Freigeben über


Datenschutzframework, das App-Schutzrichtlinien anwendet

Da immer mehr Organisationen Strategien für mobile Geräte für den Zugriff auf Geschäfts-, Schul- oder Unidaten implementieren, ist der Schutz vor Datenlecks von entscheidender Bedeutung. Intune Lösung für die Verwaltung mobiler Anwendungen zum Schutz vor Datenlecks ist App-Schutzrichtlinien (APP). APP sind Regeln, die sicherstellen, dass die Daten eines organization sicher bleiben oder in einer verwalteten App enthalten bleiben, unabhängig davon, ob das Gerät registriert ist. Weitere Informationen finden Sie unter Übersicht über App-Schutz-Richtlinien.

Wenn Sie App-Schutzrichtlinien konfigurieren, ermöglichen die verschiedenen Einstellungen und Optionen Organisationen, den Schutz an ihre spezifischen Anforderungen anzupassen. Aufgrund dieser Flexibilität ist es möglicherweise nicht offensichtlich, welche Permutation von Richtlinieneinstellungen erforderlich ist, um ein vollständiges Szenario zu implementieren. Um Organisationen bei der Priorisierung der Clientendpunkthärtung zu unterstützen, hat Microsoft eine neue Taxonomie für Sicherheitskonfigurationen in Windows 10 eingeführt, und Intune nutzt eine ähnliche Taxonomie für sein APP-Datenschutzframework für die Verwaltung mobiler Apps.

Das APP-Datenschutzkonfigurationsframework ist in drei verschiedene Konfigurationsszenarien unterteilt:

  • Enterprise Basic Data Protection (Stufe 1): Microsoft empfiehlt diese Konfiguration als Mindestkonfiguration für den Datenschutz für ein Unternehmensgerät.

  • Stufe 2 erweiterter Datenschutz für Unternehmen: Microsoft empfiehlt diese Konfiguration für Geräte, auf denen Benutzer auf vertrauliche oder vertrauliche Informationen zugreifen. Diese Konfiguration gilt für die meisten mobilen Benutzer, die auf Geschäfts-, Schul- oder Unidaten zugreifen. Einige Steuerungsmöglichkeiten können sich auf das Benutzererlebnis auswirken.

  • Hohe Datenschutzstufe 3 für Unternehmen– Microsoft empfiehlt diese Konfiguration für Geräte, die von einem organization mit einem größeren oder anspruchsvolleren Sicherheitsteam ausgeführt werden, oder für bestimmte Benutzer oder Gruppen, die einem eindeutig hohen Risiko ausgesetzt sind (Benutzer, die mit hochsensiblen Daten umgehen, bei denen die unbefugte Offenlegung erheblichen materiellen Verlust für die organization verursacht). Eine organization, die wahrscheinlich von gut finanzierten und anspruchsvollen Angreifern ins Visier genommen wird, sollte diese Konfiguration anstreben.

Bereitstellungsmethodik des APP-Datenschutzframeworks

Wie bei jeder Bereitstellung neuer Software, Features oder Einstellungen empfiehlt Microsoft die Investition in eine Ringmethodik zum Testen der Überprüfung vor der Bereitstellung des APP-Datenschutzframeworks. Das Definieren von Bereitstellungsringen ist in der Regel ein einmaliges Ereignis (oder zumindest selten), aber die IT sollte diese Gruppen erneut überprüfen, um sicherzustellen, dass die Sequenzierung weiterhin korrekt ist.

Microsoft empfiehlt den folgenden Bereitstellungsringansatz für das APP-Datenschutzframework:

Bereitstellungsring Mandant Bewertungsteams Ausgabe Zeitachse
Qualitätssicherung Präproduktionsmandant Inhaber mobiler Funktionen, Sicherheit, Risikobewertung, Datenschutz, Servicequalität Funktionelle Szenarioüberprüfung, Entwurfsdokumentation 0-30 Tage
Vorschau Produktionsmandant Inhaber mobiler Funktionen, Servicequalität Überprüfung von Endbenutzerszenarien, Benutzerdokumentation 7-14 Tage, nach der Qualitätssicherung
Produktion Produktionsmandant Inhaber mobiler Funktionen, IT-Helpdesk Nicht zutreffend 7 Tage bis zu mehreren Wochen, nach der Vorschauphase

