Erstellen von Gerätesicherheitsrichtlinien in Basismobilität und Sicherheit
Sie können Basismobilität und Sicherheit verwenden, um Geräterichtlinien zu erstellen, die Dazu beitragen, Ihre organization Informationen auf Microsoft 365 vor nicht autorisiertem Zugriff zu schützen. Sie können Richtlinien auf jedes mobile Gerät in Ihrem organization anwenden, bei dem der Benutzer des Geräts über eine entsprechende Microsoft 365-Lizenz verfügt und das Gerät in Basismobilität und Sicherheit registriert hat.
Bevor Sie beginnen:
Wichtig
Bevor Sie eine Richtlinie für mobile Geräte erstellen können, müssen Sie Basismobilität und Sicherheit aktivieren und einrichten. Weitere Informationen finden Sie unter Übersicht über Basismobilität und Sicherheit für Microsoft 365.
- Erfahren Sie mehr über die Geräte, Apps für mobile Geräte und Sicherheitseinstellungen, die Basismobilität und Sicherheit unterstützt. Weitere Informationen finden Sie unter Funktionen von Basismobilität und Sicherheit.
- Erstellen Sie Sicherheitsgruppen, die Microsoft 365-Benutzer enthalten, für die Sie Richtlinien bereitstellen möchten, und für Benutzer, die Sie möglicherweise von der Sperrung des Zugriffs auf Microsoft 365 ausschließen möchten. Vor der Bereitstellung einer neuen Richtlinie für Ihre Organisation sollten Sie die Richtlinie testen, indem Sie diese für eine geringe Benutzeranzahl bereitstellen. Sie können eine Sicherheitsgruppe erstellen und verwenden, die nur sich selbst oder eine kleine Anzahl von Microsoft 365-Benutzern enthält, die die Richtlinie für Sie testen können. Weitere Informationen zu Sicherheitsgruppen finden Sie unter Erstellen, Bearbeiten oder Löschen einer Sicherheitsgruppe.
- Zum Erstellen und Bereitstellen Basismobilität und Sicherheit Richtlinien in Microsoft 365 müssen Sie ein globaler Microsoft 365-Administrator sein. Weitere Informationen finden Sie unter Rollen und Rollengruppen in Microsoft Defender und Microsoft Purview-Compliance.
- Bevor Sie Richtlinien bereitstellen, informieren Sie Ihren organization über die potenziellen Auswirkungen der Registrierung eines Geräts bei Basismobilität und Sicherheit. Je nachdem, wie Sie die Richtlinien einrichten, kann der Zugriff auf nicht kompatible Geräte auf Microsoft 365 blockiert werden, und Daten, einschließlich installierter Anwendungen, Fotos und persönlicher Informationen auf einem registrierten Gerät, und Daten können gelöscht werden.
Hinweis
Richtlinien und Zugriffsregeln, die in Basismobilität und Sicherheit für Microsoft 365 Business Standard erstellt wurden, überschreiben Exchange ActiveSync Postfachrichtlinien für mobile Geräte und Gerätezugriffsregeln, die im Exchange Admin Center erstellt wurden. Nachdem ein Gerät bei Basismobilität und Sicherheit für Microsoft 365 Business Standard registriert wurde, werden alle auf das Gerät angewendeten Exchange ActiveSync Postfachrichtlinien oder Gerätezugriffsregel ignoriert. Weitere Informationen zu Exchange ActiveSync finden Sie unter Exchange ActiveSync in Exchange Online.
Schritt 1: Erstellen einer Geräterichtlinie und Bereitstellen in einer Testgruppe
Bevor Sie beginnen können, stellen Sie sicher, dass Sie Basismobilität und Sicherheit aktiviert und eingerichtet haben. Anweisungen finden Sie unter Übersicht über Basismobilität und Sicherheit.
Wechseln Sie in Ihrem Browser zu https://compliance.microsoft.com/basicmobilityandsecurity.
Wählen Sie auf der Registerkarte Richtlinien die Option Erstellen aus.
Fügen Sie auf der Seite Richtlinienname einen Namen und eine Beschreibung hinzu, und wählen Sie Weiter aus.
Geben Sie auf der Seite Zugriffsanforderungen die Anforderungen an, die auf mobile Geräte in Ihrem organization angewendet werden sollen, und wählen Sie Weiter aus.
Wählen Sie auf der Seite Konfigurationen konfigurationsanforderungen für Ihre organization und dann Weiter aus.
Wählen Sie auf der Seite Bereitstellung eine Sicherheitsgruppe aus, auf die diese Richtlinie angewendet werden soll.
Überprüfen Sie auf der Seite Überprüfen Ihre Auswahl, und wählen Sie Senden aus.
