VMware Workspace ONE®, unterstützt von der AirWatch-Integration in Microsoft Intune®-Anwendungsschutzrichtlinien, entfernt das Management von DLP-Richtlinien für Ihre Microsoft Intune-Anwendungsschutzrichtlinien aus zwei Konsolen.

Sie können die DLP-Anwendungsrichtlinien (Data Loss Prevention) für den Microsoft Intune-Anwendungsschutz in der Workspace ONE UEM konfigurieren. Nachdem Sie die beiden Systeme integriert haben, sollten Sie die DLP-Anwendungsrichtlinien in der Workspace ONE UEM Console verwalten, damit die Integration aktuell bleibt.

Die meisten Microsoft Intune-Anwendungsschutzrichtlinien sind sowohl für Android als auch für iOS verfügbar.

Verwaltung in der Workspace ONE UEM Console, um auf dem aktuellen Stand zu bleiben

Nachdem Sie die beiden Systeme integriert haben, sollten Sie die DLP-Anwendungsrichtlinien in der Workspace ONE UEM Console verwalten, damit die Integration aktuell bleibt. Workspace ONE UEM erhält keine Änderungen, die in anderen Teilen der Integration vorgenommen werden. Die DLP-Anwendungsrichtlinien oder Sicherheitsgruppenzuweisungen können veralten.

Benutzererfahrungen auf Android und iOS

Die Benutzererfahrungen unter iOS und Android sind teilweise sehr unterschiedlich, ähneln einander teilweise aber auch, wenn Benutzer nach erfolgreicher Integration in Intune zum ersten Mal auf Anwendungen zugreifen.

Erfahrung auf iOS

Wenn sich der Gerätebenutzer bei Microsoft Office 365-Anwendungen auf iOS-Geräten authentifiziert und das Profil erfolgreich übertragen wurde, zeigt das System ein Pop-up-Fenster an, in dem darüber informiert wird, dass die Anwendung von Ihrer Organisation verwaltet wird. Es gibt keine zusätzlichen Schritte in der Konfiguration.

Erfahrung auf Android

Um Android- und Android Enterprise-Geräte zu verwalten, müssen Benutzer die Anwendung Intune Company Portal installieren. Diese Anwendung fungiert als Broker für das Intune-Anwendungs-SDK, genauso wie Workspace ONE Intelligent Hub als Broker für Workspace ONE UEM-Anwendungen fungiert.

Gemeinsamkeiten bei der Erfahrung auf iOS und Android

Beide Plattformen müssen Intune als MDM-Autorität auf dem Gerät festlegen. Sie können diese Einstellung auf dem Gerät unter Azure-Mandant > Alle Ressourcen > Intune konfigurieren. Aktivieren Sie Intune-MDM-Autorität über die Benachrichtigung Erste Schritte.

Ausführen dieser Aktionen in Azure, um Microsoft Intune zu integrieren

Erstellen Sie für die Integration ein Benutzerkonto und weisen Sie dem Benutzer die aufgelisteten Microsoft-Lizenzen zu.

Für Umgebungen, die nicht über die Azure AD-Integration in Directory Services in der Workspace ONE UEM Console verfügen, müssen Sie die Anwendung AirWatch by VMware in Azure hinzufügen. Weitere Informationen finden Sie unter Konfigurieren von Workspace ONE UEM für die Verwendung von Azure AD als Identitätsdienst.

Wichtig:

Wenn Sie die Out-of-the-Box-Registrierung bereits mit einem anderen MDM-Anbieter als Workspace ONE UEM eingerichtet haben, fügen Sie AirWatch by VMware hinzu, geben Sie keine anderen Einstellungen in Azure ein, und bearbeiten Sie die Einstellungen nicht. Wenn Sie Konfigurationen eingeben oder bearbeiten, kann das den bestehenden Registrierungsprozess beeinträchtigen.

  • Erstellen Sie ein Dienstkonto (ein Benutzer) in Azure und weisen Sie dem Benutzer die entsprechenden Rollen zu.
    Hinweis:

    Das sind allgemeine Schritte. Aktuelle Informationen zum Konfigurieren von Azure finden Sie in der Microsoft-Dokumentation.

