Erstellen einer Richtlinie für bedingten Zugriff auf eine lokale Installation von Exchange und auf das ältere Exchange Online DedicatedCreate a conditional access policy for Exchange on-premises and legacy Exchange Online Dedicated

In diesem Artikel wird dargestellt, wie Sie den bedingten Zugriff für eine lokale Installation von Exchange basierend auf der Gerätekonformität konfigurieren.This article shows you how to configure conditional access for Exchange on-premises based on device compliance.

Wenn Sie über eine Exchange Online Dedicated-Umgebung verfügen und herausfinden müssen, ob es sich um die neue oder die ältere Konfiguration handelt, wenden Sie sich an Ihren Kundenbetreuer.If you have an Exchange Online Dedicated environment and need to find out whether it is in the new or the legacy configuration, please contact your account manager. Um den E-Mail-Zugriff auf lokales Exchange oder Ihre ältere Exchange Online Dedicated-Umgebung zu steuern, konfigurieren Sie den bedingten Zugriff für lokales Exchange in Intune.To control email access to Exchange on-premises or to your legacy Exchange Online Dedicated environment, configure conditional access to Exchange on-premises in Intune.

VorbereitungenBefore you begin

Bevor Sie den bedingten Zugriff konfigurieren können, müssen Sie Folgendes überprüfen:Before you can configure conditional access, verify the following:

  • Bei Ihrer Exchange-Version muss es sich um Exchange 2010 SP1 oder höher handeln.Your Exchange version must be Exchange 2010 SP1 or later. Exchange Server-Clientzugriffsserver-Arrays werden unterstützt.Exchange server Client Access Server (CAS) array is supported.

  • Sie müssen den lokalen Exchange-Connector für Exchange Active Sync verwenden, der Intune mit Exchange lokal verbindet.You must use the Exchange Active Sync on-premises Exchange connector, which connects Intune to on-premises Exchange.

    Wichtig

    Der lokale Exchange-Connector ist spezifisch für Ihren Intune-Mandanten und kann mit keinem anderen Mandanten verwendet werden.The on-premises Exchange connector is specific to your Intune tenant and cannot be used with any other tenant. Intune unterstützt jetzt mehrere lokale Exchange Connectors pro Abonnement.Intune now supports multiple on-premises Exchange connectors per subscription. Wenn Sie über mehr als eine lokale Exchange-Organisation verfügen, können Sie einen separaten Connector für jede Exchange-Organisation einrichten.If you have more than one on-premises Exchange organization, you can set up a separate connector for each Exchange organization.

  • Der Connector für eine lokale Exchange-Organisation kann auf jedem Computer installiert werden, solange dieser Computer mit dem Exchange-Server kommunizieren kann.The connector for an on-premises Exchange organization can be installed on any machine as long as that machine is able to communicate with the Exchange server.

  • Der Connector unterstützt die Exchange-Clientzugriffsserver-Umgebung.The connector supports Exchange CAS environment. Technisch können Sie den Connector auch direkt auf dem Exchange-Clientzugriffsserver installieren, aber dies ist nicht zu empfehlen, da die Last auf dem Server dadurch erhöht wird.You can technically install the connector on the Exchange CAS server directly if you wish to, but it is not recommended, as it increases the load on the server. Sie müssen den Connector so konfigurieren, dass er mit einem der Exchange-Clientzugriffsserver kommuniziert.When configuring the connector, you must set it up to communicate to one of the Exchange CAS servers.

  • Exchange ActiveSync muss für die zertifikatbasierte Authentifizierung oder die Eingabe von Anmeldeinformationen durch Benutzer konfiguriert werden.Exchange ActiveSync must be configured with certificate-based authentication, or user credential entry.