Die Richtlinie wird auf das Gerät jedes Benutzers gepusht, auf das die Richtlinie angewendet wird, wenn er sich das nächste Mal über sein mobiles Gerät bei Microsoft 365 anmeldet. Wenn Benutzer zuvor noch keine Richtlinie auf ihr mobiles Gerät angewendet haben, erhalten sie nach der Bereitstellung der Richtlinie eine Benachrichtigung auf ihrem Gerät, die die Schritte zum Registrieren und Aktivieren von Basismobilität und Sicherheit enthält. Weitere Informationen finden Sie unter Registrieren Ihres mobilen Geräts mit Basismobilität und Sicherheit. Bis die Registrierung in Basismobilität und Sicherheit abgeschlossen ist, die vom Intune-Dienst gehostet wird, ist der Zugriff auf E-Mail, OneDrive und andere Dienste eingeschränkt. Nachdem sie die Registrierung mithilfe der Intune-Unternehmensportal-App abgeschlossen haben, können sie die Dienste verwenden, und die Richtlinie wird auf ihr Gerät angewendet.
Schritt 2: Überprüfen, ob Ihre Richtlinie funktioniert
Nachdem Sie eine Geräterichtlinie erstellt haben, überprüfen Sie, ob die Richtlinie wie erwartet funktioniert, bevor Sie sie in Ihrem organization bereitstellen.
- Wechseln Sie in Ihrem Browser zu https://compliance.microsoft.com/basicmobilityandsecurity.
- Wählen Sie Liste der verwalteten Geräte anzeigen aus.
- Überprüfen Sie den Status von Benutzergeräten, für die die Richtlinie angewendet wurde. Sie möchten, dass der Zustand der Geräte verwaltet wird.
- Sie können auch eine vollständige oder selektive Zurücksetzung auf einem Gerät durchführen, indem Sie nach der Auswahl eines Geräts auf die Schaltfläche Zurücksetzen auf Werkseinstellungen oder Unternehmensdaten aus Verwalten entfernen klicken. Anweisungen finden Sie unter Zurücksetzen eines mobilen Geräts in Basismobilität und Sicherheit.
Schritt 3: Bereitstellen einer Richtlinie in Ihrem organization
Nachdem Sie eine Geräterichtlinie erstellt und überprüft haben, ob sie wie erwartet funktioniert, stellen Sie sie in Ihrem organization bereit.
- Geben Sie in Ihrem Browser Folgendes ein: https://compliance.microsoft.com/basicmobilityandsecurity.
- Wählen Sie die Richtlinie aus, die Sie bereitstellen möchten, und klicken Sie neben Angewendete Gruppen aufBearbeiten.
- Search, dass eine Gruppe hinzugefügt werden soll, und klicken Sie auf Auswählen.
- Wählen Sie Schließen und Einstellung ändern aus.
- Wählen Sie Richtlinie schließen und bearbeiten aus.
Die Richtlinie wird auf das mobile Gerät jedes Benutzers gepusht, auf das die Richtlinie angewendet wird, wenn er sich das nächste Mal über sein mobiles Gerät bei Microsoft 365 anmeldet. Wenn benutzer keine Richtlinie auf ihr mobiles Gerät angewendet haben, erhalten sie eine Benachrichtigung auf ihrem Gerät mit Schritten zum Registrieren und Aktivieren des Geräts für Basismobilität und Sicherheit. Nachdem sie die Registrierung abgeschlossen haben, wird die Richtlinie auf ihr Gerät angewendet. Weitere Informationen finden Sie unter Registrieren Ihres mobilen Geräts mit Basismobilität und Sicherheit.
Schritt 4: Blockieren des E-Mail-Zugriffs für nicht unterstützte Geräte
Um Ihre organization Informationen zu schützen, sollten Sie den App-Zugriff auf Microsoft 365-E-Mails für mobile Geräte blockieren, die von Basismobilität und Sicherheit nicht unterstützt werden. Eine Liste der unterstützten Geräte finden Sie unter Unterstützte Geräte.
So blockieren Sie den App-Zugriff:
Geben Sie in Ihrem Browser ein https://compliance.microsoft.com/basicmobilityandsecurity.
Wählen Sie organization einstellungen für den geräteweiten Zugriff verwalten aus.
Um nicht unterstützte Geräte zu blockieren, wählen Sie zugriff unter Wenn ein Gerät von Basismobilität und Sicherheit für Microsoft 365 nicht unterstützt wird aus, und wählen Sie dann Speichern aus.
Schritt 5: Auswählen von aus Überprüfungen für den bedingten Zugriff auszuschließenden Sicherheitsgruppen
Wenn Sie einige Personen aus den Überprüfungen für den bedingten Zugriff auf ihren Mobilgeräten ausschließen möchten und Sie mindestens eine Sicherheitsgruppe für diese Personen erstellt haben, fügen Sie die Sicherheitsgruppen hier hinzu. Für die Personen in diesen Gruppen werden keine Richtlinien für ihre unterstützten mobilen Geräte erzwungen. Dies ist die empfohlene Option, wenn Sie Basismobilität und Sicherheit nicht mehr in Ihrem organization verwenden möchten.
Geben Sie in Ihrem Browser ein https://compliance.microsoft.com/basicmobilityandsecurity.
Wählen Sie organization einstellungen für den geräteweiten Zugriff verwalten aus.
