Erstellen von Gerätesicherheitsrichtlinien in Basic Mobility and Security
Sie können grundlegende Mobilität und Sicherheit verwenden, um Geräterichtlinien zu erstellen, die Dazu beitragen, Ihre Organisationsinformationen in Microsoft 365 vor nicht autorisiertem Zugriff zu schützen. Sie können Richtlinien auf jedes mobile Gerät in Ihrer Organisation anwenden, bei dem der Benutzer des Geräts über eine entsprechende Microsoft 365-Lizenz verfügt und das Gerät in Basic Mobility and Security registriert hat.
Bevor Sie beginnen
Wichtig
Bevor Sie eine Richtlinie für mobile Geräte erstellen können, müssen Sie Basic Mobility and Security aktivieren und einrichten. Weitere Informationen finden Sie unter Übersicht über grundlegende Mobilität und Sicherheit für Microsoft 365.
- Erfahren Sie mehr über die Geräte, Apps für mobile Geräte und Sicherheitseinstellungen, die von Basic Mobility and Security unterstützt werden. Weitere Informationen finden Sie unter Funktionen der grundlegenden Mobilität und Sicherheit.
- Erstellen Sie Sicherheitsgruppen, die Microsoft 365-Benutzer enthalten, für die Sie Richtlinien bereitstellen möchten, und für Benutzer, die Sie möglicherweise von der Sperrung des Zugriffs auf Microsoft 365 ausschließen möchten. Vor der Bereitstellung einer neuen Richtlinie für Ihre Organisation sollten Sie die Richtlinie testen, indem Sie diese für eine geringe Benutzeranzahl bereitstellen. Sie können eine Sicherheitsgruppe erstellen und verwenden, die nur sich selbst oder eine kleine Anzahl von Microsoft 365-Benutzern enthält, die die Richtlinie für Sie testen können. Weitere Informationen zu Sicherheitsgruppen finden Sie unter Erstellen, Bearbeiten oder Löschen einer Sicherheitsgruppe.
- Um grundlegende Mobilitäts- und Sicherheitsrichtlinien in Microsoft 365 erstellen und bereitstellen zu können, müssen Sie ein Complianceadministrator sein. Weitere Informationen finden Sie unter Integrierte Microsoft Entra-Rollen.
- Bevor Sie Richtlinien bereitstellen, informieren Sie Ihre Organisation über die potenziellen Auswirkungen der Registrierung eines Geräts in Basic Mobility and Security. Je nachdem, wie Sie die Richtlinien einrichten, kann der Zugriff auf nicht kompatible Geräte auf Microsoft 365 blockiert werden, und Daten, einschließlich installierter Anwendungen, Fotos und persönlicher Informationen auf einem registrierten Gerät, und Daten können gelöscht werden.
Hinweis
Richtlinien und Zugriffsregeln, die in Basic Mobility and Security for Microsoft 365 Business Standard erstellt wurden, überschreiben Exchange ActiveSync-Postfachrichtlinien für mobile Geräte und Gerätezugriffsregeln, die im Exchange Admin Center erstellt wurden. Nachdem ein Gerät in Basic Mobility and Security for Microsoft 365 Business Standard registriert wurde, werden alle Exchange ActiveSync-Postfachrichtlinien oder Gerätezugriffsregel, die auf das Gerät angewendet werden, ignoriert. Weitere Informationen zu Exchange ActiveSync finden Sie unter Exchange ActiveSync in Exchange Online.
Schritt 1: Erstellen einer Geräterichtlinie und Bereitstellen in einer Testgruppe
Bevor Sie beginnen können, stellen Sie sicher, dass Sie Basic Mobility and Security aktiviert und eingerichtet haben. Anweisungen finden Sie unter Übersicht über grundlegende Mobilität und Sicherheit.
Wechseln Sie in Ihrem Browser zu https://compliance.microsoft.com/basicmobilityandsecurity.
Wählen Sie auf der Registerkarte Richtlinien die Option Erstellen aus.
Fügen Sie auf der Seite Richtlinienname einen Namen und eine Beschreibung hinzu, und wählen Sie Weiter aus.
Geben Sie auf der Seite Zugriffsanforderungen die Anforderungen an, die auf mobile Geräte in Ihrer Organisation angewendet werden sollen, und wählen Sie Weiter aus.
Wählen Sie auf der Seite Konfigurationen die Option Konfigurationsanforderungen für Ihre Organisation aus, und wählen Sie Weiter aus.
Wählen Sie auf der Seite Bereitstellung eine Sicherheitsgruppe aus, auf die diese Richtlinie angewendet werden soll.
Überprüfen Sie auf der Seite Überprüfen Ihre Auswahl, und wählen Sie Senden aus.
