Verwalten von Outlook für iOS und Android in Exchange Online

Zusammenfassung: In diesem Artikel werden bewährte Methoden zum Verwalten von mobilen Geräten mit Outlook für iOS und Android in Exchange Online beschrieben.

Outlook für iOS und Android bietet Benutzern die schnelle, intuitive E-Mail- und Kalendererfahrung, die Benutzer von einer modernen mobilen App erwarten, und ist gleichzeitig die einzige App, die Unterstützung für die besten Features von Microsoft 365 und Office 365 bietet. Microsoft bietet außerdem eine Reihe von Dienstprogrammen für die Verwaltung und den Schutz von Unternehmensdaten auf mobilen Geräten in Ihrer Exchange Online-Organisation.

Optionen zum Verwalten von Geräten und Anwendungen

Kunden, die Outlook für iOS und Android verwalten möchten, haben die folgenden Optionen:

1. Empfohlen: Die Enterprise Mobility + Security Suite, die Microsoft Intune und Microsoft Entra bedingten Zugriff umfasst.

2. Basismobilität und Sicherheit für Microsoft 365.

3. Unified Endpoint Management-Lösungen von Drittanbietern.

4. Zugriffs- und Postfachrichtlinien für mobile Geräte.

Hinweis

Implementierungsdetails zu diesen drei Optionen finden Sie unter Sichern von Outlook für iOS und Android in Exchange Online.

Microsoft empfiehlt Kunden aufgrund der erweiterten Funktionen, die von diesen Diensten bereitgestellt werden, die Features der Enterprise Mobility + Security Suite zum Schutz von Unternehmensdaten auf mobilen Geräten zu verwenden.

Wichtig

Wenn sich der Benutzer in Outlook für iOS und Android authentifiziert, werden Exchange Online Zugriffsregeln für mobile Geräte (Zulassen, Blockieren oder Quarantäne) übersprungen, wenn Microsoft Entra Richtlinien für bedingten Zugriff auf den Benutzer angewendet werden, die Folgendes umfassen:

• Cloud-App-Bedingung: Exchange Online oder Office 365
• Geräteplattformbedingung: iOS und/oder Android
• Client-Apps-Bedingung: Mobile Apps und Desktopclient
• Eine der folgenden Zugriffssteuerungen gewähren: Gerät muss als konform gekennzeichnet sein, Genehmigte Client-App anfordern oder App-Schutzrichtlinie anfordern.

Hinweis

Wenn Sie Cmdlets für mobile Geräte verwenden, zGet-MobileDevice. B. zum Überprüfen der status eines Geräts, kann der Zeitstempel für die Synchronisierung von Outlook für iOS und Android, der durch die LastSyncTime -Eigenschaft angegeben wird, bis zu 15 Minuten hinter der tatsächlichen Synchronisierungszeit zurückbleiben. Während die Gerätesynchronisierung in Echtzeit erfolgt, kann der zurückgegebene Zeitstempel zurückliegen.

Verwenden von Enterprise Mobility + Security

Die umfassendsten und umfassendsten Schutzfunktionen für Microsoft 365- und Office 365-Daten sind verfügbar, wenn Sie die Enterprise Mobility + Security-Suite abonnieren, die Microsoft Intune, Azure Information Protection und umfasst. Microsoft Entra ID P1- oder P2-Features, z. B. bedingter Zugriff.

Hinweis

Während das Enterprise Mobility + Security Suite-Abonnement Lizenzen für Microsoft Intune und Microsoft Entra ID enthält, können Kunden Microsoft Intune Lizenzen und Microsoft Entra ID P1- oder P2-Lizenzen separat. Alle Benutzer müssen für die Verwendung der Richtlinien für bedingten Zugriff und Intune-Schutz für Apps, die in diesem Artikel besprochen werden, lizenziert sein.

Intune bietet Funktionen zur Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) sowie andere Funktionen für bedingten Zugriff und Geräteverwaltung. Mit Intune-App-Schutzrichtlinien können Sie Aktionen wie Ausschneiden, Kopieren, Einfügen und Speichern unter von Unternehmensdaten zwischen von Intune verwalteten Apps und Apps einschränken, die nicht von Intune verwaltet werden. Weitere Informationen finden Sie unter Erstellen und Zuweisen von App-Schutzrichtlinien. Darüber hinaus enthalten die von Intune verwalteten Outlook-Apps ein neues Feature für die Verwaltung mehrerer Identitäten, mit dem Benutzer auf ihre persönlichen und geschäftlichen E-Mail-Konten in derselben Outlook-App zugreifen können, während die Intune-App-Schutzrichtlinien nur auf das Geschäftskonto des Benutzers angewendet werden. Dadurch wird ein wesentlich nahtloseres Benutzererlebnis ermöglicht.

