Erzwingen der Gerätesicherheitscompliance für die Windows App mit Microsoft Intune und Microsoft Entra Conditional Access

Sie können eine Kombination aus Microsoft Intune und Microsoft Entra Conditional Access verwenden, um zu verlangen, dass die Geräte der Benutzer Ihre spezifischen Sicherheitsanforderungen erfüllen, bevor sie eine Verbindung mit Azure Virtual Desktop, Windows 365 und Microsoft Dev Box herstellen können. Mit diesem Ansatz können Sie Sicherheitsanforderungen für Windows-Apps in den folgenden Szenarien erzwingen:

Geräteplattform	Intune-Geräteverwaltung
iOS/iPadOS	Verwaltet oder nicht verwaltet
Android¹	Verwaltet oder nicht verwaltet
Webbrowser (nur Microsoft Edge unter Windows)	Nur nicht verwaltet

Umfasst keine Unterstützung für ChromeOS

Informationen zur Verwendung von App-Schutzrichtlinien mit verwalteten und nicht verwalteten Geräten finden Sie unter Ziel-App-Schutzrichtlinien basierend auf dem Geräteverwaltungsstatus.

Einige der Richtlinieneinstellungen, die Sie erzwingen können, umfassen das Anfordern einer PIN, eine bestimmte Betriebssystemversion, das Blockieren von Tastaturen von Drittanbietern und das Einschränken von Ausschneiden-, Kopier- und Einfügevorgängen zwischen anderen Apps auf lokalen Clientgeräten. Die vollständige Liste der verfügbaren Einstellungen finden Sie unter "Bedingter Start" in den iOS-App-Schutzrichtlinieneinstellungen und "Bedingter Start" in den Android-App-Schutzrichtlinieneinstellungen.

Nachdem Sie Sicherheitsanforderungen festgelegt haben, können Sie auch verwalten, ob auf iOS/iPadOS- und Android-Geräten ihre lokalen Ressourcen wie Kameras, Mikrofone, Speicher und die Zwischenablage an eine Remotesitzung umgeleitet werden. Die Erfüllung der Compliance-Anforderungen für die lokale Gerätesicherheit ist eine Voraussetzung für die Verwaltung der lokalen Geräteumleitungseinstellungen. Weitere Informationen zum Verwalten lokaler Geräteumleitungseinstellungen finden Sie unter Verwalten der Einstellungen für die lokale Geräteumleitung mit Microsoft Intune.

Auf hoher Ebene gibt es zwei Zu konfigurierende Bereiche:

Intune-App-Schutzrichtlinie: Wird verwendet, um Sicherheitsanforderungen anzugeben, die die Anwendung und das lokale Clientgerät erfüllen müssen. Sie können Filter verwenden, um Benutzer basierend auf bestimmten Kriterien anzusprechen.
Richtlinie für bedingten Zugriff: Wird verwendet, um den Zugriff auf Azure Virtual Desktop und Windows 365 nur zu steuern, wenn die in App-Schutzrichtlinien festgelegten Kriterien erfüllt sind.

Voraussetzungen

Bevor Sie die Einhaltung der Sicherheitsrichtlinien für lokale Clientgeräte unter Verwendung von Intune und bedingtem Zugriff anfordern können, benötigen Sie Folgendes:

Einen vorhandenen Hostpool mit Sitzungshosts, oder Cloud-PCs
Mindestens eine Microsoft Entra-ID-Sicherheitsgruppe, die Benutzer enthält, auf die die Richtlinien angewendet werden.
Nur für verwaltete Geräte müssen Sie jede der folgenden Apps hinzufügen, die Sie in Intune verwenden möchten:
- Informationen zu Windows-Apps unter iOS/iPadOS finden Sie unter Hinzufügen von iOS Store-Apps zu Microsoft Intune.
- Informationen zu Microsoft Edge unter Windows finden Sie unter Hinzufügen von Microsoft Edge für Windows 10/11 zu Microsoft Intune.
Ein lokales Clientgerät, auf dem eine der folgenden Versionen von Windows-Apps ausgeführt wird oder Windows-App in Microsoft Edge verwendet wird:
- Windows-App:
  - iOS/iPadOS: 11.1.1 oder höher.
  - Android 1.0.0.161 oder höher.
- Microsoft Edge unter Windows: 134.0.3124.51 oder höher.
Außerdem benötigen Sie auf dem lokalen Clientgerät die neueste Version von:
- iOS/iPadOS: Microsoft Authenticator-App
- Android: Unternehmensportal-App, installiert im selben Profil wie Windows App für persönliche Geräte. Beide Apps müssen sich entweder in einem persönlichen Profil oder in einem Arbeitsprofil befinden, nicht in beiden Profilen.
Es gibt weitere Intune-Voraussetzungen für die Konfiguration von App-Schutzrichtlinien und Richtlinien für bedingten Zugriff. Weitere Informationen finden Sie unter:
- Erstellen und Zuweisen von App-Schutzrichtlinien
- Verwenden Sie App-basierte bedingte Zugriffsrichtlinien mit Intune

Erstellen eines Filters

Durch das Erstellen eines Filters können Sie Richtlinieneinstellungen nur anwenden, wenn die im Filter festgelegten Kriterien übereinstimmen, sodass Sie den Zuordnungsbereich einer Richtlinie einschränken können. Mit der Windows-App können Sie die folgenden Filter verwenden:

iOS/iPadOS:
- Erstellen Sie einen Filter für verwaltete Apps auf nicht verwalteten und verwalteten Geräten.
- Erstellen Sie einen Filter für verwaltete Geräte.
Android:
- Erstellen Sie einen Filter für verwaltete Apps auf nicht verwalteten und verwalteten Geräten.
Windows: Filter gelten nicht für Microsoft Edge unter Windows.

Verwenden Sie Filter, um den Zuordnungsbereich einer Richtlinie einzuschränken. Das Erstellen eines Filters ist optional; Wenn Sie keinen Filter konfigurieren, gelten die gleichen Gerätesicherheitscompliance- und Geräteumleitungseinstellungen für einen Benutzer, unabhängig davon, ob er sich auf einem verwalteten oder nicht verwalteten Gerät befindet. Was Sie in einem Filter angeben, hängt von Ihren Anforderungen ab.

Informationen zu Filtern und deren Erstellung finden Sie unter Verwenden von Filtern beim Zuweisen Ihrer Apps, Richtlinien und Profile in Microsoft Intune und Filtereigenschaften für verwaltete Apps.

Erstellen einer App-Schutzrichtlinie

Mit App-Schutzrichtlinien können Sie steuern, wie Apps und Geräte auf Daten zugreifen und diese freigeben. Sie müssen eine separate App-Schutzrichtlinie für iOS/iPadOS, Android und Microsoft Edge unter Windows erstellen. Konfigurieren Sie nicht sowohl iOS/iPadOS als auch Android in derselben App-Schutzrichtlinie, wie Sie die Richtlinienadressierung nicht basierend auf verwalteten und nicht verwalteten Geräten konfigurieren können.

Wählen Sie den entsprechenden Tab aus.

Um eine App-Schutzrichtlinie zu erstellen und anzuwenden, führen Sie die Schritte zum Erstellen und Zuweisen von App-Schutzrichtlinien aus, und verwenden Sie die folgenden Einstellungen:

Erstellen Sie eine App-Schutzrichtlinie für iOS/iPadOS.
Wählen Sie auf der Registerkarte "Apps " die Option "Öffentliche Apps auswählen", suchen Sie nach und wählen Sie "Windows-App" und dann " Auswählen" aus.

Auf der Registerkarte "Datenschutz " sind nur die folgenden Einstellungen für Die Windows-App relevant. Die anderen Einstellungen gelten nicht, da Die Windows-App mit dem Sitzungshost interagiert und nicht mit Daten in der App. Auf mobilen Geräten sind nicht genehmigte Tastaturen eine Quelle für die Tastaturprotokollierung und den Datendiebstahl.

