Verwalten von Zusammenarbeitserfahrungen in Microsoft 365 (Office) für iOS und Android mit Microsoft Intune
Microsoft 365 (Office) für iOS und Android bietet mehrere wichtige Vorteile, darunter:
- Die Kombination von Word, Excel und PowerPoint auf eine Weise, die die Erfahrung mit weniger Apps zum Herunterladen oder Wechseln zwischen apps vereinfacht. Es erfordert weit weniger Telefonspeicher als die Installation einzelner Apps, während praktisch alle Funktionen der vorhandenen mobilen Apps beibehalten werden, die personen bereits kennen und verwenden.
- Integration der Microsoft Lens-Technologie, um die Leistungsfähigkeit der Kamera mit Funktionen wie der Konvertierung von Bildern in bearbeitbare Word und Excel-Dokumenten, das Scannen von PDF-Dateien und das Erfassen von Whiteboards mit automatischen digitalen Verbesserungen zu nutzen, um die Lesbarkeit der Inhalte zu erleichtern.
- Hinzufügen neuer Funktionen für häufige Aufgaben, denen Benutzer bei der Arbeit auf einem Telefon häufig begegnen– z. B. schnelle Notizen erstellen, PDFs signieren, QR-Codes scannen und Dateien zwischen Geräten übertragen.
Die umfassendsten und umfassendsten Schutzfunktionen für Microsoft 365-Daten sind verfügbar, wenn Sie die Enterprise Mobility + Security Suite abonnieren, die Microsoft Intune und Microsoft Entra ID P1- oder P2-Features wie bedingten Zugriff umfasst. Sie sollten mindestens eine Richtlinie für bedingten Zugriff bereitstellen, die die Konnektivität mit Microsoft 365 (Office) für iOS und Android von mobilen Geräten aus ermöglicht, sowie eine Intune-App-Schutzrichtlinie, die den Schutz der Zusammenarbeit sicherstellt.
Anwenden des bedingten Zugriffs
Organisationen können Microsoft Entra Richtlinien für bedingten Zugriff verwenden, um sicherzustellen, dass Benutzer nur mit Microsoft 365 (Office) für iOS und Android auf Geschäfts-, Schul- oder Uniinhalte zugreifen können. Dazu benötigen Sie eine Richtlinie für bedingten Zugriff, die für alle potenziellen Benutzer gilt. Diese Richtlinien werden unter Bedingter Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich beschrieben.
Führen Sie die Schritte unter Anfordern genehmigter Client-Apps oder App-Schutzrichtlinie für mobile Geräte aus, die Microsoft 365 (Office) für iOS und Android zulässt, aber OAuth-fähige Clients mobiler Geräte von Drittanbietern daran hindert, eine Verbindung mit Microsoft 365-Endpunkten herzustellen.
Hinweis
Diese Richtlinie stellt sicher, dass mobile Benutzer mithilfe der entsprechenden Apps auf alle Microsoft 365-Endpunkte zugreifen können.
Hinweis
Um die App-basierten Richtlinien für bedingten Zugriff zu verwenden, muss die Microsoft Authenticator-App auf iOS-Geräten installiert werden. Für Android-Geräte ist die Intune-Unternehmensportal-App erforderlich. Weitere Informationen finden Sie unter App-basierter bedingter Zugriff mit Intune.
Erstellen von Intune-App-Schutzrichtlinien
App-Schutzrichtlinien (APP) definieren, welche Apps zulässig sind und welche Aktionen sie mit den Daten Ihrer organization ausführen können. Die in APP verfügbaren Optionen ermöglichen Es Organisationen, den Schutz an ihre spezifischen Anforderungen anzupassen. Für einige Organisationen ist es jedoch möglicherweise nicht offensichtlich, welche Richtlinieneinstellungen genau erforderlich sind, um ein vollständiges Szenario zu implementieren. Um Unternehmen bei der Priorisierung der Absicherung mobiler Clientendpunkte zu unterstützen, hat Microsoft für die Verwaltung mobiler iOS- und Android-Apps eine Taxonomie für sein Datenschutzframework für App-Schutzrichtlinien eingeführt.
Dieses Datenschutzframework ist in drei Konfigurationsebenen unterteilt, wobei jede Ebene auf der vorherigen Ebene aufbaut:
- Einfacher Datenschutz für Unternehmen (Ebene 1): Diese Ebene stellt sicher, dass Apps mit einer PIN geschützt und verschlüsselt sind, und dient zum Durchführen selektiver Löschvorgänge. Bei Android-Geräten überprüft diese Ebene den Android-Gerätenachweis. Dabei handelt es sich um eine Konfiguration auf Einstiegsebene, die ähnliche Datenschutzkontrolle in Exchange Online-Postfachrichtlinien bereitstellt und der IT sowie dem Benutzerstamm eine Einführung in App-Schutzrichtlinien bietet.
- Erweiterter Datenschutz für Unternehmen (Ebene 2): Diese Ebene führt Mechanismen für App-Schutzrichtlinien zur Verhinderung von Datenlecks sowie die mindestens zu erfüllenden Betriebssystemanforderungen ein. Dies ist die Konfiguration, die für die meisten mobilen Benutzer gilt, die auf Geschäfts-, Schul- oder Unidaten zugreifen.
- Hoher Datenschutz für Unternehmen (Ebene 3): Auf dieser Ebene werden Mechanismen zum erweiterten Datenschutz, eine verbesserte PIN-Konfiguration sowie Mobile Threat Defense für App-Schutzrichtlinien eingeführt. Diese Konfiguration ist für Benutzer vorgesehen, die auf Hochrisikodaten zugreifen.
Die spezifischen Empfehlungen für jede Konfigurationsebene sowie die minimalen zu schützenden Apps finden Sie unter Datenschutzframework mithilfe von App-Schutzrichtlinien.
Unabhängig davon, ob das Gerät in einer Lösung für die einheitliche Endpunktverwaltung (Unified Endpoint Management, UEM) registriert ist, muss eine Intune-App-Schutzrichtlinie für iOS- und Android-Apps erstellt werden, wobei die Schritte unter Erstellen und Zuweisen von App-Schutzrichtlinien ausgeführt werden. Diese Richtlinien müssen mindestens die folgenden Bedingungen erfüllen:
Sie umfassen alle mobilen Microsoft 365-Anwendungen wie Edge, Outlook, OneDrive, Microsoft 365 (Office) oder Teams, da dies sicherstellt, dass Benutzer auf sichere Weise auf Geschäfts-, Schul- oder Unidaten in jeder Microsoft-App zugreifen und diese bearbeiten können.
Sie sind für alle Benutzer zugewiesen. Dadurch wird sichergestellt, dass alle Benutzer geschützt sind, unabhängig davon, ob sie Microsoft 365 (Office) für iOS oder Android verwenden.
Bestimmen Sie, welche Frameworkebene Ihre Anforderungen erfüllt. Die meisten Organisationen sollten die einstellungen implementieren, die unter Erweiterter Datenschutz für Unternehmen (Stufe 2) definiert sind, da dies die Steuerung von Datenschutz und Zugriffsanforderungen ermöglicht.
Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter Einstellungen für Android-App-Schutzrichtlinien und Einstellungen für iOS-App-Schutzrichtlinien.
Wichtig
Um Intune-App-Schutzrichtlinien für Apps auf Android-Geräten anzuwenden, die nicht in Intune registriert sind, muss der Benutzer auch das Intune-Unternehmensportal installieren.
Verwenden der App-Konfiguration
Microsoft 365 (Office) für iOS und Android unterstützt App-Einstellungen, die es Administratoren wie Microsoft Intune ermöglichen, das Verhalten der App anzupassen.
Die App-Konfiguration kann entweder über den MDM-Betriebssystemkanal (Mobile Device Management) auf registrierten Geräten (Managed App Configuration Channel für iOS oder Android im Enterprise-Kanal für Android) oder über den App Protection Policy-Kanal (App Protection Policy, APP) von Intune bereitgestellt werden. Microsoft 365 (Office) für iOS und Android unterstützt die folgenden Konfigurationsszenarien:
- Nur Geschäfts-, Schul- oder Unikonten zulassen
- Allgemeine App-Konfiguration
- Datenschutzeinstellungen
Wichtig
Für Konfigurationsszenarien, die eine Geräteregistrierung unter Android erfordern, müssen die Geräte in Android Enterprise registriert sein, und Microsoft 365 (Office) für Android muss über den verwalteten Google Play Store bereitgestellt werden. Weitere Informationen finden Sie unter Einrichten der Registrierung von persönlichen Android Enterprise-Arbeitsprofilgeräten und Hinzufügen von App-Konfigurationsrichtlinienfür verwaltete Android Enterprise-Geräte.
Jedes Konfigurationsszenario hebt seine spezifischen Anforderungen hervor. Gibt beispielsweise an, ob das Konfigurationsszenario eine Geräteregistrierung erfordert und somit mit jedem UEM-Anbieter funktioniert, oder ob Intune-App-Schutzrichtlinien erforderlich sind.
Wichtig
Bei App-Konfigurationsschlüsseln wird die Groß-/Kleinschreibung beachtet. Verwenden Sie die richtige Groß-/Kleinschreibung, um sicherzustellen, dass die Konfiguration wirksam wird.
Hinweis
Bei Microsoft Intune wird die app-Konfiguration, die über den MDM-Betriebssystemkanal bereitgestellt wird, als verwaltete Geräte App Configuration-Richtlinie (ACP) bezeichnet. Die app-Konfiguration, die über den App-Schutzrichtlinienkanal bereitgestellt wird, wird als verwaltete Apps-App Configuration-Richtlinie bezeichnet.
Nur Geschäfts-, Schul- oder Unikonten zulassen
Die Einhaltung der Datensicherheits- und Compliancerichtlinien unserer größten und streng regulierten Kunden ist eine wichtige Säule des Microsoft 365-Werts. Einige Unternehmen müssen alle Kommunikationsinformationen in ihrer Unternehmensumgebung erfassen und sicherstellen, dass die Geräte nur für die Unternehmenskommunikation verwendet werden. Um diese Anforderungen zu erfüllen, kann Microsoft 365 (Office) für Android auf registrierten Geräten so konfiguriert werden, dass nur ein einzelnes Unternehmenskonto innerhalb der App bereitgestellt werden kann.
Weitere Informationen zum Konfigurieren der Einstellung für den Organisationsmodus für zulässige Konten finden Sie hier:
Dieses Konfigurationsszenario funktioniert nur mit registrierten Geräten. Es wird jedoch jeder UEM-Anbieter unterstützt. Wenn Sie Microsoft Intune nicht verwenden, müssen Sie sich mit Ihrer UEM-Dokumentation über die Bereitstellung dieser Konfigurationsschlüssel informieren.
Allgemeine App-Konfigurationsszenarien
Microsoft 365 (Office) für iOS/iPadOS und Android bietet Administratoren die Möglichkeit, die Standardkonfiguration für mehrere In-App-Einstellungen mithilfe von iOS/iPadOS- oder Android-App-Konfigurationsrichtlinien anzupassen. Diese Funktion wird sowohl für registrierte Geräte über einen UEM-Anbieter als auch für Geräte angeboten, die nicht registriert sind, wenn für Microsoft 365 (Office) für iOS und Android eine Intune-App-Schutzrichtlinie angewendet wurde.
Hinweis
Wenn eine App-Schutzrichtlinie für die Benutzer gilt, wird empfohlen, die allgemeinen App-Konfigurationseinstellungen in einem Registrierungsmodell für verwaltete Apps bereitzustellen. Dadurch wird sichergestellt, dass die App Configuration-Richtlinie sowohl auf registrierten als auch auf nicht registrierten Geräten bereitgestellt wird.
Microsoft 365 (Office) unterstützt die folgenden Einstellungen für die Konfiguration:
- Verwalten der Erstellung von Kurznotizen
- Festlegen der Add-In-Einstellung
- Verwalten von Teams-Apps, die unter Microsoft 365 (Office) für iOS und Android ausgeführt werden
- Aktivieren oder Deaktivieren des Microsoft 365-Feeds für iOS und Android
Verwalten der Erstellung von Kurznotizen
Standardmäßig ermöglicht Microsoft 365 (Office) für iOS und Android Benutzern, Kurznotizen zu erstellen. Für Benutzer mit Exchange Online Postfächern werden die Notizen mit dem Postfach des Benutzers synchronisiert. Für Benutzer mit lokalen Postfächern werden diese Notizen nur auf dem lokalen Gerät gespeichert.
| Schlüssel | Wert |
|---|---|
| com.microsoft.office.NotesCreationEnabled | True (Standard) aktiviert Kurznotizen Erstellung für das Geschäfts-, Schul- oder Unikonto. false deaktiviert Kurznotizen Erstellung für das Geschäfts-, Schul- oder Unikonto |
Festlegen der Add-In-Einstellung
Bei iOS-/iPadOS-Geräten, auf denen Office ausgeführt wird, können Sie (als Administrator) festlegen, ob Microsoft 365 -Add-Ins (Office) aktiviert sind. Diese App-Einstellungen können mithilfe einer App-Konfigurationsrichtlinie in Intune bereitgestellt werden.
| Schlüssel | Wert |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableAllCatalogs | true (Standard) deaktiviert die gesamte Add-In-Plattform false aktiviert die Add-In-Plattform |
Wenn Sie den Microsoft 365 (Office) Store-Teil der Plattform für iOS-Geräte aktivieren oder deaktivieren müssen, können Sie den folgenden Schlüssel verwenden.
| Schlüssel | Wert |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableOMEXCatalog | True (Standard) deaktiviert nur den Microsoft 365 (Office) Store-Teil der Plattform. false aktiviert den Microsoft 365 (Office) Store-Teil der Plattform. HINWEIS: Das Querladen funktioniert weiterhin. |
Weitere Informationen zum Hinzufügen von Konfigurationsschlüsseln finden Sie unter Hinzufügen von App-Konfigurationsrichtlinien für verwaltete iOS-/iPadOS-Geräte.
Verwalten von Teams-Apps, die unter Microsoft 365 (Office) für iOS und Android ausgeführt werden
IT-Administratoren können den Zugriff auf Teams-Apps verwalten, indem sie benutzerdefinierte Berechtigungsrichtlinien erstellen und diese Richtlinien benutzern mithilfe des Teams Admin Centers zuweisen. Sie können jetzt auch persönliche Teams-Registerkarten-Apps in Microsoft 365 (Office) für iOS und Android ausführen. Persönliche Teams-Registerkarten-Apps, die mit dem Microsoft Teams JavaScript Client SDK v2 (Version 2.0.0) und dem Teams-App-Manifest (Version 1.13) erstellt wurden, werden in Microsoft 365 (Office) für iOS und Android im Menü "Apps" angezeigt.
Möglicherweise gibt es zusätzliche Verwaltungsanforderungen speziell für Microsoft 365 (Office) für iOS und Android. Ziel:
- Erlauben Sie nur bestimmten Benutzern in Ihrem organization, erweiterte Teams-Apps unter Microsoft 365 (Office) für iOS und Android auszuprobieren, oder
- Blockieren Sie alle Benutzer in Ihrer organization die Verwendung erweiterter Teams-Apps unter Microsoft 365 (Office) für iOS und Android.
Um diese zu verwalten, können Sie den folgenden Schlüssel verwenden:
| Schlüssel | Wert |
|---|---|
| com.microsoft.office.officemobile.TeamsApps.IsAllowed | true (Standard) aktiviert Teams-Apps unter Microsoft 365 (Office) für iOS und Android false deaktiviert Teams-Apps unter Microsoft 365 (Office) für iOS und Android |
Dieser Schlüssel kann sowohl von verwalteten Geräten als auch von verwalteten Apps verwendet werden.
Datenschutzeinstellungen in Microsoft 365 (Office)
Sie können die Offlinezwischenspeicherung aktivieren oder deaktivieren, wenn Das Speichern unter im lokalen Speicher durch die App-Schutzrichtlinie blockiert wird.
Wichtig
Diese Einstellung gilt nur für die Microsoft 365 (Office)-App unter Android. Um diese Einstellung zu konfigurieren, können Sie den folgenden Schlüssel verwenden:
| Schlüssel | Wert |
|---|---|
| com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked | false (Standard) deaktiviert die Offlinezwischenspeicherung, wenn "Speichern unter" im lokalen Speicher blockiert ist. True aktiviert die Offlinezwischenspeicherung, wenn "Speichern unter" im lokalen Speicher blockiert ist |
Aktivieren oder Deaktivieren des Microsoft 365-Feeds für iOS und Android
Administratoren können jetzt den Microsoft 365-Feed aktivieren oder deaktivieren, indem sie die folgende Einstellung im Intune Admin Center konfigurieren. Verwenden Sie zum Bereitstellen dieser App-Einstellung eine App-Konfigurationsrichtlinie in Intune.
Zum Verwalten des Microsoft 365-Feeds können Sie den folgenden Schlüssel verwenden:
| Schlüssel | Wert |
|---|---|
| com.microsoft.office.officemobile.Feed.IsAllowed | true (Standard) Feed ist für den Mandanten aktiviert false deaktiviert Den Feed für den Mandanten. |
Dieser Schlüssel kann von verwalteten Geräten und verwalteten Apps verwendet werden.
Copilot mit kommerziellem Datenschutz
Administratoren können jetzt Copilot in der Microsoft 365-App aktivieren oder deaktivieren, indem sie die folgende Einstellung im Intune Admin Center konfigurieren. Verwenden Sie zum Bereitstellen dieser App-Einstellung eine App-Konfigurationsrichtlinie in Intune.
Um Copilot in der Microsoft 365-App zu verwalten, können Sie den folgenden Schlüssel verwenden:
| Schlüssel | Wert |
|---|---|
| com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed | true (Standard) Copilot ist für den Mandanten aktiviert. false deaktiviert Copilot für den Mandanten |
Dieser Schlüssel kann von verwalteten Geräten und verwalteten Apps verwendet werden.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für