Verwalten des Zugriffs auf die Messagingzusammenarbeit mithilfe von Outlook für iOS und Android mit Microsoft Intune
Die Outlook für iOS und Android-App ermöglicht Kunden in Ihrer Organisation, mehr Aufgaben über ihre Mobilgeräte zu erledigen, indem Zugriff auf E-Mails, Kalender, Kontakte und andere Dateien ermöglicht wird.
Die umfassendsten und umfassendsten Schutzfunktionen für Microsoft 365-Daten sind verfügbar, wenn Sie die Enterprise Mobility + Security Suite abonnieren, die Microsoft Intune und Microsoft Entra-ID P1- oder P2-Features wie bedingten Zugriff umfasst. Sie sollten mindestens eine Richtlinie für bedingten Zugriff bereitstellen, die die Konnektivität mit Outlook für iOS und Android von mobilen Geräten aus zulässt, sowie eine Intune-App-Schutzrichtlinie, die sicherstellt, dass die Zusammenarbeit geschützt ist.
Anwenden des bedingten Zugriffs
Organisationen können Microsoft Entra Richtlinien für bedingten Zugriff verwenden, um sicherzustellen, dass Benutzer nur mit Outlook für iOS und Android auf Geschäfts-, Schul- oder Uniinhalte zugreifen können. Dazu benötigen Sie eine Richtlinie für bedingten Zugriff, die für alle potenziellen Benutzer gilt. Diese Richtlinien werden unter Bedingter Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich beschrieben.
Führen Sie die Schritte unter Anfordern genehmigter Client-Apps oder App-Schutzrichtlinie für mobile Geräte aus. Diese Richtlinie lässt Outlook für iOS und Android zu, verhindert jedoch, dass OAuth und die Standardauthentifizierung Exchange ActiveSync mobilen Clients eine Verbindung mit Exchange Online herstellen können.
Hinweis
Diese Richtlinie stellt sicher, dass mobile Benutzer mithilfe der entsprechenden Apps auf alle Microsoft 365-Endpunkte zugreifen können.
Führen Sie die Schritte unter Blockieren von Exchange ActiveSync auf allen Geräten aus, wodurch verhindert wird, dass Exchange ActiveSync Clients, die die Standardauthentifizierung auf nicht mobilen Geräten verwenden, eine Verbindung mit Exchange Online herstellen.
Die oben genannten Richtlinien nutzen die Zugriffssteuerung "Zugriff gewähren" Erfordert eine App-Schutzrichtlinie, die sicherstellt, dass eine Intune-App-Schutzrichtlinie vor dem Gewähren des Zugriffs auf das zugeordnete Konto in Outlook für iOS und Android angewendet wird. Wenn der Benutzer keiner Intune-App-Schutzrichtlinie zugewiesen ist, nicht für Intune lizenziert ist oder die App nicht in der Intune-App-Schutzrichtlinie enthalten ist, verhindert die Richtlinie, dass der Benutzer ein Zugriffstoken erhält und Zugriff auf Messagingdaten erhält.
Führen Sie die Schritte unter Vorgehensweise: Blockieren der Legacyauthentifizierung für Microsoft Entra-ID mit bedingtem Zugriff aus, um die Legacyauthentifizierung für andere Exchange-Protokolle auf iOS- und Android-Geräten zu blockieren. Diese Richtlinie sollte nur auf Microsoft Exchange Online Cloud-App und iOS- und Android-Geräteplattformen abzielen. Dadurch wird sichergestellt, dass mobile Apps, die Exchange-Webdienste, IMAP4- oder POP3-Protokolle mit Standardauthentifizierung verwenden, keine Verbindung mit Exchange Online herstellen können.
Hinweis
Um die App-basierten Richtlinien für bedingten Zugriff zu verwenden, muss die Microsoft Authenticator-App auf iOS-Geräten installiert werden. Für Android-Geräte ist die Intune-Unternehmensportal-App erforderlich. Weitere Informationen finden Sie unter App-basierter bedingter Zugriff mit Intune.
Erstellen von Intune-App-Schutzrichtlinien
App-Schutzrichtlinien (APP) definieren, welche Apps zulässig sind und welche Aktionen sie mit den Daten Ihrer organization ausführen können. Die in APP verfügbaren Optionen ermöglichen Es Organisationen, den Schutz an ihre spezifischen Anforderungen anzupassen. Für einige Organisationen ist es jedoch möglicherweise nicht offensichtlich, welche Richtlinieneinstellungen genau erforderlich sind, um ein vollständiges Szenario zu implementieren. Um Unternehmen bei der Priorisierung der Absicherung mobiler Clientendpunkte zu unterstützen, hat Microsoft für die Verwaltung mobiler iOS- und Android-Apps eine Taxonomie für sein Datenschutzframework für App-Schutzrichtlinien eingeführt.
