In dieser Blogserie nehme ich dich mit auf eine Tour durch die Funktionen, die Microsoft Intune uns bietet. In meinem ersten Blog haben wir uns die Funktionen rund um das Device Management angesehen. In diesem Blog möchte ich alle Funktionen rund um das Application Management behandeln. Gute Apps sind eine der Grundlagen für ein erfolgreiches Unternehmen. Mit Intune kannst du sicherstellen, dass Endbenutzer Zugriff auf die Apps haben, die sie für ihre Arbeit benötigen.
Inhaltsverzeichnis
Weitere Blogs aus dieser Serie:
- Teil 1 – Devices
- Teil 2 – Applications – dieser Blog
- Teil 3 – Endpoint Security
- Teil 4 – Reports
- Teil 5 – User and Groups
Also los geht’s, viel Spaß mit dem Blog
Intune bietet die Möglichkeit, Apps für Windows, iOS/iPadOS, macOS und Android zu verteilen. In diesem Blog behandle ich alle Funktionen und Features rund um das Application Management. Diese Funktionen sind alle im Menü Apps gebündelt.

Übersicht
Genau wie beim Device Management beginnt alles mit einem Übersichts-Dashboard. In diesem Dashboard erhältst du einen kurzen Überblick über den Installationsstatus und den Status der App Protection Policy (mehr dazu später). Außerdem bekommst du einige Informationen über deinen Tenant und die MDM-Authority. Als MDM-Authority hast du die folgenden Optionen: – –
- Intune (reines Cloud-Management)
- Intune Co-Management (Integration des Configuration Managers)
- Basic Mobility and Security for Microsoft 365 (Office 365 als MDM-Authority. Wenn du Intune nutzen möchtest, musst du Intune-Lizenzen erwerben)
- Basic Mobility and Security for Microsoft 365 Coexistence (die Authority wird anhand der dem Benutzer zugewiesenen Lizenz festgelegt)
All Apps
In diesem Menü erhältst du einen Überblick über alle Apps, die sich im App-Portfolio deines Unternehmens befinden – über alle Plattformen hinweg. Du kannst pro App erkennen, um welchen Typ es sich handelt. Außerdem siehst du die Version, den Status und ob die App zugewiesen ist.
Hier erhältst du nicht nur einen Überblick über die Apps im Portfolio, du kannst auch neue hinzufügen. Intune unterstützt die folgenden App-Typen:
Store App
- Android store app
- iOS store app
- Microsoft store app
- Managed Google Play app
Microsoft 365 Apps
- Windows 10 and later
- macOS
Microsoft Edge, version 77 and later
- Windows 10 and later
- macOS
Microsoft Defender for Endpoint
- macOS
Other
- Web link
- Built-in app
- Line-of-business app
- Windows app (Win32)
- Android Enterprise system app

Monitor
Wie im Device-Menü gibt es auch hier einen Monitor-Bereich, in dem du verschiedene Reports findest. Welche Reports verfügbar sind und wofür sie dienen, erkläre ich jetzt.

App licenses
- Dieser Report bietet dir einen Überblick über die pro App genutzten Lizenzen. Wenn du eine App erstellst, kannst du angeben, wie viele Lizenzen du für diese App hast.
Discovered apps
- Hier siehst du eine Erkennung der verwalteten und nicht verwalteten Apps, die auf einem Gerät installiert sind, mit der Version und der Anzahl der Geräte, auf denen die App installiert ist.
App installation status
- Hier siehst du pro App einen Prozentwert, wie oft die Installation fehlgeschlagen ist.
App protection status
- In diesem Report erhältst du viele Informationen über die App Protection. Du kannst verschiedene Reports herunterladen oder über die Schaltfläche „Reports” zusätzliche Reports anzeigen. Was App Protection ist, sehen wir uns weiter unten an.
By Platform
Bei By Platform hast du die Wahl zwischen Windows, iOS/iPadOS, macOS und Android. Was du innerhalb der Kategorien findest, ist dasselbe wie bei All Apps, jedoch gefiltert nach OS-Typ.
Für iOS kannst du hier zusätzlich ein App Provisioning Profile erstellen.

App protection policies
Mit App Protection Policies kannst du deine Daten für bestimmte Apps unter iOS, Android und Windows verwalten und schützen und sicherstellen, dass keine Daten verloren gehen – ganz ohne Device Management. Diese Richtlinien greifen, sobald ein Benutzer auf Unternehmensdaten zugreift. Apps, denen über MAM (Mobile Application Management) Richtlinien zugewiesen werden, nennt man managed Apps. Dies lässt sich jedoch nicht auf jede App anwenden, da die App eine Unterstützung für MAM bieten muss. Eine Liste der unterstützten Apps findest du in der Microsoft-Dokumentation. Für Apps, die keine ootb-Unterstützung haben, kann eine XML hochgeladen werden, um sie hinzuzufügen.
Es können mehrere Richtlinien definiert werden, die erfüllt sein müssen, bevor der Zugriff gewährt wird. Du kannst zum Beispiel festlegen, dass der Zugriff nur aus bestimmten Netzwerken erlaubt ist.
Es gibt 2 Möglichkeiten, diese Richtlinien zu erstellen:
- With enrollment (mit Intune enrollte Geräte).
- Without enrollment (nicht enrollte Geräte, z. B. BYOD)
- Du kannst außerdem den Zugriff auf Unternehmensdaten für nicht enrollte Geräte blockieren