    1. Wechseln Sie zu Ihrem Azure-Portal, indem Sie portal.azure.com in Ihren Browser eingeben.
    2. Erstellen Sie einen neuen Benutzer, oder synchronisieren Sie einen Benutzer mit einer lokalen Instanz von Active Directory.

      Deaktivieren Sie die Multifaktor-Authentifizierung für die Domäne dieses Benutzers.

    3. Weisen Sie diesem Benutzer die aufgelisteten Rollen zu.
      • Intune-Administrator
      • Anwendungsadministrator
      • Verzeichnisleser
      • Verzeichnisautor
  • Wenn Sie einen Benutzer in Azure Actice Directory erstellt haben, verwenden Sie dieses Konto, um sich unter portal.azure.com bei Azure anzumelden. Stellen Sie sicher, dass das Kennwort gültig ist und nicht aktualisiert werden muss.
  • Sie müssen dem Benutzer die aufgelisteten Lizenzen in Azure zuweisen.
    • Microsoft Intune-Anwendungsschutzrichtlinien
    • Microsoft Enterprise Mobility + Security E3 oder E5

Konfigurieren von Intune-Einstellungen

Konfigurieren Sie in der Workspace ONE UEM Console DLP-Anwendungsrichtlinien (Data Loss Prevention) für den Microsoft Intune®-Anwendungsschutz, und wenden Sie sie auf Anwendungen und Daten an. Konfigurieren Sie zuerst die Registerkarte „Authentifizierung“, damit die Systeme miteinander kommunizieren können. Konfigurieren Sie dann Ihre DLP-Einstellungen und weisen Sie sie Gruppen zu.

Workspace ONE UEM erzwingt Richtlinien für Anwendungen nicht direkt. Das Microsoft SDK steuert und erzwingt die Richtlinien.
Hinweis:

Die Warnung ändert sich für die Betriebssystem- und die Anwendungsversion. Die Android-Patch-Version benachrichtigt den Benutzer nur mit einer Warnmeldung. Allerdings hindern die Warnungen die Endbenutzer nicht daran, die Anwendung zu verwenden.

Voraussetzungen

Um DLP-Anwendungsrichtlinien zu konfigurieren und auf Intune-Anwendungen anzuwenden, müssen Sie über die entsprechenden Berechtigungen verfügen, um Anwendungsrichtlinien in Intune zu konfigurieren.

Verfahren

  1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Anwendungen > Microsoft Intune®-Anwendungsschutzrichtlinien.
  2. Wählen Sie die Registerkarte Authentifizierung aus, und geben Sie den Benutzernamen und das Kennwort für den Azure-Administrator ein.

    Administratoren können Office 365 DLP-Anwendungsrichtlinien verwenden, um Office 365 Anwendungen und Daten mit Microsoft Graph-APIs zu schützen. Um DLP-Richtlinien für Office 365 zu konfigurieren, benötigen Sie Administratoranmeldedaten, damit Sie Ihren Mandanten mit Workspace ONE UEM verbinden können.

    Einstellung Beschreibung
    Benutzername Geben Sie den Benutzernamen ein, mit dem Ihr Mandant für die Workspace ONE UEM konfiguriert wird.
    Kennwort Geben Sie das Kennwort ein, mit dem Ihr Mandant für die Workspace ONE UEM konfiguriert wird.

    Workspace ONE UEM verwendet diese Anmeldedaten, um die DLP-Anwendungsrichtlinien zu suchen und den Microsoft-Sicherheitsgruppen zuzuweisen.

  3. Wählen Sie die Registerkarte „Data Loss Prevention“ aus, und konfigurieren Sie die bevorzugten DLP-Anwendungsrichtlinien für den Microsoft Intune-Anwendungsschutz. Konfigurieren Sie DLP-Anwendungsrichtlinien für Ihre verwalteten Anwendungen und Daten mit Microsoft Intune-Anwendungsschutzrichtlinien.
    Einstellungen für die Datenverschiebung Beschreibung
    Sicherung verhindern Verhindert, dass Benutzer Daten aus ihren verwalteten Anwendungen sichern.
    Zulassen, dass Anwendungen Daten an andere Anwendungen übertragen
    • Alle: Benutzer können Daten von verwalteten Anwendungen an jede beliebige Anwendung senden.

    • Eingeschränkt: Benutzer können Daten aus ihren verwalteten Anwendungen an andere verwaltete Anwendungen senden.