Die Richtlinie wird auf das Gerät jedes Benutzers gepusht, auf das die Richtlinie angewendet wird, wenn er sich das nächste Mal über sein mobiles Gerät bei Microsoft 365 anmeldet. Wenn Benutzer zuvor noch keine Richtlinie auf ihr mobiles Gerät angewendet haben, erhalten sie nach der Bereitstellung der Richtlinie eine Benachrichtigung auf ihrem Gerät, die die Schritte zum Registrieren und Aktivieren von Basic Mobility and Security enthält. Weitere Informationen finden Sie unter Registrieren Ihres mobilen Geräts mit grundlegender Mobilität und Sicherheit. Bis zum Abschluss der Registrierung bei Basic Mobility and Security, die vom Intune-Dienst gehostet wird, ist der Zugriff auf E-Mail, OneDrive und andere Dienste eingeschränkt. Nachdem sie die Registrierung mithilfe der Intune-Unternehmensportal-App abgeschlossen haben, können sie die Dienste verwenden, und die Richtlinie wird auf ihr Gerät angewendet.
Schritt 2: Überprüfen, ob Ihre Richtlinie funktioniert
Nachdem Sie eine Geräterichtlinie erstellt haben, überprüfen Sie, ob die Richtlinie erwartungsgemäß funktioniert, bevor Sie sie in Ihrer Organisation bereitstellen.
- Wechseln Sie in Ihrem Browser zu https://compliance.microsoft.com/basicmobilityandsecurity.
- Wählen Sie Liste der verwalteten Geräte anzeigen aus.
- Überprüfen Sie den Status von Benutzergeräten, für die die Richtlinie angewendet wurde. Sie möchten, dass der Zustand der Geräte verwaltet wird.
- Sie können auch eine vollständige oder selektive Zurücksetzung auf einem Gerät durchführen, indem Sie nach der Auswahl eines Geräts auf die Schaltfläche Zurücksetzen auf Werkseinstellungen oder Unternehmensdaten aus Verwalten entfernen klicken. Anweisungen finden Sie unter Zurücksetzen eines mobilen Geräts unter Grundlegende Mobilität und Sicherheit.
Schritt 3: Bereitstellen einer Richtlinie für Ihre Organisation
Nachdem Sie eine Geräterichtlinie erstellt und überprüft haben, ob sie wie erwartet funktioniert, stellen Sie sie in Ihrer Organisation bereit.
- Geben Sie in Ihrem Browser Folgendes ein: https://compliance.microsoft.com/basicmobilityandsecurity.
- Wählen Sie die Richtlinie aus, die Sie bereitstellen möchten, und klicken Sie neben Angewendete Gruppen aufBearbeiten.
- Suchen Sie nach einer Gruppe, die hinzugefügt werden soll, und klicken Sie auf Auswählen.
- Wählen Sie Schließen und Einstellung ändern aus.
- Wählen Sie Richtlinie schließen und bearbeiten aus.
Die Richtlinie wird auf das mobile Gerät jedes Benutzers gepusht, auf das die Richtlinie angewendet wird, wenn er sich das nächste Mal über sein mobiles Gerät bei Microsoft 365 anmeldet. Wenn benutzer keine Richtlinie auf ihr mobiles Gerät angewendet haben, erhalten sie eine Benachrichtigung auf ihrem Gerät mit Schritten zum Registrieren und Aktivieren des Geräts für Basic Mobility and Security. Nachdem sie die Registrierung abgeschlossen haben, wird die Richtlinie auf ihr Gerät angewendet. Weitere Informationen finden Sie unter Registrieren Ihres mobilen Geräts mit grundlegender Mobilität und Sicherheit.
Schritt 4: Blockieren des E-Mail-Zugriffs für nicht unterstützte Geräte
Um die Informationen Ihrer Organisation zu schützen, sollten Sie den App-Zugriff auf Microsoft 365-E-Mails für mobile Geräte blockieren, die von Basic Mobility and Security nicht unterstützt werden. Eine Liste der unterstützten Geräte finden Sie unter Unterstützte Geräte.
So blockieren Sie den App-Zugriff:
Geben Sie in Ihrem Browser ein https://compliance.microsoft.com/basicmobilityandsecurity.
Wählen Sie die Registerkarte Organisationseinstellung aus.
Um nicht unterstützte Geräte zu blockieren, wählen Sie zugriff unter Wenn ein Gerät von Basic Mobility and Security für Microsoft 365 nicht unterstützt wird, und wählen Sie dann Speichern aus.
Schritt 5: Auswählen von aus Überprüfungen für den bedingten Zugriff auszuschließenden Sicherheitsgruppen
Wenn Sie einige Personen aus den Überprüfungen für den bedingten Zugriff auf ihren Mobilgeräten ausschließen möchten und Sie mindestens eine Sicherheitsgruppe für diese Personen erstellt haben, fügen Sie die Sicherheitsgruppen hier hinzu. Für die Personen in diesen Gruppen werden keine Richtlinien für ihre unterstützten mobilen Geräte erzwungen. Dies ist die empfohlene Option, wenn Sie "Basic Mobility and Security" in Ihrer Organisation nicht mehr verwenden möchten.
Geben Sie in Ihrem Browser ein https://compliance.microsoft.com/basicmobilityandsecurity.
Wählen Sie die Registerkarte Organisationseinstellung aus.
