Freigeben über


Sichern von Outlook für iOS und Android in Exchange Online

Outlook für iOS und Android bietet Benutzern die schnelle, intuitive E-Mail- und Kalendererfahrung, die Benutzer von einer modernen mobilen App erwarten, und ist gleichzeitig die einzige App, die Unterstützung für die besten Features von Microsoft 365 oder Office 365 bietet.

Es ist äußerst wichtig, Unternehmens- und Organisationsdaten zu schützen, die auf den Mobilgeräten Ihrer Benutzer gespeichert sind. Überprüfen Sie zunächst Einrichten von Outlook für iOS und Android, um sicherzustellen, dass die Benutzer alle erforderlichen Apps installiert haben. Wählen Sie anschließend eine der folgenden Optionen aus, um Ihre Geräte und die Daten Ihrer Organisation zu schützen:

  1. Empfohlen: Wenn Ihr organization über ein Enterprise Mobility + Security-Abonnement verfügt oder separat eine Lizenzierung für Microsoft Intune und Microsoft Entra ID P1 oder P2 erhalten hat, führen Sie die Schritte unter Nutzung von P1 oder P2 aus. Enterprise Mobility + Security Suite zum Schutz von Unternehmensdaten mit Outlook für iOS und Android zum Schutz von Unternehmensdaten mit Outlook für iOS und Android.

  2. Wenn Ihr organization kein Enterprise Mobility + Security-Abonnement oder keine Lizenzierung für Microsoft Intune und Microsoft Entra ID P1 oder P2 hat, führen Sie die Schritte unter Nutzung von P1 oder P2 aus. Basismobilität und Sicherheit für Microsoft 365, und verwenden Sie die Basismobilität und Sicherheit Funktionen, die in Ihrem Office 365- oder Microsoft 365-Abonnement enthalten sind.

  3. Führen Sie die Schritte in Verwenden von Exchange Online-Richtlinien für mobile Geräte aus, um grundlegende Postfachrichtlinien für mobile Exchange-Geräte und Gerätezugriffsrichtlinien zu implementieren.

Wenn Sie jedoch Outlook für iOS und Android nicht in Ihrer Organisation verwenden möchten, finden Sie unter Blockieren von Outlook für iOS und Android weitere Informationen.

Hinweis

Lesen Sie den Abschnitt Anwendungsrichtlinien in den Exchange-Webdiensten (EWS) weiter unten in diesem Artikel, wenn Sie stattdessen eine EWS-Anwendungsrichtlinie implementieren möchten, um in Ihrer Organisation den Zugriff über Mobilgeräte zu steuern.

Einrichten von Outlook für iOS und Android

Für Geräte, die in einer Lösung für die einheitliche Endpunktverwaltung (Unified Endpoint Management, UEM) registriert sind, verwenden Benutzer die UEM-Lösung wie die Intune-Unternehmensportal, um die erforderlichen Apps zu installieren: Outlook für iOS und Android und Microsoft Authenticator.

Für Geräte, die nicht in einer UEM-Lösung registriert sind, müssen Benutzer Folgendes installieren:

  • Outlook für iOS und Android über den Apple App Store oder den Google Play Store

  • Die Microsoft Authenticator-App über den Apple App Store oder den Google Play Store

  • App des Intune-Unternehmensportals über den Apple App Store oder den Google Play Store

Nach der Installation der App können Benutzer die folgenden Schritte ausführen, um ihr Unternehmens-E-Mail-Konto hinzuzufügen und grundlegende App-Einstellungen zu konfigurieren:

Wichtig

Um die App-basierten Richtlinien für bedingten Zugriff zu verwenden, muss die Microsoft Authenticator-App auf iOS-Geräten installiert werden. Für Android-Geräte ist die App für das Intune-Unternehmensportal erforderlich. Weitere Informationen finden Sie unter App-basierter bedingter Zugriff mit Intune.

Verwenden der Enterprise Mobility + Security-Suite zum Schutz von Unternehmensdaten mit Outlook für iOS und Android

Wichtig

Die Liste Zulassen/Blockieren/Quarantäne (ABQ) bietet keine Sicherheitsgarantien (wenn ein Client den DeviceType-Header spooft, kann die Blockierung für einen bestimmten Gerätetyp umgangen werden). Um den Zugriff auf bestimmte Gerätetypen sicher einzuschränken, empfiehlt es sich, Richtlinien für bedingten Zugriff zu konfigurieren. Weitere Informationen finden Sie unter App-basierter bedingter Zugriff mit Intune.

