Microsoft Intune unterstützt zwei primäre Modelle zur Verwaltung der Endpunkt- und Anwendungssicherheit:
- Verwaltung von Mobilgeräten (MDM): Ein Ansatz auf Geräteebene, der eine vollständige Intune-Registrierung erfordert.
- Verwaltung mobiler Anwendungen (MAM): Ein Ansatz auf Anwendungsebene, der Unternehmensdaten schützt, ohne dass eine Geräteregistrierung erforderlich ist.
Intune verwendet Sicherheitsrichtlinien für Anwendungen (APPs), um Sicherheitsregeln für Apps zu definieren und durchzusetzen. Dazu gehören Datenverschlüsselung, Steuerelemente für Kopieren, Einfügen und Speichern, bedingter App-Start und Anforderungen an die Benutzerauthentifizierung für bestimmte Anwendungen (hauptsächlich Microsoft 365-Apps).
Dieser Leitfaden beschreibt die Schritte zur Konfiguration und Durchsetzung von Intune-Sicherheitsrichtlinien für Anwendungen auf MAM- (BYOD) und MDM-Geräten (unternehmenseigenen Geräten). Außerdem wird erläutert, wie Intune die Koexistenz beider Systeme unterstützt, wobei ein einzelnes Gerät sowohl durch MDM als auch durch MAM verwaltet werden kann, um eine mehrschichtige Durchsetzung von Richtlinien zu ermöglichen.
📌 Empfohlene Einsatzstrategien:
Leitfaden zu Sicherheitsrichtlinien für Anwendungen in Microsoft Intune
In diesem Guide erfahren Sie, wie Sie Sicherheitsrichtlinien für Anwendungen in Microsoft Intune auf MAM- und MDM-Geräten anwenden können. Darüber hinaus werden die Integration des bedingten Zugang, Validierungsmethoden und wichtige Überlegungen zur Bereitstellung erläutert.
📌 Allgemeine Voraussetzungen:
- Premium P1-Lizenzen für Microsoft Intune und Azure AD
- Anwendungen müssen das Intune SDK unterstützen (z. B. Outlook, Teams, OneDrive).
- Für MAM: Geräteregistrierung ist nicht erforderlich.
- Für MDM: Das Gerät muss in Intune registriert sein.
- Zugang zum Microsoft Endpoint Manager Admin Center
- Benutzer:innen müssen Azure AD-Sicherheitsgruppen zugeordnet sein, auf die sich eine Richtlinie bezieht.
Anwendung von Sicherheitsrichtlinien für Apps: Nur MAM (für BYOD)
Reine MAM-Richtlinien schützen Unternehmensdaten in Anwendungen, ohne dass ein Gerät bei MDM registriert werden muss.
📌 Anwendungsfälle: Dies ist ideal für Benutzer:innen, die nach dem Modell Bring Your Own Device (BYOD) arbeiten. In diesem Fall können Unternehmen die Unternehmensdaten innerhalb von Apps schützen, ohne das gesamte Gerät verwalten zu müssen.
📌 Voraussetzungen:
- Geräte müssen das Intune SDK unterstützen oder mit dem App-Wrapping-Tool von Intune umschlossen werden.
- Benutzer:innen müssen über Premium P1/P2-Lizenzen für Intune und Azure AD verfügen.
Schritt für Schritt:
- Öffnen Sie das Verwaltungszentrum von Microsoft Intune.
- Navigieren Sie zu Anwendungen > Sicherheitsrichtlinien für Anwendungen > Richtlinie erstellen.
- Wählen Sie die Plattform: iOS/iPadOS/Android/Windows
- Wählen Sie unter Zielanwendungen Microsoft und unterstützte Drittanbieteranwendungen aus.
- Klicken Sie auf Weiter und konfigurieren Sie dann die Einstellungen für den App-Schutz:
- Datenschutz: Legen Sie fest, wie Benutzer:innen mit den Daten in den Anwendungen interagieren können (einschließlich Ausschneiden/Kopieren/Einfügen/Speichern und Verschlüsseln von Daten).
- Zugangsvoraussetzungen: Legen Sie Anforderungen fest, die Benutzer:innen erfüllen müssen, um auf Anwendungen zugreifen zu können (wie etwa PIN, biometrische Daten oder bedingter Start).