  • Wenn Richtlinien für bedingten Zugriff konfiguriert und auf einen Benutzer angewendet wurden, muss das Gerät, das der Benutzer zum Abrufen von E-Mails verwendet, folgende Voraussetzungen erfüllen:When conditional access policies are configured and targeted to a user, before a user can connect to their email, the device they use must be:

    • Es muss bei Intune registriert sein oder sich um einen in die Domäne eingebundenen PC handeln.Either enrolled with Intune or is a domain joined PC.
    • Es muss in Azure Active Directory registriert sein.Registered in Azure Active Directory. Darüber hinaus muss die Exchange ActiveSync-ID des Clients in Azure Active Directory registriert sein.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.
  • Der Azure AD Device Registration-Dienst wird automatisch für Intune und Office 365-Kunden aktiviert.Azure AD Device Registration Service (DRS) is activated automatically for Intune and Office 365 customers. Kunden, die bereits den AD FS Device Registration Service bereitgestellt haben, sehen keine registrierten Geräte in ihrem lokalen Active Directory.Customers who have already deployed the ADFS Device Registration Service do not see registered devices in their on-premises Active Directory. Dies gilt nicht für Windows-PCs und Windows Phone-Geräte.This does not apply to Windows PCs and Windows Phone devices.

  • Es besteht Konformität mit allen für das Gerät festgelegten Konformitätsrichtlinien.Compliant with device compliance policies deployed to that device.

  • Wenn das Gerät die Einstellungen für den bedingten Zugriff nicht erfüllt, erhält der Benutzer bei der Anmeldung eine der folgenden Meldungen:If the device does not meet conditional access settings, the user is presented with one of the following messages when they sign in:

    • Wenn das Gerät nicht bei Intune oder in Azure Active Directory registriert ist, wird eine Meldung mit Anweisungen zum Installieren der Unternehmensportal-App, zum Registrieren des Geräts und zum Aktivieren des E-Mail-Zugriffs angezeigt.If the device is not enrolled with Intune, or is not registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app, enroll the device, and activate email. Dieser Prozess verknüpft auch die Exchange ActiveSync-ID mit dem Eintrag des Geräts in Azure Active Directory.This process also associates the device's Exchange ActiveSync ID with the device record in Azure Active Directory.
    • Wenn das Gerät nicht konform ist, wird eine Meldung angezeigt, die Benutzer zum Intune-Unternehmensportal oder zur Unternehmensportal-App weiterleitet. Hier finden sie Informationen zum Problem und zu dessen Lösung.If the device is not compliant, a message is displayed that directs the user to the Intune Company Portal website, or the Company Portal app where they can find information about the problem and how to remediate it.

Unterstützung für mobile GeräteSupport for mobile devices

  • Windows Phone 8.1 und höherWindows Phone 8.1 and later
  • Systemeigene E-Mail-App unter iOS.Native email app on iOS.
  • EAS-E-Mail-Clients wie Gmail unter Android 4 oder höher.EAS mail clients such as Gmail on Android 4 or later.
  • EAS-E-Mail-Clients für Android-Arbeitsprofilgeräte: Nur Gmail- und Nine Work-Apps im Arbeitsprofil werden auf Android-Arbeitsprofilgeräten unterstützt.EAS mail clients Android work profile devices: Only Gmail and Nine Work apps in the work profile are supported on Android work profile devices. Damit der bedingte Zugriff mit Android-Arbeitsprofilen funktioniert, müssen Sie ein E-Mail-Profil für die Gmail- oder Nine Work-App sowie diese Apps als erforderliche Installation bereitstellen.For conditional access to work with Android work profiles, you must deploy an email profile for the Gmail or Nine Work app, and also deploy those apps as a required install.

Hinweis

Microsoft Outlook-App unter Android und iOS wird nicht unterstützt.Microsoft Outlook app for Android and iOS is not supported.

Unterstützung für PCsSupport for PCs

Die systemeigene E-Mail-Anwendung unter Windows 8.1 und höher (bei Registrierung bei Intune)The native Mail application on Windows 8.1 and later (when enrolled with Intune)

Konfigurieren des Zugriffs auf Exchange lokalConfigure Exchange on-premises access

  1. Melden Sie sich im Azure-Portal mit Ihren Intune-Anmeldeinformationen an.Go to the Azure portal, and sign in with your Intune credentials.

