Schützen und Schützen von Apps mithilfe von Microsoft Intune
Nachdem Sie die Funktionen von Intune eingerichtet und bereitgestellt haben, die Apps, die Sie verwalten möchten, zu Intune hinzugefügt und die Apps konfiguriert haben, die Sie in Intune verwalten, können Sie mit dem Erstellen von App-Schutzrichtlinien beginnen. App-Schutz-Richtlinien (APP) sind Regeln, die sicherstellen, dass die Daten Ihrer organization sicher bleiben und in einer verwalteten App enthalten sind. Diese Richtlinien erzwingen, wie Ihre Endbenutzer auf "Unternehmensdaten" zugreifen und diese verschieben und wie Sie Aktionen steuern, die verboten oder überwacht werden, wenn Endbenutzer die App verwenden. Mit dieser Erzwingung können Sie steuern, wie apps auf mobilen Geräten auf Ihren organization auf Daten zugreifen und diese freigeben.
Die in dieser Lösung bereitgestellten Inhalte helfen Ihnen, die verschiedenen Aspekte des App-Schutzes für jede der unterstützten Plattformen zu verstehen. Darüber hinaus führt Diese Lösung Sie schrittweise durch die Erstellung Ihrer App-Schutzrichtlinien basierend auf unseren empfohlenen Einstellungen für den grundlegenden, erweiterten und allgemeinen App-Schutz.
Verwaltete Apps sind Apps, die Sie Benutzern über einen einheitlichen Endpunktverwaltungsanbieter wie Intune zugewiesen haben. Verwaltete Apps unterstützen App-Schutzrichtlinien sowie App-Konfigurationsrichtlinien. Diese Apps verwenden die verwaltung mobiler Anwendungen (Mobile Application Management, MAM), die vom Anbieter für die einheitliche Endpunktverwaltung bereitgestellt wird. MAM ermöglicht Es Organisationen, ihre Daten in einer Anwendung zu verwalten und zu schützen. Eine verwaltete App in Intune ist eine geschützte App , auf die Intune-App-Schutzrichtlinien angewendet und von Intune zugewiesen und verwaltet werden. Eine verwaltete App hat entweder das Intune App SDK integriert oder wurde mit dem Intune Wrapping Tool umschlossen, um App-Schutzrichtlinien (APP) und/oder App-Konfigurationsrichtlinien zu unterstützen. Sie können MAM-Richtlinien verwenden, um Apps auf nicht verwalteten Geräten zu konfigurieren und zu schützen, bei denen es sich um die persönlichen Geräte Ihrer Endbenutzer handelt, die nicht bei Intune MDM registriert sind.
Tipp
Informationen dazu, wann Sie die Bereitstellung von MAM-Richtlinien in Betracht ziehen sollten, finden Sie im Migrationshandbuch: Einrichten oder Verschieben zu Microsoft Intune.
Die Verwendung von App-Schutzrichtlinien bietet den Vorteil, dass die Daten Ihrer organization auf App-Ebene geschützt werden. Für Endbenutzer ist die Produktivität nicht beeinträchtigt, und App-Schutzrichtlinien gelten nicht, wenn Endbenutzer die App in einem persönlichen Kontext verwenden. Es gibt mehrere Situationen, in denen Sie in der Regel App-Schutzrichtlinien verwenden sollten. Wenn Ihre Endbenutzer instance ihr persönliches Gerät verwenden, sollten Sie eine App-Schutzrichtlinie verwenden, um den Zugriff auf die App mithilfe einer PIN zu steuern. Möglicherweise möchten Sie Einschränkungen für die Datenfreigabe erzwingen, dass die Daten Ihrer organization nicht für nicht verwaltete Apps freigegeben werden. Außerdem können Sie verhindern, dass Endbenutzer organization Daten an persönlichen Speicherorten speichern. Weitere Informationen finden Sie unter Vorteile der Verwendung von App-Schutz Richtlinien.
Wichtig
Sie können Intune verwenden, um eine Zero Trust Sicherheitsstrategie für Ihre organization zu erzwingen. Zero Trust ist ein Ansatz, der beim Entwerfen und Implementieren einer Reihe von Sicherheitsprinzipien verwendet werden kann. Weitere Informationen finden Sie unter Zero Trust mit Microsoft Intune- und Zero Trust Identitäts- und Gerätezugriffskonfigurationen.