- Bedingter Start: Legen Sie Sicherheitsanforderungen für die Anmeldung für Ihre Zugriffsschutzrichtlinie fest (einschließlich der Sperrung des Zugangs oder der Löschung von Daten nach einem Offline-Intervall).
- Klicken Sie auf Weiter, und weisen Sie dann die Richtlinie auf der Seite Zuweisungen den Benutzergruppen (nicht den Geräten) zu. (Lesen Sie #1 in ⚠️ Aspekte, auf die man achten sollte)
- Klicken Sie auf Weiter, überprüfen Sie die Einstellungen und klicken Sie dann auf Erstellen.
- Überprüfen Sie das Ergebnis unter Überwachen > Schutzstatus der App.
Diese Richtlinie gilt auch, wenn das Gerät nicht verwaltet wird (MAM ohne Registrierung, oder kurz MAM-WE).
Anwendung von Sicherheitsrichtlinien für Apps: In MDM registrierte Geräte
Die Anwendung von Sicherheitsrichtlinien für Apps auf in MDM registrierten Geräten erfolgt in denselben Schritten wie oben beschrieben, aber in der Regel in Kombination mit:
- Richtlinien zur Compliance
- Gerätekonfigurationsprofile
- Zugangskontrollrichtlinien
Dies bietet neben den Konfigurationen auf Geräteebene eine zusätzliche Sicherheitsebene.
📌 Anwendungsfälle: Ideal für unternehmenseigene Geräte mit vollständiger Verwaltung.
📌 Voraussetzungen:
- Geräte müssen bei Intune MDM registriert sein
- Benutzer:innen müssen über eine Lizenz für Microsoft Intune verfügen
- Gezielte Anwendungen müssen die Sicherheitsrichtlinien für Apps von Intune unterstützen
Schritt für Schritt:
- Öffnen Sie das Verwaltungszentrum von Microsoft Intune.
- Navigieren Sie zu Anwendungen > App-Schutzrichtlinien > Richtlinie erstellen.
- Plattform wählen: iOS/iPadOS/Android/Windows
- Wählen Sie auf der Seite Anwendungen Microsoft und unterstützte Drittanbieter-Apps aus.
- Klicken Sie auf Weiter und konfigurieren Sie dann die Einstellungen für den App-Schutz:
- Datenschutz: Legen Sie fest, wie Benutzer:innen mit den Daten in den Anwendungen interagieren können (einschließlich Ausschneiden/Kopieren/Einfügen/Speichern und Verschlüsseln von Daten).
- Zugangsvoraussetzungen: Legen Sie Anforderungen fest, die Benutzer:innen erfüllen müssen, um auf Anwendungen zugreifen zu können (wie etwa PIN, biometrische Daten oder bedingter Start).
- Bedingter Start: Legen Sie Sicherheitsanforderungen für die Anmeldung für Ihre Zugriffsschutzrichtlinie fest (einschließlich der Sperrung des Zugangs oder der Löschung von Daten nach einem Offline-Intervall).
- Klicken Sie auf Weiter und weisen Sie die Richtlinie dann Benutzergruppen mit in MDM registrierten Geräten zu. (Lesen Sie #1 in ⚠️ Aspekte, auf die man achten sollte)
- Klicken Sie auf Weiter, überprüfen Sie alle Einstellungen, und wählen Sie Erstellen, um die Richtlinie bereitzustellen.
- Überprüfen Sie das Ergebnis unter Überwachen > Schutzstatus der App.
Was ist der Unterschied zwischen MDM und MAM?
MDM-Richtlinien steuern den Zustand der Geräte. Gleichzeitig schützen MAM-Richtlinien die Daten auf Anwendungsebene innerhalb verwalteter Apps weiter.
💡 Hinweis: Intune priorisiert den MDM-Schutz, wenn beide vorhanden sind.
Durchsetzung einer Zugangskontrolle auf der Grundlage des Anwendungsschutzes
Unternehmen können anwendungsbasierte Richtlinien für bedingten Zugang durchsetzen, um sicherzustellen, dass nur geschützte Apps auf Unternehmensdaten zugreifen können.
