Verwalten von Zusammenarbeitserfahrungen in Microsoft 365 (Office) für iOS und Android mit MicrosoftIntune
Microsoft 365 (Office) für iOS und Android bietet mehrere wichtige Vorteile, darunter:
- Die Kombination von Word, Excel und PowerPoint auf eine Weise, die die Erfahrung vereinfacht, mit weniger Apps, die heruntergeladen werden müssen, oder zwischen denen gewechselt werden müssen. Es erfordert weit weniger Telefonspeicher als die Installation einzelner Apps, während praktisch alle Funktionen der vorhandenen mobilen Apps beibehalten werden, die Personen bereits kennen und verwenden.
- Integration der Microsoft Lens-Technologie, um die Leistungsfähigkeit der Kamera mit Funktionen wie dem Konvertieren von Bildern in bearbeitbare Word- und Excel-Dokumente, dem Scannen von PDF-Dateien und dem Erfassen von Whiteboards mit automatischen digitalen Verbesserungen zu nutzen, um die Lesbarkeit der Inhalte zu erleichtern.
- Hinzufügen neuer Funktionen für häufige Aufgaben, denen Benutzer bei der Arbeit auf einem Telefon häufig begegnen – z. B. das schnelle Erstellen von Notizen, das Signieren von PDFs, Scannen von QR-Codes und Übertragen von Dateien zwischen Geräten.
Die umfassendsten Schutzfunktionen für Microsoft 365-Daten sind verfügbar, wenn Sie ein Abonnement für die Enterprise Mobility + Security-Suite abschließen, das Microsoft Intune und Microsoft Entra ID P1- oder P2-Features, z. B. bedingten Zugriff, umfasst. Sie sollten mindestens eine Richtlinie für bedingten Zugriff, die nur Konnektivität mit Microsoft 365 (Office) für iOS und Android von mobilen Geräten aus zulässt, sowie eine Richtlinie für Intune-Schutz für Apps bereitstellen, durch die der Schutz der Zusammenarbeitserfahrung sichergestellt wird.
Bedingten Zugriff anwenden
Organisationen können Richtlinien für bedingten Zugriff von Microsoft Entra verwenden, um sicherzustellen, dass Benutzer nur mit Microsoft 365 (Office) für iOS und Android auf Geschäfts-, Schul- oder Uni-Inhalte zugreifen können. Dazu benötigen Sie eine Richtlinie für bedingten Zugriff, die für alle potenziellen Benutzer gilt. Diese Richtlinien werden unter Bedingter Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich beschrieben.
Führen Sie die Schritte unter Anfordern genehmigter Client-Apps oder App-Schutzrichtlinie für mobile Geräte aus. Dies ermöglicht Microsoft 365 (Office) für iOS und Android, verhindert jedoch, dass OAuth-fähige Drittanbieter-Clients mobiler Geräte eine Verbindung mit Microsoft 365-Endpunkten herstellen.
Hinweis
Diese Richtlinie stellt sicher, dass mobile Benutzer mithilfe von entsprechenden Apps auf alle Microsoft 365-Endpunkte zugreifen können.
Hinweis
Um die App-basierten Richtlinien für bedingten Zugriff zu verwenden, muss die Microsoft Authenticator-App auf iOS-Geräten installiert werden. Für Android-Geräte ist die App für das Intune-Unternehmensportal erforderlich. Weitere Informationen finden Sie unter App-basierter bedingter Zugriff mit Intune.
Intune-App-Schutzrichtlinien erstellen
App-Schutzrichtlinien (App Protection Policies, APP) definieren, welche Apps zulässig sind und die Aktionen, die diese Apps mit den Unternehmensdaten ausführen kann. Die in APP verfügbaren Optionen ermöglichen Organisationen, den Schutz an ihre speziellen Anforderungen anzupassen. Für einige Organisationen ist es jedoch möglicherweise nicht offensichtlich, welche Richtlinieneinstellungen genau erforderlich sind, um ein vollständiges Szenario zu implementieren. Um Unternehmen bei der Priorisierung der Absicherung mobiler Clientendpunkte zu unterstützen, hat Microsoft für die Verwaltung mobiler iOS- und Android-Apps eine Taxonomie für sein Datenschutzframework für App-Schutzrichtlinien eingeführt.
Dieses Datenschutzframework ist in drei Konfigurationsebenen unterteilt, wobei jede Ebene auf der vorherigen Ebene aufbaut:
- Einfacher Datenschutz für Unternehmen (Ebene 1): Diese Ebene stellt sicher, dass Apps mit einer PIN geschützt und verschlüsselt sind, und dient zum Durchführen selektiver Löschvorgänge. Bei Android-Geräten überprüft diese Ebene den Android-Gerätenachweis. Dabei handelt es sich um eine Konfiguration auf Einstiegsebene, die ähnliche Datenschutzkontrolle in Exchange Online-Postfachrichtlinien bereitstellt und der IT sowie dem Benutzerstamm eine Einführung in App-Schutzrichtlinien bietet.
