Microsoft Intune App-Schutzrichtlinien (MAM) für kleine Unternehmen in Berlin

Modernes Gerätemanagement hat ein Grenzproblem. Intune MDM verwaltet firmeneigene Geräte umfassend: Gerätekonfiguration, Compliance-Richtlinien, App-Bereitstellung, Remotezurücksetzung. Aber Mitarbeiter nutzen auch private Telefone und Tablets, um dienstliche E-Mails zu lesen, SharePoint-Dokumente zu bearbeiten und an Teams-Besprechungen teilzunehmen – und diese privaten Geräte sind nicht in MDM registriert, haben keine Intune-Verwaltungsprofile und können nicht auf Geräteebene verwaltet werden. Die dienstlichen E-Mails, OneDrive-Dateien und Teams-Nachrichten auf diesen privaten Geräten haben keinen Schutz, wenn das Gerät verloren geht, der Mitarbeiter das Unternehmen verlässt oder die App zum Datenleck genutzt wird. Microsoft Intune App-Schutzrichtlinien (APP), auch Mobile Application Management (MAM) genannt, lösen dies, indem sie die Anwendung statt des Geräts verwalten – Unternehmensdaten in Microsoft-Apps auf nicht verwalteten privaten Geräten schützen, ohne MDM-Registrierung oder Berührung des privaten Teils des Geräts zu erfordern.

Dieser Leitfaden erklärt, wie APP funktioniert, welche Datenschutzkontrollen es bietet, wie es sich in Conditional Access integriert und wie Berliner Unternehmen es einsetzen können, um Unternehmensdaten auf mitarbeitereigenen Geräten zu schützen.

MDM vs. MAM: Der entscheidende Unterschied

Dimension	MDM (Geräteverwaltung)	MAM (App-Verwaltung)
Was verwaltet wird	Das gesamte Gerät	Spezifische Anwendungen auf dem Gerät
Registrierung erforderlich	Ja – Gerät muss in Intune registriert sein	Nein – funktioniert auf nicht verwalteten Geräten
Sichtbarkeit privater Daten	IT kann Geräteinventar, Apps und Standort sehen	IT hat keine Sichtbarkeit auf private Daten oder Apps
Remotelöschungsumfang	Kann das gesamte Gerät löschen	Kann nur Unternehmens-App-Daten löschen (selektive Löschung)
Typischer Gerätetyp	Firmeneigene Windows-PCs, Telefone, Tablets	Mitarbeitereigene (BYOD) Telefone und Tablets
Nutzerakzeptanz	Höhere Reibung – Nutzer können private Geräteregistrierung ablehnen	Niedrigere Reibung – private Daten bleiben vollständig privat

MAM ohne MDM-Registrierung (MAM-WE) ist das richtige Modell für private Geräte: Es schützt die Unternehmensdaten in Outlook, Teams, OneDrive und Edge, ohne etwas anderes auf dem privaten Telefon des Mitarbeiters zu verwalten oder zu überwachen. Diese Unterscheidung ist auch für die DSGVO wichtig: Ein Arbeitgeber, der ein privates Gerät über MDM verwaltet, schafft Datenverarbeitungspflichten im Zusammenhang mit den persönlichen Daten auf diesem Gerät; MAM-WE vermeidet dies, indem die Verwaltung ausschließlich auf Unternehmens-App-Daten beschränkt wird.

Was App-Schutzrichtlinien steuern

Eine App-Schutzrichtlinie ist ein Regelwerk, das auf Daten innerhalb einer verwalteten Anwendung angewendet wird. Die Regeln arbeiten an der Datengrenze zwischen verwalteten und nicht verwalteten Apps auf demselben Gerät. Wesentliche Einstellungen:

Datenübertragungskontrollen: Verhindern, dass Unternehmensdaten aus verwalteten Apps in persönliche Apps kopiert werden. Einstellungen umfassen: Ausschneiden/Kopieren/Einfügen zwischen verwalteten und nicht verwalteten Apps einschränken, Speichern unter an persönlichen Speicherorten verhindern (nur Speichern auf OneDrive for Business, SharePoint oder anderen verwalteten Zielen ermöglichen).

Zugriffsanforderungen: PIN oder biometrische Authentifizierung zum Öffnen einer verwalteten App erforderlich, erneute Authentifizierung nach Inaktivität erforderlich, Mindest-OS-Version verlangen.

Bedingter Start: Zugriff blockieren oder Daten löschen, wenn bestimmte Bedingungen erfüllt sind: Gerät gejailbreakt/gerootet, Gerät hat eine aktive Bedrohung durch Defender for Endpoint-Integration, maximale erlaubte Offline-Zugriffsperiode überschritten.

