Richtlinieneinstellungen für den Android-App-Schutz in Microsoft Intune.

In diesem Artikel werden die App-Schutzrichtlinieneinstellungen für Android-Geräte beschrieben. Die beschriebenen Richtlinieneinstellungen können im Portal im Bereich Einstellungen für eine App-Schutzrichtlinie konfiguriert werden. Es gibt drei Kategorien von Richtlinieneinstellungen: Datenschutzeinstellungen, Zugriffsanforderungen und bedingter Start. In diesem Artikel bezieht sich der Begriff richtlinienverwaltete Apps auf Apps, die über App-Schutzrichtlinien konfiguriert sind.

Wichtig

Die Intune-Unternehmensportal ist auf dem Gerät erforderlich, um App-Schutzrichtlinien für Android-Geräte zu erhalten.

Der Intune Managed Browser wurde eingestellt. Verwenden Sie Microsoft Edge für Ihre geschützte Intune-Browserumgebung.

Datenschutz

Datenübertragung

Setting Anleitung Standardwert
Sichern von Organisationsdaten in Android-Sicherungsdiensten Wählen Sie Blockieren aus, um zu verhindern, dass diese App Geschäfts-, Schul- oder Unidaten im Android Backup Service sichert.

Wählen Sie Zulassen aus, damit diese App Geschäfts-, Schul- oder Unidaten sichern kann.
Zulassen
Senden von Organisationsdaten an andere Apps Geben Sie an, welche Apps Daten von dieser App empfangen können:
  • Richtlinienverwaltete Apps: Datenübertragung nur an andere richtlinienverwaltete Apps zulassen.
  • Alle Apps: Datenübertragung an beliebige Apps zulassen.
  • Keine: Lassen Sie keine Datenübertragung an apps zu, einschließlich anderer richtlinienverwalteter Apps.

Es gibt einige ausgenommene Apps und Dienste, für die Intune möglicherweise die Datenübertragung zulässt. Darüber hinaus können Sie Ihre eigenen Ausnahmen erstellen, wenn Sie zulassen müssen, dass Daten an eine App übertragen werden, welche die Intune-App nicht unterstützt. Weitere Informationen finden Sie unter Datenübertragungsausnahmen.

Diese Richtlinie kann auch für Android-App-Links gelten. Allgemeine Weblinks werden von der Richtlinieneinstellung App-Links in Intune Managed Browser öffnen verwaltet.

Hinweis

Intune unterstützt derzeit das Android Instant Apps-Feature nicht. Intune blockiert alle Datenverbindungen mit oder von der App. Weitere Informationen finden Sie unter Android Instant Apps in der Android Developer-Dokumentation.

Wenn Organisationsdaten an andere Apps senden auf Alle Apps konfiguriert ist, können Textdaten weiterhin über die Betriebssystemfreigabe in die Zwischenablage übertragen werden.

Alle Apps
    Wählen Sie die Apps aus, die ausgenommen werden sollen
Diese Option ist dann verfügbar, wenn Sie die vorherige Option auf Richtlinienverwaltete Apps festgelegt haben.
    Kopien von Organisationsdaten speichern
Klicken Sie auf Block (Blockieren), um die Verwendung der Option „Speichern unter“ in dieser App zu deaktivieren. Klicken Sie auf Allow (Zulassen), wenn die Verwendung von Speichern unter zulässig sein soll. Wenn für diese Einstellung Block (Blockieren) festgelegt ist, können Sie die Einstellung Benutzer das Speichern von Kopien in den ausgewählten Diensten ermöglichen konfigurieren.

Hinweis:
  • Diese Einstellung wird für Microsoft Excel, OneNote, PowerPoint, Word und Edge unterstützt. Es kann auch von Drittanbieter- und BRANCHEN-Apps unterstützt werden.
  • Diese Einstellung ist nur konfigurierbar, wenn die Einstellung Organisationsdaten an andere Apps senden auf Richtlinienverwaltete Apps festgelegt ist.
  • Für diese Einstellung ist „Zulassen“ festgelegt, wenn die Einstellung Organisationsdaten an andere Apps senden auf Alle Apps festgelegt ist.
  • Für diese Einstellung ist „Blockieren“ ohne zulässige Dienstidentifizierungen festgelegt, wenn die Einstellung Organisationsdaten an andere Apps senden auf Keine festgelegt ist.
Zulassen
      Benutzer das Speichern von Kopien in den ausgewählten Diensten ermöglichen
Benutzer können in den ausgewählten Diensten (OneDrive for Business, SharePoint, Fotobibliothek, Box und Lokaler Speicher) speichern. Alle anderen Dienste werden blockiert. 0 ausgewählt
    Übertragen von Telekommunikationsdaten an
Wenn ein Benutzer in einer App eine Telefonnummer mit Hyperlink auswählt, wird in der Regel eine Telefon-App mit der vorab eingestellten und verwendbaren Telefonnummer geöffnet. Wählen Sie für diese Einstellung aus, wie diese Art von Inhaltsübertragung behandelt werden soll, wenn sie von einer richtlinienverwalteten App initiiert wird:
  • Keine, diese Daten nicht zwischen Apps übertragen: Übertragen Sie keine Kommunikationsdaten, wenn eine Telefonnummer erkannt wird.
  • A specific dialer app (Eine bestimmte Telefon-App): Hiermit gestatten Sie einer bestimmten Telefon-App das Initiieren von Kontakten, wenn eine Telefonnummer erkannt wird.
  • Alle richtlinienverwalteten Wählprogramm-Apps: Zulassen, dass jede richtlinienverwaltete Wählprogramm-App Kontakt initiiert, wenn eine Telefonnummer erkannt wird.
  • Any dialer app (Jede Telefon-App): Hiermit gestatten Sie die Verwendung einer beliebigen Telefon-App zum Initiieren von Kontakten, wenn eine Telefonnummer erkannt wird.
Any dialer app (Jede Telefon-App)
      Dialer-App-Paket-ID
Wenn eine bestimmte Wähl-App ausgewählt wurde, müssen Sie die App-Paket-ID angeben. Blank
      Name der Dialer-App
Wenn eine bestimmte Wähl-App ausgewählt wurde, müssen Sie den Namen der Wähl-App angeben. Blank
    Übertragen von Messagingdaten an
Wenn ein Benutzer in einer App eine Telefonnummer mit Hyperlink auswählt, wird in der Regel eine Telefon-App mit der vorab eingestellten und verwendbaren Telefonnummer geöffnet. Wählen Sie für diese Einstellung aus, wie diese Art der Inhaltsübertragung behandelt werden soll, wenn sie von einer richtlinienverwalteten App initiiert wird. Wählen Sie für diese Einstellung aus, wie diese Art von Inhaltsübertragung behandelt werden soll, wenn sie von einer richtlinienverwalteten App initiiert wird:
  • Keine, diese Daten nicht zwischen Apps übertragen: Übertragen Sie keine Kommunikationsdaten, wenn eine Telefonnummer erkannt wird.
  • Eine bestimmte Messaging-App: Zulassen, dass eine bestimmte Messaging-App verwendet wird, um den Kontakt zu initiieren, wenn eine Telefonnummer erkannt wird.
  • Alle richtlinienverwalteten Messaging-Apps: Zulassen, dass alle richtlinienverwalteten Messaging-Apps zum Initiieren von Kontakten verwendet werden, wenn eine Telefonnummer erkannt wird.
  • Beliebige Messaging-App: Lassen Sie zu, dass jede Messaging-App verwendet wird, um den Kontakt zu initiieren, wenn eine Telefonnummer erkannt wird.
Beliebige Messaging-App
      Paket-ID der Messaging-App
Wenn eine bestimmte Messaging-App ausgewählt wurde, müssen Sie die App-Paket-ID angeben. Blank
      Name der Messaging-App
Wenn eine bestimmte Messaging-App ausgewählt wurde, müssen Sie den Namen der Messaging-App angeben. Blank
Daten von anderen Apps empfangen Geben Sie an, welche Apps Daten an diese App übertragen können:
  • Richtlinienverwaltete Apps: Datenübertragung nur von anderen richtlinienverwalteten Apps zulassen
  • Alle Apps: Datenübertragung von beliebigen Apps zulassen
  • Keine: Lassen Sie keine Datenübertragung von apps zu, einschließlich anderer richtlinienverwalteter Apps.

