Android App Protection Policy Settings in Microsoft Intune

In diesem Artikel werden die App-Schutzrichtlinieneinstellungen für Android-Geräte beschrieben. Die beschriebenen Richtlinieneinstellungen können im Portal im Bereich Einstellungen für eine App-Schutzrichtlinie konfiguriert werden. Es gibt drei Kategorien von Richtlinieneinstellungen: Datenschutzeinstellungen, Zugriffsanforderungen und bedingter Start. In diesem Artikel bezieht sich der Begriff richtlinienverwaltete Apps auf Apps, die über App-Schutzrichtlinien konfiguriert sind.

Wichtig

Die Intune-Unternehmensportal ist auf dem Gerät erforderlich, um App-Schutzrichtlinien für Android-Geräte zu erhalten.

Datenschutz

Datenübertragung

Setting	Anleitung	Standardwert
Sichern von Organisationsdaten in Android-Sicherungsdiensten	Wählen Sie Blockieren aus, um zu verhindern, dass diese App Geschäfts-, Schul- oder Unidaten im Android Backup Service sichert. Wählen Sie Zulassen aus, damit diese App Geschäfts-, Schul- oder Unidaten sichern kann.	Zulassen
Senden von Organisationsdaten an andere Apps	Geben Sie an, welche Apps Daten von dieser App empfangen können: Richtlinienverwaltete Apps: Datenübertragung nur an andere richtlinienverwaltete Apps zulassen. Alle Apps: Ermöglicht die Übertragung an eine beliebige App. Keine: Lassen Sie keine Datenübertragung an apps zu, einschließlich anderer richtlinienverwalteter Apps. Es gibt einige ausgenommene Apps und Dienste, an die Intune die Datenübertragung standardmäßig zulassen können. Darüber hinaus können Sie Ihre eigenen Ausnahmen erstellen, wenn Sie zulassen müssen, dass Daten an eine App übertragen werden, welche die Intune-App nicht unterstützt. Weitere Informationen finden Sie unter Datenübertragungsausnahmen. Diese Richtlinie kann auch für Android-App-Links gelten. Hinweis Intune unterstützt derzeit das Android Instant Apps-Feature nicht. Intune blockiert jede Datenverbindung mit oder von der App. Weitere Informationen finden Sie unter Android Instant Apps in der Android Developer-Dokumentation. Wenn Organisationsdaten an andere Apps senden für Alle Apps konfiguriert ist, können Textdaten weiterhin über die Betriebssystemfreigabe in die Zwischenablage übertragen werden.	Alle Apps
Wählen Sie die Apps aus, die ausgenommen werden sollen	Diese Option ist dann verfügbar, wenn Sie die vorherige Option auf Richtlinienverwaltete Apps festgelegt haben.
Kopien von Organisationsdaten speichern	Klicken Sie auf Block (Blockieren), um die Verwendung der Option „Speichern unter“ in dieser App zu deaktivieren. Klicken Sie auf Allow (Zulassen), wenn die Verwendung von Speichern unter zulässig sein soll. Wenn für diese Einstellung Block (Blockieren) festgelegt ist, können Sie die Einstellung Benutzer das Speichern von Kopien in den ausgewählten Diensten ermöglichen konfigurieren. Hinweis: Diese Einstellung wird für Microsoft Excel, OneNote, PowerPoint, Word und Microsoft Edge unterstützt. Es kann auch von Nicht-Microsoft- und BRANCHEN-Apps unterstützt werden. Diese Einstellung ist nur konfigurierbar, wenn die Einstellung Organisationsdaten an andere Apps senden* auf Richtlinienverwaltete Apps festgelegt ist.* Diese Einstellung ist "Zulassen", wenn die Einstellung Organisationsdaten an andere Apps senden* auf Alle Apps festgelegt ist.* Diese Einstellung ist "Blockieren" ohne zulässige Dienststandorte, wenn die Einstellung Organisationsdaten an andere Apps senden* auf *None" festgelegt ist. Diese Einstellung speichert Dateien als verschlüsselt, wenn Organisationsdaten verschlüsseln* auf *Erforderlich" festgelegt ist.	Zulassen
Benutzer das Speichern von Kopien in den ausgewählten Diensten ermöglichen	Benutzer können in den ausgewählten Diensten (OneDrive, SharePoint, Fotobibliothek, Box, iManage, Egnyte und Lokaler Speicher) speichern. Alle anderen Dienste werden blockiert.	0 ausgewählt
Übertragen von Telekommunikationsdaten an	Wenn ein Benutzer in einer App eine mit Hyperlink verknüpfte Telefonnummer auswählt, wird in der Regel eine Wähl-App mit der telefonnummer geöffnet, die bereits aufgefüllt und anrufbereit ist. Wählen Sie für diese Einstellung aus, wie diese Art von Inhaltsübertragung behandelt werden soll, wenn sie von einer richtlinienverwalteten App initiiert wird: Keine, diese Daten nicht zwischen Apps übertragen: Übertragen Sie keine Kommunikationsdaten, wenn eine Telefonnummer erkannt wird. A specific dialer app (Eine bestimmte Telefon-App): Hiermit gestatten Sie einer bestimmten Telefon-App das Initiieren von Kontakten, wenn eine Telefonnummer erkannt wird. Alle richtlinienverwalteten Wählprogramm-Apps: Zulassen, dass jede richtlinienverwaltete Wählprogramm-App Kontakt initiiert, wenn eine Telefonnummer erkannt wird. Any dialer app (Jede Telefon-App): Hiermit gestatten Sie die Verwendung einer beliebigen Telefon-App zum Initiieren von Kontakten, wenn eine Telefonnummer erkannt wird.	Any dialer app (Jede Telefon-App)
Dialer-App-Paket-ID	Wenn eine bestimmte Wähl-App ausgewählt wurde, müssen Sie die App-Paket-ID angeben.	Blank
Name der Dialer-App	Wenn eine bestimmte Wähl-App ausgewählt wurde, müssen Sie den Namen der Wähl-App angeben.	Blank
Übertragen von Messagingdaten an	Wenn ein Benutzer eine mit Links verknüpfte Telefonnummer für eine Messaging-App in einer App auswählt, wird eine Messaging-App mit der Telefonnummer geöffnet, die vorab aufgefüllt ist und bereit ist, eine Nachricht zu senden. Wählen Sie für diese Einstellung aus, wie diese Art von Inhaltsübertragung behandelt werden soll, wenn sie von einer richtlinienverwalteten App initiiert wird: Keine, diese Daten nicht zwischen Apps übertragen: Übertragen Sie keine Kommunikationsdaten, wenn eine Telefonnummer erkannt wird. Eine bestimmte Messaging-App: Zulassen, dass eine bestimmte Messaging-App verwendet wird, um den Kontakt zu initiieren, wenn eine Telefonnummer erkannt wird. Alle richtlinienverwalteten Messaging-Apps: Zulassen, dass alle richtlinienverwalteten Messaging-Apps zum Initiieren von Kontakten verwendet werden, wenn eine Telefonnummer erkannt wird. Beliebige Messaging-App: Lassen Sie zu, dass jede Messaging-App verwendet wird, um den Kontakt zu initiieren, wenn eine Telefonnummer erkannt wird.	Beliebige Messaging-App
Paket-ID der Messaging-App	Wenn eine bestimmte Messaging-App ausgewählt wurde, müssen Sie die App-Paket-ID angeben.	Blank
Name der Messaging-App	Wenn eine bestimmte Messaging-App ausgewählt wurde, müssen Sie den Namen der Messaging-App angeben.	Blank
