframework ist in drei Konfigurationsebenen unterteilt, wobei jede Ebene auf der vorherigen Ebene aufbaut:

• Einfacher Datenschutz für Unternehmen (Ebene 1): Diese Ebene stellt sicher, dass Apps mit einer PIN geschützt und verschlüsselt sind, und dient zum Durchführen selektiver Löschvorgänge. Bei Android-Geräten überprüft diese Ebene den Android-Gerätenachweis. Dabei handelt es sich um eine Konfiguration auf Einstiegsebene, die ähnliche Datenschutzkontrolle in Exchange Online-Postfachrichtlinien bereitstellt und der IT sowie dem Benutzerstamm eine Einführung in App-Schutzrichtlinien bietet.
• Erweiterter Datenschutz für Unternehmen (Ebene 2): Diese Ebene führt Mechanismen für App-Schutzrichtlinien zur Verhinderung von Datenlecks sowie die mindestens zu erfüllenden Betriebssystemanforderungen ein. Dies ist die Konfiguration, die für die meisten mobilen Benutzer gilt, die auf Geschäfts-, Schul- oder Unidaten zugreifen.
• Hoher Datenschutz für Unternehmen (Ebene 3): Auf dieser Ebene werden Mechanismen zum erweiterten Datenschutz, eine verbesserte PIN-Konfiguration sowie Mobile Threat Defense für App-Schutzrichtlinien eingeführt. Diese Konfiguration ist für Benutzer vorgesehen, die auf Hochrisikodaten zugreifen.

Die spezifischen Empfehlungen für jede Konfigurationsebene sowie die minimalen zu schützenden Apps finden Sie unter Datenschutzframework mithilfe von App-Schutzrichtlinien.

Wenn Sie nach einer Liste der Apps suchen, die das Intune SDK integriert haben, lesen Sie Microsoft Intune geschützte Apps.

Informationen zum Hinzufügen der branchenspezifischen Apps Ihrer Organisation zu Microsoft Intune zur Vorbereitung auf App-Schutzrichtlinien finden Sie unter Hinzufügen von Apps zu Microsoft Intune.

App-Schutz-Richtlinien für iOS-/iPadOS- und Android-Apps

Wenn Sie eine App-Schutzrichtlinie für iOS-/iPadOS- und Android-Apps erstellen, befolgen Sie einen modernen Intune Prozessablauf, der zu einer neuen App-Schutzrichtlinie führt. Informationen zum Erstellen von App-Schutzrichtlinien für Windows-Apps finden Sie unter Erstellen und Bereitstellen einer Windows Information Protection-Richtlinie (WIP) mit Intune.

Erstellen einer iOS-/iPadOS- oder Android-App-Schutzrichtlinie

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie Apps>App-Schutzrichtlinien aus. Durch diese Auswahl wird die App-Schutz Richtliniendetails geöffnet, in denen Sie neue Richtlinien erstellen und vorhandene Richtlinien bearbeiten.

3. Wählen Sie Richtlinie erstellen und dann entweder iOS/iPadOS oder Android aus. Der Bereich Richtlinie erstellen wird angezeigt.

4. Fügen Sie auf der Seite Basics (Grundeinstellungen) die folgenden Werte hinzu:

   Wert	Beschreibung
   Name	Der Name dieser App-Schutzrichtlinie.
   Beschreibung	[Optional] Die Beschreibung dieser App-Schutzrichtlinie.

   Der Wert der Plattform wird basierend auf Ihrer obigen Auswahl festgelegt.

   

5. Klicken Sie auf Weiter , um die Seite Apps anzuzeigen.
   Auf der Seite Apps können Sie auswählen, wie Sie diese Richtlinie auf Apps auf unterschiedlichen Geräten anwenden möchten. Sie müssen mindestens eine App hinzufügen.

