Tutorial: Schützen Exchange Online E-Mail auf nicht verwalteten iOS-Geräten mit Microsoft Intune
In diesem Tutorial wird veranschaulicht, wie Sie Microsoft Intune App-Schutzrichtlinien mit Microsoft Entra bedingten Zugriff verwenden, um den Zugriff auf Exchange Online durch Benutzer zu blockieren, die ein nicht verwaltetes iOS-Gerät oder eine andere App als die mobile Outlook-App für den Zugriff auf Microsoft 365-E-Mails verwenden. Die Ergebnisse dieser Richtlinien gelten, wenn die iOS-Geräte nicht in einer Geräteverwaltungslösung wie Intune registriert sind.
In diesem Lernprogramm lernen Sie:
- Erstellen einer Intune-App-Schutzrichtlinie für die Outlook-App. Sie schränken ein, was der Benutzer mit App-Daten tun kann, indem Sie Speichern unter verhindern und Ausschneide-, Kopier- und Einfügeaktionen einschränken.
- Erstellen Sie Microsoft Entra Richtlinien für bedingten Zugriff, die nur der Outlook-App den Zugriff auf Unternehmens-E-Mails in Exchange Online erlauben. Sie fordern auch die Multi-Faktor-Authentifizierung (MFA) für Clients mit moderner Authentifizierung wie Outlook für iOS und Android an.
Voraussetzungen
Für dieses Tutorial empfehlen wir die Verwendung von Nichtproduktionstestabonnements.
Testabonnements helfen Ihnen, die Auswirkungen auf eine Produktionsumgebung mit falschen Konfigurationen während dieses Tutorials zu vermeiden. Testversionen ermöglichen es uns auch, nur das Konto zu verwenden, das Sie beim Erstellen des Testabonnements erstellt haben, um Intune zu konfigurieren und zu verwalten, da es über Berechtigungen zum Ausführen der einzelnen Aufgaben für dieses Tutorial verfügt. Die Verwendung dieses Kontos entfällt die Notwendigkeit, im Rahmen des Tutorials Administratorkonten zu erstellen und zu verwalten.
Für dieses Tutorial ist ein Testmandant mit den folgenden Abonnements erforderlich:
- Microsoft Intune Plan 1-Abonnement (registrieren Sie sich für ein kostenloses Testkonto)
- Microsoft Entra ID P1 (kostenlose Testversion)
- Microsoft 365-Apps für Unternehmen-Abonnement, das Exchange Server (kostenlose Testversion) umfasst
Anmelden bei Intune
Melden Sie sich für dieses Tutorial beim Microsoft Intune Admin Center mit dem Konto an, das bei der Registrierung für das Intune-Testabonnement erstellt wurde. Verwenden Sie dieses Konto weiterhin, um sich während dieses Tutorials beim Admin Center anzumelden.
Erstellen der Appschutz-Richtlinie
In diesem Tutorial richten wir eine Intune App-Schutzrichtlinie für iOS für die Outlook-App ein, um Schutzmaßnahmen auf App-Ebene einzurichten. Wir fordern eine PIN zum Öffnen einer App in einem geschäftlichen Kontext an. Wir beschränken auch die gemeinsame Datennutzung von Apps und verhindern, dass Unternehmensdaten in privaten Speicherorten gespeichert werden.
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Apps>App-Schutz Richtlinien>Richtlinie erstellen und dann iOS/iPadOS aus.
Konfigurieren Sie auf der Seite Grundlagen die folgenden Einstellungen:
- Name: Geben Sie Outlook-App-Richtlinientest ein.
- Beschreibung: Geben Sie Outlook-App-Richtlinientest ein.
Der Plattformwert wurde im vorherigen Schritt durch Auswählen von iOS/iPadOS festgelegt.
Wählen Sie Weiter aus, um fortzufahren.
Auf der Seite Apps wählen Sie die Apps aus, die von dieser Richtlinie verwaltet werden. Für dieses Tutorial fügen wir nur Microsoft Outlook hinzu:
Stellen Sie sicher , dass Zielrichtlinie aufAusgewählte Apps festgelegt ist.
Wählen Sie + Öffentliche Apps auswählen aus, um den Bereich Apps als Ziel auswählen zu öffnen. Wählen Sie dann in der Liste der Apps Die Option Microsoft Outlook aus, um es der Liste Ausgewählte Apps hinzuzufügen. Sie können nach einer App suchen, indem Sie die Bundle-ID oder den Namen verwenden. Wählen Sie Auswählen aus, um die App-Auswahl zu speichern.
Der Bereich Apps als Ziel auswählen wird geschlossen, und Microsoft Outlook wird jetzt unter Öffentliche Apps auf der Seite Apps angezeigt.