Daten von anderen Apps empfangen	Geben Sie an, welche Apps Daten an diese App übertragen können: Richtlinienverwaltete Apps: Datenübertragung nur von anderen richtlinienverwalteten Apps zulassen Alle Apps: Zulassen der Datenübertragung aus einer beliebigen App. Keine: Lassen Sie keine Datenübertragung von apps zu, einschließlich anderer richtlinienverwalteter Apps. Es gibt einige ausgenommene Apps und Dienste, von denen Intune die Datenübertragung ermöglichen können. Eine vollständige Liste der Apps und Dienste finden Sie unter Datenübertragungsausnahmen .	Alle Apps
Daten in Organisationsdokumenten öffnen	Wählen Sie Blockieren aus, um die Verwendung der Option Öffnen oder anderer Optionen zum Teilen von Daten zwischen Konten in dieser App zu deaktivieren. Klicken Sie auf Zulassen, wenn die Verwendung von Öffnen zulässig sein soll. Wenn diese Option auf Blockieren festgelegt ist, können Sie die Einstellung Benutzern das Öffnen von Daten über ausgewählte Dienste erlauben konfigurieren, um anzugeben, welche Dienste für Speicherorte von Organisationsdaten zulässig sind. Hinweis: Diese Einstellung kann nur konfiguriert werden, wenn die Einstellung Daten von anderen Apps empfangen* auf Richtlinienverwaltete Apps festgelegt ist.* Diese Einstellung ist "Zulassen", wenn die Einstellung Daten von anderen Apps empfangen* auf Alle Apps festgelegt ist.* Diese Einstellung ist "Blockieren" ohne zulässige Dienstspeicherorte, wenn die Einstellung Daten von anderen Apps empfangen* auf Keine festgelegt ist.* Diese Einstellung wird von den folgenden Apps unterstützt: OneDrive 6.14.1 oder höher. Outlook für Android 4.2039.2 oder höher. Teams für Android 1416/1.0.0.2021173701 oder höher.	Zulassen
Benutzern das Öffnen von Daten aus ausgewählten Diensten gestatten	Wählen Sie Anwendungsspeicherdienste aus, aus denen Benutzer Daten öffnen können. Alle anderen Dienste werden blockiert. Wenn Sie keine Dienste auswählen, wird verhindert, dass Benutzer Daten öffnen. Unterstützte Dienste: OneDrive for Business SharePoint Online Kamera Fotomediathek Hinweis: Die Kamera enthält keinen Zugriff auf Fotos oder Fotogalerien. Wenn Sie in der Einstellung Benutzern das Öffnen von Daten aus ausgewählten Diensten in Intune erlauben, fotobibliothek (einschließlich android's Fotoauswahltool) auswählen, können Sie es verwalteten Konten erlauben, eingehende Bilder/Videos aus dem lokalen Speicher ihres Geräts für ihre verwalteten Apps zuzulassen.	Alle ausgewählten
Ausschneiden, Kopieren und Einfügen zwischen Apps einschränken	Geben Sie an, wann Ausschneide-, Kopier- und Einfügeaktionen in dieser App erlaubt sind. Wählen Sie zwischen: Blockiert: Keine Ausschneid-, Kopier- und Einfügeaktionen zwischen dieser App und anderen Apps zulassen. Richtlinienverwaltete Apps: Ausschneide-, Kopier- und Einfügeaktionen nur zwischen dieser App und anderen richtlinienverwalteten Apps zulassen. Richtlinienverwaltete Apps mit Einfügen: Ausschneiden oder Kopieren zwischen dieser App und anderen richtlinienverwalteten Apps zulassen. Einfügen von Daten aus beliebigen Apps in diese App zulassen. Alle Apps: Keine Einschränkungen für das Ausschneiden, Kopieren und Einfügen in und aus dieser App. Hinweis: Wenn Sie Tastaturen von Drittanbietern verwenden, wird Benutzern während der Kopieraktionen möglicherweise die Meldung "Die Daten Ihres organization können hier nicht eingefügt werden" in der Zwischenablagevorschau der Tastatur angezeigt. Dies geschieht, wenn die Tastatur-App nicht in Intune integriert ist und daher den codierten Zwischenablagetext nicht entschlüsseln kann. Benutzer können Daten weiterhin wie erwartet kopieren und einfügen, indem Sie die Aktion Text einfügen in verwalteten Apps verwenden, wenn dies vom organization zugelassen wird. Einige Tastaturen von Drittanbietern bieten eigene Funktionen für Zwischenablage oder Textvorschläge, die Text direkt in eine App einfügen können. In diesem Fall empfängt die App den Text als Standardbenutzereingabe, und Einfügeeinschränkungen gelten nicht für diese tastaturgesteuerten Einfügungen.	Alle Apps
Zeichenlimit für Ausschneiden und Kopieren für alle Apps	Geben Sie die Anzahl der Zeichen an, die aus Organisationsdaten und -konten ausgeschnitten oder kopiert werden können. Dies ermöglicht die Freigabe der angegebenen Anzahl von Zeichen für jede App, einschließlich nicht verwalteter Apps, wenn dies andernfalls durch die Einstellung "Ausschneiden, Kopieren und Einfügen mit anderen Apps einschränken" blockiert würde. Standardwert = 0 Hinweis: Erfordert Intune-Unternehmensportal Version 5.0.4364.0 oder höher.	0
Bildschirmaufnahme und Google Assistant	Wählen Sie Blockieren aus, um die Bildschirmaufnahme zu blockieren, um die Suche von Kreis in die Suche zu blockieren, und blockieren Sie den Zugriff von Google Assistant auf Organisationsdaten auf dem Gerät, wenn Sie diese App verwenden. Wenn Sie Blockieren auswählen, wird auch das Vorschaubild der App-Switcher verwischt, wenn diese App mit einem Geschäfts-, Schul- oder Unikonto verwendet wird. Hinweis: Der Google Assistant kann für Benutzer in Szenarien zugänglich sein, die nicht auf Organisationsdaten zugreifen.	Zulassen
Genehmigte Tastaturen	Wählen Sie Erforderlich aus, und geben Sie dann eine Liste der genehmigten Tastaturen für diese Richtlinie an. Benutzer, die keine genehmigte Tastatur verwenden, erhalten eine Aufforderung, eine genehmigte Tastatur herunterzuladen und zu installieren, bevor sie die geschützte App verwenden können. Diese Einstellung erfordert, dass die App über das Intune SDK für Android Version 6.2.0 oder höher verfügt.	Nicht erforderlich
Auswählen der zu genehmigenden Tastaturen	Diese Option ist verfügbar, wenn Sie für die vorherige Option Erforderlich auswählen. Wählen Sie Auswählen aus, um die Liste der Tastaturen und Eingabemethoden zu verwalten, die mit Apps verwendet werden können, die durch diese Richtlinie geschützt sind. Sie können der Liste weitere Tastaturen hinzufügen und alle Standardoptionen entfernen. Sie müssen über mindestens eine genehmigte Tastatur verfügen, um die Einstellung speichern zu können. Im Laufe der Zeit fügt Microsoft der Liste für neue App-Schutzrichtlinien möglicherweise weitere Tastaturen hinzu, sodass Administratoren vorhandene Richtlinien bei Bedarf überprüfen und aktualisieren müssen. Um eine Tastatur hinzuzufügen, geben Sie Folgendes an: Name: Ein Anzeigename, der die Tastatur identifiziert und für den Benutzer sichtbar ist. Paket-ID: Die Paket-ID der App im Google Play Store. Wenn die URL für die App im Play Store beispielsweise lautet `https://play.google.com/store/details?id=com.contoskeyboard.android.prod`, lautet die Paket-ID `com.contosokeyboard.android.prod`. Diese Paket-ID wird dem Benutzer als einfacher Link zum Herunterladen der Tastatur von Google Play angezeigt. Hinweis: Einem Benutzer, dem mehrere App-Schutzrichtlinien zugewiesen sind, dürfen nur die genehmigten Tastaturen verwenden, die allen Richtlinien gemeinsam sind.

