Konfigurieren von Anwendungsschutzrichtlinien (APP) in Microsoft Intune

Konfigurieren von Anwendungsschutzrichtlinien (APP) in Microsoft Intune

14.06.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Konfiguration und Implementierung von Application Protection Policies (APP), auch bekannt als anmeldefreies Mobile Application Management (MAM), in Microsoft Intune helfen. APPs sind für den Schutz von Unternehmensdaten auf mobilen Geräten von entscheidender Bedeutung, unabhängig davon, ob sie von Intune (MDM) oder nicht verwaltet (BYOD – Bring Your Own Device) verwaltet werden. Sie stellen sicher, dass die Daten des Unternehmens sicher und von persönlichen Daten isoliert bleiben [1].

Einführung

In einem Szenario, in dem Mobilität unerlässlich ist und die Nutzung persönlicher Geräte für Arbeitszwecke (BYOD) immer häufiger vorkommt, wird der Schutz von Unternehmensdaten zu einer großen Herausforderung. Microsoft Intune App Protection Policies (APP) bietet eine robuste Lösung für dieses Problem und ermöglicht es Unternehmen, zu steuern, wie auf Unternehmensdaten zugegriffen, diese verwendet und in bestimmten mobilen Anwendungen geteilt werden, ohne das gesamte Gerät verwalten zu müssen. Dies bedeutet, dass Sie Daten in Apps wie Outlook, Word, Excel, SharePoint und anderen von Intune verwalteten Apps schützen können, selbst auf Geräten, die nicht bei MDM registriert sind [2].

Dieser praktische Leitfaden behandelt die Erstellung und Konfiguration von APP-Richtlinien für iOS/iPadOS und Android, einschließlich der Definition von Zugriffskontrollen, Datenschutz und Compliance-Anforderungen. Es werden Schritt-für-Schritt-Anleitungen, Konfigurationsbeispiele und Validierungsmethoden bereitgestellt, damit der Leser eine wirksame Datenschutzstrategie umsetzen, vertrauliche Informationen schützen und die Einhaltung gesetzlicher Vorschriften auf Mobilgeräten sicherstellen kann.

Warum sind Anwendungsschutzrichtlinien (APP) so wichtig?

  • Enterprise Data Protection: Verhindert Datenverlust (DLP) durch die Steuerung von Aktionen wie Kopieren, Einfügen, Speichern unter und Drucken des Bildschirms in verwalteten Anwendungen.
  • BYOD-Unterstützung: Ermöglicht Benutzern die Nutzung ihrer persönlichen Geräte für die Arbeit und schützt gleichzeitig Unternehmensdaten, ohne die Privatsphäre zu beeinträchtigen.
  • Flexible Zugriffskontrollen: Für den Zugriff auf verwaltete Anwendungen sind eine PIN, biometrische Daten oder Unternehmensanmeldeinformationen erforderlich, um sicherzustellen, dass nur autorisierte Benutzer auf Unternehmensdaten zugreifen können.
  • Datenisolierung: Stellt sicher, dass Unternehmensdaten nicht in nicht verwaltete persönliche Anwendungen oder Speicher verschoben werden können.
  • Compliance: Hilft bei der Einhaltung regulatorischer Anforderungen, die den Datenschutz auf Mobilgeräten erfordern.
  • Verbesserte Benutzererfahrung: Bietet eine konsistente und sichere Benutzererfahrung für alle Unternehmensanwendungen.

Voraussetzungen

Um Anwendungsschutzrichtlinien (APP) in Microsoft Intune zu implementieren, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Eine Lizenz, die Microsoft Intune beinhaltet (z. B. Microsoft 365 E3, E5, F3, Business Premium, Enterprise Mobility + Security E3, E5) [3].
  2. Administratorzugriff: Ein Konto mit den Berechtigungen „Intune-Administrator“, „Intune-Anwendungsadministrator“ oder „Globaler Administrator“ im Microsoft Intune Admin Center („https://endpoint.microsoft.com“).
  3. Intune-verwaltete Apps: Die Apps, die Sie schützen möchten, müssen „MAM-fähig“ (MAM-kompatibel) sein, z. B. Microsoft 365-Apps (Outlook, Word, Excel, PowerPoint, OneDrive, SharePoint, Teams) und andere branchenspezifische Apps, die in das Intune App Protection SDK [4] integriert wurden.
  4. Testgeräte: iOS/iPadOS- und Android-Geräte zum Testen von Richtlinien.

Schritt für Schritt: Anwendungsschutzrichtlinien (APP) konfigurieren

Lassen Sie uns eine APP-Richtlinie für iOS/iPadOS und Android erstellen, um Unternehmensdaten in Microsoft 365-Apps zu schützen.