📌 Anwendungsfälle: Benutzen Sie dies, um:
- den Zugriff von nicht verwalteten Anwendungen oder Geräten zu blockieren
- Daten-Compliance auf Anwendungsebene (nur MAM oder hybrid) durchzusetzen
- Zero-Trust-Sicherheit zu implementieren
📌 Voraussetzungen:
- P1/P2-Lizenzen für Intune und Azure AD Premium
- Gültige Microsoft 365-Benutzerlizenz
- Apps müssen über eine bestehende Sicherheitsrichtlinie geschützt sein
Schritt für Schritt: (Lesen Sie Nr. 2 unter ⚠️ Aspekte, auf die Sie achten sollten)
- Melden Sie sich bei Microsoft Entra Admin Center (Azure AD) an.
- Navigieren Sie zu: Entra ID > Schutz > Zugangskontrolle > Richtlinien > Neue Richtlinie.
- Wählen Sie unter Zuweisungen die Benutzer:innen oder Gruppen aus, die betroffen sind. (Lesen Sie Nr. 1 unter ⚠️ Aspekte, auf die Sie achten sollten)
- Wählen Sie die Zielanwendungen (z. B. Exchange Online, SharePoint).
- Unter Zugriffskontrollen > Gewähren:
- Wählen Sie Sicherheitsrichtlinie für Apps anfordern.
- Optional Genehmigte Anwendung anfordern und MFA anfordern
- Aktivieren Sie die Richtlinie und klicken Sie auf Erstellen.
Diese Richtlinien arbeiten mit den Intune-Sicherheitsrichtlinien für Anwendungen (APP) zusammen.
💡 Sie können auch lesen Wie man Richtlinien für bedingten Zugang in Azure AD konfigurieren kann.
Validierungsmethode 1: Verwendung von PowerShell zur Abfrage der Benutzer- oder Anwendungs-Compliance
PowerShell kann mit Graph API verwendet werden, um Richtlinienzuweisungen abzurufen und den Durchsetzungsstatus über Geräte und Anwendungen hinweg zu bewerten.
📌 Anwendungsfälle: Benutzen Sie dies, um:
- APP-Zuweisungen für alle Benutzer:innen eines Mandanten zu validieren
- zu überprüfen, welche Geräte oder Benutzer:innen über MAM verwaltet sind
- Compliance-Berichte für MSP- oder Unternehmensumgebungen zu erstellen
📌 Voraussetzungen:
- Administratorrechte mit den Rollen Intune Admin, Global Admin oder Security Reader
- Das Microsoft Graph PowerShell SDK muss installiert sein.
So geht’s:
- Installieren Sie Graph SDK (falls nicht vorhanden):
Install-Module Microsoft.Graph -Scope CurrentUser
- Verbinden Sie sich mit Microsoft Graph:
Connect-MgGraph -Scopes "DeviceManagementApps.Read.All","Policy.Read.All"
Sie werden aufgefordert, sich mit einem Administratorkonto anzumelden.
- Listen Sie alle App-Schutzrichtlinien und ihre Zuordnungen auf:
Get-MgDeviceAppManagementTargetedManagedAppPolicy
- Fragen Sie eine spezifische Benutzerzuordnung ab:
Get-MgDeviceAppManagementManagedAppRegistration -UserId <[email protected]>
💡 Hinweis: Zur Berichterstattung können Sie die Ergebnisse mit folgendem Befehl in CSV-Format exportieren: Export-Csv –Path „filename.csv“
Validierungsmethode 2: Verwenden Sie die Windows Registry, um zwischen dem MAM- und MDM-Agenten zu unterscheiden
Mit dieser Methode lässt sich feststellen, ob ein Gerät über MDM oder MAM verwaltet wird. Wenn beides der Fall ist, soll ermittelt werden, welcher Agent aktiv Richtlinien durchsetzt.
📌 Anwendungsfälle: Benutzen Sie dies, um:
- Konflikte bei der Registrierung zu beheben
- MDM- oder MAM-Status der Endpunkte während der Migration zu bestätigen
- zwischen BYOD und unternehmenseigener Konfiguration zu unterscheiden
📌 Voraussetzungen:
- Sie müssen als Administrator angemeldet sein.
- Die Geräte müssen in Azure AD registriert oder angeschlossen sein und über entweder eine MAM- oder eine MDM-Konfiguration zu verfügen.