- Erweiterter Datenschutz für Unternehmen (Ebene 2): Diese Ebene führt Mechanismen für App-Schutzrichtlinien zur Verhinderung von Datenlecks sowie die mindestens zu erfüllenden Betriebssystemanforderungen ein. Dies ist die Konfiguration, die für die meisten mobilen Benutzer gilt, die auf Geschäfts-, Schul- oder Unidaten zugreifen.
- Hoher Datenschutz für Unternehmen (Ebene 3): Auf dieser Ebene werden Mechanismen zum erweiterten Datenschutz, eine verbesserte PIN-Konfiguration sowie Mobile Threat Defense für App-Schutzrichtlinien eingeführt. Diese Konfiguration ist für Benutzer vorgesehen, die auf Hochrisikodaten zugreifen.
Die spezifischen Empfehlungen für jede Konfigurationsebene sowie die minimalen zu schützenden Apps finden Sie unter Datenschutzframework mithilfe von App-Schutzrichtlinien.
Unabhängig davon, ob das Gerät in einer UEM-Lösung (Unified Endpoint Management) registriert ist, muss eine Intune-App-Schutzrichtlinie für iOS- und Android-Apps erstellt werden. Führen Sie dazu die Schritte in Erstellen und Zuweisen von App-Schutzrichtlinienaus. Diese Richtlinien müssen mindestens die folgenden Bedingungen erfüllen:
Sie umfassen alle mobilen Anwendungen von Microsoft 365, wie Edge, Outlook, OneDrive, Microsoft 365 (Office) oder Teams, da so sichergestellt wird, dass die Nutzer in jeder Microsoft-App sicher auf Arbeits- oder Schuldaten zugreifen und diese bearbeiten können.
Sie sind für alle Benutzer zugewiesen. Dadurch wird sichergestellt, dass alle Benutzer geschützt sind, unabhängig davon, ob sie Microsoft 365 (Office) für iOS und Android verwenden.
Bestimmen Sie, welche Framework-Ebene Ihre Anforderungen erfüllt. Die meisten Organisationen sollten die Einstellungen implementieren, die unter Erweiterter Datenschutz für Unternehmen (Stufe 2) definiert sind, da dies die Steuerung von Datenschutz und Zugriffsanforderungen ermöglicht.
Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter Einstellungen für App-Schutzrichtlinien für Android und Einstellungen für App-Schutzrichtlinien für iOS.
Wichtig
Um Intune-App-Schutzrichtlinien für Apps auf Android-Geräten anzuwenden, die nicht in Intune registriert sind, muss der Benutzer auch das Intune-Unternehmensportal installieren. Fügen Sie für Android-App-Schutzrichtlinien die Apps Office Hub, Office Hub [HL] und Office Hub [ROW] hinzu. Weitere Informationen finden Sie unter Supporttipp: Aktivieren Intune App-Schutzrichtlinien mit Office Mobile.
Verwenden der App-Konfiguration
Microsoft 365 (Office) für iOS und Android unterstützt App-Einstellungen, die es Administratoren mit einheitlicher Endpunktverwaltung wie Microsoft Intune ermöglichen, das Verhalten der App anzupassen.
Die App-Konfiguration kann entweder über den MDM-Betriebssystemkanal (Mobile Device Management) auf registrierten Geräten (Managed App Configuration Channel für iOS oder Android im Enterprise-Kanal für Android) oder über den Kanal „Intune-Appschutz-Richtlinie“ (APP) bereitgestellt werden. Microsoft 365 (Office) für iOS und Android unterstützt die folgenden Konfigurationsszenarien:
- Nur Geschäfts-, Schul- oder Unikonten zulassen
- Allgemeine App-Konfiguration
- Datenschutzeinstellungen
Wichtig
Für Konfigurationsszenarien, die eine Geräteregistrierung unter Android erfordern, müssen die Geräte in Android Enterprise registriert werden, und Microsoft 365 (Office) für Android muss über den verwalteten Google Play Store bereitgestellt werden. Weitere Informationen finden Sie unter Einrichten der Registrierung von persönlichen Android Enterprise-Arbeitsprofilgeräten und Hinzufügen von App-Konfigurationsrichtlinien für verwaltete Android Enterprise-Geräte. Fügen Sie für Android-App-Konfigurationen die Apps Office Hub, Office Hub [HL] und Office Hub [ROW] hinzu. Weitere Informationen finden Sie unter Supporttipp: Aktivieren Intune App-Schutzrichtlinien mit Office Mobile.