Bedingter Zugriff ist eine Funktion von Microsoft Entra ID, mit der Sie den Zugriff auf Apps in Ihrer Umgebung basierend auf bestimmten Bedingungen von einem zentralen Standort aus steuern können. Mithilfe von Richtlinien für bedingten Zugriff können Sie die korrekten Zugriffssteuerungen unter den erforderlichen Bedingungen anwenden. Microsoft Entra bedingten Zugriff bietet Ihnen zusätzliche Sicherheit, wenn eine solche Sicherheit erforderlich ist, und sie bleibt Ihren Benutzern nicht im Weg, wenn dies nicht der Fall ist.

Wichtige Funktionen der Enterprise Mobility + Security-Suite mit Outlook für iOS und Android:

• Bedingter Zugriff. Microsoft Entra ID stellt sicher, dass auf Exchange Online E-Mail nur zugegriffen werden kann, wenn die Anforderungen für bedingten Zugriff erfüllt sind. Weitere Informationen zur Geräteregistrierung finden Sie unter Was ist bedingter Zugriff?.

• Intune-Schutz für Apps. Mit Outlook für iOS und Android können Sie Ihre Unternehmensdaten mit Richtlinien für Intune-Schutz für Apps schützen. Dies ist eine hervorragende Option für BYOD-Szenarien (Bring Your Own Device), in denen Sie Unternehmensdaten schützen möchten, ohne die Geräte eines Benutzers zu verwalten. Weitere Informationen zu Richtlinien für den Intune-Schutz von Apps finden Sie unter Schützen von App-Daten mithilfe der App-Schutzrichtlinien mit Microsoft Intune.

• Geräteregistrierung. Mit Intune können Sie die Geräte und Apps Ihrer Mitarbeiter sowie deren Zugriff auf Ihre Unternehmensdaten verwalten. In diesem Modell wird von Outlook für iOS und Android sichergestellt, dass auf Exchange Online-E-Mails nur auf Telefonen und Tablets zugegriffen werden kann, die von Ihrem Unternehmen verwaltet werden und den Richtlinien Ihrer Organisation entsprechen. Wenn sich Benutzer auf einem nicht verwalteten mobilen Gerät bei der Outlook-App anmelden, fordert Outlook die Benutzer auf, das Gerät in Intune mithilfe der Azure-Richtlinie für bedingten Zugriff zu registrieren, und überprüft dann, ob das Gerät die Standards der Organisation bezüglich Gerätekompatibilität erfüllt.

• Geräteverwaltung und Berichte. Mit dem Registrierungsvorgang können Organisationen Sicherheitsrichtlinien festlegen und verwalten, die z. B. PIN-Sperren auf Geräteebene erzwingen, Datenverschlüsselung erfordern und gefährdete Geräte blockieren, um den Zugriff nicht vertrauenswürdiger Geräte auf E-Mails und Daten des Unternehmens zu verhindern. Jedes registrierte Gerät wird im Microsoft 365 Admin Center angezeigt, und es sind Berichte verfügbar, um Details zu den Geräten bereitzustellen, die auf Ihre Unternehmensdaten zugreifen.

• Selektives Zurücksetzen. Microsoft Intune können E-Mail-Daten aus Outlook für iOS und Android entfernen, während alle persönlichen E-Mail-Konten intakt bleiben (unabhängig davon, ob das Gerät registriert ist oder nicht). Dies ist eine zunehmend wichtige Anforderung, da immer mehr Unternehmen einen „Bring your own device"-Ansatz für Telefone und Tablets verfolgen.

Verwenden von Basismobilität und Sicherheit für Microsoft 365

Basismobilität und Sicherheit für Microsoft 365 bietet Geräteverwaltungsfunktionen ohne zusätzliche Kosten. Microsoft Intune unterstützt diese grundlegenden Funktionen und stellt einen Kernsatz von Steuerelementen im Microsoft 365 Admin Center für Organisationen bereit, die die Grundlagen benötigen.

Da dies eine Lösung zur Geräteverwaltung ist, gibt es keine systemeigene Funktion, um zu steuern, welche Apps verwendet werden können, auch nachdem das Gerät registriert wurde. Wenn Sie den Zugriff auf Outlook für iOS und Android einschränken möchten, müssen Sie Microsoft Entra ID P1- oder P2-Lizenzen abrufen und Richtlinien für bedingten Zugriff nutzen.

Outlook für iOS und Android unterstützt die Funktionen von Basismobilität und Sicherheit für Microsoft 365 vollständig.