Wie in der obigen Tabelle angegeben, sollten alle Änderungen an den App-Schutzrichtlinien zuerst in einer Präproduktionsumgebung ausgeführt werden, um die Auswirkungen auf die Richtlinieneinstellung zu verstehen. Sobald die Tests abgeschlossen sind, können die Änderungen in die Produktion verschoben und auf eine Teilmenge der Produktionsbenutzer angewendet werden, im Allgemeinen auf die IT-Abteilung und andere anwendbare Gruppen. Und schließlich kann der Rollout für den Rest der mobilen Benutzercommunity abgeschlossen werden. Der Rollout in die Produktion kann je nach Umfang der Auswirkungen in Bezug auf die Änderung länger dauern. Wenn es keine Auswirkungen auf den Benutzer gibt, sollte die Änderung schnell ausgeführt werden. Wenn die Änderung jedoch zu Auswirkungen auf den Benutzer führt, muss der Rollout möglicherweise langsamer erfolgen, da änderungen an die Benutzerpopulation übermittelt werden müssen.

Beachten Sie beim Testen von Änderungen an einer APP den Zeitpunkt der Übermittlung. Die status der APP-Übermittlung für einen bestimmten Benutzer kann überwacht werden. Weitere Informationen finden Sie unter Überwachen von App-Schutzrichtlinien.

Einzelne APP-Einstellungen für jede App können auf Geräten mit Microsoft Edge und der URL about:Intunehelp überprüft werden. Weitere Informationen finden Sie unter Überprüfen von Client-App-Schutzprotokollen und Verwenden von Microsoft Edge für iOS und Android für den Zugriff auf verwaltete App-Protokolle.

Einstellungen des APP-Datenschutzframeworks

Die folgenden App-Schutzrichtlinie-Einstellungen sollten für die entsprechenden Apps aktiviert und allen mobilen Benutzern zugewiesen werden. Weitere Informationen zu den einzelnen Richtlinieneinstellungen finden Sie unter Einstellungen für iOS-App-Schutzrichtlinien und Einstellungen für Android-App-Schutzrichtlinien.

Microsoft empfiehlt, Nutzungsszenarien zu überprüfen und zu kategorisieren und dann Benutzer mithilfe der präskriptiven Anleitung für diese Ebene zu konfigurieren. Wie bei jedem Framework müssen Einstellungen innerhalb einer entsprechenden Ebene möglicherweise basierend auf den Anforderungen des organization angepasst werden, da der Datenschutz die Bedrohungsumgebung, die Risikobereitschaft und die Auswirkungen auf die Benutzerfreundlichkeit bewerten muss.

Administratoren können die folgenden Konfigurationsebenen in ihre Ringbereitstellungsmethodik für Tests und die Verwendung in der Produktion integrieren, indem sie die Beispielvorlagen Intune App Protection Policy Configuration Framework mitden PowerShell-Skripts von Intune importieren.

Hinweis

Wenn Sie MAM für Windows verwenden, lesen Sie App-Schutz Richtlinieneinstellungen für Windows.

Richtlinien für bedingten Zugriff

Um sicherzustellen, dass nur Apps, die App-Schutzrichtlinien unterstützen, auf Geschäfts-, Schul- oder Unikontodaten zugreifen, sind Microsoft Entra Richtlinien für bedingten Zugriff erforderlich. Diese Richtlinien werden unter Bedingter Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich beschrieben.

Schritte zum Implementieren der spezifischen Richtlinien finden Sie unter Anfordern genehmigter Client-Apps oder App-Schutzrichtlinie für mobile Geräte unter Bedingter Zugriff: Anfordern genehmigter Client-Apps oder App-Schutzrichtlinie . Implementieren Sie abschließend die Schritte unter Blockieren der Legacyauthentifizierung , um legacyauthentifizierungsfähige iOS- und Android-Apps zu blockieren.

Apps, die in die App-Schutzrichtlinien eingeschlossen werden sollen

Für jede App-Schutzrichtlinie ist die Gruppe Core Microsoft Apps vorgesehen, die die folgenden Apps umfasst:

  • Microsoft Edge
  • Excel
  • Office
  • OneDrive
  • OneNote
  • Outlook
  • PowerPoint
  • SharePoint
  • Teams
  • To Do
  • Word

Die Richtlinien sollten andere Microsoft-Apps basierend auf den geschäftlichen Bedarf, zusätzliche öffentliche Drittanbieter-Apps, die das in den organization verwendete Intune SDK integriert haben, sowie branchenspezifische Apps umfassen, die das Intune SDK integriert haben (oder umschlossen wurden).