1. Zugriff auf das Microsoft Intune Admin Center

  1. Öffnen Sie Ihren Browser und navigieren Sie zu „https://endpoint.microsoft.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.

2. Erstellen einer neuen Anwendungsschutzrichtlinie

  1. Wählen Sie im linken Navigationsbereich Anwendungen > Anwendungsschutzrichtlinien aus.
  2. Klicken Sie auf Richtlinie erstellen und wählen Sie die gewünschte Plattform aus (z. B. „iOS/iPadOS“). Wir werden den Vorgang wiederholenfür Android.

Schritt 1: Grundlegende Informationen

  1. Name: „APP – iOS – Unternehmensdatenschutz“ (oder „APP – Android – Unternehmensdatenschutz“).
  2. Beschreibung: „Richtlinie zum Schutz von Unternehmensdaten in Microsoft 365-Apps auf iOS-/iPadOS-Geräten.“
  3. Klicken Sie auf Weiter.

Schritt 2: Bewerbungen

Hier wählen Sie die Anwendungen aus, auf die diese Richtlinie abzielt.

  1. Ziel-Apps: Wählen Sie „Alle Microsoft-Apps“ (um alle Microsoft 365-Apps und andere Microsoft-Apps zu schützen, die APP unterstützen) oder „Benutzerdefinierte Apps auswählen“ (um bestimmte Apps auszuwählen).
  2. Wählen Sie für dieses Beispiel „Alle Microsoft Apps“.
  3. Klicken Sie auf Weiter.

Schritt 3: Datenschutz

In diesem Abschnitt wird definiert, wie Unternehmensdaten in Anwendungen geschützt werden.

Datenübertragungen:

  1. Organisationsdaten an andere Apps senden: Wählen Sie „Alle Apps“ oder „Keine Apps“.
    • Tipp: Für maximale Sicherheit verhindert „Keine Apps“, dass Unternehmensdaten in persönliche Apps verschoben werden. Wenn Sie Interoperabilität mit nicht verwalteten Branchenanwendungen benötigen, ziehen Sie „Alle Anwendungen“ mit zusätzlichen Einschränkungen in Betracht.
  2. Daten von anderen Apps empfangen: Wählen Sie „Alle Apps“ oder „Keine Apps“.
  3. Benutzern erlauben, Kopien von Organisationsdaten zu speichern: Wählen Sie „Keine Anwendungen“.
  4. Benutzern erlauben, Kopien von Organisationsdaten in ausgewählten Cloud-Diensten zu speichern: Wenn Sie das Speichern in bestimmten Cloud-Diensten (z. B. OneDrive for Business, SharePoint) zulassen müssen, konfigurieren Sie es hier.

Verschlüsselung:

  1. Organisationsdaten verschlüsseln: Wählen Sie „Ja“.

Eigenschaften:

  1. Funktionen zum Ausschneiden, Kopieren und Einfügen einschränken: Wählen Sie „Nur für Richtlinien-Apps“ (um das Kopieren/Einfügen zwischen verwalteten Apps zuzulassen, aber nicht für persönliche Apps) oder „Blockieren“ (um dies vollständig zu verhindern).
  2. Screenshots und Bildschirmaufzeichnung verhindern: Wählen Sie „Ja“.
  3. Kontakte mit nativen Apps synchronisieren: Wählen Sie „Blockieren“.

  4. Organisationsdaten drucken: Wählen Sie „Blockieren“.

  5. Klicken Sie auf Weiter.

Schritt 4: Zugriffsanforderungen

In diesem Abschnitt werden die Bedingungen definiert, die ein Benutzer erfüllen muss, um auf verwaltete Anwendungen zuzugreifen.

  1. PIN für den Zugriff: Wählen Sie „PIN erforderlich“.
    • PIN-Typ: „Numerisch“ oder „Komplex numerisch“.
    • Mindest-PIN-Länge: „4“ (oder mehr, je nach Sicherheitsrichtlinie).
    • Fingerabdruck statt PIN zulassen: „Ja“ (der Einfachheit halber).
  2. Firmenanmeldeinformationen für den Zugriff: Wählen Sie „Firmenanmeldeinformationen erforderlich“ (für regelmäßige Neuauthentifizierung).

  3. Geräte-/Anwendungszustandsprüfung: Wählen Sie „Ja“.

    • Maximal zulässige Bedrohungsstufe: „Niedrig“ oder „Mittel“ (integriert mit Microsoft Defender für Endpoint für iOS/Android).

  4. Klicken Sie auf Weiter.

Schritt 5: Bedingter Start

In diesem Abschnitt wird definiert, was passiert, wenn das Gerät oder die App die Richtlinienanforderungen nicht erfüllt.

