Verwalten des Zugriffs auf die Messagingzusammenarbeit mithilfe von Outlook für iOS und Android mit Microsoft Intune
Die Outlook für iOS und Android-App ermöglicht Kunden in Ihrer Organisation, mehr Aufgaben über ihre Mobilgeräte zu erledigen, indem Zugriff auf E-Mails, Kalender, Kontakte und andere Dateien ermöglicht wird.
Die umfassendsten Schutzfunktionen für Microsoft 365-Daten sind verfügbar, wenn Sie ein Abonnement für die Enterprise Mobility + Security-Suite abschließen, das Microsoft Intune und Microsoft Entra ID P1- oder P2 -Features, z. B. bedingten Zugriff, umfasst. Sie sollten mindestens eine Richtlinie für bedingten Zugriff bereitstellen, die die Konnektivität mit Outlook für iOS und Android von mobilen Geräten aus zulässt, sowie eine Intune-App-Schutzrichtlinie, die sicherstellt, dass die Zusammenarbeit geschützt ist.
Bedingten Zugriff anwenden
Organisationen können Microsoft Entra-Richtlinien für bedingten Zugriff verwenden, um sicherzustellen, dass Benutzer nur mit Outlook für iOS und Android auf Geschäfts-, Schul- oder Uniinhalte zugreifen können. Dazu benötigen Sie eine Richtlinie für bedingten Zugriff, die für alle potenziellen Benutzer gilt. Diese Richtlinien werden unter Bedingter Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich beschrieben.
Führen Sie die Schritte unter Anfordern genehmigter Client-Apps oder App-Schutzrichtlinie für mobile Geräte aus. Diese Richtlinie lässt Outlook für iOS und Android zu, verhindert jedoch, dass OAuth- und standardauthentifizierungsfähige Exchange ActiveSync-Clients eine Verbindung mit Exchange Online herstellen.
Hinweis
Diese Richtlinie stellt sicher, dass mobile Benutzer mithilfe von entsprechenden Apps auf alle Microsoft 365-Endpunkte zugreifen können.
Führen Sie die Schritte unter Blockieren von Exchange ActiveSync auf allen Geräten aus, wodurch verhindert wird, dass Exchange ActiveSync-Clients, die die Standardauthentifizierung auf nicht mobilen Geräten verwenden, eine Verbindung mit Exchange Online herstellen.
Die oben genannten Richtlinien nutzen die Zugriffssteuerung "Zugriff gewähren" Erfordert eine App-Schutzrichtlinie, die sicherstellt, dass eine Intune-App-Schutzrichtlinie vor dem Gewähren des Zugriffs auf das zugeordnete Konto in Outlook für iOS und Android angewendet wird. Wenn der Benutzer keiner Intune-App-Schutzrichtlinie zugewiesen ist, nicht für Intune lizenziert ist oder die App nicht in der Intune-App-Schutzrichtlinie enthalten ist, verhindert die Richtlinie, dass der Benutzer ein Zugriffstoken erhält und Zugriff auf Messagingdaten erhält.
Führen Sie die Schritte unter Vorgehensweise: Blockieren der Legacyauthentifizierung bei Microsoft Entra ID mit bedingtem Zugriff aus, um die Legacyauthentifizierung für andere Exchange-Protokolle auf iOS- und Android-Geräten zu blockieren. Diese Richtlinie sollte nur auf Microsoft Exchange Online-Cloud-Apps und iOS- und Android-Geräteplattformen ausgerichtet sein. Dadurch wird sichergestellt, dass mobile Apps, die Exchange-Webdienste, IMAP4- oder POP3-Protokolle mit Standardauthentifizierung verwenden, keine Verbindung mit Exchange Online herstellen können.
Hinweis
Um die App-basierten Richtlinien für bedingten Zugriff zu verwenden, muss die Microsoft Authenticator-App auf iOS-Geräten installiert werden. Für Android-Geräte ist die App für das Intune-Unternehmensportal erforderlich. Weitere Informationen finden Sie unter App-basierter bedingter Zugriff mit Intune.
Intune-App-Schutzrichtlinien erstellen
App-Schutzrichtlinien (App Protection Policies, APP) definieren, welche Apps zulässig sind und die Aktionen, die diese Apps mit den Unternehmensdaten ausführen kann. Die in APP verfügbaren Optionen ermöglichen Organisationen, den Schutz an ihre speziellen Anforderungen anzupassen. Für einige Organisationen ist es jedoch möglicherweise nicht offensichtlich, welche Richtlinieneinstellungen genau erforderlich sind, um ein vollständiges Szenario zu implementieren. Um Unternehmen bei der Priorisierung der Absicherung mobiler Clientendpunkte zu unterstützen, hat Microsoft für die Verwaltung mobiler iOS- und Android-Apps eine Taxonomie für sein Datenschutzframework für App-Schutzrichtlinien eingeführt.
