Teilen über

Tutorial: Schützen Exchange Online E-Mail auf nicht verwalteten Geräten mit Microsoft Intune

  • Artikel

In diesem Tutorial wird veranschaulicht, wie Sie Microsoft Intune App-Schutzrichtlinien mit Microsoft Entra bedingten Zugriff verwenden, um den Zugriff auf Exchange Online zu schützen. Dieser Schutz verhindert den Zugriff auf Exchange durch Benutzer, die ein nicht verwaltetes Gerät oder eine andere App als die mobile Outlook-App verwenden, um auf Microsoft 365-E-Mails zuzugreifen. Das Ergebnis dieser Richtlinien gilt, wenn Geräte nicht in einer Geräteverwaltungslösung wie Intune registriert sind.

In diesem Lernprogramm lernen Sie:

  • Erstellen einer Intune-App-Schutzrichtlinie für die Outlook-App. Sie schränken ein, was der Benutzer mit App-Daten tun kann, indem Sie Speichern unter verhindern und Ausschneide-, Kopier- und Einfügeaktionen einschränken.
  • Erstellen Sie Microsoft Entra Richtlinien für bedingten Zugriff, die nur der Outlook-App den Zugriff auf Unternehmens-E-Mails in Exchange Online erlauben. Sie fordern auch die Multi-Faktor-Authentifizierung (MFA) für Clients mit moderner Authentifizierung wie Outlook für iOS und Android an.

Voraussetzungen

Für dieses Tutorial benötigen Sie einen Testmandanten mit den folgenden Abonnements für dieses Tutorial:

Anmelden bei Intune

Melden Sie sich für dieses Tutorial beim Microsoft Intune Admin Center als globaler Administrator- oder Intune-Dienstadministrator an. Wenn Sie ein Testabonnement für Intune erstellt haben, besitzt das Konto, mit dem Sie das Abonnement erstellt haben, die Rolle des Unternehmensadministrators.

Erstellen der Appschutz-Richtlinie

In diesem Tutorial richten wir eine Intune-App-Schutzrichtlinie für iOS für die Outlook-App ein, um Schutzmaßnahmen auf App-Ebene einzurichten. Wir fordern eine PIN zum Öffnen einer App in einem geschäftlichen Kontext an. Wir beschränken auch die gemeinsame Datennutzung von Apps und verhindern, dass Unternehmensdaten in privaten Speicherorten gespeichert werden.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Apps>App-Schutz Richtlinien>Richtlinie erstellen und dann iOS/iPadOS aus.

  3. Konfigurieren Sie auf der Seite Grundlagen die folgenden Einstellungen:

    • Name: Geben Sie Outlook-App-Richtlinientest ein.
    • Beschreibung: Geben Sie Outlook-App-Richtlinientest ein.

    Der Plattformwert wurde im vorherigen Schritt durch Auswählen von iOS/iPadOS festgelegt.

    Wählen Sie Weiter aus, um fortzufahren.

  4. Auf der Seite Apps wählen Sie die Apps aus, die von dieser Richtlinie verwaltet werden. Für dieses Tutorial fügen wir nur Microsoft Outlook hinzu:

    1. Stellen Sie sicher , dass Zielrichtlinie aufAusgewählte Apps festgelegt ist.

    2. Wählen Sie + Öffentliche Apps auswählen aus, um den Bereich Apps als Ziel auswählen zu öffnen. Wählen Sie dann in der Liste der Apps Die Option Microsoft Outlook aus, um es der Liste Ausgewählte Apps hinzuzufügen. Sie können nach einer App suchen, indem Sie die Bundle-ID oder den Namen verwenden. Wählen Sie Auswählen aus, um die App-Auswahl zu speichern.

      Suchen Sie Microsoft Outlook, und fügen Sie es als öffentliche App für diese Richtlinie hinzu.

      Der Bereich Apps als Ziel auswählen wird geschlossen, und Microsoft Outlook wird jetzt unter Öffentliche Apps auf der Seite Apps angezeigt.

      Outlook wurde der Liste Öffentliche Apps für diese Richtlinie hinzugefügt.

    Wählen Sie Weiter aus, um fortzufahren.

  5. Auf der Seite Datenschutz konfigurieren Sie die Einstellungen, die bestimmen, wie Benutzer mit Daten interagieren können, während sie die Apps verwenden, die durch diese App-Schutzrichtlinie geschützt sind. Konfigurieren Sie die folgenden Optionen:

    Konfigurieren Sie für die Kategorie Datenübertragung die folgenden Einstellungen, und übernehmen Sie für alle anderen Einstellungen die Standardwerte:

    • Senden von Organisationsdaten an andere Apps : Wählen Sie in der Dropdownliste Keine aus.
    • Empfangen von Daten von anderen Apps : Wählen Sie in der Dropdownliste Keine aus.
    • Ausschneiden, Kopieren und Einfügen zwischen anderen Apps einschränken: Wählen Sie in der Dropdownliste Blockiert aus.

