App-Schutzrichtlinieneinstellungen für Windows

In diesem Artikel werden app protection policy (APP)-Einstellungen für Windows beschrieben. Die beschriebenen Richtlinieneinstellungen können für eine App-Schutzrichtlinie im Bereich Einstellungen im Intune Admin Center konfiguriert werden, wenn Sie eine neue Richtlinie erstellen.

Sie können den geschützten MAM-Zugriff auf Organisationsdaten über Microsoft Edge auf persönlichen Windows-Geräten aktivieren. Diese Funktion wird als Windows MAM bezeichnet und bietet Funktionen mit Intune Application Configuration Policies (ACP), Intune Application Protection Policies (APP), Windows Security Center Client Threat Defense und Application Protection Conditional Access. Weitere Informationen zu Windows MAM finden Sie unter Datenschutz für Windows MAM, Erstellen einer MTD-App-Schutzrichtlinie für Windows und Konfigurieren von Microsoft Edge für Windows mit Intune.

Es gibt zwei Kategorien von App-Schutzrichtlinieneinstellungen für Windows:

Wichtig

Intune MAM unter Windows unterstützt nicht verwaltete Geräte. Wenn ein Gerät bereits verwaltet wird, wird die Intune MAM-Registrierung blockiert, und app-Einstellungen werden nicht angewendet. Wenn ein Gerät nach der MAM-Registrierung verwaltet wird, werden app-Einstellungen nicht mehr angewendet.

Datenschutz

Die Datenschutzeinstellungen wirken sich auf die Organisationsdaten und den Kontext aus. Als Administrator können Sie die Verschiebung von Daten in und aus dem Kontext des Organisationsschutzes steuern. Der Organisationskontext wird durch Dokumente, Dienste und Websites definiert, auf die über das angegebene Organisationskonto zugegriffen wird. Die folgenden Richtlinieneinstellungen helfen beim Steuern externer Daten, die in den Organisationskontext empfangen werden, und Organisationsdaten, die aus dem Organisationskontext gesendet werden.

Datenübertragung

Setting Anleitung Standardwert
Empfangen von Daten von Wählen Sie eine der folgenden Optionen aus, um anzugeben, aus welchen Quellen Organisationsbenutzer Daten erhalten können:
  • Alle Quellen: Organisationsbenutzer können Daten von jedem Konto, Dokument, Standort oder Anwendung im Organisationskontext öffnen.
  • Keine Quellen: Organisationsbenutzer können keine Daten aus externen Konten, Dokumenten, Speicherorten oder Anwendungen im Organisationskontext öffnen. HINWEIS: Für Microsoft Edge steuert No sources (Keine Quellen ) das Dateiuploadverhalten entweder per Ziehen und Ablegen oder über das Dialogfeld zum Öffnen der Datei. Das Anzeigen und Freigeben von Dateien für lokale Dateien zwischen Websites/Registerkarten wird blockiert.


Alle Quellen
Senden von Organisationsdaten an Wählen Sie eine der folgenden Optionen aus, um die Ziele anzugeben, an die Organisationsbenutzer Daten senden können:
  • Alle Ziele: Organisationsbenutzer können Organisationsdaten an beliebige Konten, Dokumente, Standorte oder Anwendungen senden.
  • Keine Ziele: Organisationsbenutzer können keine Organisationsdaten aus dem Organisationskontext an externe Konten, Dokumente, Speicherorte oder Anwendungen senden. HINWEIS: Für Microsoft Edge blockiert Keine Ziele den Download von Dateien. Dies bedeutet, dass die Freigabe von Dateien zwischen Websites/Registerkarten blockiert wird.


Alle Ziele
Ausschneiden, Kopieren und Einfügen für zulassen Wählen Sie eine der folgenden Optionen aus, um die Quellen und Ziele anzugeben, die Organisationsdaten ausschneiden, kopieren oder einfügen können:
  • Beliebiges Ziel und beliebige Quelle: Organisationsbenutzer können Daten aus einem beliebigen Konto, Dokument, Speicherort oder anwendung einfügen und daten ausschneiden/kopieren.
  • Kein Ziel oder Quelle: Organisationsbenutzer können keine Daten aus oder aus externen Konten, Dokumenten, Speicherorten oder Anwendungen aus oder aus dem Organisationskontext ausschneiden, kopieren oder einfügen. HINWEIS: Für Microsoft Edge : Keine Ziel- oder Quellblöcke ausschneiden, kopieren und einfügen nur innerhalb des Webinhalts. Ausschneiden, Kopieren und Einfügen sind für alle Webinhalte deaktiviert, jedoch nicht für Anwendungssteuerelemente, einschließlich der Adressleiste.


