Erstellen von Gerätesicherheitsrichtlinien in Basismobilität und Sicherheit

  • Artikel

Sie können Basismobilität und Sicherheit verwenden, um Geräterichtlinien zu erstellen, die Dazu beitragen, ihre Organisationsinformationen auf Microsoft 365 vor nicht autorisiertem Zugriff zu schützen. Sie können Richtlinien auf jedes mobile Gerät in Ihrer Organisation anwenden, bei dem der Benutzer des Geräts über eine anwendbare Microsoft 365-Lizenz verfügt und das Gerät in Basismobilität und Sicherheit registriert hat.

Vorabinformationen

Wichtig

Bevor Sie eine Richtlinie für mobile Geräte erstellen können, müssen Sie Basismobilität und Sicherheit aktivieren und einrichten. Weitere Informationen finden Sie unter Übersicht über Basismobilität und Sicherheit.

  • Erfahren Sie mehr über die Geräte, Apps für mobile Geräte und Sicherheitseinstellungen, die Basismobilität und Sicherheit unterstützt. Weitere Informationen finden Sie unter Funktionen von Basismobilität und Sicherheit.
  • Erstellen Sie Sicherheitsgruppen, die Microsoft 365-Benutzer enthalten, für die Sie Richtlinien bereitstellen möchten, und für Benutzer, die Sie möglicherweise von der Sperrung des Zugriffs auf Microsoft 365 ausschließen möchten. Vor der Bereitstellung einer neuen Richtlinie für Ihre Organisation sollten Sie die Richtlinie testen, indem Sie diese für eine geringe Benutzeranzahl bereitstellen. Sie können eine Sicherheitsgruppe erstellen und verwenden, die nur sich selbst oder eine kleine Anzahl von Microsoft 365-Benutzern enthält, die die Richtlinie für Sie testen können. Weitere Informationen zu Sicherheitsgruppen finden Sie unter Erstellen, Bearbeiten oder Löschen einer Sicherheitsgruppe.
  • Zum Erstellen und Bereitstellen Basismobilität und Sicherheit Richtlinien in Microsoft 365 müssen Sie ein globaler Microsoft 365-Administrator sein. Weitere Informationen finden Sie unter Berechtigungen im Security & Compliance Center.
  • Bevor Sie Richtlinien bereitstellen, informieren Sie Ihre Organisation über die potenziellen Auswirkungen der Registrierung eines Geräts bei Basismobilität und Sicherheit. Je nachdem, wie Sie die Richtlinien einrichten, können nicht konforme Geräte für den Zugriff auf Microsoft 365 blockiert werden, und Daten, einschließlich installierter Anwendungen, Fotos und persönlicher Informationen auf einem registrierten Gerät, und Daten können gelöscht werden.

Hinweis

Richtlinien und Zugriffsregeln, die in Basismobilität und Sicherheit für Microsoft 365 Business Standard erstellt wurden, überschreiben Exchange ActiveSync Postfachrichtlinien für mobile Geräte und Gerätezugriffsregeln, die im Exchange Admin Center erstellt wurden. Nachdem ein Gerät bei Basismobilität und Sicherheit für Microsoft 365 Business Standard registriert wurde, werden alle auf das Gerät angewendeten Exchange ActiveSync Postfachrichtlinien oder Gerätezugriffsregel ignoriert. Weitere Informationen zu Exchange ActiveSync finden Sie unter Exchange ActiveSync in Exchange Online.

Schritt 1: Erstellen einer Geräterichtlinie und Bereitstellen in einer Testgruppe

Bevor Sie beginnen können, stellen Sie sicher, dass Sie Basismobilität und Sicherheit aktiviert und eingerichtet haben. Anweisungen finden Sie unter Übersicht über Basismobilität und Sicherheit.

  1. Geben Sie in Ihrem Browser ein https://compliance.microsoft.com/basicmobilityandsecurity.

  2. Wählen Sie Richtlinie erstellen aus.

    Basismobilität und Sicherheit Richtlinieneinstellungen.

