Verwalten von Geräten mit Outlook für iOS und Android in Exchange Server
Wichtig
Outlook für iOS und Android unterstützt die moderne Hybridauthentifizierung für lokale Postfächer, wodurch die Standardauthentifizierung nicht mehr genutzt werden muss. Die in diesem Artikel enthaltenen Informationen beziehen sich nur auf die Standardauthentifizierung. Weitere Informationen finden Sie unter Verwenden der modernen Hybridauthentifizierung mit Outlook für iOS und Android.
Microsoft empfiehlt Exchange ActiveSync für die Verwaltung von Mobilgeräten, mit denen auf Exchange-Postfächer in Ihrer lokalen Umgebung zugegriffen wird. Exchange ActiveSync ist ein Microsoft Exchange-Synchronisierungsprotokoll, über das Mobiltelefone auf organisationsinterne Informationen zugreifen können, die auf Microsoft Exchange-Servern gespeichert sind.
Dieser Artikel konzentriert sich auf bestimmte Exchange ActiveSync Features und Szenarien für mobile Geräte, auf denen Outlook für iOS und Android bei der Authentifizierung mit der Standardauthentifizierung ausgeführt wird. Alle Details zum Microsoft Exchange-Synchronisierungsprotokoll finden Sie unter Exchange ActiveSync. Im Office-Blog finden Sie darüber hinaus detaillierte Informationen zum Thema Kennworterzwingung sowie zu den weiteren Vorteilen einer Verwendung von Exchange ActiveSync mit Geräten, auf denen Outlook für iOS und Android ausgeführt wird.
Postfachrichtlinie für mobile Geräte
Outlook für iOS und Android unterstützt die folgenden Postfachrichtlinieneinstellungen für mobile Geräte in Exchange lokal:
Geräteverschlüsselung aktiviert
Minimale Kennwortlänge (nur unter Android)
Kennwort aktiviert
Bluetooth zulassen (wird zum Verwalten der tragbaren Outlook für Android-App verwendet)
Wenn AllowBluetooth aktiviert (Standardverhalten) oder für HandsfreeOnly konfiguriert ist, ist die tragbare Synchronisierung zwischen Outlook auf dem Android-Gerät und Outlook auf dem Wearable für das Geschäfts-, Schul- oder Unikonto zulässig.
Wenn AllowBluetooth deaktiviert ist, deaktiviert Outlook für Android die Synchronisierung zwischen Outlook auf dem Android-Gerät und Outlook auf dem Wearable für das angegebene Geschäfts-, Schul- oder Unikonto (und löscht alle zuvor für das Konto synchronisierten Daten). Das Deaktivieren der Synchronisierung wird vollständig in Outlook selbst gesteuert. Bluetooth ist weder auf dem Gerät noch auf dem Wearable deaktiviert, noch ist eine andere Wearable-App betroffen.
Hinweis
Outlook für Android wird die Unterstützung für die AllowBluetooth-Einstellung ab Ende August bereitstellen.
Informationen zum Erstellen oder Ändern einer vorhandenen Postfachrichtlinie für mobile Geräte finden Sie unter Postfachrichtlinien für mobile Geräte.
PIN-Sperre und Geräteverschlüsselung
Verlangt die Exchange ActiveSync-Richtlinie Ihrer Organisation, dass Benutzer zur Synchronisierung ihrer E-Mails ein Kennwort auf ihrem Mobilgerät eingeben, erzwingt Outlook diese Richtlinie auf Geräteebene. Die konkrete Umsetzung ist dabei auf iOS-Geräten und Android-Geräten jeweils unterschiedlich und basiert auf den von Apple und Google jeweils zur Verfügung gestellten Steuerelementen.
Auf iOS-Geräten überprüft Outlook, ob der Benutzer einen Code oder eine PIN festgelegt hat. Ist kein Code festgelegt, fordert Outlook den Benutzer auf, einen Code in den iOS-Einstellungen festzulegen. Der Benutzer kann erst auf Outlook für iOS zugreifen, wenn er einen Code festgelegt hat.
Auf Android-Geräten erzwingt Outlook Regeln für die Bildschirmsperre. Darüber hinaus stellt Google Steuerelemente bereit, mit deren Hilfe Outlook für Android Exchange-Richtlinien bezüglich der Kennwortlänge, der Kennwortkomplexität und der Anzahl von zulässigen Entsperrversuchen vor Zurücksetzung des Telefons einhalten kann. Outlook für Android empfiehlt dem Benutzer auch die Verschlüsselung des Gerätespeichers, falls diese Funktion noch nicht aktiviert ist, und führt ihn Schritt für Schritt durch den Prozess.
iOS- und Android-Geräte, die diese Einstellungen für Kennwortsicherheit nicht unterstützen, können keine Verbindung zu Exchange-Postfächern herstellen.