Die umfassendsten und umfassendsten Schutzfunktionen für Microsoft 365- und Office 365-Daten sind verfügbar, wenn Sie die Enterprise Mobility + Security-Suite abonnieren, die Microsoft Intune und Microsoft Entra ID P1- oder P2-Features wie bedingten Zugriff umfasst. Sie sollten mindestens eine Richtlinie für bedingten Zugriff, die nur Konnektivität mit Outlook für iOS und Android von mobilen Geräten aus zulässt, sowie eine Richtlinie für Intune-Schutz für Apps bereitstellen, durch die der Schutz der Unternehmensdaten sichergestellt wird.

Hinweis

Während das Enterprise Mobility + Security Suite-Abonnement sowohl Microsoft Intune als auch Microsoft Entra ID P1 oder P2 umfasst, können Kunden Microsoft Intune Lizenzen und Microsoft Entra ID P1- oder P2-Lizenzen separat. Alle Benutzer müssen für die Verwendung der Richtlinien für bedingten Zugriff und Intune-Schutz für Apps, die in diesem Artikel besprochen werden, lizenziert sein.

Blockieren aller E-Mail-Apps mit Ausnahme von Outlook für iOS und Android mithilfe des bedingten Zugriffs

Sobald sich Ihre Organisation entschlossen hat, den Benutzerzugriff auf Exchange-Daten zu standardisieren und Outlook für iOS und Android als die einzige E-Mail-App für Endbenutzer einzusetzen, kann eine Richtlinie für bedingten Zugriff konfiguriert werden, die andere mobile Zugriffsmethoden blockiert. Dazu benötigen Sie mehrere Richtlinien für bedingten Zugriff, wobei jede Richtlinie auf alle potenziellen Benutzer ausgerichtet ist. Diese Richtlinien werden unter Bedingter Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich beschrieben.

  1. Führen Sie die Schritte unter Anfordern genehmigter Client-Apps oder App-Schutzrichtlinie für mobile Geräte aus. Diese Richtlinie lässt Outlook für iOS und Android zu, verhindert jedoch, dass OAuth und die Standardauthentifizierung Exchange ActiveSync mobilen Clients eine Verbindung mit Exchange Online herstellen können.

    Hinweis

    Diese Richtlinie stellt sicher, dass mobile Benutzer mithilfe von entsprechenden Apps auf alle Microsoft 365-Endpunkte zugreifen können.

  2. Führen Sie die Schritte unter Blockieren von Exchange ActiveSync auf allen Geräten aus, wodurch verhindert wird, dass Exchange ActiveSync Clients, die die Standardauthentifizierung auf nicht mobilen Geräten verwenden, eine Verbindung mit Exchange Online herstellen.

    Die oben genannten Richtlinien nutzen die Zugriffssteuerung App-Schutzrichtlinie erforderlich, die sicherstellt, dass eine Intune App-Schutzrichtlinie auf das zugeordnete Konto in Outlook für iOS und Android angewendet wird, bevor der Zugriff gewährt wird. Wenn der Benutzer keiner Intune App-Schutzrichtlinie zugewiesen ist, nicht für Intune lizenziert ist oder die App nicht in der Intune App-Schutzrichtlinie enthalten ist, verhindert die Richtlinie, dass der Benutzer ein Zugriffstoken erhält und Zugriff auf Messagingdaten erhält.

  3. Führen Sie die Schritte unter Blockieren der Legacyauthentifizierung mit Microsoft Entra bedingten Zugriff aus, um die Legacyauthentifizierung für andere Exchange-Protokolle auf iOS- und Android-Geräten zu blockieren. Diese Richtlinie sollte nur für Office 365 Exchange Online Cloud-App und iOS- und Android-Geräteplattformen gelten. Dadurch wird sichergestellt, dass mobile Apps, die Exchange-Webdienste, IMAP4- oder POP3-Protokolle mit Standardauthentifizierung verwenden, keine Verbindung mit Exchange Online herstellen können.

Hinweis

Nachdem die Richtlinien für bedingten Zugriff aktiviert wurden, kann es bis zu sechs Stunden dauern, bis alle zuvor verbundenen mobilen Geräte blockiert sind.

Wenn sich der Benutzer in Outlook für iOS und Android authentifiziert, werden Exchange Online Zugriffsregeln für mobile Geräte (Zulassen, Blockieren oder Quarantäne) übersprungen, wenn Microsoft Entra Richtlinien für bedingten Zugriff auf den Benutzer angewendet werden, die Folgendes umfassen:

Um die App-basierten Richtlinien für bedingten Zugriff zu verwenden, muss die Microsoft Authenticator-App auf iOS-Geräten installiert werden. Für Android-Geräte ist die App für das Intune-Unternehmensportal erforderlich. Weitere Informationen finden Sie unter App-basierter bedingter Zugriff mit Intune.

Schützen von Unternehmensdaten in Outlook für iOS und Android mit Richtlinien für Intune-Schutz für Apps

App-Schutzrichtlinien (App Protection Policies, APP) definieren, welche Apps zulässig sind und die Aktionen, die diese Apps mit den Unternehmensdaten ausführen kann. Die in APP verfügbaren Optionen ermöglichen Organisationen, den Schutz an ihre speziellen Anforderungen anzupassen. Für einige Organisationen ist es jedoch möglicherweise nicht offensichtlich, welche Richtlinieneinstellungen genau erforderlich sind, um ein vollständiges Szenario zu implementieren. Um Unternehmen bei der Priorisierung der Absicherung mobiler Clientendpunkte zu unterstützen, hat Microsoft für die Verwaltung mobiler iOS- und Android-Apps eine Taxonomie für sein Datenschutzframework für App-Schutzrichtlinien eingeführt.

Dieses Datenschutzframework ist in drei Konfigurationsebenen unterteilt, wobei jede Ebene auf der vorherigen Ebene aufbaut:

  • Einfacher Datenschutz für Unternehmen (Ebene 1): Diese Ebene stellt sicher, dass Apps mit einer PIN geschützt und verschlüsselt sind, und dient zum Durchführen selektiver Löschvorgänge. Bei Android-Geräten überprüft diese Ebene den Android-Gerätenachweis. Dabei handelt es sich um eine Konfiguration auf Einstiegsebene, die ähnliche Datenschutzkontrolle in Exchange Online-Postfachrichtlinien bereitstellt und der IT sowie dem Benutzerstamm eine Einführung in App-Schutzrichtlinien bietet.
  • Erweiterter Datenschutz für Unternehmen (Ebene 2): Diese Ebene führt Mechanismen für App-Schutzrichtlinien zur Verhinderung von Datenlecks sowie die mindestens zu erfüllenden Betriebssystemanforderungen ein. Dies ist die Konfiguration, die für die meisten mobilen Benutzer gilt, die auf Geschäfts-, Schul- oder Unidaten zugreifen.
  • Hoher Datenschutz für Unternehmen (Ebene 3): Auf dieser Ebene werden Mechanismen zum erweiterten Datenschutz, eine verbesserte PIN-Konfiguration sowie Mobile Threat Defense für App-Schutzrichtlinien eingeführt. Diese Konfiguration ist für Benutzer vorgesehen, die auf Hochrisikodaten zugreifen.

Die spezifischen Empfehlungen für jede Konfigurationsebene sowie die minimalen zu schützenden Apps finden Sie unter Datenschutzframework mithilfe von App-Schutzrichtlinien.

Unabhängig davon, ob das Gerät in einer UEM-Lösung registriert ist, muss eine Intune App-Schutzrichtlinie sowohl für iOS- als auch für Android-Apps erstellt werden. Verwenden Sie dazu die Schritte unter Erstellen und Zuweisen von App-Schutzrichtlinien. Diese Richtlinien müssen mindestens die folgenden Bedingungen erfüllen:

  1. Sie umfassen alle mobilen Microsoft-Anwendungen wie Edge, OneDrive, Office oder Teams, da dies sicherstellt, dass Benutzer auf sichere Weise auf Geschäfts-, Schul- oder Unidaten in jeder Microsoft-App zugreifen und diese bearbeiten können.

  2. Sie sind für alle Benutzer zugewiesen. Dadurch wird sichergestellt, dass alle Benutzer geschützt sind, unabhängig davon, ob sie Outlook für iOS oder Android verwenden.

  3. Bestimmen Sie, welche Framework-Ebene Ihre Anforderungen erfüllt. Die meisten Organisationen sollten die Einstellungen implementieren, die unter Erweiterter Datenschutz für Unternehmen (Stufe 2) definiert sind, da dies die Steuerung von Datenschutz und Zugriffsanforderungen ermöglicht.

Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter Einstellungen für Android-App-Schutzrichtlinien in Microsoft Intune- und iOS-App-Schutzrichtlinieneinstellungen.

Wichtig

Um Intune-App-Schutzrichtlinien für Apps auf Android-Geräten anzuwenden, die nicht in Intune registriert sind, muss der Benutzer auch das Intune-Unternehmensportal installieren. Weitere Informationen finden Sie unterDas passiert, wenn Ihre Android-App von App-Schutzrichtlinien verwaltet wird.

Nutzen von Basismobilität und Sicherheit für Microsoft 365

Wenn Sie die Enterprise Mobility + Security Suite nicht nutzen möchten, können Sie Basismobilität und Sicherheit für Microsoft 365 verwenden. Für diese Lösung müssen mobile Geräte registriert werden. Wenn ein Benutzer versucht, auf Exchange Online mit einem Gerät zuzugreifen, das nicht registriert ist, wird verhindert, dass der Benutzer auf die Ressource zugreift, bis das Gerät registriert ist.

Da dies eine Lösung zur Geräteverwaltung ist, gibt es keine systemeigene Funktion, um zu steuern, welche Apps verwendet werden können, auch nachdem das Gerät registriert wurde. Wenn Sie den Zugriff auf Outlook für iOS und Android einschränken möchten, müssen Sie Microsoft Entra ID P1- oder P2-Lizenzen abrufen und die richtlinien für bedingten Zugriff nutzen, die unter Blockieren aller E-Mail-Apps mit Ausnahme von Outlook für iOS und Android mit bedingtem Zugriff beschrieben werden.

Ein Administrator, dem die Rolle Verzeichnisautoren zugewiesen ist, muss die folgenden Schritte ausführen, um die Registrierung zu aktivieren und einzurichten. Die vollständigen Schritte finden Sie unter Einrichten von Basismobilität und Sicherheit. Zusammenfassend umfassen diese Schritte Folgendes:

  1. Aktivieren sie Basismobilität und Sicherheit, indem Sie die Schritte im Microsoft 365 Security Center ausführen.

  2. Einrichten der einheitlichen Endpunktverwaltung, z. B. durch Erstellen eines APNs-Zertifikats zum Verwalten von iOS-Geräten.

  3. Erstellen von Geräterichtlinien und Anwenden der Richtlinie auf Benutzergruppen. In diesem Fall erhalten Ihre Benutzer eine Registrierungsnachricht auf ihrem Gerät. Wenn sie die Registrierung abgeschlossen haben, werde ihre Geräte von den Richtlinien eingeschränkt, die Sie eingerichtet haben.

Hinweis

Richtlinien und Zugriffsregeln, die in Basismobilität und Sicherheit erstellt wurden, überschreiben sowohl Exchange-Postfachrichtlinien für mobile Geräte als auch Gerätezugriffsregeln, die im Exchange Admin Center erstellt wurden. Nachdem ein Gerät bei Basismobilität und Sicherheit registriert wurde, werden alle Exchange Mobile Device-Postfachrichtlinien oder Gerätezugriffsregeln, die auf dieses Gerät angewendet werden, ignoriert.

Verwenden von Exchange Online-Richtlinien für mobile Geräte

Wenn Sie weder die Enterprise Mobility + Security Suite noch die Basismobilität und Sicherheit-Funktionalität nutzen möchten, können Sie eine Exchange-Postfachrichtlinie für mobile Geräte zum Schützen des Geräts und Gerätezugriffsregeln implementieren, um die Gerätekonnektivität einzuschränken.

Postfachrichtlinie für mobile Geräte

Outlook für iOS und Android unterstützt die folgenden Einstellungen für Postfachrichtlinien für mobile Geräte in Exchange Online:

  • Geräteverschlüsselung aktiviert

  • Minimale Kennwortlänge (nur unter Android)

  • Kennwort aktiviert

  • Bluetooth zulassen (wird zum Verwalten der tragbaren Outlook für Android-App verwendet)

    • Wenn AllowBluetooth aktiviert (Standardverhalten) oder für HandsfreeOnly konfiguriert ist, ist die tragbare Synchronisierung zwischen Outlook auf dem Android-Gerät und Outlook auf dem Wearable für das Geschäfts-, Schul- oder Unikonto zulässig.

    • Wenn AllowBluetooth deaktiviert ist, deaktiviert Outlook für Android die Synchronisierung zwischen Outlook auf dem Android-Gerät und Outlook auf dem Wearable für das angegebene Geschäfts-, Schul- oder Unikonto (und löscht alle zuvor für das Konto synchronisierten Daten). Das Deaktivieren der Synchronisierung wird vollständig in Outlook selbst gesteuert. Bluetooth ist weder auf dem Gerät noch auf dem Wearable deaktiviert, noch ist eine andere Wearable-App betroffen.

Informationen zum Erstellen oder Ändern einer vorhandenen Postfachrichtlinie für mobile Geräte finden Sie unter Postfachrichtlinien für mobile Geräte in Exchange Online.

Darüber hinaus unterstützt Outlook für iOS und Android die Gerätzurücksetzungsfunktion von Exchange Online. Bei Outlook werden bei einer Remotezurücksetzung nur Daten in der Outlook-App selbst zurückgesetzt und kein vollständiges Zurücksetzen des Geräts ausgelöst. Weitere Informationen zum Durchführen einer Remotezurücksetzung finden Sie unter Durchführen einer Remotezurücksetzung auf einem Mobiltelefon in Exchange Online.

Richtlinie für Gerätezugriff

Outlook für iOS und Android sollte standardmäßig aktiviert sein, aber in einigen vorhandenen Exchange Online Umgebungen kann die App aus verschiedenen Gründen blockiert werden. Sobald ein organization beschließt, zu standardisieren, wie Benutzer auf Exchange-Daten zugreifen und Outlook für iOS und Android als einzige E-Mail-App für Endbenutzer verwenden, können Sie Blöcke für andere E-Mail-Apps konfigurieren, die auf den iOS- und Android-Geräten der Benutzer ausgeführt werden. Sie haben zwei Möglichkeiten, diese Blöcke in Exchange Online zu aktivieren: Die erste Option blockiert alle Geräte und lässt nur die Verwendung von Outlook für iOS und Android zu. Mit der zweiten Option können Sie einzelne Geräte daran hindern, die nativen Exchange ActiveSync-Apps zu verwenden.

Hinweis

Da Geräte-IDs von keiner physischen Geräte-ID gesteuert werden, können sie ohne Vorheriges geändert werden. In diesem Fall kann dies unbeabsichtigte Folgen haben, wenn Geräte-IDs für die Verwaltung von Benutzergeräten verwendet werden, da vorhandene "zulässige" Geräte unerwartet von Exchange blockiert oder unter Quarantäne gesetzt werden können. Daher empfehlen wir Administratoren, nur Zugriffsrichtlinien für mobile Geräte festzulegen, die Geräte basierend auf dem Gerätetyp oder Gerätemodell zulassen/blockieren.

Option 1: Blockieren aller E-Mail-Apps mit Ausnahme von Outlook für iOS und Android

Sie können eine Standardblockregel definieren und dann eine Zulassungsregel für Outlook für iOS und Android sowie für Windows-Geräte konfigurieren, indem Sie die folgenden Exchange Online PowerShell-Befehle verwenden. Diese Konfiguration blockiert Verbindungsversuche von nativen Exchange ActiveSync-Apps und lässt ausschließlich Verbindungsversuche von Outlook für iOS und Android zu.

  1. Erstellen Sie die Standardblockierungsregel:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
    
  2. Erstellen Sie eine Zulassungsregel für Outlook für iOS und Android:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
    

Option 2: Blockieren von nativen Exchange ActiveSync-Apps auf Android- und iOS-Geräten

Alternativ können Sie native Exchange ActiveSync-Apps auf bestimmten Android- und iOS-Geräten oder Geräten anderen Typs blockieren.

  1. Vergewissern Sie sich, dass keine Regeln für den Exchange ActiveSync-basierten Gerätezugriff implementiert sind, die Outlook für iOS und Android blockieren:

    Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Format-Table Name, AccessLevel, QueryString -AutoSize
    

    Entfernen Sie mit dem folgenden Befehl alle eventuell vorhandenen Gerätezugriffsregeln, die Outlook für iOS und Android blockieren:

    Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Remove-ActiveSyncDeviceAccessRule
    
  2. Mithilfe der folgenden Befehle können Sie die meisten Android- und iOS-Geräte blockieren:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
    
  3. Nicht alle Hersteller von Android-Geräten geben für das Merkmal „DeviceType" den Wert „Android" an. Möglicherweise legen Hersteller für jede veröffentlichte Version einen eigenen eindeutigen Wert fest. Generieren Sie mithilfe des folgenden Befehls einen Bericht über alle Geräte mit einer aktiven Exchange ActiveSync-Partnerschaft, um andere Android-Geräte zu finden, die auf Ihre Umgebung zugreifen:

    Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
    
  4. Erstellen Sie je nach den Ergebnissen von Schritt 3 zusätzliche Blockierungsregeln. Wenn Sie beispielsweise feststellen, dass in Ihrer Umgebung sehr viele Android-Geräte des Typs „HTCOne" genutzt werden, können Sie eine Exchange ActiveSync-Gerätezugriffsregel erstellen, die diesen spezifischen Gerätetyp blockiert, und so erzwingen, dass die Benutzer dieser Geräte Outlook für iOS und Android verwenden. In diesem Szenario würden Sie Folgendes eingeben:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
    

    Hinweis

    Der Parameter -QueryString akzeptiert keine Platzhalter oder partielle Übereinstimmungen.

Weitere Ressourcen:

Blockieren von Outlook für iOS und Android

Wenn Sie nicht möchten, dass Benutzer in Ihrem organization mit Outlook für iOS und Android auf Exchange-Daten zugreifen, hängt der Ansatz davon ab, ob Sie Microsoft Entra Richtlinien für bedingten Zugriff oder die Gerätezugriffsrichtlinien von Exchange Online verwenden.

Option 1: Blockieren des Zugriffs auf mobile Geräte mithilfe einer Richtlinie für bedingten Zugriff

Microsoft Entra Bedingter Zugriff bietet keinen Mechanismus, bei dem Sie Outlook für iOS und Android spezifisch blockieren können, während andere Exchange ActiveSync Clients zugelassen werden. Richtlinien für bedingten Zugriff können dennoch verwendet werden, um einen Zugriff mobiler Geräte auf zweierlei Arten zu blockieren:

  • Option A: Blockieren des Zugriffs durch mobile Geräte auf iOS- und Android-Plattformen

  • Option B: Blockieren des Zugriffs auf einer bestimmten Mobilgeräteplattform

Option A: Blockieren des Zugriffs durch mobile Geräte auf iOS- und Android-Plattformen

Wenn Sie den Zugriff mobiler Geräte für alle Benutzer oder eine Untermenge von Benutzern mithilfe des bedingten Zugriffs verhindern möchten, führen Sie die folgenden Schritte aus.

Erstellen Sie Richtlinien für bedingten Zugriff, wobei jede Richtlinie entweder auf alle Benutzer oder eine Untermenge von Benutzern über eine Sicherheitsgruppe abzielt. Details finden Sie unter Allgemeine Richtlinie für bedingten Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich.

  1. Die erste Richtlinie hindert Outlook für iOS und Android sowie andere OAuth-fähige Exchange ActiveSync Clients daran, eine Verbindung mit Exchange Online herzustellen. Weitere Informationen finden Sie unter "Schritt 1: Konfigurieren einer Microsoft Entra Richtlinie für bedingten Zugriff für Exchange Online", aber im fünften Schritt wählen Sie Zugriff blockieren aus.

  2. Durch die zweite Richtlinie wird verhindert, dass Exchange ActiveSync-Clients über die Standardauthentifizierung eine Verbindung zu Exchange Online herstellen. Weitere Informationen finden Sie unter "Schritt 2: Konfigurieren einer Microsoft Entra Richtlinie für bedingten Zugriff für Exchange Online mit ActiveSync (EAS)."

Option B: Blockieren des Zugriffs auf einer bestimmten Mobilgeräteplattform

Wenn Sie verhindern möchten, dass eine bestimmte Mobilgeräteplattform eine Verbindung zu Exchange Online herstellt, aber gleichzeitig zulassen möchten, dass Outlook für iOS und Android eine Verbindung mithilfe dieser Plattform herstellen kann, erstellen Sie die folgenden Richtlinien für bedingten Zugriff, wobei jede Richtlinie auf alle Benutzer abzielt. Details finden Sie unter Allgemeine Richtlinie für bedingten Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich.

  1. Die erste Richtlinie lässt Outlook für iOS und Android auf der jeweiligen Mobilen Geräteplattform zu und blockiert, dass andere OAuth-fähige Exchange ActiveSync Clients eine Verbindung mit Exchange Online herstellen. Weitere Informationen finden Sie unter "Schritt 1: Konfigurieren einer Microsoft Entra Richtlinie für bedingten Zugriff für Exchange Online", aber wählen Sie für Schritt 4a nur die gewünschte Mobile Device-Plattform (z. B. iOS) aus, auf die Sie den Zugriff zulassen möchten.

  2. Die zweite Richtlinie hindert die App auf der jeweiligen Mobilen Geräteplattform und andere OAuth-fähige Exchange ActiveSync Clients daran, eine Verbindung mit Exchange Online herzustellen. Weitere Informationen finden Sie unter "Schritt 1: Konfigurieren einer Microsoft Entra Richtlinie für bedingten Zugriff für Exchange Online", aber wählen Sie für Schritt 4a nur die gewünschte mobile Geräteplattform (z. B. Android) aus, auf die Sie den Zugriff blockieren möchten, und wählen Sie für Schritt 5 Die Option Zugriff blockieren aus.

  3. Durch die dritte Richtlinie wird verhindert, dass Exchange ActiveSync-Clients über die Standardauthentifizierung eine Verbindung zu Exchange Online herstellen. Weitere Informationen finden Sie unter "Schritt 2: Konfigurieren einer Microsoft Entra Richtlinie für bedingten Zugriff für Exchange Online mit ActiveSync (EAS)."

Option 2: Blockieren von Outlook für iOS und Android mithilfe von Exchange-Zugriffsregeln für mobile Geräte

Wenn Sie den Zugriff mobiler Geräte über die Gerätezugriffsregeln von Exchange Online verwalten, haben Sie zwei Möglichkeiten:

  • Option A: Blockieren von Outlook für iOS und Android auf den Plattformen iOS und Android

  • Option B: Blockieren von Outlook für iOS und Android auf einer bestimmten Mobilgeräteplattform

Jede Exchange-Organisation definiert eigene Richtlinien für Sicherheit und Geräteverwaltung. Kommt eine Organisation zu dem Schluss, dass Outlook für iOS und Android ihren Anforderungen nicht entspricht oder nicht die beste Lösung für ihren Anwendungsfall ist, können Administratoren die App blockieren. Ist die App blockiert, haben mobile Exchange-Benutzer in Ihrer Organisation über die integrierten Mail-Apps von iOS und Android weiterhin Zugriff auf ihr Postfach.

Das New-ActiveSyncDeviceAccessRule Cmdlet verfügt über einen Characteristic Parameter, und es gibt drei Characteristic Optionen, mit denen Administratoren die Outlook für iOS- und Android-App blockieren können. Diese Optionen sind UserAgent, DeviceModel und DeviceType. In den beiden Blockierungsoptionen, die in den folgenden Abschnitten beschrieben sind, verwenden Sie einen oder mehrere dieser Merkmalswerte, um den Zugriff von Outlook für iOS und Android auf die Postfächer in Ihrer Organisation einzuschränken.

In der folgenden Tabelle sind die Werte für jedes Merkmal aufgeführt:

Charakteristisch Zeichenfolge für iOS Zeichenfolge für Android
DeviceModel Outlook für iOS und Android Outlook für iOS und Android
DeviceType Outlook Outlook
UserAgent Outlook-iOS/2.0 Outlook-Android/2.0

Option A: Blockieren von Outlook für iOS und Android auf den Plattformen iOS und Android

Mit dem New-ActiveSyncDeviceAccessRule Cmdlet können Sie eine Gerätezugriffsregel definieren, indem Sie entweder das DeviceModel Merkmal oder DeviceType verwenden. In beiden Fällen blockiert die Zugriffsregel Outlook für iOS und Android auf allen Plattformen; sie verhindert sowohl unter iOS als auch unter Android, dass Geräte über die App auf Exchange-Postfächer zugreifen können.

Unten sehen Sie zwei Beispiele für eine solche Gerätezugriffsregel. Im ersten Beispiel wird das DeviceModel -Merkmal verwendet, im zweiten Beispiel wird das DeviceType -Merkmal verwendet.

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

Option B: Blockieren von Outlook für iOS und Android auf einer bestimmten Mobilgeräteplattform

Mit diesem UserAgent Merkmal können Sie eine Gerätezugriffsregel definieren, die Outlook für iOS und Android auf einer bestimmten Plattform blockiert. Diese Regel verhindert Zugriffsversuche über Outlook für iOS und Android auf Geräten mit der definierten Plattform. In den folgenden Beispielen wird gezeigt, wie der gerätespezifische Wert für das UserAgent Merkmal verwendet wird.

So blockieren Sie Android und lassen iOS zu:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow

So blockieren Sie iOS und lassen Android zu:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block

Exchange Online-Steuerelemente

Abgesehen von Microsoft Endpoint Manager, Basismobilität und Sicherheit für Microsoft 365 und Exchange-Richtlinien für mobile Geräte können Sie den Zugriff mobiler Geräte auf Informationen in Ihrer organization über verschiedene Exchange Online-Steuerelemente sowie darüber verwalten, ob Sie Benutzern den Zugriff auf Add-Ins in Outlook für iOS und Android.

Anwendungsrichtlinien in den Exchange-Webdiensten (EWS)

EWS-Anwendungsrichtlinien können steuern, ob Anwendungen die REST-API nutzen dürfen. Beachten Sie: Wenn Sie eine EWS-Anwendungsrichtlinie konfigurieren, die nur spezifischen Anwendungen Zugriff auf Ihre Messagingumgebung gewährt, müssen Sie die Benutzer-Agent-Zeichenfolge für Outlook für iOS und Android in die EWS-Zulassungsliste eintragen.

Das folgende Beispiel zeigt, wie Sie die Benutzer-Agent-Zeichenfolgen in die EWS-Zulassungsliste eintragen können:

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}

Exchange-Benutzersteuerelemente

Mit der nativen Microsoft-Synchronisierungstechnologie können Administratoren die Verwendung von Outlook für iOS und Android auf Postfachebene steuern. Standardmäßig können Benutzer über Outlook für iOS und Android auf Postfachdaten zugreifen. Das folgende Beispiel zeigt, wie Sie den Postfachzugriff eines Benutzers mit Outlook für iOS und Android deaktivieren:

Set-CASMailbox jane@contoso.com -OutlookMobileEnabled $false

Verwalten von Add-Ins

Mit Outlook für iOS und Android können Benutzer beliebte Apps und Dienste in den E-Mail-Client integrieren. Add-Ins für Outlook sind im Web, windows, macos und mobil verfügbar. Da Add-Ins über Microsoft 365 oder Office 365 verwaltet werden, können Benutzer Daten und Nachrichten zwischen Outlook für iOS und Android und dem nicht verwalteten Add-In freigeben (auch wenn das Konto von einer Intune App-Schutzrichtlinie verwaltet wird), es sei denn, Add-Ins werden für den Benutzer innerhalb des Microsoft 365 Admin Center deaktiviert.

Wenn Sie verhindern möchten, dass Ihre Endbenutzer auf Outlook-Add-Ins zugreifen und diese installieren (was sich auf alle Outlook-Clients auswirkt), führen Sie die folgenden Änderungen an Rollen im Microsoft 365 Admin Center aus:

  • Damit Benutzer keine Add-Ins aus dem Office Store installieren können, müssen Sie die Rolle My Marketplace für die betreffenden Benutzer entfernen.
  • Um zu verhindern, dass Benutzer Add-Ins querladen, entfernen Sie die Rolle Meine benutzerdefinierten Apps aus ihnen.
  • Um zu verhindern, dass Benutzer alle Add-Ins installieren, entfernen Sie beide Rollen "Meine benutzerdefinierte Apps" und "Mein Marketplace".

Weitere Informationen finden Sie unter Add-Ins für Outlook und Verwalten der Bereitstellung von Add-Ins im Microsoft 365 Admin Center.