Sie können die folgenden Einstellungen konfigurieren:

Parameter	Wert/Beschreibung
Datenübertragung
Senden von Organisationsdaten an andere Apps	Auf "Keine" festgelegt, um den Bildschirmaufnahmeschutz zu aktivieren. Weitere Informationen zum Schutz der Bildschirmaufnahme in Azure Virtual Desktop finden Sie unter Aktivieren des Bildschirmaufnahmeschutzes in Azure Virtual Desktop.
Ausschneiden, Kopieren und Einfügen mit anderen Apps einschränken	Stellen Sie "Blockiert" ein, um die Umleitung der Zwischenablage zwischen der Windows-Anwendung und dem lokalen Gerät zu deaktivieren. Verwenden Sie diese Option zusammen mit dem Deaktivieren der Umleitung der Zwischenablage in einer App-Konfigurationsrichtlinie.
Tastaturen von Drittanbietern	Auf "Blockiert " festgelegt, um Tastaturen von Drittanbietern zu blockieren.

Auf der Registerkarte Bedingter Start wird empfohlen, die folgenden Bedingungen hinzuzufügen:

Zustand	Bedingungstyp	Wert	Maßnahme
Mindestversion für App	App-Bedingung	Basierend auf Ihren Anforderungen. Geben Sie eine Versionsnummer für Windows-App unter iOS/iPadOS ein.	Zugriff blockieren
Mindestversion für Betriebssystem	Gerätezustand	Basierend auf Ihren Anforderungen.	Zugriff blockieren
Primärer MTD-Dienst	Gerätezustand	Basierend auf Ihren Anforderungen. Ihr MTD-Connector muss eingerichtet sein. Konfigurieren von Microsoft Defender for Endpoint in Intune für Microsoft Defender for Endpoint.	Zugriff blockieren
Maximal zulässige Gerätebedrohungsstufe	Gerätezustand	Gesichert	Zugriff blockieren

Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter " Bedingter Start" in den iOS-App-Schutzrichtlinieneinstellungen.

Weisen Sie auf der Registerkarte Aufgaben die Richtlinie Ihrer Sicherheitsgruppe mit den Benutzenden zu, auf die Sie die Richtlinie anwenden möchten. Sie müssen die Richtlinie auf eine Gruppe von Benutzern anwenden, damit die Richtlinie wirksam wird. Für jede Gruppe können Sie optional einen Filter auswählen, um die Richtlinie für die App-Konfiguration zielgerichteter anzuwenden.

Um eine App-Schutzrichtlinie zu erstellen und anzuwenden, führen Sie die Schritte zum Erstellen und Zuweisen von App-Schutzrichtlinien aus, und verwenden Sie die folgenden Einstellungen:

Erstellen Sie eine App-Schutzrichtlinie für Android.
Wählen Sie auf der Registerkarte "Apps " die Option "Öffentliche Apps auswählen", suchen Sie nach und wählen Sie "Windows-App" und dann " Auswählen" aus.

Sie können die folgenden Einstellungen konfigurieren:

Parameter	Wert/Beschreibung
Datenübertragung
Ausschneiden, Kopieren und Einfügen mit anderen Apps einschränken	Stellen Sie "Blockiert" ein, um die Umleitung der Zwischenablage zwischen der Windows-Anwendung und dem lokalen Gerät zu deaktivieren. Verwenden Sie diese Option zusammen mit dem Deaktivieren der Umleitung der Zwischenablage in einer App-Konfigurationsrichtlinie.
Bildschirmaufnahme und Google Assistant	Legen Sie " Blockieren " fest, um den Schutz der Bildschirmaufnahme und den Google-Assistenten zu blockieren. Weitere Informationen zum Schutz der Bildschirmaufnahme in Azure Virtual Desktop finden Sie unter Aktivieren des Bildschirmaufnahmeschutzes in Azure Virtual Desktop.
Genehmigte Tastaturen	Legen Sie Tastaturen fest, die aus der Liste genehmigt werden sollen, oder fügen Sie benutzerdefinierte Einträge hinzu.

