Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In Microsoft Intune können Sie die generative KI-Nutzung auf Android-Geräten verwalten und einschränken, die bei Intune registriert sind. Sie können KI-Apps, Websites, bildschirmgesteuerte Umgebungen, gerätebasierte KI-Dienste und OEM-spezifische KI-Features blockieren (oder zulassen).
In diesem Artikel werden verschiedene Möglichkeiten aufgeführt, wie KI-Erfahrungen auf Android-Geräten verfügbar sein können, und wie Sie Intune verwenden können, um diese Erfahrungen zu blockieren.
Wenn Sie die Schritte in diesem Leitfaden ausführen, können Sie KI-Umgebungen auf Ihren Android-Geräten verwalten und einschränken.
Gilt für:
- Android für Unternehmen
Voraussetzungen
Geräteplattformanforderungen
IT-Administratoren und Sicherheitstechniker können generative KI für die folgenden Android-Registrierungstypen zulassen/blockieren:
- Unternehmenseigene, vollständig verwaltete Android Enterprise-Geräte (COBO)
- Unternehmenseigene, dedizierte Android Enterprise-Geräte (COSU)
- Unternehmenseigene Android Enterprise-Geräte mit einem Arbeitsprofil (COPE)
- Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil (BYOD)
Weitere Informationen zu den verschiedenen Android-Registrierungsoptionen finden Sie im Leitfaden zur Android-Registrierung.
Gerätekonfigurationsanforderungen
- In Intune registrierte Geräte, einschließlich gemeinsam verwalteter Geräte
- Verwaltetes Google Play-Konto, das im Intune Admin Center verknüpft ist (Geräte > Android-Registrierung >> verwaltet Google Play)
Rollenanforderungen
Verwenden Sie zum Konfigurieren der Richtlinien ein Konto mit der folgenden Rolle:
- Melden Sie sich beim Microsoft Intune Admin Center mit einem Konto an, das über die integrierte Rolle Richtlinien- und Profil-Manager verfügt. Weitere Informationen zu den integrierten Rollen findest du unter Rollenbasierte Zugriffssteuerung für Microsoft Intune.
Bevor Sie beginnen
Wenn Sie die KI-Richtlinien erstellen, können Sie sie den Gruppen Alle Benutzer und Alle Geräte zuweisen. Obwohl diese Zuweisung der einfachste Ansatz ist, können Sie Ihre Richtlinien auf bestimmte Benutzer und Geräte ausrichten.
Weitere Informationen finden Sie unter:
- Ein- und Ausschlussgruppen zum Zuweisen von Apps, die auf bestimmte Benutzer und Geräte ausgerichtet sind.
- Weisen Sie Richtlinien in Intune zu, die auf bestimmte Benutzer und Geräte ausgerichtet sind.
Für unternehmenseigene Geräte mit einem Arbeitsprofil (COPE) und persönliche Geräte mit einem Arbeitsprofil (BYOD) sind die meisten Steuerelemente nur im Arbeitsprofil verfügbar. Sie sind im persönlichen Profil nicht verfügbar.
Die Schritte in diesem Leitfaden zeigen Ihnen, wie Sie KI-Erfahrungen blockieren. Wenn Sie bestimmte KI-Umgebungen zulassen möchten, können Sie die gleichen Schritte ausführen, aber sie so konfigurieren, dass sie zulassen statt blockieren.
Wenn Sie eine Richtlinie erstellen und zuweisen, erhalten die Geräte die Richtlinie beim nächsten Einchecken mit Intune. Weitere Informationen finden Sie unter Intune Aktualisierungsintervalle für Richtlinien.
Wie KI unter Android angezeigt wird
Auf Android-Geräten ist KI auf verschiedene Arten verfügbar:
- KI-Apps: Eigenständige Apps wie ChatGPT, Microsoft Copilot und Perplexity können heruntergeladen und auf den Geräten verwendet werden.
- KI-Websites : Benutzer können über Browser-Apps wie Microsoft Edge und Chrome auf KI-Websites zugreifen.