⚠️ Warnung: Die Bearbeitung der Registrierung kann zu Systemproblemen führen. Erstellen Sie eine Backup-Kopie, bevor Sie fortfahren. (Lesen Sie Nr. 3 unter ⚠️ Aspekte, auf die Sie achten sollten)
So geht’s:
- Drücken Sie Win + R, geben Sie regedit ein und drücken Sie auf die Eingabetaste.
- Klicken Sie auf Ja, wenn Sie von der Benutzerkontensteuerung dazu aufgefordert werden.
- Um nach MDM-Registrierungsschlüsseln zu suchen, navigieren Sie zu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments
Prüfen Sie:
- EnrollmentType (0 = MDM, 6 = MDM+EAS)
- ProviderName
- UPN
- Um die MAM-Registrierung zu überprüfen, navigieren Sie zu:
HKEY_CURRENT_USER\Software\Microsoft\MSEnrollment\EnrollmentEntries
Prüfen Sie die Schlüssel für:
- ADDTenantID
- AzureADDeviceID
- UPN
- Navigieren Sie zu folgendem Pfad, um älteres WIP MAM zu prüfen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\
Prüfen Sie die Schlüssel für:
- SystemSecurity
- DataProtection
- WindowsInformationProtection (WIP = altes MAM für Windows)
Unter Android/iOS werden MAM-Richtlinien über das SDK durchgesetzt und können nicht durch lokalen Zugriff auf die Registry überprüft werden.
Validierungsmethode 3: Verwendung der Eingabeaufforderung für die Validierung des MDM-Registrierungsstatus
Diese Methode liefert eine schnelle Übersicht über den Status der MDM-Registrierung und der Azure-AD-Join-Verbindung.
📌 Anwendungsfälle: Benutzen Sie dies, um:
- zu überprüfen, ob ein Gerät ordnungsgemäß in Intune MDM registriert ist
- Fehler bei der automatischen Registrierung zu beheben
- Voraussetzungen für die APP-Durchsetzung zu validieren
📌 Voraussetzungen:
- Sie müssen als Administrator angemeldet sein.
So geht’s:
- Drücken Sie Win + X und wählen Sie Eingabeaufforderung (Admin) oder Windows Terminal (Admin).
- Führen Sie diesen Befehl aus, um die MDM-Registrierung des Geräts zu überprüfen:
dsregcmd /status
Suchen Sie nach:
- MDMUrl: Bestätigt den MDM-Endpunkt
- DeviceCompliancePolicyReceived: JA
- WIPEnabled: JA (nur bei Verwendung des Windows-Informationsschutzes)
Das CMD-Dienstprogramm liefert keine direkten MAM-Indikatoren, hilft aber bei der Überprüfung der MDM-Voraussetzungen.
Verwaltung der Zusammenarbeit von Gruppenrichtlinien und Intune MDM
Diese Konfiguration wird in hybriden Umgebungen verwendet, in denen ein Teil der Verwaltung über Gruppenrichtlinien und ein anderer Teil über Intune MDM erfolgt.
📌 Anwendungsfälle: Benutzen Sie dies, um:
- Aktivieren Sie die automatische MDM-Registrierung für hybride Azure AD-verbundene Geräte
- Vermeidung von Konflikten zwischen GPO und Intune-Konfigurationen
📌 Voraussetzungen:
- Die Geräte müssen mit der Domain verbunden und in Azure AD registriert oder hybrid verbunden sein.
- Administratorrechte für die Gruppenrichtlinien-Verwaltungskonsole (GPMC) oder gpedit.msc.
Schritt für Schritt:
- Drücken Sie Win + R, geben Sie gpedit.msc ein und klicken Sie auf die Eingabetaste.
- Navigieren Sie zu:
Computerkonfiguration > Verwaltungsvorlagen > Windows-Komponenten > MDM
- Aktivieren Sie:
- Aktivieren Sie die automatische MDM-Registrierung mit den standardmäßigen Azure AD-Anmeldeinformationen
- Legen Sie den Anmeldetyp „Anmeldeinformationen“ fest (für hybriden Join)
- Wenden Sie die Richtlinie an und starten Sie das Gerät neu.
Dadurch wird sichergestellt, dass ein Gerät für eine MDM-gesteuerte Durchsetzung in Frage kommt, was bei Bedarf eine Trennung von MDM- und MAM-Verwaltung ermöglicht.