Es gibt einige ausgenommene Apps und Dienste, von denen Intune die Datenübertragung zulassen kann. Eine vollständige Liste der Apps und Dienste finden Sie unter Datenübertragungsausnahmen .

Alle Apps
    Daten in Organisationsdokumenten öffnen
Wählen Sie Blockieren aus, um die Verwendung der Option Öffnen oder anderer Optionen zum Teilen von Daten zwischen Konten in dieser App zu deaktivieren. Klicken Sie auf Zulassen, wenn die Verwendung von Öffnen zulässig sein soll.

Wenn diese Option auf Blockieren festgelegt ist, können Sie die Einstellung Benutzern das Öffnen von Daten über ausgewählte Dienste erlauben konfigurieren, um anzugeben, welche Dienste für Speicherorte von Organisationsdaten zulässig sind.

Hinweis:
  • Diese Einstellung kann nur konfiguriert werden, wenn die Einstellung Daten von anderen Apps empfangen auf Richtlinienverwaltete Apps festgelegt ist.
  • Diese Einstellung lautet "Zulassen", wenn die Einstellung Daten von anderen Apps empfangen auf Alle Apps festgelegt ist.
  • Diese Einstellung lautet „Blockieren“ ohne zulässige Dienstspeicherorte, wenn die Einstellung Daten von anderen Apps empfangen auf Keine festgelegt ist.
  • Diese Einstellung wird von den folgenden Apps unterstützt:
    • OneDrive 6.14.1 oder höher.
    • Outlook für Android 4.2039.2 oder höher.
    • Teams für Android 1416/1.0.0.2021173701 oder höher.


Zulassen
      Benutzern das Öffnen von Daten aus ausgewählten Diensten gestatten
Wählen Sie Anwendungsspeicherdienste aus, aus denen Benutzer Daten öffnen können. Alle anderen Dienste werden blockiert. Wenn Sie keine Dienste auswählen, wird verhindert, dass Benutzer Daten öffnen.

Unterstützte Dienste:
  • OneDrive for Business
  • SharePoint Online
  • Kamera
  • Fotomediathek
Hinweis: Die Kamera enthält keinen Zugriff auf Fotos oder Fotogalerien. Wenn Sie in Intune in der Einstellung Benutzern das Öffnen von Daten aus ausgewählten Diensten erlauben in Intune die Option Fotobibliothek (einschließlich android's Fotoauswahltool) auswählen, können Sie verwalteten Konten erlauben, eingehende Bilder/Videos aus dem lokalen Speicher ihres Geräts für ihre verwalteten Apps zuzulassen.
Alle ausgewählten
Ausschneiden, Kopieren und Einfügen zwischen Apps einschränken Geben Sie an, wann Ausschneide-, Kopier- und Einfügeaktionen in dieser App erlaubt sind. Wählen Sie zwischen:
  • Blockiert: Keine Ausschneid-, Kopier- und Einfügeaktionen zwischen dieser App und anderen Apps zulassen.
  • Richtlinienverwaltete Apps: Ausschneide-, Kopier- und Einfügeaktionen nur zwischen dieser App und anderen richtlinienverwalteten Apps zulassen.
  • Richtlinienverwaltete Apps mit Einfügen: Ausschneiden oder Kopieren zwischen dieser App und anderen richtlinienverwalteten Apps zulassen. Einfügen von Daten aus beliebigen Apps in diese App zulassen.
  • Alle Apps: Keine Einschränkungen für das Ausschneiden, Kopieren und Einfügen in und aus dieser App.
Alle Apps
    Zeichenlimit für Ausschneiden und Kopieren für alle Apps
Geben Sie die Anzahl der Zeichen an, die aus Organisationsdaten und -konten ausgeschnitten oder kopiert werden können. Dies ermöglicht die Freigabe der angegebenen Anzahl von Zeichen, wenn sie andernfalls durch die Einstellung "Ausschneiden, Kopieren und Einfügen mit anderen Apps einschränken" blockiert würde.

Standardwert = 0

Hinweis: Erfordert Intune-Unternehmensportal Version 5.0.4364.0 oder höher.

0
Bildschirmaufnahme und Google Assistant Wählen Sie Blockieren aus, um die Bildschirmaufnahme zu blockieren und den Zugriff von Google Assistant auf Organisationsdaten auf dem Gerät bei Verwendung dieser App zu blockieren. Wenn Sie Blockieren auswählen, wird auch das Vorschaubild der App-Switcher weicht, wenn Sie diese App mit einem Geschäfts-, Schul- oder Unikonto verwenden.

Hinweis: Google Assistant kann für Benutzer in Szenarien zugänglich sein, die nicht auf Organisationsdaten zugreifen.

Blockieren
Genehmigte Tastaturen Wählen Sie Erforderlich aus, und geben Sie dann eine Liste der genehmigten Tastaturen für diese Richtlinie an.

Benutzer, die keine genehmigte Tastatur verwenden, erhalten eine Aufforderung, eine genehmigte Tastatur herunterzuladen und zu installieren, bevor sie die geschützte App verwenden können. Diese Einstellung erfordert, dass die App über das Intune SDK für Android Version 6.2.0 oder höher verfügt.

Nicht erforderlich
    Auswählen der zu genehmigenden Tastaturen
Diese Option ist verfügbar, wenn Sie für die vorherige Option Erforderlich auswählen. Wählen Sie Auswählen aus, um die Liste der Tastaturen und Eingabemethoden zu verwalten, die mit Apps verwendet werden können, die durch diese Richtlinie geschützt sind. Sie können der Liste zusätzliche Tastaturen hinzufügen und alle Standardoptionen entfernen. Sie müssen über mindestens eine genehmigte Tastatur verfügen, um die Einstellung speichern zu können. Im Laufe der Zeit kann Microsoft der Liste zusätzliche Tastaturen für neue App-Schutzrichtlinien hinzufügen, sodass Administratoren vorhandene Richtlinien bei Bedarf überprüfen und aktualisieren müssen.