- Bildschirmgesteuerte Funktionen und Assistentenfunktionen: Betriebssystem-integrierte Features, die Inhalte auf dem Bildschirm lesen (z. B. Circle to Search) oder Assistent Hilfe bereitstellen, sind in der Regel installiert und standardmäßig verfügbar.
- Ki-Dienste auf Dem Gerät : Android kann das auf dem Gerät basierende Gemini Nano-Modell mithilfe von AICore lokal ausführen. Apps wie Messages, Recorder oder GBoard verwenden Gemini Nano, um auf Nachrichten zu reagieren, Zusammenfassungen zu generieren und intelligente Antworten vorzuschlagen.
- OEM-spezifische KI-Dienste : OEMs implementieren möglicherweise eigene KI-Funktionen wie Galaxy KI von Samsung.
Blockieren von KI-Apps
✅ Ziel: Endbenutzer können keine KI-Apps aus dem Google Play Store installieren
KI-Apps wie ChatGPT, Copilot, Perplexity und Claude können aus dem Google Play Store installiert werden. Sie können Intune verwenden, um zu verhindern, dass diese Apps auf Ihren Geräten installiert werden.
Unterstützte Registrierungstypen:
- Unternehmenseigene vollständig verwaltete Geräte (COBO)
- Unternehmenseigene dedizierte Geräte (COSU)
- Unternehmenseigene Geräte mit einem Arbeitsprofil (COPE)
Schritt 1: Bestimmen Ihrer App-Strategie
Bestimmen der App-Strategie Ihrer organization : Blockieren oder Zulassen:
Strategie blockieren : Es können keine Apps im Google Play Store heruntergeladen werden, es sei denn, sie werden von Administratoren zugewiesen. Nur zugewiesene Apps sind auf dem Gerät verfügbar.
Diese Strategie ist die Standardeinstellung für unternehmenseigene Geräte.
Zulassen der Strategie : Alle Apps können heruntergeladen werden, es sei denn, sie werden von Administratoren ausdrücklich blockiert.
Wenn die folgende Einstellung in einem Konfigurationsprofil für Geräteeinschränkungen auf Zulassen festgelegt ist, verwendet Ihr organization wahrscheinlich eine Zulassen-Strategie. Mit dieser Einstellung können angegebene Apps ohne Administratorrechte heruntergeladen werden:
- Geräte>Android Enterprise>Konfiguration>Schaffen>Neue Richtlinie>Schablonen>Geräteeinschränkungen>Anträge>Zugriff auf alle Apps im Google Play Store zulassen
Schritt 2: Implementieren Ihrer App-Strategie
Implementieren Sie in diesem Schritt Ihre App-Strategie, um KI-Apps zu blockieren oder zuzulassen.
Blockstrategie (Standard)
Mit einer Block-Strategie können keine Apps im Google Play Store heruntergeladen werden, es sei denn, dies ist explizit erlaubt. Führen Sie die folgenden Schritte aus, um sicherzustellen, dass die App, die Sie blockieren möchten, nicht bereits auf Ihren Geräten bereitgestellt wurde.
- Wechseln Sie im Intune Admin Center zu Apps > Android > Android-Apps.
- Wählen Sie den App-Namen >Eigenschaften aus.
- Stellen Sie sicher , dass Zuweisungen nicht auf Erforderlich, für registrierte Geräte nicht auf Verfügbar oder nicht auf Verfügbar mit oder ohne Registrierung festgelegt ist.
Wenn nicht alle diese Optionen festgelegt sind, wurde die App nicht von einer Intune-Richtlinie bereitgestellt. Wenn eine dieser Optionen festgelegt ist, wird die App bereitgestellt. In diesem Szenario können Sie die Zuweisung in Deinstallieren ändern, um sie von den Geräten zu entfernen.
Strategie zulassen
Mit einer Zulassen-Strategie können alle Apps im Google Play Store heruntergeladen werden.