Wählen Sie Hinzufügen aus, um die Sicherheitsgruppe hinzuzufügen, die Benutzer enthält, die Sie von der Sperrung des Zugriffs auf Microsoft 365 ausschließen möchten. Wenn ein Benutzer dieser Liste hinzugefügt wurde, kann er auf Microsoft 365-E-Mails zugreifen, wenn er ein nicht unterstütztes Gerät verwendet.
Wählen Sie im Bereich Gruppe auswählen die Sicherheitsgruppe aus, die Sie verwenden möchten.
Wählen Sie den Namen und dannSpeichernhinzufügen> aus.
Wählen Sie im Bereich Organisationseinstellung die Option Speichern aus.
Wie wirken sich Sicherheitsrichtlinien auf verschiedene Gerätetypen aus?
Wenn Sie eine Richtlinie auf Benutzergeräte anwenden, sind die Auswirkungen auf jedes Gerät je nach Gerätetyp unterschiedlich. In der folgenden Tabelle finden Sie Beispiele für die Auswirkung von Richtlinien auf verschiedene Geräte.
Sicherheitsrichtlinie | Android | Samsung KNOX | iOS | Hinweise |
---|---|---|---|---|
Verschlüsselte Sicherung anfordern | Nein | Ja | Ja | iOS-verschlüsselte Sicherung erforderlich. |
Cloudsicherung blockieren | Ja | Ja | Ja | Google-Sicherung unter Android blockieren (abgeblendet), Cloudsicherung unter überwachtem iOS. |
Dokumentsynchronisierung blockieren | Nein | Nein | Ja | iOS: Blockieren Sie Dokumente in der Cloud auf überwachten iOS-Geräten. |
Fotosynchronisierung blockieren | Nein | Nein | Ja | iOS (systemeigen): Fotodatenstrom blockieren. |
Screenshots blockieren | Nein | Ja | Ja | Bei Versuch blockiert. |
Videokonferenz blockieren | Nein | Nein | Ja | FaceTime wird auf überwachten iOS-Geräten blockiert, nicht auf Skype oder anderen Geräten. |
Senden von Diagnosedaten blockieren | Nein | Ja | Ja | Senden von Google-Absturzbericht unter Android blockieren |
Zugriff auf den App-Store blockieren | Nein | Ja | Ja | App Store-Symbol fehlt auf der Android-Startseite, deaktiviert unter Windows und überwachten iOS-Geräten. |
Kennwort für den App-Store anfordern | Nein | Nein | Ja | iOS: Kennwort für iTunes-Käufe erforderlich. |
Verbindung mit Wechselmedien blockieren | Nein | Ja | Nicht zutreffend | Android: SD-Karte ist in den Einstellungen abgeblendet, Windows benachrichtigt Benutzer, installierte Apps sind nicht verfügbar |
Bluetoothverbindung blockieren | Hinweise anzeigen | Hinweise anzeigen | Ja | BlueTooth kann unter Android nicht als Einstellung deaktiviert werden. Stattdessen deaktivieren wir alle Transaktionen, die BlueTooth erfordern: Erweiterte Audioverteilung, Audio-/Video-Fernbedienung, Freisprechgeräte, Kopfhörer, Telefonbuchzugriff und serieller Port. Eine kleine Popupnachricht wird am unteren Rand der Seite angezeigt, wenn diese Transaktionen verwendet werden. |
Was geschieht beim Löschen einer Richtlinie oder beim Entfernen eines Benutzers aus der Richtlinie?
Wenn Sie eine Richtlinie löschen oder einen Benutzer aus einer Gruppe entfernen, in der die Richtlinie bereitgestellt wurde, werden möglicherweise die Richtlinieneinstellungen, das Microsoft 365-E-Mail-Profil und zwischengespeicherte E-Mails vom Gerät des Benutzers entfernt. In der folgenden Tabelle finden Sie, was für die verschiedenen Gerätetypen entfernt wird.
Was entfernt wird | iOS | Android (einschließlich Samsung KNOX) |
---|---|---|
Verwaltete E-Mail-Profile1 | Ja | Nein |
Cloudsicherung blockieren | Ja | Nein |
1 Wenn die Richtlinie mit der Option E-Mail-Profil wird verwaltet bereitgestellt wurde, werden das verwaltete E-Mail-Profil und die zwischengespeicherten E-Mails in diesem Profil vom Benutzergerät gelöscht.
Die Richtlinie wird für jeden Benutzer aus dem mobilen Gerät entfernt, für den die Richtlinie gilt, wenn ihr Gerät das nächste Mal mit Basic Mobility and Security eingecheckt wird. Wenn Sie eine neue Richtlinie bereitstellen, die für diese Benutzergeräte gilt, werden diese aufgefordert, sich bei Basic Mobility and Security erneut zu registrieren.
Sie können ein Gerät auch vollständig oder selektiv organisationsbezogene Informationen vom Gerät zurücksetzen. Weitere Informationen finden Sie unter Zurücksetzen eines mobilen Geräts unter Grundlegende Mobilität und Sicherheit.
Verwandte Inhalte
Übersicht über grundlegende Mobilität und Sicherheit (Artikel)
Funktionen von Basic Mobility and Security (Artikel)