Um eine Tastatur hinzuzufügen, geben Sie Folgendes an:

  • Name: Ein Anzeigename, der die Tastatur identifiziert und für den Benutzer sichtbar ist.
  • Paket-ID: Die Paket-ID der App im Google Play Store. Wenn die URL für die App im Play Store beispielsweise lautet https://play.google.com/store/details?id=com.contoskeyboard.android.prod, lautet die Paket-ID com.contosokeyboard.android.prod. Diese Paket-ID wird dem Benutzer als einfacher Link zum Herunterladen der Tastatur von Google Play angezeigt.

Hinweis: Einem Benutzer, dem mehrere App-Schutzrichtlinien zugewiesen sind, dürfen nur die genehmigten Tastaturen verwenden, die allen Richtlinien gemeinsam sind.

Verschlüsselung

Setting Anleitung Standardwert
Verschlüsseln von Organisationsdaten Wählen Sie Erforderlich aus, um die Verschlüsselung von Geschäfts-, Schul- oder Unidaten in dieser App zu aktivieren. Intune verwendet ein wolfSSL-256-Bit-AES-Verschlüsselungsschema zusammen mit dem Android Keystore-System, um App-Daten sicher zu verschlüsseln. Daten werden während Datei-E/A-Aufgaben synchron verschlüsselt. Inhalte im Gerätespeicher werden immer verschlüsselt. Neue Dateien werden mit 256-Bit-Schlüsseln verschlüsselt. Vorhandene 128-Bit-verschlüsselte Dateien werden einem Migrationsversuch zu 256-Bit-Schlüsseln unterzogen, aber der Prozess ist nicht garantiert. Dateien, die mit 128-Bit-Schlüsseln verschlüsselt wurden, bleiben lesbar.

Die Verschlüsselungsmethode ist FIPS 140-2 validiert; weitere Informationen finden Sie unter wolfCrypt FIPS 140-2 und FIPS 140-3.
Erforderlich
    Verschlüsseln von Organisationsdaten auf registrierten Geräten
Wählen Sie Erforderlich aus, um die Verschlüsselung von Organisationsdaten mit Verschlüsselung auf Intune-App-Ebene auf allen Geräten zu erzwingen. Wählen Sie Nicht erforderlich aus, um die Verschlüsselung von Organisationsdaten mit Intune-App-Layer-Verschlüsselung auf registrierten Geräten nicht zu erzwingen. Erforderlich

Funktionalität

Setting Anleitung Standardwert
Per Richtlinie verwaltete App-Daten mit nativen Apps oder Add-Ins synchronisieren Wählen Sie Blockieren aus, um zu verhindern, dass richtlinienverwaltete Apps Daten in den nativen Apps des Geräts (Kontakte, Kalender und Widgets) speichern und die Verwendung von Add-Ins in den richtlinienverwalteten Apps verhindern. Wenn von der Anwendung nicht unterstützt wird, sind das Speichern von Daten in nativen Apps und die Verwendung von Add-Ins zulässig.

Wenn Sie „Zulassen“ auswählen, kann die von Richtlinien verwaltete App Daten in den nativen Apps speichern oder Add-Ins verwenden, wenn diese Features in der von Richtlinien verwalteten App unterstützt und aktiviert werden.

Anwendungen können zusätzliche Steuerelemente bereitstellen, um das Datensynchronisierungsverhalten für bestimmte native Apps anzupassen oder dieses Steuerelement nicht zu berücksichtigen.

Hinweis: Wenn Sie eine selektive Zurücksetzung durchführen, um Geschäfts-, Schul- oder Unidaten aus der App zu entfernen, werden Daten entfernt, die direkt aus der richtlinienverwalteten App mit der nativen App synchronisiert werden. Alle Daten, die von der nativen App mit einer anderen externen Quelle synchronisiert werden, werden nicht zurückgesetzt.

Hinweis: Die folgenden Apps unterstützen dieses Feature:
Zulassen
Organisationsdaten drucken Wählen Sie Blockieren aus, um zu verhindern, dass die App Geschäfts-, Schul- oder Unidaten druckt. Wenn Sie für diese Einstellung den Standardwert Zulassen übernehmen, können die Benutzer alle Organisationsdaten exportieren und drucken. Zulassen
Übertragung von Webinhalten mit anderen Apps einschränken Legen Sie fest, wie Webinhalte (HTTP-/HTTPS-Links) über mit Richtlinien verwaltete Anwendungen geöffnet werden. Wählen Sie zwischen:
  • Any App (Alle Apps): Weblinks in jeder beliebigen App zulassen
  • Intune Managed Browser: Webinhalte dürfen nur im Intune Managed Browser geöffnet werden. Dieser Browser ist ein durch Richtlinien verwalteter Browser.
  • Microsoft Edge: Webinhalte dürfen nur in Microsoft Edge geöffnet werden. Dieser Browser ist ein durch Richtlinien verwalteter Browser.
  • Nicht verwalteter Browser: Webinhalte dürfen nur in dem nicht verwalteten Browser geöffnet werden, der in der Einstellung Protokoll von nicht verwaltetem Browser definiert wurde. Der Webinhalt wird im Zielbrowser nicht verwaltet.
    Hinweis: Erfordert Intune-Unternehmensportal Version 5.0.4415.0 oder höher.


  • Richtlinienverwaltete Browser
    Unter Android können Ihre Endbenutzer aus anderen richtlinienverwalteten Apps wählen, die http/https-Links unterstützen, wenn weder Intune Managed Browser noch Microsoft Edge installiert ist.

    Wenn zwar ein mittels Richtlinien verwalteter Browser erforderlich ist, dieser aber nicht installiert ist, werden Ihre Endbenutzer aufgefordert, Microsoft Edge zu installieren.

    Wenn ein richtlinienverwalteter Browser erforderlich ist, werden Android-App-Links von der Richtlinieneinstellung Der App das Übertragen von Daten an andere Apps erlauben verwaltet.

    Geräteregistrierung mit Intune
    Wenn Sie Intune verwenden, um Ihre Geräte zu verwalten, finden Sie weitere Informationen unter Verwalten des Internetzugriffs mithilfe von Richtlinien für verwaltete Browser mit Microsoft Intune.

