Erstellen und Zuweisen einer Richtlinie für bedingten Zugriff für Exchange lokal und das ältere Exchange Online Dedicated in Microsoft IntuneHow to create and assign a conditional access policy for Exchange on-premises and legacy Exchange Online Dedicated in Microsoft Intune

Gilt für: Intune im Azure-PortalApplies to: Intune in the Azure portal
Suchen Sie nach der Dokumentation zu Intune im klassischen Portal?Looking for documentation about Intune in the classic portal? Klicken Sie hier.Go here.

Dieses Thema führt Sie durch die Konfiguration des bedingten Zugriffs für Exchange lokal basierend auf der Gerätekonformität.This topic walks you through the process of configuring conditional access for Exchange on-premises based on device compliance.

Wenn Sie über eine Exchange Online Dedicated-Umgebung verfügen und herausfinden müssen, ob es sich um die neue oder die ältere Konfiguration handelt, wenden Sie sich an Ihren Kundenbetreuer.If you have an Exchange Online Dedicated environment and need to find out whether it is in the new or the legacy configuration, please contact your account manager. Um den E-Mail-Zugriff auf lokales Exchange oder Ihre ältere Exchange Online Dedicated-Umgebung zu steuern, konfigurieren Sie den bedingten Zugriff für lokales Exchange in Intune.To control email access to Exchange on-premises or to your legacy Exchange Online Dedicated environment, configure conditional access to Exchange on-premises in Intune.

VorbereitungBefore you begin

Bevor Sie den bedingten Zugriff konfigurieren können, müssen Sie Folgendes überprüfen:Before you can configure conditional access, verify the following:

  • Bei Ihrer Exchange-Version muss es sich um Exchange 2010 SP1 oder höher handeln.Your Exchange version must be Exchange 2010 SP1 or later. Exchange Server-Clientzugriffsserver-Arrays werden unterstützt.Exchange server Client Access Server (CAS) array is supported.

  • Sie müssen den lokalen Exchange-Connector für Exchange Active Sync verwenden, der Intune mit Exchange lokal verbindet.You must use the Exchange Active Sync on-premises Exchange connector, which connects Intune to on-premises Exchange.

    Wichtig

    Der lokale Exchange-Connector ist spezifisch für Ihren Intune-Mandanten und kann mit keinem anderen Mandanten verwendet werden.The on-premises Exchange connector is specific to your Intune tenant and cannot be used with any other tenant. Sie müssen auch sicherstellen, dass der Exchange-Connector für Ihren Mandanten nur auf einem Computer installiert ist.You should also ensure that the exchange connector for your tenant is installed on only one machine.

  • Der Connector kann auf jedem Computer installiert werden, solange dieser Computer mit dem Exchange-Server kommunizieren kann.The connector can be installed on any machine as long as that machine is able to communicate with the Exchange server.

  • Der Connector unterstützt die Exchange-Clientzugriffsserver-Umgebung.The connector supports Exchange CAS environment. Technisch können Sie den Connector auch direkt auf dem Exchange-Clientzugriffsserver installieren, aber dies ist nicht zu empfehlen, da die Last auf dem Server dadurch erhöht wird.You can technically install the connector on the Exchange CAS server directly if you wish to, but it is not recommended, as it will increase the load on the server. Sie müssen den Connector so konfigurieren, dass er mit einem der Exchange-Clientzugriffsserver kommuniziert.When configuring the connector, you must set it up to communicate to one of the Exchange CAS servers.

  • Exchange ActiveSync muss für die zertifikatbasierte Authentifizierung oder die Eingabe von Anmeldeinformationen durch Benutzer konfiguriert werden.Exchange ActiveSync must be configured with certificate based authentication, or user credential entry.