  1. Zugriffs-PIN: Konfigurieren Sie „Maximale Anzahl von PIN-Versuchen“ (z. B. „5“). Aktion: „PIN zurücksetzen“ oder „Daten löschen“.
  2. Offline-Anmeldeinformationen: Konfigurieren Sie die „Offline-Kulanzfrist“ (z. B. „720“ Minuten). Aktion: „Zugriff sperren“ oder „Daten löschen“.

  3. Gerätebedrohungsstufe: Konfigurieren Sie „Maximal zulässige Bedrohungsstufe“ (z. B. „Mittel“). Aktion: „Zugriff sperren“ oder „Daten löschen“.

  4. Klicken Sie auf Weiter.

Schritt 6: Aufgaben

Weisen Sie die Richtlinie den Benutzern oder Gruppen zu, die die verwalteten Anwendungen verwenden.

  1. Einschließen: Wählen Sie „Gruppen auswählen“ und fügen Sie die Benutzergruppen hinzu, die diese Richtlinie erhalten sollen (z. B. „Alle Benutzer“ oder eine bestimmte Gruppe von Unternehmensbenutzern).

  2. Löschen: (Optional) Löschen Sie bei Bedarf bestimmte Gruppen.

  3. Klicken Sie auf Weiter.

Schritt 7: Überprüfen und erstellen

  1. Überprüfen Sie alle Richtlinieneinstellungen.
  2. Klicken Sie auf Erstellen.

3. Wiederholen für die andere Plattform (Android)

Wiederholen Sie die Schritte in Abschnitt 2, um eine Richtlinie für die Android-Plattform zu erstellen, und passen Sie bei Bedarf den Namen und die Beschreibung der Richtlinie an. Datenschutzeinstellungen, Zugriffsanforderungen und bedingte Freigabe sind ähnlich, können jedoch geringfügige Unterschiede aufweisenEs gibt plattformspezifische Variationen.

Validierung und Tests

Die Validierung von APP-Richtlinien ist entscheidend, um sicherzustellen, dass sie wie erwartet funktionieren und Unternehmensdaten schützen.

1. Testen auf verwalteten und nicht verwalteten Geräten

  1. Nicht verwaltetes Gerät (BYOD): Installieren Sie auf einem persönlichen Gerät, das nicht bei Intune (MDM) registriert ist, eine verwaltete App (z. B. Outlook). Melden Sie sich mit einem Unternehmenskonto an, das in den Geltungsbereich der APP-Richtlinie fällt.
    • Überprüfen Sie, ob die Anwendung die Zugangs-PIN oder Biometrie anfordert.
    • Versuchen Sie, Unternehmensdaten in eine persönliche Anwendung (z. B. Notepad) zu kopieren. Die Aktion muss blockiert werden.
    • Versuchen Sie, einen Screenshot innerhalb der verwalteten Anwendung zu erstellen. Die Aktion muss blockiert sein oder der Screenshot muss leer erscheinen.
  2. Verwaltetes Gerät (MDM): Testen Sie auf einem bei Intune registrierten Gerät (MDM) dieselben Aktionen, um sicherzustellen, dass die APP-Richtlinie korrekt in Verbindung mit den MDM-Richtlinien angewendet wird.

2. Überprüfen der Intune-Diagnoseprotokolle

Intune-Diagnoseprotokolle können Informationen zur Durchsetzung von APP-Richtlinien liefern.

  1. Gehen Sie im Microsoft Intune Admin Center zu Fehlerbehebung + Support.
  2. Suchen Sie nach einem Testbenutzer.
  3. Im Abschnitt Anwendungen können Sie den Status der Anwendungsschutzrichtlinie sehen, die auf den Benutzer und die Anwendungen angewendet wird.

3. Überprüfen des Statusberichts der App-Schutzrichtlinie

  1. Gehen Sie im Microsoft Intune Admin Center zu Apps > Überwachen > App-Schutzstatus.
  2. Dieser Bericht bietet einen Überblick über den Status der APP-Richtlinien, einschließlich der Benutzer und Anwendungen, die sie erhalten haben, sowie etwaiger Fehler.