    Microsoft Edge: mit Richtlinien verwaltet
    Microsoft Edge für mobile Geräte (iOS/iPadOS und Android) unterstützt Intune-App-Schutzrichtlinien. Benutzer, die sich mit ihren Unternehmenskonten Microsoft Entra in der Microsoft Edge-Browseranwendung anmelden, werden durch Intune geschützt. Der Microsoft Edge-Browser integriert das APP SDK und unterstützt alle zugehörigen Datenschutzrichtlinien, mit Ausnahme der Verhinderung von:

    • Speichern unter: Der Microsoft Edge-Browser erlaubt es einem Benutzer nicht, direkte In-App-Verbindungen zu Cloudspeicheranbietern (z. B. OneDrive) hinzuzufügen.
    • Kontaktsynchronisierung: Der Microsoft Edge-Browser speichert nicht in nativen Kontaktlisten.
    Hinweis:Das APP SDK kann nicht ermitteln, ob es sich bei einer Ziel-App um einen Browser handelt. Auf Android-Geräten sind andere verwaltete Browser-Apps zulässig, die die Absicht http/https unterstützen.
Nicht konfiguriert
    Nicht verwaltete Browser-ID
Geben Sie die Anwendungs-ID für einen einzelnen Browser ein. Webinhalte (http/https-Links) von richtlinienverwalteten Anwendungen werden im angegebenen Browser geöffnet. Der Webinhalt wird im Zielbrowser nicht verwaltet. Blank
    Nicht verwalteter Browsername
Geben Sie den Anwendungsnamen für den Browser ein, der der ID des nicht verwalteten Browsers zugeordnet ist. Dieser Name wird Benutzern angezeigt, wenn der angegebene Browser nicht installiert ist. Blank
Benachrichtigungen zu Organisationsdaten Geben Sie an, wie viele Organisationsdaten über Betriebssystembenachrichtigungen für Organisationskonten freigegeben werden. Diese Richtlinieneinstellung wirkt sich auf das lokale Gerät und alle verbundenen Geräte, wie Wearables und intelligente Lautsprecher, aus. In Apps werden möglicherweise zusätzliche Steuerelemente zum Anpassen des Benachrichtigungsverhaltens bereitgestellt, oder es werden nicht alle Werte berücksichtigt. Wählen Sie zwischen:
  • Blockieren: Geben Sie keine Benachrichtigungen weiter.
    • Wenn dies von der App nicht unterstützt wird, sind Benachrichtigungen zulässig.
  • Organisationsdaten blockieren: Geben Sie keine Organisationsdaten in Benachrichtigungen frei. Beispiel: "Sie haben neue E-Mails"; "Sie haben eine Besprechung".
    • Wenn dies von der App nicht unterstützt wird, werden Benachrichtigungen blockiert.
  • Zulassen: Gibt Organisationsdaten in den Benachrichtigungen frei.

Hinweis: Diese Einstellung erfordert App-Unterstützung:

  • Outlook für Android 4.0.95 oder höher
  • Teams für Android 1416/1.0.0.2020092202 oder höher.
Zulassen

Datenübertragungsausnahmen

Es gibt einige ausgenommene Apps und Plattformdienste, die Intune-App-Schutzrichtlinien die Datenübertragung an und von dort zulassen. Beispielsweise müssen alle von Intune verwalteten Apps unter Android Intune in der Lage sein, Daten an und von Google Text-zu-Sprache zu übertragen, damit Text vom Bildschirm Ihres mobilen Geräts laut vorgelesen werden kann. Diese Liste unterliegt Änderungen und gibt die Dienste und Apps wieder, die als nützlich für eine sichere Produktivität gelten.

Vollständige Ausnahmen

Diese Apps und Dienste sind für die Datenübertragung zu und von in Intune verwalteten Apps vollständig zulässig.

App-/Dienstname Beschreibung
com.android.phone Native Smartphone-App
com.android.vending Google Play Store
com.google.android.webview WebView, die für viele Apps einschließlich Outlook erforderlich ist.
com.android.webview Webview, die für viele Apps einschließlich Outlook erforderlich ist.
com.google.android.tts Google Text-zu-Sprache
com.android.providers.settings Android-Systemeinstellungen
com.android.settings Android-Systemeinstellungen
com.azure.authenticator Azure Authenticator-App, die für eine erfolgreiche Authentifizierung in vielen Szenarien erforderlich ist.
com.microsoft.windowsintune.companyportal Intune-Unternehmensportal

Bedingte Ausnahmen

Diese Apps und Dienste sind nur unter bestimmten Bedingungen für die Datenübertragung an und aus von Intune verwalteten Apps zulässig.

App-/Dienstname Beschreibung Ausnahmebedingung
com.android.chrome Google Chrome-Browser Chrome wird für einige WebView-Komponenten unter Android 7.0 und höher verwendet und wird nie ausgeblendet. Der Datenfluss zur und von der App ist jedoch immer eingeschränkt.
com.skype.raider Skype Die Skype-App ist nur für bestimmte Aktionen zulässig, die zu einem Telefonanruf führen.
com.android.providers.media Android-Medieninhaltsanbieter Der Medieninhaltsanbieter ist nur für die Klingeltonauswahl-Aktion zulässig.
com.google.android.gms; com.google.android.gsf Google Play Services-Pakete Diese Pakete sind für Google Cloud Messaging-Aktionen wie Pushbenachrichtigungen zulässig.
com.google.android.apps.maps Google Maps Adressen sind für die Navigation zulässig.
com.android.documentsui Android-Dokumentauswahl Zulässig beim Öffnen oder Erstellen einer Datei.
com.google.android.documentsui Android-Dokumentauswahl (Android 10 und höher) Zulässig beim Öffnen oder Erstellen einer Datei.

Weitere Informationen finden Sie unter Datenübertragungsrichtlinienausnahmen für Apps.

Erforderliche Zugriffsberechtigungen

Setting Anleitung
PIN für Zugriff Klicken Sie auf Require (Erforderlich), um für die Verwendung dieser App eine PIN anzufordern. Benutzer werden beim ersten Ausführen der App in einem Geschäfts-, Schul- oder Unikontext aufgefordert, diese PIN einzurichten.

Standardwert = Erforderlich

Sie können die PIN-Sicherheit mithilfe der Einstellungen im Abschnitt PIN for access (PIN für Zugriff) konfigurieren.

Hinweis: Endbenutzer, die auf die App zugreifen dürfen, können die App-PIN zurücksetzen. Diese Einstellung ist in einigen Fällen auf Android-Geräten möglicherweise nicht sichtbar. Android-Geräte haben eine maximale Einschränkung von vier verfügbaren Tastenkombinationen. Wenn das Maximum erreicht wurde, muss der Endbenutzer alle personalisierten Verknüpfungen entfernen (oder über eine andere verwaltete App-Ansicht auf die Verknüpfung zugreifen), um die Verknüpfung zum Zurücksetzen der APP-PIN anzuzeigen. Alternativ kann der Endbenutzer die Verknüpfung an seine Homepage anheften.

    PIN-Typ
Legen Sie fest, dass eine numerische PIN oder ein Passcode eingegeben werden muss, bevor Benutzer auf eine App zugreifen können, für die App-Schutzrichtlinien gelten. Numerische Anforderungen enthalten nur Zahlen, während ein Passcode mit mindestens einem Buchstaben oder mindestens einem Sonderzeichen definiert werden kann.