Verschlüsselung

Setting	Anleitung	Standardwert
Verschlüsseln von Organisationsdaten	Wählen Sie Erforderlich aus, um die Verschlüsselung von Geschäfts-, Schul- oder Unidaten in dieser App zu aktivieren. Intune verwendet ein wolfSSL- 256-Bit-AES-Verschlüsselungsschema zusammen mit dem Android Keystore-System, um App-Daten sicher zu verschlüsseln. Daten werden während Datei-E/A-Aufgaben synchron verschlüsselt. Inhalte im Gerätespeicher sind immer verschlüsselt und können nur von Apps geöffnet werden, die die App-Schutzrichtlinien Intune unterstützen und denen Eine Richtlinie zugewiesen ist. Neue Dateien werden mit 256-Bit-Schlüsseln verschlüsselt. Vorhandene 128-Bit-verschlüsselte Dateien durchlaufen einen Migrationsversuch zu 256-Bit-Schlüsseln, aber der Prozess ist nicht garantiert. Dateien, die mit 128-Bit-Schlüsseln verschlüsselt wurden, bleiben lesbar. Die Verschlüsselungsmethode ist FIPS 140-2 validiert; weitere Informationen finden Sie unter wolfCrypt FIPS 140-2 und FIPS 140-3.	Erforderlich
Verschlüsseln von Organisationsdaten auf registrierten Geräten	Wählen Sie Erforderlich aus, um die Verschlüsselung von Organisationsdaten mit Intune Verschlüsselung auf App-Ebene auf allen Geräten zu erzwingen. Wählen Sie Nicht erforderlich aus, um die Verschlüsselung von Organisationsdaten mit Intune Verschlüsselung auf App-Ebene auf registrierten Geräten nicht zu erzwingen.	Erforderlich

Funktionalität

Setting	Anleitung	Standardwert
Per Richtlinie verwaltete App-Daten mit nativen Apps oder Add-Ins synchronisieren	Wählen Sie Blockieren aus, um zu verhindern, dass richtlinienverwaltete Apps Daten in den nativen Apps des Geräts (Kontakte, Kalender und Widgets) speichern und die Verwendung von Add-Ins in den richtlinienverwalteten Apps verhindern. Wenn von der Anwendung nicht unterstützt wird, sind das Speichern von Daten in nativen Apps und die Verwendung von Add-Ins zulässig. Wenn Sie „Zulassen“ auswählen, kann die von Richtlinien verwaltete App Daten in den nativen Apps speichern oder Add-Ins verwenden, wenn diese Features in der von Richtlinien verwalteten App unterstützt und aktiviert werden. Anwendungen können zusätzliche Steuerelemente bereitstellen, um das Datensynchronisierungsverhalten für bestimmte native Apps anzupassen, oder dieses Steuerelement nicht berücksichtigen. Hinweis: Wenn Sie eine selektive Zurücksetzung durchführen, um Geschäfts-, Schul- oder Unidaten aus der App zu entfernen, werden Daten entfernt, die direkt aus der richtlinienverwalteten App mit der nativen App synchronisiert werden. Alle Daten, die von der nativen App mit einer anderen externen Quelle synchronisiert werden, werden nicht zurückgesetzt. Hinweis: Die folgenden Apps unterstützen dieses Feature: Outlook für Android finden Sie unter Bereitstellen von Konfigurationseinstellungen für Outlook für iOS- und Android-Apps.	Zulassen
Organisationsdaten drucken	Wählen Sie Blockieren aus, um zu verhindern, dass die App Geschäfts-, Schul- oder Unidaten druckt. Wenn Sie diese Einstellung auf Zulassen (Standardwert) belassen, können Benutzer alle Organisationsdaten exportieren und drucken.	Zulassen
Übertragung von Webinhalten mit anderen Apps einschränken	Legen Sie fest, wie Webinhalte (HTTP-/HTTPS-Links) über mit Richtlinien verwaltete Anwendungen geöffnet werden. Wählen Sie zwischen: Any App (Alle Apps): Weblinks in jeder beliebigen App zulassen Microsoft Edge: Webinhalte dürfen nur in Microsoft Edge geöffnet werden. Dieser Browser ist ein durch Richtlinien verwalteter Browser. Nicht verwalteter Browser: Webinhalte dürfen nur in dem nicht verwalteten Browser geöffnet werden, der in der Einstellung Protokoll von nicht verwaltetem Browser definiert wurde. Der Webinhalt wird im Zielbrowser nicht verwaltet. Hinweis: Erfordert Intune-Unternehmensportal Version 5.0.4415.0 oder höher. Android-App-Links werden von der Richtlinieneinstellung App zum Übertragen von Daten an andere Apps erlauben verwaltet. Geräteregistrierung mit Intune Wenn Sie Intune zum Verwalten Ihrer Geräte verwenden, lesen Sie Verwalten des Internetzugriffs mittels Richtlinien für verwaltete Browser mit Microsoft Intune. Microsoft Edge: mit Richtlinien verwaltet Microsoft Edge für mobile Geräte (iOS/iPadOS und Android) unterstützt Intune-App-Schutzrichtlinien. Benutzer, die sich mit ihren Unternehmenskonten Microsoft Entra in der Microsoft Edge-Browseranwendung anmelden, werden durch Intune geschützt. Der Microsoft Edge-Browser integriert das APP SDK und unterstützt alle zugehörigen Datenschutzrichtlinien, mit Ausnahme der Folgenden: Speichern unter: Der Microsoft Edge-Browser erlaubt es einem Benutzer nicht, direkte In-App-Verbindungen zu Cloudspeicheranbietern (z. B. OneDrive) hinzuzufügen. Kontaktsynchronisierung: Der Microsoft Edge-Browser speichert nicht in nativen Kontaktlisten. Hinweis:Das APP SDK kann nicht ermitteln, ob es sich bei einer Ziel-App um einen Browser handelt. Auf Android-Geräten sind andere verwaltete Browser-Apps zulässig, die die Absicht http/https unterstützen.	Nicht konfiguriert
Nicht verwaltete Browser-ID	Geben Sie die Anwendungs-ID für einen einzelnen Browser ein. Webinhalte (http/https-Links) von richtlinienverwalteten Anwendungen werden im angegebenen Browser geöffnet. Der Webinhalt wird im Zielbrowser nicht verwaltet.	Blank
Nicht verwalteter Browsername	Geben Sie den Anwendungsnamen für den Browser ein, der der ID des nicht verwalteten Browsers zugeordnet ist. Dieser Name wird Benutzern angezeigt, wenn der angegebene Browser nicht installiert ist.	Blank
Benachrichtigungen zu Organisationsdaten	Geben Sie an, wie viele Organisationsdaten über Betriebssystembenachrichtigungen für Organisationskonten freigegeben werden. Diese Richtlinieneinstellung wirkt sich auf das lokale Gerät und alle verbundenen Geräte wie Wearables und intelligente Lautsprecher aus. Apps bieten möglicherweise zusätzliche Steuerelemente zum Anpassen des Benachrichtigungsverhaltens oder entscheiden sich dafür, nicht alle Werte zu berücksichtigen. Wählen Sie zwischen: Blockieren: Geben Sie keine Benachrichtigungen weiter. Wenn von der Anwendung nicht unterstützt wird, sind Benachrichtigungen zulässig. Organisationsdaten blockieren: Geben Sie keine Organisationsdaten in Benachrichtigungen frei. Beispiel: "Sie haben neue E-Mails"; "Sie haben eine Besprechung." Wenn von der Anwendung nicht unterstützt wird, werden Benachrichtigungen blockiert. Zulassen: Gibt Organisationsdaten in den Benachrichtigungen frei. Hinweis: Diese Einstellung erfordert App-Unterstützung: Outlook für Android 4.0.95 oder höher Teams für Android 1416/1.0.0.2020092202 oder höher.	Zulassen