   Wert/Option	Beschreibung
   Ziel für Apps auf allen Gerätetypen	Verwenden Sie diese Option, um Ihre Richtlinie auf Apps auf Geräten mit einem beliebigen Verwaltungsstatus zu verwenden. Wählen Sie Nein aus, um Apps auf bestimmten Gerätetypen zu verwenden. Weitere Informationen finden Sie unter Ziel von App-Schutzrichtlinien basierend auf dem Status der Geräteverwaltung.
   Gerätetypen	Verwenden Sie diese Option, um anzugeben, ob diese Richtlinie für mdm-verwaltete oder nicht verwaltete Geräte gilt. Wählen Sie für iOS-/iPadOS-APP-Richtlinien die Option Nicht verwaltete und verwaltete Geräte aus. Wählen Sie für Android APP-Richtlinien die Optionen Nicht verwaltet, Android-Geräteadministrator und Android Enterprise aus.
   Zielrichtlinie auf	Wählen Sie im Dropdownfeld Zielrichtlinie für Ihre App-Schutzrichtlinie alle Apps, Microsoft Apps oder Core Microsoft Apps aus. Alle Apps umfassen alle Microsoft- und Partner-Apps, die das Intune SDK integriert haben. Microsoft Apps umfasst alle Microsoft-Apps, die das Intune SDK integriert haben. Core Microsoft Apps umfasst die folgenden Apps: Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do und Word. Als Nächstes können Sie Eine Liste der Apps anzeigen auswählen, die als Ziel verwendet werden sollen, um eine Liste der Apps anzuzeigen, die von dieser Richtlinie betroffen sind.
   Öffentliche Apps	Wenn Sie keine der vordefinierten App-Gruppen auswählen möchten, können Sie einzelne Apps als Ziel auswählen, indem Sie im Dropdownfeld Zielrichtlinie auswählen . Klicken Sie auf Öffentliche Apps auswählen , um öffentliche Apps auszuwählen, die als Ziel verwendet werden sollen.
   Benutzerdefinierte Apps	Wenn Sie keine der vordefinierten App-Gruppen auswählen möchten, können Sie einzelne Apps als Ziel auswählen, indem Sie im Dropdownfeld Zielrichtlinie auswählen . Klicken Sie auf Benutzerdefinierte Apps auswählen , um benutzerdefinierte Apps auszuwählen, die basierend auf einer Bundle-ID als Ziel verwendet werden sollen. Sie können keine benutzerdefinierte App auswählen, wenn alle öffentlichen Apps in derselben Richtlinie als Ziel verwendet werden.

   Die ausgewählten Apps werden in der Liste der öffentlichen und benutzerdefinierten Apps angezeigt.

   Hinweis

   Öffentliche Apps werden unterstützt, sind Apps von Microsoft und Partnern, die häufig mit Microsoft Intune verwendet werden. Diese Intune geschützten Apps sind mit einer umfassenden Unterstützung für Schutzrichtlinien für mobile Anwendungen aktiviert. Weitere Informationen finden Sie unter Microsoft Intune geschützten Apps. Benutzerdefinierte Apps sind BRANCHEN-Apps, die in das Intune SDK integriert oder vom Intune App Wrapping Tool umschlossen wurden. Weitere Informationen finden Sie unter Microsoft Intune App SDK Overview (Übersicht) und Prepare line-of-business apps for app protection policies (Vorbereiten von Branchen-Apps für App-Schutzrichtlinien).

6. Klicken Sie auf Weiter , um die Seite Datenschutz anzuzeigen.
   Diese Seite enthält Einstellungen für die Steuerelemente zur Verhinderung von Datenverlust (DLP), einschließlich Einschränkungen zum Ausschneiden, Kopieren, Einfügen und Speichern unter. Diese Einstellungen bestimmen, wie Benutzer mit Daten in den Apps interagieren, für die diese App-Schutzrichtlinie gilt.

   Datenschutzeinstellungen:

   • iOS/iPadOS-Datenschutz : Weitere Informationen finden Sie unter Einstellungen für iOS/iPadOS-App-Schutzrichtlinien – Datenschutz.
   • Android-Datenschutz : Weitere Informationen finden Sie unter Einstellungen für Android-App-Schutzrichtlinien – Datenschutz.