Standardwert = Numerisch

Hinweis: Zu den zulässigen Sonderzeichen gehören die Sonderzeichen und Symbole auf der Android-Tastatur in englischer Sprache.
    Einfache PIN
Wählen Sie Zulassen aus, um Benutzern die Verwendung einfacher PIN-Sequenzen wie 1234, 1111, abcd oder aaaa zu ermöglichen. Wählen Sie Blöcke aus, um zu verhindern, dass sie einfache Sequenzen verwenden. Einfache Sequenzen werden in gleitenden Fenstern mit drei Zeichen überprüft. Wenn Block konfiguriert ist, würde 1235 oder 1112 nicht als VOM Endbenutzer festgelegte PIN akzeptiert, aber 1122 wäre zulässig.

Standardwert = Zulassen

Hinweis: Wenn pin vom Kennungstyp konfiguriert ist und Einfache PIN auf Zulassen festgelegt ist, benötigt der Benutzer mindestens einen Buchstaben oder mindestens ein Sonderzeichen in seiner PIN. Wenn der Kennungstyp PIN konfiguriert ist und Einfache PIN auf Blockieren festgelegt ist, benötigt der Benutzer mindestens eine Zahl und einen Buchstaben sowie mindestens ein Sonderzeichen in seiner PIN.
    Wählen Sie die minimale PIN-Länge aus.
Geben Sie die Mindestanzahl von Ziffern in einer PIN-Sequenz an.

Standardwert = 4
    Biometrie statt PIN für den Zugriff
Wählen Sie Zulassen aus, um dem Benutzer die Verwendung biometrischer Daten zur Authentifizierung von Benutzern auf Android-Geräten zu ermöglichen. Sofern zulässig, wird biometrische Daten verwendet, um auf Android 10- oder höher-Geräten auf die App zuzugreifen.
    Biometrie mit PIN nach Timeout außer Kraft setzen
Klicken Sie auf Require (Erforderlich), und konfigurieren Sie ein Inaktivitätstimeout, um diese Einstellung zu verwenden.

Standardwert = Erforderlich
      Timeout (Minuten Inaktivität)
Geben Sie eine Zeit in Minuten an, nach der entweder eine Kennung oder eine numerische PIN (wie konfiguriert) die Verwendung einer biometrischen Pin außer Kraft setzt. Dieser Timeoutwert sollte größer als der unter „Zugriffsanforderungen nach (Minuten der Inaktivität) erneut überprüfen“ angegebene Wert sein.

Standardwert = 30
    Biometrie der Klasse 3 (Android 9.0 und höher)
Wählen Sie Erforderlich aus, um zu verlangen, dass sich der Benutzer mit Biometrie der Klasse 3 anmeldet. Weitere Informationen zu Biometrie der Klasse 3 finden Sie unter Biometrie in der Dokumentation von Google.
    Überschreiben von Biometriedaten mit PIN nach biometrischen Updates
Wählen Sie Erforderlich aus, um die Verwendung von Biometriedaten mit PIN zu überschreiben, wenn eine Änderung der biometrischen Daten erkannt wird.

HINWEIS:
Diese Einstellung wird erst wirksam, wenn ein biometrischer Dienst für den Zugriff auf die App verwendet wurde. Je nach Android-Gerätehersteller werden möglicherweise nicht alle Formen der Biometrie für kryptografische Vorgänge unterstützt. Derzeit werden kryptografische Vorgänge für alle biometrischen Daten (z. B. Fingerabdruck, Iris oder Gesicht) auf dem Gerät unterstützt, die die In der Android-Dokumentation definierten Anforderungen für Biometrie der Klasse 3 erfüllen oder überschreiten. Weitere Informationen finden Sie unter der BIOMETRIC_STRONG Konstante der BiometricManager.Authenticators-Schnittstelle und der authenticate Methode der BiometricPrompt-Klasse . Möglicherweise müssen Sie sich an den Gerätehersteller wenden, um die gerätespezifischen Einschränkungen zu verstehen.

    Anzahl von Tagen für PIN-Zurücksetzung
Klicken Sie auf Yes (Ja), damit die Benutzer nach einem bestimmten Zeitraum die App-PIN ändern müssen.

Wenn Sie diese Einstellung auf Ja festlegen, können Sie die Anzahl der Tage festlegen, nach denen die PIN zurückgesetzt werden muss.

Standardwert = Nein
      Anzahl der Tage
Konfigurieren Sie die Anzahl der Tage, nach denen die PIN zurückgesetzt werden muss.

Standardwert = 90
    Wählen Sie die Anzahl der vorherigen PIN-Werte aus, die verwaltet werden sollen.
Diese Einstellung gibt die Anzahl der vorherigen PINs an, die Intune verwaltet. Alle neuen PINs müssen sich von denen unterscheiden, die in Intune beibehalten werden.

Standardwert = 0
    App-PIN, wenn Geräte-PIN festgelegt ist
Wählen Sie Nicht erforderlich aus, um die App-PIN zu deaktivieren, wenn auf einem registrierten Gerät mit konfiguriertem Unternehmensportal eine Gerätesperre erkannt wird.

Standardwert = Erforderlich.
Anmeldeinformationen für Geschäfts-, Schul- oder Unikonto für Zugriff Wählen Sie Erforderlich aus, um zu verlangen, dass sich der Benutzer mit dem Geschäfts-, Schul- oder Unikonto anmeldet, anstatt eine PIN für den App-Zugriff einzugeben. Wenn auf Erforderlich festgelegt und PIN oder biometrische Eingabeaufforderungen aktiviert sind, werden sowohl Unternehmensanmeldeinformationen als auch die PIN oder biometrische Eingabeaufforderungen angezeigt.

Standardwert = Nicht erforderlich
Recheck the access requirements after (minutes of inactivity) (Zugriffsanforderungen nach (Minuten der Inaktivität) prüfen) Konfigurieren Sie die folgende Einstellung:
  • Timeout: Dies ist die Anzahl der Minuten, bevor die Zugriffsanforderungen (die zuvor in der Richtlinie definiert wurden) erneut überprüft werden. Ein Administrator aktiviert z. B. PINs und blockiert Geräte mit Rootzugriff in der Richtlinie, ein Benutzer öffnet eine von Intune verwaltete App, muss eine PIN eingeben und die App auf einem Gerät ohne Rootzugriff verwenden. Wenn Sie diese Einstellung verwenden, muss der Benutzer für einen Zeitraum, der dem konfigurierten Wert entspricht, keine PIN eingeben oder einer anderen Überprüfung der Stammerkennung in einer von Intune verwalteten App unterzogen werden.

    Dieses Richtlinieneinstellungsformat unterstützt eine positive ganze Zahl.

    Standardwert = 30 Minuten

    Hinweis: Unter Android wird die PIN für alle von Intune verwalteten Apps freigegeben. Der PIN-Timer wird zurückgesetzt, sobald die App den Vordergrund auf dem Gerät verlässt. Der Benutzer muss keine PIN für von Intune verwaltete Apps eingeben, die ihre PIN für die Dauer des in dieser Einstellung definierten Timeouts freigeben.