  • Wenn Richtlinien für bedingten Zugriff konfiguriert und auf einen Benutzer angewendet wurden, muss das Gerät, das der Benutzer zum Abrufen von E-Mails verwendet, folgende Voraussetzungen erfüllen:When conditional access policies are configured and targeted to a user, before a user can connect to their email, the device they use must be:

    • Es muss bei Intune registriert sein oder sich um einen in die Domäne eingebundenen PC handeln.Either enrolled with Intune or is a domain joined PC.
    • Es muss in Azure Active Directory registriert sein.Registered in Azure Active Directory. Darüber hinaus muss die Exchange ActiveSync-ID des Clients in Azure Active Directory registriert sein.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.
  • AAD DRS wird automatisch für Intune und Office 365-Kunden aktiviert.AAD DRS will be activated automatically for Intune and Office 365 customers. Kunden, die bereits den AD FS Device Registration Service bereitgestellt haben, sehen keine registrierten Geräte in ihrem lokalen Active Directory.Customers who have already deployed the ADFS Device Registration Service will not see registered devices in their on-premises Active Directory. Dies gilt nicht für Windows-PCs und Windows Phone-Geräte.This does not apply to Windows PCs and Windows Phone devices.

  • Es besteht Konformität mit allen für das Gerät festgelegten Konformitätsrichtlinien.Compliant with device compliance policies deployed to that device.

  • Wenn das Gerät die Einstellungen für den bedingten Zugriff nicht erfüllt, erhält der Benutzer bei der Anmeldung eine der folgenden Meldungen:If the device does not meet conditional access settings, the user is presented with one of the following messages when they log in:

    • Wenn das Gerät nicht bei Intune oder in Azure Active Directory registriert ist, wird eine Meldung mit Anweisungen zum Installieren der Unternehmensportal-App, zum Registrieren des Geräts und zum Aktivieren des E-Mail-Zugriffs angezeigt.If the device is not enrolled with Intune, or is not registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app, enroll the device, and activate email. Dieser Prozess verknüpft auch die Exchange ActiveSync-ID mit dem Eintrag des Geräts in Azure Active Directory.This process also associates the device's Exchange ActiveSync ID with the device record in Azure Active Directory.
    • Wenn das Gerät nicht konform ist, wird eine Meldung angezeigt, die Benutzer zum Intune-Unternehmensportal oder zur Unternehmensportal-App weiterleitet. Hier finden sie Informationen zum Problem und zu dessen Lösung.If the device is not compliant, a message is displayed that directs the user to the Intune Company Portal website, or the Company Portal app where they can find information about the problem and how to remediate it.

Unterstützung für mobile GeräteSupport for mobile devices

  • Windows Phone 8.1 und höherWindows Phone 8.1 and later
  • Systemeigene E-Mail-App unter iOS.Native email app on iOS.
  • EAS-E-Mail-Clients wie Gmail unter Android 4 oder höher.EAS mail clients such as Gmail on Android 4 or later.
  • EAS-E-Mail-Clients für Android for Work-Geräte: Nur Gmail- und Nine Work-Apps im Arbeitsprofil werden auf Android for Work-Geräten unterstützt.EAS mail clients Android for Work devices: Only Gmail and Nine Work apps in the work profile are supported on Android for Work devices. Damit der bedingte Zugriff unter Android for Work funktioniert, müssen Sie ein E-Mail-Profil für die Gmail- oder Nine Work-App sowie diese Apps als erforderliche Installation bereitstellen.For conditional access to work with Android for Work, you must deploy an email profile for the Gmail or Nine Work app, and also deploy those apps as a required install.
Hinweis

Microsoft Outlook-App unter Android und iOS wird nicht unterstützt.Microsoft Outlook app for Android and iOS is not supported. Android for Work wird derzeit über die nächsten Monate mandantenübergreifend in Intune eingeführt.Android for Work is currently being rolled out across Intune tenants over the next few months.

Unterstützung für PCsSupport for PCs

Die systemeigene E-Mail-Anwendung unter Windows 8.1 und höher (bei Registrierung bei Intune)The native Mail application on Windows 8.1 and later (when enrolled with Intune)

Konfigurieren des Zugriffs auf Exchange lokalConfigure Exchange on-premises access

  1. Melden Sie sich im Azure-Portal mit Ihren Intune-Anmeldeinformationen an.Go to the Azure portal, and sign in with your Intune credentials.