7. Klicken Sie auf Weiter , um die Seite Zugriffsanforderungen anzuzeigen.
   Diese Seite enthält Einstellungen, mit denen Sie die Anforderungen an die PIN und die Anmeldeinformationen konfigurieren können, die Benutzer erfüllen müssen, um im Arbeitskontext auf Apps zugreifen zu können.

   Einstellungen für Zugriffsanforderungen:

   • iOS-/iPadOS-Zugriffsanforderungen : Weitere Informationen finden Sie unter Einstellungen für iOS-/iPadOS-App-Schutzrichtlinien – Zugriffsanforderungen.
   • Android-Zugriffsanforderungen : Weitere Informationen finden Sie unter Einstellungen für Android-App-Schutzrichtlinien – Zugriffsanforderungen.

8. Klicken Sie auf Weiter , um die Seite Bedingter Start anzuzeigen.
   Diese Seite enthält Einstellungen zum Festlegen der Anmeldesicherheitsanforderungen für Ihre Appschutz-Richtlinie. Wählen Sie eine Einstellung aus und geben Sie den Wert ein, den Benutzer erfüllen müssen, um sich bei Ihrer Unternehmens-App anmelden zu können. Wählen Sie dann die Aktion aus, die Sie ergreifen möchten, wenn Benutzer Ihre Anforderungen nicht erfüllen. In einigen Fällen können mehrere Aktionen für eine einzelne Einstellung konfiguriert werden.

   Einstellungen für bedingten Start:

   • Bedingter iOS-/iPadOS-Start : Weitere Informationen finden Sie unter Einstellungen für iOS/iPadOS-App-Schutzrichtlinien – Bedingter Start.
   • Bedingter Android-Start : Weitere Informationen finden Sie unter Einstellungen für Android-App-Schutzrichtlinien – Bedingter Start.

9. Klicken Sie auf Weiter , um die Seite Zuweisungen anzuzeigen.
   Auf der Seite Zuweisungen können Sie die App-Schutzrichtlinie Gruppen von Benutzern zuweisen. Sie müssen die Richtlinie auf eine Gruppe von Benutzern anwenden, damit die Richtlinie wirksam wird.

10. Klicken Sie auf Weiter: Überprüfen + erstellen , um die Werte und Einstellungen zu überprüfen, die Sie für diese App-Schutzrichtlinie eingegeben haben.

11. Wenn Sie fertig sind, klicken Sie auf Erstellen, um die App-Schutzrichtlinie in Intune zu erstellen.

    Tipp

    Diese Richtlinieneinstellungen werden nur erzwungen, wenn Apps im Arbeitskontext verwendet werden. Wenn Endbenutzer die App für eine persönliche Aufgabe verwenden, sind sie von diesen Richtlinien nicht betroffen. Beachten Sie, dass sie beim Erstellen einer neuen Datei als persönliche Datei betrachtet wird.

    Wichtig

    Es kann einige Zeit dauern, bis App-Schutzrichtlinien auf vorhandene Geräte angewendet werden. Endbenutzern wird eine Benachrichtigung auf dem Gerät angezeigt, wenn die App-Schutzrichtlinie angewendet wird. Wenden Sie Ihre App-Schutzrichtlinien auf Geräte an, bevor Sie condidional access rules anwenden.

Endbenutzer können die Apps aus dem App Store oder Google Play herunterladen. Weitere Informationen finden Sie unter:

• Wo finde ich Geschäfts- oder Schul-/Uni-Apps für iOS/iPadOS?
• Wo finde ich Geschäfts- oder Schul-/Uni-Apps für Android?

Ändern vorhandener Richtlinien

Sie können eine vorhandene Richtlinie bearbeiten und auf die Zielbenutzer anwenden. Wenn Sie jedoch vorhandene Richtlinien ändern, sehen Benutzer, die bereits bei den Apps angemeldet sind, die Änderungen für einen Zeitraum von acht Stunden nicht.