Datenübertragungsausnahmen

Es gibt einige ausgenommene Apps und Plattformdienste, die Intune App-Schutzrichtlinien die Datenübertragung zu und von ermöglichen. Beispielsweise müssen alle Intune verwalteten Apps unter Android In der Lage sein, Daten an und aus google Text-to-Speech zu übertragen, damit Text vom Bildschirm Ihres mobilen Geräts laut vorgelesen werden kann. Diese Liste unterliegt Änderungen und gibt die Dienste und Apps wieder, die als nützlich für eine sichere Produktivität gelten.

Vollständige Ausnahmen

Diese Apps und Dienste sind für die Datenübertragung zu und von Intune verwalteten Apps vollständig zulässig.

App-/Dienstname	Beschreibung
com.android.phone	Native Smartphone-App
com.android.vending	Google Play Store
com.google.android.webview	WebView, die für viele Apps einschließlich Outlook erforderlich ist.
com.android.webview	Webview, die für viele Apps einschließlich Outlook erforderlich ist.
com.google.android.tts	Google Text-zu-Sprache
com.android.providers.settings	Android-Systemeinstellungen
com.android.settings	Android-Systemeinstellungen
com.azure.authenticator	Azure Authenticator-App, die für eine erfolgreiche Authentifizierung in vielen Szenarien erforderlich ist.
com.microsoft.windowsintune.companyportal	Intune-Unternehmensportal
com.android.providers.contacts	App für native Kontakte
com.samsung.android.providers.contacts	Samsung-Kontaktanbieter. Zulässig für Samsung-Geräte.
com.android.providers.blockednumber	Android-Blocknummernanbieter. Zulässig für Android-Geräte.

Bedingte Ausnahmen

Diese Apps und Dienste sind nur unter bestimmten Bedingungen für die Datenübertragung an und von Intune verwalteten Apps zulässig.

App-/Dienstname	Beschreibung	Ausnahmebedingung
com.android.chrome	Google Chrome-Browser	Chrome wird für einige WebView-Komponenten unter Android 7.0 und höher verwendet und wird nie ausgeblendet. Der Datenfluss zur und von der App ist jedoch immer eingeschränkt.
com.skype.raider	Skype	Die Skype-App ist nur für bestimmte Aktionen zulässig, die zu einem Telefonanruf führen.
com.android.providers.media	Android-Medieninhaltsanbieter	Der Medieninhaltsanbieter ist nur für die Klingeltonauswahl-Aktion zulässig.
com.google.android.gms; com.google.android.gsf	Google Play Services-Pakete	Diese Pakete sind für Google Cloud Messaging-Aktionen wie Pushbenachrichtigungen zulässig.
com.google.android.apps.maps	Google Maps	Adressen sind für die Navigation zulässig.
com.android.documentsui	Android-Dokumentauswahl	Zulässig beim Öffnen oder Erstellen einer Datei.
com.google.android.documentsui	Android-Dokumentauswahl (Android 10 und höher)	Zulässig beim Öffnen oder Erstellen einer Datei.

Weitere Informationen finden Sie unter Datenübertragungsrichtlinienausnahmen für Apps.