Organisationen können App-Schutzrichtlinien mit und ohne Mobile Geräteverwaltung (MDM) gleichzeitig verwenden. Betrachten Sie beispielsweise einen Endbenutzer (Mitarbeiter oder organization Mitglied), der sowohl ein vom Unternehmen ausgestelltes Telefon als auch sein eigenes persönliches Tablet verwendet. Das organization ausgestelltes Telefon ist bei MDM registriert und durch App-Schutzrichtlinien geschützt, während das persönliche Gerät nur durch App-Schutzrichtlinien geschützt ist.
Unterstützte Plattformen
Es gibt drei primäre Plattformen, die beim Erstellen einer App-Schutzrichtlinie in Intune unterstützt werden.
| Plattform | Beschreibung |
|---|---|
| iOS/iPadOS | Sie können App-Schutzrichtlinien auf iOS-/iPadOS-Apps anwenden, die zur Unterstützung von Intune-App-Schutzfunktionen entwickelt wurden. Sie können app-Schutz auf Gruppen von Benutzern anwenden, die sich bei iOS-/iPadOS-Geräten anmelden. Insbesondere können Sie app-Schutz basierend auf Datenschutz, Zugriffsanforderungen und Einstellungen für bedingten Start innerhalb einer App-Schutzrichtlinie für iOS/iPadOS anwenden. Weitere Informationen finden Sie unter Einstellungen für iOS-App-Schutzrichtlinien in Microsoft Intune. |
| Android | Sie können App-Schutzrichtlinien auf Android-Apps anwenden, die zur Unterstützung von Intune-App-Schutzfunktionen entwickelt wurden. Sie können app-Schutz auf Gruppen von Benutzern anwenden, die sich bei Android-Geräten anmelden. Insbesondere können Sie app-Schutz basierend auf Datenschutz, Zugriffsanforderungen und Einstellungen für bedingten Start innerhalb einer App-Schutzrichtlinie für Android anwenden. Weitere Informationen finden Sie unter Einstellungen für Android-App-Schutzrichtlinien in Microsoft Intune. |
| Windows | Derzeit können Sie App-Schutzrichtlinien auf Microsoft Edge für Windows-Geräte anwenden. Mit Microsoft Edge können Sie steuern, wie auf die Daten Ihrer organization zugegriffen wird. Sie können den App-Schutz auf Gruppen von Benutzern anwenden, die sich bei Windows-Geräten anmelden. Insbesondere können Sie den App-Schutz basierend auf den Einstellungen für Datenschutz und Integritätsprüfungen innerhalb einer App-Schutzrichtlinie für Windows anwenden. Mithilfe der Datenschutzeinstellungen können Sie steuern, wie Daten in Ihren organization (Organisationskontext) und aus diesem heraus verschieben. Der Organisationskontext wird durch Dokumente, Dienste und Websites definiert, auf die über das angegebene Organisationskonto zugegriffen wird. Sie können App-Schutzrichtlinieneinstellungen verwenden, um externe Daten, die in den Organisationskontext empfangen werden, und Organisationsdaten zu steuern, die aus dem Organisationskontext gesendet werden. Diese Einstellungen umfassen das Empfangen und Senden von Organisationsdaten. Außerdem können Sie DLP-Steuerelemente (Data Loss Prevention, Verhinderung von Datenverlust) implementieren, z. B. Einschränkungen beim Ausschneiden, Kopieren, Einfügen und Speichern unter. Darüber hinaus können Sie das Drucken von Organisationsdaten zulassen oder blockieren. Weitere Informationen finden Sie unter App-Schutz Richtlinieneinstellungen für Windows. |
Weitere Informationen zu unterstützten Plattformen finden Sie unter App-Verwaltungsfunktionen nach Plattform.
Unterstützte Apps
Für iOS-/iPadOS- und Android-Plattformen können Sie App-Schutzrichtlinien auf jede verwaltete App anwenden, die zur Unterstützung von Intune-App-Schutzfunktionen entwickelt wurde. Die verwaltete App hat entweder das Intune App SDK integriert oder wurde mithilfe des Intune-App Wrapping Tool umschlossen. Für die Windows-Plattform können Sie den Datenschutz von Unternehmensdaten auf persönlichen Windows-Geräten mithilfe von Windows MAM aktivieren. In Windows MAM wenden Sie App-Schutzrichtlinien auf Microsoft Edge für Windows an. Microsoft Edge sowie die meisten Microsoft-Anwendungen wurden integriert, um Intune mithilfe des Intune App SDK zu unterstützen. Eine Liste der Apps, die die SDK-Integration enthalten, finden Sie unter Microsoft Intune geschützte Apps.
Voraussetzungen
Bevor Sie Apps mit Microsoft Intune schützen können, müssen Sie einige Voraussetzungen erfüllen, um Intune einzurichten und wichtige App-Verwaltungskonfigurationen zu verstehen.
