Verwalten von Outlook für iOS und Android in Exchange Online
Zusammenfassung: In diesem Artikel werden bewährte Methoden zum Verwalten von mobilen Geräten mit Outlook für iOS und Android in Exchange Online beschrieben.
Outlook für iOS und Android bietet Benutzern die schnelle, intuitive E-Mail- und Kalendererfahrung und ist gleichzeitig die einzige App, die Unterstützung für die besten Features von Microsoft 365 und Office 365 bietet. Darüber hinaus bietet Microsoft viele Hilfsprogramme zum Verwalten und Schützen von Unternehmensdaten auf mobilen Geräten in Ihrem Exchange Online organization.
Optionen zum Verwalten von Geräten und Anwendungen
Kunden, die Outlook für iOS und Android verwalten möchten, haben die folgenden Optionen:
Empfohlen: Die Enterprise Mobility + Security Suite, die Microsoft Intune und Microsoft Entra bedingten Zugriff umfasst.
Basismobilität und Sicherheit für Microsoft 365.
Unified Endpoint Management-Lösungen von Drittanbietern.
Zugriffs- und Postfachrichtlinien für mobile Geräte.
Hinweis
Implementierungsdetails zu diesen drei Optionen finden Sie unter Sichern von Outlook für iOS und Android in Exchange Online.
Microsoft empfiehlt Kunden aufgrund der erweiterten Funktionen, die von diesen Diensten bereitgestellt werden, die Features der Enterprise Mobility + Security Suite zum Schutz von Unternehmensdaten auf mobilen Geräten zu verwenden.
Wichtig
Wenn sich der Benutzer in Outlook für iOS und Android authentifiziert, werden Exchange Online Zugriffsregeln für mobile Geräte (Zulassen, Blockieren oder Quarantäne) übersprungen, wenn Microsoft Entra Richtlinien für bedingten Zugriff auf den Benutzer angewendet werden, die Folgendes umfassen:
- Cloud-App-Bedingung: Exchange Online oder Office 365
- Geräteplattformbedingung: iOS und/oder Android
- Client-Apps-Bedingung: Mobile Apps und Desktopclient
- Eine der folgenden Zugriffssteuerungen gewähren: Gerät muss als konform gekennzeichnet sein, Genehmigte Client-App anfordern oder App-Schutzrichtlinie anfordern.
Hinweis
Wenn Sie Cmdlets für mobile Geräte verwenden, zGet-MobileDevice. B. zum Überprüfen der status eines Geräts, kann der Zeitstempel für die Synchronisierung von Outlook für iOS und Android, der durch die LastSyncTime -Eigenschaft angegeben wird, bis zu 15 Minuten hinter der tatsächlichen Synchronisierungszeit zurückbleiben. Während die Gerätesynchronisierung in Echtzeit erfolgt, kann der zurückgegebene Zeitstempel zurückliegen.
Verwenden von Enterprise Mobility + Security
Die umfassendsten und umfassendsten Schutzfunktionen für Microsoft 365- und Office 365-Daten sind verfügbar, wenn Sie die Enterprise Mobility + Security Suite abonnieren. Diese Suite umfasst features für Microsoft Intune, Azure Information Protection und Microsoft Entra ID P1 oder P2, z. B. bedingten Zugriff.
Hinweis
Während das Enterprise Mobility + Security Suite-Abonnement Lizenzen für Microsoft Intune und Microsoft Entra ID enthält, können Kunden Microsoft Intune Lizenzen und Microsoft Entra ID P1- oder P2-Lizenzen separat. Alle Benutzer müssen für die Verwendung der Richtlinien für bedingten Zugriff und Intune-Schutz für Apps, die in diesem Artikel besprochen werden, lizenziert sein.
Intune bietet MAM-Funktionen (Mobile Application Management) sowie andere Funktionen für bedingten Zugriff und Geräteverwaltung. Mit Intune App-Schutzrichtlinien können Sie Aktionen für Unternehmensdaten zwischen Apps einschränken, die von Intune verwaltet werden, und nicht verwalteten Apps. Beispiel: Ausschneiden, Kopieren, Einfügen und "Speichern unter". Weitere Informationen finden Sie unter Erstellen und Zuweisen von App-Schutzrichtlinien. Darüber hinaus enthalten die Intune verwalteten Outlook-Apps ein neues Feature für die Verwaltung mehrerer Identitäten, mit dem Benutzer auf ihre persönlichen und geschäftlichen E-Mail-Konten in derselben Outlook-App zugreifen können, während die Intune App-Schutzrichtlinien nur auf das Geschäftskonto des Benutzers angewendet werden. Dieses Feature bietet eine viel nahtlosere Benutzererfahrung.