Wählen Sie Weiter aus, um fortzufahren.
Auf der Seite Datenschutz konfigurieren Sie die Einstellungen, die bestimmen, wie Benutzer mit Daten interagieren können, während sie die Apps verwenden, die durch diese App-Schutzrichtlinie geschützt sind. Konfigurieren Sie die folgenden Optionen:
Konfigurieren Sie für die Kategorie Datenübertragung die folgenden Einstellungen, und übernehmen Sie für alle anderen Einstellungen die Standardwerte:
- Senden von Organisationsdaten an andere Apps : Wählen Sie in der Dropdownliste Keine aus.
- Empfangen von Daten von anderen Apps : Wählen Sie in der Dropdownliste Keine aus.
- Ausschneiden, Kopieren und Einfügen zwischen anderen Apps einschränken: Wählen Sie in der Dropdownliste Blockiert aus.
Wählen Sie Weiter aus, um fortzufahren.
Die Seite Zugriffsanforderungen enthält Einstellungen, mit denen Sie PIN- und Anmeldeinformationenanforderungen konfigurieren können, die Benutzer erfüllen müssen, bevor sie in einem Arbeitskontext auf die geschützten Apps zugreifen können. Konfigurieren Sie die folgenden Einstellungen, und behalten Sie für alle anderen Einstellungen die Standardwerten bei:
- Wählen Sie für PIN für Zugriff die Option Anfordern aus.
- Wählen Sie für Anmeldeinformationen für Geschäfts-, Schul- oder Unikonto für Zugriff die Option Anfordern aus.
Wählen Sie Weiter aus, um fortzufahren.
Auf der Seite Bedingter Start konfigurieren Sie die Anmeldesicherheitsanforderungen für diese App-Schutzrichtlinie. Für dieses Tutorial müssen Sie diese Einstellungen nicht konfigurieren.
Wählen Sie Weiter aus, um fortzufahren.
Auf der Seite Zuweisungen weisen Sie die App-Schutzrichtlinie Gruppen von Benutzern zu. In diesem Tutorial weisen wir diese Richtlinie keiner Gruppe zu.
Wählen Sie Weiter aus, um fortzufahren.
Überprüfen Sie auf der Seite Weiter: Überprüfen und erstellen die Werte und Einstellungen, die Sie für diese Appschutz-Richtlinie eingegeben haben. Wählen Sie Erstellen aus, um die App-Schutzrichtlinie in Intune zu erstellen.
Die Appschutz-Richtlinie für Outlook wird erstellt. Als Nächstes richten Sie den bedingten Zugriff ein, um zu erzwingen, dass Geräte die Outlook-App verwenden.
Erstellen von Richtlinien für den bedingten Zugriff
Verwenden Sie als Nächstes das Microsoft Intune Admin Center, um zwei Richtlinien für bedingten Zugriff zu erstellen, die alle Geräteplattformen abdecken. Sie integrieren den bedingten Zugriff in Intune, um die Geräte und Apps zu steuern, die eine Verbindung mit E-Mails und Ressourcen Ihrer Organisation herstellen können.
Die erste Richtlinie erfordert, dass Clients für die moderne Authentifizierung die genehmigte Outlook-App und die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verwenden. Clients mit moderner Authentifizierung enthalten Outlook für iOS und Outlook für Android.
Die zweite Richtlinie erfordert, dass Exchange ActiveSync Clients die genehmigte Outlook-App verwenden. (Zurzeit unterstützt Exchange Active Sync keine anderen Bedingungen als die Geräteplattform). Sie können Richtlinien für bedingten Zugriff im Microsoft Entra Admin Center konfigurieren oder das Microsoft Intune Admin Center verwenden, in dem die Benutzeroberfläche für bedingten Zugriff aus Microsoft Entra angezeigt wird. Da wir uns bereits im Admin Center befindet, können wir die Richtlinie hier erstellen.
Wenn Sie Richtlinien für bedingten Zugriff im Microsoft Intune Admin Center konfigurieren, konfigurieren Sie diese Richtlinien tatsächlich auf den Blatten für bedingten Zugriff aus dem Azure-Portal. Daher unterscheidet sich die Benutzeroberfläche etwas von der Benutzeroberfläche, die Sie für andere Richtlinien für Intune verwenden.
Erstellen einer Richtlinie für die mehrstufige Authentifizierung für Clients der modernen Authentifizierung
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Endpunktsicherheit>Bedingter Zugriff>Neue Richtlinie erstellen aus.
Geben Sie für NameTestrichtlinie für moderne Authentifizierungsclients ein.