Dieses Datenschutzframework ist in drei Konfigurationsebenen unterteilt, wobei jede Ebene auf der vorherigen Ebene aufbaut:
- Einfacher Datenschutz für Unternehmen (Ebene 1): Diese Ebene stellt sicher, dass Apps mit einer PIN geschützt und verschlüsselt sind, und dient zum Durchführen selektiver Löschvorgänge. Bei Android-Geräten überprüft diese Ebene den Android-Gerätenachweis. Dabei handelt es sich um eine Konfiguration auf Einstiegsebene, die ähnliche Datenschutzkontrolle in Exchange Online-Postfachrichtlinien bereitstellt und der IT sowie dem Benutzerstamm eine Einführung in App-Schutzrichtlinien bietet.
- Erweiterter Datenschutz für Unternehmen (Ebene 2): Diese Ebene führt Mechanismen für App-Schutzrichtlinien zur Verhinderung von Datenlecks sowie die mindestens zu erfüllenden Betriebssystemanforderungen ein. Dies ist die Konfiguration, die für die meisten mobilen Benutzer gilt, die auf Geschäfts-, Schul- oder Unidaten zugreifen.
- Hoher Datenschutz für Unternehmen (Ebene 3): Auf dieser Ebene werden Mechanismen zum erweiterten Datenschutz, eine verbesserte PIN-Konfiguration sowie Mobile Threat Defense für App-Schutzrichtlinien eingeführt. Diese Konfiguration ist für Benutzer vorgesehen, die auf Hochrisikodaten zugreifen.
Die spezifischen Empfehlungen für jede Konfigurationsebene sowie die minimalen zu schützenden Apps finden Sie unter Datenschutzframework mithilfe von App-Schutzrichtlinien.
Unabhängig davon, ob das Gerät in einer Lösung für die einheitliche Endpunktverwaltung (Unified Endpoint Management, UEM) registriert ist, muss eine Intune-App-Schutzrichtlinie für iOS- und Android-Apps erstellt werden, wobei die Schritte unter Erstellen und Zuweisen von App-Schutzrichtlinien ausgeführt werden. Diese Richtlinien müssen mindestens die folgenden Bedingungen erfüllen:
Sie umfassen alle mobilen Microsoft 365-Anwendungen wie Edge, Outlook, OneDrive, Office oder Teams, da dies sicherstellt, dass Benutzer auf sichere Weise auf Geschäfts-, Schul- oder Unidaten in jeder Microsoft-App zugreifen und diese bearbeiten können.
Sie sind für alle Benutzer zugewiesen. Dadurch wird sichergestellt, dass alle Benutzer geschützt sind, unabhängig davon, ob sie Outlook für iOS oder Android verwenden.
Bestimmen Sie, welche Frameworkebene Ihre Anforderungen erfüllt. Die meisten Organisationen sollten die einstellungen implementieren, die unter Erweiterter Datenschutz für Unternehmen (Stufe 2) definiert sind, da dies die Steuerung von Datenschutz und Zugriffsanforderungen ermöglicht.
Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter Einstellungen für Android-App-Schutzrichtlinien und Einstellungen für iOS-App-Schutzrichtlinien.
Wichtig
Um Intune-App-Schutzrichtlinien für Apps auf Android-Geräten anzuwenden, die nicht in Intune registriert sind, muss der Benutzer auch das Intune-Unternehmensportal installieren.
Verwenden der App-Konfiguration
Outlook für iOS und Android unterstützt App-Einstellungen, mit denen Administratoren der einheitlichen Endpunktverwaltung das Verhalten der App anpassen können. Microsoft Intune, eine einheitliche Endpunktverwaltungslösung, wird häufig zum Konfigurieren und Zuweisen von Apps für Endbenutzer der Organisation verwendet.
Die App-Konfiguration kann entweder über den MDM-Betriebssystemkanal (Mobile Device Management) auf registrierten Geräten (Managed App Configuration Channel für iOS oder Android im Enterprise-Kanal für Android) oder über den App Protection Policy-Kanal (App Protection Policy, APP) von Intune bereitgestellt werden. Outlook für iOS und Android unterstützt die folgenden Konfigurationsszenarien:
- Nur Geschäfts-, Schul- oder Unikonten zulassen
- Allgemeine App-Konfigurationseinstellungen
- S/MIME-Einstellungen
- Datenschutzeinstellungen
Spezifische Verfahrensschritte und eine ausführliche Dokumentation zu den App-Konfigurationseinstellungen, die Outlook für iOS und Android unterstützt, finden Sie unter Bereitstellen von Outlook für iOS- und Android-App-Konfigurationseinstellungen.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für