Microsoft Intune App-Schutzrichtlinien: Mobile Unternehmensdaten auf privaten Geräten (BYOD) für kleine Unternehmen in Berlin schützen

BYOD – Bring Your Own Device – ist in kleinen Berliner Unternehmen längst Realität: Mitarbeiter greifen mit ihren privaten Smartphones auf Geschäfts-E-Mails zu, bearbeiten Dokumente in der mobilen Office-App und kommunizieren über Microsoft Teams – auf Geräten, die niemals in die MDM-Verwaltung aufgenommen werden. Microsoft Intune App-Schutzrichtlinien (App Protection Policies, APP) lösen dieses Dilemma: Sie schützen Unternehmensdaten innerhalb von Apps auf privaten Geräten, ohne das Gerät selbst zu verwalten, zu überwachen oder in die Privatsphäre der Mitarbeiter einzugreifen.

Was sind Intune App-Schutzrichtlinien?

App-Schutzrichtlinien (APP / MAM – Mobile Application Management) sind Richtlinien, die direkt auf App-Ebene angewendet werden – unabhängig davon, ob das Gerät in Intune registriert ist oder nicht. Sie erzeugen einen sogenannten App-Container innerhalb von Microsoft-Apps (Outlook, Teams, OneDrive, Office-Apps): Geschäftsdaten innerhalb dieses Containers sind verschlüsselt, vom privaten App-Bereich getrennt und können bei Bedarf remote gelöscht werden – ohne dass private Fotos, Nachrichten oder Apps berührt werden.

MAM ohne Geräteregistrierung (MAM-WE)

Der wichtigste Anwendungsfall für kleine Unternehmen ist MAM Without Enrollment (MAM-WE): Mitarbeiter installieren die Intune Company Portal App (oder die jeweilige Microsoft-App) auf ihrem privaten Smartphone, registrieren sich mit ihrem Geschäftskonto – und die App-Schutzrichtlinien werden automatisch angewendet, ohne dass das Gerät in die Intune-MDM-Verwaltung aufgenommen wird.

Das Gerät bleibt vollständig im Besitz des Mitarbeiters. Intune sieht nur die Geschäftsanwendungen und deren Aktivitäten – nicht die privaten Apps, Fotos, Nachrichten oder den genauen Standort des Geräts.

Was App-Schutzrichtlinien konkret erzwingen

Datentransfer-Beschränkungen: Kopieren und Einfügen zwischen Geschäftsanwendungen und privaten Apps wird blockiert. Ein Dokument aus OneDrive kann nicht in WhatsApp eingefügt werden.
Speicherort-Beschränkungen: Geschäftsdokumente können nicht in die lokale Fotogalerie oder in private Cloud-Dienste (Google Drive, iCloud) gespeichert werden – nur in genehmigte Geschäftsspeicher wie OneDrive for Business oder SharePoint.
PIN / Biometrie: Beim Öffnen einer geschützten App wird PIN oder biometrische Authentifizierung verlangt – unabhängig von der geräteseitigen Bildschirmsperre.
Verschlüsselung: Im App-Container gespeicherte Daten werden durch Intune zusätzlich zur Geräteverschlüsselung verschlüsselt.
Selektives Wischen (Selective Wipe): Wenn ein Mitarbeiter das Unternehmen verlässt oder sein Telefon verliert, werden nur die Geschäftsdaten und der App-Container gelöscht – private Daten bleiben unberührt.
Minimum-OS-Version: Apps können so konfiguriert werden, dass sie auf veralteten Betriebssystemversionen mit bekannten Sicherheitslücken nicht mehr funktionieren.

Integration mit Conditional Access

App-Schutzrichtlinien entfalten ihre volle Stärke in Kombination mit Microsoft Entra Conditional Access. Eine typische Konfiguration für kleine Unternehmen:

Zugriff auf Exchange Online (E-Mail) von mobilen Geräten: nur über die Microsoft Outlook App mit aktiver App-Schutzrichtlinie erlaubt – nativer iOS/Android-Mail-Client wird blockiert.
Zugriff auf SharePoint und Teams von nicht verwalteten Geräten: nur mit gültiger App-Schutzrichtlinie erlaubt.
Für vollständig verwaltete Geräte (MDM-registriert): zusätzlich Geräte-Compliance als Bedingung.

Das Ergebnis: Mitarbeiter können mit jedem Gerät auf Geschäftsdaten zugreifen – aber immer nur über geschützte Anwendungen mit aktiven Datenschutzrichtlinien.