Jedes Konfigurationsszenario hebt seine spezifischen Anforderungen hervor. Gibt beispielsweise an, ob das Konfigurationsszenario eine Geräteregistrierung erfordert und somit mit jedem UEM-Anbieter funktioniert, oder ob Intune-App-Schutzrichtlinien erforderlich sind.
Wichtig
Bei App-Konfigurationsschlüsseln wird die Groß-/Kleinschreibung beachtet. Verwenden Sie die richtige Groß-/Kleinschreibung, um sicherzustellen, dass die Konfiguration wirksam wird.
Hinweis
Mit Microsoft Intune wird die App-Konfiguration, die über den MDM-Betriebssystemkanal bereitgestellt wird, als verwaltete Geräte App Configuration Policy (ACP) bezeichnet. App-Konfiguration, die über die Appschutz-Richtlinie bereitgestellt wird, wird als verwaltete Apps-App Configuration-Richtlinie bezeichnet.
Nur Geschäfts-, Schul- oder Unikonten zulassen
Die Einhaltung der Datensicherheits- und Compliance-Richtlinien unserer größten und streng regulierten Kunden ist eine wichtige Säule des Microsoft 365-Werts. Einige Unternehmen müssen alle Kommunikationsinformationen in ihrer Unternehmensumgebung erfassen und sicherstellen, dass die Geräte nur für die Unternehmenskommunikation verwendet werden. Zur Unterstützung dieser Anforderungen kann Microsoft 365 (Office) für Android auf registrierten Geräten so konfiguriert werden, dass nur ein einzelnes Unternehmenskonto innerhalb der App bereitgestellt werden kann.
Weitere Informationen zum Konfigurieren der Einstellung für den Organisationsmodus für zulässige Konten finden Sie hier:
Dieses Konfigurationsszenario funktioniert nur mit registrierten Geräten. Es wird jedoch jeder UEM-Anbieter unterstützt. Wenn Sie Microsoft Intune nicht verwenden, müssen Sie sich mit Ihrer UEM-Dokumentation über die Bereitstellung dieser Konfigurationsschlüssel informieren.
Allgemeine App-Konfigurationsszenarien
Microsoft 365 (Office) für iOS/iPadOS und Android bietet Administratoren die Möglichkeit, die Standardkonfiguration für mehrere In-App-Einstellungen mithilfe von iOS/iPadOS- oder Android-App-Konfigurationsrichtlinien anzupassen. Diese Funktion wird sowohl für registrierte Geräte über einen UEM-Anbieter als auch für Geräte angeboten, die nicht registriert sind, wenn für Microsoft 365 (Office) für iOS und Android eine Intune-App-Schutzrichtlinie angewendet wurde.
Hinweis
Wenn eine App-Schutzrichtlinie für die Benutzer gilt, wird empfohlen, die allgemeinen App-Konfigurationseinstellungen in einem Registrierungsmodell für verwaltete Apps bereitzustellen. Dadurch wird sichergestellt, dass die App-Konfigurationsrichtlinie sowohl auf registrierten als auch auf nicht registrierten Geräten bereitgestellt wird.
Microsoft 365 (Office) unterstützt die folgenden Einstellungen für die Konfiguration:
- Verwalten der Erstellung von Kurznotizen
- Festlegen der Add-In-Einstellung
- Verwalten von Teams-Apps, die unter Microsoft 365 (Office) für iOS und Android ausgeführt werden
- Aktivieren oder Deaktivieren des Microsoft 365-Feeds für iOS und Android
Verwalten der Erstellung von Kurznotizen
Standardmäßig ermöglicht Microsoft 365 (Office) für iOS und Android Benutzern das Erstellen von Kurznotizen. Für Benutzer mit Exchange Online-Postfächern werden die Notizen mit dem Postfach des Benutzers synchronisiert. Für Benutzer mit lokalen Postfächern werden diese Notizen nur auf dem lokalen Gerät gespeichert.
| Schlüssel | Wert |
|---|---|
| com.microsoft.office.NotesCreationEnabled |
true (Standard) aktiviert die Erstellung von Kurznotizen für das Geschäfts-, Schul- oder Unikonto. false deaktiviert die Erstellung von Kurznotizen für das Geschäfts-, Schul- oder Unikonto. |
Festlegen der Add-In-Einstellung
Bei iOS-/iPadOS-Geräten, auf denen Office ausgeführt wird, können Sie (als Administrator) festlegen, ob Microsoft 365-Add-Ins (Office) aktiviert sind. Diese App-Einstellungen können mithilfe einer App-Konfigurationsrichtlinie in Intune bereitgestellt werden.
| Schlüssel | Wert |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableAllCatalogs |
true (Standard) deaktiviert die gesamte Add-In-Plattform false aktiviert die Add-In-Plattform |
Wenn Sie den Microsoft 365 (Office) Store-Teil der Plattform für iOS-Geräte aktivieren oder deaktivieren müssen, können Sie den folgenden Schlüssel verwenden.
| Schlüssel | Wert |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableOMEXCatalog |
true (Standard) deaktiviert nur den Microsoft 365 (Office) Store-Teil der Plattform. false aktiviert den Microsoft 365 (Office) Store-Teil der Plattform. ANMERKUNG: Das Querladen funktioniert weiterhin. |
Weitere Informationen zum Hinzufügen von Konfigurationsschlüsseln finden Sie unter App-Konfigurationsrichtlinien für verwaltete iOS/iPadOS-Geräte hinzufügen.