  3. Geben Sie auf der Seite Richtlinieneinstellungen die Anforderungen an, die auf mobile Geräte in Ihrer Organisation angewendet werden sollen.

  4. Verwaltung von E-Mail-Profilen erforderlich: Wenn diese Option aktiviert ist, gelten Geräte, auf denen kein E-Mail-Profil von Basismobilität und Sicherheit verwaltet wird, als nicht konform. Ein Gerät kann kein verwaltetes E-Mail-Profil haben, wenn es nicht richtig ausgerichtet ist oder wenn der Benutzer das E-Mail-Konto auf dem Gerät manuell eingerichtet hat. Wenn Sie die Einstellung Nicht aktiviert (Standard) belassen, wird diese Einstellung nicht auf Konformität oder Nichtkonformität ausgewertet. Anweisungen dazu, wie Benutzer bei Auswahl dieser Option konform werden können, finden Sie unter Ein vorhandenes E-Mail-Konto wurde gefunden.

  5. Wählen Sie auf der Seite Möchten Sie diese Richtlinie jetzt anwenden? die Gruppen aus, auf die Sie diese Richtlinie anwenden möchten.

  6. Wählen Sie Diese Richtlinie erstellen aus.

Die Richtlinie wird auf das Gerät jedes Benutzers gepusht, auf das die Richtlinie angewendet wird, wenn er sich das nächste Mal über sein mobiles Gerät bei Microsoft 365 anmeldet. Wenn Benutzer zuvor noch keine Richtlinie auf ihr mobiles Gerät angewendet haben, erhalten sie nach der Bereitstellung der Richtlinie eine Benachrichtigung auf ihrem Gerät, die die Schritte zum Registrieren und Aktivieren von Basismobilität und Sicherheit enthält. Weitere Informationen finden Sie unter Registrieren Ihres mobilen Geräts mit Basismobilität und Sicherheit. Bis die Registrierung in Basismobilität und Sicherheit abgeschlossen ist, die vom Intune-Dienst gehostet wird, ist der Zugriff auf E-Mail, OneDrive und andere Dienste eingeschränkt. Nachdem sie die Registrierung mithilfe der Intune-Unternehmensportal-App abgeschlossen haben, können sie die Dienste verwenden, und die Richtlinie wird auf ihr Gerät angewendet.

Schritt 2: Überprüfen, ob Ihre Richtlinie funktioniert

Nachdem Sie eine Geräterichtlinie erstellt haben, überprüfen Sie, ob die Richtlinie erwartungsgemäß funktioniert, bevor Sie sie in Ihrer Organisation bereitstellen.

  1. Geben Sie in Ihrem Browser ein https://compliance.microsoft.com/basicmobilityandsecurity.
  2. Wählen Sie Liste der verwalteten Geräte anzeigen aus.
  3. Überprüfen Sie den Status von Benutzergeräten, für die die Richtlinie angewendet wurde. Sie möchten, dass der Status der Geräte verwaltet wird.
  4. Sie können auch eine vollständige oder selektive Zurücksetzung auf einem Gerät durchführen, indem Sie nach der Auswahl eines Geräts auf die Schaltfläche Zurücksetzen auf Werkseinstellungen oder Unternehmensdaten aus Verwalten entfernen klicken. Anweisungen finden Sie unter [Zurücksetzen eines mobilen Geräts in Microsoft 365.

Schritt 3: Bereitstellen einer Richtlinie für Ihre Organisation

Nachdem Sie eine Geräterichtlinie erstellt und überprüft haben, ob sie wie erwartet funktioniert, stellen Sie sie in Ihrer Organisation bereit.

  1. Geben Sie in Ihrem Browser Folgendes ein: https://compliance.microsoft.com/basicmobilityandsecurity.
  2. Wählen Sie die Richtlinie aus, die Sie bereitstellen möchten, und klicken Sie neben Angewendete Gruppen aufBearbeiten.
  3. Suchen Sie nach einer Gruppe, die hinzugefügt werden soll, und klicken Sie auf Auswählen.
  4. Wählen Sie Schließen und Einstellung ändern aus.
  5. Wählen Sie Richtlinie schließen und bearbeiten aus.