  2. Sobald Sie erfolgreich angemeldet sind, wird das Azure-Dashboard angezeigt.After you've successfully signed in, you see the Azure Dashboard.

  3. Klicken Sie im Menü links auf Alle Dienste, und geben Sie in das Filtertextfeld Intune ein.Choose All services from the left menu, then type Intune in the text box filter.

  4. Wählen Sie Intune aus. Das Intune-Dashboard wird angezeigt.Choose Intune, you see the Intune Dashboard.

  5. Klicken Sie auf On-premises access (Lokaler Zugriff).Choose On-premises access. Der Bereich On-premises access (Lokaler Zugriff) enthält den Status der Richtlinie für bedingten Zugriff und die Geräte, die davon betroffen sind.The On-premises access pane shows the status of the conditional access policy and the devices that are affected by it.

  6. Wählen Sie unter Verwalten die Option Zugriff auf Exchange lokal aus.Under Manage, choose Exchange on-premises access.

  7. Klicken Sie im Bereich Exchange on-premises access (Zugriff auf eine lokale Installation von Exchange) auf die Option Ja, um die Zugriffssteuerung für eine lokale Installation von Exchange zu aktivieren.On the Exchange on-premises access pane, choose Yes to enable Exchange on-premises access control.

    Hinweis

    Wenn Sie keinen lokalen Connector für Exchange Active Sync konfiguriert haben, ist diese Option deaktiviert.If you have not configured an Exchange Active Sync on-premises connector, this option is disabled. Sie müssen zunächst mindestens einen Connector installieren und konfigurieren, bevor Sie den bedingten Zugriff auf Exchange lokal aktivieren.You must first install and configure at least one connector before enabling conditional access for Exchange on-premises. Weitere Informationen finden Sie unter Installieren des lokalen Exchange Connectors für Intune.For more details, see Install the Intune On-premises Exchange Connector

  8. Wählen Sie unter Zuweisung die Option Eingeschlossene Gruppen aus.Under Assignment, choose Groups Included. Verwenden Sie die Sicherheitsbenutzergruppe, auf die bedingter Zugriff angewendet werden soll.Use the security user group that should have conditional access applied to it. In diesem Fall müssen die Benutzer ihre Geräte selbst in Intune registrieren und die Konformität mit den Konformitätsprofilen sicherstellen.This action would require the users to enroll their devices in Intune and be compliant with the compliance profiles.

  9. Wenn Sie bestimmte Gruppen von Benutzern ausschließen möchten, können Sie dazu Ausgeschlossene Gruppen auswählen. Wählen Sie anschließend eine Benutzergruppe aus, die Sie von der erforderlichen Registrierung des Geräts und der Konformitätsprüfung ausschließen möchten.If you want to exclude certain groups of users, you can do so by choosing Groups Excluded and selecting a user group that you want to be exempt from requiring device enrollment and compliance.

  10. Wählen Sie unter Einstellungen die Option Benutzerbenachrichtigungen aus, um die Standard-E-Mail-Nachricht zu ändern.Under Settings, choose User notifications to modify the default email message. Diese Meldung wird an Benutzer gesendet, wenn ihr Gerät nicht konform ist und sie auf Exchange lokal zugreifen möchten.This message is sent to users if their device is not compliant and they want to access Exchange on-premises. Die Nachrichtenvorlage verwendet Markupsprache.The message template uses Markup language. Sie sehen während der Eingabe auch eine Vorschau der Nachricht.You can also see the preview of how the message looks as you type.

    Tipp

    Weitere Informationen zur Markupsprache finden Sie in diesem Wikipedia-Artikel.To learn more about Markup language see this Wikipedia article.

  11. Legen Sie im Bereich Advanced Exchange Active Sync access settings (Erweiterte Zugriffseinstellungen für Exchange Active Sync) die globale Standardregel für den Zugriff von Geräten, die nicht von Intune verwaltet werden, sowie Regeln auf Plattformebene fest, wie in den nächsten beiden Schritten beschrieben.On the Advanced Exchange Active Sync access settings pane, set the global default rule for access from devices that are not managed by Intune, and for platform-level rules as described in the next two steps.

