Microsoft Intune einrichten: Wie können wir unsere Unternehmensdaten auf mobilen Endgeräten schützen? Wie erstellen wir einen Container, der den Zugriff zwischen privaten und Geschäftlichen Apps steuert?
Die Antwort darauf ist die Implementierung von App-Konfigurationsrichtlinien mit Microsoft Intune.
Was diese Funktionalität bewirkt und wie wir diese einrichten können, zeige ich Euch in diesem Beitrag.
Microsoft Intune einrichten: Was sind App-Konfigurationsrichtlinien?
Über die App-Konfigurationsrichtlinien können wir im Intune steuern, wie sich unser Gerät verhält, wenn geschäftliche Informationen von einer Unternehmens-App (wie z.B.: Microsoft Outlook) in eine private App wie WhatsApp oder das Gmail-Postfach übertragen werden sollen.
Dabei können wir unterschiedliche Szenarien für unsere App-Verwaltung aufsetzen:
- Der Transfer von Informationen soll geblockt werden
- Daten dürfen kopiert und übertragen werden
- Informationen können nur von bestimmten Apps gelesen werden
- Es findet eine Zugriffssteuerung (z.B.: über eine PIN) statt, wenn auf eine Unternehmens-App zugegriffen wird
- Soll eine Verschlüsselung der Daten durchgeführt werden?
Zugriffsteuerung einrichten
In den App-Konfigurationsrichtlinien definieren wir auch, welche Voraussetzungen wir haben, damit ein Nutzer mit seinem Account auf eine Business-App zugreifen darf. Dazu gehört:
Microsoft Intune einrichten: Unterstützte Plattformen zur App-Verwaltung
Aktuell werden bei den App-Konfigurationsrichtlinien die Plattformen iOS, Android und Windows 10 unterstützt.
Hierbei wird zwischen zwei verschiedenen Szenarien unterschieden:
Managed Devices
Wenn ein Gerät über das Unternehmens-Portal registriert wurde (dies ist zumeist, aber nicht zwingend, bei Unternehmens-Geräten der Fall) spricht man von Managed Devices.
Managed Apps
Bei persönlichen Geräten oder auch Geräten aus dem BYOD-Szenario findet keine komplette Verwaltung des Endgerätes statt, sondern nur eine der Unternehmens-Apps. Entsprechend spricht man hier von Managed Apps.
Microsoft Intune einrichten: Die Einrichtung einer Konfigurationsrichtlinie
In unserem Beispiel nehme ich eine App-Konfigurationsrichtlinie für Android Geräte vor. Der Ablauf für iOS- oder Windows Geräte ist allerdings nahezu identisch.
Unter der Rubrik "Apps" finden wir die Möglichkeit eine App-Konfigurationsrichtlinie einzurichten:
Microsoft Intune einrichten:
App-Konfigurationsrichtlinie Namen vergeben
Als nächstes vergeben wir einen Namen und optional auch eine Beschreibung für unsere App-Konfigurationsrichtlinie:
Microsoft Intune einrichten: App-Konfigurationsrichtlinie: Apps und Geräte-Typen auswählen
Im nächsten Schritt wählen wir aus, ob die Richtlinie auf verwaltete oder nicht verwaltete Geräte angewendet werden soll.
Bei verwalteten Geräten findet eine Registrierung über die Unternehmensportal-App statt, bei nicht verwalteten Geräten ist dies nicht erforderlich.
Aber Achtung: Für die Verwaltung unter Android ist es zwingend erforderlich das die Company Portal-App installiert ist. Eine Registrierung für Managed Apps ist nicht erforderlich. Bei iOS kann bei nicht verwalteten Geräten komplett auf die Portal-App verzichtet werden.
Unter der Rubrik "Public apps" und "Custom apps" legen wir entsprechend fest, auf welche Applikationen unsere Richtlinie greifen soll.
App-Konfigurationsrichtlinie: Datenschutz
Im Bereich Datenschutz definieren wir, wie die Applikationen untereinander interagieren dürfen.
Wir legen u.a. fest, ob:
App-Konfigurationsrichtlinie: Zugriffsanforderung
Bei den Zugriffsanforderungen definieren wir, welche Sicherheitsanforderungen ein Nutzer erfüllen muss, um auf seine Unternehmens-App Zugriff zu erhalten.
Auch hier können unterschiedliche Einstellungen vorgenommen werden, so z.B.:
- Ist eine PIN erforderlich?
- Welche Komplexität muss eine PIN erfüllen?
- Biometrischer Zugriff erlaubt?
- Muss eine zusätzliche Authentifizierung über seinen Microsoft 365 Login stattfinden?
App-Konfigurationsrichtlinie: Bedingter Start und Zuweisung
In den letzten beiden Bereichen legen wir fest, ob Jailbreak und Rooted Geräte auf Unternehmens-Apps zugreifen dürfen und wie sich das mobile Gerät verhält, wenn z.B.: die PIN zu oft falsch eingegeben wurde.
Als letztes weisen wir die Richtlinie einer Gruppe zu und nach einer gewissen Synchronisierungszeit wird die Policy auf dem Gerät angewendet.
Auswirkungen auf dem mobilen Endgerät
Wenn der Nutzer nun auf eine Unternehmens-App zugreifen will, wird ihm folgender Bildschirm bei der Anmeldung angezeigt:
Microsoft Intune Praxis-Schulungen
Gern bieten wir Ihnen die Microsoft Intune Schulung auch als Praxis-Workshops an. Dabei wird wichtiges Wissen vermittelt und gleichzeitig Ihre konkrete Intune Umgebung gemeinsam eingerichtet.
Fazit und Blog
Ich hoffe Dir damit gezeigt zu haben, wie Du mit Microsoft Intune den Zugriff auf Deine Applikationen steuern kannst.
Schau dir doch auch die anderen Tutorials und Tipps an, die wir bereits auf unserem Blog geteilt haben. Wir sind stets bemüht, die aktuellsten Themen und Fragestellungen zu beantworten, um dich bei der Arbeit mit Microsoft Intune und anderen Microsoft 365 Produkten zu unterstützen!