Level 1 Enterprise Basic Data Protection

Ebene 1 ist die minimale Datenschutzkonfiguration für ein mobiles Unternehmensgerät. Diese Konfiguration ersetzt die Notwendigkeit grundlegender Exchange Online Gerätezugriffsrichtlinien, indem eine PIN für den Zugriff auf Geschäfts-, Schul- oder Unidaten erforderlich ist, die Geschäfts-, Schul- oder Unikontodaten verschlüsselt und die Möglichkeit bereitgestellt wird, die Schul- oder Geschäftsdaten selektiv zu löschen. Im Gegensatz zu Exchange Online Gerätezugriffsrichtlinien gelten die folgenden App-Schutzrichtlinieneinstellungen jedoch für alle apps, die in der Richtlinie ausgewählt sind, und stellen so sicher, dass der Datenzugriff über mobile Messaging-Szenarien hinaus geschützt ist.

Die Richtlinien in Ebene 1 erzwingen eine angemessene Datenzugriffsebene bei gleichzeitiger Minimierung der Auswirkungen auf Benutzer und Spiegel standardeinstellungen für Datenschutz und Zugriff beim Erstellen einer App-Schutzrichtlinie innerhalb Microsoft Intune.

Datenschutz

Einstellung Einstellungsbeschreibung Wert Plattform
Datenübertragung Organisationsdaten sichern in... Zulassen iOS/iPadOS, Android
Datenübertragung Senden von Organisationsdaten an andere Apps Alle Apps iOS/iPadOS, Android
Datenübertragung Senden von Organisationsdaten an Alle Ziele Windows
Datenübertragung Daten von anderen Apps empfangen Alle Apps iOS/iPadOS, Android
Datenübertragung Empfangen von Daten von Alle Quellen Windows
Datenübertragung Ausschneiden, Kopieren und Einfügen zwischen Apps einschränken Alle Apps iOS/iPadOS, Android
Datenübertragung Ausschneiden, Kopieren und Einfügen für zulassen Beliebiges Ziel und jede Quelle Windows
Datenübertragung Tastaturen von Drittanbietern Zulassen iOS/iPadOS
Datenübertragung Genehmigte Tastaturen Nicht erforderlich Android
Datenübertragung Bildschirmaufnahme und Google Assistant Zulassen Android
Verschlüsselung Verschlüsseln von Organisationsdaten Erforderlich iOS/iPadOS, Android
Verschlüsselung Verschlüsseln von Organisationsdaten auf registrierten Geräten Erforderlich Android
Funktionalität Synchronisieren der App mit nativer Kontakt-App Zulassen iOS/iPadOS, Android
Funktionalität Drucken von Organisationsdaten Zulassen iOS/iPadOS, Android, Windows
Funktionalität Übertragung von Webinhalten mit anderen Apps einschränken Alle Apps iOS/iPadOS, Android
Funktionalität Benachrichtigungen zu Organisationsdaten Zulassen iOS/iPadOS, Android

Erforderliche Zugriffsberechtigungen

Einstellung Wert Plattform Hinweise
PIN für Zugriff Erforderlich iOS/iPadOS, Android
PIN-Typ Numeric iOS/iPadOS, Android
Einfache PIN Zulassen iOS/iPadOS, Android
Wählen Sie Minimale PIN-Länge aus. 4 iOS/iPadOS, Android
Touch-ID statt PIN für den Zugriff (iOS 8+/iPadOS) Zulassen iOS/iPadOS
Überschreiben biometrischer Daten mit PIN nach timeout Erforderlich iOS/iPadOS, Android
Timeout (Aktivitätsminuten) 1440 iOS/iPadOS, Android
Gesichtserkennungs-ID anstelle einer PIN für den Zugriff (iOS 11+/iPadOS) Zulassen iOS/iPadOS
Biometrisch statt PIN für den Zugriff Zulassen iOS/iPadOS, Android
Anzahl von Tagen für PIN-Zurücksetzung Nein iOS/iPadOS, Android
Wählen Sie die Anzahl der vorherigen PIN-Werte aus, die verwaltet werden sollen. 0 Android
App-PIN, wenn Geräte-PIN festgelegt ist Erforderlich iOS/iPadOS, Android Wenn das Gerät in Intune registriert ist, können Administratoren erwägen, dies auf "Nicht erforderlich" festzulegen, wenn sie eine sichere Geräte-PIN über eine Gerätekonformitätsrichtlinie erzwingen.
Anmeldeinformationen für Geschäfts-, Schul- oder Unikonto für Zugriff Nicht erforderlich iOS/iPadOS, Android
Recheck the access requirements after (minutes of inactivity) (Zugriffsanforderungen nach (Minuten der Inaktivität) prüfen) 30 iOS/iPadOS, Android