Hinweis

Weitere Informationen dazu, wie mehrere Intune-App-Schutzeinstellungen, die im Abschnitt Zugriff auf dieselbe Gruppe von Apps und Benutzern unter Android konfiguriert sind, finden Sie unter Häufig gestellte Fragen zu Intune MAM und Selektives Zurücksetzen von Daten mithilfe von App-Schutzrichtlinien-Zugriffsaktionen in Intune.

Bedingter Start

Konfigurieren Sie einstellungen für bedingten Start, um Sicherheitsanforderungen für die Anmeldung für Ihre App-Schutzrichtlinie festzulegen.

Standardmäßig werden mehrere Einstellungen mit vorkonfigurierten Werten und Aktionen bereitgestellt. Sie können einige Einstellungen löschen, z. B. die Mindestversion des Betriebssystems. Außerdem können Sie zusätzliche Einstellungen in der Dropdownliste Auswählen auswählen.

App-Bedingungen

Setting Anleitung
Maximal zulässige PIN-Versuche Geben Sie die Anzahl der Versuche an, die der Benutzer zum erfolgreichen Eingeben seiner PIN hat, ehe die konfigurierte Aktion ausgeführt wird. Wenn der Benutzer seine PIN nach den maximalen PIN-Versuchen nicht erfolgreich eingeben kann, muss der Benutzer seine Pin zurücksetzen, nachdem er sich erfolgreich bei seinem Konto angemeldet und ggf. eine MFA-Anforderung (Multi-Factor Authentication) abgeschlossen hat. Dieses Richtlinieneinstellungsformat unterstützt eine positive ganze Zahl.

Zu den Aktionen zählen:

  • PIN zurücksetzen: Der Benutzer muss die PIN zurücksetzen.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.
Standardwert = 5
Offline-Toleranzperiode Die Anzahl der Minuten, die verwaltete Apps offline ausgeführt werden können. Geben Sie die Zeit (in Minuten) an, bevor die Zugriffsanforderungen der App erneut überprüft werden.

Zu den Aktionen zählen:

  • Zugriff blockieren (Minuten): Die Anzahl der Minuten, die verwaltete Apps offline ausgeführt werden können. Geben Sie die Zeit (in Minuten) an, bevor die Zugriffsanforderungen der App erneut überprüft werden. Nach Ablauf dieses Zeitraums muss die App die Benutzerauthentifizierung Microsoft Entra ID, damit die App weiterhin ausgeführt werden kann.

    Dieses Richtlinieneinstellungsformat unterstützt eine positive ganze Zahl.

    Standardwert = 1440 Minuten (24 Stunden)

    Hinweis: Wenn sie den Timer für die Offline-Toleranzperiode für das Blockieren des Zugriffs kleiner als der Standardwert konfigurieren, kann dies zu häufigeren Benutzerunterbrechungen führen, wenn die Richtlinie aktualisiert wird. Die Auswahl eines Werts von weniger als 30 Minuten wird nicht empfohlen, da dies bei jedem Anwendungsstart oder -fortsetzen zu Benutzerunterbrechungen führen kann.
  • Daten löschen (Tage): Nach diesem Zeitraum (durch den Administrator definiert) im Offlinemodus muss der Benutzer für die App eine Verbindung mit dem Netzwerk herstellen und sich erneut authentifizieren. Wenn sich Benutzer erfolgreich authentifiziert haben, können sie weiterhin auf ihre Daten zugreifen, und das Offline-Intervall wird zurückgesetzt. Wenn sich der Benutzer nicht authentifizieren kann, führt die App eine selektive Zurücksetzung des Kontos und der Daten des Benutzers durch. Weitere Informationen finden Sie unter Zurücksetzen nur von Unternehmensdaten aus in Intune verwalteten Apps. Dieses Richtlinieneinstellungsformat unterstützt eine positive ganze Zahl.

    Standardwert = 90 Tage
Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt.
Mindestversion für App Legen Sie einen Wert für die Mindestversion der Anwendung fest.

Zu den Aktionen zählen:

  • Warnung: Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die App-Version auf dem Gerät die Anforderung nicht erfüllt. Diese Benachrichtigung kann verworfen werden.
  • Zugriff blockieren: Der Zugriff durch den Benutzer wird blockiert, wenn die App-Version auf dem Gerät die Anforderung nicht erfüllt.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.
Da Apps selbst häufig individuelle Versionsschemas aufweisen, erstellen Sie eine Richtlinie mit einer minimalen App-Version, die auf eine App abzielt (z. B. Outlook-Versionsrichtlinie).

Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt.

Dieses Richtlinieneinstellungsformat unterstützt major.minor, major.minor.build oder major.minor.build.revision („Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“).

Sie können zusätzlich konfigurieren, wo Ihre Endbenutzer eine aktualisierte Version einer branchenspezifischen App (LOB, Line-of-Business) erhalten können. Endbenutzer sehen dies im bedingten Startdialogfeld App-Mindestversion, über das der Benutzer aufgefordert wird, auf eine Mindestversion der LOB-App zu aktualisieren. Unter Android verwendet dieses Feature die Unternehmensportal. Um zu konfigurieren, wo ein Endbenutzer eine LOB-App aktualisieren soll, muss eine verwaltete App-Konfigurationsrichtlinie mit dem Schlüssel com.microsoft.intune.myappstore an diese gesendet werden. Der gesendete Wert definiert, aus welchem Store der Endbenutzer die App herunterladen wird. Wenn die App über das Unternehmensportal bereitgestellt wird, muss der Wert CompanyPortal sein. Für alle anderen Store müssen Sie eine vollständige URL eingeben.
Deaktiviertes Konto Für diese Einstellung gibt es keinen festzulegenden Wert.

Zu den Aktionen zählen:

  • Zugriff blockieren : Der Zugriff des Benutzers wird blockiert, da sein Konto deaktiviert wurde.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.

Gerätebedingungen

Setting Anleitung
Geräte mit Jailbreak/entfernten Nutzungsbeschränkungen Geben Sie an, ob der Zugriff auf das Gerät blockiert oder die Gerätedaten für Geräte mit Jailbreak oder Rootzugriff zurückgesetzt werden sollen.

Zu den Aktionen zählen:

  • Zugriff blockieren: Verhindert die Ausführung dieser App auf per Jailbreak oder Rootzugriff manipulierten Geräten. Der Benutzer kann diese App weiterhin für persönliche Aufgaben verwenden, muss aber ein anderes Gerät verwenden, um auf Geschäfts-, Schul- oder Unidaten in dieser App zuzugreifen.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.
Mindestversion für Betriebssystem Geben Sie ein Android-Mindestbetriebssystem an, das für die Verwendung dieser App erforderlich ist. Betriebssystemversionen unter der angegebenen Mindestversion des Betriebssystems lösen die Aktionen aus.

Zu den Aktionen zählen:

  • Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die Android-Version auf dem Gerät die Anforderung nicht erfüllt. Diese Benachrichtigung kann verworfen werden.
  • Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn die Android-Version auf dem Gerät diese Anforderung nicht erfüllt.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.
Dieses Richtlinieneinstellungsformat unterstützt major.minor, major.minor.build oder major.minor.build.revision („Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“).
Maximale Betriebssystemversion Geben Sie ein maximales Android-Betriebssystem an, das für die Verwendung dieser App erforderlich ist. Betriebssystemversionen unter der angegebenen Maximalen Betriebssystemversion lösen die Aktionen aus.