Bedingter Zugriff ist eine Funktion von Microsoft Entra ID, mit der Sie App-Zugriffssteuerungen basierend auf bestimmten Bedingungen zentral erzwingen können. Mithilfe von Richtlinien für bedingten Zugriff können Sie die korrekten Zugriffssteuerungen unter den erforderlichen Bedingungen anwenden. Microsoft Entra bedingten Zugriff bietet Ihnen zusätzliche Sicherheit, wenn eine solche Sicherheit erforderlich ist, und sie bleibt Ihren Benutzern nicht im Weg, wenn dies nicht der Fall ist.
Wichtige Funktionen der Enterprise Mobility + Security-Suite mit Outlook für iOS und Android:
Bedingter Zugriff. Microsoft Entra ID stellt sicher, dass auf Exchange Online E-Mail nur zugegriffen werden kann, wenn die Anforderungen für bedingten Zugriff erfüllt sind. Weitere Informationen zur Geräteregistrierung finden Sie unter Was ist bedingter Zugriff?.
Intune-Schutz für Apps. Mit Outlook für iOS und Android können Sie Ihre Unternehmensdaten mit Richtlinien für Intune-Schutz für Apps schützen. Diese Methode ist eine hervorragende Option für BYOD-Szenarien (Bring Your Own Device), in denen Sie Unternehmensdaten schützen möchten, ohne die Geräte eines Benutzers zu verwalten. Weitere Informationen zu Richtlinien für den Intune-Schutz von Apps finden Sie unter Schützen von App-Daten mithilfe der App-Schutzrichtlinien mit Microsoft Intune.
Geräteregistrierung. Mit Intune können Sie die Geräte und Apps Ihrer Mitarbeiter sowie deren Zugriff auf Ihre Unternehmensdaten verwalten. Outlook für iOS und Android stellt sicher, dass Exchange Online E-Mail nur auf verwalteten und konformen Smartphones und Tablets zugänglich ist. Wenn sich Benutzer auf einem nicht verwalteten mobilen Gerät bei der Outlook-App anmelden, fordert Outlook die Benutzer auf, das Gerät mithilfe der Azure-Richtlinie für bedingten Zugriff bei Intune zu registrieren, und überprüft dann, ob das Gerät die Organisationsstandards der Gerätekonformität erfüllt.
Geräteverwaltung und Berichte. Der Registrierungsprozess ermöglicht Es Organisationen, Sicherheitsrichtlinien festzulegen und zu verwalten. Erzwingen Sie beispielsweise eine PIN-Sperre auf Geräteebene, fordern Sie die Datenverschlüsselung an, und blockieren Sie kompromittierte Geräte, um zu verhindern, dass nicht vertrauenswürdige Geräte auf Unternehmens-E-Mails und -Daten zugreifen. Jedes registrierte Gerät wird im Microsoft 365 Admin Center angezeigt, und es sind Berichte verfügbar, um Details zu den Geräten bereitzustellen, die auf Ihre Unternehmensdaten zugreifen.
Selektives Zurücksetzen. Microsoft Intune können E-Mail-Daten aus Outlook für iOS und Android entfernen, während alle persönlichen E-Mail-Konten intakt bleiben (unabhängig davon, ob das Gerät registriert ist oder nicht). Dieses Feature ist eine immer wichtigere Anforderung, da immer mehr Unternehmen einen "Bring Your Own Device"-Ansatz für Smartphones und Tablets verwenden.
Verwenden von Basismobilität und Sicherheit für Microsoft 365
Basismobilität und Sicherheit für Microsoft 365 bietet Funktionen zur Geräteverwaltung ohne zusätzliche Kosten. Microsoft Intune unterstützt diese grundlegenden Funktionen und stellt einen Kernsatz von Steuerelementen im Microsoft 365 Admin Center für Organisationen bereit, die die Grundlagen benötigen.
Es gibt keine native Funktion, um zu steuern, welche Apps verwendet werden können, auch wenn ein Gerät registriert wurde. Wenn Sie den Zugriff auf Outlook für iOS und Android einschränken möchten, benötigen Sie Microsoft Entra ID P1- oder P2-Lizenzen, um Richtlinien für bedingten Zugriff zu verwenden.
Outlook für iOS und Android unterstützt die Funktionen von Basismobilität und Sicherheit für Microsoft 365 vollständig.
