Geräterichtlinie zum Sperren von Apps

Die Geräterichtlinie zum Sperren von Apps definiert eine Liste von Apps, die:

  • Auf Geräten ausgeführt werden dürfen.
  • Auf Geräten blockiert werden.

Die genaue Funktionsweise der Richtlinie unterscheidet sich bei jeder unterstützten Plattform. Auf einem iOS-Gerät können Sie beispielsweise nicht mehrere Apps blockieren.

Auf iOS-Geräten können Sie auch nur eine iOS-App pro Richtlinie auswählen. Benutzer können ihr Gerät dann nur zum Ausführen einer einzigen App verwenden. Außer den Optionen, die ausdrücklich zulässig sind, wenn die Geräterichtlinie für die App-Sperre erzwungen wird, können sie keine anderen Aktivitäten auf dem Gerät ausführen.

iOS-Geräte müssen sich zudem im betreuten Modus befinden, damit die Richtlinie für die App-Sperre übertragen werden kann.

Die Geräterichtlinie funktioniert auf den meisten Android L- und M-Geräten, jedoch nicht auf Android N- oder neueren Geräten. Dies liegt daran, dass Google die erforderliche API nicht mehr bereitstellt.

Für verwaltete Windows-Desktops und -Tablets können Sie eine Geräterichtlinie für die App-Sperre erstellen, in der zugelassene und gesperrte Apps aufgelistet sind. Sie können ausführbare Dateien, MSI-Installationsprogramme, Store-Apps, DLLs und Skripts zulassen oder sperren.

Zum Hinzufügen oder Konfigurieren dieser Richtlinie gehen Sie zu Konfigurieren > Geräterichtlinien. Weitere Informationen finden Sie unter Geräterichtlinien.

iOS-Einstellungen

Konfigurationsbildschirm für Geräterichtlinien

  • App-Paket-ID: Klicken Sie in der Liste auf die App, auf die die Richtlinie angewendet werden soll, oder klicken Sie auf Hinzufügen, um der Liste eine App hinzuzufügen. Wenn Sie auf Hinzufügen klicken, geben Sie den App-Namen in dem nun eingeblendeten Feld ein.
  • Optionen: Der Standardwert aller Optionen ist Aus mit Ausnahme von Touchscreen deaktivieren (Standardwert Ein).
    • Touchscreen deaktivieren
    • Geräteausrichtungserkennung deaktivieren
    • Lautstärketasten deaktivieren
    • Ruftonschalter deaktivieren

      Wenn Ruftonschalter deaktivieren auf Ein festgelegt wird, erfolgt die Ruftonausgabe gemäß der Schalterposition beim ersten Deaktivieren der Option.

    • Standbymodusschalter deaktivieren
    • Automatische Sperre deaktivieren
    • VoiceOver aktivieren
    • Zoom aktivieren
    • Umkehren der Farben aktivieren
    • AssistiveTouch aktivieren
    • Sprachauswahl aktivieren
    • Monoaudio aktivieren
    • Sprachsteuerung aktivieren
  • Benutzeraktivierte Optionen: Der Standardwert aller Optionen ist AUS.
    • Anpassen von VoiceOver zulassen
    • Anpassen von Zoom zulassen
    • Anpassen von Farbumkehrung zulassen
    • Anpassen von AssistiveTouch zulassen
    • Anpassen der Sprachsteuerung zulassen
  • Richtlinieneinstellungen
    • Richtlinie entfernen: Wählen Sie eine Methode zum Planen der Entfernung von Richtlinien. Verfügbare Optionen sind Datum auswählen und Zeit bis zum Entfernen (in Stunden).
      • Datum auswählen: Klicken Sie auf den Kalender, um das Datum für das Entfernen anzugeben.
      • Zeit bis zum Entfernen (in Stunden): Geben Sie den Zeitraum in Stunden bis zum Entfernen der Richtlinie ein. Nur verfügbar ab iOS 6.0.

Konfigurieren eines iPads als Kiosk

Sie können die Geräterichtlinie für die App-Sperre verwenden, um ein betreutes iPad als Kiosk auszuführen. Apple bezeichnet diese Funktion als Einzelappmodus. Weitere Informationen zu diesem Feature finden Sie unter Dokumentation von Apple. Stellen Sie sicher, dass Sie die auszuführende App vor der Richtlinie bereitstellen.

  1. Navigieren Sie zu Konfigurieren > Geräterichtlinien und klicken Sie auf Hinzufügen.
  2. Wählen Sie die Richtlinie App-Sperre.
  3. Geben Sie einen Richtliniennamen und optional eine Beschreibung ein.
  4. Wählen Sie nur die iOS-Plattform aus.
  5. Wählen Sie unter App-Paket-ID die App aus, die auf dem iPad ausgeführt werden soll.
  6. Konfigurieren Sie die gewünschten Optionen, wie zuvor beschrieben, und speichern Sie die Richtlinie.
  7. Fügen Sie die Richtlinie derselben Bereitstellungsgruppe wie Ihr iPad hinzu, und stellen Sie die Richtlinie bereit.