Zu den Aktionen zählen:

  • Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die Android-Version auf dem Gerät die Anforderung nicht erfüllt. Diese Benachrichtigung kann verworfen werden.
  • Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn die Android-Version auf dem Gerät diese Anforderung nicht erfüllt.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.
Dieses Richtlinieneinstellungsformat unterstützt major.minor, major.minor.build oder major.minor.build.revision („Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“).
Min. Patchversion Geräte müssen mindestens über einen von Google veröffentlichten Android-Sicherheitspatch verfügen.
  • Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die Android-Version auf dem Gerät die Anforderung nicht erfüllt. Diese Benachrichtigung kann verworfen werden.
  • Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn die Android-Version auf dem Gerät diese Anforderung nicht erfüllt.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.
Diese Richtlinieneinstellung unterstützt das Datumsformat JJJJ-MM-TT.
Gerätehersteller Geben Sie eine durch Semikolons getrennte Liste von Herstellern an. Bei diesen Werten wird die Groß-/Kleinschreibung nicht beachtet.

Zu den Aktionen zählen:

  • Angegebenes Zulassen (Nicht angegebenes Blockieren): Nur Geräte, die dem angegebenen Hersteller entsprechen, können die App verwenden. Alle anderen Geräte sind blockiert.
  • Angegebene zulassen (nicht Angegebene löschen): Das Benutzerkonto, das der Anwendung zugeordnet ist, wird vom Gerät gelöscht.
Weitere Informationen zur Verwendung dieser Einstellung finden Sie in der Auflistung bedingter Startaktionen.
SafetyNet-Gerätenachweis App-Schutz Richtlinien unterstützen einige APIs von Google Play Protect. Diese Einstellung konfiguriert insbesondere den SafetyNet-Nachweis von Google auf Endbenutzergeräten, um die Integrität dieser Geräte zu überprüfen. Geben Sie entweder die Standardintegrität oder die Standardintegrität und zertifizierte Geräte an.

Grundlegende Integrität informiert Sie über die allgemeine Integrität des Geräts. Für gerootete Geräte, Emulatoren, virtuelle Geräte und Geräte, die Anzeichen von Manipulationen aufweisen, schlägt die Überprüfung der grundlegenden Integrität fehl. Grundlegende Integrität & zertifizierten Geräten informiert Sie über die Kompatibilität des Geräts mit den Diensten von Google. Nur unveränderte Geräte, die von Google zertifiziert wurden, bestehen diese Überprüfung.

Wenn Sie SafetyNet-Gerätenachweis als für bedingten Start erforderlich auswählen, können Sie angeben, dass ein hardwaregestützter Schlüssel als Auswertungstyp verwendet wird. Das Vorhandensein eines hardwaregestützten Schlüssels als Auswertungstyp deutet auf eine höhere Integrität eines Geräts hin. Geräte, die keine hardwaregestützten Schlüssel unterstützen, werden durch die MAM-Richtlinie blockiert, wenn sie diese Einstellung verwenden. Der hardwaregestützte Schlüssel bietet eine stabilere Stammerkennung als Reaktion auf neuere Arten von Rootingtools und -methoden, die von einer reinen Softwarelösung nicht immer zuverlässig erkannt werden können. In APP wird der Hardwarenachweis aktiviert, indem Erforderlicher SafetyNet-Auswertungstyp auf Hardwaregestützter Schlüssel festgelegt wird, nachdem der SafetyNet-Gerätenachweis konfiguriert wurde. Der hardwaregestützte Nachweis nutzt eine hardwarebasierte Komponente, die mit Geräten ausgeliefert wird, die mit Android 8.1 und höher installiert sind. Geräte, für die ein Upgrade von einer älteren Version von Android auf Android 8.1 durchgeführt wurde, verfügen wahrscheinlich nicht über die hardwarebasierten Komponenten, die für den hardwaregestützten Nachweis erforderlich sind. Auch wenn diese Einstellung auf Geräten mit Android 8.1 und höher weitgehend unterstützt werden sollte, empfiehlt Microsoft dringend, die Geräte einzeln zu testen, bevor diese Richtlinieneinstellung allgemein aktiviert wird.

Wichtig: Geräte, die diesen Auswertungstyp nicht unterstützen, werden basierend auf der SafetyNet-Gerätenachweisaktion blockiert oder zurückgesetzt. Organisationen, die diese Funktionalität verwenden möchten, müssen sicherstellen, dass Benutzer über unterstützte Geräte verfügen. Weitere Informationen zu den empfohlenen Geräten von Google finden Sie unter Empfohlene Anforderungen für Android Enterprise.

Zu den Aktionen zählen:

  • Warnung : Der Benutzer sieht eine Benachrichtigung, wenn das Gerät den SafetyNet Attestation-Scan von Google basierend auf dem konfigurierten Wert nicht erfüllt. Diese Benachrichtigung kann verworfen werden.
  • Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn das Gerät die SafetyNet Attestation-Überprüfung von Google basierend auf dem konfigurierten Wert nicht erfüllt.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.
Häufig gestellte Fragen zu dieser Einstellung finden Sie unter Häufig gestellte Fragen zu MAM und App-Schutz.
Bedrohungsüberprüfung für Apps erforderlich App-Schutz Richtlinien unterstützen einige APIs von Google Play Protect. Diese Einstellung stellt insbesondere sicher, dass die Überprüfung von Google Verify Apps für Endbenutzergeräte aktiviert ist. Wenn diese Einstellung konfiguriert ist, wird der Zugriff für den Endbenutzer so lange gesperrt, bis er auf seinem Android-Gerät die App-Überprüfung von Google aktiviert.

Zu den Aktionen zählen:

  • Warnung : Der Benutzer sieht eine Benachrichtigung, wenn die Überprüfung von Google Verify Apps auf dem Gerät nicht aktiviert ist. Diese Benachrichtigung kann verworfen werden.
  • Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn die Überprüfung von Google Verify Apps auf dem Gerät nicht aktiviert ist.
Die Ergebnisse der Überprüfung "Apps überprüfen" von Google werden im Bericht Potenziell schädliche Apps in der Konsole angezeigt.
Erforderlicher SafetyNet-Auswertungstyp Hardware-gestützter Nachweis verbessert die vorhandene SafetyNet-Nachweisdienstüberprüfung. Sie können den Wert auf Hardwaregestützter Schlüssel festlegen, nachdem Sie safteyNet-Gerätenachweis festgelegt haben.
Gerätesperre erforderlich Diese Einstellung bestimmt, ob das Android-Gerät über eine Geräte-PIN verfügt, die die Mindestkennwortanforderung erfüllt. Die App-Schutz-Richtlinie kann Maßnahmen ergreifen, wenn die Gerätesperre die Mindestkennwortanforderung nicht erfüllt.

