Datenschutz für Windows MAM

Sie können den geschützten MAM-Zugriff (Mobile Application Management) auf Organisationsdaten auf persönlichen Windows-Geräten aktivieren. Diese Funktion verwendet die folgenden Funktionen:

  • Intune Anwendungskonfigurationsrichtlinien (ACP), um die Benutzererfahrung der Organisation anzupassen
  • Intune Anwendungsschutzrichtlinien (APP), um Organisationsdaten zu schützen und sicherzustellen, dass das Clientgerät fehlerfrei ist
  • Windows-Sicherheit Center-Client Threat Defense in Intune APP integriert, um lokale Gesundheitsbedrohungen auf persönlichen Windows-Geräten zu erkennen
  • Bedingter Anwendungsschutzzugriff, um sicherzustellen, dass das Gerät geschützt und fehlerfrei ist, bevor Sie über Microsoft Entra ID

Hinweis

Intune Mobile Application Management (MAM) für Windows ist für Windows 10, Build 19045.3636, KB5031445 oder höher und Windows 11, Build 10.0.22621.2506, KB5031455 (22H2) oder höher verfügbar. Dies umfasst die unterstützenden Änderungen für Microsoft Intune (Release 2309), Microsoft Edge (Stable Branch v117 und höher für Windows 11 und v118.0.2088.71 und höher für Windows 11) und Windows-Sicherheit Center (v1.0.2310.2002 und höher). Bedingter Zugriff auf App-Schutz ist allgemein verfügbar.

Windows MAM wird in Government Cloud-Umgebungen unterstützt. Weitere Informationen finden Sie unter Bereitstellen von Apps mit Intune in den GCC High- und DoD-Umgebungen.

Weitere Informationen zu MAM finden Sie unter Grundlagen der Verwaltung mobiler Anwendungen (MAM).

Hinweis

Der MTD-Connector (Mobile Threat Defense) für die WSC-Komponente (Windows-Sicherheit Center) wird nur unter Windows 11 Version 22631 (23H2) oder höher unterstützt.

Sowohl Endbenutzer als auch Organisationen müssen über geschützten Organisationszugriff von persönlichen Geräten verfügen. Organisationen müssen sicherstellen, dass Unternehmensdaten auf persönlichen, nicht verwalteten Geräten geschützt sind. Als Intune-Administrator sind Sie dafür verantwortlich, zu bestimmen, wie Mitglieder (Endbenutzer) Ihrer organization von einem nicht verwalteten Gerät geschützt auf Unternehmensressourcen zugreifen. Sie müssen beim Zugriff auf Organisationsdaten sicherstellen, dass die nicht verwalteten Geräte fehlerfrei sind, die Anwendungen die Schutzrichtlinien Ihrer organization Daten einhalten und dass die nicht verwalteten Ressourcen des Endbenutzers auf seinem Gerät nicht von den Richtlinien Ihres organization betroffen sind.

Als Intune Administrator benötigen Sie die folgenden App-Verwaltungsfunktionen:

  • Möglichkeit zum Bereitstellen von App-Schutzrichtlinien für Apps/Benutzer, die durch das Intune APP SDK geschützt werden, einschließlich der folgenden:
    • Datenschutzeinstellungen
    • Einstellungen für Integritätsprüfungen (auch bekannt als bedingter Start)
  • Möglichkeit zum Anfordern von App-Schutzrichtlinien über bedingten Zugriff
  • Möglichkeit, eine zusätzliche Überprüfung der Clientintegrität über Windows-Sicherheit Center durchzuführen, indem Sie wie folgt vorgehen:
    • Festlegen der Windows-Sicherheit Center-Risikostufe, um Endbenutzern den Zugriff auf Unternehmensressourcen zu ermöglichen
    • Einrichten des mandantenbasierten Connectors für Microsoft Intune für Windows-Sicherheit Center
  • Möglichkeit zum Bereitstellen eines selektiven Zurücksetzungsbefehls für geschützte Anwendungen

Mitglieder Ihrer organization (Endbenutzer) erwarten, dass sie über die folgenden Funktionen für ihre Konten verfügen:

  • Möglichkeit zum Anmelden bei Microsoft Entra ID für den Zugriff auf Websites, die durch bedingten Zugriff geschützt sind
  • Möglichkeit, die Integrität status des Clientgeräts zu überprüfen, wenn ein Gerät als fehlerhaft eingestuft wird
  • Möglichkeit, den Zugriff auf Ressourcen zu widerrufen, wenn ein Gerät fehlerhaft bleibt
  • Möglichkeit zur Information mit klaren Korrekturschritten, wenn der Zugriff durch eine Administratorrichtlinie gesteuert wird

Hinweis

Informationen zu Microsoft Entra ID finden Sie unter Anfordern einer App-Schutzrichtlinie auf Windows-Geräten.

Kompatibilität mit bedingtem Zugriff

Die Verhinderung von Datenverlust ist ein Teil des Schutzes Ihrer Unternehmensdaten. Die Verhinderung von Datenverlust (Data Loss Prevention, DLP) ist nur wirksam, wenn auf Ihre Organisationsdaten von keinem ungeschützten System oder Gerät aus zugegriffen werden kann. Der bedingte Zugriff für den App-Schutz verwendet bedingten Zugriff (Conditional Access, CA), um sicherzustellen, dass App-Schutzrichtlinien (APP) in einer Clientanwendung unterstützt und erzwungen werden, bevor der Zugriff auf geschützte Ressourcen (z. B. Organisationsdaten) zugelassen wird. App Ca ermöglicht Endbenutzern mit persönlichen Windows-Geräten die Verwendung von APP verwalteten Anwendungen, einschließlich Microsoft Edge, für den Zugriff auf Microsoft Entra Ressourcen, ohne ihr persönliches Gerät vollständig zu verwalten.

