Welche Konfigurationen von Intune App Protection Policies (MAM) gewährleisten die Datentrennung auf unmanaged Devices ohne vollständige MDM-Registrierung?
Die Datentrennung auf unmanaged Devices wird durch die Konfiguration von App Protection Policies (APP) auf App-Ebene realisiert. Da keine MDM-Registrierung vorliegt, erfolgt die Kontrolle nicht über das Betriebssystem, sondern über den Intune App SDK-Container innerhalb der verwalteten Anwendungen.
Um eine effektive Trennung zwischen geschäftlichen und privaten Daten zu gewährleisten, setzen wir folgende Konfigurationen ein:
| Bereich | Konfiguration | Technische Wirkung |
|---|---|---|
| Datentransfer | Save copies of org data $\rightarrow$ Block | Verhindert das Speichern von Unternehmensdaten auf lokalen Speichern oder privaten Cloud-Diensten. |
| Cut/Copy/Paste | Restrict cut, copy, paste $\rightarrow$ Policy managed apps | Erlaubt das Kopieren von Daten nur zwischen Apps, die derselben Policy unterliegen. |
| Zugriffskontrolle | PIN / Biometrie $\rightarrow$ Required | Erzwingt eine separate Authentifizierung für die App, unabhängig vom Geräte-Sperrbildschirm. |
| App-Sicherheit | Screen capture $\rightarrow$ Block (Android) | Unterbindet das Erstellen von Screenshots innerhalb der verwalteten App. |
| Conditional Launch | Max PIN attempts $\rightarrow$ Limit setzen | Löscht App-Daten nach einer definierten Anzahl falscher PIN-Eingaben. |
Diese Einstellungen verhindern, dass Unternehmensdaten in private Anwendungen (z. B. persönliche Notiz-Apps oder private E-Mail-Clients) abfließen. Die Steuerung erfolgt über den Identitätskontext des Benutzers. Im Rahmen unserer IT-Consulting & Digitale Strategie integrieren wir diese Policies in ein übergeordnetes Zero-Trust-Modell.
Zusätzlich konfigurieren wir die "Conditional Launch"-Einstellungen, um sicherzustellen, dass die App nur gestartet wird, wenn bestimmte Sicherheitskriterien erfüllt sind. Dies beinhaltet die Prüfung auf Jailbreak- oder Root-Status des Geräts, auch wenn das Gerät nicht im MDM registriert ist. Die Trennung wird dadurch technisch auf der Ebene des App-Containers abgesichert, während der Rest des Geräts privat bleibt.
Wir empfehlen, MAM-without-Enrollment niemals isoliert zu betreiben, sondern zwingend mit Conditional Access Policies zu verknüpfen, die den Zugriff auf Cloud-Ressourcen ausschließlich für Apps fordern, die eine App Protection Policy erfüllen.
Andere Fragen in dieser Kategorie
Welche Auswirkungen hat die Aktivierung von TLS 1.3 auf die Latenzzeiten von Cloud-nativen Application Load Balancern im Vergleich zu TLS 1.2?
Welche Konfigurationsoptimierungen für die JVM-Garbage-Collection sind für hochperformante Microservices in Kubernetes-Containern unter Berücksichtigung von Cgroup-Limits notwendig?
Andere Nutzer suchten auch nach:
Diese Fragen könnten Sie ebenfalls interessieren.
Welche Auswirkungen hat die Aktivierung von TLS 1.3 auf die Latenzzeiten von Cloud-nativen Application Load Balancern im Vergleich zu TLS 1.2?
cloud-digital-workplaceWelche Konfigurationsoptimierungen für die JVM-Garbage-Collection sind für hochperformante Microservices in Kubernetes-Containern unter Berücksichtigung von Cgroup-Limits notwendig?
cloud-digital-workplaceWelche Konfigurationsparameter sind entscheidend für die Optimierung von FSLogix Cloud Cache in Azure Virtual Desktop bei global verteilten User-Profilen?
cloud-digital-workplaceWelche Konfigurationsparameter von Azure App Service Environment (ASE) v3 sind entscheidend für die Isolation von Netzwerkverkehr in hochregulierten Branchen?
cloud-digital-workplaceWelche Mechanismen zur Implementierung von SLSA (Supply chain Levels for Software Artifacts) sichern CI/CD-Pipelines technisch gegen Supply-Chain-Angriffe ab?
