App-Schutz Richtlinieneinstellungen für Windows
In diesem Artikel werden app protection policy (APP)-Einstellungen für Windows beschrieben. Die beschriebenen Richtlinieneinstellungen können für eine App-Schutzrichtlinie im Bereich Einstellungen im Intune Admin Center konfiguriert werden, wenn Sie eine neue Richtlinie erstellen.
Sie können den geschützten MAM-Zugriff auf Organisationsdaten über Microsoft Edge auf persönlichen Windows-Geräten aktivieren. Diese Funktion wird als Windows MAM bezeichnet und bietet Funktionen mit Intune Anwendungskonfigurationsrichtlinien (ACP), Intune Application Protection Policies (APP), Windows-Sicherheit Center Client Threat Defense und bedingtem Zugriff auf Anwendungsschutz. Weitere Informationen zu Windows MAM finden Sie unter Datenschutz für Windows MAM, Erstellen einer MTD-App-Schutzrichtlinie für Windows und Konfigurieren von Microsoft Edge für Windows mit Intune.
Es gibt zwei Kategorien von App-Schutzrichtlinieneinstellungen für Windows:
Wichtig
Intune MAM unter Windows unterstützt nicht verwaltete Geräte. Wenn ein Gerät bereits verwaltet ist, wird Intune MAM-Registrierung blockiert, und app-Einstellungen werden nicht angewendet. Wenn ein Gerät nach der MAM-Registrierung verwaltet wird, werden app-Einstellungen nicht mehr angewendet.
Datenschutz
Die Datenschutzeinstellungen wirken sich auf die Organisationsdaten und den Kontext aus. Als Administrator können Sie die Verschiebung von Daten in und aus dem Kontext des Organisationsschutzes steuern. Der Organisationskontext wird durch Dokumente, Dienste und Websites definiert, auf die über das angegebene Organisationskonto zugegriffen wird. Die folgenden Richtlinieneinstellungen helfen beim Steuern externer Daten, die in den Organisationskontext empfangen werden, und Organisationsdaten, die aus dem Organisationskontext gesendet werden.
Datenübertragung
Setting | Anleitung | Standardwert |
---|---|---|
Empfangen von Daten von | Wählen Sie eine der folgenden Optionen aus, um anzugeben, aus welchen Quellen Organisationsbenutzer Daten erhalten können:
|
Alle Quellen |
Senden von Organisationsdaten an | Wählen Sie eine der folgenden Optionen aus, um die Ziele anzugeben, an die Organisationsbenutzer Daten senden können:
|
Alle Ziele |
Ausschneiden, Kopieren und Einfügen für zulassen | Wählen Sie eine der folgenden Optionen aus, um die Quellen und Ziele anzugeben, die Organisationsdaten ausschneiden, kopieren oder einfügen können:
|
Beliebiges Ziel und jede Quelle |
Funktionalität
Setting | Anleitung | Standardwert |
---|---|---|
Organisationsdaten drucken | Wählen Sie Blockieren aus, um das Drucken von Organisationsdaten zu verhindern. Wählen Sie Zulassen aus, um das Drucken von Organisationsdaten zuzulassen. Personenbezogene oder nicht verwaltete Daten sind nicht betroffen. | Zulassen |
Integritätsprüfungen
Legen Sie die Integritätsprüfungsbedingungen für Ihre App-Schutzrichtlinie fest. Wählen Sie eine Einstellung aus, und geben Sie den Wert ein, den Benutzer für den Zugriff auf Ihre Organisationsdaten erfüllen müssen. Wählen Sie dann die Aktion aus, die Sie ausführen möchten, wenn Benutzer Ihre Bedingungen nicht erfüllen. In einigen Fällen können mehrere Aktionen für eine einzelne Einstellung konfiguriert werden. Weitere Informationen finden Sie unter Integritätsprüfungsaktionen.
App-Bedingungen
Konfigurieren Sie die folgenden Integritätsprüfungseinstellungen, um die Anwendungskonfiguration zu überprüfen, bevor Sie den Zugriff auf Organisationskonten und -daten zulassen.
Hinweis
Der Begriff richtlinienverwaltete App bezieht sich auf Apps, die mit App-Schutzrichtlinien konfiguriert sind.