    • Keine: Verhindert, dass Benutzer Daten von verwalteten Anwendungen an beliebige Anwendungen senden.

    Zulassen, dass Anwendungen Daten von anderen Anwendungen empfangen
    • Alle: Benutzer können Daten von Anwendungen in ihren verwalteten Anwendungen empfangen.

    • Eingeschränkt: Benutzer können Daten von anderen verwalteten Anwendungen in ihren verwalteten Anwendungen empfangen.

    • Keine: Verhindert, dass Benutzer Daten von Anwendungen in ihren verwalteten Anwendungen empfangen.

    Verhindern von „Speichern unter“ Verhindert, dass Benutzer verwaltete Anwendungsdaten für Microsoft Intune-Anwendungsschutzrichtlinien in einem anderen Speichersystem oder -bereich speichern.
    Einschränken von Kopieren/Einfügen mit anderen Anwendungen
    • Jede Anwendung: Benutzer können Daten zwischen ihren verwalteten Anwendungen und jeder beliebigen Anwendung ausschneiden, kopieren und einfügen.

    • Blockiert: Verhindert, dass Benutzer Daten zwischen verwalteten Anwendungen und allen anderen Anwendungen ausschneiden, kopieren und einfügen.

    • Richtlinienverwaltete Anwendungen: Benutzer können Daten zwischen verwalteten Anwendungen mit Microsoft Intune-Anwendungsschutzrichtlinien ausschneiden, kopieren und einfügen.

    • Richtlinienverwaltete Anwendungen mit „Einfügen in“: Benutzer können Daten aus ihren verwalteten Anwendungen ausschneiden und kopieren und in andere verwaltete Anwendungen einfügen.

      Benutzer können auch Daten aus jeder Anwendung ausschneiden und in ihre verwalteten Anwendungen kopieren.

    Einschränken von Webinhalten auf das Anzeigen im verwalteten Browser Erzwingt, dass Links aus verwalteten Anwendungen in einem verwalteten Browser geöffnet werden.
    Verschlüsseln von Anwendungsdaten Verschlüsselt Daten, die verwaltete Anwendungen betreffen, wenn sich das Gerät im ausgewählten Zustand befindet. Das System verschlüsselt überall gespeicherte Daten, einschließlich externer Speicherlaufwerke und SIM-Karten.
    Deaktivieren der Inhaltssynchronisierung Verhindert, dass verwaltete Anwendungen Kontakte im nativen Adressbuch speichern.
    Druckfunktion deaktivieren Verhindert, dass Benutzer Daten drucken, die verwalteten Anwendungen zugeordnet sind.
    Zulässige Datenspeicherorte Administratoren können steuern, wo Benutzer verwaltete Anwendungsdaten speichern können.
    Einstellungen für den Zugriff Beschreibung
    Eingabe einer Zugriffs-PIN

    Erfordert, dass Benutzer eine PIN eingeben, um auf verwaltete Anwendungen zugreifen zu können.

    Die Benutzer erstellen die PIN jeweils beim ersten Zugriff.

    Anzahl der Versuche vor dem Zurücksetzen der PIN Legt die Anzahl der Eingabeversuche für Benutzer fest, bevor das System die PIN zurücksetzt.
    Einfache PIN zulassen Benutzer können vierstellige PINs mit sich wiederholenden Zeichen erstellen.
    PIN-Länge Legt die Anzahl der Zeichen fest, die Benutzer für ihre PINs festlegen müssen.
    Zulässige PIN-Zeichen Legt die Zeichen fest, die Benutzer für ihre PINs konfigurieren müssen.
    Zulassen eines Fingerabdrucks anstatt einer PIN Benutzer können anstelle von PINs mit ihren Fingerabdrücken auf verwaltete Anwendungen zugreifen.
    Eingabe von Unternehmensanmeldedaten für den Zugriff Benutzer können mit ihren Unternehmensanmeldedaten auf verwaltete Anwendungen zugreifen.
    Verhindern, dass verwaltete Anwendungen auf Geräten mit Jailbreak oder Root ausgeführt werden Verhindert, dass Benutzer auf kompromittierten Geräten auf verwaltete Anwendungen zugreifen.
    Erneutes Prüfen der Zugriffsanforderungen nach (Minuten)

    Legt fest, dass das System die Zugriffs-PIN, den Fingerabdruck oder die Anmeldedaten validiert, wenn die Zugriffssitzung eine der Zeitintervalle erreicht.