Erforderliche Zugriffsberechtigungen

Setting	Anleitung
PIN für Zugriff	Klicken Sie auf Require (Erforderlich), um für die Verwendung dieser App eine PIN anzufordern. Benutzer werden beim ersten Ausführen der App in einem Geschäfts-, Schul- oder Unikontext aufgefordert, diese PIN einzurichten. Standardwert = Erforderlich Sie können die PIN-Sicherheit mithilfe der Einstellungen im Abschnitt PIN for access (PIN für Zugriff) konfigurieren. Hinweis: Endbenutzer, die auf die App zugreifen dürfen, können die App-PIN zurücksetzen. Diese Einstellung ist in einigen Fällen auf Android-Geräten möglicherweise nicht sichtbar. Android-Geräte haben eine maximale Einschränkung von vier verfügbaren Tastenkombinationen. Wenn das Maximum erreicht wurde, muss der Endbenutzer alle personalisierten Verknüpfungen entfernen (oder über eine andere verwaltete App-Ansicht auf die Verknüpfung zugreifen), um die Verknüpfung zum Zurücksetzen der APP-PIN anzuzeigen. Alternativ kann der Endbenutzer die Verknüpfung an seine Homepage anheften.
PIN-Typ	Legen Sie fest, dass eine numerische PIN oder ein Passcode eingegeben werden muss, bevor Benutzer auf eine App zugreifen können, für die App-Schutzrichtlinien gelten. Numerische Anforderungen enthalten nur Zahlen, während ein Passcode mit mindestens einem Buchstaben oder mindestens einem Sonderzeichen definiert werden kann. Standardwert = Numerisch Hinweis: Zu den zulässigen Sonderzeichen gehören die Sonderzeichen und Symbole auf der Android-Tastatur in englischer Sprache.
Einfache PIN	Wählen Sie Zulassen aus, um Benutzern die Verwendung einfacher PIN-Sequenzen wie 1234, 1111, abcd oder aaaa zu ermöglichen. Wählen Sie Blöcke aus, um zu verhindern, dass sie einfache Sequenzen verwenden. Einfache Sequenzen werden in gleitenden Fenstern mit drei Zeichen überprüft. Wenn Block konfiguriert ist, würde 1235 oder 1112 nicht als VOM Endbenutzer festgelegte PIN akzeptiert, aber 1122 wäre zulässig. Standardwert = Zulassen Hinweis: Wenn pin vom Kennungstyp konfiguriert ist und Einfache PIN auf Zulassen festgelegt ist, benötigt der Benutzer mindestens einen Buchstaben oder mindestens ein Sonderzeichen in seiner PIN. Wenn der Kennungstyp PIN konfiguriert ist und Einfache PIN auf Blockieren festgelegt ist, benötigt der Benutzer mindestens eine Zahl und einen Buchstaben sowie mindestens ein Sonderzeichen in seiner PIN.
Wählen Sie die minimale PIN-Länge aus.	Geben Sie die Mindestanzahl von Ziffern in einer PIN-Sequenz an. Standardwert = 4
Biometrie statt PIN für den Zugriff	Wählen Sie Zulassen aus, um dem Benutzer die Verwendung biometrischer Daten zur Authentifizierung von Benutzern auf Android-Geräten zu ermöglichen. Sofern zulässig, wird biometrische Daten verwendet, um auf Android 10- oder höher-Geräten auf die App zuzugreifen.
Biometrie mit PIN nach Timeout außer Kraft setzen	Klicken Sie auf Require (Erforderlich), und konfigurieren Sie ein Inaktivitätstimeout, um diese Einstellung zu verwenden. Standardwert = Erforderlich
Timeout (Minuten Inaktivität)	Geben Sie eine Zeit in Minuten an, nach der entweder eine Kennung oder eine numerische PIN (wie konfiguriert) die Verwendung einer biometrischen Daten überschreibt. Dieser Timeoutwert sollte größer als der unter „Zugriffsanforderungen nach (Minuten der Inaktivität) erneut überprüfen“ angegebene Wert sein. Standardwert = 30
Biometrie der Klasse 3 (Android 9.0 und höher)	Wählen Sie Erforderlich aus, um zu verlangen, dass sich der Benutzer mit Biometrie der Klasse 3 anmeldet. Weitere Informationen zu Biometrie der Klasse 3 finden Sie unter Biometrie in der Dokumentation von Google.
Überschreiben von Biometriedaten mit PIN nach biometrischen Updates	Wählen Sie Erforderlich aus, um die Verwendung von Biometriedaten mit PIN zu überschreiben, wenn eine Änderung der biometrischen Daten erkannt wird. HINWEIS: Diese Einstellung wird erst wirksam, wenn ein biometrischer Dienst für den Zugriff auf die App verwendet wurde. Je nach Android-Gerätehersteller werden möglicherweise nicht alle Formen von Biometrie für kryptografische Vorgänge unterstützt. Derzeit werden kryptografische Vorgänge für alle biometrischen Daten (z. B. Fingerabdruck, Iris oder Gesicht) auf dem Gerät unterstützt, die die In der Android-Dokumentation definierten Anforderungen für Biometrie der Klasse 3 erfüllen oder überschreiten. Weitere Informationen finden Sie unter der `BIOMETRIC_STRONG` Konstante der BiometricManager.Authenticators-Schnittstelle und der `authenticate` Methode der BiometricPrompt-Klasse . Möglicherweise müssen Sie sich an den Gerätehersteller wenden, um die gerätespezifischen Einschränkungen zu verstehen.
Anzahl von Tagen für PIN-Zurücksetzung	Klicken Sie auf Yes (Ja), damit die Benutzer nach einem bestimmten Zeitraum die App-PIN ändern müssen. Wenn Sie diese Einstellung auf Ja festlegen, können Sie die Anzahl der Tage festlegen, nach denen die PIN zurückgesetzt werden muss. Standardwert = Nein
Anzahl der Tage	Konfigurieren Sie die Anzahl der Tage, nach denen die PIN zurückgesetzt werden muss. Standardwert = 90
Wählen Sie die Anzahl der vorherigen PIN-Werte aus, die verwaltet werden sollen.	Diese Einstellung gibt die Anzahl der vorherigen PINs an, die Intune verwaltet. Alle neuen PINs müssen sich von denen unterscheiden, die Intune aufrechterhalten. Standardwert = 0
App-PIN, wenn Geräte-PIN festgelegt ist	Wählen Sie Nicht erforderlich aus, um die App-PIN zu deaktivieren, wenn auf einem registrierten Gerät mit konfiguriertem Unternehmensportal eine Gerätesperre erkannt wird. Standardwert = Erforderlich.
Anmeldeinformationen für Geschäfts-, Schul- oder Unikonto für Zugriff	Wählen Sie Erforderlich aus, um zu verlangen, dass sich der Benutzer mit dem Geschäfts-, Schul- oder Unikonto anmeldet, anstatt eine PIN für den App-Zugriff einzugeben. Wenn auf Erforderlich festgelegt und PIN oder biometrische Eingabeaufforderungen aktiviert sind, werden sowohl Unternehmensanmeldeinformationen als auch die PIN oder biometrische Eingabeaufforderungen angezeigt. Standardwert = Nicht erforderlich
Recheck the access requirements after (minutes of inactivity) (Zugriffsanforderungen nach (Minuten der Inaktivität) prüfen)	Konfigurieren Sie die folgende Einstellung: Timeout: Diese Einstellung ist die Anzahl der Minuten, bevor die Zugriffsanforderungen (die weiter oben in der Richtlinie definiert wurden) erneut überprüft werden. Ein Administrator aktiviert z. B. pin und blockiert geräte mit Rootzugriff in der Richtlinie, ein Benutzer öffnet eine Intune verwaltete App, muss eine PIN eingeben und die App auf einem Gerät ohne Stammbasis verwenden. Wenn Sie diese Einstellung verwenden, muss der Benutzer für einen Zeitraum, der dem konfigurierten Wert entspricht, keine PIN eingeben oder einer anderen Überprüfung der Stammerkennung für eine Intune verwaltete App unterzogen werden. Dieses Richtlinieneinstellungsformat unterstützt eine positive ganze Zahl. Standardwert = 30 Minuten Hinweis: Unter Android wird die PIN für alle Intune verwalteten Apps freigegeben. Der PIN-Timer wird zurückgesetzt, sobald die App den Vordergrund auf dem Gerät verlässt. Der Benutzer muss keine PIN für Intune verwaltete App eingeben, die seine PIN für die Dauer des in dieser Einstellung definierten Timeouts freigibt.

Hinweis

Weitere Informationen dazu, wie mehrere Intune App-Schutzeinstellungen, die im Abschnitt Zugriff auf dieselbe Gruppe von Apps und Benutzern unter Android konfiguriert sind, funktionieren, finden Sie unter häufig gestellte Fragen zu Intune MAM und Selektives Zurücksetzen von Daten mithilfe von App-Schutzrichtlinien-Zugriffsaktionen in Intune.

Bedingter Start

Konfigurieren Sie einstellungen für bedingten Start, um Sicherheitsanforderungen für die Anmeldung für Ihre App-Schutzrichtlinie festzulegen.

Standardmäßig werden mehrere Einstellungen mit vorkonfigurierten Werten und Aktionen bereitgestellt. Sie können einige Einstellungen löschen, z. B. die Mindestversion des Betriebssystems. Sie können auch weitere Einstellungen in der Dropdownliste Auswählen auswählen.