  12. Bei Geräten, die nicht durch den bedingten Zugriff oder andere Regeln abgedeckt werden, können Sie auswählen, ob der Zugriff auf Exchange zugelassen oder blockiert werden soll.For a device that is not affected by conditional access or other rules, you can choose to allow it to access Exchange, or block it.

    • Wenn Sie den Zugriff zulassen, können alle Geräte sofort auf eine lokale Installation von Exchange zugreifen.When you set this to allow access, all devices are able to access Exchange on-premises immediately. Geräte, die Benutzern in Eingeschlossene Gruppen gehören, werden blockiert, wenn sie später als nicht konform mit den Konformitätsrichtlinien ausgewertet werden oder nicht in Intune registriert sind.Devices that belong to the users in the Groups Included, are blocked if they are subsequently evaluated as not compliant with the compliant policies or not enrolled in Intune.
    • Wenn Sie diese Option auf das Blockieren des Zugriffs festlegen, wird der Zugriff auf eine lokale Installation von Exchange sofort für alle Geräte blockiert.When you set this to block access, all devices are immediately blocked from accessing Exchange on-premises initially. Geräte, die Benutzern in Eingeschlossenen Gruppen gehören, erhalten Zugriff, sobald das Gerät in Intune registriert und als konform ausgewertet wurde.Devices that belong to users in the Groups Included get access once the device is enrolled in Intune and is evaluated as compliant. Android-Geräte ohne Samsung KNOX Standard werden immer blockiert, da sie diese Einstellung nicht unterstützen.On Android devices that do not run Samsung Knox standard is always blocked as they do not support this setting.
  13. Wählen Sie unter Geräteplattformausnahmen die Option Hinzufügen aus, um die Plattformen anzugeben.Under Device platform exceptions, choose Add to specify the platforms. Wenn die Einstellung Zugriff nicht verwalteter Geräte auf blockiert festgelegt ist, erhalten Geräte, die registriert und konform sind, auch dann Zugriff, wenn eine Plattformausnahme diesen blockieren würde.If the unmanaged device access setting is set to blocked, devices that are enrolled and compliant are allowed even if there is a platform exception to block. Wählen Sie OK aus, um die Einstellungen zu speichern.Choose Ok to save the settings.

  14. Klicken Sie im Bereich Lokal auf Speichern, um die Richtlinie für bedingten Zugriff zu speichern.On the On-premises pane, click Save to save the conditional access policy.

Erstellen von Azure AD-Richtlinien für den bedingten Zugriff in IntuneCreate Azure AD Conditional access policies in Intune

Ab Intune Version 1704 können Administratoren im Intune Azure-Portal für Azure AD Richtlinien für den bedingten Zugriff erstellen, damit Sie nicht zwischen Azure- und Intune-Workloads wechseln müssen.Beginning with Intune 1704 release, admins can create Azure AD conditional access policies from the Intune Azure portal so you don't need to switch between the Azure and Intune workloads.

Wichtig

Sie benötigen eine Azure AD Premium-Lizenz, um im Azure-Portal für Intune Azure AD-Richtlinien für den bedingten Zugriff zu erstellen.You need to have an Azure AD Premium license to create Azure AD conditional access policies from the Intune Azure portal.

Erstellen einer Azure AD-Richtlinie für den bedingten ZugriffTo create Azure AD conditional access policy

  1. Wählen Sie auf dem Intune-Dashboard die Option Bedingter Zugriff aus.In the Intune Dashboard, choose Conditional access.

  2. Klicken Sie im Bereich Richtlinien auf Neue Richtlinie, um die neue Azure AD-Richtlinie für bedingten Zugriff zu erstellen.In the Policies pane, choose New policy to create your new Azure AD conditional access policy.

Siehe auchSee also

Bedingter Zugriff in Azure Active DirectoryConditional Access in Azure Active Directory