Bedingter Start

Einstellung Einstellungsbeschreibung Wert/Aktion Plattform Hinweise
App-Bedingungen Maximal zulässige PIN-Versuche 5 / PIN zurücksetzen iOS/iPadOS, Android
App-Bedingungen Offline-Toleranzperiode 10080 / Zugriff blockieren (Minuten) iOS/iPadOS, Android, Windows
App-Bedingungen Offline-Toleranzperiode 90 / Daten löschen (Tage) iOS/iPadOS, Android, Windows
Gerätebedingungen Geräte mit Jailbreak/entfernten Nutzungsbeschränkungen N/A/Zugriff blockieren iOS/iPadOS, Android
Gerätebedingungen SafetyNet-Gerätenachweis Grundlegende Integrität und zertifizierte Geräte / Zugriff blockieren Android

Diese Einstellung konfiguriert die Google Play-Geräteintegritätsprüfung auf Endbenutzergeräten. „Basisintegrität“ überprüft die Integrität des Geräts. Für gerootete Geräte, Emulatoren, virtuelle Geräte und Geräte, die Anzeichen von Manipulationen aufweisen, schlägt die Überprüfung der grundlegenden Integrität fehl.

Die Option „Basisintegrität und zertifizierte Geräte“ überprüft die Kompatibilität des Geräts mit Google-Diensten. Nur unveränderte Geräte, die von Google zertifiziert wurden, bestehen diese Überprüfung.

Gerätebedingungen Bedrohungsüberprüfung für Apps erforderlich N/A/Zugriff blockieren Android Diese Einstellung sorgt dafür, dass die Verify Apps-Überprüfung von Google für Endbenutzergeräte aktiviert ist. Wenn dies konfiguriert ist, wird der Zugriff des Endbenutzers blockiert, bis er die App-Überprüfung von Google auf seinem Android-Gerät aktiviert.
Gerätebedingungen Maximal zulässige Gerätebedrohungsstufe Zugriff niedrig/Blockieren Windows
Gerätebedingungen Gerätesperre erforderlich Niedrig/Warnung Android Diese Einstellung stellt sicher, dass Android-Geräte über ein Gerätekennwort verfügen, das die Mindestkennwortanforderungen erfüllt.

Hinweis

Windows-Einstellungen für bedingten Start werden als Integritätsprüfungen bezeichnet.

Ebene 2: Erweiterter Datenschutz für Unternehmen

Ebene 2 ist die Datenschutzkonfiguration, die als Standard für Geräte empfohlen wird, auf denen Benutzer auf sensiblere Informationen zugreifen. Heutzutage sind diese Geräte in Unternehmen oftmals Angriffen ausgesetzt. Diese Empfehlungen gehen nicht von einem großen Personal hochqualifizierter Sicherheitsexperten aus und sollten daher für die meisten Unternehmen zugänglich sein. Diese Konfiguration erweitert die Konfiguration in Ebene 1, indem Datenübertragungsszenarien eingeschränkt und eine Mindestversion des Betriebssystems erforderlich ist.

Wichtig

Die in Ebene 2 erzwungenen Richtlinieneinstellungen enthalten alle für Ebene 1 empfohlenen Richtlinieneinstellungen. Ebene 2 listet jedoch nur die Einstellungen auf, die hinzugefügt oder geändert wurden, um mehr Steuerelemente und eine komplexere Konfiguration als Ebene 1 zu implementieren. Diese Einstellungen haben zwar eine etwas höhere Auswirkung auf Benutzer oder Anwendungen, aber sie erzwingen ein Datenschutzniveau, das den Risiken entspricht, denen Benutzer mit Zugriff auf vertrauliche Informationen auf mobilen Geräten ausgesetzt sind.