Ausführliche Informationen finden Sie in den folgenden Ressourcen:

• Übersicht über Basismobilität und Sicherheit für Microsoft 365.

• Verwalten von Einstellungen und Features auf Ihren Geräten mit Microsoft Intune-Richtlinien

• Anweisungen für Ihre Endbenutzer zum Registrieren eines Geräts bei Basismobilität und Sicherheit: Registrieren Ihres mobilen Geräts mithilfe von Basismobilität und Sicherheit

Verwenden von Lösungen für die einheitliche Endpunktverwaltung von Drittanbietern

Drittanbieter für einheitliche Endpunktverwaltung können Outlook für iOS und Android auf die gleiche Weise bereitstellen, wie sie jede iOS- oder Android-App mit ihren vorhandenen Tools bereitstellen würden. Sie können auch Geräteverwaltungssteuerelemente wie Geräte-PIN, Geräteverschlüsselung, Gerätezurücksetzung und vieles mehr anwenden, die für eine sichere E-Mail-Erfahrung wichtig sind, aber auch völlig unabhängig von Outlook für iOS und Android sind.

Drittanbieter können auch bestimmte App-Konfigurationseinstellungen wie Kontoeinrichtung, organization Modus für zulässige Konten und allgemeine App-Konfigurationseinstellungen für Outlook für iOS und Android bereitstellen. Weitere Informationen finden Sie unter Bereitstellen von Konfigurationseinstellungen für Outlook für iOS- und Android-Apps.

Um Unternehmensdaten innerhalb der App zu verwalten und zu schützen (z. B. das Einschränken von Aktionen mit Unternehmensdaten wie Ausschneiden, Kopieren, Einfügen und "Speichern unter"), müssen Kunden die Enterprise Mobility + Security Suite von Microsoft verwenden.

Verwenden von Zugriffs- und Postfachrichtlinien für mobile Geräte

Microsoft empfiehlt Kunden, aufgrund der erweiterten Funktionen dieser Dienste entweder die Enterprise Mobility + Security Suite oder die integrierte Basismobilität und Sicherheit für Microsoft 365 zu verwenden, um Unternehmensdaten auf mobilen Geräten zu verwalten. Outlook für iOS und Android unterstützt den Zugriff auf mobile Geräte und Postfachrichtlinien für mobile Geräte (früher als Exchange Active Sync-Richtlinien bezeichnet), die über das Exchange Admin Center verfügbar sind.

Outlook für iOS und Android unterstützt die folgenden Einstellungen für Postfachrichtlinien für mobile Geräte:

• Geräteverschlüsselung aktiviert

• Minimale Kennwortlänge (nur unter Android)

• Kennwort aktiviert

• Bluetooth zulassen (wird zum Verwalten der tragbaren Outlook für Android-App verwendet, wenn Intune-App-Schutzrichtlinien nicht verwendet werden)

  • Wenn AllowBluetooth aktiviert (Standardverhalten) oder für HandsfreeOnly konfiguriert ist, ist die tragbare Synchronisierung zwischen Outlook auf dem Android-Gerät und Outlook auf dem Wearable für das Geschäfts-, Schul- oder Unikonto zulässig.

  • Wenn AllowBluetooth deaktiviert ist, deaktiviert Outlook für Android die Synchronisierung zwischen Outlook auf dem Android-Gerät und Outlook auf dem Wearable für das angegebene Geschäfts-, Schul- oder Unikonto (und löscht alle zuvor für das Konto synchronisierten Daten). Das Deaktivieren der Synchronisierung wird vollständig in Outlook selbst gesteuert. Bluetooth ist weder auf dem Gerät noch auf dem Wearable deaktiviert, noch ist eine andere Wearable-App betroffen.

Informationen zum Erstellen oder Ändern einer vorhandenen Postfachrichtlinie für mobile Geräte finden Sie unter Postfachrichtlinien für mobile Geräte in Exchange Online.

Exchange-Administratoren können auch über das Exchange Admin Center eine Remote-Gerätezurücksetzung für Outlook für iOS und Android initiieren. Nach Erhalt der Remotezurücksetzungsanforderung entfernt die App das Outlook-Profil und alle damit verbundenen Daten.

Hinweis

Outlook für iOS und Android unterstützt nur den Befehl Zum Zurücksetzen von Daten remote und nicht wie im Exchange Admin Center definiert. Weitere Informationen zum Durchführen einer Remotezurücksetzung finden Sie unter Durchführen einer Remotezurücksetzung auf einem Mobiltelefon.

Weitere Informationen zu Microsoft Intune finden Sie unter Microsoft Intune-Dokumentation.