Auf der Registerkarte Bedingter Start wird empfohlen, die folgenden Bedingungen hinzuzufügen:

Zustand	Bedingungstyp	Wert	Maßnahme
Mindestversion für App	App-Bedingung	Basierend auf Ihren Anforderungen. Geben Sie eine Versionsnummer für Windows-App unter Android ein.	Zugriff blockieren
Mindestversion für Betriebssystem	Gerätezustand	Basierend auf Ihren Anforderungen.	Zugriff blockieren
Primärer MTD-Dienst	Gerätezustand	Basierend auf Ihren Anforderungen. Ihr MTD-Connector muss eingerichtet sein. Konfigurieren von Microsoft Defender for Endpoint in Intune für Microsoft Defender for Endpoint.	Zugriff blockieren
Maximal zulässige Gerätebedrohungsstufe	Gerätezustand	Gesichert	Zugriff blockieren

Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter " Bedingter Start" in den Richtlinieneinstellungen des Android-App-Schutzes.

Weisen Sie auf der Registerkarte Aufgaben die Richtlinie Ihrer Sicherheitsgruppe mit den Benutzenden zu, auf die Sie die Richtlinie anwenden möchten. Sie müssen die Richtlinie auf eine Gruppe von Benutzern anwenden, damit die Richtlinie wirksam wird. Für jede Gruppe können Sie optional einen Filter auswählen, um die Richtlinie für die App-Konfiguration zielgerichteter anzuwenden.

So erstellen und anwenden Sie eine App-Schutzrichtlinie für Microsoft Edge unter Windows:

Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie "Apps" und dann unter " Apps verwalten" die Option "Schutz" aus.
Wählen Sie "Erstellen" und dann "Windows" aus. Der Bereich Richtlinie erstellen wird angezeigt.
Füllen Sie auf der Registerkarte " Grundlagen " die folgenden Informationen aus:

Parameter Wert/Beschreibung

Name Geben Sie einen Namen für diese App-Schutzrichtlinie ein.

BESCHREIBUNG Geben Sie optional eine Beschreibung ein.

Nachdem Sie diese Registerkarte abgeschlossen haben, wählen Sie "Weiter" aus.
Wählen Sie auf der Registerkarte "Apps " die Option "Apps auswählen" aus. Suchen Sie im daraufhin geöffneten Bereich nach Microsoft Edge, und wählen Sie dann "Auswählen" aus. Sobald Microsoft Edge in Ihrer Liste der ausgewählten Apps aufgeführt ist, wählen Sie "Weiter" aus.

Parameter	Wert/Beschreibung
Name	Geben Sie einen Namen für diese App-Schutzrichtlinie ein.
BESCHREIBUNG	Geben Sie optional eine Beschreibung ein.

Auf der Registerkarte "Datenschutz " können Sie die folgenden Einstellungen konfigurieren:

Parameter	Wert/Beschreibung
Datenübertragung
Empfangen von Daten von	Legen Sie auf "Keine Quellen " fest, um die Laufwerkumleitung von der Windows-App zu deaktivieren. Außerdem muss Organisationsdaten senden an konfiguriert werden.
Senden von Organisationsdaten an	Legen Sie auf "Keine Ziele " fest, um die Laufwerkumleitung zu Windows-App zu deaktivieren. Außerdem muss "Empfangen von Daten von" konfiguriert werden.
Ausschneiden, Kopieren und Einfügen für zulassen	Legen Sie auf "Kein Ziel oder Quelle" fest, um die Umleitung der Zwischenablage zwischen der Windows-App und dem lokalen Gerät zu deaktivieren.
Funktionalität
Drucken von Organisationsdaten	Legen Sie diesen Wert auf "Blockieren " fest, um das Drucken von Windows-Apps zu verhindern.

Hinweis

Dieses Szenario zielt auf Windows-App im Webbrowser mit Microsoft Edge mithilfe einer App-Schutzrichtlinie ab, die sich von der Verwendung der systemeigenen Versionen der Windows-App unterscheidet.

Sie können die Laufwerkumleitung nicht zulassen und den Druck blockieren. Das Drucken aus einer webbasierten Remotesitzung basiert auf den Einstellungen für die Datenübertragung. Sie können andere Methoden verwenden, um das Drucken zu blockieren, z. B. Azure Virtual Desktop-Hostpooleinstellungen oder das Konfigurieren von Sitzungshosts oder Cloud-PCs anstelle des lokalen Geräts. Alternativ können Sie eine der systemeigenen installierten Versionen der Windows-App verwenden. Weitere Informationen finden Sie unter Konfigurieren der Druckerumleitung über das Remotedesktopprotokoll.
Sie können die Laufwerkumleitung blockieren und das Drucken zulassen.