Datenschutz

Einstellung Einstellungsbeschreibung Wert Plattform Hinweise
Datenübertragung Organisationsdaten sichern in... Blockieren iOS/iPadOS, Android
Datenübertragung Senden von Organisationsdaten an andere Apps Richtlinienverwaltete Apps iOS/iPadOS, Android

Bei iOS/iPadOS können Administratoren diesen Wert als "Richtlinienverwaltete Apps", "Richtlinienverwaltete Apps mit Betriebssystemfreigabe" oder "Richtlinienverwaltete Apps mit Open-In/Freigabefilterung" konfigurieren.

Richtlinienverwaltete Apps mit Betriebssystemfreigabe sind verfügbar, wenn das Gerät auch bei Intune registriert ist. Diese Einstellung ermöglicht die Datenübertragung an andere richtlinienverwaltete Apps und Dateiübertragungen an andere Apps, die von Intune verwaltet werden.

Richtlinienverwaltete Apps mit Open-In/Share-Filter filtern die Dialogfelder Öffnen/Freigeben des Betriebssystems, um nur richtlinienverwaltete Apps anzuzeigen.

Weitere Informationen finden Sie unter Einstellungen für iOS-App-Schutzrichtlinien.

Datenübertragung Senden von Daten oder an Keine Ziele Windows
Datenübertragung Empfangen von Daten von Keine Quellen Windows
Datenübertragung Wählen Sie die Apps aus, die ausgenommen werden sollen Standard/skype; App-Einstellungen; calshow; itms; itmss; itms-apps; itms-appss; itms-services; iOS/iPadOS
Datenübertragung Kopien von Organisationsdaten speichern Blockieren iOS/iPadOS, Android
Datenübertragung Benutzern das Speichern von Kopien in ausgewählten Diensten erlauben OneDrive for Business, SharePoint Online, Fotobibliothek iOS/iPadOS, Android
Datenübertragung Transfer telecommunication data to (Telekommunikationsdaten übertragen an): Any dialer app (Jede Telefon-App) iOS/iPadOS, Android
Datenübertragung Ausschneiden, Kopieren und Einfügen zwischen Apps einschränken Richtlinienverwaltete Apps mit Einfügen iOS/iPadOS, Android
Datenübertragung Ausschneiden, Kopieren und Einfügen für zulassen Kein Ziel oder Keine Quelle Windows
Datenübertragung Bildschirmaufnahme und Google Assistant Blockieren Android
Funktionalität Übertragung von Webinhalten mit anderen Apps einschränken Microsoft Edge iOS/iPadOS, Android
Funktionalität Benachrichtigungen zu Organisationsdaten Organisationsdaten blockieren iOS/iPadOS, Android Eine Liste der Apps, die diese Einstellung unterstützen, finden Sie unter Einstellungen für iOS-App-Schutzrichtlinien und Einstellungen für Android-App-Schutzrichtlinien.