Dieses Datenschutzframework ist in drei Konfigurationsebenen unterteilt, wobei jede Ebene auf der vorherigen Ebene aufbaut:
- Einfacher Datenschutz für Unternehmen (Ebene 1): Diese Ebene stellt sicher, dass Apps mit einer PIN geschützt und verschlüsselt sind, und dient zum Durchführen selektiver Löschvorgänge. Bei Android-Geräten überprüft diese Ebene den Android-Gerätenachweis. Dabei handelt es sich um eine Konfiguration auf Einstiegsebene, die ähnliche Datenschutzkontrolle in Exchange Online-Postfachrichtlinien bereitstellt und der IT sowie dem Benutzerstamm eine Einführung in App-Schutzrichtlinien bietet.
- Erweiterter Datenschutz für Unternehmen (Ebene 2): Diese Ebene führt Mechanismen für App-Schutzrichtlinien zur Verhinderung von Datenlecks sowie die mindestens zu erfüllenden Betriebssystemanforderungen ein. Dies ist die Konfiguration, die für die meisten mobilen Benutzer gilt, die auf Geschäfts-, Schul- oder Unidaten zugreifen.
- Hoher Datenschutz für Unternehmen (Ebene 3): Auf dieser Ebene werden Mechanismen zum erweiterten Datenschutz, eine verbesserte PIN-Konfiguration sowie Mobile Threat Defense für App-Schutzrichtlinien eingeführt. Diese Konfiguration ist für Benutzer vorgesehen, die auf Hochrisikodaten zugreifen.
Die spezifischen Empfehlungen für jede Konfigurationsebene sowie die minimalen zu schützenden Apps finden Sie unter Datenschutzframework mithilfe von App-Schutzrichtlinien.
Unabhängig davon, ob das Gerät in einer UEM-Lösung (Unified Endpoint Management) registriert ist, muss eine Intune-App-Schutzrichtlinie für iOS- und Android-Apps erstellt werden. Führen Sie dazu die Schritte in Erstellen und Zuweisen von App-Schutzrichtlinienaus. Diese Richtlinien müssen mindestens die folgenden Bedingungen erfüllen:
Sie umfassen alle mobilen Anwendungen von Microsoft 365, wie Edge, Outlook, OneDrive, Office oder Teams, da so sichergestellt wird, dass die Nutzer in jeder Microsoft-App sicher auf Arbeits- oder Schuldaten zugreifen und diese bearbeiten können.
Sie sind für alle Benutzer zugewiesen. Dadurch wird sichergestellt, dass alle Benutzer geschützt sind, unabhängig davon, ob sie Outlook für iOS oder Android verwenden.
Bestimmen Sie, welche Framework-Ebene Ihre Anforderungen erfüllt. Die meisten Organisationen sollten die Einstellungen implementieren, die unter Erweiterter Datenschutz für Unternehmen (Stufe 2) definiert sind, da dies die Steuerung von Datenschutz und Zugriffsanforderungen ermöglicht.
Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter Einstellungen für App-Schutzrichtlinien für Android und Einstellungen für App-Schutzrichtlinien für iOS.
Wichtig
Um Intune-App-Schutzrichtlinien für Apps auf Android-Geräten anzuwenden, die nicht in Intune registriert sind, muss der Benutzer auch das Intune-Unternehmensportal installieren.
Verwenden der App-Konfiguration
Outlook für iOS und Android unterstützt App-Einstellungen, mit denen Administratoren der einheitlichen Endpunktverwaltung das Verhalten der App anpassen können. Microsoft Intune, eine einheitliche Endpunktverwaltungslösung, wird häufig zum Konfigurieren und Zuweisen von Apps für Organisationsendbenutzer verwendet.
Die App-Konfiguration kann entweder über den MDM-Betriebssystemkanal (Mobile Device Management) auf registrierten Geräten (Managed App Configuration Channel für iOS oder Android im Enterprise-Kanal für Android) oder über den Kanal „Intune-Appschutz-Richtlinie“ (APP) bereitgestellt werden. Outlook für iOS und Android unterstützt die folgenden Konfigurationsszenarien:
- Nur Geschäfts-, Schul- oder Unikonten zulassen
- Allgemeine App-Konfigurationseinstellungen
- S/MIME-Einstellungen
- Datenschutzeinstellungen
Spezifische Verfahrensschritte und eine ausführliche Dokumentation zu den App-Konfigurationseinstellungen, die Outlook für iOS und Android unterstützt, finden Sie unter Bereitstellen von Outlook für iOS- und Android-App-Konfigurationseinstellungen.