Beliebiges Ziel und jede Quelle

Funktionalität

Setting Anleitung Standardwert
Organisationsdaten drucken Wählen Sie Blockieren aus, um das Drucken von Organisationsdaten zu verhindern. Wählen Sie Zulassen aus, um das Drucken von Organisationsdaten zuzulassen. Personenbezogene oder nicht verwaltete Daten sind nicht betroffen. Zulassen

Integritätsprüfungen

Legen Sie die Integritätsprüfungsbedingungen für Ihre App-Schutzrichtlinie fest. Wählen Sie eine Einstellung aus, und geben Sie den Wert ein, den Benutzer für den Zugriff auf Ihre Organisationsdaten erfüllen müssen. Wählen Sie dann die Aktion aus, die Sie ausführen möchten, wenn Benutzer Ihre Bedingungen nicht erfüllen. In einigen Fällen können mehrere Aktionen für eine einzelne Einstellung konfiguriert werden. Weitere Informationen finden Sie unter Integritätsprüfungsaktionen.

App-Bedingungen

Konfigurieren Sie die folgenden Integritätsprüfungseinstellungen, um die Anwendungskonfiguration zu überprüfen, bevor Sie den Zugriff auf Organisationskonten und -daten zulassen.

Hinweis

Der Begriff richtlinienverwaltete App bezieht sich auf Apps, die mit App-Schutzrichtlinien konfiguriert sind.

Setting Anleitung Standardwert
Offline-Toleranzperiode Die Anzahl der Minuten, die eine richtlinienverwaltete App offline ausführen kann. Geben Sie die Zeit (in Minuten) an, bevor die Zugriffsanforderungen der App erneut überprüft werden.

Zu den Aktionen zählen:

  • Zugriff blockieren (Minuten): Die Anzahl der Minuten, die richtlinienverwaltete Apps offline ausgeführt werden können. Geben Sie die Zeit (in Minuten) an, bevor die Zugriffsanforderungen der App erneut überprüft werden. Nach Ablauf des konfigurierten Zeitraums blockiert die App den Zugriff auf Geschäfts-, Schul- oder Unidaten, bis der Netzwerkzugriff verfügbar ist. Der Timer für die Offline-Toleranzperiode für das Blockieren des Datenzugriffs wird basierend auf dem letzten Einchecken beim Intune-Dienst berechnet. Dieses Richtlinieneinstellungsformat unterstützt eine positive ganze Zahl.
  • Daten zurücksetzen (Tage): Nach dieser Anzahl von Tagen (die vom Administrator definiert sind) der Offlineausführung erfordert die App, dass der Benutzer eine Verbindung mit dem Netzwerk herstellt und sich erneut authentifiziert. Wenn sich Benutzer erfolgreich authentifiziert haben, können sie weiterhin auf ihre Daten zugreifen, und das Offline-Intervall wird zurückgesetzt. Wenn sich der Benutzer nicht authentifizieren kann, führt die App eine selektive Zurücksetzung des Benutzerkontos und der -daten durch. Weitere Informationen darüber, welche Daten mit dem selektiven Zurücksetzen entfernt werden, finden Sie unter Löschen nur von Unternehmensdaten in einer in Intune verwalteten App. Der Timer für die Offline-Toleranzperiode für das Zurücksetzen von Daten wird von der App basierend auf dem letzten Einchecken beim Intune-Dienst berechnet. Dieses Richtlinieneinstellungsformat unterstützt eine positive ganze Zahl.
Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt.

Zugriff blockieren (Minuten): 720 Minuten (12 Stunden)

Daten zurücksetzen (Tage): 90 Tage

Mindestversion für App Legen Sie einen Wert für die Mindestversion der Anwendung fest.

Zu den Aktionen zählen:

  • Warnung: Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die App-Version auf dem Gerät die Anforderung nicht erfüllt. Diese Benachrichtigung kann verworfen werden.
  • Zugriff blockieren: Der Zugriff durch den Benutzer wird blockiert, wenn die App-Version auf dem Gerät die Anforderung nicht erfüllt.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.
Da Apps häufig über unterschiedliche Versionsverwaltungsschemas verfügen, erstellen Sie eine Richtlinie mit einer App-Mindestversion für eine App.

Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt.

Diese Richtlinieneinstellung unterstützt übereinstimmende Windows-App-Bündelversionsformate (Hauptversion.Nebenversion oder Hauptversion.Nebenversion.patch).
Kein Standardwert
Mindestversion für SDK Geben Sie einen Mindestwert für die Intune SDK-Version an.