  2. Sobald Sie erfolgreich angemeldet sind, wird das Azure-Dashboard angezeigt.After you've successfully signed in, you see the Azure Dashboard.

  3. Wählen Sie im linken Menü Weitere Dienste aus, und geben Sie in das Filtertextfeld die Zeichenfolge Intune ein.Choose More services from the left menu, then type Intune in the text box filter.

  4. Wählen Sie Intune aus. Das Intune-Dashboard wird angezeigt.Choose Intune, you see the Intune Dashboard.

  5. Wählen Sie Lokaler Zugriff, und wählen Sie dannChoose On-Premise Access, then choose

  6. Das Blatt Lokal enthält den Status der Richtlinie für bedingten Zugriff und die Geräte, die davon betroffen sind.The On-premises blade shows the status of the conditional access policy and the devices that are affected by it.

  7. Wählen Sie unter Verwalten die Option Zugriff auf Exchange lokal aus.Under Manage, choose Exchange on-premises access.

  8. Wählen Sie auf dem Blatt Zugriff auf Exchange lokal die Option Ja aus, um Access Control für Exchange lokal zu aktivieren.On the Exchange on-premises access blade, choose Yes to enable Exchange on-premises access control.

    Hinweis

    Wenn Sie den lokalen Connector für Exchange Active Sync nicht konfiguriert haben, ist diese Option deaktiviert.If you have not configured the Exchange Active Sync on-premises connector, this option will be disabled. Sie müssen diesen Connector zunächst installieren und konfigurieren, bevor Sie den bedingten Zugriff auf Exchange lokal aktivieren.You must first install and configure this connector before enabling conditional access for Exchange on-premises. Weitere Informationen finden Sie unter Installieren des lokalen Exchange Connectors für Intune.For more details, see Install the Intune On-premises Exchange Connector

  9. Wählen Sie unter Zuweisung die Option Eingeschlossene Gruppen aus.Under Assignment, choose Groups Included. Verwenden Sie die Sicherheitsbenutzergruppe, auf die bedingter Zugriff angewendet werden soll.Use the security user group that should have conditional access applied to it. In diesem Fall müssen die Benutzer ihre Geräte selbst in Intune registrieren und die Konformität mit den Konformitätsprofilen sicherstellen.This would require the users to enroll their devices in Intune and be compliant with the compliance profiles.

  10. Wenn Sie eine bestimmte Gruppen von Benutzern ausschließen möchten, können Sie dazu Ausgeschlossene Gruppen auswählen. Wählen Sie anschließend eine Benutzergruppe aus, die Sie von der erforderlichen Registrierung des Geräts und der Konformitätsprüfung ausschließen möchten.If you want to exclude a certain groups of users, you can do so by choosing Groups Excluded and selecting a user group that you want to be exempt from requiring device enrollment and compliance.

  11. Wählen Sie unter Einstellungen die Option Benutzerbenachrichtigungen aus, um die Standard-E-Mail-Nachricht zu ändern.Under Settings, choose User notifications to modify the default email message. Diese Meldung wird an Benutzer gesendet, wenn ihr Gerät nicht konform ist und sie auf Exchange lokal zugreifen möchten.This message is sent to users if their device is not compliant and they want to access Exchange on-premises. Die Nachrichtenvorlage verwendet Markupsprache.The message template uses Markup language. Sie sehen während der Eingabe auch eine Vorschau der Nachricht.You will also see the preview of how the message looks as you type.

    Tipp

    Weitere Informationen zur Markupsprache finden Sie in diesem Wikipedia-Artikel.To learn more about Markup language see this Wikipedia article.

  12. Legen Sie auf dem Blatt Erweiterte Zugriffseinstellungen für Exchange ActiveSync die globale Standardregel für den Zugriff von Geräten, die nicht von Intune verwaltet werden, sowie Regeln auf Plattformebene fest, wie in den nächsten beiden Schritten beschrieben.On the Advanced Exchange Active Sync access settings blade, set the global default rule for access from devices that are not managed by Intune, and for platform-level rules as described in the next two steps.