Bedingter Start

Einstellung Einstellungsbeschreibung Wert/Aktion Plattform Hinweise
App-Bedingungen Deaktiviertes Konto N/A/Zugriff blockieren iOS/iPadOS, Android, Windows
Gerätebedingungen Mindestversion für Betriebssystem Format: Major.Minor.Build
Beispiel: 14.8
/ Zugriff blockieren
iOS/iPadOS Microsoft empfiehlt das Konfigurieren der Mindesthauptversion für das iOS-Betriebssystem, um übereinstimmende unterstützte iOS-Versionen für Microsoft-Apps verwenden zu können. Microsoft-Apps unterstützen einen N-1-Ansatz, wobei N die aktuelle iOS-Hauptversion ist. Als Werte für Neben- und Buildversionen empfiehlt Microsoft, dafür zu sorgen, dass die Geräte über die aktuellen entsprechenden Sicherheitsupdates verfügen. Informationen zu den neuesten Empfehlungen von Apple finden Sie unter Apple-Sicherheitsupdates .
Gerätebedingungen Mindestversion für Betriebssystem Format: Major.Minor
Beispiel: 9.0
/ Zugriff blockieren
Android Microsoft empfiehlt, die Mindesthauptversion für das Android-Betriebssystem so festzulegen, dass übereinstimmende unterstützte Android-Versionen von Microsoft-Apps verwendet werden können. OEMs und Geräte, die den Anforderungen für "Android Enterprise Recommended" entsprechen, müssen die aktuelle Versandversion und ein Upgrade auf die nächste Version unterstützen. Aktuell empfiehlt Android für Wissensarbeiter Android 9.0 und höher. Informationen zu den neuesten Android-Empfehlungen finden Sie unter Empfohlene Anforderungen für Android Enterprise .
Gerätebedingungen Mindestversion für Betriebssystem Format: Build
Beispiel: 10.0.22621.2506
/ Zugriff blockieren
Windows Microsoft empfiehlt, den Windows-Mindestbuild so zu konfigurieren, dass er den unterstützten Windows-Versionen für Microsoft-Apps entspricht. Derzeit empfiehlt Microsoft Folgendes:
Gerätebedingungen Min. Patchversion Format: JJJJ-MM-TT
Beispiel: 01.01.2020
/ Zugriff blockieren
Android Android-Geräte können monatliche Sicherheitsupdates erhalten, aber das Release hängt von den OEMs und/oder Netzbetreibern ab. Unternehmen sollten dafür sorgen, dass bereitgestellte Android-Geräte Sicherheitsupdates erhalten, bevor diese Einstellung implementiert wird. Die neuesten Patchversionen finden Sie unter Android-Sicherheitsbulletins .
Gerätebedingungen Erforderlicher SafetyNet-Auswertungstyp Hardwaregestützter Schlüssel Android Hardware-gestützter Nachweis verbessert die vorhandene Google Play Integrity Service-Überprüfung, indem ein neuer Auswertungstyp namens Hardware Backed angewendet wird, der eine stabilere Stammerkennung als Reaktion auf neuere Arten von Rooting-Tools und -Methoden bietet, die von einer reinen Softwarelösung nicht immer zuverlässig erkannt werden können.

Wie der Name schon sagt, verwendet der hardwaregestützte Nachweis eine hardwarebasierte Komponente, die mit Geräten ausgeliefert wird, die mit Android 8.1 und höher installiert sind. Geräte, für die ein Upgrade von einer älteren Version von Android auf Android 8.1 durchgeführt wurde, verfügen wahrscheinlich nicht über die hardwarebasierten Komponenten, die für den hardwaregestützten Nachweis erforderlich sind. Auch wenn diese Einstellung auf Geräten mit Android 8.1 und höher weitgehend unterstützt werden sollte, empfiehlt Microsoft dringend, die Geräte einzeln zu testen, bevor diese Richtlinieneinstellung allgemein aktiviert wird.

Gerätebedingungen Gerätesperre erforderlich Zugriff mit Mittel/Block Android Diese Einstellung stellt sicher, dass Android-Geräte über ein Gerätekennwort verfügen, das die Mindestkennwortanforderungen erfüllt.
Gerätebedingungen Samsung Knox-Gerätenachweis Zugriff blockieren Android Microsoft empfiehlt, die Samsung Knox-Gerätenachweiseinstellung auf Zugriff blockieren zu konfigurieren, um sicherzustellen, dass der Zugriff auf das Benutzerkonto blockiert wird, wenn das Gerät nicht der hardwarebasierten Überprüfung der Geräteintegrität von Samsung Knox entspricht. Diese Einstellung überprüft, ob alle Intune MAM-Clientantworten an den Intune Dienst von einem fehlerfreien Gerät gesendet wurden.

Diese Einstellung gilt für alle Geräte, die als Ziel verwendet werden. Um diese Einstellung nur auf Samsung-Geräte anzuwenden, können Sie Zuweisungsfilter für verwaltete Apps verwenden. Weitere Informationen zu Zuweisungsfiltern finden Sie unter Verwenden von Filtern beim Zuweisen Von Apps, Richtlinien und Profilen in Microsoft Intune.

App-Bedingungen Offline-Toleranzperiode 30 / Daten löschen (Tage) iOS/iPadOS, Android, Windows

Hinweis

Windows-Einstellungen für bedingten Start werden als Integritätsprüfungen bezeichnet.