    • Zeitüberschreitung: Die Anzahl der Minuten, für die Zugriffssitzungen für verwaltete Anwendungen inaktiv sind.

    • Offline-Frist: Die Anzahl der Minuten, in denen Geräte mit verwalteten Anwendungen offline sind.

    Offline-Intervall (Tage), bevor Anwendungsdaten gelöscht werden Legt fest, dass das System verwaltete Anwendungsdaten von Geräten entfernt, wenn die Geräte für eine festgelegte Anzahl von Tagen offline sind.
    Einstellungen für Android Beschreibung
    Blockieren von Bildschirmaufnahmen und Android Assistant Wenn Ja ausgewählt ist, sind Bildschirmaufnahmen und das Scannen von Android Assistant-Apps bei Verwendung einer Office-Anwendung nicht verfügbar.
    Mindestversion des Betriebssystems erforderlich Geben Sie die erforderliche Mindestversionsnummer des Android-Betriebssystems ein, über die ein Benutzer verfügen muss, um sicher auf die Anwendung zugreifen zu können.
    Mindestversion des Betriebssystems erforderlich (nur Warnung) Geben Sie die Mindestversionsnummer des Android-Betriebssystems ein, über die ein Benutzer verfügen muss, um sicher auf die Anwendung zugreifen zu können.
    Mindestversion einer Anwendung erforderlich Geben Sie die erforderliche Mindestversionsnummer der Anwendung ein, über die ein Benutzer verfügen muss, um sicher auf die Anwendung zugreifen zu können.
    Mindestversion des Betriebssystems erforderlich (nur Warnung) Geben Sie die Mindestversionsnummer der Anwendung ein, über die ein Benutzer verfügen muss, um sicher auf die Anwendung zugreifen zu können.
    Mindestversion eines Android-Patches erforderlich Geben Sie die älteste erforderliche Android-Sicherheits-Patch-Ebene ein, über die ein Benutzer verfügen kann, um sicher auf die Anwendung zugreifen zu können.
    Mindestversion eines Android-Patches erforderlich (nur Warnung) Geben Sie die älteste Android-Sicherheits-Patch-Ebene ein, über die ein Benutzer verfügen kann, um sicher auf die Anwendung zugreifen zu können.
  4. Wählen Sie die Registerkarte Zugewiesene Gruppen aus, und weisen Sie den Microsoft-Sicherheitsgruppen die DLP-Anwendungsrichtlinien zu. Die Sicherheitsgruppen wurden zuvor in Azure konfiguriert.
    Einstellung Beschreibung
    Alle Sicherheitsgruppen

    Geben Sie den Namen der Sicherheitsgruppe ein, und weisen Sie sie den DLP-Anwendungsrichtlinien zu. Treffen Sie eine Auswahl aus der Liste, die das System nach einem Eintrag anzeigt.

    Wählen Sie Gruppe hinzufügen aus, und weisen Sie der Sicherheitsgruppe die DLP-Anwendungsrichtlinien zu.

    Sicherheitsgruppen, die O365-Richtlinien zugewiesen sind

    Listet die Sicherheitsgruppen auf, die den DLP-App-Richtlinien zugewiesen sind.

    Wählen Sie Gruppe entfernen aus, und entfernen Sie die Zuweisung aus der Sicherheitsgruppe.

Warnmeldungen für gelöschte und geänderte Richtlinien

Nachdem die Microsoft Intune-Anwendungsschutzrichtlinien geladen wurden, überprüft die Workspace ONE UEM Console im Azure-Portal, ob Löschvorgänge und Änderungen in Intune vorhanden sind. Es ist möglich, dass verwaltete Richtlinien nicht mit den bereitgestellten Richtlinien synchronisiert werden. Um Administratoren vor möglichen Löschvorgängen und Änderungen zu warnen, zeigt die Workspace ONE UEM Console Warnungen basierend auf dem Szenario an.

  • Die Richtlinie wurde aus dem Microsoft Intune-Portal gelöscht. Klicken Sie auf „Einstellungen löschen“, um die Richtlinieneinstellungen aus UEM zu löschen.