Wählen Sie Hinzufügen aus, um die Sicherheitsgruppe hinzuzufügen, die Benutzer enthält, die Sie von der Sperrung des Zugriffs auf Microsoft 365 ausschließen möchten. Wenn ein Benutzer dieser Liste hinzugefügt wurde, kann er auf Microsoft 365-E-Mails zugreifen, wenn er ein nicht unterstütztes Gerät verwendet.
Wählen Sie im Bereich Gruppe auswählen die Sicherheitsgruppe aus, die Sie verwenden möchten.
Wählen Sie den Namen und dannSpeichernhinzufügen> aus.
Wählen Sie im Bereich Organisationsweite Gerätezugriffseinstellungendie Option Speichern aus.
Wie wirken sich Sicherheitsrichtlinien auf verschiedene Gerätetypen aus?
Wenn Sie eine Richtlinie auf Benutzergeräte anwenden, sind die Auswirkungen auf jedes Gerät je nach Gerätetyp unterschiedlich. In der folgenden Tabelle finden Sie Beispiele für die Auswirkung von Richtlinien auf verschiedene Geräte.
| Sicherheitsrichtlinie | Android | Samsung KNOX | iOS | Notizen |
|---|---|---|---|---|
| Verschlüsselte Sicherung anfordern | Nein | Ja | Ja | iOS-verschlüsselte Sicherung erforderlich. |
| Cloudsicherung blockieren | Ja | Ja | Ja | Google-Sicherung unter Android blockieren (abgeblendet), Cloudsicherung unter überwachtem iOS. |
| Dokumentsynchronisierung blockieren | Nein | Nein | Ja | iOS: Blockieren Sie Dokumente in der Cloud auf überwachten iOS-Geräten. |
| Fotosynchronisierung blockieren | Nein | Nein | Ja | iOS (systemeigen): Fotodatenstrom blockieren. |
| Screenshots blockieren | Nein | Ja | Ja | Bei Versuch blockiert. |
| Videokonferenz blockieren | Nein | Nein | Ja | FaceTime auf überwachten iOS-Geräten blockiert, nicht auf Skype oder anderen Geräten. |
| Senden von Diagnosedaten blockieren | Nein | Ja | Ja | Senden von Google-Absturzbericht unter Android blockieren |
| Zugriff auf den App-Store blockieren | Nein | Ja | Ja | App Store-Symbol fehlt auf der Android-Startseite, deaktiviert unter Windows und überwachten iOS-Geräten. |
| Kennwort für den App-Store anfordern | Nein | Nein | Ja | iOS: Kennwort für iTunes-Käufe erforderlich. |
| Verbindung mit Wechselmedien blockieren | Nein | Ja | Nicht zutreffend | Android: SD-Karte ist in den Einstellungen abgeblendet, Windows benachrichtigt Benutzer, installierte Apps sind nicht verfügbar. |
| Bluetoothverbindung blockieren | Hinweise anzeigen | Hinweise anzeigen | Ja | BlueTooth kann unter Android nicht als Einstellung deaktiviert werden. Stattdessen deaktivieren wir alle Transaktionen, die BlueTooth erfordern: Erweiterte Audioverteilung, Audio-/Video-Fernbedienung, Freisprechgeräte, Headset, Telefonbuchzugriff und serieller Port. Eine kleine Popupnachricht wird am unteren Rand der Seite angezeigt, wenn diese Transaktionen verwendet werden. |
Was geschieht beim Löschen einer Richtlinie oder beim Entfernen eines Benutzers aus der Richtlinie?
Wenn Sie eine Richtlinie löschen oder einen Benutzer aus einer Gruppe entfernen, in der die Richtlinie bereitgestellt wurde, werden möglicherweise die Richtlinieneinstellungen, das Microsoft 365-E-Mail-Profil und zwischengespeicherte E-Mails vom Gerät des Benutzers entfernt. In der folgenden Tabelle finden Sie, was für die verschiedenen Gerätetypen entfernt wird.
| Was entfernt wird | iOS | Android (einschließlich Samsung KNOX) |
|---|---|---|
| Verwaltete E-Mail-Profile1 | Ja | Nein |
| Cloudsicherung blockieren | Ja | Nein |
1 Wenn die Richtlinie mit der Option Email Profil verwaltet bereitgestellt wurde, werden das verwaltete E-Mail-Profil und die zwischengespeicherten E-Mails in diesem Profil vom Benutzergerät gelöscht.
Die Richtlinie wird für jeden Benutzer aus dem mobilen Gerät entfernt, für den die Richtlinie gilt, wenn ihr Gerät das nächste Mal mit Basismobilität und Sicherheit eincheckt. Wenn Sie eine neue Richtlinie bereitstellen, die für diese Benutzergeräte gilt, werden diese aufgefordert, sich erneut bei Basismobilität und Sicherheit zu registrieren.
Sie können ein Gerät auch vollständig oder selektiv organisationsbezogene Informationen vom Gerät zurücksetzen. Weitere Informationen finden Sie unter Zurücksetzen eines mobilen Geräts in Basismobilität und Sicherheit.
Verwandte Inhalte
Übersicht über Basismobilität und Sicherheit (Artikel)
Funktionen von Basismobilität und Sicherheit (Artikel)
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für