Dieser MAM-Dienst synchronisiert den Konformitätsstatus pro Benutzer, pro App und pro Gerät mit dem Microsoft Entra ZS-Dienst. Dies schließt die Bedrohungsinformationen ein, die von den Anbietern von Mobile Threat Defense (MTD) ab Windows-Sicherheit Center empfangen werden.

Hinweis

Dieser MAM-Dienst verwendet denselben Workflow für die Compliance für bedingten Zugriff, der für die Verwaltung von Microsoft Edge auf iOS- und Android-Geräten verwendet wird.

Wenn eine Änderung erkannt wird, aktualisiert der MAM-Dienst den Gerätekonformitätsstatus sofort. Der Dienst schließt auch den MTD-Integritätsstatus als Teil des Konformitätszustands ein.

Hinweis

Der MAM-Dienst wertet den MTD-Status im Dienst aus. Dies erfolgt unabhängig vom MAM-Client und der Clientplattform.

Der MAM-Client kommuniziert den Integritätszustand des Clients (oder Die Integritätsmetadaten) beim Einchecken an den MAM-Dienst. Der Integritätszustand umfasst alle Fehler von APP-Integritätsprüfungen für Block- oder Wipe-Bedingungen . Darüber hinaus führt Microsoft Entra ID Endbenutzer durch Korrekturschritte, wenn sie versuchen, auf eine blockierte Zertifizierungsstelle-Ressource zuzugreifen.

Kompatibilität mit bedingtem Zugriff

Organisationen können Microsoft Entra Richtlinien für bedingten Zugriff verwenden, um sicherzustellen, dass Benutzer nur mit richtlinienverwalteten Anwendungen unter Windows auf Geschäfts-, Schul- oder Uniinhalte zugreifen können. Dazu benötigen Sie eine Richtlinie für bedingten Zugriff, die für alle potenziellen Benutzer gilt. Führen Sie die Schritte unter Anfordern einer App-Schutzrichtlinie auf Windows-Geräten aus, die Microsoft Edge für Windows zulässt, aber andere Webbrowser daran hindert, eine Verbindung mit Microsoft 365-Endpunkten herzustellen.

Mit dem bedingten Zugriff können Sie auch lokale Sites als Ziel verwenden, die Sie über den Microsoft Entra-Anwendungsproxy für externe Benutzer verfügbar gemacht haben.

Threat Defense Health

Die Integrität status eines persönlichen Geräts wird überprüft, bevor der Zugriff auf Ihre Organisationsdaten zugelassen wird. Die MAM-Bedrohungserkennung kann mit Windows-Sicherheit Center verbunden werden. Windows-Sicherheit Center bietet eine Bewertung der Clientgeräteintegrität für Intune APP über einen Dienst-zu-Dienst-Connector. Diese Bewertung unterstützt die Steuerung des Flusses und den Zugriff auf Organisationsdaten auf persönlichen, nicht verwalteten Geräten.

Der Integritätszustand enthält die folgenden Details:

  • Benutzer-, App- und Gerätebezeichner
  • Ein vordefinierter Integritätszustand
  • Der Zeitpunkt der letzten Aktualisierung des Integritätszustands

Der Integritätsstatus wird nur für MAM-registrierte Benutzer gesendet. Endbenutzer können das Senden von Daten beenden, indem sie sich von ihrem Organisationskonto in geschützten Anwendungen abmelden. Administratoren können das Senden von Daten beenden, indem sie den Windows-Sicherheit Connector aus Microsoft Intune entfernen.

Weitere Informationen finden Sie unter Erstellen einer MTD-App-Schutzrichtlinie für Windows.

Intune-App-Schutzrichtlinien erstellen

App-Schutzrichtlinien (App Protection Policies, APP) definieren, welche Apps zulässig sind und die Aktionen, die diese Apps mit den Unternehmensdaten ausführen kann. Die in APP verfügbaren Optionen ermöglichen Organisationen, den Schutz an ihre speziellen Anforderungen anzupassen. Für einige Organisationen ist es jedoch möglicherweise nicht offensichtlich, welche Richtlinieneinstellungen genau erforderlich sind, um ein vollständiges Szenario zu implementieren.

Als Administrator können Sie konfigurieren, wie Daten durch APP geschützt werden. Diese Konfiguration gilt für die native Interaktion der Windows-Anwendung mit den Daten. APP-Einstellungen sind in drei Kategorien unterteilt:

  • Datenschutz : Diese Einstellungen steuern, wie Daten in und aus einem Organisationskontext (Konto, Dokument, Standort, Dienste) für den Benutzer verschoben werden können.
  • Integritätsprüfungen (bedingter Start): Diese Einstellungen steuern die Gerätebedingungen, die für den Zugriff auf Organisationsdaten erforderlich sind, und die Wartungsaktionen, wenn die Bedingungen nicht erfüllt sind.

Damit Organisationen die Härtung von Clientendpunkten priorisieren können, hat Microsoft die Taxonomie für das APP-Datenschutzframework für die Verwaltung mobiler Apps eingeführt.

Die spezifischen Empfehlungen für jede Konfigurationsebene sowie die minimalen zu schützenden Apps finden Sie unter Datenschutzframework mithilfe von App-Schutzrichtlinien.

Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter Einstellungen für Windows-App-Schutzrichtlinien.

Nächste Schritte