    Wählen Sie die Einstellungen für die Datenverschiebung im Rahmen der Outlook-App-Schutzrichtlinie aus.

    Wählen Sie Weiter aus, um fortzufahren.

  6. Die Seite Zugriffsanforderungen enthält Einstellungen, mit denen Sie PIN- und Anmeldeinformationenanforderungen konfigurieren können, die Benutzer erfüllen müssen, bevor sie in einem Arbeitskontext auf die geschützten Apps zugreifen können. Konfigurieren Sie die folgenden Einstellungen, und behalten Sie für alle anderen Einstellungen die Standardwerten bei:

    • Wählen Sie für PIN für Zugriff die Option Anfordern aus.
    • Wählen Sie für Anmeldeinformationen für Geschäfts-, Schul- oder Unikonto für Zugriff die Option Anfordern aus.

    Wählen Sie die Zugriffsaktionen im Rahmen der Outlook-App-Schutzrichtlinie aus.

    Wählen Sie Weiter aus, um fortzufahren.

  7. Auf der Seite Bedingter Start konfigurieren Sie die Anmeldesicherheitsanforderungen für diese App-Schutzrichtlinie. Für dieses Tutorial müssen Sie diese Einstellungen nicht konfigurieren.

    Wählen Sie Weiter aus, um fortzufahren.

  8. Auf der Seite Zuweisungen weisen Sie die App-Schutzrichtlinie Gruppen von Benutzern zu. In diesem Tutorial weisen wir diese Richtlinie keiner Gruppe zu.

    Wählen Sie Weiter aus, um fortzufahren.

  9. Überprüfen Sie auf der Seite Weiter: Überprüfen und erstellen die Werte und Einstellungen, die Sie für diese Appschutz-Richtlinie eingegeben haben. Wählen Sie Erstellen aus, um die App-Schutzrichtlinie in Intune zu erstellen.

Die Appschutz-Richtlinie für Outlook wird erstellt. Als Nächstes richten Sie den bedingten Zugriff ein, um zu erzwingen, dass Geräte die Outlook-App verwenden.

Erstellen von Richtlinien für den bedingten Zugriff

Verwenden Sie als Nächstes das Microsoft Intune Admin Center, um zwei Richtlinien für bedingten Zugriff zu erstellen, die alle Geräteplattformen abdecken. Sie integrieren den bedingten Zugriff in Intune , um die Geräte und Apps zu steuern, die eine Verbindung mit E-Mails und Ressourcen Ihrer Organisation herstellen können.

  • Die erste Richtlinie erfordert, dass Clients für die moderne Authentifizierung die genehmigte Outlook-App und die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verwenden. Clients mit moderner Authentifizierung enthalten Outlook für iOS und Outlook für Android.

  • Die zweite Richtlinie erfordert, dass Exchange ActiveSync Clients die genehmigte Outlook-App verwenden. (Zurzeit unterstützt Exchange Active Sync keine anderen Bedingungen als die Geräteplattform). Sie können Richtlinien für bedingten Zugriff im Microsoft Entra Admin Center konfigurieren oder das Microsoft Intune Admin Center verwenden, in dem die Benutzeroberfläche für bedingten Zugriff aus Microsoft Entra angezeigt wird. Da wir uns bereits im Admin Center befindet, können wir die Richtlinie hier erstellen.

Wenn Sie Richtlinien für bedingten Zugriff im Microsoft Intune Admin Center konfigurieren, konfigurieren Sie diese Richtlinien tatsächlich auf den Blatten für bedingten Zugriff aus dem Azure-Portal. Daher unterscheidet sich die Benutzeroberfläche etwas von der Benutzeroberfläche, die Sie für andere Richtlinien für Intune verwenden.

Erstellen einer MFA-Richtlinie für Clients mit moderner Authentifizierung

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Endpunktsicherheit>Bedingter Zugriff>Neue Richtlinie erstellen aus.

  3. Geben Sie für NameTestrichtlinie für moderne Authentifizierungsclients ein.

  4. Wählen Sie unter Zuweisungen für Benutzerdie Option 0 Benutzer und Gruppen ausgewählt aus. Wählen Sie auf der Registerkarte Einschließen die Option Alle Benutzer aus. Der Wert für Benutzer wird auf Alle Benutzer aktualisiert.

    Beginnen Sie mit der Konfiguration der Richtlinie für bedingten Zugriff.