App configuration policies
Mit App Configuration Policies kannst du Einstellungen innerhalb von Apps unter iOS/iPadOS oder Android vornehmen. Diese Einstellungen werden angewendet, sobald ein Benutzer die App ausführt. Intune bietet ootb eine Unterstützung für viele Anwendungen. Es ist aber möglich, weitere hinzuzufügen.
Ein Beispiel für App Configuration Policies sind Sicherheitseinstellungen oder Branding-Einstellungen innerhalb von Apps. Der Einsatz von App Configuration Policies kann den Rollout neuer Apps vereinfachen und beschleunigen.

iOS app provisioning profiles
Im Menü iOS app provisioning profiles können Provisioning Profiles hochgeladen werden.
Aber wofür sind diese Profile da?
Anders als unter Android kannst du unter iOS nicht einfach jede beliebige App installieren. Die App muss von Apple signiert sein. Beim Ausführen von Apps auf iOS-Geräten werden verschiedene Prüfungen durchgeführt, etwa die Integrität der Installationsdatei und die Durchsetzung von Funktionen aus dem Provisioning Profile. Wenn dein Unternehmen jedoch selbst Apps entwickelt und diese nicht öffentlich im Public App Store bereitstellen möchte, kannst du sie über eine IPA-Datei verteilen. Provisioning Profiles helfen dabei, sicherzustellen, dass diesen Apps vertraut wird, selbst wenn sie nicht von Apple signiert sind.

S mode supplemental policies
Windows S Mode ist eine Windows-Version, bei der aus Performance- und Sicherheitsgründen nur Windows Store Apps erlaubt sind. Um Win32-Apps in der S-Version zu installieren, hat Microsoft die S Mode Policies eingeführt. Diese Richtlinien setzen Windows Build 18363 oder höher voraus.
Mit den S mode supplemental policies kannst du Windows Defender Application Control Policies definieren, um Win32-Apps auszuführen. Eine solche Richtlinie wird über PowerShell erstellt und muss anschließend signiert werden.
Eine detaillierte Anleitung, wie du eine solche Richtlinie erstellst, findest du in der Microsoft-Dokumentation.

Policies for Office apps
Mit diesen Richtlinien kannst du die Office-Apps konfigurieren und schützen. Einige der hier verfügbaren Office-Richtlinien lassen sich auch über Configuration Profiles erstellen. Die Anzahl der Richtlinien und Optionen ist in diesem Menü jedoch größer.

Policy sets
Wir haben uns die Option für Policy Sets bereits in der Device Configuration angesehen. Aber hier der Vollständigkeit halber noch einmal:
Policy Sets sind eine Sammlung verschiedener Verwaltungsobjekte und Apps, die gruppiert und gemeinsam zugewiesen werden können. Das Policy Set ist eine Referenz auf die verschiedenen Objekte, die du hinzugefügt hast. Diese Funktion wurde Ende 2019 eingeführt.
Im folgenden Blogbeitrag erkläre ich Policy Sets im Detail.

App selective wipe
Mit App Selective Wipe kannst du Unternehmensdaten von Geräten löschen, wenn beispielsweise ein Mitarbeiter das Unternehmen verlässt. Diese Daten werden dann aus den MAM-verwalteten Apps gelöscht, ohne dass das Gerät gewiped werden muss. Das ist nützlich z. B. bei einem BYOD-Konzept, bei dem sich auch private Daten auf dem Gerät befinden können.

App categories
In diesem Menü kannst du bestehende App-Kategorien umbenennen oder löschen, aber auch neue Kategorien erstellen. Diese kannst du dann Apps zuweisen, wenn du sie erstellst. Im Company Portal werden die Apps anschließend übersichtlich nach den Kategorien aufgelistet.

E-books
Diese Option ermöglicht es dir, E-Books, die über eine Volumenlizenz erworben wurden, auf von Intune verwaltete iOS/iPadOS-Geräte zu verwalten und zuzuweisen. Hierfür muss ein VPP-Token in Intune hinterlegt werden.

Filters
Mit Assignment Filter kannst du die Zuweisungen komfortabler gestalten. Diese Funktion war zuerst für Configuration Profiles verfügbar und wurde später auf Apps und Update Rings erweitert.
Was Assignment Filter sind und wie du sie nutzen kannst, erkläre ich in use assignment filter for the update ring assignment.

Help and support
Help and Support ist über das gesamte Intune Admin Center verteilt. Auch hier im Application-Menü gibt es diese Option erneut. Hier hast du die Möglichkeit, Hilfe zu erhalten, Tickets zu eröffnen oder auf bereits eröffnete Tickets zuzugreifen.

Fazit
Auch im Bereich des Application Managements bietet Intune viele Funktionen und Features. Hier gibt es jedoch eine größere Mischung an Funktionen, die vom Betriebssystem abhängig sind. Nicht jedes Feature ist auf jeder Plattform anwendbar. Das liegt meist an der Abhängigkeit vom Anbieter bei der Implementierung der Features im OS.
Im nächsten Blog werfen wir einen genaueren Blick auf die Security-Funktionen von Intune.
Vielen Dank fürs Lesen dieses Blogs. Wenn dir dieser Blog gefällt, würde ich mich sehr über ein Like oder ein Teilen freuen.
Wir sehen uns im nächsten Teil dieser Serie.
Bleib gesund, Cheers
Jannik
[…] Part 2 – Applications […]
[…] Part 2 – Applications […]
[…] Part 2 – Applications […]
[…] Part 2 – Applications […]