Ermitteln Sie, ob die Einstellung Zugriff auf alle Apps im Google Play Store zulassen auf Zulassen festgelegt ist.
Wenn Sie Copilot verwenden, können Sie Copilot bitten, diese Einstellung für Sie zu überprüfen. Sie können auch ein neues Geräteeinschränkungsprofil erstellen, um diese Einstellung zu konfigurieren.
Wechseln Sie im Intune Admin Center zu Gerätekonfiguration>>Neue Richtlinieerstellen>.
Konfigurieren Sie die folgenden Eigenschaften, und wählen Sie Erstellen aus:
- Plattform: Wählen Sie Android Enterprise aus.
- Profiltyp: Wählen Sie Vorlagen>vollständig verwaltet, Dediziert und Corporate-OwnedGeräteeinschränkungen für Arbeitsprofil > aus.
Erweitern Sie die Kategorie Anwendungen , und legen Sie die Einstellung Zugriff auf alle Apps im Google Play Store zulassen auf Zulassen fest.
Wählen Sie Weiter aus, und fahren Sie mit der Erstellung des Profils fort. Schritt-für-Schritt-Anweisungen finden Sie unter Erstellen von Geräteprofilen.
Fügen Sie die Apps hinzu, die Sie blockieren möchten.
Wenn sie Intune hinzugefügt werden, können Sie die Apps blockieren. Anschließend werden sie als verwaltete Apps betrachtet.
- Wechseln Sie im Intune Admin Center zu Apps > Android > Verwaltete Google Play-App erstellen>.
- Wählen Sie die KI-App aus, die Sie Synchronisierung blockieren > möchten.
- Stellen Sie unter Apps > Android > Android-Apps sicher, dass die App in der Liste angezeigt wird. Die Synchronisierung kann einige Minuten dauern.
Blockiert bestimmte Apps, indem Sie sie für Deinstallieren zuweisen:
Wenn die Apps bereits auf Geräten installiert sind, werden sie durch Zuweisen für Deinstallieren von den Geräten entfernt.
- Wechseln Sie im Intune Admin Center zu Apps > Android > Android-Apps.
- Wählen Sie die KI-App aus, die Sie deinstallieren > möchten Eigenschaften.
- Wählen Sie Zuweisungen>Bearbeiten aus.
- Fügen Sie unter Deinstallieren eine Gruppe, Benutzer oder Geräte hinzu.
Ki-Websites blockieren
✅ Ziel: Blockieren von KI-Websites in Webbrowser-Apps
Sie können Intune App-Konfigurationsrichtlinien verwenden, um den Zugriff auf KI-Websites in Webbrowser-Apps wie Microsoft Edge und Chrome zu blockieren. Nur die von Ihnen besuchten Websites werden blockiert. Sie können diesen Ansatz auch verwenden, um nur bestimmte KI-Websites zuzulassen. Wenn Sie mehrere Browser verwenden, müssen Sie für jede Webbrowser-App eine separate Richtlinie erstellen.
Unterstützte Registrierungstypen:
- Unternehmenseigene vollständig verwaltete Geräte (COBO)
- Unternehmenseigene dedizierte Geräte (COSU)
- Unternehmenseigene Geräte mit einem Arbeitsprofil (COPE)
- Persönliche Geräte mit einem Arbeitsprofil (BYOD)
Schritt 1: Hinzufügen Ihres Webbrowsers als verwaltete App
Zum Konfigurieren der Browsereinstellungen müssen Sie zuerst die Browser-App zu Intune hinzufügen, damit sie zu einer verwalteten App wird.
Die Schritte finden Sie unter:
- Es ist möglich, dass die Browser-App integriert ist.
- Wenn die App nicht integriert ist, können Sie Ihre Browser-App aus dem Play Store hinzufügen.
Schritt 2: Erstellen einer App-Konfigurationsrichtlinie
Führen Sie die folgenden Schritte aus, um eine App-Konfigurationsrichtlinie zu erstellen, die Ihre Webbrowser-App so konfiguriert, dass der Zugriff auf die von Ihnen eingegebenen KI-Websites blockiert wird.
