​​​​Warum Sie App Protection Policies nutzen sollten​

27.03.2023 | Timothy Borchert

​​

​​Haben Sie schon einmal etwas von „Application Protection Policies“ gehört? Wenn nicht, wird es höchste Zeit, denn hinter diesem etwas sperrig klingenden Begriff verbirgt sich ein wahrer Schatz an Möglichkeiten für IT-Administratoren! In diesem Blogpost erklären wir Ihnen, was Application Protection Policies (kurz APPs) sind und wie Sie diese mit Intune einsetzen können, um Ihre Unternehmensdaten effektiv zu schützen.


Exkurs: MDM ↔​ MAM

Bei der Verwaltung von Endgeräten ist zunächst zwischen Mobile Device Management (MDM) und Mobile Application Management (MAM) zu unterscheiden. Wird ein Gerät über ein MDM verwaltet, ist es möglich, das gesamte Gerät auf Betriebssystemebene zu steuern. So können Systemeinstellungen wie das Forcieren einer PIN oder auch WLAN- und VPN-Profile verteilt werden. Wird hingegen MAM verwendet, wird das Gerät nur teilweise, nämlich auf Applikationsebene, gesteuert. In diesem Fall können nur die Einstellungen der verwalteten App(s) beeinflusst werden, nicht aber die Systemeinstellungen.


Veranschaulichung MDM und MAM (Quelle: Microsoft)

Während bei der MDM-Verwaltung ein sogenanntes Enrollment, also eine Registrierung, des Gerätes im MDM-System erforderlich ist, reicht bei der MAM-Verwaltung die Anmeldung mit einem Unternehmenskonto aus, um die MAM-Policies anzuwenden. MAM-verwaltete Apps werden als „verwaltete Apps“ bezeichnet. MAM ermöglicht die Verwaltung von Unternehmensanwendungen sowohl auf MDM-registrierten als auch auf nicht registrierten Geräten (letzteres betrifft häufig private Geräte).

Über das MAM-Management können in Intune Policies konfiguriert werden, um z.B. das Aussehen oder die Sprache einer App vorzugeben (App Configuration Policies). Zusätzlich können die auf Datensicherheit ausgelegten App Protection Policies (APPs) genutzt werden, um u.a. den Datenfluss von Unternehmensdaten zu steuern.​


​​Vision: Schutz aller Mobilgeräte

APPs können für Android und iOS/iPadOS konfiguriert werden. Die Verwendung von APPs auf Windows Geräten (WIP) wurde von Microsoft in Q4/2022 mit Verweis auf Data Loss Prevention (DLP) Policies eingestellt. Um APPs nutzen zu können, muss das Gerät nicht mit Intune verwaltet werden. Es ist sogar möglich, ein anderes MDM-System zu verwenden UND APPs über Intune zu verwalten. Was nicht funktioniert: Zwei MAM-Systeme zur Steuerung von Apps auf einem Gerät.​

Da es sich bei APPs um MAM-Policies handelt, können damit alle Mobilgeräte geschützt werden, auf denen mit Unternehmensdaten gearbeitet wird. Dabei wird zwischen persönlichen und geschäftlichen Daten unterschieden, so dass Policies nur auf geschäftliche Daten angewendet werden. Der Zugriff auf persönliche Daten erfolgt wie gewohnt. Vorteilhaft ist hierbei, dass durch einen sogenannten „Selective Wipe“ geschäftliche Daten aus den verwalteten Apps gelöscht werden können, ohne dass persönliche Daten derselben oder einer anderen App mitgelöscht werden. APPs werden ausschließlich Azure AD (AAD) Security Groups zugewiesen, die für Intune lizenzierte AAD-Benutzer enthalten. Nicht lizenzierte (AAD) Benutzer können keine APPs verwenden. 

​Hinweis: Damit eine App über APPs gesteuert werden kann, ist es zwingend erforderlich, dass die App dies auf Code-Ebene unterstützt. Weitere Informationen und eine Liste verfügbarer Apps finden Sie hier: Microsoft Intune protected apps | Microsoft Learn.


Überblick: Funktionsumfang von APPs

Intune bietet die folgenden drei Bereiche, um die Datensicherheit zu erhöhen: Datenschutz (Data Protection), Zugriffsanforderungen (Access Requirements) und Bedingter Start (Conditional Launch).


Im Folgenden werden einige Einstellungen beispielhaft vorgestellt. Hinweis: Zur besseren Verständlichkeit hier und zu Referenzzwecken in der Microsoft-Dokumentation werden die englischen Namen der Einstellungen verwendet.​


1) Data Protection

„Datenschutz“ beschreibt, wie die Daten der Anwendung vor unbedachter und unbefugter Weitergabe geschützt werden (kann vorsätzliche oder gar kriminelle Weitergabe von Daten nicht verhindern).