Level 3 Enterprise High Data Protection

Stufe 3 ist die Datenschutzkonfiguration, die als Standard für Organisationen mit großen und anspruchsvollen Sicherheitsorganisationen oder für bestimmte Benutzer und Gruppen empfohlen wird, die von Angreifern eindeutig ins Visier genommen werden. Solche Organisationen werden in der Regel von gut finanzierten und anspruchsvollen Angreifern ins Visier genommen und verdienen daher die beschriebenen zusätzlichen Einschränkungen und Kontrollen. Diese Konfiguration erweitert die Konfiguration in Ebene 2, indem zusätzliche Datenübertragungsszenarien eingeschränkt, die Komplexität der PIN-Konfiguration erhöht und die mobile Bedrohungserkennung hinzugefügt wird.

Wichtig

Die in Ebene 3 erzwungenen Richtlinieneinstellungen enthalten alle richtlinieneinstellungen, die für Ebene 2 empfohlen werden, listet jedoch nur die unten stehenden Einstellungen auf, die hinzugefügt oder geändert wurden, um mehr Steuerelemente und eine komplexere Konfiguration als Ebene 2 zu implementieren. Diese Richtlinieneinstellungen können potenziell erhebliche Auswirkungen auf Benutzer oder Anwendungen haben und ein Sicherheitsniveau erzwingen, das den Risiken der Zielorganisationen entspricht.

Datenschutz

Einstellung Einstellungsbeschreibung Wert Plattform Hinweise
Datenübertragung Transfer telecommunication data to (Telekommunikationsdaten übertragen an): Jede richtlinienverwaltete Wählprogramm-App Android Administratoren können diese Einstellung auch für die Verwendung einer Wähl-App konfigurieren, die keine App-Schutzrichtlinien unterstützt, indem sie Eine bestimmte Wähl-App auswählen und die Werte Dialer-App-Paket-ID und Dialer-App-Name angeben.
Datenübertragung Transfer telecommunication data to (Telekommunikationsdaten übertragen an): Eine bestimmte Dialer-App iOS/iPadOS
Datenübertragung URL-Schema der Telefon-App replace_with_dialer_app_url_scheme iOS/iPadOS Unter iOS/iPadOS muss dieser Wert durch das URL-Schema für die verwendete benutzerdefinierte Wähl-App ersetzt werden. Wenn das URL-Schema nicht bekannt ist, wenden Sie sich an den App-Entwickler, um weitere Informationen zu erhalten. Weitere Informationen zu URL-Schemas finden Sie unter Definieren eines benutzerdefinierten URL-Schemas für Ihre App.
Datenübertragung Daten von anderen Apps empfangen Richtlinienverwaltete Apps iOS/iPadOS, Android
Datenübertragung Daten in Organisationsdokumenten öffnen Blockieren iOS/iPadOS, Android
Datenübertragung Benutzern das Öffnen von Daten aus ausgewählten Diensten gestatten OneDrive for Business, SharePoint, Kamera, Fotobibliothek iOS/iPadOS, Android Weitere Informationen finden Sie unter Einstellungen für Android-App-Schutzrichtlinien und Einstellungen für iOS-App-Schutzrichtlinien.
Datenübertragung Tastaturen von Drittanbietern Blockieren iOS/iPadOS Unter iOS/iPadOS wird dadurch verhindert, dass alle Tastaturen von Drittanbietern innerhalb der App funktionieren.
Datenübertragung Genehmigte Tastaturen Erforderlich Android
Datenübertragung Auswählen der zu genehmigenden Tastaturen Hinzufügen/Entfernen von Tastaturen Android Bei Android müssen Tastaturen ausgewählt werden, damit sie basierend auf Ihren bereitgestellten Android-Geräten verwendet werden können.
Funktionalität Drucken von Organisationsdaten Blockieren iOS/iPadOS, Android, Windows

Erforderliche Zugriffsberechtigungen

Einstellung Wert Plattform
Einfache PIN Blockieren iOS/iPadOS, Android
Wählen Sie Minimale PIN-Länge aus. 6 iOS/iPadOS, Android
Anzahl von Tagen für PIN-Zurücksetzung Ja iOS/iPadOS, Android
Anzahl von Tagen 365 iOS/iPadOS, Android
Biometrie der Klasse 3 (Android 9.0 und höher) Erforderlich Android
Biometrie mit PIN nach biometrischen Updates außer Kraft setzen Erforderlich Android