Sicherheitstipps und Best Practices

  • Beginnen Sie mit Audit: Beginnen Sie bei neuen Implementierungen mit weniger restriktiven Richtlinien oder im Audit-Modus (falls verfügbar), um die Auswirkungen zu verstehen, bevor Sie vollständige Blöcke anwenden.
  • Klare Kommunikation: Kommunizieren Sie den Benutzern klar und deutlich die APP-Richtlinien, ihre Vorteile und wie sie sich auf die Nutzung ihrer Geräte auswirken. Dies trägt dazu bei, den Widerstand zu verringern und die Compliance zu erhöhen.
  • Plattformübergreifende Konsistenz: Halten Sie die APP-Richtlinien für iOS/iPadOS und Android konsistent, um ein einheitliches Benutzererlebnis und eine kohärente Sicherheitslage zu gewährleisten.
  • Integration mit bedingtem Zugriff: Kombinieren Sie APP-Richtlinien mit dem bedingten Zugriff von Azure AD, um zu verlangen, dass Anwendungen APP-gesichert werden, bevor Zugriff auf Unternehmensressourcen gewährt wird [5].
  • Periodische Überprüfung: Überprüfen und passen Sie Ihre APP-Richtlinien regelmäßig an, um sie an sich ändernde Geschäftsanforderungen, die Bedrohungslandschaft und Anwendungsaktualisierungen anzupassen.
  • Sensible Anwendungen priorisieren: Wenden Sie zunächst APP-Richtlinien auf die Anwendungen an, die die vertraulichsten Daten enthalten oder am häufigsten für Unternehmenszwecke verwendet werden.
  • PIN und Biometrie: Erfordern PIN oder Biometrie für den Zugriff auf verwaltete Apps für eine zusätzliche Sicherheitsebene, insbesondere auf gemeinsam genutzten Geräten.

Allgemeine Fehlerbehebung

  • APP-Richtlinie nicht angewendet: Überprüfen Sie, ob sich der Benutzer in der Richtlinieneinschlussgruppe befindet. Stellen Sie sicher, dass die App eine von Intune verwaltete App ist und sich in der Liste der Ziel-Apps befindet. Überprüfen Sie die Intune-Diagnoseprotokolle.
  • Benutzer unerwartet blockiert: Überprüfen Sie die Einstellungen für „Bedingter Start“ der Richtlinie. Möglicherweise verstößt das Gerät oder die App gegen eine Bedingung (z. B. falsche PIN, gerootetes/gejailbreaktes Gerät).
  • Leaking von Unternehmensdaten: Überprüfen Sie die „Datenschutz“-Einstellungen, insbesondere die Einschränkungen „Organisationsdaten an andere Anwendungen senden“ und „Benutzern erlauben, Kopien von Organisationsdaten zu speichern“.
  • App wird nicht als verwaltet angezeigt: Stellen Sie sicher, dass die App als von Intune verwaltete App bereitgestellt wird oder dass der Benutzer mit seinem Arbeitskonto in der App angemeldet ist.
  • Probleme mit der Anwendungsleistung: In einigen Fällen können sehr restriktive APP-Richtlinien die Anwendungsleistung beeinträchtigen. Überwachen Sie das Benutzerfeedback und passen Sie die Richtlinien bei Bedarf an.
  • Konflikte mit anderen Richtlinien: Wenn MDM- und APP-Richtlinien auf dasselbe Gerät angewendet werden, stellen Sie sicher, dass keine Konflikte vorliegen. APP-Gen-RichtlinienDiese Richtlinien gelten nur für Daten innerhalb der App, während MDM-Richtlinien für das Gerät als Ganzes gelten.

Fazit

Anwendungsschutzrichtlinien (APP) in Microsoft Intune sind ein wesentliches Werkzeug zum Schutz von Unternehmensdaten auf Mobilgeräten und bieten Flexibilität und Sicherheit für BYOD-Umgebungen. Durch die Implementierung detaillierter Kontrollen darüber, wie Daten innerhalb verwalteter Anwendungen abgerufen, genutzt und geteilt werden, können Unternehmen das Risiko von Datenverlusten erheblich verringern und die Einhaltung gesetzlicher Vorschriften sicherstellen. Durch die sorgfältige Konfiguration von APPs in Kombination mit strengen Tests und Benutzerschulungen können IT- und Sicherheitsteams den Datenschutz über den herkömmlichen Bereich hinaus erweitern und so sicherstellen, dass die wertvollsten Informationen des Unternehmens unabhängig vom verwendeten Gerät sicher bleiben. Mit diesem Leitfaden können Sicherheitsexperten die mobile Sicherheit stärken und Informationsressourcen in einer zunehmend vernetzten Welt schützen.

Referenzen:

[1] Microsoft Learn. Überblick über Anwendungsschutzrichtlinien. Verfügbar unter: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policy [2] Microsoft Learn. Erstellen und implementieren Sie Anwendungsschutzrichtlinien. Verfügbar unter: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policies [3] Microsoft Learn. Microsoft Intune-Lizenzanforderungen. Verfügbar unter: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [4] Microsoft Learn. Durch Microsoft Intune geschützte Anwendungen. Verfügbar unter: https://learn.microsoft.com/pt-br/mem/intune/apps/apps-supported-intune-apps [5] Microsoft Learn. Bedingter Zugriff mit Intune App Protection. Verfügbar unter: https://learn.microsoft.com/pt-br/mem/intune/apps/app-protection-conditional-access