App-Bedingungen

Setting	Anleitung
Maximal zulässige PIN-Versuche	Geben Sie die Anzahl der Versuche an, die der Benutzer zum erfolgreichen Eingeben seiner PIN hat, ehe die konfigurierte Aktion ausgeführt wird. Wenn der Benutzer seine PIN nach den maximalen PIN-Versuchen nicht erfolgreich eingeben kann, muss der Benutzer seine Pin zurücksetzen, nachdem er sich erfolgreich bei seinem Konto angemeldet und ggf. eine MFA-Anforderung (Multi-Factor Authentication) abgeschlossen hat. Dieses Richtlinieneinstellungsformat unterstützt eine positive ganze Zahl. Zu den Aktionen zählen: PIN zurücksetzen: Der Benutzer muss die PIN zurücksetzen. Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht. Standardwert = 5
Offline-Toleranzperiode	Die Anzahl der Minuten, die verwaltete Apps offline ausgeführt werden können. Geben Sie die Zeit (in Minuten) an, bevor die Zugriffsanforderungen der App erneut überprüft werden. Zu den Aktionen zählen: Zugriff blockieren (Minuten): Die Anzahl der Minuten, die verwaltete Apps offline ausgeführt werden können. Geben Sie die Zeit (in Minuten) an, bevor die Zugriffsanforderungen der App erneut überprüft werden. Nach Ablauf dieses Zeitraums muss die App die Benutzerauthentifizierung Microsoft Entra ID, damit die App weiterhin ausgeführt werden kann. Dieses Richtlinieneinstellungsformat unterstützt eine positive ganze Zahl. Standardwert = 1440 Minuten (24 Stunden) Hinweis: Das Konfigurieren des Timers für die Offline-Toleranzperiode für das Blockieren des Zugriffs auf einen niedrigeren Wert als der Standardwert kann zu häufigeren Benutzerunterbrechungen führen, wenn die Richtlinie aktualisiert wird. Die Auswahl eines Werts von weniger als 30 Minuten wird nicht empfohlen, da dies bei jedem Anwendungsstart oder -fortsetzen zu Benutzerunterbrechungen führen kann. Daten zurücksetzen (Tage): Nach dieser Anzahl von Tagen (definiert vom Administrator) der Offlineausführung erfordert die App, dass der Benutzer eine Verbindung mit dem Netzwerk herstellt und sich erneut authentifiziert. Wenn sich der Benutzer erfolgreich authentifiziert, kann er weiterhin auf seine Daten zugreifen, und das Offlineintervall wird zurückgesetzt. Wenn sich der Benutzer nicht authentifizieren kann, führt die App eine selektive Zurücksetzung des Kontos und der Daten des Benutzers durch. Weitere Informationen finden Sie unter Zurücksetzen nur von Unternehmensdaten aus Intune verwalteten Apps. Dieses Richtlinieneinstellungsformat unterstützt eine positive ganze Zahl. Standardwert = 90 Tage Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt.
Mindestversion für App	Legen Sie einen Wert für die Mindestversion der Anwendung fest. Zu den Aktionen zählen: Warnung: Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die App-Version auf dem Gerät die Anforderung nicht erfüllt. Diese Benachrichtigung kann verworfen werden. Zugriff blockieren: Der Zugriff durch den Benutzer wird blockiert, wenn die App-Version auf dem Gerät die Anforderung nicht erfüllt. Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht. Da Apps selbst häufig individuelle Versionsschemas aufweisen, erstellen Sie eine Richtlinie mit einer minimalen App-Version, die auf eine App abzielt (z. B. Outlook-Versionsrichtlinie). Dieser Eintrag kann mehrfach vorkommen, wobei jede Instanz eine andere Aktion unterstützt. Dieses Richtlinieneinstellungsformat unterstützt major.minor, major.minor.build oder major.minor.build.revision („Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“). Außerdem können Sie konfigurieren, wo Ihre Endbenutzer eine aktualisierte Version einer branchenspezifischen App erhalten können. Endbenutzern wird dies im Dialogfeld zum bedingten Start der Mindestversion der App angezeigt, in dem Endbenutzer aufgefordert werden, auf eine Mindestversion der BRANCHEN-App zu aktualisieren. Unter Android verwendet dieses Feature die Unternehmensportal. Um zu konfigurieren, wo ein Endbenutzer eine LOB-App aktualisieren soll, muss eine verwaltete App-Konfigurationsrichtlinie mit dem Schlüssel `com.microsoft.intune.myappstore` an diese gesendet werden. Der gesendete Wert definiert, aus welchem Speicher der Endbenutzer die App herunterlädt. Wenn die App über das Unternehmensportal bereitgestellt wird, muss der Wert `CompanyPortal` sein. Für alle anderen Store müssen Sie eine vollständige URL eingeben.
Deaktiviertes Konto	Für diese Einstellung muss kein Wert festgelegt werden. Zu den Aktionen zählen: Zugriff blockieren : Der Zugriff des Benutzers wird blockiert, da sein Konto deaktiviert wurde. Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.
Arbeitsfreie Zeit	Für diese Einstellung muss kein Wert festgelegt werden. Zu den Aktionen zählen: Zugriff blockieren : Der Zugriff des Benutzers wird blockiert, da das der Anwendung zugeordnete Benutzerkonto arbeitsfrei ist. Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn das der Anwendung zugeordnete Benutzerkonto arbeitsfrei ist. Die Benachrichtigung kann verworfen werden. Hinweis: Diese Einstellung darf nur konfiguriert werden, wenn der Mandant in die Arbeitszeit-API integriert wurde. Weitere Informationen zur Integration dieser Einstellung in die Arbeitszeit-API finden Sie unter Einschränken des Zugriffs auf Microsoft Teams, wenn Mitarbeiter außerhalb der Schicht arbeiten. Das Konfigurieren dieser Einstellung ohne Integration in die Arbeitszeit-API kann dazu führen, dass Konten aufgrund fehlender Arbeitszeit blockiert werden, status für das verwaltete Konto, das der Anwendung zugeordnet ist. Die folgenden Apps unterstützen dieses Feature mit Unternehmensportal v5.0.5849.0 oder höher: Teams für Android v1416/1.0.0.2023226005 (2023226050) oder höher Microsoft Edge für Android v125.0.2535.96 oder höher