Es wird empfohlen, auf der Registerkarte Integritätsprüfungen die folgenden Bedingungen hinzuzufügen:

Zustand	Bedingungstyp	Wert	Maßnahme
Mindestversion für App	App-Bedingung	Basierend auf Ihren Anforderungen. Geben Sie eine Versionsnummer für Microsoft Edge mit 134.0.3124.51 als früheste unterstützte Version ein.	Zugriff blockieren
Mindestversion für Betriebssystem	Gerätezustand	Basierend auf Ihren Anforderungen. Geben Sie eine Buildnummer für Windows in einem der folgenden Formate ein: `major.minor`, `major.minor.build`, `major.minor.build.revision`, z. B. 10.0.26100.3476 Sie finden Windows-Buildnummern unter Windows-Releaseintegrität. Wählen den Link zu den Releaseinformationen für jedes Betriebssystem aus.	Zugriff blockieren
Maximal zulässige Gerätebedrohungsstufe	Gerätezustand	Gesichert	Zugriff blockieren

Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter Integritätsüberprüfungen in den Einstellungen der Appschutz-Richtlinie für Windows.

Weisen Sie auf der Registerkarte Aufgaben die Richtlinie Ihrer Sicherheitsgruppe mit den Benutzenden zu, auf die Sie die Richtlinie anwenden möchten. Sie müssen die Richtlinie auf eine Gruppe von Benutzern anwenden, damit die Richtlinie wirksam wird. Für jede Gruppe können Sie optional einen Filter auswählen, um die Richtlinie für die App-Konfiguration zielgerichteter anzuwenden.

Richtlinie für bedingten Zugriff erstellen

Mit einer Richtlinie für bedingten Zugriff können Sie den Zugriff auf Azure Virtual Desktop, Windows 365 und Microsoft Dev Box basierend auf bestimmten Kriterien des Benutzers, der eine Verbindung herstellt, und dem gerät steuern, das er verwendet. Es wird empfohlen, mehrere Richtlinien für bedingten Zugriff zu erstellen, um präzise Szenarien basierend auf Ihren Anforderungen zu erzielen. Einige Beispielrichtlinien sind in den folgenden Abschnitten aufgeführt.

Von Bedeutung

Berücksichtigen Sie sorgfältig die Bandbreite der Clouddienste, Geräte und Versionen von Windows-Apps, die Ihre Benutzer verwenden können sollen. Diese Beispielrichtlinien für Conditional Access decken nicht alle Szenarien ab, und Sie sollten darauf achten, den Zugriff nicht versehentlich zu blockieren. Sie sollten Richtlinien erstellen und Einstellungen basierend auf Ihren Anforderungen anpassen.

Um eine Richtlinie für bedingten Zugriff zu erstellen und anzuwenden, führen Sie die Schritte unter Einrichten von appbasierten Richtlinien für bedingten Zugriff mit Intune aus, und verwenden Sie die Informationen und Einstellungen in den folgenden Beispielen.

Beispiel 1: Zugriff nur zulassen, wenn eine App-Schutzrichtlinie mit Windows-App angewendet wird

In diesem Beispiel wird der Zugriff nur ermöglicht, wenn eine App-Schutzrichtlinie mit Windows-App angewendet wird:

Wählen Sie für Aufgaben unter Benutzer- oder Workloadidentitäten0 Benutzer oder Workloadidentitäten ausgewählt aus, und fügen Sie dann die Sicherheitsgruppe mit den Benutzern hinzu, auf die die Richtlinie angewendet werden soll. Sie müssen die Richtlinie auf eine Gruppe von Benutzern anwenden, damit die Richtlinie wirksam wird.

Wählen Sie für Zielressourcen aus, um die Richtlinie auf "Ressourcen" anzuwenden, und wählen Sie dann für "Einschließen" die Option "Ressourcen auswählen" aus. Suchen Sie nach den folgenden Ressourcen, und wählen Sie sie aus. Sie verfügen nur über diese Ressourcen, wenn Sie den relevanten Dienst in Ihrem Mandanten registriert haben.