Wechseln Sie im Intune Admin Center zu Apps > Konfiguration > Verwaltete Geräte erstellen>.
Konfigurieren Sie unter Grundlagen die folgenden Eigenschaften:
Name: Geben Sie einen Namen für die Richtlinie ein, z . B. KI-Websites in Edge blockieren.
Plattform: Wählen Sie Android Enterprise aus.
Profiltyp: Wählen Sie Ihren Registrierungstyp aus:
- Nur vollständig verwaltetes, dediziertes und Corporate-Owned Arbeitsprofil
- Persönliche Arbeitsprofilgeräte
Ziel-App: Wählen Sie die hinzugefügte Browser-App aus, z. B. Microsoft Edge oder Chrome.
Wählen Sie Weiter aus.
Wählen Sie unter Einstellungen>Konfigurationseinstellungsformat die Option JSON-Daten eingeben aus. Geben Sie die Liste der zu blockierenden URLs ein. Geben Sie z. B. Folgendes ein:
{ "key": "URLBlocklist", "valueStringArray": [ "https://chatgpt.com", "https://claude.ai", "https://copilot.microsoft.com", "https://perplexity.ai", "https://gemini.google.com" ] }Wählen Sie Weiter aus, und fahren Sie mit der Erstellung der Richtlinie fort. Schritt-für-Schritt-Anweisungen finden Sie unter Hinzufügen von App Configuration Richtlinien für verwaltete Android Enterprise-Geräte.
Blockieren Screen-Driven KI-Erfahrungen
✅ Ziel: Blockieren von Features, die Inhalte auf dem Bildschirm lesen können
KI-Features können Inhalte auf dem Bildschirm lesen und Einblicke & Empfehlungen aus Screenshots und Inhalten liefern, die auf dem Bildschirm angezeigt werden. Einige dieser Features sind in das Betriebssystem integriert, z. B. Circle to Search, und einige werden von Assistent-Apps bereitgestellt.
Um diese Features zu blockieren, können Sie Intune verwenden, um Screenshotfunktionen einzuschränken und die Inhaltsfreigabe mit privilegierten Apps zu blockieren.
-
Vollständig verwaltet
Dediziert - Unternehmensbesitz mit Arbeitsprofil
- Persönlicher Besitz mit Arbeitsprofil
Unterstützte Registrierungstypen:
- Unternehmenseigene vollständig verwaltete Geräte (COBO)
- Unternehmenseigene dedizierte Geräte (COSU)
Schritt 1: Implementieren der Grundlegenden Abdeckung
In diesem Schritt wird eine Einstellungskatalogrichtlinie erstellt, die die Einstellung Unterstützung der Inhaltsfreigabe mit privilegierten Apps blockieren konfiguriert.
Diese Einstellung verhindert, dass Hilfsinhalte wie Screenshots und App-Details an eine privilegierte App wie eine Assistent-App gesendet werden. Die Einstellung kann für Android KI-Funktionen wie Circle to Search verwendet werden. Diese Einstellung wirkt sich nicht auf allgemeine Screenshotfunktionen aus.
Wechseln Sie im Intune Admin Center zu Gerätekonfiguration >> Neue Richtlinie erstellen>.
Geben Sie die folgenden Eigenschaften ein:
- Plattform: Wählen Sie Android Enterprise aus.
- Profiltyp: Wählen Sie Einstellungskatalog aus.
Wählen Sie Erstellen aus.
Geben Sie unter Grundlagen einen Namen für das Profil ein, und wählen Sie Weiter aus.
Wählen Sie Einstellungen hinzufügen aus.
Wählen Sie die Einstellung Allgemeine Kategorie >Unterstützung der Inhaltsfreigabe mit privilegierten Apps blockieren aus. Legen Sie den Wert auf True fest.