Um die Auswirkungen der Änderungen sofort zu sehen, muss sich der Endbenutzer von der App abmelden und sich dann wieder anmelden.

So ändern Sie die Liste der Apps, die der Richtlinie zugeordnet sind

1. Wählen Sie im Bereich App-Schutz Richtlinien die Richtlinie aus, die Sie ändern möchten.

2. Wählen Sie im Bereich Intune App-Schutzdie Option Eigenschaften aus.

3. Wählen Sie neben dem Abschnitt Mit dem Titel Apps die Option Bearbeiten aus.

4. Auf der Seite Apps können Sie auswählen, wie Sie diese Richtlinie auf Apps auf unterschiedlichen Geräten anwenden möchten. Sie müssen mindestens eine App hinzufügen.

   Wert/Option	Beschreibung
   Ziel für Apps auf allen Gerätetypen	Verwenden Sie diese Option, um Ihre Richtlinie auf Apps auf Geräten mit einem beliebigen Verwaltungsstatus zu verwenden. Wählen Sie Nein aus, um Apps auf bestimmten Gerätetypen zu verwenden. Für diese Einstellung ist möglicherweise eine zusätzliche App-Konfiguration erforderlich. Weitere Informationen finden Sie unter Ziel-App-Schutzrichtlinien basierend auf dem Status der Geräteverwaltung.
   Gerätetypen	Verwenden Sie diese Option, um anzugeben, ob diese Richtlinie für mdm-verwaltete oder nicht verwaltete Geräte gilt. Wählen Sie für iOS-/iPadOS-APP-Richtlinien die Option Nicht verwaltete und verwaltete Geräte aus. Wählen Sie für Android APP-Richtlinien die Optionen Nicht verwaltet, Android-Geräteadministrator und Android Enterprise aus.
   Öffentliche Apps	Wählen Sie im Dropdownfeld Zielrichtlinie für Ihre App-Schutzrichtlinie alle öffentlichen Apps, Microsoft Apps oder Core Microsoft Apps aus. Als Nächstes können Sie Eine Liste der Apps anzeigen auswählen, die als Ziel verwendet werden sollen, um eine Liste der Apps anzuzeigen, die von dieser Richtlinie betroffen sind. Bei Bedarf können Sie einzelne Apps als Ziel auswählen, indem Sie auf Öffentliche Apps auswählen klicken.
   Benutzerdefinierte Apps	Klicken Sie auf Benutzerdefinierte Apps auswählen , um benutzerdefinierte Apps auszuwählen, die basierend auf einer Bundle-ID als Ziel verwendet werden sollen.

   Die ausgewählten Apps werden in der Liste der öffentlichen und benutzerdefinierten Apps angezeigt.

5. Klicken Sie auf Überprüfen + erstellen , um die für diese Richtlinie ausgewählten Apps zu überprüfen.

6. Wenn Sie fertig sind, klicken Sie auf Speichern , um die App-Schutzrichtlinie zu aktualisieren.

So ändern Sie die Liste der Benutzergruppen

1. Wählen Sie im Bereich App-Schutz Richtlinien die Richtlinie aus, die Sie ändern möchten.

2. Wählen Sie im Bereich Intune App-Schutzdie Option Eigenschaften aus.

3. Wählen Sie neben dem Abschnitt Zuweisungen die Option Bearbeiten aus.

4. Um der Richtlinie eine neue Benutzergruppe hinzuzufügen, wählen Sie auf der Registerkarte Einschließen die Option Einzuschließende Gruppen auswählen aus, und wählen Sie die Benutzergruppe aus. Wählen Sie Auswählen aus, um die Gruppe hinzuzufügen.

5. Wählen Sie zum Ausschließen einer Benutzergruppe auf der Registerkarte Ausschließen die Option Auszuschließende Gruppen auswählen und dann die Benutzergruppe aus. Wählen Sie Auswählen aus, um die Benutzergruppe zu entfernen.

