Freigeben über


Steuern von Apps mithilfe von Verwaltungsrichtlinien für mobile Anwendungen in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Ab Einstieg in System Center 2012 Configuration Manager SP2 können Sie mit Anwendungsverwaltungsrichtlinien die Funktionalität von bereitgestellten Apps ändern, um sie mit den Kompatibilitäts- und Sicherheitsrichtlinien Ihres Unternehmens in Einklang zu bringen. Sie können z. B. Ausschneide-, Kopier- und Einfügevorgänge innerhalb einer eingeschränkten App einschränken oder eine App so konfigurieren, dass alle Weblinks innerhalb eines verwalteten Browsers geöffnet werden. Anwendungsverwaltungsrichtlinien unterstützen Folgendes:

  • Geräte unter Android 4 und höher

  • Geräte unter iOS 7 und höher.

System_CAPS_tipTipp

Neben der Verwaltung von Geräten können Verwaltungsrichtlinien für mobile Apps auch zum Schutz von Apps auf Geräten verwendet werden, die nicht von Intune verwaltet werden. Mit dieser neuen Funktion können Sie Verwaltungsrichtlinien für mobile Apps auf Apps anwenden, die eine Verbindung mit Office 365-Diensten herstellen. Diese Funktion wird nicht für Apps unterstützt, die eine Verbindung mit lokalem Exchange oder SharePoint herstellen.

Um diese neue Funktion zu verwenden, müssen Sie das Azure-Vorschauportal verwenden. Die folgenden Themen können Ihnen bei den ersten Schritten helfen:

Im Gegensatz zu Konfigurationselementen und Basislinien in Configuration Manager wird eine Anwendungsverwaltungsrichtlinie nicht direkt bereitgestellt. Stattdessen verknüpfen Sie die Richtlinie mit dem App-Bereitstellungstyp, den Sie einschränken möchten. Wenn der App-Bereitstellungstyp bereitgestellt wird und auf Geräten installiert ist, werden die von Ihnen angegebenen Einstellungen wirksam.

Zum Anwenden von Einschränkungen auf eine App muss die App das Microsoft Intune App Software Development Kit (SDK) enthalten. Es gibt zwei Möglichkeiten, um diesen App-Typ zu beziehen:

Erstellen und Bereitstellen einer App mit einer Verwaltungsrichtlinie für mobile Anwendungen

  • Schritt 1: Abrufen des Links zu einer richtlinienverwalteten App oder Erstellen einer umschlossenen App

  • Schritt 2: Erstellen einer Configuration Manager-Anwendung, in der eine App enthalten ist

  • Schritt 3: Erstellen einer Anwendungsverwaltungsrichtlinie

  • Schritt 4: Zuordnen der Anwendungsverwaltungsrichtlinie zu einem Bereitstellungstyp

  • Schritt 5: Überwachen der App-Bereitstellung

Schritt 2: Erstellen einer Configuration Manager-Anwendung, in der eine App enthalten ist

Die Vorgehensweise zum Erstellen der Configuration Manager-Anwendung hängt davon ab, ob Sie eine richtlinienverwaltete App (externer Link) verwenden oder eine App, die mit dem Microsoft Intune App Wrapping Tool für iOS (App-Paket für iOS) erstellt wurde. Verwenden Sie eines der folgenden Verfahren, um die Configuration Manager-Anwendung zu erstellen.

So erstellen Sie eine Anwendung für eine App, die mit dem App Wrapping Tool für iOS erstellt wurde

  1. Klicken Sie in der Configuration Manager-Konsole auf Softwarebibliothek.

  2. Erweitern Sie im Arbeitsbereich Softwarebibliothek den Knoten Anwendungsverwaltung, und klicken Sie dann auf Anwendungen.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Anwendung erstellen, um den Assistenten zum Erstellen von Anwendungen zu öffnen.

  4. Wählen Sie auf der Seite Allgemein die Option Informationen zu dieser Anwendung automatisch anhand der Installationsdateien erkennen aus.

  5. Wählen Sie in der Dropdownliste Typ die Option App-Paket für iOS (IPA-Datei) aus.

  6. Klicken Sie auf Durchsuchen, um das zu importierende App-Paket auszuwählen, und klicken Sie dann auf Weiter.

  7. Geben Sie auf der Seite Allgemeine Informationen die Beschreibung und Kategorieinformationen ein, die Benutzern im Unternehmensportal angezeigt werden sollen.

  8. Schließen Sie den Assistenten ab.

Die neue Anwendung wird im Knoten Anwendungen des Arbeitsbereichs Softwarebibliothek angezeigt.

  1. Klicken Sie in der Configuration Manager-Konsole auf Softwarebibliothek.

  2. Erweitern Sie im Arbeitsbereich Softwarebibliothek den Knoten Anwendungsverwaltung, und klicken Sie dann auf Anwendungen.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Anwendung erstellen, um den Assistenten zum Erstellen von Anwendungen zu öffnen.