Wählen Sie unter Zuweisungen für Benutzerdie Option 0 Benutzer und Gruppen ausgewählt aus. Wählen Sie auf der Registerkarte Einschließen die Option Alle Benutzer aus. Der Wert für Benutzer wird auf Alle Benutzer aktualisiert.
Wählen Sie unter Zuweisungen für Zielressourcendie Option Keine Zielressourcen ausgewählt aus. Stellen Sie sicher, dass Auswählen, wofür diese Richtlinie gilt auf Cloud-Apps festgelegt ist. Da wir Microsoft 365 Exchange Online E-Mail schützen möchten, wählen Sie es aus, indem Sie die folgenden Schritte ausführen:
- Klicken Sie auf der Registerkarte Einschließen auf Apps auswählen.
- Klicken Sie für Auswählen auf Keine , um den Bereich "Cloud-Apps auswählen " zu öffnen.
- Aktivieren Sie in der Liste der Anwendungen das Kontrollkästchen für Office 365 Exchange Online, und wählen Sie dann Auswählen aus.
- Wählen Sie Fertig aus, um zum Bereich „Neue Richtlinie“ zurückzukehren.
Wählen Sie unter Zuweisungen für Bedingungendie Option 0 Bedingungen ausgewählt aus, und wählen Sie dann für Geräteplattformendie Option Nicht konfiguriert aus, um den Bereich Geräteplattformen zu öffnen:
- Legen Sie die Umschaltfläche Konfigurieren auf Ja fest.
- Wählen Sie auf der Registerkarte Einschließen die Option Geräteplattformen auswählen aus, und aktivieren Sie dann die Kontrollkästchen für Android und für iOS.
- Wählen Sie Fertig aus, um die Konfiguration der Geräteplattformen zu speichern.
Bleiben Sie im Bereich Bedingungen, und wählen Sie Für Client-Appsnicht konfiguriert aus, um den Bereich Client-Apps zu öffnen:
- Legen Sie die Umschaltfläche Konfigurieren auf Ja fest.
- Aktivieren Sie die Kontrollkästchen für Mobile Apps und Desktopclients.
- Deaktivieren Sie alle anderen Kontrollkästchen.
- Wählen Sie Fertig aus, um zum Bereich „Neue Richtlinie“ zurückzukehren.
Wählen Sie unter Zugriffssteuerungen für Gewährendie Option 0 Bedingungen ausgewählt aus, und wählen Sie dann Folgendes aus:
- Klicken Sie im Bereich Gewähren auf Zugriff gewähren.
- Wählen Sie Mehrstufige Authentifizierung erforderlich aus.
- Klicken Sie auf Genehmigte Client-App erforderlich.
- Legen Sie Für mehrere Steuerelemente die Option Alle ausgewählten Steuerelemente erforderlich fest. Durch diese Einstellung wird sichergestellt, dass beide Anforderungen, die Sie ausgewählt haben, erzwungen werden, wenn ein Gerät versucht, auf E-Mails zuzugreifen.
- Wählen Sie Auswählen aus, um die Konfiguration der Gewährung zu speichern.
Wählen Sie unter Richtlinie aktivieren die Option Ein und dann Erstellen aus.
Die Richtlinie für bedingten Zugriff für Clients mit moderner Authentifizierung wird erstellt. Jetzt können Sie eine Richtlinie für Exchange Active Sync-Clients erstellen.
Erstellen einer Richtlinie für Exchange Active Sync-Clients
Der Prozess zum Konfigurieren dieser Richtlinie ähnelt der vorherigen Richtlinie für bedingten Zugriff:
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Endpunktsicherheit>Bedingter Zugriff>Neue Richtlinie erstellen aus.
Geben Sie für NameTestrichtlinie für EAS-Clients ein.
Wählen Sie unter Zuweisungen für Benutzerdie Option 0 Benutzer und Gruppen aus. Wählen Sie auf der Registerkarte Einschließen die Option Alle Benutzer aus.
Wählen Sie unter Zuweisungen für Zielressourcendie Option Keine Zielressourcen ausgewählt aus. Stellen Sie sicher, dass Auswählen, wofür diese Richtlinie gilt auf Cloud-Apps festgelegt ist, und konfigurieren Sie dann Microsoft 365 Exchange Online E-Mail mit den folgenden Schritten:
- Klicken Sie auf der Registerkarte Einschließen auf Apps auswählen.
- Wählen Sie unter Auswählen die Option Keine aus.
- Aktivieren Sie in der Liste Cloud-Apps das Kontrollkästchen für Office 365 Exchange Online, und wählen Sie dann Auswählen aus.
Öffnen Sie unter Zuweisungendie Option Bedingungen>Geräteplattformen, und führen Sie dann Folgendes aus:
- Legen Sie die Umschaltfläche Konfigurieren auf Ja fest.