Setting | Anleitung | Standardwert |
---|---|---|
Offline-Toleranzperiode | Die Anzahl der Minuten, die eine richtlinienverwaltete App offline ausführen kann. Geben Sie die Zeit (in Minuten) an, bevor die Zugriffsanforderungen der App erneut überprüft werden. Zu den Aktionen zählen:
|
Zugriff blockieren (Minuten): 720 Minuten (12 Stunden) Daten zurücksetzen (Tage): 90 Tage |
Mindestversion für App | Legen Sie einen Wert für die Mindestversion der Anwendung fest. Zu den Aktionen zählen:
Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt. Diese Richtlinieneinstellung unterstützt übereinstimmende Windows-App-Bündelversionsformate (Hauptversion.Nebenversion oder Hauptversion.Nebenversion.patch). |
Kein Standardwert |
Mindestversion für SDK | Geben Sie einen Mindestwert für die Intune SDK-Version an. Zu den Aktionen zählen:
|
Kein Standardwert |
Deaktiviertes Konto | Geben Sie eine automatisierte Aktion an, wenn das Microsoft Entra Konto für den Benutzer deaktiviert ist. Admin kann nur eine Aktion angeben. Für diese Einstellung gibt es keinen festzulegenden Wert. Zu den Aktionen zählen:
|
Kein Standardwert |
Gerätebedingungen
Konfigurieren Sie die folgenden Integritätsprüfungseinstellungen, um die Gerätekonfiguration zu überprüfen, bevor Sie den Zugriff auf Organisationskonten und -daten zulassen. Ähnliche gerätebasierte Einstellungen können für registrierte Geräte konfiguriert werden. Erfahren Sie mehr über das Konfigurieren von Gerätekonformitätseinstellungen für registrierte Geräte.
Setting | Anleitung | Standardwert |
---|---|---|
Mindestversion für Betriebssystem | Geben Sie ein Windows-Mindestbetriebssystem für die Verwendung dieser App an. Zu den Aktionen zählen:
Dieses Richtlinieneinstellungsformat unterstützt major.minor, major.minor.build oder major.minor.build.revision („Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“). Öffnen Sie eine Eingabeaufforderung, um die Windows-Version zu finden. Die Version wird oben im Eingabeaufforderungsfenster angezeigt. Ein Beispiel für das zu verwendende Versionsformat ist 10.0.22631.3155. Hinweis: Wenn Sie den winver Befehl verwenden, wird nur der Betriebssystembuild (z. B. 22631.3155) angezeigt, bei dem es sich nicht um das richtige Format handelt. |
|
Maximale Betriebssystemversion | Geben Sie ein maximales Windows-Betriebssystem für die Verwendung dieser App an. Zu den Aktionen zählen:
Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt. Dieses Richtlinieneinstellungsformat unterstützt major.minor, major.minor.build oder major.minor.build.revision („Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“). |
|
Maximal zulässige Gerätebedrohungsstufe | App-Schutzrichtlinien können die Vorteile des Intune-MTD-Connectors nutzen. Geben Sie eine maximale Bedrohungsstufe an, die für die Verwendung dieser App zulässig ist. Die Bedrohungen werden von der von Ihnen gewählten MTD-Anwendung (Mobile Threat Defense) des Anbieters auf dem Endbenutzergerät bestimmt. Geben Sie entweder Geschützt, Niedrig, Mittel oder Stark ein.
Geschützt erfordert keine Bedrohungen auf dem Gerät und ist der restriktivste konfigurierbare Wert, während Stark im Wesentlichen eine aktive Verbindung zwischen Intune und MTD erfordert. Zu den Aktionen zählen:
Weitere Informationen zu dieser Einstellung finden Sie unter Aktivieren von MTD auf nicht registrierten Geräten. |
Weitere Informationen
Weitere Informationen zu APP für Windows-Geräte finden Sie in den folgenden Ressourcen:
- Übersicht über App-Schutzrichtlinien
- Datenschutz für Windows MAM
- Erstellen einer MTD-App-Schutzrichtlinie für Windows
- Hinzufügen einer App-Konfigurationsrichtlinie für verwaltete Apps auf Windows-Geräten
- Konfigurieren von Microsoft Edge für Windows mit Intune
- Anfordern einer App-Schutzrichtlinie auf Windows-Geräten