Android-Einstellungen

Hinweis:

Sie können die App für Android-Einstellungen nicht über die Geräterichtlinie zum Sperren von Apps blockieren.

Konfigurationsbildschirm für Geräterichtlinien

  • Parameter für App-Sperre
    • Sperrmeldung: Geben Sie eine Meldung ein, die angezeigt wird, wenn ein Benutzer versucht, eine gesperrte App zu öffnen.
    • Entsperrkennwort: Geben Sie das Kennwort zum Entsperren der App ein.
    • Deinstallation verhindern: Wählen Sie aus, ob eine Deinstallation der App durch die Benutzer zulässig sein soll. Die Standardeinstellung Aus.
    • Sperrbildschirm: Wählen Sie das auf dem Sperrbildschirm angezeigte Bild aus, indem Sie auf Durchsuchen klicken und zum Speicherort der Datei navigieren.
    • Erzwingen: Klicken Sie auf Sperrliste, um Apps aufzulisten, die auf Geräten nicht ausgeführt werden dürfen. Klicken Sie auf Positivliste, um Apps aufzulisten, die auf Geräten ausgeführt werden dürfen.

      Hinweis:

      Die Endpoint Management-Konsole enthält im Englischen die Begriffe “Blacklist” und “Whitelist”. Diese Bezeichnungen werden demnächst geändert. Die deutschen Begriffe (Positiv- und Sperrliste) bleiben unverändert.

  • Apps: Klicken Sie auf Hinzufügen und führen Sie die folgenden Schritte aus:
    • App-Name: Klicken Sie in der Liste auf den Namen der App, die der Positivliste bzw. Sperrliste hinzugefügt werden soll. Alternativ können Sie auf Hinzufügen klicken, um eine App in die Liste aufzunehmen.
    • Wenn Sie auf Hinzufügen klicken, geben Sie den App-Namen in dem nun eingeblendeten Feld ein.
    • Klicken Sie auf Speichern oder Abbrechen.
    • Wiederholen Sie diese Schritte für jede App, die Sie der Positiv- bzw. Sperrliste hinzufügen möchten.

Windows-Desktop-/Tablet-Einstellungen

Voraussetzungen für die App-Sperre

  • Konfigurieren Sie Regeln im Editor für lokale Sicherheitsrichtlinien auf einem Windows 10-Desktop.
  • Exportieren Sie die Richtlinien-XML-Datei. Citrix empfiehlt die Erstellung von Standardregeln in Windows, um eine Sperrung der Standardkonfiguration und Probleme auf Geräten zu verhindern.
  • Laden Sie die XML-Datei anschließend über die Geräterichtlinie zum Sperren von Apps in Endpoint Management hoch. Weitere Informationen zum Erstellen von Regeln finden Sie in diesem Microsoft-Artikel: https://docs.microsoft.com/en-us/windows/security/threat-protection/applocker/applocker-overview

Konfigurieren und Exportieren der Richtlinien-XML-Datei aus Windows

Wichtig:

Verwenden Sie beim Konfigurieren der Richtlinien-XML-Datei über den Windows-Richtlinieneditor den Modus “Nur überwachen”.

  1. Starten Sie auf dem Windows-Computer den Editor für lokale Sicherheitsrichtlinien. Klicken Sie auf Start, geben Sie Lokale Sicherheitsrichtlinie ein und klicken Sie dann auf Lokale Sicherheitsrichtlinie.
  2. Erweitern Sie in der Konsolenstruktur Anwendungssteuerungsrichtlinien.
  3. Klicken Sie auf AppLocker und klicken Sie dann im mittleren Bereich auf Regelerzwingung konfigurieren.
  4. Wählen Sie Konfiguriert und dann Regeln erzwingen. Wenn Sie eine Regel aktivieren, ist Regeln erzwingen die Standardeinstellung.
  5. Klicken Sie mit der rechten Maustaste auf AppLocker, klicken Sie auf Richtlinie exportieren und speichern Sie die XML-Datei.

Hinweis:

Sie können Regeln für ausführbare Dateien, Windows Installer-Regeln, Skriptregeln und App-Paketregeln erstellen. Klicken Sie dazu mit der rechten Maustaste auf den jeweiligen Ordner und dann auf Neue Regel erstellen.

Importieren der XML-Richtliniendatei in Endpoint Management

Erstellen Sie eine App-Sperrrichtlinie. Klicken Sie neben der Einstellung der App-Sperrrichtliniendatei auf Durchsuchen, und navigieren Sie zur XML-Datei.

Beenden der Anwendung einer App-Sperrrichtlinie

Nach dem Bereitstellen einer App-Sperrrichtlinie in Endpoint Management: Wenn die App-Sperrrichtlinie nicht mehr angewendet werden soll, erstellen Sie eine leere XML-Datei. Erstellen Sie anschließend eine weitere App-Sperrrichtlinie, laden Sie die Datei hoch und stellen Sie die Richtlinie bereit. Geräte, für die eine App-Sperre aktiviert ist, sind nicht betroffen. Geräte, die die Richtlinie zum ersten Mal erhalten, verfügen nicht über die App-Sperrrichtlinie.