Wählen Sie Weiter aus, und fahren Sie mit der Erstellung des Profils fort. Eine schritt-für-Schritt-Anleitung finden Sie unter Verwenden des Intune Einstellungskatalogs zum Konfigurieren von Einstellungen.
Schritt 2: Implementieren einer umfassenden Abdeckung (optional)
Für einen umfassenderen Schutz können Sie auch Screenshotfunktionen und andere Funktionen einschränken, indem Sie Bildschirmaufnahmen blockieren.
Diese Einstellung verhindert, dass KI-Features auf Inhalte auf dem Bildschirm zugreifen, aber auch Bildschirmfotos auf geräteweit deaktiviert werden.
Wechseln Sie im Intune Admin Center zu Gerätekonfiguration >> Neue Richtlinie erstellen>.
Geben Sie die folgenden Eigenschaften ein:
- Plattform: Wählen Sie Android Enterprise aus.
- Profiltyp: Wählen Sie Einstellungskatalog aus.
Wählen Sie Erstellen aus.
Geben Sie unter Grundlagen einen Namen für das Profil ein, und wählen Sie Weiter aus.
Wählen Sie Einstellungen hinzufügen aus.
Wählen Sie die Einstellung Allgemeine Kategorie >Bildschirmaufnahme blockieren aus. Legen Sie den Wert auf True fest.
Diese Einstellung verhindert, dass KI-Features auf Bildschirminhalte zugreifen können. Endbenutzer können keine Screenshots auf dem Gerät erstellen.
Wählen Sie Weiter aus, und fahren Sie mit der Erstellung des Profils fort. Eine schritt-für-Schritt-Anleitung finden Sie unter Verwenden des Intune Einstellungskatalogs zum Konfigurieren von Einstellungen.
Deaktivieren der ki-System-App auf dem Gerät
✅ Ziel: Blockieren der lokalen KI-Verarbeitung von Google
Gemini Nano ist das auf dem Gerät basierende Modell von Google und verarbeitet KI-Interaktionen auf dem Gerät. Es ermöglicht KI-Zusammenfassungs- und Nachrichtenantwortfunktionen in Nachrichten, Recorder, GBoard und anderen Diensten. Sie können Intune verwenden, um die AICore-System-App zu deaktivieren.
Unterstützte Registrierungstypen:
- Unternehmenseigene vollständig verwaltete Geräte (COBO)
- Unternehmenseigene dedizierte Geräte (COSU)
- Unternehmenseigene Geräte mit einem Arbeitsprofil (COPE)
- Persönliche Geräte mit einem Arbeitsprofil (BYOD)
Führen Sie die folgenden Schritte aus, um die AICore-System-App zu deaktivieren.
Wählen Sie im Intune Admin CenterApps > Android > Erstellen aus.
Wählen Sie unter App-Typ auswählendie Option Andere > Android Enterprise-System-App und dann Auswählen aus.
Konfigurieren Sie unter App-Informationen die folgenden Eigenschaften, und wählen Sie dann Weiter aus:
-
Name: Geben Sie ein
AICore. -
Herausgeber: Geben Sie ein
Google Android. -
Paketname: Geben Sie ein
com.google.android.aicore.
-
Name: Geben Sie ein
Wählen Sie in Bereichsmarkierungen die Option Weiter aus.
Wählen Sie unter Zuweisungen > deinstallieren die Gruppenzuweisungen für die App aus. Wenn Sie Deinstallieren auswählen, ist die App deaktiviert.
Wählen Sie Weiter aus.
Überprüfen Sie unter Überprüfen + erstellen die Werte und Einstellungen, die Sie für die App eingegeben haben. Wenn Sie fertig sind, wählen Sie Erstellen aus.
Deaktivieren OEM-Specific KI-Funktionen
✅ Ziel: Vom OEM bereitgestellte KI-Features deaktivieren
OEMs können ihre eigenen KI-Features und -Funktionen auf dem Gerät einschließen, z. B. die Samsung Galaxy KI-Erfahrungen über das Knox Service-Plug-In. Diese Features werden in der Regel über die OEMConfig-App des OEM verwaltet. Mithilfe Intune können Sie die OEMConfig-App konfigurieren, um diese KI-Features zu verwalten.