Ausführliche Informationen finden Sie in den folgenden Ressourcen:
Übersicht über Basismobilität und Sicherheit für Microsoft 365.
Verwalten von Einstellungen und Features auf Ihren Geräten mit Microsoft Intune-Richtlinien
Anweisungen für Ihre Endbenutzer zum Registrieren eines Geräts bei Basismobilität und Sicherheit: Registrieren Ihres mobilen Geräts mithilfe von Basismobilität und Sicherheit
Verwenden von Lösungen für die einheitliche Endpunktverwaltung von Drittanbietern
Drittanbieter für einheitliche Endpunktverwaltung können Outlook für iOS und Android auf die gleiche Weise bereitstellen, wie sie jede iOS- oder Android-App mit ihren vorhandenen Tools bereitstellen würden. Sie können auch wichtige, universelle Geräteverwaltungssteuerelemente anwenden. Beispiel: Geräte-PIN, Geräteverschlüsselung, Gerätezurücksetzung und vieles mehr.
Drittanbieter können auch bestimmte App-Konfigurationseinstellungen wie Kontoeinrichtung, organization Modus für zulässige Konten und allgemeine App-Konfigurationseinstellungen für Outlook für iOS und Android bereitstellen. Weitere Informationen finden Sie unter Bereitstellen von Konfigurationseinstellungen für Outlook für iOS- und Android-Apps.
Um Unternehmensdaten innerhalb der App zu verwalten und zu schützen (z. B. Ausschneiden, Kopieren, Einfügen und "Speichern unter" mit Unternehmensdaten einschränken), müssen Kunden die Enterprise Mobility + Security Suite von Microsoft verwenden.
Verwenden von Zugriffs- und Postfachrichtlinien für mobile Geräte
Microsoft empfiehlt Kunden, aufgrund der erweiterten Funktionen dieser Dienste entweder die Enterprise Mobility + Security Suite oder die integrierte Basismobilität und Sicherheit für Microsoft 365 zu verwenden, um Unternehmensdaten auf mobilen Geräten zu verwalten. Outlook für iOS und Android unterstützt den Zugriff auf mobile Geräte und Postfachrichtlinien für mobile Geräte (früher als Exchange Active Sync-Richtlinien bezeichnet), die über das Exchange Admin Center verfügbar sind.
Outlook für iOS und Android unterstützt die folgenden Einstellungen für Postfachrichtlinien für mobile Geräte:
Geräteverschlüsselung aktiviert
Minimale Kennwortlänge (nur unter Android)
Kennwort aktiviert
Bluetooth zulassen (wird zum Verwalten der tragbaren Outlook für Android-App verwendet, wenn Intune App-Schutzrichtlinien nicht verwendet werden)
- Wenn diese Einstellung aktiviert (standardmäßig aktiviert) oder für HandsfreeOnly konfiguriert ist, ist die Outlook-Synchronisierung zwischen dem Android-Gerät und dem tragbaren Gerät für das Geschäfts-, Schul- oder Unikonto zulässig.
- Wenn diese Einstellung deaktiviert ist, ist die Outlook-Synchronisierung zwischen dem Android-Gerät und dem tragbaren Gerät für das Geschäfts-, Schul- oder Unikonto nicht zulässig (und alle zuvor synchronisierten Daten für das Konto werden gelöscht). Das Deaktivieren der Synchronisierung wird vollständig in Outlook selbst gesteuert. Bluetooth ist weder auf dem Gerät noch auf dem Wearable deaktiviert, noch ist eine andere Wearable-App betroffen.
Informationen zum Erstellen oder Ändern einer vorhandenen Postfachrichtlinie für mobile Geräte finden Sie unter Postfachrichtlinien für mobile Geräte in Exchange Online.
Exchange-Administratoren können auch über das Exchange Admin Center eine Remote-Gerätezurücksetzung für Outlook für iOS und Android initiieren. Nachdem die Remotezurücksetzungsanforderung empfangen wurde, entfernt die App das Outlook-Profil und alle damit verbundenen Daten.
Hinweis
Outlook für iOS und Android unterstützt nur den Befehl Zum Zurücksetzen von Daten remote und nicht wie im Exchange Admin Center definiert. Weitere Informationen zum Durchführen einer Remotezurücksetzung finden Sie unter Durchführen einer Remotezurücksetzung auf einem Mobiltelefon.
Weitere Informationen zu Microsoft Intune finden Sie in der Dokumentation für Microsoft Intune.