  4. Wählen Sie auf der Seite Allgemein die Option Informationen zu dieser Anwendung automatisch anhand der Installationsdateien erkennen aus.

  5. Wählen Sie in der Dropdownliste Typ eine der folgenden Optionen aus:

    - Für iOS: **App-Paket für iOS aus App Store**
    
    - Für Android: **App-Paket für Android in Google Play** 
    
  6. Geben Sie die URL für die App (aus Schritt 1) ein, und klicken Sie dann auf Weiter.

  7. Geben Sie auf der Seite Allgemeine Informationen die Beschreibung und Kategorieinformationen ein, die Benutzern im Unternehmensportal angezeigt werden sollen.

  8. Schließen Sie den Assistenten ab.

Die neue Anwendung wird im Knoten Anwendungen des Arbeitsbereichs Softwarebibliothek angezeigt.

Schritt 3: Erstellen einer Anwendungsverwaltungsrichtlinie

Als Nächstes erstellen Sie eine Anwendungsverwaltungsrichtlinie, die Sie der Anwendung zuordnen. Sie können eine Richtlinie vom Typ "Allgemein" oder "Verwalteter Browser" erstellen.

So erstellen Sie eine Anwendungsverwaltungsrichtlinie

  1. Klicken Sie in der Configuration Manager-Konsole auf Softwarebibliothek.

  2. Erweitern Sie im Arbeitsbereich Softwarebibliothek den Knoten Anwendungsverwaltung, und klicken Sie dann auf Anwendungsverwaltungsrichtlinien.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Anwendungsverwaltungsrichtlinie erstellen.

  4. Geben Sie auf der Seite Allgemein den Namen und die Beschreibung für die Richtlinie ein, und klicken Sie dann auf Weiter.

  5. Wählen Sie auf der Seite Richtlinientyp die Plattform und den Richtlinientyp für diese Richtlinie aus, und klicken Sie dann auf Weiter. Die folgenden Richtlinientypen sind verfügbar:

    - **Allgemein**: Mit dem Richtlinientyp „Allgemein“ können Sie die Funktionalität von bereitgestellten Apps ändern, um sie an die Compliance- und Sicherheitsrichtlinien Ihres Unternehmens anzupassen. Sie können z. B. Ausschneide-, Kopier- und Einfügevorgänge innerhalb einer eingeschränkten App einschränken.
    
    - **Verwalteter Browser**: Konfigurieren Sie, ob das Öffnen einer Liste von URLs durch den verwalteten Browser zugelassen oder blockiert werden soll. Mit dem Richtlinientyp "Verwalteter Browser" können Sie die Funktionalität der Intune Managed Browser-App ändern. Dies ist ein Webbrowser, mit dem Sie die von Benutzern ausführbaren Aktionen verwalten können. Legen Sie beispielsweise fest, welche Websites sie besuchen können und wie Links zu Inhalten innerhalb des Browsers geöffnet werden. Weitere Informationen zur Intune Managed Browser-App finden Sie [hier](https://itunes.apple.com/us/app/microsoft-intune-managed-browser/id943264951?mt=8) für iOS und [hier](https://play.google.com/store/apps/details?id=com.microsoft.intune.mam.managedbrowser%26hl=en) für Android.
    
  6. Konfigurieren Sie auf der Seite iOS-Richtlinie oder Android-Richtlinie die folgenden Werte nach Bedarf, und klicken Sie dann auf Weiter. Die Optionen unterscheiden sich je nach Gerätetyp, für den Sie die Richtlinie konfigurieren.

    Wert

    Weitere Informationen

    Einschränken von anzuzeigenden Webinhalten in einem unternehmensverwalteten Browser

    Wenn diese Einstellung aktiviert ist, werden alle Links aus der App in Managed Browser geöffnet. Sie müssen diese App auf Geräten bereitstellen, damit diese Option funktioniert.

    Verhindern von Android-Sicherungen oder Verhindern von iTunes- und iCloud-Sicherungen

    Deaktiviert die Sicherung von Informationen aus der App.

    App Übertragung von Daten an andere Apps erlauben

    Gibt die Apps an, denen diese App Daten senden kann. Sie können auswählen, die Datenübertragung an eine beliebige App nicht zu erlauben, nur die Übertragung an andere eingeschränkte Apps zu erlauben oder die Übertragung an beliebige Apps zuzulassen.

    Um für iOS-Geräte den Austausch von Dokumenten zwischen verwalteten und nicht verwalteten Apps zu verhindern, müssen Sie eine Sicherheitsrichtlinie für mobile Geräte konfigurieren und bereitstellen, die die Einstellung Verwaltete Dokumente in anderen nicht verwalteten Apps zulassen deaktiviert.