Verwalten von Teams-Apps, die unter Microsoft 365 (Office) für iOS und Android ausgeführt werden
IT-Administratoren können den Zugriff auf Teams-Apps verwalten, indem sie benutzerdefinierte Berechtigungsrichtlinien erstellen und diese Richtlinien Benutzern zuweisen, indem sie das Teams Admin Center verwenden. Sie können jetzt auch persönliche Teams-Registerkarten-Apps in Microsoft 365 (Office) für iOS und Android ausführen. Persönliche Teams-Registerkarten-Apps, die mit dem Microsoft Teams JavaScript Client SDK v2 (Version 2.0.0) und dem Teams-App-Manifest (Version 1.13) erstellt wurden, werden in Microsoft 365 (Office) für iOS und Android im Menü „Apps“ angezeigt.
Möglicherweise gibt es zusätzliche Verwaltungsanforderungen speziell für Microsoft 365 (Office) für iOS und Android. Ziel:
- Erlauben Sie nur bestimmten Benutzern in Ihrer Organisation, erweiterte Teams-Apps unter Microsoft 365 (Office) für iOS und Android auszuprobieren, oder
- Hindern Sie alle Benutzer in Ihrer Organisation daran, erweiterte Teams-Apps unter Microsoft 365 (Office) für iOS und Android zu verwenden.
Um diese zu verwalten, können Sie den folgenden Schlüssel verwenden:
| Schlüssel | Wert |
|---|---|
| com.microsoft.office.officemobile.TeamsApps.IsAllowed |
true (Standard) aktiviert Teams-Apps unter Microsoft 365 (Office) für iOS und Android false deaktiviert Teams-Apps unter Microsoft 365 (Office) für iOS und Android |
Dieser Schlüssel kann sowohl von verwalteten Geräten als auch von verwalteten Apps verwendet werden.
Datenschutzeinstellungen in Microsoft 365 (Office)
Sie können die Offlinezwischenspeicherung aktivieren oder deaktivieren, wenn das Speichern unter im lokalen Speicher durch die App-Schutzrichtlinie blockiert wird.
Wichtig
Diese Einstellung gilt nur für die Microsoft 365 (Office)-App unter Android. Um diese Einstellung zu konfigurieren, können Sie den folgenden Schlüssel verwenden:
| Schlüssel | Wert |
|---|---|
| com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked |
false (Standard) deaktiviert die Offlinezwischenspeicherung, wenn Speichern unter im lokalen Speicher blockiert ist. true aktiviert die Offlinezwischenspeicherung, wenn Speichern unter im lokalen Speicher blockiert ist |
Aktivieren oder Deaktivieren des Microsoft 365-Feeds für iOS und Android
Administratoren können jetzt den Microsoft 365-Feed aktivieren oder deaktivieren, indem sie die folgende Einstellung im Intune Admin Center konfigurieren. Verwenden Sie zum Bereitstellen dieser App-Einstellung eine App-Konfigurationsrichtlinie in Intune.
Um das Microsoft 365-Feed zu verwalten, können Sie den folgenden Schlüssel verwenden:
| Schlüssel | Wert |
|---|---|
| com.microsoft.office.officemobile.Feed.IsAllowed |
true (Standard) Feed ist für den Mandanten aktiviert false deaktiviert den Feed für den Mandanten |
Dieser Schlüssel kann von verwalteten Geräten und verwalteten Apps verwendet werden.
Copilot mit Unternehmensdatenschutz
Administratoren können jetzt die Copilot in Microsoft 365-App aktivieren oder deaktivieren, indem sie die folgende Einstellung im Intune Admin Center konfigurieren. Verwenden Sie zum Bereitstellen dieser App-Einstellung eine App-Konfigurationsrichtlinie in Intune.
Um die Copilot in Microsoft 365-App zu verwalten, können Sie den folgenden Schlüssel verwenden:
| Schlüssel | Wert |
|---|---|
| com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed |
true (Standard) Copilot ist für den Mandanten aktiviert false deaktiviert Copilot für den Mandanten |
Dieser Schlüssel kann von verwalteten Geräten und verwalteten Apps verwendet werden.