Die Richtlinie wird auf das mobile Gerät jedes Benutzers gepusht, auf das die Richtlinie angewendet wird, wenn er sich das nächste Mal über sein mobiles Gerät bei Microsoft 365 anmeldet. Wenn benutzer keine Richtlinie auf ihr mobiles Gerät angewendet haben, erhalten sie eine Benachrichtigung auf ihrem Gerät mit Schritten zum Registrieren und Aktivieren des Geräts für Basismobilität und Sicherheit. Nachdem sie die Registrierung abgeschlossen haben, wird die Richtlinie auf ihr Gerät angewendet. Weitere Informationen finden Sie unter Registrieren Ihres mobilen Geräts mit Basismobilität und Sicherheit.

Schritt 4: Blockieren des E-Mail-Zugriffs für nicht unterstützte Geräte

Um die Informationen Ihrer Organisation zu schützen, sollten Sie den App-Zugriff auf Microsoft 365-E-Mails für mobile Geräte blockieren, die von Basismobilität und Sicherheit nicht unterstützt werden. Eine Liste der unterstützten Geräte finden Sie unter Unterstützte Geräte.

So blockieren Sie den App-Zugriff:

  1. Geben Sie in Ihrem Browser ein https://compliance.microsoft.com/basicmobilityandsecurity.

  2. Wählen Sie Organisationsweite Gerätezugriffseinstellungen verwalten aus.

  3. Um nicht unterstützte Geräte zu blockieren, wählen Sie zugriff unter Wenn ein Gerät von Basismobilität und Sicherheit für Microsoft 365 nicht unterstützt wird aus, und wählen Sie dann Speichern aus.

    Basismobilität und Sicherheit Zugriffsoption blockieren.

Schritt 5: Auswählen von aus Überprüfungen für den bedingten Zugriff auszuschließenden Sicherheitsgruppen

Wenn Sie einige Personen aus den Überprüfungen für den bedingten Zugriff auf ihren Mobilgeräten ausschließen möchten und Sie mindestens eine Sicherheitsgruppe für diese Personen erstellt haben, fügen Sie die Sicherheitsgruppen hier hinzu. Für die Personen in diesen Gruppen werden keine Richtlinien für ihre unterstützten mobilen Geräte erzwungen. Dies ist die empfohlene Option, wenn Sie Basismobilität und Sicherheit in Ihrer Organisation nicht mehr verwenden möchten.

  1. Geben Sie in Ihrem Browser ein https://compliance.microsoft.com/basicmobilityandsecurity.

  2. Wählen Sie Organisationsweite Gerätezugriffseinstellungen verwalten aus.

    Basismobilität und Sicherheit eine Richtlinienoption erstellen.

  3. Wählen Sie Hinzufügen aus, um die Sicherheitsgruppe hinzuzufügen, die Benutzer enthält, die Sie von der Sperrung des Zugriffs auf Microsoft 365 ausschließen möchten. Wenn ein Benutzer dieser Liste hinzugefügt wurde, kann er auf Microsoft 365-E-Mails zugreifen, wenn er ein nicht unterstütztes Gerät verwendet.

  4. Wählen Sie im Bereich Gruppe auswählen die Sicherheitsgruppe aus, die Sie verwenden möchten.

  5. Wählen Sie den Namen und dannSpeichernhinzufügen> aus.

  6. Wählen Sie im Bereich Organisationsweite Gerätezugriffseinstellungendie Option Speichern aus.

    Basismobilität und Sicherheit Option Zugriff zulassen.

Wie wirken sich Sicherheitsrichtlinien auf verschiedene Gerätetypen aus?

Wenn Sie eine Richtlinie auf Benutzergeräte anwenden, variieren die Auswirkungen auf jedes Gerät je nach Gerätetyp. In der folgenden Tabelle finden Sie Beispiele für die Auswirkung von Richtlinien auf verschiedene Geräte.