Geräteverschlüsselung
iOS-Geräte werden mit integrierter Verschlüsselung ausgeliefert, die Outlook verwendet, sobald die Kennung aktiviert ist, um alle lokal auf dem iOS-Gerät gespeicherten Daten zu verschlüsseln. Daher werden iOS-Geräte mit einer PIN verschlüsselt, unabhängig davon, ob dies für eine ActiveSync-Richtlinie erforderlich ist.
Outlook für Android unterstützt die Geräteverschlüsselung über Exchange-Postfachrichtlinien für mobile Geräte. Vor Android 7.0 variiert die Verfügbarkeit und die Implementierung dieses Prozesses jedoch je nach Android-Version und Gerätehersteller, sodass Benutzer die Möglichkeit haben, den Verschlüsselungsprozess abzubrechen. Aufgrund von Änderungen, die Google in Android 7.0 einführte, kann Outlook für Android nun die Verschlüsselung auf Geräten erzwingen, auf denen Android 7.0 oder höher ausgeführt wird. Benutzer mit Geräten, auf denen diese Betriebssysteme ausgeführt werden, können den Verschlüsselungsprozess nicht abbrechen.
Selbst wenn das Android-Gerät unverschlüsselt ist und ein Angreifer im Besitz des Geräts ist, bleibt die Outlook-Datenbank nicht zugänglich, solange eine Geräte-PIN aktiviert ist. Dies gilt auch bei aktiviertem USB-Debugging und installiertem Android SDK. Wenn ein Angreifer versucht, das Gerät zu rooten, um die PIN zu umgehen, um Zugriff auf diese Informationen zu erhalten, wird der gesamte Gerätespeicher zurückgesetzt und alle Outlook-Daten entfernt. Wenn das Gerät vom Benutzer vor dem Diebstahl unverschlüsselt und gerootet wurde, ist es für einen Angreifer möglich, Zugriff auf die Outlook-Datenbank zu erhalten, indem er das USB-Debuggen auf dem Gerät aktiviert und das Gerät an einen Computer mit installiertem Android SDK anbindet.
Remotezurücksetzung mit Exchange ActiveSync
Exchange ActiveSync ermöglicht Es Administratoren, Geräte remote zu löschen, z. B. wenn sie kompromittiert oder verloren gehen/gestohlen werden. Bei Outlook für iOS und Android werden bei einer Remotezurücksetzung nur Daten innerhalb der Outlook-App selbst zurückgesetzt und kein vollständiges Zurücksetzen des Geräts ausgelöst.
Weitere Informationen finden Sie unter Durchführen einer Remotezurücksetzung auf einem Mobiltelefon .
Richtlinie für Gerätezugriff
Outlook für iOS und Android sollte standardmäßig aktiviert sein, aber in einigen vorhandenen lokalen Exchange-Umgebungen kann die App aus verschiedenen Gründen blockiert werden. Sobald eine Organisation beschließt, zu standardisieren, wie Benutzer auf Exchange-Daten zugreifen und Outlook für iOS und Android als einzige E-Mail-App für Endbenutzer verwenden, können Sie Blöcke für andere E-Mail-Apps konfigurieren, die auf iOS- und Android-Geräten der Benutzer ausgeführt werden. Sie haben zwei Möglichkeiten, diese Blöcke in Exchange lokal zu aktivieren: Die erste Option blockiert alle Geräte und lässt nur die Verwendung von Outlook für iOS und Android zu; Die zweite Option ermöglicht es Ihnen, die Verwendung der nativen Exchange ActiveSync-Apps für einzelne Geräte zu blockieren.
Hinweis
Da Geräte-IDs von keiner physischen Geräte-ID gesteuert werden, können sie ohne Vorheriges geändert werden. In diesem Fall kann dies unbeabsichtigte Folgen haben, wenn Geräte-IDs für die Verwaltung von Benutzergeräten verwendet werden, da vorhandene "zulässige" Geräte unerwartet von Exchange blockiert oder unter Quarantäne gesetzt werden können. Daher empfiehlt Microsoft Administratoren, nur Zugriffsrichtlinien für mobile Geräte festzulegen, die Geräte basierend auf dem Gerätetyp oder Gerätemodell zulassen/blockieren.
Option 1: Blockieren aller E-Mail-Apps mit Ausnahme von Outlook für iOS und Android
Sie können eine Standardblockregel definieren und dann eine Zulassungsregel für Outlook für iOS und Android sowie für Windows-Geräte konfigurieren, indem Sie die folgenden lokalen Exchange PowerShell-Befehle verwenden. Diese Konfiguration blockiert Verbindungsversuche von nativen Exchange ActiveSync-Apps und lässt ausschließlich Verbindungsversuche von Outlook für iOS und Android zu.