    Die Workspace ONE UEM Console zeigt diese Meldung an, nachdem jemand eine oder beide in Intune bereitgestellte iOS- und Android-Richtlinien gelöscht hat. Wenn Sie Einstellungen löschen auswählen, werden die Einstellungen beider Richtlinien aus der Workspace ONE UEM Console entfernt, ohne dass Änderungen auf der Azure-Seite vorgenommen werden müssen. Die Konsole-Seite wird nicht automatisch aktualisiert.

    Benutzer können neue iOS- und Android-Richtlinien ohne Fehler in Azure bereitstellen.

    Hinweis: Wenn nur eine der Richtlinien (iOS oder Android) in Azure gelöscht wird, verbleibt die andere Richtlinie weiterhin in Azure. Benutzer müssen die andere Richtlinie manuell löschen, wenn sie auswählen, dass die vorherigen Einstellungen nicht beibehalten werden sollen.
  • Richtlinieneinstellungen wurden im Microsoft Intune-Portal aktualisiert und sind nicht mit Workspace ONE UEM synchronisiert. Klicken Sie auf „Einstellungen synchronisieren“, um diese Richtlinie in UEM zu aktualisieren.
    Die Workspace ONE UEM Console zeigt diese Meldung an, nachdem jemand beide iOS- und Android-Richtlinien in Intune im Azure-Portal geändert hat und die Richtlinieneinstellungen weiterhin mit den beiden Richtlinien übereinstimmen. Wenn Sie Einstellungen synchronisieren auswählen, werden die Einstellungen beider Richtlinien in Workspace ONE UEM aktualisiert, sodass sie mit denen übereinstimmen, die aus den Richtlinien in Azure abgerufen wurden. Die Konsole-Seite wird nicht automatisch aktualisiert.
    Hinweis: Dieses Szenario schließt Einstellungen aus, die spezifisch für iOS oder Android sind, z. B. iOS SDK- und Android Assistant-Einstellungen.
  • Die Richtlinie „Daten zwischen anderen Anwendungen empfangen“ unterscheidet sich für die Android-Richtlinie und die iOS-Richtlinie im Azure-Portal. Diese Einstellung muss für Workspace ONE UEM identisch sein, um die Android- und die iOS-Richtlinie zu synchronisieren. Wenden Sie sich an den IT-Administrator, um das Problem zu beheben.
    Die Richtlinien „Daten zwischen anderen Anwendungen empfangen“ und „Organisationsdaten an andere Anwendungen senden“ unterscheiden sich für die Android-Richtlinie und die iOS-Richtlinie im Azure-Portal. Diese Einstellungen müssen für Workspace ONE UEM identisch sein, um die Android- und iOS-Richtlinie zu synchronisieren. Wenden Sie sich an den IT-Administrator, um das Problem zu beheben.
    Die Richtlinien „Sicherungen verhindern“, „Daten zwischen anderen Anwendungen empfangen“ und „Organisationsdaten an andere Anwendungen senden“ unterscheiden sich für die Android-Richtlinie und die iOS-Richtlinie im Azure-Portal. Diese Einstellungen müssen für Workspace ONE UEM identisch sein, um die Android- und iOS-Richtlinie zu synchronisieren. Wenden Sie sich an den IT-Administrator, um das Problem zu beheben. 

    Die Workspace ONE UEM Console zeigt diese Meldungen an, nachdem jemand beide Richtlinien in Intune im Azure-Portal geändert hat, die Richtlinieneinstellungen jedoch nicht mit den beiden Richtlinien übereinstimmen. In den Meldungen werden die Unterschiede bei den Einstellungen zwischen den beiden Richtlinien in Azure aufgelistet. Es werden auch die richtlinienbasierten Namen aufgelistet, die in Azure aufgeführt sind, und nicht die, die von der Workspace ONE UEM Console verwendet werden.

    Beheben Sie die in den Meldungen aufgeführten Konflikte, bevor Sie das Menüelement Einstellungen synchronisieren in der Workspace ONE UEM Console verwenden.

    Hinweis: Dieses Szenario schließt Einstellungen aus, die spezifisch für iOS oder Android sind, z. B. iOS SDK- und Android Assistant-Einstellungen.

Die Menüelemente Einstellungen löschen und Einstellungen synchronisieren ändern im Azure-Portal keine Einstellungen in Intune.