Gerätebedingungen

Setting	Anleitung
Geräte mit Jailbreak/entfernten Nutzungsbeschränkungen	Geben Sie an, ob der Zugriff auf das Gerät blockiert oder die Gerätedaten für Geräte mit Jailbreak oder Rootzugriff zurückgesetzt werden sollen. Zu den Aktionen zählen: Zugriff blockieren: Verhindert die Ausführung dieser App auf per Jailbreak oder Rootzugriff manipulierten Geräten. Der Benutzer kann diese App weiterhin für persönliche Aufgaben verwenden, muss aber ein anderes Gerät verwenden, um auf Geschäfts-, Schul- oder Unidaten in dieser App zuzugreifen. Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht.
Mindestversion für Betriebssystem	Geben Sie ein Android-Mindestbetriebssystem an, das für die Verwendung dieser App erforderlich ist. Betriebssystemversionen unter der angegebenen Mindestversion des Betriebssystems lösen die Aktionen aus. Zu den Aktionen zählen: Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die Android-Version auf dem Gerät die Anforderung nicht erfüllt. Diese Benachrichtigung kann verworfen werden. Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn die Android-Version auf dem Gerät diese Anforderung nicht erfüllt. Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht. Dieses Richtlinieneinstellungsformat unterstützt major.minor, major.minor.build oder major.minor.build.revision („Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“).
Maximale Betriebssystemversion	Geben Sie ein maximales Android-Betriebssystem an, das für die Verwendung dieser App erforderlich ist. Betriebssystemversionen unter der angegebenen Maximalen Betriebssystemversion lösen die Aktionen aus. Zu den Aktionen zählen: Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die Android-Version auf dem Gerät die Anforderung nicht erfüllt. Diese Benachrichtigung kann verworfen werden. Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn die Android-Version auf dem Gerät diese Anforderung nicht erfüllt. Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht. Dieses Richtlinieneinstellungsformat unterstützt major.minor, major.minor.build oder major.minor.build.revision („Hauptversion.Nebenversion“, „Hauptversion.Nebenversion.Buildversion“ oder „Hauptversion.Nebenversion.Buildversion.Revisionsversion“).
Min. Patchversion	Geräte müssen mindestens über einen von Google veröffentlichten Android-Sicherheitspatch verfügen. Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die Android-Version auf dem Gerät die Anforderung nicht erfüllt. Diese Benachrichtigung kann verworfen werden. Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn die Android-Version auf dem Gerät diese Anforderung nicht erfüllt. Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht. Diese Richtlinieneinstellung unterstützt das Datumsformat JJJJ-MM-TT.
Gerätehersteller	Geben Sie eine durch Semikolons getrennte Liste von Herstellern an. Bei diesen Werten wird die Groß-/Kleinschreibung nicht beachtet. Zu den Aktionen zählen: Angegebenes Zulassen (Nicht angegebenes Blockieren): Nur Geräte, die dem angegebenen Hersteller entsprechen, können die App verwenden. Alle anderen Geräte sind blockiert. Angegebene zulassen (nicht Angegebene löschen): Das Benutzerkonto, das der Anwendung zugeordnet ist, wird vom Gerät gelöscht. Weitere Informationen zur Verwendung dieser Einstellung finden Sie in der Auflistung bedingter Startaktionen.
Integritätsbewertung wiedergeben	App-Schutz Richtlinien unterstützen einige der Google Play-Integritäts-APIs. Diese Einstellung konfiguriert insbesondere die Play-Integritätsprüfung von Google auf Endbenutzergeräten, um die Integrität dieser Geräte zu überprüfen. Geben Sie entweder Die Standardintegrität oder die Standardintegrität und die Geräteintegrität an. Grundlegende Integrität informiert Sie über die allgemeine Integrität des Geräts. Für gerootete Geräte, Emulatoren, virtuelle Geräte und Geräte, die Anzeichen von Manipulationen aufweisen, schlägt die Überprüfung der grundlegenden Integrität fehl. Grundlegende Integrität & zertifizierten Geräten informiert Sie über die Kompatibilität des Geräts mit den Diensten von Google. Nur von Google zertifizierte unveränderte Geräte können diese Prüfung bestehen. Wenn Sie Wiedergabeintegritätsbewertung als für bedingten Start erforderlich auswählen, können Sie angeben, dass eine starke Integritätsprüfung als Auswertungstyp verwendet wird. Das Vorhandensein einer starken Integritätsprüfung, da der Auswertungstyp auf eine höhere Integrität eines Geräts hinweist. Die MAM-Richtlinie blockiert Geräte, die keine starken Integritätsprüfungen unterstützen, wenn sie für diese Einstellung vorgesehen sind. Die starke Integritätsprüfung bietet eine stabilere Stammerkennung als Reaktion auf neuere Typen von Rootingtools und -methoden, die von einer reinen Softwarelösung nicht immer zuverlässig erkannt werden können. Innerhalb von APP wird der Hardwarenachweis aktiviert, indem der Auswertungstyp Play-Integritätsbewertung auf Starke Integrität überprüfen festgelegt wird, nachdem die Play-Integritätsbewertung konfiguriert wurde, und der Erforderliche SafetyNet-Auswertungstyp auf starke Integritätsprüfung , nachdem die Geräteintegritätsprüfung konfiguriert wurde. Der hardwaregestützte Nachweis verwendet eine hardwarebasierte Komponente, die mit Geräten ausgeliefert wird, die mit Android 8.1 und höher installiert sind. Geräte, für die ein Upgrade von einer älteren Version von Android auf Android 8.1 durchgeführt wurde, verfügen wahrscheinlich nicht über die hardwarebasierten Komponenten, die für den hardwaregestützten Nachweis erforderlich sind. Auch wenn diese Einstellung auf Geräten mit Android 8.1 und höher weitgehend unterstützt werden sollte, empfiehlt Microsoft dringend, die Geräte einzeln zu testen, bevor diese Richtlinieneinstellung allgemein aktiviert wird. Wichtig: Geräte, die diesen Auswertungstyp nicht unterstützen, werden basierend auf der Aktion Geräteintegritätsprüfung blockiert oder zurückgesetzt. Organisationen, die diese Funktionalität verwenden möchten, müssen sicherstellen, dass Benutzer über unterstützte Geräte verfügen. Weitere Informationen zu den empfohlenen Geräten von Google finden Sie unter Empfohlene Anforderungen für Android Enterprise. Zu den Aktionen zählen: Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn das Gerät die Google-Geräteintegritätsprüfung basierend auf dem konfigurierten Wert nicht erfüllt. Diese Benachrichtigung kann verworfen werden. Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn das Gerät die Google-Geräteintegritätsprüfung basierend auf dem konfigurierten Wert nicht erfüllt. Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht. Häufig gestellte Fragen zu dieser Einstellung finden Sie unter Häufig gestellte Fragen zu MAM und App-Schutz.
Bedrohungsüberprüfung für Apps erforderlich	App-Schutz Richtlinien unterstützen einige APIs von Google Play Protect. Diese Einstellung stellt insbesondere sicher, dass die Überprüfung von Google Verify Apps für Endbenutzergeräte aktiviert ist. Wenn dies konfiguriert ist, wird der Zugriff des Endbenutzers blockiert, bis er die App-Überprüfung von Google auf seinem Android-Gerät aktiviert. Zu den Aktionen zählen: Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die Überprüfung von Google Verify Apps auf dem Gerät nicht aktiviert ist. Diese Benachrichtigung kann verworfen werden. Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn die Überprüfung von Google Verify Apps auf dem Gerät nicht aktiviert ist. Die Ergebnisse der Überprüfung "Apps überprüfen" von Google werden im Bericht Potenziell schädliche Apps in der Konsole angezeigt.