Bedingter Start

Einstellung Einstellungsbeschreibung Wert/Aktion Plattform Hinweise
Gerätebedingungen Gerätesperre erforderlich Zugriff mit hoher Auslastung/Blockierung Android Diese Einstellung stellt sicher, dass Android-Geräte über ein Gerätekennwort verfügen, das die Mindestkennwortanforderungen erfüllt.
Gerätebedingungen Maximal zulässige Gerätebedrohungsstufe Geschützt/Zugriff blockieren Windows
Gerätebedingungen Geräte mit Jailbreak/entfernten Nutzungsbeschränkungen N/A/Wipe data iOS/iPadOS, Android
Gerätebedingungen Maximal zulässige Bedrohungsstufe Geschützt/Zugriff blockieren iOS/iPadOS, Android

Nicht registrierte Geräte können mithilfe von Mobile Threat Defense auf Bedrohungen überprüft werden. Weitere Informationen finden Sie unter Mobile Threat Defense für nicht registrierte Geräte.

Wenn das Gerät registriert ist, kann diese Einstellung zugunsten der Bereitstellung von Mobile Threat Defense für registrierte Geräte übersprungen werden. Weitere Informationen finden Sie unter Mobile Threat Defense für registrierte Geräte.

Gerätebedingungen Maximale Betriebssystemversion Format: Major.Minor
Beispiel: 11.0
/ Zugriff blockieren
Android Microsoft empfiehlt, die maximale Android-Hauptversion zu konfigurieren, um sicherzustellen, dass keine Beta- oder nicht unterstützten Versionen des Betriebssystems verwendet werden. Informationen zu den neuesten Android-Empfehlungen finden Sie unter Empfohlene Anforderungen für Android Enterprise .
Gerätebedingungen Maximale Betriebssystemversion Format: Major.Minor.Build
Beispiel: 15.0
/ Zugriff blockieren
iOS/iPadOS Microsoft empfiehlt, die maximale iOS-/iPadOS-Hauptversion zu konfigurieren, um sicherzustellen, dass keine Beta- oder nicht unterstützten Versionen des Betriebssystems verwendet werden. Informationen zu den neuesten Empfehlungen von Apple finden Sie unter Apple-Sicherheitsupdates .
Gerätebedingungen Maximale Betriebssystemversion Format: Major.Minor
Beispiel: 22631.
/ Zugriff blockieren
Windows Microsoft empfiehlt, die maximale Windows-Hauptversion zu konfigurieren, um sicherzustellen, dass keine Beta- oder nicht unterstützten Versionen des Betriebssystems verwendet werden.
Gerätebedingungen Samsung Knox-Gerätenachweis Daten löschen Android Microsoft empfiehlt, die Samsung Knox-Gerätenachweiseinstellung auf Daten zurücksetzen zu konfigurieren, um sicherzustellen, dass die Organisationsdaten entfernt werden, wenn das Gerät nicht der hardwarebasierten Überprüfung der Geräteintegrität von Samsung Knox entspricht. Diese Einstellung überprüft, ob alle Intune MAM-Clientantworten an den Intune Dienst von einem fehlerfreien Gerät gesendet wurden.

Diese Einstellung gilt für alle Geräte, die als Ziel verwendet werden. Um diese Einstellung nur auf Samsung-Geräte anzuwenden, können Sie Zuweisungsfilter für verwaltete Apps verwenden. Weitere Informationen zu Zuweisungsfiltern finden Sie unter Verwenden von Filtern beim Zuweisen Von Apps, Richtlinien und Profilen in Microsoft Intune.

App-Bedingungen Offline-Toleranzperiode 30 / Zugriff blockieren (Tage) iOS/iPadOS, Android, Windows

Nächste Schritte

Administratoren können die oben genannten Konfigurationsebenen in ihre Ringbereitstellungsmethodik für Tests und Die Verwendung in der Produktion integrieren, indem sie die Beispielvorlagen Intune App Protection Policy Configuration Framework mitden PowerShell-Skripts von Intune importieren.

Siehe auch