- Wählen Sie auf der Registerkarte Einschließen die Option Jedes Gerät und dann Fertig aus.
Bleiben Sie im Bereich Bedingungen , erweitern Sie Client-Apps, und führen Sie dann Folgendes aus:
- Legen Sie die Umschaltfläche Konfigurieren auf Ja fest.
- Wählen Sie Mobile Apps und Desktopclients aus.
- Wählen Sie Exchange ActiveSync-Clients aus.
- Deaktivieren Sie alle anderen Kontrollkästchen.
- Wählen Sie Fertig aus.
Erweitern Sie unter Zugriffssteuerungenden Eintrag Gewähren , und führen Sie dann folgendes aus:
- Klicken Sie im Bereich Gewähren auf Zugriff gewähren.
- Klicken Sie auf Genehmigte Client-App erforderlich. Deaktivieren Sie alle anderen Kontrollkästchen, aber lassen Sie die Konfiguration Für mehrere Steuerelemente auf Alle ausgewählten Steuerelemente erforderlich festlegen.
- Klicken Sie auf Auswählen.
Wählen Sie unter Richtlinie aktivieren die Option Ein und dann Erstellen aus.
Die Appschutz-Richtlinien und der bedingte Zugriff sind jetzt eingerichtet und können getestet werden.
Probieren Sie es aus
Mit den Richtlinien, die Sie in diesem Tutorial erstellt haben, müssen Sich Geräte bei Intune registrieren und die mobile Outlook-App verwenden, bevor das Gerät für den Zugriff auf Microsoft 365-E-Mails verwendet werden kann. Um dieses Szenario auf iOS-Geräten zu testen, melden Sie sich bei Exchange Online mit den Anmeldeinformationen für einen Benutzer auf Ihrem Testmandanten an.
Um dies auf einem iPhone zu testen, navigieren Sie zu Einstellungen>Kennwörter & Konten>Konto hinzufügen>Exchange.
Geben Sie die E-Mail-Adresse für einen Benutzer auf Ihrem Testmandanten ein, und klicken Sie dann auf Weiter.
Klicken Sie auf Anmelden.
Geben Sie das Kennwort des Testbenutzers ein, und klicken Sie auf Anmelden.
Die Meldung Es sind weitere Informationen erforderlich wird angezeigt, mit der Sie aufgefordert werden, die mehrstufige Authentifizierung einzurichten. Richten Sie eine weitere Überprüfungsmethode ein.
Danach werden Sie in einer Meldung darüber informiert, dass Sie versuchen, diese Ressource mit einer App zu öffnen, die von Ihrer IT-Abteilung nicht genehmigt ist. Die Meldung bedeutet, dass die Nutzung der nativen Mail-App für Sie gesperrt ist. Brechen Sie die Anmeldung ab.
Öffnen Sie die Outlook-App, und klicken Sie auf Einstellungen>Konto hinzufügen>E-Mail-Konto hinzufügen.
Geben Sie die E-Mail-Adresse für einen Benutzer auf Ihrem Testmandanten ein, und klicken Sie dann auf Weiter.
Klicken Sie auf Mit Office 365 anmelden. Sie werden aufgefordert, eine weitere Authentifizierung und Registrierung einzugeben. Nachdem Sie sich angemeldet haben, können Sie Aktionen wie Ausschneiden, Kopieren, Einfügen und Speichern unter testen.
Ressourcen bereinigen
Wenn die Testrichtlinien nicht mehr benötigt werden, können Sie diese entfernen.
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen SieGerätekonformität> aus.
Wählen Sie in der Liste Richtlinienname das Kontextmenü (...) für Ihre Testrichtlinie und dann Löschen aus. Wählen Sie zum Bestätigen OK aus.
Wechseln Sie zu Endpunktsicherheitsrichtlinien>für bedingten Zugriff> .
Öffnen Sie in der Liste Richtlinienname das Kontextmenü (...) für jede Ihrer Testrichtlinien, und klicken Sie dann auf Löschen. Wählen Sie zum Bestätigen Ja aus.
Nächste Schritte
In diesem Tutorial haben Sie Appschutz-Richtlinien erstellt, um die Aktionen einzuschränken, die ein Benutzer in der Outlook-App ausführen kann. Sie haben zudem Richtlinien für bedingten Zugriff erstellt, um die Outlook-App sowie die Multi-Faktor-Authentifizierung für Clients mit moderner Authentifizierung zu erzwingen. Weitere Informationen zur Verwendung von Intune mit bedingtem Zugriff zum Schutz von anderen Apps und Diensten finden Sie unter Erfahren Sie mehr über bedingten Zugriff und Intune.