Hinweis
Wenn Sie noch nicht mit Intune vertraut sind, beginnen Sie mit der Microsoft Intune kostenlosen Testversion. Sie können Intune 30 Tage lang kostenlos testen. Wenn Sie den Registrierungsprozess abgeschlossen haben, verfügen Sie über einen neuen Mandanten, den Sie zum Auswerten von Intune verwenden können. Ein Mandant ist ein dedizierter instance von Microsoft Entra ID (Microsoft Entra ID), in dem Ihr Intune-Abonnement gehostet wird. Anschließend können Sie den Mandanten konfigurieren, der viele Funktionen umfasst, mit denen Sie Ihre organization schützen können. Eine davon umfasst das Hinzufügen und Konfigurieren von Apps für Intune.
Führen Sie die folgenden Schritte aus, wenn Sie Intune noch nicht eingerichtet und die Apps hinzugefügt haben, die Sie verwalten und schützen müssen:
- Einrichten und Bereitstellen von Intune
- Grundlegendes zum Anwendungsschutz
- Grundlegendes zu App-Typen
- Hinzufügen von Apps zu Intune
Wichtig
Um Microsoft Intune über die kostenlose Testversion hinaus nutzen zu können, müssen Sie eine Lizenz von Microsoft erwerben. Weitere Informationen zu Lizenzen, die Microsoft Intune enthalten, finden Sie unter Microsoft Intune Lizenzierung.
Obwohl viele Apps, die Sie für die Mitglieder Ihrer organization bereitstellen können, kostenlos sind, benötigen einige Apps möglicherweise entweder eine Lizenz, ein Abonnement oder ein Konto für jeden Benutzer, um die App verwenden zu können. Weitere Informationen zu App-Lizenzen finden Sie unter Grundlegendes zu in Intune verwendeten App-Lizenzen.
App-Schutz
App-Schutz können auf unterstützte verwaltete Apps auf unterstützten Geräteplattformen angewendet werden, die entweder bei Microsoft Intune registriert, in einer Mdm-Lösung (Mobile Device Management) eines Drittanbieters registriert sind oder nicht in einer Verwaltungslösung für mobile Geräte registriert sind.
Beim Erstellen einer App-Schutzrichtlinie wählen Sie die folgenden Details in der folgenden Reihenfolge aus:
- Die Plattform
- Die App, die Sie schützen möchten
- Die Datenschutzeinstellungen für die App
- Die Zugriffsanforderungen für die App
- Die Einstellungen für bedingten Start für die App
Zusätzlich zur obigen Liste können Sie auch Bereichstags und App-Zuweisungen auswählen.
Wichtig
Die Intune-Unternehmensportal-App ist auf Android-Geräten erforderlich, da gerätebenutzer App-Schutzrichtlinien als Geräterichtliniencontroller erhalten können. Es ermöglicht Gerätebenutzern, App-Schutzrichtlinien zu erhalten. Weitere Informationen finden Sie unter Konfigurieren der Intune-Unternehmensportal-Apps, Unternehmensportal Website und Intune-App und Anpassen und Konfigurieren der Unternehmensportal.
App-Schutz Kategorien nach Plattform
Für jede unterstützte Plattform sind verschiedene App-Schutzeinstellungen verfügbar. Es ist wichtig zu wissen, dass die iOS/iPadOS- und Android-Plattform die gleichen App-Schutzkategorien aufweisen. Windows ist jedoch anders. Die Windows-Plattform schützt organization Daten, indem der Datenfluss über Microsoft Edge zu den Speicherorten Ihrer organization verwaltet wird.
Tipp
Informationen dazu, wo App-Schutz- und Compliancerichtlinien in die allgemeine Intune-Architektur passen, finden Sie unter Allgemeine Architektur für Microsoft Intune.
Wenn Sie eine App-Schutzrichtlinie erstellen, wählen Sie die Plattform, die App als Ziel sowie die spezifischen Einstellungen aus den App-Schutzkategorien aus.