    System_CAPS_noteHinweis

    Bei Zulassung der Übertragung nur auf andere eingeschränkte Apps werden die Intune PDF- und Image-Viewer (sofern bereitgestellt) verwendet, um den Inhalt der jeweiligen Typen zu öffnen.

    App Empfang von Daten aus anderen Apps erlauben

    Gibt die Apps an, von denen diese App Daten empfangen kann. Sie haben folgende Möglichkeiten:

    • Datenübertragung aus beliebigen Apps nicht zulassen

    • nur die Übertragung von anderen eingeschränkten Apps zulassen

    • Übertragung aus beliebigen Apps zulassen

    "Speichern unter" verhindern

    Deaktiviert die Verwendung der Speichern unter-Option in jeder App, die diese Richtlinie verwendet.

    Beschränken von Ausschneiden, Kopieren und Einfügen mit anderen Apps

    Gibt an, wie Ausschneiden, Kopieren und Einfügen mit der App verwendet werden kann. Wählen Sie aus:

    • Blockiert – Ausschneiden, Kopieren und Einfügen zwischen dieser App und anderen Apps nicht zulassen.

    • Richtlinienverwaltete Apps – Nur Ausschneiden, Kopieren und Einfügen zwischen dieser App und anderen eingeschränkten Apps zulassen.

    • Richtlinienverwaltete Apps mit Einfügen – Ermöglicht das Einfügen von aus dieser App ausgeschnittenen oder kopierten Daten nur in andere eingeschränkte Apps. Einfügen der aus beliebigen Apps ausgeschnittenen oder kopierten Daten in diese App zulassen.

    • Jede App – Keine Einschränkungen beim Ausschneiden, Kopieren und Einfügen in oder aus dieser App.

    Einfache PIN für Zugriff erforderlich

    Der Benutzer muss eine PIN-Nummer eingeben, um die App zu verwenden. Benutzer werden aufgefordert, diese beim ersten Ausführen der App zu erstellen.

    Anzahl der Versuche vor dem Zurücksetzen der PIN

    Geben Sie die Anzahl der möglichen PIN-Eingabeversuche, bevor der Benutzer die PIN zurücksetzen muss.

    Unternehmensanmeldeinformationen für Zugriff erforderlich

    Erfordert, dass der Benutzer die Unternehmensanmeldeinformationen eingeben muss, bevor er auf die Anwendung zugreifen kann.

    Gerätekonformität mit Unternehmensrichtlinien für Zugriff erforderlich

    Lässt die Verwendung der App nur dann zu, wenn das Gerät nicht per Jailbreak oder Rooting manipuliert wurde.

    Überprüfen der Zugriffsanforderungen nach (Minuten)

    Geben Sie im Feld Timeout den Zeitraum ein, bevor die Zugriffsanforderungen für die App nach dem Starten der App erneut geprüft werden müssen.

    Wenn das Gerät offline ist, geben Sie im Feld Offline-Toleranzperiode den Zeitraum ein, bevor die Zugriffsanforderungen für die App erneut geprüft werden.

    App-Daten verschlüsseln

    Gibt an, dass alle mit dieser App verknüpften Daten verschlüsselt werden, einschließlich extern gespeicherte Daten, z. B. SD-Karten.

    System_CAPS_noteHinweis

    Verschlüsselung für iOS

    Bei Apps, die einer Configuration Manager-Verwaltungsrichtlinie für mobile Anwendungen zugeordnet sind, werden Daten im Ruhezustand mit vom Betriebssystem bereitgestellter Verschlüsselung auf Geräteebene verschlüsselt. Dies wird durch die Geräte-PIN-Richtlinie aktiviert, die vom IT-Administrator festgelegt werden muss. Wenn eine PIN erforderlich ist, werden die Daten gemäß den Einstellungen in der mobilen Anwendungsverwaltungsrichtlinie verschlüsselt. Wie in der Apple-Dokumentation angegeben, sind die von iOS 7 verwendeten Module FIPS 140-2-zertifiziert.  

    Verschlüsselung für Android

    Bei Apps, die einer Configuration Manager-Verwaltungsrichtlinie für mobile Anwendungen zugeordnet sind, wird die Verschlüsselung von Microsoft bereitgestellt. Daten werden während der E/A-Dateivorgänge gemäß der Einstellung in der mobilen Anwendungsverwaltungsrichtlinie synchron verschlüsselt. Verwaltete Apps auf Android verwenden AES-128-Verschlüsselung im CBC-Modus mit den Plattform-Kryptografie-Bibliotheken. Die Verschlüsselungsmethode ist nicht FIPS 140-2-zertifiziert. Inhalt auf dem Speicher des Geräts wird immer verschlüsselt.