Selektive Löschung: Wenn ein Mitarbeiter das Unternehmen verlässt oder ein Gerät als verloren gemeldet wird, initiiert der IT-Administrator eine selektive Löschung aus dem Intune Admin Center. Dies entfernt alle Unternehmens-App-Daten (E-Mails, Anhänge, OneDrive-Dateien, in der App gespeicherte Teams-Chatverläufe) von den verwalteten Apps auf diesem Gerät – ohne persönliche Fotos, Nachrichten oder Apps zu berühren.

Unterstützte Anwendungen

App-Schutzrichtlinien funktionieren mit Microsoft-Apps, die das Intune SDK integriert haben. Die primären Apps für Berliner Kleinunternehmen:

• Outlook (iOS und Android): E-Mail, Kalender, Kontakte – das wichtigste MAM-Ziel, da dienstliche E-Mail auf privaten Telefonen den höchsten Risikovektor für Datenexponierung darstellt
• Microsoft Teams (iOS und Android): Chat, Besprechungen, Dateien – verhindert Screenshots, schränkt Datenexport in persönliche Apps ein
• OneDrive (iOS und Android): dienstlicher Dateizugang – verhindert Speichern in persönlichem Speicher
• Edge for Business (iOS und Android): verwalteter Browser für interne Webanwendungen – Daten in Edge sind für andere Browser oder Apps auf dem Gerät nicht zugänglich
• Office Mobile-Apps (Word, Excel, PowerPoint auf iOS und Android): Dokumentbearbeitung mit angewendetem Datenschutz

Conditional Access-Integration

App-Schutzrichtlinien integrieren sich in Conditional Access über die Gewährungskontrollen „Genehmigte Client-App erforderlich“ und „App-Schutzrichtlinie erforderlich“. Dies ermöglicht eine CA-Richtlinie, die besagt: Um von einem iOS- oder Android-Gerät auf Exchange Online zuzugreifen, muss das Gerät entweder in Intune MDM registriert sein (firmeneigener Pfad) oder die App muss eine aktive APP angewendet haben (BYOD-Pfad). Dies ist das empfohlene Modell für mobilen Zugriff:

• Firmeneigene registrierte Geräte: MDM-Compliance + App-Schutz
• Private BYOD-Geräte: MAM-App-Schutzrichtlinie erforderlich (keine MDM-Registrierung nötig)
• Nicht verwaltete Geräte ohne Schutz: vom Zugriff auf Unternehmensdaten blockiert

Einrichtungsschritte für Berliner Kleinunternehmen

1. Microsoft Intune Admin Center (intune.microsoft.com) → Apps → App-Schutzrichtlinien → Richtlinie erstellen → iOS/iPadOS oder Android auswählen
2. Richtlinie benennen (z.B. „BYOD-iOS-Outlook-Teams“) → Ziel-Apps auswählen (Outlook, Teams, OneDrive, Edge)
3. Datenschutzeinstellungen konfigurieren: „Webinhaltsübertragung mit anderen Apps einschränken“ auf Edge setzen, „Org-Daten an andere Apps senden“ auf „Nur richtlinienverwaltete Apps“ setzen, „Kopien von Org-Daten speichern“-Einschränkung auf OneDrive for Business setzen
4. Zugriffsanforderungen konfigurieren: PIN für Zugriff verlangen, PIN-Zurücksetzung nach 5 fehlgeschlagenen Versuchen, biometrische Überschreibung für PIN aktivieren
5. Bedingten Start konfigurieren: Zugriff bei gejailbreaktem/gerooteten Gerät blockieren, „Maximale zulässige Geräte-Bedrohungsstufe“ auf Niedrig setzen, Offline-Toleranzperiode auf 720 Stunden setzen
6. Richtlinie einer Benutzergruppe zuweisen (Alle Benutzer oder zunächst eine Pilotgruppe) und Zuweisung auf „Einschließen“ setzen
7. Conditional Access-Richtlinie erstellen: Entra Admin Center → CA → Neue Richtlinie → Allen Benutzern zuweisen → Ziel: Exchange Online und SharePoint Online → Bedingungen: Geräteplattformen = iOS, Android → Gewähren: App-Schutzrichtlinie erforderlich
8. Änderung an Mitarbeiter kommunizieren: Sie werden aufgefordert, sich mit ihrem Dienstkonto bei Outlook und Teams anzumelden; die App erzwingt PIN nach der ersten Anmeldung mit angewendeter Richtlinie

App-Schutzrichtlinien ergänzen Intune-Geräte-Compliance-Richtlinien (die registrierte firmeneigene Geräte abdecken), um eine vollständige mobile Datenschutzposition zu schaffen: Registrierte Geräte werden auf Geräteebene verwaltet, private Geräte auf Anwendungsebene, und nicht verwaltete Geräte ohne jegliche Richtlinie werden durch Conditional Access-Durchsetzung vom Zugriff auf Unternehmensdaten blockiert.