⚠️ Wichtige Hinweise
| Risiken | Mögliche Konsequenzen | Korrekturen |
| 1. Zuweisung einer APP an eine falsche Benutzergruppe | Benutzer können vom Zugriff auf Unternehmensanwendungen blockiert werden oder unter unnötige App-Einschränkungen fallen. | Entfernen Sie die Gruppe aus den Richtlinienzuweisungen in Intune und stellen Sie diese mit der richtigen Zielgruppe erneut bereit. |
| 2. Falsch konfigurierte Zugangskontrolle | Benutzer:innen können auf Daten von nicht verwalteten oder ungeschützten Anwendungen zugreifen | Aktualisieren Sie die Richtlinie für bedingten Zugang, sodass sie die Sicherheitsrichtlinie für Anwendungen erfordert. Wiederholen Sie dann den Test. |
| 3. Bearbeitung der Registry ohne Backup | Dies kann zu Fehlverhalten des Geräts, Fehlern bei der Registrierung oder zum Verlust der MDM-Verbindung führen. | Erstellen Sie ein Backup der Registry, bevor Sie Änderungen vornehmen, verwenden Sie ein Testgerät, und stellen Sie bei Bedarf frühere Registry-Schlüssel wieder her. |
Zusätzliche Überlegungen
Lernen Sie einige der Plattformeinschränkungen und Benutzeranforderungen kennen und erfahren Sie, wie MAM und bedingten Zugang bei der Anwendung von APP in Intune zusammenarbeiten:
Unterstützte Anwendungen
MAM-Richtlinien (Mobile Application Management) gelten nur für unterstützte Anwendungen:
- Apps, die mit dem Intune App SDK integriert wurden
- Apps, die mit dem Intune App Wrapping-Tool umschlossen wurden
Benutzerbasierte Verwaltung
MAM ist benutzerbasiert, nicht gerätebasiert. Das bedeutet, dass Benutzer:innen eine Intune-Lizenz haben müssen, die ihrem Microsoft Entra ID-Konto zugewiesen ist.
Windows-Einschränkungen
Die MAM-Unterstützung unter Windows ist derzeit auf Microsoft Edge beschränkt. Für eine vollständige Geräte- und App-Kontrolle ist eine MDM-Registrierung über Intune erforderlich.
Zugangskontrolle
Richtlinien für bedingten Zugang müssen geschichtet werden, um den Zugang auf der Grundlage des Anwendungsstatus und des Schutzes zu beschränken. Ohne bedingten Zugang können Benutzer:innen die Schutzmaßnahmen umgehen, indem sie über nicht verwaltete Anwendungen auf Unternehmensdaten zugreifen.
Fehlerbehebung
Hier finden Sie häufige Probleme und Lösungen, die mit Microsoft Intune App Protection Policies (APP) in MAM- und MDM-Szenarien auftreten können:
Richtlinie nicht anwendbar
Überprüfen Sie, ob der Benutzer zur Zielgruppe gehört und eine unterstützte App verwendet.
- Öffnen Sie Intune Admin Center > Anwendungen > Sicherheitsrichtlinien für Anwendungen.
- Öffnen Sie die betroffene Richtlinie und navigieren Sie zu Zuweisungen.
- Bestätigen Sie, dass der Benutzer Teil einer Azure AD-Gruppe ist.
💡 Tipp: Sie können in der Liste der von Microsoft Intune geschützten Anwendungen nachsehen, ob die Anwendungen kompatibel sind.
App nicht geschützt
Prüfen Sie, ob die Anwendung umschlossen ist oder SDK-Unterstützung hat. Wie?
- Für öffentliche Anwendungen können Sie sich die Microsoft Intune-Liste der geschützten Anwendungen ansehen und nach dem Namen der Anwendung suchen.
- Für benutzerdefinierte LOB-Apps (Line-of-Business) fragen Sie Ihr App-Entwicklungsteam, ob das Intune App SDK hinzugefügt wurde.
- Überprüfen Sie, ob die Anwendung mit dem Intune App Wrapping-Tool verarbeitet wurde.
(💡 Lesen Sie Android-Apps mit dem Intune Wrapping-Tool umschließen.)