So schützen App-Schutzrichtlinien Ihre App-Daten
Ihre Endbenutzer (Mitglieder Ihrer organization) verwenden mobile Geräte sowohl für persönliche als auch für geschäftliche Aufgaben. Während Sie sicherstellen, dass Ihre Endbenutzer produktiv sein können, möchten Sie verhindern, dass die Daten Ihrer organization an Orte verschoben werden, an denen Sie sie nicht schützen können, sowohl für absichtliche als auch für unbeabsichtigte Situationen. Sie sollten auch Unternehmensdaten schützen, auf die von Geräten zugegriffen wird, die nicht von Ihnen verwaltet werden. Sie können Intune-App-Schutzrichtlinien unabhängig von jeder Lösung für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) verwenden. Diese Unabhängigkeit hilft Ihnen, die Daten Ihres Unternehmens mit oder ohne Registrierung von Geräten in einer Geräteverwaltungslösung zu schützen. Durch die Implementierung von Schutzrichtlinien auf App-Ebene können Sie den Zugriff auf Unternehmensressourcen einschränken und Daten innerhalb der Zuständigkeit Ihrer IT-Abteilung aufbewahren.
Wenn Apps ohne Einschränkungen verwendet werden, können Unternehmensdaten und private Daten vermischt werden. Unternehmensdaten können damit an Speicherorten wie dem persönlichen Speicher abgelegt oder an Apps außerhalb Ihres Zuständigkeitsbereichs übermittelt werden, was Datenverlust bedeuten würde. Die folgende Tabelle enthält Details zum Schutz von Daten, Geräten und Apps.
| Daten-, Geräte- und App-Schutz | Beschreibung |
|---|---|
| Apps ohne App-Schutzrichtlinien | Wenn Apps ohne Einschränkungen verwendet werden, können Unternehmensdaten und private Daten vermischt werden. Unternehmensdaten können damit an Speicherorten wie dem persönlichen Speicher abgelegt oder an Apps außerhalb Ihres Zuständigkeitsbereichs übermittelt werden, was Datenverlust bedeuten würde. |
| Datenschutz mit App-Schutzrichtlinien | Sie können App-Schutz Richtlinien verwenden, um zu verhindern, dass Unternehmensdaten im lokalen Speicher des Geräts gespeichert werden. Außerdem können Sie das Verschieben von Daten in andere Apps einschränken, die nicht durch App-Schutzrichtlinien geschützt sind. |
| Datenschutz mit App-Schutzrichtlinien auf verwalteten Geräten | Bietet sowohl App- als auch Geräteverwaltung und -schutz. |
| Schutz von Daten mit App-Schutzrichtlinien für Geräte ohne Registrierung | App-Schutz Richtlinien können dazu beitragen, Unternehmensdaten auf App-Ebene zu schützen. Es gibt jedoch Einschränkungen im Zusammenhang mit der Bereitstellung von Apps, der Bereitstellung von Gerätezertifikatprofilen und der Bereitstellung von Geräte-organization Einstellungen. Sie können diese Einschränkungen vermeiden, indem Sie die Geräte in Intune registrieren und verwalten. |
Weitere Informationen finden Sie unter Schützen von App-Daten durch App-Schutzrichtlinien.
Inhalt dieser Lösung
Diese Lösung hilft Ihnen, den Schutz von App-Daten in Microsoft Intune zu verstehen. Darüber hinaus bietet diese Lösung empfohlene Schritte zum Erstellen von App-Schutzrichtlinien in Intune für bestimmte Apps und zum Zuweisen dieser Richtlinien zu Mitgliedern Ihrer organization. Nachdem Sie die oben genannten Voraussetzungen erfüllt haben, können Sie App-Schutzrichtlinien für Ihre organization in Intune erstellen. Die Verwendung von Konfigurations- und Schutzrichtlinien als Teil Ihrer App-Verwaltungsbemühungen ermöglicht Mitgliedern Ihrer organization die sichere Verwendung von Apps. Indem Sie Apps auf Ihrem organization verwalten, tragen Sie dazu bei, die Daten Ihrer organization zu schützen und zu schützen.
Weitere Informationen zum App-Schutz in Intune finden Sie in den folgenden Themen:
- Grundlegendes zum Schutz von App-Daten
- Grundlegendes zu Den Zugriffsanforderungen für den App-Schutz
- Grundlegendes zum bedingten Starten des App-Schutzes
- Grundlegendes zur Integritätsüberprüfung des App-Schutzes
Informationen zum Befolgen der empfohlenen Einstellungen beim Hinzufügen von App-Schutzrichtlinien in Intune finden Sie in den folgenden Themen:
- Anwenden von Mindestdatenschutz
- Anwenden des erweiterten Datenschutzes
- Anwenden eines hohen Datenschutzes
- Grundlegendes zur Bereitstellung von App-Schutz
- Überprüfen und Überwachen des App-Schutzes
- Verwenden von App-Schutzaktionen
Nachdem Sie die oben genannten Schritte ausgeführt haben, können Sie die verwalteten Apps bereitstellen, verwalten und überwachen, die Ihr organization verwendet.