6. Um zuvor hinzugefügte Gruppen zu löschen, wählen Sie entweder auf den Registerkarten Einschließen oder Ausschließen die Auslassungspunkte (...) und dann Löschen aus.

7. Klicken Sie auf Überprüfen + erstellen , um die für diese Richtlinie ausgewählten Benutzergruppen zu überprüfen.

8. Nachdem Ihre Änderungen an den Zuweisungen bereit sind, wählen Sie Speichern aus, um die Konfiguration zu speichern und die Richtlinie für die neuen Benutzer bereitzustellen. Wenn Sie Abbrechen auswählen, bevor Sie Ihre Konfiguration speichern, verwerfen Sie alle Änderungen, die Sie an den Registerkarten Einschließen und Ausschließen vorgenommen haben.

So ändern Sie Richtlinieneinstellungen

1. Wählen Sie im Bereich App-Schutz Richtlinien die Richtlinie aus, die Sie ändern möchten.

2. Wählen Sie im Bereich Intune App-Schutzdie Option Eigenschaften aus.

3. Wählen Sie neben dem Abschnitt, der den Einstellungen entspricht, die Sie ändern möchten, die Option Bearbeiten aus. Ändern Sie dann die Einstellungen in neue Werte.

4. Klicken Sie auf Überprüfen + erstellen , um die aktualisierten Einstellungen für diese Richtlinie zu überprüfen.

5. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern. Wiederholen Sie den Vorgang, um einen Einstellungsbereich auszuwählen und ihre Änderungen zu ändern und dann zu speichern, bis alle Änderungen abgeschlossen sind. Anschließend können Sie den Bereich Intune App-Schutz – Eigenschaften schließen.

Ziel-App-Schutzrichtlinien basierend auf dem Geräteverwaltungsstatus

In vielen Organisationen ist es üblich, Endbenutzern zu erlauben, sowohl Intune verwaltete Mobile Geräteverwaltung-Geräte (MDM) zu verwenden, z. B. unternehmenseigene Geräte, als auch nicht verwaltete Geräte, die nur mit Intune App-Schutzrichtlinien geschützt sind. Nicht verwaltete Geräte werden häufig als Bring Your Own Devices (BYOD) bezeichnet.

Da Intune App-Schutzrichtlinien auf die Identität eines Benutzers abzielen, können die Schutzeinstellungen für einen Benutzer sowohl für registrierte (MDM-verwaltete) als auch für nicht registrierte Geräte (kein MDM) gelten. Daher können Sie eine Intune App-Schutzrichtlinie auf Intune registrierten oder nicht registrierten iOS-/iPadOS- und Android-Geräten ausrichten. Sie können eine Schutzrichtlinie für nicht verwaltete Geräte verwenden, in denen strenge DLP-Kontrollen (Data Loss Prevention, Verhinderung von Datenverlust) vorhanden sind, und eine separate Schutzrichtlinie für MDM-verwaltete Geräte, bei denen die DLP-Steuerelemente etwas gelockert sind. Weitere Informationen zur Funktionsweise auf persönlichen Android Enterprise-Geräten finden Sie unter App-Schutz Richtlinien und Arbeitsprofile.

Navigieren Sie zum Erstellen dieser Richtlinien im Intune Admin Center zu Apps>App-Schutz Richtlinien, und wählen Sie dann Richtlinie erstellen aus. Sie können auch eine vorhandene App-Schutzrichtlinie bearbeiten. Damit die App-Schutzrichtlinie sowohl auf verwaltete als auch auf nicht verwaltete Geräte angewendet wird, navigieren Sie zur Seite Apps , und vergewissern Sie sich, dass Ziel für Apps auf allen Gerätetypen auf Ja festgelegt ist, der Standardwert. Wenn Sie basierend auf dem Verwaltungsstatus präzise zuweisen möchten, legen Sie Ziel auf Apps auf allen Gerätetypen auf Nein fest.