Zum Konfigurieren der OEMConfig-App müssen Sie die in der App verfügbaren KI-Einstellungen kennen. Wenden Sie sich an Ihre OEMs, um eine Liste der verfügbaren KI-Steuerelemente in ihren OEMConfig-Apps zu erhalten.
Eine Liste der unterstützten OEMConfig-Apps finden Sie unter OEMConfig in Intune – Unterstützte OEMConfig-Apps.
Unterstützte Registrierungstypen:
- Unternehmenseigene vollständig verwaltete Geräte (COBO)
- Unternehmenseigene dedizierte Geräte (COSU)
- Unternehmenseigene Geräte mit einem Arbeitsprofil (COPE)
- Persönliche Geräte mit einem Arbeitsprofil (BYOD)
Führen Sie die folgenden Schritte aus, um die OEMConfig-App und ihre KI-Funktionen hinzuzufügen, bereitzustellen und zu konfigurieren.
Schritt 1: Hinzufügen der OEMConfig-App
- Wechseln Sie im Intune Admin Center zu Apps > Android > Verwaltete Google Play-App > erstellen > Auswählen.
- Wählen Sie die OEMConfig-App aus, die Sie konfigurieren möchten.
- Wählen Sie Synchronisieren auswählen> aus.
Stellen Sie sicher, dass die App in der Liste angezeigt wird (Apps > Android > Android-Apps). Die Synchronisierung kann einige Minuten dauern.
Schritt 2: Bereitstellen der OEMConfig-App
Wechseln Sie im Intune Admin Center zu Apps > Android > Android-Apps.
Wählen Sie die OEMConfig-App aus, die Sie hinzugefügt haben.
Wählen Sie Eigenschaften>Zuweisungen>Bearbeiten aus.
Fügen Sie Ihre Gruppe und/oder Benutzer den folgenden Zuweisungen hinzu:
- Erforderlich
- Für registrierte Geräte verfügbar
- Verfügbar mit oder ohne Registrierung
Überprüfen und speichern Sie Ihre Änderungen.
Schritt 3: Konfigurieren der OEMConfig-App
Wechseln Sie im Intune Admin Center zu Geräte > verwalten Geräte > verwalten Konfiguration > Neue Richtlinie erstellen>.
Geben Sie die folgenden Eigenschaften ein:
- Plattform: Wählen Sie Android Enterprise aus.
- Profiltyp: Wählen Sie Vorlagen > OEMConfig aus.
Wählen Sie Erstellen aus.
Konfigurieren Sie unter Grundlagen die folgenden Eigenschaften, und wählen Sie dann Weiter aus:
- Name: Geben Sie einen Namen für das Profil ein.
- OEMConfig-App: Wählen Sie die OEMConfig-App aus, die Sie hinzugefügt und zugewiesen haben.
Wählen Sie unter Konfigurationseinstellungendie Option Konfigurations-Designer oder JSON-Editor aus, um die in der OEMConfig-App verfügbaren Einstellungen zu konfigurieren. Wenn Sie Konfigurations-Designer auswählen, können Sie möglicherweise das Suchfeld Suchen verwenden, um KI-bezogene Einstellungen zu suchen.
Die verfügbaren Einstellungen hängen von der oemConfig-App ab, die Sie auswählen. Wenden Sie sich an Ihren OEM, um eine Liste der verfügbaren KI-Steuerelemente in seinen OEMConfig-Apps zu erhalten.
Wählen Sie Weiter aus, und fahren Sie mit der Erstellung des Profils fort. Schritt-für-Schritt-Anweisungen finden Sie unter Verwenden und Verwalten von Android Enterprise-Geräten mit OEMConfig.
Stellen Sie sicher, dass Sie das Profil den gleichen Gruppen und/oder Benutzern zuweisen, denen Sie die OEMConfig-App zugewiesen haben.