Erstellen Sie die Standardblockierungsregel:
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel BlockErstellen Sie eine Zulassungsregel für Outlook für iOS und Android:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel AllowOptional: Erstellen Sie Regeln, die Outlook auf Windows-Geräten für Exchange ActiveSync Konnektivität zulassen (WindowsMail bezieht sich auf die mail-App, die in Windows 10 enthalten ist):
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
Option 2: Blockieren von nativen Exchange ActiveSync-Apps auf Android- und iOS-Geräten
Alternativ können Sie native Exchange ActiveSync-Apps auf bestimmten Android- und iOS-Geräten oder Geräten anderen Typs blockieren.
Vergewissern Sie sich, dass keine Regeln für den Exchange ActiveSync-basierten Gerätezugriff implementiert sind, die Outlook für iOS und Android blockieren:
Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -autoEntfernen Sie mit dem folgenden Befehl alle eventuell vorhandenen Gerätezugriffsregeln, die Outlook für iOS und Android blockieren:
Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRuleMithilfe der folgenden Befehle können Sie die meisten Android- und iOS-Geräte blockieren:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel BlockNicht alle Hersteller von Android-Geräten geben für das Merkmal „DeviceType" den Wert „Android" an. Möglicherweise legen Hersteller für jede veröffentlichte Version einen eigenen eindeutigen Wert fest. Generieren Sie mithilfe des folgenden Befehls einen Bericht über alle Geräte mit einer aktiven Exchange ActiveSync-Partnerschaft, um andere Android-Geräte zu finden, die auf Ihre Umgebung zugreifen:
Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csvErstellen Sie je nach den Ergebnissen von Schritt 3 zusätzliche Blockierungsregeln. Wenn Sie beispielsweise feststellen, dass in Ihrer Umgebung sehr viele Android-Geräte des Typs „HTCOne" genutzt werden, können Sie eine Exchange ActiveSync-Gerätezugriffsregel erstellen, die diesen spezifischen Gerätetyp blockiert, und so erzwingen, dass die Benutzer dieser Geräte Outlook für iOS und Android verwenden. In diesem Szenario würden Sie Folgendes eingeben:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
Hinweis
Der Parameter „QueryString" akzeptiert keine Platzhalterzeichen oder Teilübereinstimmungen.
Weitere Ressourcen:
Blockieren von Outlook für iOS und Android
Jede Exchange-Organisation definiert eigene Richtlinien für Sicherheit und Geräteverwaltung. Kommt eine Organisation zu dem Schluss, dass Outlook für iOS und Android ihren Anforderungen nicht entspricht oder nicht die beste Lösung für ihren Anwendungsfall ist, können Administratoren die App blockieren. Ist die App blockiert, haben mobile Exchange-Benutzer in Ihrer Organisation über die integrierten Mail-Apps von iOS und Android weiterhin Zugriff auf ihr Postfach.
Das New-ActiveSyncDeviceAccessRule Cmdlet verfügt über einen Characteristic Parameter, und es gibt drei Characteristic Optionen, mit denen Administratoren die Outlook für iOS- und Android-App blockieren können. Diese Optionen sind UserAgent, DeviceModel und DeviceType. In den beiden Blockierungsoptionen, die in den folgenden Abschnitten beschrieben sind, verwenden Sie einen oder mehrere dieser Merkmalswerte, um den Zugriff von Outlook für iOS und Android auf die Postfächer in Ihrer Organisation einzuschränken.
In der folgenden Tabelle sind die Werte für jedes Merkmal aufgeführt:
| Merkmal | Zeichenfolge für iOS | Zeichenfolge für Android |
|---|---|---|
| DeviceModel | Outlook für iOS und Android | Outlook für iOS und Android |
| DeviceType | Outlook | Outlook |
| UserAgent | Outlook-iOS-Android/1.0 | Outlook-iOS-Android/1.0 |
Mit dem New-ActiveSyncDeviceAccessRule Cmdlet können Sie eine Gerätezugriffsregel definieren, indem Sie entweder das DeviceModel Merkmal oder DeviceType verwenden. In beiden Fällen blockiert die Zugriffsregel Outlook für iOS und Android auf allen Plattformen; sie verhindert sowohl unter iOS als auch unter Android, dass Geräte über die App auf Exchange-Postfächer zugreifen können.
Unten sehen Sie zwei Beispiele für eine solche Gerätezugriffsregel. Im ersten Beispiel wird das DeviceModel -Merkmal verwendet, im zweiten Beispiel wird das DeviceType -Merkmal verwendet.
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block