  13. Bei Geräten, die nicht durch den bedingten Zugriff oder andere Regeln abgedeckt werden, können Sie auswählen, ob der Zugriff auf Exchange zugelassen oder blockiert werden soll.For a device that is not affected by conditional access or other rules, you can choose to allow it to access Exchange, or block it.

    • Wenn Sie den Zugriff zulassen, können alle Geräte sofort auf Exchange lokal zugreifen.When you set this to allow access, all devices will be able to access Exchange on-premises immediately. Geräte, die Benutzern in Eingeschlossene Gruppen gehören, werden blockiert, wenn sie später als nicht konform mit den Konformitätsrichtlinien ausgewertet werden oder nicht in Intune registriert sind.Devices that belong to the users in the Groups Included, are blocked if they are subsequently evaluated as not compliant with the compliant policies or not enrolled in Intune.
    • Wenn Sie diese Option auf das Blockieren des Zugriffs festlegen, wird der Zugriff auf Exchange lokal sofort für alle Geräte blockiert.When you set this to block access, all devices will be immediately blocked from accessing Exchange on-premises initially. Geräte, die Benutzern in Eingeschlossene Gruppen gehören, erhalten Zugriff, sobald das Gerät in Intune registriert und als konform ausgewertet wurde.Devices that belong to users in the Groups Included will get access once the device is enrolled in Intune and is evaluated as compliant. Android-Geräte ohne Samsung KNOX Standard werden immer blockiert, da sie diese Einstellung nicht unterstützen.On Android devices that do not run Samsung KNOX standard will always be blocked as they do not support this setting.
  14. Wählen Sie unter Geräteplattformausnahmen die Option Hinzufügen aus, um die Plattformen anzugeben.Under Device platform exceptions, choose Add to specify the platforms. Wenn die Einstellung Zugriff nicht verwalteter Geräte auf blockiert festgelegt ist, erhalten Geräte, die registriert und konform sind, auch dann Zugriff, wenn eine Plattformausnahme diesen blockieren würde.If the unmanaged device access setting is set to blocked, devices that are enrolled and compliant will be allowed even if there is a platform exception to block. Wählen Sie OK aus, um die Einstellungen zu speichern.Choose Ok to save the settings.

  15. Klicken Sie auf dem Blatt Lokal auf Speichern, um die Richtlinie für bedingten Zugriff zu speichern.On the On-premises blade, click Save to save the conditional access policy.

Erstellen von Azure AD-Richtlinien für den bedingten Zugriff in IntuneCreate Azure AD Conditional access policies in Intune

Ab Intune Version 1704 können Administratoren im Azure-Portal für Intune Azure AD-Richtlinien für den bedingten Zugriff erstellen. Diese bieten Ihnen den Komfort, nicht zwischen Azure- und Intune-Workloads wechseln zu müssen.Beginning with Intune 1704 release, admins can create Azure AD conditional access policies from the Intune Azure portal, which gives convenience so you don't need to switch between the Azure and Intune workloads.

Wichtig

Sie benötigen eine Azure AD Premium-Lizenz, um im Azure-Portal für Intune Azure AD-Richtlinien für den bedingten Zugriff zu erstellen.You need to have an Azure AD Premium license to create Azure AD conditional access policies from the Intune Azure portal.

Erstellen einer Azure AD-Richtlinie für den bedingten ZugriffTo create Azure AD conditional access policy

  1. Wählen Sie auf dem Intune-Dashboard die Option Bedingter Zugriff aus.In the Intune Dashboard, choose Conditional access.

  2. Wählen Sie auf dem Blatt Richtlinien Neue Richtlinie aus, um die neue Azure AD-Richtlinie für den bedingten Zugriff zu erstellen.In the Policies blade, choose New policy to create your new Azure AD conditional access policy.

Weitere Informationen:See also

Bedingter Zugriff in Azure Active DirectoryConditional Access in Azure Active Directory