Sicherheitspolitik Android Samsung KNOX iOS Notizen
Verschlüsselte Sicherung anfordern Nein Ja Ja iOS-verschlüsselte Sicherung erforderlich.
Cloudsicherung blockieren Ja Ja Ja Google-Sicherung unter Android blockieren (abgeblendet), Cloudsicherung unter überwachtem iOS.
Dokumentsynchronisierung blockieren Nein Nein Ja iOS: Blockieren Sie Dokumente in der Cloud auf überwachten iOS-Geräten.
Fotosynchronisierung blockieren Nein Nein Ja iOS (systemeigen): Fotodatenstrom blockieren.
Screenshots blockieren Nein Ja Ja Bei Versuch blockiert.
Videokonferenz blockieren Nein Nein Ja FaceTime auf überwachten iOS-Geräten blockiert, nicht auf Skype oder anderen Geräten.
Senden von Diagnosedaten blockieren Nein Ja Ja Senden von Google-Absturzbericht unter Android blockieren
Zugriff auf den App-Store blockieren Nein Ja Ja App Store-Symbol fehlt auf der Android-Startseite, deaktiviert unter Windows und überwachten iOS-Geräten.
Kennwort für den App-Store anfordern Nein Nein Ja iOS: Kennwort für iTunes-Käufe erforderlich.
Verbindung mit Wechselmedien blockieren Nein Ja Nicht zutreffend Android: SD-Karte ist in den Einstellungen abgeblendet, Windows benachrichtigt Benutzer, installierte Apps sind nicht verfügbar
Bluetoothverbindung blockieren Hinweise anzeigen Hinweise anzeigen Ja BlueTooth kann unter Android nicht als Einstellung deaktiviert werden. Stattdessen deaktivieren wir alle Transaktionen, die BlueTooth erfordern: Erweiterte Audioverteilung, Audio-/Video-Fernbedienung, Freisprechgeräte, Headset, Telefonbuchzugriff und serieller Port. Eine kleine Popupnachricht wird am unteren Rand der Seite angezeigt, wenn diese Transaktionen verwendet werden.

Was geschieht beim Löschen einer Richtlinie oder beim Entfernen eines Benutzers aus der Richtlinie?

Wenn Sie eine Richtlinie löschen oder einen Benutzer aus einer Gruppe entfernen, in der die Richtlinie bereitgestellt wurde, werden möglicherweise die Richtlinieneinstellungen, das Microsoft 365-E-Mail-Profil und zwischengespeicherte E-Mails vom Gerät des Benutzers entfernt. In der folgenden Tabelle finden Sie, was für die verschiedenen Gerätetypen entfernt wird.

Entfernte Elemente iOS Android (einschließlich Samsung KNOX)
Verwaltete E-Mail-Profile1 Ja Nein
Cloudsicherung blockieren Ja Nein

1 Wenn die Richtlinie mit der Option Email Profil verwaltet bereitgestellt wurde, werden das verwaltete E-Mail-Profil und die zwischengespeicherten E-Mails in diesem Profil vom Benutzergerät gelöscht.

Die Richtlinie wird für jeden Benutzer aus dem mobilen Gerät entfernt, für den die Richtlinie gilt, wenn ihr Gerät das nächste Mal mit Basismobilität und Sicherheit eincheckt. Wenn Sie eine neue Richtlinie bereitstellen, die für diese Benutzergeräte gilt, werden diese aufgefordert, sich erneut bei Basismobilität und Sicherheit zu registrieren.

Sie können ein Gerät auch vollständig oder selektiv organisationsbezogene Informationen vom Gerät zurücksetzen. Weitere Informationen finden Sie unter Zurücksetzen eines mobilen Geräts in Basismobilität und Sicherheit.

Verwandte Inhalte

Übersicht über Basismobilität und Sicherheit (Artikel)
Funktionen von Basismobilität und Sicherheit (Artikel)