Zu den Werten gehören:

  • Geringe Komplexität
  • Mittlere Komplexität
  • Hohe Komplexität

Dieser Komplexitätswert ist auf Android 12 und höher ausgerichtet. Bei Geräten mit Android 11 und früheren Versionen wird beim Festlegen eines Komplexitätswerts auf "Niedrig", "Mittel" oder "Hoch" standardmäßig das erwartete Verhalten für "Niedrige Komplexität" festgelegt. Weitere Informationen finden Sie in der Google-Entwicklerdokumentation getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM und PASSWORD_COMPLEXITY_HIGH.

Zu den Aktionen zählen:

  • Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die Gerätesperre die Mindestkennwortanforderung nicht erfüllt. Die Benachrichtigung kann verworfen werden.
  • Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn die Gerätesperre die Mindestkennwortanforderung nicht erfüllt.
  • Daten zurücksetzen : Das der Anwendung zugeordnete Benutzerkonto wird vom Gerät zurückgesetzt, wenn die Gerätesperre die Mindestkennwortanforderung nicht erfüllt.
Mindestversion Unternehmensportal Mithilfe der Mindestversion Unternehmensportal können Sie eine bestimmte mindestdefinierte Version der Unternehmensportal angeben, die auf einem Endbenutzergerät erzwungen wird. Mit dieser Einstellung für den bedingten Start können Sie Werte auf Zugriff blockieren, Daten zurücksetzen und Warnen als mögliche Aktionen festlegen, wenn die einzelnen Werte nicht erfüllt werden. Die möglichen Formate für diesen Wert folgen dem Muster [Haupt].[ Minor], [Major].[ Nebenfach]. [Build], oder [Haupt].[ Nebenfach]. [Build]. [Revision]. Da einige Endbenutzer möglicherweise kein erzwungenes Update von Apps vor Ort bevorzugen, ist die Option "Warn" beim Konfigurieren dieser Einstellung möglicherweise ideal. Der Google Play Store leistet gute Arbeit, nur die Deltabytes für App-Updates zu senden, aber dies kann immer noch eine große Menge an Daten sein, die der Benutzer möglicherweise nicht verwenden möchte, wenn er sich zum Zeitpunkt des Updates auf Daten befindet. Das Erzwingen eines Updates und damit das Herunterladen einer aktualisierten App kann zu unerwarteten Datengebühren zum Zeitpunkt des Updates führen. Weitere Informationen finden Sie unter Android-Richtlinieneinstellungen.
Max. Unternehmensportal Versionsalter (Tage) Sie können eine maximale Anzahl von Tagen als Alter der Unternehmensportal (CP)-Version für Android-Geräte festlegen. Diese Einstellung stellt sicher, dass Endbenutzer innerhalb eines bestimmten Bereichs von CP-Releases (in Tagen) liegen. Der Wert muss zwischen 0 und 365 Tagen betragen. Wenn die Einstellung für die Geräte nicht erfüllt ist, wird die Aktion für diese Einstellung ausgelöst. Zu den Aktionen gehören Zugriff blockieren, Daten zurücksetzen oder Warnen. Weitere Informationen finden Sie unter Android-Richtlinieneinstellungen. Hinweis: Das Alter des Unternehmensportal Builds wird durch Google Play auf dem Endbenutzergerät bestimmt.
Samsung Knox-Gerätenachweis Geben Sie an, ob die Samsung Knox-Gerätenachweisprüfung erforderlich ist. Nur unveränderte Geräte, die von Samsung überprüft wurden, können diese Überprüfung bestehen. Eine Liste der unterstützten Geräte finden Sie unter samsungknox.com.

Mit dieser Einstellung überprüfen Microsoft Intune auch, ob die Kommunikation zwischen dem Unternehmensportal und dem Intune-Dienst von einem fehlerfreien Gerät gesendet wurde.

Zu den Aktionen zählen:
  • Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn das Gerät die Überprüfung des Samsung Knox-Gerätenachweises nicht erfüllt. Diese Benachrichtigung kann verworfen werden.
  • Zugriff blockieren : Das Benutzerkonto wird für den Zugriff gesperrt, wenn das Gerät die Knox-Gerätenachweisprüfung von Samsung nicht erfüllt.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.

Hinweis: Der Benutzer muss die Samsung Knox-Bedingungen akzeptieren, bevor die Überprüfung des Gerätenachweises durchgeführt werden kann. Wenn der Benutzer die Samsung Knox-Bedingungen nicht akzeptiert, wird die angegebene Aktion ausgeführt.

Hinweis: Diese Einstellung gilt für alle Geräte, die als Ziel verwendet werden. Um diese Einstellung nur auf Samsung-Geräte anzuwenden, können Sie Zuweisungsfilter für verwaltete Apps verwenden. Weitere Informationen zu Zuweisungsfiltern finden Sie unter Verwenden von Filtern beim Zuweisen Von Apps, Richtlinien und Profilen in Microsoft Intune.

Maximal zulässige Gerätebedrohungsstufe App-Schutzrichtlinien können die Vorteile des Intune-MTD-Connectors nutzen. Geben Sie eine maximale Bedrohungsstufe an, die für die Verwendung dieser App zulässig ist. Die Bedrohungen werden von der von Ihnen gewählten MTD-Anwendung (Mobile Threat Defense) des Anbieters auf dem Endbenutzergerät bestimmt. Geben Sie entweder Geschützt, Niedrig, Mittel oder Stark ein. Geschützt erfordert keine Bedrohungen auf dem Gerät und ist der restriktivste konfigurierbare Wert, während Stark im Wesentlichen eine aktive Verbindung zwischen Intune und MTD erfordert.

Zu den Aktionen zählen:

  • Zugriff blockieren: Der Benutzer wird für den Zugriff gesperrt, wenn die von der von Ihnen gewählten Mobile Threat Defense-App des Anbieters auf dem Benutzerendgerät festgelegte Bedrohungsstufe diese Anforderung nicht erfüllt.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.
Weitere Informationen zur Verwendung dieser Einstellung finden Sie unter Aktivieren des Mobile Threat Defense-Connectors in Intune für nicht registrierte Geräte.
Primärer MTD-Dienst Wenn Sie mehrere Intune-MTD-Connectors konfiguriert haben, geben Sie die primäre MTD-Anbieter-App an, die auf dem Endbenutzergerät verwendet werden soll.

Zu den Werten gehören:

  • Microsoft Defender for Endpoint: Wenn der MTD-Connector konfiguriert ist, geben Sie an, Microsoft Defender for Endpoint Informationen zur Gerätebedrohungsstufe bereitstellt.
  • Mobile Threat Defense (nicht von Microsoft): Wenn der MTD-Connector konfiguriert ist, geben Sie an, dass das nicht von Microsoft stammende MTD informationen zur Bedrohungsstufe des Geräts bereitstellt.

Sie müssen die Einstellung "Max. zulässige Geräte-Bedrohungsstufe" konfigurieren, um diese Einstellung zu verwenden.

Für diese Einstellung gibt es keine Aktionen .