Unterstützte Apps und Plattformen

App-Schutzrichtlinien funktionieren mit Apps, die das Intune App SDK integriert haben. Alle Microsoft 365-Apps unterstützen App-Schutzrichtlinien vollständig:

Microsoft Outlook, Teams, OneDrive, SharePoint, Edge
Microsoft Word, Excel, PowerPoint (mobile Apps)
Microsoft Authenticator (Richtlinien für den Authentifizierungs-Flow)

Drittanbieter-Apps können App-Schutzrichtlinien unterstützen, wenn sie das Intune App SDK implementiert haben oder mit dem Intune App Wrapping Tool bearbeitet wurden. Eine Liste unterstützter Apps ist im Microsoft Intune-Dokumentationsportal verfügbar.

Implementierung in 4 Schritten

App-Schutzrichtlinie erstellen: Im Intune Admin Center unter Apps → App-Schutzrichtlinien eine neue Richtlinie für iOS und/oder Android erstellen, Ziel-Apps auswählen und Datentransfer-Einstellungen konfigurieren.
Richtlinie Benutzern oder Gruppen zuweisen: Richtlinie einer Entra-ID-Gruppe zuweisen. Alle Benutzer in dieser Gruppe erhalten die Richtlinie beim nächsten App-Start auf ihrem Gerät.
Conditional-Access-Regel erstellen: CA-Richtlinie konfigurieren, die mobilen Zugriff auf Exchange/SharePoint/Teams auf Apps mit aktiver App-Schutzrichtlinie beschränkt (Gerätezustand = “App-Schutzrichtlinie erforderlich”).
Testen und Rollout: Mit einem Testbenutzer auf einem privaten Smartphone prüfen, dass Datenexport blockiert wird, das native Mail-Programm keinen Zugriff mehr erhält und Selective Wipe nur Geschäftsdaten entfernt.

Lizenzierung

App-Schutzrichtlinien (MAM) sind Bestandteil von Microsoft Intune Plan 1, das in Microsoft 365 Business Premium enthalten ist. Für die meisten kleinen Berliner Unternehmen mit Business-Premium-Lizenzen stehen App-Schutzrichtlinien also ohne zusätzliche Kosten zur Verfügung und müssen lediglich konfiguriert werden.

Fazit: BYOD-Sicherheit ohne Kompromisse bei der Privatsphäre

Intune App-Schutzrichtlinien lösen das BYOD-Dilemma kleiner Unternehmen: Mitarbeiter behalten die Kontrolle über ihre privaten Geräte, das Unternehmen behält die Kontrolle über seine Geschäftsdaten. Die Technologie ist in Microsoft 365 Business Premium bereits enthalten und erfordert keine zusätzliche Hardware oder Agenten. Für Berlin Berliner Unternehmen, die private Smartphones ihrer Mitarbeiter nicht verwalten wollen oder können, ist MAM-WE die praktische Lösung zur Sicherung von Geschäftsdaten auf mobilen Geräten.

Weiterführende Artikel

Auch zu diesem Thema

Microsoft Intune für macOS: App-Schutzrichtlinien bieten MAM-WE für mitarbeitereigene Macs – wenn eine vollständige MDM-Registrierung für BYOD-Geräte nicht geeignet ist, schützen App-Schutzrichtlinien Unternehmensdaten innerhalb von Microsoft 365-Apps ohne Geräte-Level-Compliance-Richtlinien oder Konfigurationsprofil-Bereitstellung

Microsoft Intune App-Schutzrichtlinien: Mobile Unternehmensdaten auf privaten Geräten (BYOD) für kleine Unternehmen in Berlin schützen

Was sind Intune App-Schutzrichtlinien?

MAM ohne Geräteregistrierung (MAM-WE)

Was App-Schutzrichtlinien konkret erzwingen

Integration mit Conditional Access

Unterstützte Apps und Plattformen

Implementierung in 4 Schritten

Lizenzierung

Fazit: BYOD-Sicherheit ohne Kompromisse bei der Privatsphäre

Microsoft Defender for Identity für kleine Unternehmen in Berlin

Microsoft Purview eDiscovery: Legal Hold und Inhaltssuche für kleine Unternehmen in Berlin

Microsoft Intune for Small Business: Modern Device Management Without the Complexity

Cloud Migration for Berlin SMBs: A Practical Guide to Moving from On-Premise to Azure

IT Security Audit Checklist for Berlin SMBs: 7 Domains to Review Before a Breach

IT-Compliance-Checkliste für deutsche KMU: DSGVO, NIS2 und BSI-Grundschutz

Was sind Intune App-Schutzrichtlinien?

MAM ohne Geräteregistrierung (MAM-WE)

Was App-Schutzrichtlinien konkret erzwingen

Integration mit Conditional Access

Unterstützte Apps und Plattformen

Implementierung in 4 Schritten

Lizenzierung

Fazit: BYOD-Sicherheit ohne Kompromisse bei der Privatsphäre

Similar Posts