Schritt 1. Anwenden von Enterprise Basic Data Protection
Nachdem Sie die Voraussetzungen erfüllt haben, ermittelt haben, welche Plattformen Sie auf Ihrem organization unterstützen müssen, die verschiedenen Für jede Supportplattform verfügbaren App-Datenschutzkategorien verstanden und die schritte ausgeführt haben, die vor dem Anwenden des App-Schutzframeworks erforderlich sind, können Sie App-Schutzrichtlinien hinzufügen.
Ebene 1 ist die minimale Datenschutzkonfiguration für ein mobiles Unternehmensgerät. Diese Konfiguration ersetzt die Notwendigkeit grundlegender Exchange Online Gerätezugriffsrichtlinien, indem eine PIN für den Zugriff auf Geschäfts-, Schul- oder Unidaten erforderlich ist, die Geschäfts-, Schul- oder Unikontodaten verschlüsselt und die Möglichkeit bereitgestellt wird, die Schul- oder Geschäftsdaten selektiv zu löschen. Im Gegensatz zu Exchange Online Gerätezugriffsrichtlinien gelten die folgenden App-Schutzrichtlinieneinstellungen jedoch für alle apps, die in der Richtlinie ausgewählt sind, und stellen so sicher, dass der Datenzugriff über mobile Messaging-Szenarien hinaus geschützt ist.
Die Richtlinien in Ebene 1 erzwingen eine angemessene Datenzugriffsebene bei gleichzeitiger Minimierung der Auswirkungen auf Benutzer und Spiegel standardeinstellungen für Datenschutz und Zugriff beim Erstellen einer App-Schutzrichtlinie innerhalb Microsoft Intune.
Empfohlene App-Schutzeinstellungen
Verwenden Sie die folgenden empfohlenen App-Schutzeinstellungen beim Erstellen und Anwenden Intune App-Schutzes für den grundlegenden Datenschutz in Unternehmen der Stufe 1.
Level 1 Enterprise Basic Data Protection
Ebene 1 ist die minimale Datenschutzkonfiguration für ein mobiles Unternehmensgerät. Diese Konfiguration ersetzt die Notwendigkeit grundlegender Exchange Online Gerätezugriffsrichtlinien, indem eine PIN für den Zugriff auf Geschäfts-, Schul- oder Unidaten erforderlich ist, die Geschäfts-, Schul- oder Unikontodaten verschlüsselt und die Möglichkeit bereitgestellt wird, die Schul- oder Geschäftsdaten selektiv zu löschen. Im Gegensatz zu Exchange Online Gerätezugriffsrichtlinien gelten die folgenden App-Schutzrichtlinieneinstellungen jedoch für alle apps, die in der Richtlinie ausgewählt sind, und stellen so sicher, dass der Datenzugriff über mobile Messaging-Szenarien hinaus geschützt ist.
Die Richtlinien in Ebene 1 erzwingen eine angemessene Datenzugriffsebene bei gleichzeitiger Minimierung der Auswirkungen auf Benutzer und Spiegel standardeinstellungen für Datenschutz und Zugriff beim Erstellen einer App-Schutzrichtlinie innerhalb Microsoft Intune.
Datenschutz
| Einstellung | Einstellungsbeschreibung | Wert | Plattform |
|---|---|---|---|
| Datenübertragung | Organisationsdaten sichern in... | Zulassen | iOS/iPadOS, Android |
| Datenübertragung | Senden von Organisationsdaten an andere Apps | Alle Apps | iOS/iPadOS, Android |
| Datenübertragung | Senden von Organisationsdaten an | Alle Ziele | Windows |
| Datenübertragung | Daten von anderen Apps empfangen | Alle Apps | iOS/iPadOS, Android |
| Datenübertragung | Empfangen von Daten von | Alle Quellen | Windows |
| Datenübertragung | Ausschneiden, Kopieren und Einfügen zwischen Apps einschränken | Alle Apps | iOS/iPadOS, Android |
| Datenübertragung | Ausschneiden, Kopieren und Einfügen für zulassen | Beliebiges Ziel und jede Quelle | Windows |
| Datenübertragung | Tastaturen von Drittanbietern | Zulassen | iOS/iPadOS |
| Datenübertragung | Genehmigte Tastaturen | Nicht erforderlich | Android |
| Datenübertragung | Bildschirmaufnahme und Google Assistant | Zulassen | Android |
| Verschlüsselung | Verschlüsseln von Organisationsdaten | Erforderlich | iOS/iPadOS, Android |
| Verschlüsselung | Verschlüsseln von Organisationsdaten auf registrierten Geräten | Erforderlich | Android |
| Funktionalität | Synchronisieren der App mit nativer Kontakt-App | Zulassen | iOS/iPadOS, Android |