Erforderlicher SafetyNet-Auswertungstyp	Hardware-gestützter Nachweis verbessert die vorhandene SafetyNet-Nachweisdienstüberprüfung. Sie können den Wert auf Hardwaregestützter Schlüssel festlegen, nachdem Sie safteyNet-Gerätenachweis festgelegt haben.
Gerätesperre erforderlich	Diese Einstellung bestimmt, ob das Android-Gerät über eine Geräte-PIN verfügt, die die Mindestkennwortanforderung erfüllt. Die App-Schutz-Richtlinie kann Maßnahmen ergreifen, wenn die Gerätesperre die Mindestkennwortanforderung nicht erfüllt. Zu den Werten gehören: Geringe Komplexität Mittlere Komplexität Hohe Komplexität Dieser Komplexitätswert ist auf Android 12 und höher ausgerichtet. Bei Geräten, die unter Android 11 und früheren Versionen ausgeführt werden, wird beim Festlegen des Komplexitätswerts "Niedrig", "Mittel" oder "Hoch" standardmäßig das erwartete Verhalten für niedrige Komplexität festgelegt. Weitere Informationen finden Sie in der Google-Entwicklerdokumentation getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM und PASSWORD_COMPLEXITY_HIGH. Zu den Aktionen zählen: Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn die Gerätesperre die Mindestkennwortanforderung nicht erfüllt. Die Benachrichtigung kann verworfen werden. Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn die Gerätesperre die Mindestkennwortanforderung nicht erfüllt. Daten zurücksetzen : Das der Anwendung zugeordnete Benutzerkonto wird vom Gerät zurückgesetzt, wenn die Gerätesperre die Mindestkennwortanforderung nicht erfüllt.
Mindestversion Unternehmensportal	Mithilfe der Mindestversion Unternehmensportal können Sie eine bestimmte mindestdefinierte Version der Unternehmensportal angeben, die auf einem Endbenutzergerät erzwungen wird. Mit dieser Einstellung für den bedingten Start können Sie Werte auf Zugriff blockieren, Daten zurücksetzen und Warnen als mögliche Aktionen festlegen, wenn die einzelnen Werte nicht erfüllt sind. Die möglichen Formate für diesen Wert folgen dem Muster [Haupt].[ Minor], [Major].[ Nebenfach]. [Build], oder [Haupt].[ Nebenfach]. [Build]. [Revision]. Hinweis: Der Support für Android Unternehmensportal Versionen vor 5.0.5421.0 endete am 1. Oktober 2025. Da einige Endbenutzer möglicherweise keine erzwungene Aktualisierung von Apps vor Ort bevorzugen, ist die Option "Warn" beim Konfigurieren dieser Einstellung möglicherweise ideal. Der Google Play Store leistet gute Arbeit, nur die Deltabytes für App-Updates zu senden, aber dies kann immer noch eine große Menge an Daten sein, die der Benutzer möglicherweise nicht verwenden möchte, wenn er sich zum Zeitpunkt des Updates auf Daten befindet. Das Erzwingen eines Updates und damit das Herunterladen einer aktualisierten App kann zu unerwarteten Datengebühren zum Zeitpunkt des Updates führen. Weitere Informationen finden Sie unter Android-Richtlinieneinstellungen.
Max. Unternehmensportal Versionsalter (Tage)	Sie können eine maximale Anzahl von Tagen als Alter der Unternehmensportal (CP)-Version für Android-Geräte festlegen. Diese Einstellung stellt sicher, dass Endbenutzer innerhalb eines bestimmten Bereichs von CP-Releases (in Tagen) liegen. Der Wert muss zwischen 0 und 365 Tagen betragen. Wenn die Einstellung für die Geräte nicht erfüllt ist, wird die Aktion für diese Einstellung ausgelöst. Zu den Aktionen gehören Zugriff blockieren, Daten zurücksetzen oder Warnen. Weitere Informationen finden Sie unter Android-Richtlinieneinstellungen. Hinweis: Das Alter des Unternehmensportal Builds wird durch Google Play auf dem Endbenutzergerät bestimmt.
Samsung Knox-Gerätenachweis	Geben Sie an, ob die Samsung Knox-Gerätenachweisprüfung erforderlich ist. Nur unveränderte Geräte, die von Samsung überprüft wurden, können diese Überprüfung bestehen. Eine Liste der unterstützten Geräte finden Sie unter samsungknox.com. Mit dieser Einstellung überprüft Microsoft Intune auch, ob die Kommunikation zwischen dem Unternehmensportal und dem Intune Dienst von einem fehlerfreien Gerät gesendet wurde. Zu den Aktionen zählen: Warnung : Dem Benutzer wird eine Benachrichtigung angezeigt, wenn das Gerät die Samsung Knox-Gerätenachweisprüfung nicht erfüllt. Diese Benachrichtigung kann auf unterstützten Samsung-Geräten verworfen werden. Zugriff blockieren : Das Benutzerkonto wird für den Zugriff gesperrt, wenn das Gerät nicht der Knox-Gerätenachweisprüfung von Samsung entspricht. Daten zurücksetzen : Das der Anwendung zugeordnete Benutzerkonto wird vom Gerät zurückgesetzt, wenn das Gerät die Samsung Knox-Gerätenachweisprüfung nicht erfüllt. Zugriff auf unterstützten Geräten blockieren : Das Benutzerkonto wird für den Zugriff gesperrt, wenn ein Samsung-Gerät, auf dem Android 15 mit One UI 7.0 oder höher ausgeführt wird, nicht der Knox-Gerätenachweisprüfung von Samsung entspricht. Samsung-Geräte, die unter einem älteren Betriebssystem ausgeführt werden, oder Geräte eines anderen Herstellers sind von dieser Auswahl nicht betroffen. Hinweis: Beachten Sie, wenn Sie die Aktionen "Warnen", "Zugriff blockieren" und "Daten löschen" auswählen: Diese Einstellungen gelten für alle Zielgeräte von Samsung und anderen Herstellern. Auf Nicht-Samsung-Geräten können Benutzer die Knox-Nutzungsbedingungen nicht akzeptieren und werden blockiert. Verwenden Sie Zuweisungsfilter für verwaltete Apps, um nur unterstützte Samsung-Geräte als Ziel zu verwenden. Weitere Informationen zu Zuweisungsfiltern finden Sie unter Verwenden von Filtern beim Zuweisen Von Apps, Richtlinien und Profilen in Microsoft Intune. Samsung-Geräte mit Versionen one UI 7.0 oder früher erfordern, dass Benutzer die Samsung Knox-Bedingungen akzeptieren, bevor die Überprüfung des Gerätenachweises durchgeführt werden kann. Wenn sie nicht akzeptiert wird, wird die angegebene Aktion ausgeführt.
Maximal zulässige Gerätebedrohungsstufe	App-Schutzrichtlinien können die Vorteile des Intune-MTD-Connectors nutzen. Geben Sie eine maximale Bedrohungsstufe an, die für die Verwendung dieser App zulässig ist. Die Bedrohungen werden von der von Ihnen gewählten MTD-Anwendung (Mobile Threat Defense) des Anbieters auf dem Endbenutzergerät bestimmt. Geben Sie entweder Geschützt, Niedrig, Mittel oder Stark ein. Geschützt erfordert keine Bedrohungen auf dem Gerät und ist der restriktivste konfigurierbare Wert, während Stark im Wesentlichen eine aktive Verbindung zwischen Intune und MTD erfordert. Zu den Aktionen zählen: Zugriff blockieren : Der Benutzer wird für den Zugriff gesperrt, wenn die bedrohungsstufe, die von ihrer ausgewählten MTD-App (Mobile Threat Defense) auf dem Endbenutzergerät bestimmt wird, diese Anforderung nicht erfüllt. Daten löschen: Das Benutzerkonto, das der Anwendung zugewiesen ist, wird vom Gerät gelöscht. Weitere Informationen zur Verwendung dieser Einstellung finden Sie unter Aktivieren des Mobile Threat Defense-Connectors in Intune für nicht registrierte Geräte.
Primärer MTD-Dienst	Wenn Sie mehrere Intune-MTD-Connectors konfiguriert haben, geben Sie die primäre MTD-Anbieter-App an, die auf dem Endbenutzergerät verwendet werden soll. Zu den Werten gehören: Microsoft Defender for Endpoint: Wenn der MTD-Connector konfiguriert ist, geben Sie an, Microsoft Defender for Endpoint Informationen zur Gerätebedrohungsstufe bereitstellt. Mobile Threat Defense (nicht von Microsoft): Wenn der MTD-Connector konfiguriert ist, geben Sie an, dass das nicht von Microsoft stammende MTD informationen zur Bedrohungsstufe des Geräts bereitstellt. Sie müssen die Einstellung "Max. zulässige Geräte-Bedrohungsstufe" konfigurieren, um diese Einstellung zu verwenden. Für diese Einstellung gibt es keine Aktionen .

Feedback

War diese Seite hilfreich?

Last updated on 2025-11-18