  5. Wählen Sie unter Zuweisungen für Zielressourcendie Option Keine Zielressourcen ausgewählt aus. Stellen Sie sicher, dass Auswählen, wofür diese Richtlinie gilt auf Cloud-Apps festgelegt ist. Da wir Microsoft 365 Exchange Online E-Mail schützen möchten, wählen Sie es aus, indem Sie die folgenden Schritte ausführen:

    1. Klicken Sie auf der Registerkarte Einschließen auf Apps auswählen.
    2. Klicken Sie für Auswählen auf Keine , um den Bereich "Cloud-Apps auswählen " zu öffnen.
    3. Aktivieren Sie in der Liste der Anwendungen das Kontrollkästchen für Office 365 Exchange Online, und wählen Sie dann Auswählen aus.
    4. Wählen Sie Fertig aus, um zum Bereich „Neue Richtlinie“ zurückzukehren.

    Wählen Sie die Office 365 Exchange Online-App aus.

  6. Wählen Sie unter Zuweisungen für Bedingungendie Option 0 Bedingungen ausgewählt aus, und wählen Sie dann für Geräteplattformendie Option Nicht konfiguriert aus, um den Bereich Geräteplattformen zu öffnen:

    1. Legen Sie die Umschaltfläche Konfigurieren auf Ja fest.
    2. Wählen Sie auf der Registerkarte Einschließen die Option Geräteplattformen auswählen aus, und aktivieren Sie dann die Kontrollkästchen für Android und für iOS.
    3. Wählen Sie Fertig aus, um die Konfiguration der Geräteplattformen zu speichern.

  7. Bleiben Sie im Bereich Bedingungen, und wählen Sie Für Client-Appsnicht konfiguriert aus, um den Bereich Client-Apps zu öffnen:

    1. Legen Sie die Umschaltfläche Konfigurieren auf Ja fest.
    2. Aktivieren Sie die Kontrollkästchen für Mobile Apps und Desktopclients.
    3. Deaktivieren Sie alle anderen Kontrollkästchen.
    4. Wählen Sie Fertig aus, um zum Bereich „Neue Richtlinie“ zurückzukehren.

    Wählen Sie mobile Apps und Clients aus.

  8. Wählen Sie unter Zugriffssteuerungen für Gewährendie Option 0 Bedingungen ausgewählt aus, und wählen Sie dann Folgendes aus:

    1. Klicken Sie im Bereich Gewähren auf Zugriff gewähren.
    2. Wählen Sie Mehrstufige Authentifizierung erforderlich aus.
    3. Klicken Sie auf Genehmigte Client-App erforderlich.
    4. Legen Sie Für mehrere Steuerelemente die Option Alle ausgewählten Steuerelemente erforderlich fest. Durch diese Einstellung wird sichergestellt, dass beide Anforderungen, die Sie ausgewählt haben, erzwungen werden, wenn ein Gerät versucht, auf E-Mails zuzugreifen.
    5. Wählen Sie Auswählen aus, um die Konfiguration der Gewährung zu speichern.

    Wählen Sie Zugriffskontrollen aus.

  9. Wählen Sie unter Richtlinie aktivieren die Option Ein und dann Erstellen aus.

    Richtlinie erstellen.

Die Richtlinie für bedingten Zugriff für Clients mit moderner Authentifizierung wird erstellt. Jetzt können Sie eine Richtlinie für Exchange Active Sync-Clients erstellen.

Erstellen einer Richtlinie für Exchange Active Sync-Clients

Der Prozess zum Konfigurieren dieser Richtlinie ähnelt der vorherigen Richtlinie für bedingten Zugriff:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Endpunktsicherheit>Bedingter Zugriff>Neue Richtlinie erstellen aus.

  3. Geben Sie für NameTestrichtlinie für EAS-Clients ein.

  4. Wählen Sie unter Zuweisungen für Benutzerdie Option 0 Benutzer und Gruppen aus. Wählen Sie auf der Registerkarte Einschließen die Option Alle Benutzer aus.

  5. Wählen Sie unter Zuweisungen für Zielressourcendie Option Keine Zielressourcen ausgewählt aus. Stellen Sie sicher, dass Auswählen, wofür diese Richtlinie gilt auf Cloud-Apps festgelegt ist, und konfigurieren Sie dann Microsoft 365 Exchange Online E-Mail mit den folgenden Schritten:

    1. Klicken Sie auf der Registerkarte Einschließen auf Apps auswählen.
    2. Wählen Sie unter Auswählen die Option Keine aus.
    3. Aktivieren Sie in der Liste Cloud-Apps das Kontrollkästchen für Office 365 Exchange Online, und wählen Sie dann Auswählen aus.

  6. Öffnen Sie unter Zuweisungendie Option Bedingungen>Geräteplattformen, und führen Sie dann Folgendes aus:

    1. Legen Sie die Umschaltfläche Konfigurieren auf Ja fest.
    2. Wählen Sie auf der Registerkarte Einschließen die Option Jedes Gerät und dann Fertig aus.