Ressourcenname	Anwendungs-ID	Hinweise
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Es kann stattdessen als Windows Virtual Desktop bezeichnet werden. Überprüfen Sie die Anwendungs-ID.
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Gilt auch für Microsoft Dev Box.
Windows Cloud-Anmeldung	270efc09-cd0d-444b-a71f-39af4910ec45	Verfügbar, sobald einer der anderen Dienste registriert ist.

Für Bedingungen:
- Wählen Sie "Geräteplattformen" für "Konfigurieren" aus, wählen Sie "Ja" und dann unter "Einschließen" die Option "Geräteplattformen auswählen" aus, und überprüfen Sie iOS und Android.
- Wählen Sie Client-Apps aus, wählen Sie für KonfigurierenJa aus, und aktivieren Sie dann Browser und Mobile Apps und Desktopclients.
Aktivieren Sie für Access-Steuerelemente unter Zugriff gewähren0 Steuerelemente ausgewählt, aktivieren Sie dann das Kontrollkästchen für „App-Schutz-Richtlinie erforderlich“ und wählen Sie das Optionsfeld für „Erfordern Sie alle ausgewählten Steuerelemente“.
Legen Sie Richtlinie aktivieren auf Ein fest.

Beispiel 2: Anfordern einer App-Schutzrichtlinie für Windows-Geräte

In diesem Beispiel werden nicht verwaltete persönliche Windows-Geräte so beschränkt, dass Microsoft Edge nur für den Zugriff auf eine Remotesitzung mithilfe der Windows-App in einem Webbrowser verwendet wird. Weitere Informationen zu diesem Szenario finden Sie unter Erfordern einer App-Schutzrichtlinie für Windows-Geräte.

Wählen Sie für Aufgaben unter Benutzer- oder Workloadidentitäten0 Benutzer oder Workloadidentitäten ausgewählt aus, und fügen Sie dann die Sicherheitsgruppe mit den Benutzern hinzu, auf die die Richtlinie angewendet werden soll. Sie müssen die Richtlinie auf eine Gruppe von Benutzern anwenden, damit die Richtlinie wirksam wird.

Ressourcenname	Anwendungs-ID	Hinweise
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Es kann stattdessen als Windows Virtual Desktop bezeichnet werden. Überprüfen Sie die Anwendungs-ID.
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Gilt auch für Microsoft Dev Box.
Windows Cloud-Anmeldung	270efc09-cd0d-444b-a71f-39af4910ec45	Verfügbar, sobald einer der anderen Dienste registriert ist.

Für Bedingungen:
- Wählen Sie "Geräteplattformen" für "Konfigurieren" aus, wählen Sie "Ja" und dann unter "Einschließen" die Option "Geräteplattformen auswählen" aus, und aktivieren Sie "Windows".
- Wählen Sie Client-Apps, für Konfigurieren wählen Sie Ja aus, dann überprüfen Sie Browser.
Wählen Sie für die Zugriffskontrollen die Option "Zugriff gewähren", und markieren Sie dann das Kontrollkästchen für "App-Schutzrichtlinie erforderlich" und wählen Sie das Optionsfeld für "Eine der ausgewählten Steuerungsoptionen anfordern" aus.
Legen Sie Richtlinie aktivieren auf Ein fest.

Überprüfen der Konfiguration

Nachdem Sie Intune und Bedingten Zugriff so konfiguriert haben, dass auf persönlichen Geräten die Einhaltung der Gerätesicherheitsrichtlinien erforderlich ist, können Sie Ihre Konfiguration überprüfen, indem Sie eine Verbindung mit einer Remotesitzung herstellen. Was Sie testen sollten, hängt davon ab, ob Sie Richtlinien für registrierte oder nicht registrierte Geräte konfiguriert haben, welche Plattformen und Datenschutzeinstellungen Sie festlegen. Überprüfen Sie, ob Sie nur die Aktionen ausführen können, die Sie auch erwarten.

Verwalten von Einstellungen für die lokale Geräteumleitung mit Microsoft Intune

Feedback

War diese Seite hilfreich?

Last updated on 2025-06-21