    Blockieren von Bildschirmaufnahmen (nur Android-Geräte)

    Gibt an, dass die Screen Capture-Funktionen des Geräts blockiert werden, wenn Sie diese App verwenden.

  7. Wählen Sie auf der Seite Verwalteter Browser aus, ob der verwaltete Browser nur URLs in der Liste öffnen darf oder ob das Öffnen der URLs in der Liste durch den verwalteten Browser blockiert ist. Verwalten Sie die URLs in der Liste, und klicken Sie dann auf Weiter.

  8. Schließen Sie den Assistenten ab.

Die neue Richtlinie wird im Knoten Anwendungsverwaltungsrichtlinien des Arbeitsbereichs Softwarebibliothek angezeigt.

Schritt 4: Zuordnen der Anwendungsverwaltungsrichtlinie zu einem Bereitstellungstyp

Wenn ein Bereitstellungstyp für eine App erstellt wird, die eine Anwendungsverwaltungsrichtlinie erfordert, erkennt Configuration Manager, dass beim Bereitstellen der App eine Anwendungsverwaltungsrichtlinie mit diesem Bereitstellungstyp verknüpft werden muss, und Sie werden aufgefordert, eine Anwendungsverwaltungsrichtlinie zuzuordnen. Bei Managed Browser müssen Sie sowohl eine Richtlinie "Allgemein" als auch eine Richtlinie "Verwalteter Browser" zuordnen. Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Anwendungen für mobile Geräte in Configuration Manager.

System_CAPS_importantWichtig

Wenn die Anwendung bereits bereitgestellt ist, tritt bei der Bereitstellung für den neuen Bereitstellungstyp solange ein Fehler auf, bis diese Zuordnung erfolgt ist. Sie können die Zuordnung unter Eigenschaften für die Anwendung auf der Registerkarte Anwendungsverwaltung vornehmen.

System_CAPS_importantWichtig

Für Geräte, die ältere Betriebssysteme als iOS 7.1 ausführen, werden verknüpfte Richtlinien nicht entfernt, wenn die App deinstalliert wird.

Wenn das Gerät von Configuration Manager abgemeldet wird, werden die Richtlinien nicht aus den Apps entfernt. Apps, auf die Richtlinien angewendet wurden, behalten die Richtlinieneinstellungen auch dann bei, wenn die App deinstalliert und neu installiert wurde.

Schritt 5: Überwachen der App-Bereitstellung

Nachdem Sie eine mit einer Verwaltungsrichtlinie für mobile Anwendungen verknüpfte App erstellt und bereitgestellt haben, können Sie die App überwachen und Richtlinienkonflikte lösen.

  1. Klicken Sie in der Configuration Manager-Konsole auf Softwarebibliothek.

  2. Erweitern Sie im Arbeitsbereich Überwachung die Option Übersicht, und klicken Sie dann auf Bereitstellungen.

  3. Wählen Sie die Bereitstellung aus, und klicken Sie auf der Registerkarte Startseite auf Eigenschaften.

  4. Klicken Sie im Detailbereich für die Bereitstellung unter Zugehörige Objekte auf Anwendungsverwaltungsrichtlinien.

Weitere Informationen zum Überwachen von Anwendungen finden Sie unter Überwachen von Anwendungen in Configuration Manager.

Wie Richtlinienkonflikte gelöst werden

Wenn bei einer Verwaltungsrichtlinie für mobile Anwendungen bei der ersten Bereitstellung für den Benutzer oder das Gerät ein Konflikt auftritt, wird der jeweilige in Konflikt stehende Einstellungswert aus der Richtlinie für die App entfernt, und die App verwendet einen vorgegebenen Konfliktwert.

Wenn bei einer späteren Bereitstellung ein Konflikt in der Verwaltungsrichtlinie für mobile Anwendungen für den Benutzer oder das Gerät auftritt, wird der jeweilige in Konflikt stehende Einstellungswert nicht in der Richtlinie für die App aktualisiert, und die App verwendet den vorhandenen Wert für diese Einstellung.

In Fällen, in denen das Gerät oder der Benutzer zwei in Konflikt stehende Richtlinien erhält, gilt Folgendes:

  • Wenn bereits eine Richtlinie mit dem Gerät bereitgestellt wurde, werden die vorhandenen Richtlinieneinstellungen nicht überschrieben.

  • Wenn keine Richtlinie für das Gerät bereitgestellt wurde und zwei widersprüchliche Einstellungen bereitgestellt werden, wird die in das Gerät integrierte Standardeinstellung verwendet.

Verfügbare richtlinienverwaltete Apps

Eine Liste der richtlinienverwalteten Apps, die für IOS- und Android-Geräte verfügbar sind, finden Sie unter Verwaltete Apps für Microsoft Intune-Verwaltungsrichtlinien für mobile Anwendungen.