  7. Bleiben Sie im Bereich Bedingungen , erweitern Sie Client-Apps, und führen Sie dann Folgendes aus:

    1. Legen Sie die Umschaltfläche Konfigurieren auf Ja fest.
    2. Wählen Sie Mobile Apps und Desktopclients aus.
    3. Wählen Sie Exchange ActiveSync-Clients aus.
    4. Deaktivieren Sie alle anderen Kontrollkästchen.
    5. Wählen Sie Fertig aus.

    Wenden Sie sie auf unterstützte Plattformen an.

  8. Erweitern Sie unter Zugriffssteuerungenden Eintrag Gewähren , und führen Sie dann folgendes aus:

    1. Klicken Sie im Bereich Gewähren auf Zugriff gewähren.
    2. Klicken Sie auf Genehmigte Client-App erforderlich. Deaktivieren Sie alle anderen Kontrollkästchen, aber lassen Sie die Konfiguration Für mehrere Steuerelemente auf Alle ausgewählten Steuerelemente erforderlich festlegen.
    3. Klicken Sie auf Auswählen.

    Legen Sie fest, dass eine genehmigte Client-App erforderlich ist.

  9. Wählen Sie unter Richtlinie aktivieren die Option Ein und dann Erstellen aus.

Die Appschutz-Richtlinien und der bedingte Zugriff sind jetzt eingerichtet und können getestet werden.

Probieren Sie es aus

Mit den Richtlinien, die Sie in diesem Tutorial erstellt haben, müssen Sich Geräte bei Intune registrieren und die mobile Outlook-App verwenden, bevor das Gerät für den Zugriff auf Microsoft 365-E-Mails verwendet werden kann. Um dieses Szenario auf iOS-Geräten zu testen, melden Sie sich bei Exchange Online mit den Anmeldeinformationen für einen Benutzer auf Ihrem Testmandanten an.

  1. Um dies auf einem iPhone zu testen, navigieren Sie zu Einstellungen>Kennwörter & Konten>Konto hinzufügen>Exchange.

  2. Geben Sie die E-Mail-Adresse für einen Benutzer auf Ihrem Testmandanten ein, und klicken Sie dann auf Weiter.

  3. Klicken Sie auf Anmelden.

  4. Geben Sie das Kennwort des Testbenutzers ein, und klicken Sie auf Anmelden.

  5. Die Meldung Es sind weitere Informationen erforderlich wird angezeigt, mit der Sie aufgefordert werden, die mehrstufige Authentifizierung einzurichten. Richten Sie eine zusätzliche Überprüfungsmethode ein.

  6. Danach werden Sie in einer Meldung darüber informiert, dass Sie versuchen, diese Ressource mit einer App zu öffnen, die von Ihrer IT-Abteilung nicht genehmigt ist. Die Meldung bedeutet, dass die Nutzung der nativen Mail-App für Sie gesperrt ist. Brechen Sie die Anmeldung ab.

  7. Öffnen Sie die Outlook-App, und klicken Sie auf Einstellungen>Konto hinzufügen>E-Mail-Konto hinzufügen.

  8. Geben Sie die E-Mail-Adresse für einen Benutzer auf Ihrem Testmandanten ein, und klicken Sie dann auf Weiter.

  9. Klicken Sie auf Mit Office 365 anmelden. Sie werden aufgefordert, weitere Authentifizierungs- und Registrierungsinformationen anzugeben. Nachdem Sie sich angemeldet haben, können Sie Aktionen wie Ausschneiden, Kopieren, Einfügen und Speichern unter testen.

Ressourcen bereinigen

Wenn die Testrichtlinien nicht mehr benötigt werden, können Sie diese entfernen.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen SieGerätekonformität> aus.

  3. Wählen Sie in der Liste Richtlinienname das Kontextmenü (...) für Ihre Testrichtlinie und dann Löschen aus. Wählen Sie zum Bestätigen OK aus.

  4. Wechseln Sie zu Richtlinienfür bedingten Zugriff auf>Endpunktsicherheit>.

  5. Öffnen Sie in der Liste Richtlinienname das Kontextmenü (...) für jede Ihrer Testrichtlinien, und klicken Sie dann auf Löschen. Wählen Sie zum Bestätigen Ja aus.

Nächste Schritte

In diesem Tutorial haben Sie Appschutz-Richtlinien erstellt, um die Aktionen einzuschränken, die ein Benutzer in der Outlook-App ausführen kann. Sie haben zudem Richtlinien für bedingten Zugriff erstellt, um die Outlook-App sowie die Multi-Faktor-Authentifizierung für Clients mit moderner Authentifizierung zu erzwingen. Weitere Informationen zur Verwendung von Intune mit bedingtem Zugriff zum Schutz von anderen Apps und Diensten finden Sie unter Erfahren Sie mehr über bedingten Zugriff und Intune.