Zu den Aktionen zählen:

  • Zugriff blockieren: Der Zugriff des Benutzers wird blockiert, wenn die Version des Intune-SDKs für App-Schutzrichtlinien der App die Anforderung nicht erfüllt.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.
Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt.
Kein Standardwert
Deaktiviertes Konto Geben Sie eine automatisierte Aktion an, wenn das Microsoft Entra-Konto für den Benutzer deaktiviert ist. Der Administrator darf nur eine Aktion angeben. Für diese Einstellung gibt es keinen festzulegenden Wert. Zu den Aktionen zählen:
  • Zugriff blockieren : Wenn wir bestätigt haben, dass der Benutzer in Microsoft Entra ID deaktiviert wurde, blockiert die App den Zugriff auf Geschäfts-, Schul- oder Unidaten.
  • Daten zurücksetzen : Wenn wir bestätigt haben, dass der Benutzer in microsoft Entra ID deaktiviert wurde, führt die App eine selektive Zurücksetzung des Kontos und der Daten des Benutzers durch.
ANMERKUNG: Wenn der Benutzerstatus aufgrund von Konnektivität, Authentifizierung oder einem anderen Grund nicht bestätigt werden kann, werden diese Aktionen (Zugriff blockieren und Daten zurücksetzen) nicht erzwungen.
Kein Standardwert

Gerätebedingungen

Konfigurieren Sie die folgenden Integritätsprüfungseinstellungen, um die Gerätekonfiguration zu überprüfen, bevor Sie den Zugriff auf Organisationskonten und -daten zulassen. Ähnliche gerätebasierte Einstellungen können für registrierte Geräte konfiguriert werden. Erfahren Sie mehr über das Konfigurieren von Gerätekonformitätseinstellungen für registrierte Geräte.

Setting Anleitung Standardwert
Mindestversion für Betriebssystem Geben Sie ein Windows-Mindestbetriebssystem für die Verwendung dieser App an.

Zu den Aktionen zählen:

  • Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die Windows-Version auf dem Gerät die Anforderung nicht erfüllt. Diese Benachrichtigung kann verworfen werden.
  • Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn die Windows-Version auf dem Gerät diese Anforderung nicht erfüllt.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.
Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt.

Dieses Richtlinieneinstellungsformat unterstützt major.minor, major.minor.build oder major.minor.build.revision („Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“).

Öffnen Sie eine Eingabeaufforderung, um die Windows-Version zu finden. Die Version wird oben im Eingabeaufforderungsfenster angezeigt. Ein Beispiel für das zu verwendende Versionsformat ist 10.0.22631.3155. Hinweis: Wenn Sie den winver Befehl verwenden, wird nur der Betriebssystembuild (z. B. 22631.3155) angezeigt, bei dem es sich nicht um das richtige Format handelt.
Maximale Betriebssystemversion Geben Sie ein maximales Windows-Betriebssystem für die Verwendung dieser App an.

Zu den Aktionen zählen:

  • Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die Windows-Version auf dem Gerät die Anforderung nicht erfüllt. Diese Benachrichtigung kann verworfen werden.
  • Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn die Windows-Version auf dem Gerät diese Anforderung nicht erfüllt.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.

Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt.

Dieses Richtlinieneinstellungsformat unterstützt major.minor, major.minor.build oder major.minor.build.revision („Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“).
Maximal zulässige Gerätebedrohungsstufe App-Schutzrichtlinien können die Vorteile des Intune-MTD-Connectors nutzen. Geben Sie eine maximale Bedrohungsstufe an, die für die Verwendung dieser App zulässig ist. Die Bedrohungen werden von der von Ihnen gewählten MTD-Anwendung (Mobile Threat Defense) des Anbieters auf dem Endbenutzergerät bestimmt. Geben Sie entweder Geschützt, Niedrig, Mittel oder Stark ein. Geschützt erfordert keine Bedrohungen auf dem Gerät und ist der restriktivste konfigurierbare Wert, während Stark im Wesentlichen eine aktive Verbindung zwischen Intune und MTD erfordert.

Zu den Aktionen zählen:

  • Zugriff blockieren: Der Benutzer wird für den Zugriff gesperrt, wenn die von der von Ihnen gewählten Mobile Threat Defense-App des Anbieters auf dem Benutzerendgerät festgelegte Bedrohungsstufe diese Anforderung nicht erfüllt.
  • Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.

Weitere Informationen zu dieser Einstellung finden Sie unter Aktivieren von MTD auf nicht registrierten Geräten.

Weitere Informationen

Weitere Informationen zu APP für Windows-Geräte finden Sie in den folgenden Ressourcen: