Hinzufügen von E-Mail-Einstellungen für iOS- und iPadOS-Geräte in Microsoft Intune

In Microsoft Intune können Sie E-Mails erstellen und konfigurieren, um eine Verbindung mit einem Exchange-E-Mail-Server herzustellen, die Benutzerauthentifizierung auszuwählen, S/MIME für die Verschlüsselung zu verwenden und vieles mehr. Das E-Mail-Profil verwendet die native oder integrierte E-Mail-App auf dem Gerät und ermöglicht Benutzern das Herstellen einer Verbindung mit der E-Mail-Adresse ihrer Organisation.

Diese Funktion gilt für:

  • iOS/iPadOS

In diesem Artikel werden alle E-Mail-Einstellungen beschrieben, die für Geräte mit iOS/iPadOS verfügbar sind. Sie können ein Gerätekonfigurationsprofil erstellen, um diese E-Mail-Einstellungen per Push zu übertragen oder auf Ihre iOS-/iPadOS-Geräte bereitzustellen.

Bevor Sie beginnen

Hinweis

Diese Einstellungen sind für alle Registrierungstypen verfügbar. Weitere Informationen zu den Registrierungstypen finden Sie unter iOS/iPadOS-Registrierung.

Diese Einstellungen verwenden die Apple ExchangeActiveSync-Nutzlast (öffnet die Website von Apple).

kontoeinstellungen Exchange ActiveSync

  • Email Server: Geben Sie den Hostnamen Ihres Exchange-Servers ein.

  • Kontoname: Geben Sie den Anzeigenamen für das E-Mail-Konto ein. Dieser Name wird Benutzern auf ihren Geräten angezeigt.

  • Username-Attribut aus AAD: Dieser Name ist das Attribut, das Intune von Azure Active Directory erhält. Intune generiert den von diesem Profil verwendeten Benutzernamen dynamisch. Folgende Optionen sind verfügbar:

    • Benutzerprinzipalname: Ruft den Namen ab, z user1 . B. oder user1@contoso.com
    • Primäre SMTP-Adresse: Ruft den Namen im E-Mail-Adressformat ab, z. B. user1@contoso.com
    • sAM-Kontoname: Erfordert die Domäne, z. B domain\user1. . Geben Sie außerdem Folgendes ein:
      • Quelle des Benutzerdomänennamens: Wählen Sie AAD (Azure Active Directory) oder Benutzerdefiniert aus.
        • AAD: Ruft die Attribute aus Azure AD ab. Geben Sie außerdem Folgendes ein:

          • Attribut "Benutzerdomänenname" aus AAD: Wählen Sie aus, ob das Attribut Vollständiger Domänenname (contoso.com) oder netBIOS-Name (contoso) des Benutzers abgerufen werden soll.
        • Benutzerdefiniert: Ruft die Attribute aus einem benutzerdefinierten Domänennamen ab. Geben Sie außerdem Folgendes ein:

          • Zu verwendende benutzerdefinierter Domänenname: Geben Sie einen Wert ein, den Intune für den Domänennamen verwendet, zcontoso.com. B. oder contoso.
  • Email Adressattribute aus AAD: Wählen Sie aus, wie die E-Mail-Adresse für den Benutzer generiert wird. Stellen Sie sicher, dass Ihre Benutzer über E-Mail-Adressen verfügen, die dem ausgewählten Attribut entsprechen. Folgende Optionen sind verfügbar:

    • Benutzerprinzipalname: Verwenden Sie den vollständigen Prinzipalnamen als E-Mail-Adresse, z user1@contoso.com . B. oder user1.
    • Primäre SMTP-Adresse: Verwenden Sie die primäre SMTP-Adresse, um sich bei Exchange anzumelden, z user1@contoso.com. B. .
  • Authentifizierungsmethode: Wählen Sie aus, wie Sich Benutzer beim E-Mail-Server authentifizieren sollen. Folgende Optionen sind verfügbar:

    • Zertifikat: Wählen Sie ein SCEP- oder PKCS-Clientzertifikatprofil aus, das Sie zuvor zum Authentifizieren der Exchange-Verbindung erstellt haben. Diese Option bietet ihren Benutzern die sicherste und bessere Erfahrung.
    • Benutzername und Kennwort: Benutzer werden aufgefordert, ihren Benutzernamen und ihr Kennwort einzugeben.
    • Abgeleitete Anmeldeinformationen: Verwenden Sie ein Zertifikat, das von der Smartcard eines Benutzers abgeleitet ist. Weitere Informationen finden Sie unter Verwenden abgeleiteter Anmeldeinformationen in Microsoft Intune.

    Hinweis

    Die mehrstufige Azure-Authentifizierung wird nicht unterstützt.

  • SSL: Aktivieren verwendet SSL-Kommunikation (Secure Sockets Layer) beim Senden von E-Mails, Empfangen von E-Mails und Kommunizieren mit dem Exchange-Server.

  • OAuth: Aktivieren verwendet OAuth-Kommunikation (Open Authorization) beim Senden von E-Mails, Empfangen von E-Mails und Kommunizieren mit Exchange. Wenn Ihr OAuth-Server die Zertifikatauthentifizierung verwendet, wählen Sie Zertifikat als Authentifizierungsmethode aus, und fügen Sie das Zertifikat in das Profil ein. Wählen Sie andernfalls Benutzername und Kennwort als Authentifizierungsmethode aus. Achten Sie bei der Verwendung von OAuth auf Folgendes:

    • Vergewissern Sie sich, dass Ihre E-Mail-Lösung OAuth unterstützt, bevor Sie dieses Profil an Ihre Benutzer ausrichten. Microsoft 365 Exchange Online unterstützt OAuth. Lokale Exchange- und andere Partner- oder Drittanbieterlösungen unterstützen OAuth möglicherweise nicht. Lokales Exchange kann für die moderne Authentifizierung konfiguriert werden. Weitere Informationen finden Sie unter Übersicht über moderne Hybridauthentifizierung und Voraussetzungen für lokale Skype for Business- und Exchange-Server.

      Wenn das E-Mail-Profil Oauth verwendet und vom E-Mail-Dienst nicht unterstützt wird, wird die Option Kennwort erneut eingeben als fehlerhaft angezeigt. Beispielsweise geschieht nichts, wenn der Benutzer kennwort erneut eingeben in den Apple-Geräteeinstellungen auswählt.

    • Wenn OAuth aktiviert ist, verfügen Endbenutzer über eine andere E-Mail-Anmeldeoberfläche für die moderne Authentifizierung, die die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) unterstützt.

    • Einige Organisationen deaktivieren die Möglichkeit des Endbenutzers, den Self-Service-Anwendungszugriff zu ermöglichen. In diesem Szenario schlägt die Anmeldung bei der modernen Authentifizierung möglicherweise fehl, bis ein Administrator die Unternehmens-App "iOS-Konten" erstellt und Benutzern Zugriff auf die App in Azure AD gewährt.

      Die Standardaktion besteht darin, eine Anwendung mithilfe des Features Application ZugriffsbereichAdd Appohne geschäftliche Genehmigung hinzuzufügen. Weitere Informationen finden Sie unter Zuweisen von Benutzern zu Anwendungen.

    Hinweis

    Wenn Sie OAuth aktivieren, geschieht Folgendes:

    1. Geräte, die bereits als Ziel verwendet werden, erhalten ein neues Profil.
    2. Endbenutzer werden aufgefordert, ihre Anmeldeinformationen erneut einzugeben.

Exchange ActiveSync Profilkonfiguration

Wichtig

Wenn Sie diese Einstellungen konfigurieren, wird ein neues Profil auf dem Gerät bereitgestellt, auch wenn ein vorhandenes E-Mail-Profil aktualisiert wird, um diese Einstellungen einzuschließen. Benutzer werden aufgefordert, ihr Exchange ActiveSync-Kontokennwort einzugeben. Diese Einstellungen werden wirksam, wenn das Kennwort eingegeben wird.

  • Zu synchronisierende Daten austauschen: Wenn Sie Exchange ActiveSync verwenden, wählen Sie die Exchange-Dienste aus, die auf dem Gerät synchronisiert werden: Kalender, Kontakte, Erinnerungen, Notizen und Email. Folgende Optionen sind verfügbar:

    • Alle Daten (Standard): Die Synchronisierung ist für alle Dienste aktiviert.
    • Nur Email: Die Synchronisierung ist nur für Email aktiviert. Die Synchronisierung ist für die anderen Dienste deaktiviert.
    • Nur Kalender: Die Synchronisierung ist nur für Kalender aktiviert. Die Synchronisierung ist für die anderen Dienste deaktiviert.
    • Nur Kalender und Kontakte: Die Synchronisierung ist nur für Kalender und Kontakte aktiviert. Die Synchronisierung ist für die anderen Dienste deaktiviert.
    • Nur Kontakte: Die Synchronisierung ist nur für Kontakte aktiviert. Die Synchronisierung ist für die anderen Dienste deaktiviert.

    Diese Funktion gilt für:

    • iOS 13.0 und neuer
    • iOS 13.0 und höher
  • Benutzern das Ändern von Synchronisierungseinstellungen erlauben: Wählen Sie aus, ob Benutzer die Exchange ActiveSync Einstellungen für die Exchange-Dienste auf dem Gerät ändern können: Kalender, Kontakte, Erinnerungen, Notizen und Email. Folgende Optionen sind verfügbar:

    • Ja (Standard): Benutzer können das Synchronisierungsverhalten aller Dienste ändern. Wenn Sie Ja auswählen, können Änderungen an allen Diensten vorgenommen werden.
    • Nein: Benutzer können die Synchronisierungseinstellungen aller Dienste nicht ändern. Wenn Sie Nein auswählen, werden Änderungen an allen Diensten blockiert.

    Tipp

    Wenn Sie die Einstellung Exchange-Daten für die Synchronisierung so konfiguriert haben, dass nur einige Dienste synchronisiert werden, empfiehlt es sich, für diese Einstellung Nein auszuwählen. Wenn Sie Nein auswählen, wird verhindert, dass Benutzer den synchronisierten Exchange-Dienst ändern.

    Diese Funktion gilt für:

    • iOS 13.0 und neuer
    • iOS 13.0 und höher

E-Mail-Einstellungen Exchange ActiveSync

  • S/MIME: S/MIME verwendet E-Mail-Zertifikate, die zusätzliche Sicherheit für Ihre E-Mail-Kommunikation durch Signieren, Verschlüsseln und Entschlüsseln bieten. Wenn Sie S/MIME mit einer E-Mail-Nachricht verwenden, bestätigen Sie die Authentizität des Absenders sowie die Integrität und Vertraulichkeit der Nachricht.

    Folgende Optionen sind verfügbar:

    • Deaktivieren von S/MIME (Standard): Verwendet kein S/MIME-E-Mail-Zertifikat zum Signieren, Verschlüsseln oder Entschlüsseln von E-Mails.

    • Aktivieren von S/MIME: Ermöglicht Benutzern das Signieren und/oder Verschlüsseln von E-Mails in der nativen iOS-/iPadOS-E-Mail-Anwendung. Geben Sie außerdem Folgendes ein:

      • S/MIME-Signatur aktiviert: Deaktivieren (Standard) ermöglicht Benutzern nicht, die Nachricht digital zu signieren. Aktivieren ermöglicht Es Benutzern, ausgehende E-Mails für das von Ihnen eingegebene Konto digital zu signieren. Das Signieren hilft Benutzern, die Nachrichten empfangen, sicher zu sein, dass die Nachricht vom jeweiligen Absender stammt und nicht von jemandem, der vorgibt, der Absender zu sein.

        • Ändern der Einstellung durch Benutzer zulassen: Aktivieren ermöglicht Benutzern das Ändern der Signaturoptionen. Deaktivieren (Standard) verhindert, dass Benutzer die Signierung ändern, und benutzer werden gezwungen, die von Ihnen konfigurierte Signatur zu verwenden.

        • Signaturzertifikattyp: Ihre Optionen:

          • Nicht konfiguriert: Intune aktualisiert oder ändert diese Einstellung nicht.
          • Keine: Als Administrator erzwingen Sie kein bestimmtes Zertifikat. Wählen Sie diese Option aus, damit Benutzer ihr eigenes Zertifikat auswählen können.
          • Abgeleitete Anmeldeinformationen: Verwenden Sie ein Zertifikat, das von der Smartcard eines Benutzers abgeleitet ist. Weitere Informationen finden Sie unter Verwenden abgeleiteter Anmeldeinformationen in Microsoft Intune.
          • Zertifikate: Wählen Sie ein vorhandenes PKCS- oder SCEP-Zertifikatprofil aus, das zum Signieren von E-Mail-Nachrichten verwendet wird.
        • Ändern der Einstellung durch Benutzer zulassen: Aktivieren ermöglicht Benutzern das Ändern des Signaturzertifikats. Deaktivieren (Standard) verhindert, dass Benutzer das Signaturzertifikat ändern, und benutzer werden gezwungen, das von Ihnen konfigurierte Zertifikat zu verwenden.

          Diese Funktion gilt für:

          • iOS 12 und höher
          • iPadOS 12 und höher
      • Standardmäßig verschlüsseln: Aktivieren verschlüsselt alle Nachrichten als Standardverhalten. Deaktivieren (Standard) verschlüsselt nicht alle Nachrichten als Standardverhalten.

        • Ändern der Einstellung durch Benutzer zulassen: Aktivieren ermöglicht Benutzern das Ändern des Standardverschlüsselungsverhaltens. Deaktivieren verhindert, dass Benutzer das Standardverhalten der Verschlüsselung ändern, und erzwingt, dass Benutzer die von Ihnen konfigurierte Verschlüsselung verwenden.

          Diese Funktion gilt für:

          • iOS 12 und höher
          • iPadOS 12 und höher
      • Verschlüsselung pro Nachricht erzwingen: Mit der Verschlüsselung pro Nachricht können Benutzer auswählen, welche E-Mails vor dem Senden verschlüsselt werden sollen.

        Aktivieren zeigt die Verschlüsselungsoption pro Nachricht beim Erstellen einer neuen E-Mail an. Benutzer können dann die Verschlüsselung pro Nachricht aktivieren oder deaktivieren. Wenn die Einstellung Standardmäßig verschlüsseln ebenfalls aktiviert ist, können Benutzer die Verschlüsselung pro Nachricht deaktivieren.

        Deaktivieren (Standard) verhindert, dass die Verschlüsselungsoption pro Nachricht angezeigt wird. Wenn die Einstellung Standardmäßig verschlüsseln ebenfalls deaktiviert ist, können Benutzer die Verschlüsselung pro Nachricht aktivieren.

        • Verschlüsselungszertifikattyp: Ihre Optionen:

          • Nicht konfiguriert: Intune aktualisiert oder ändert diese Einstellung nicht.
          • Keine: Als Administrator erzwingen Sie kein bestimmtes Zertifikat. Wählen Sie diese Option aus, damit Benutzer ihr eigenes Zertifikat auswählen können.
          • Abgeleitete Anmeldeinformationen: Verwenden Sie ein Zertifikat, das von der Smartcard eines Benutzers abgeleitet ist. Weitere Informationen finden Sie unter Verwenden abgeleiteter Anmeldeinformationen in Microsoft Intune.
          • Zertifikate: Wählen Sie ein vorhandenes PKCS- oder SCEP-Zertifikatprofil aus, das zum Signieren von E-Mail-Nachrichten verwendet wird.
        • Ändern der Einstellung durch Benutzer zulassen: Aktivieren Sie Zulassen, dass Benutzer das Verschlüsselungszertifikat ändern können. Deaktivieren (Standard) verhindert, dass Benutzer das Verschlüsselungszertifikat ändern, und benutzer werden gezwungen, das von Ihnen konfigurierte Zertifikat zu verwenden.

          Diese Funktion gilt für:

          • iOS 12 und höher
          • iPadOS 12 und höher
  • Menge der zu synchronisierenden E-Mails: Wählen Sie die Anzahl der Tage der E-Mail aus, die Sie synchronisieren möchten. Oder wählen Sie Unbegrenzt aus, um alle verfügbaren E-Mails zu synchronisieren.

  • Verschieben von Nachrichten in andere E-Mail-Konten zulassen: Aktivieren (Standard) ermöglicht Benutzern das Verschieben von E-Mail-Nachrichten zwischen verschiedenen Konten, die die Benutzer auf ihren Geräten konfiguriert haben.

  • Senden von E-Mails von Drittanbieteranwendungen zulassen: Aktivieren (Standard) ermöglicht Benutzern, dieses Profil als Standardkonto für das Senden von E-Mails auszuwählen. Es ermöglicht Drittanbieteranwendungen, E-Mails in der nativen E-Mail-App zu öffnen, z. B. das Anfügen von Dateien an E-Mails.

  • Zuletzt verwendete E-Mail-Adressen synchronisieren: Aktivieren (Standard) ermöglicht Benutzern das Synchronisieren der Liste der E-Mail-Adressen, die kürzlich auf dem Gerät verwendet wurden, mit dem Server.

  • VPN-Profil für VPN pro Konto: Ab iOS/iPadOS 14 kann der E-Mail-Datenverkehr für die native Mail-App basierend auf dem vom Benutzer verwendeten Konto über ein VPN weitergeleitet werden. Bei Festlegung auf Keine aktiviert Intune kein kontospezifisches VPN für dieses E-Mail-Profil.

    Vpn-Verbindungen, die Sie pro App erstellen, werden in dieser Liste angezeigt. Wenn Sie ein VPN-Profil aus der Liste auswählen, verwenden alle E-Mails, die an und von diesem Konto in der Mail-App gesendet werden, den VPN-Tunnel. Die Pro-App-VPN-Verbindung wird automatisch aktiviert, wenn Benutzer ihr Organisationskonto in der Mail-App verwenden.

    Diese Funktion gilt für:

    • iOS 14 und höher
    • iPadOS 14 und höher

Nächste Schritte

Das Profil wird erstellt, aber es tut noch nichts. Die nächsten Schritte sind das Zuweisen des Profils und das Überwachen seines Status.

Konfigurieren Sie E-Mail-Einstellungen auf Android-, Android Enterprise- und Windows 10-Geräten.