| Funktionalität | Drucken von Organisationsdaten | Zulassen | iOS/iPadOS, Android, Windows |
| Funktionalität | Übertragung von Webinhalten mit anderen Apps einschränken | Alle Apps | iOS/iPadOS, Android |
| Funktionalität | Benachrichtigungen zu Organisationsdaten | Zulassen | iOS/iPadOS, Android |
Erforderliche Zugriffsberechtigungen
| Einstellung | Wert | Plattform | Hinweise |
|---|---|---|---|
| PIN für Zugriff | Erforderlich | iOS/iPadOS, Android | |
| PIN-Typ | Numeric | iOS/iPadOS, Android | |
| Einfache PIN | Zulassen | iOS/iPadOS, Android | |
| Wählen Sie Minimale PIN-Länge aus. | 4 | iOS/iPadOS, Android | |
| Touch-ID statt PIN für den Zugriff (iOS 8+/iPadOS) | Zulassen | iOS/iPadOS | |
| Überschreiben biometrischer Daten mit PIN nach timeout | Erforderlich | iOS/iPadOS, Android | |
| Timeout (Aktivitätsminuten) | 1440 | iOS/iPadOS, Android | |
| Gesichtserkennungs-ID anstelle einer PIN für den Zugriff (iOS 11+/iPadOS) | Zulassen | iOS/iPadOS | |
| Biometrisch statt PIN für den Zugriff | Zulassen | iOS/iPadOS, Android | |
| Anzahl von Tagen für PIN-Zurücksetzung | Nein | iOS/iPadOS, Android | |
| Wählen Sie die Anzahl der vorherigen PIN-Werte aus, die verwaltet werden sollen. | 0 | Android | |
| App-PIN, wenn Geräte-PIN festgelegt ist | Erforderlich | iOS/iPadOS, Android | Wenn das Gerät in Intune registriert ist, können Administratoren erwägen, dies auf "Nicht erforderlich" festzulegen, wenn sie eine sichere Geräte-PIN über eine Gerätekonformitätsrichtlinie erzwingen. |
| Anmeldeinformationen für Geschäfts-, Schul- oder Unikonto für Zugriff | Nicht erforderlich | iOS/iPadOS, Android | |
| Recheck the access requirements after (minutes of inactivity) (Zugriffsanforderungen nach (Minuten der Inaktivität) prüfen) | 30 | iOS/iPadOS, Android |
Bedingter Start
| Einstellung | Einstellungsbeschreibung | Wert/Aktion | Plattform | Hinweise |
|---|---|---|---|---|
| App-Bedingungen | Maximal zulässige PIN-Versuche | 5 / PIN zurücksetzen | iOS/iPadOS, Android | |
| App-Bedingungen | Offline-Toleranzperiode | 10080 / Zugriff blockieren (Minuten) | iOS/iPadOS, Android, Windows | |
| App-Bedingungen | Offline-Toleranzperiode | 90 / Daten löschen (Tage) | iOS/iPadOS, Android, Windows | |
| Gerätebedingungen | Geräte mit Jailbreak/entfernten Nutzungsbeschränkungen | N/A/Zugriff blockieren | iOS/iPadOS, Android | |
| Gerätebedingungen | SafetyNet-Gerätenachweis | Grundlegende Integrität und zertifizierte Geräte / Zugriff blockieren | Android | Diese Einstellung konfiguriert die Google Play-Geräteintegritätsprüfung auf Endbenutzergeräten. „Basisintegrität“ überprüft die Integrität des Geräts. Für gerootete Geräte, Emulatoren, virtuelle Geräte und Geräte, die Anzeichen von Manipulationen aufweisen, schlägt die Überprüfung der grundlegenden Integrität fehl. Die Option „Basisintegrität und zertifizierte Geräte“ überprüft die Kompatibilität des Geräts mit Google-Diensten. Nur unveränderte Geräte, die von Google zertifiziert wurden, bestehen diese Überprüfung. |
| Gerätebedingungen | Bedrohungsüberprüfung für Apps erforderlich | N/A/Zugriff blockieren | Android | Diese Einstellung sorgt dafür, dass die Verify Apps-Überprüfung von Google für Endbenutzergeräte aktiviert ist. Wenn dies konfiguriert ist, wird der Zugriff des Endbenutzers blockiert, bis er die App-Überprüfung von Google auf seinem Android-Gerät aktiviert. |
| Gerätebedingungen | Maximal zulässige Gerätebedrohungsstufe | Zugriff niedrig/Blockieren | Windows | |
| Gerätebedingungen | Gerätesperre erforderlich | Niedrig/Warnung | Android | Diese Einstellung stellt sicher, dass Android-Geräte über ein Gerätekennwort verfügen, das die Mindestkennwortanforderungen erfüllt. |
Hinweis
Windows-Einstellungen für bedingten Start werden als Integritätsprüfungen bezeichnet.
Nächster Schritt
Fahren Sie mit Schritt 2 fort, um den erweiterten Datenschutz in Microsoft Intune anzuwenden.