Gerätetypen

• Nicht verwaltet: Bei iOS-/iPadOS-Geräten sind nicht verwaltete Geräte alle Geräte, bei denen entweder Intune MDM-Verwaltung oder eine MDM/EMM-Lösung eines Drittanbieters den IntuneMAMUPN Schlüssel nicht übergibt. Bei Android-Geräten sind nicht verwaltete Geräte Geräte, bei denen Intune MDM-Verwaltung nicht erkannt wurde. Dies schließt Geräte ein, die von MDM-Drittanbietern verwaltet werden.
• Intune verwaltete Geräte: Verwaltete Geräte werden von Intune MDM verwaltet.
• Android-Geräteadministrator: Intune verwaltete Geräte mithilfe der Android-Geräteverwaltungs-API.
• Android Enterprise: Intune verwaltete Geräte mit Android Enterprise-Arbeitsprofilen oder Android Enterprise Full Geräteverwaltung.
• Unternehmenseigene dedizierte Android Enterprise-Geräte mit azure AD-Modus für gemeinsam genutzte Geräte: Intune verwaltete Geräte, die dedizierte Android Enterprise-Geräte mit dem Modus "Gemeinsam genutzte Geräte" verwenden.
• Android(AOSP) benutzerseitig zugeordnete Geräte: Intune verwaltete Geräte mithilfe der benutzerseitig zugeordneten AOSP-Verwaltung.
• Benutzerlose Android-Geräte (AOSP): Intune verwaltete Geräte, die benutzerlose AOSP-Geräte verwenden. Diese Geräte nutzen auch den Freigegebenen Azure AD-Gerätemodus.

Unter Android werden Android-Geräte unabhängig vom ausgewählten Gerätetyp aufgefordert, die Intune-Unternehmensportal-App zu installieren. Wenn Sie beispielsweise "Android Enterprise" auswählen, werden Benutzer mit nicht verwalteten Android-Geräten weiterhin aufgefordert.

Für iOS/iPadOS sind zusätzliche App-Konfigurationseinstellungen erforderlich, damit die Auswahl "Gerätetyp" auf Intune verwalteten Geräten erzwungen wird. Diese Konfigurationen teilen dem APP-Dienst mit, dass eine bestimmte App verwaltet wird und dass app-Einstellungen nicht angewendet werden:

• IntuneMAMUPN muss für alle mdm-verwalteten Anwendungen konfiguriert werden. Weitere Informationen finden Sie unter Verwalten der Datenübertragung zwischen iOS-/iPadOS-Apps in Microsoft Intune.
• IntuneMAMDeviceID muss für alle verwalteten MDM-Anwendungen von Drittanbietern und Branchen konfiguriert werden. Die IntuneMAMDeviceID sollte für das Geräte-ID-Token konfiguriert werden. Beispiel: key=IntuneMAMDeviceID, value={{deviceID}}. Weitere Informationen finden Sie unter Hinzufügen von App-Konfigurationsrichtlinien für verwaltete iOS-/iPadOS-Geräte.
• Wenn nur die IntuneMAMDeviceID konfiguriert ist, betrachtet die Intune APP das Gerät als nicht verwaltet.

Hinweis

Spezifische Informationen zur Unterstützung von iOS/iPadOS zu App-Schutzrichtlinien basierend auf dem Status der Geräteverwaltung finden Sie unter MAM-Schutzrichtlinien, die auf dem Verwaltungsstatus ausgerichtet sind.

Richtlinieneinstellungen

Um eine vollständige Liste der Richtlinieneinstellungen für iOS/iPadOS und Android anzuzeigen, wählen Sie einen der folgenden Links aus:

• iOS/iPadOS-Richtlinien
• Android-Richtlinien

Nächste Schritte

Überwachen von Compliance und Benutzerstatus

Siehe auch

• Wo Sie Geschäfts-, Schul- oder Uni-Apps für Android finden (Benutzerhilfe)

• Wo sie Geschäfts-, Schul- oder Uni-Apps für iOS/iPadOS finden (Benutzerhilfe)