  • Data Transfer: Ein- und ausgehende Datenströme granular steuern

    • Send org data to other apps: Festlegen, in welche (nicht) verwalteten Anwendungen Daten fließen dürfen (erlaubte Speicherorte, Umgang mit Rufnummernverknüpfungen (tel:), Ausnahmen)

    • Receive data from other apps: Festlegen, von welchen (nicht) verwalteten Apps Daten empfangen werden dürfen

    • Restrict cut, copy, and paste between other apps: Festlegen, zwischen welchen (nicht-)verwalteten Apps die Zwischenablage verfügbar ist (und ob Daten aus nicht-verwalteten Apps immer eingefügt werden dürfen oder nicht)

  • Encryption: Erfordert die Verschlüsselung der Daten (und ob dies auch für MDM-verwaltete Geräte gilt)

  • Functionality: Weitere Funktionen steuern (z.B. Drucken, Benachrichtigungen)


2) Access Requirements

„Zugriffsanforderungen“ beschreibt die Bedingungen, unter denen der Benutzer Zugriff auf die gespeicherten Anwendungsdaten erhält.

  • PIN for access: Erforderliche App-PIN (und wie sicher diese sein muss)

    • PIN type: numerische oder alphanumerische App-PIN (bei iOS teilweise Geräte-PIN)

    • Minimum PIN length: Mindestanforderung an die App-PIN

    • Biometrics instead of PIN: Festlegung, inwieweit biometrische Zugangsdaten anstelle der App-PIN zulässig sind

    • PIN reset after number of days: Festlegen, nach wie vielen Tagen eine neue App-PIN gesetzt werden muss

  • Work or school account credentials for access: Festlegen, ob beim Zugriff zusätzlich zur App-PIN das Passwort des AAD-Kontos eingegeben werden muss

  • ​​Recheck the access requirements after: Festlegen, nach wie vielen Minuten die PIN / das Passwort erneut geprüft werden soll (bis dahin erfolgt der Zugriff ohne PIN/Passwort)


3) Conditional Launch

„Bedingter Start“ beschreibt, in welchen Fällen der Zugriff auf die Anwendungsdaten blockiert wird oder die Anwendungsdaten sogar durch präventives Löschen geschützt werden.

  • App conditions: Festlegen, was bei zu vielen falschen PIN-Eingaben (z.B. PIN-Reset oder Selective Wipe der App-Daten) und langen Offline-Zeiten geschehen soll

  • Device conditions: Festlegen, was geschehen soll, wenn die Mindestanforderungen an das Gerät nicht erfüllt werden (z.B. Warnung per Benachrichtigung, wenn die OS-Version zu alt ist)​

​​​

Tipp: Microsoft Defender for Cloud Apps

Wer Apps einsetzt, die derzeit noch nicht mit APPs verwaltet werden können, oder bestimmte Funktionen von Apps (ggf. nur unter bestimmten Voraussetzungen) kontrollieren möchte, sollte auch einen Blick auf den Microsoft Defender for Cloud Apps (ehemals Microsoft Cloud App Security) werfen. Der Defender for Cloud Apps arbeitet hier als sogenannter “Cloud Access Security Broker“ (CASB), der Zugriffe auf Cloud-Ressourcen (SaaS, PaaS oder IaaS) zunächst prüft und ggf. blockiert, wenn diese nicht zulässig sind. Technisch wird dies unter anderem durch die Funktion eines Reverse Proxys umgesetzt. Auch aus diesem Grund muss die zu schützende App die Verwendung mit dem Defender for Cloud Apps unterstützen.​


Beispiel: Microsoft Teams schützen

  • Ziel: Es soll nicht möglich sein, Daten aus Teams auf private Endgeräte herunterzuladen. Das Ansehen von Dateien in Teams soll möglich sein.

  • Problem: Die APPs funktionieren auf privaten Mobilgeräten, werden aber unter Windows nicht unterstützt.

  • Lösung

    • Mobilgeräte: APPs für Teams anwenden (Send org data to other apps: Lokalen Speicher und Fotogalerie ausschließen)

    • Windows: Defender for Cloud Apps Policies anwenden, um

      • die Teams App (Desktop) zu sperren, so dass nur der Zugriff über den Browser möglich ist (Access Policy)

      • den Download von Daten aus Teams im Browser verhindern (Session Policy)

  • Wichtig: Nur Teams im Browser unterstützt den Defender for Cloud Apps, daher kann die Lösung nicht über die Teams App (Desktop) funktionieren und muss daher für die Gerätetypen recht unterschiedlich implementiert werden.​



​Fazit

Wir haben gesehen, dass APPs ein mächtiges Mittel sind, um Unternehmensdaten auf App-Ebene vor unbedachtem Abfluss zu schützen (MAM). Vielleicht stimmen Sie uns zu und wissen (spätestens) jetzt, warum Sie App Protection Policies einsetzen sollten: Unternehmensdaten können abfließen, aber das muss nicht so bleiben!

Wenn Sie Fragen haben oder an einem unverbindlichen Beratungsgespräch interessiert sind, kontaktieren Sie uns! Wir unterstützen Sie gerne bei den ersten oder auch weiteren Schritten, um den Nutzen der Microsoft Services zur Verwaltung all Ihrer Endgeräte zu erhöhen.​


Kontakt

Lassen Sie uns über Ihre Zukunft reden

E-Mail wurde versendet.
TAGS
Endpoint Manager; Intune; Security; Tipps
Nein
Microsoft