MAM-WE schlägt fehl
Bestätigen Sie die Intune-Lizenz und dass das Gerät nicht MDM-registriert ist.
- Öffnen Sie Microsoft 365 Admin Center > Benutzer > Benutzer auswählen > Lizenzen.
- Prüfen Sie, ob dem Benutzer eine Intune-Lizenz zugewiesen ist.
- So überprüfen Sie, ob das Gerät in MDM nicht registriert ist:
- Drücken Sie Win + I und öffnen Sie Einstellungen > Konten > Arbeits- oder Schulkonto.
- Wenn das Gerät als mit Azure AD verbunden aufgeführt ist, wird es über MDM verwaltet. Sie können das Konto entfernen und es mit der Absicht, nur MAM zu verwenden, wieder hinzufügen.
Zugriff verweigert
Überprüfen Sie den bedingten Zugriff und den Konformitätsstatus in Azure-Protokollen:
- Gehen Sie zu Azure Portal > Entra ID > Sicherheit > Bedingter Zugriff > Insights & Berichte. Filtern Sie dann nach betroffenem Benutzer, Anwendung und Fehler.
So überprüfen Sie den Stand der Compliance:
- Gehen Sie zu Intune Admin Center > Geräte > Gerät auswählen > Geräte-Compliance.
- Prüfen Sie den Stand der Compliance und die Zeit des letzten Check-in.
Diagnose
Hier finden Sie die Protokolle:
- Protokolle der Intune-Konsole (iOS/Android)
- Protokolle des Unternehmensportals
- Endpoint.microsoft.com > Monitor > App-Schutzstatus
NinjaOne Services
NinjaOne verbessert den Schutz auf App- und Geräteebene durch:
| NinjaOne-Dienstleistung | Wie NinjaOne den Schutz auf App- und Geräteebene verbessert |
| App-Überwachung | Überwacht den Installationsstatus und den Zustand von Apps auf in MDM registrierten Geräten |
| Skript-Automatisierung | Automatisiert die Überprüfung der Voraussetzungen und die Durchsetzung der Compliance für MDM- und Schutzrichtlinien für Anwendungen |
| Transparenz der Registrierung | Zeigt vereinheitlichte Dashboards an, die die reine MAM- und die vollständige MDM-Registrierung anzeigen |
| Gerätekennzeichnung | Verwendet benutzerdefinierte Felder zur Klassifizierung von BYOD-, unternehmenseigenen oder hybriden Geräten |
| Verhaltenswarnmeldungen | Kennzeichnet Probleme wie nicht konforme Anwendungen, fehlende Agenten und Registrierungsfehler |
Damit können MSPs verschiedene Geräte unabhängig von der Art des Managements verwalten und sichern.
Konfiguration von Intune-Sicherheitsrichtlinien für Anwendungen für BYOD- und MDM-Szenarien
Sicherheitsrichtlinien für Anwendungen bieten eine flexible und leistungsstarke Möglichkeit zum Schutz von Unternehmensdaten, unabhängig davon, ob das Gerät in einer Verwaltungsplattform registriert ist oder nicht. Diese Richtlinien ermöglichen es MSPs und IT-Teams, konsistente Sicherheit auf Anwendungsebene für Geräte sowohl in reinen MAM- (BYOD) als auch in MDM-Umgebungen (unternehmenseigene Geräte) durchzusetzen.
Dieser Leitfaden enthält klare Schritte zum Erstellen, Konfigurieren und Zuweisen von APPs für beide Szenarien. Darüber hinaus finden Sie hier praktische Tools zur Validierung der Bereitstellung über die Registry, Eingabeaufforderung und GPO. Zusätzlich finden Sie Best Practices für Compliance Access-Integrationen und erfahren, wie NinjaOne MSPs dabei unterstützt, die Durchsetzung von Richtlinien in großem Umfang zu optimieren.
Verwandte Themen:
- MDM vs. MAM: 8 Hauptunterschiede
- Unternehmens-Mobilitätsmanagement (EMM) im Überblick
- Ein umfassender Leitfaden für Unified Endpunkt-Management
- Bereitstellung von Anwendungen mit Microsoft Intune Admin Center
- Die Wahl des richtigen Software-Bereitstellungstools: Intune vs. NinjaOne aus der Benutzerperspektive
