Freigeben über

Tutorial: Schützen Exchange Online E-Mail auf verwalteten iOS-Geräten mit Microsoft Intune

In diesem Tutorial erfahren Sie, wie Sie Microsoft Intune Gerätekonformitätsrichtlinien mit Microsoft Entra bedingten Zugriff verwenden, damit iOS-Geräte nur dann auf Exchange Online zugreifen können, wenn sie von Intune verwaltet werden und die Outlook-App verwenden.

In diesem Lernprogramm lernen Sie:

  • Erstellen Sie eine Intune iOS-Gerätekonformitätsrichtlinie, die die Bedingungen festlegt, die ein Gerät erfüllen muss, um als konform zu gelten.
  • Erstellen Sie eine Microsoft Entra Richtlinie für bedingten Zugriff, die erfordert, dass sich iOS-Geräte bei Intune registrieren, Intune Richtlinien einhalten und die mobile Outlook-App für den Zugriff auf Exchange Online E-Mail verwenden.

Voraussetzungen

Verwenden Sie in diesem Tutorial Nichtproduktionstestabonnements, um Auswirkungen auf eine Produktionsumgebung zu vermeiden. Melden Sie sich mit dem Konto an, das Sie beim Einrichten des Testabonnements erstellt haben. Dieses Konto verfügt über die Berechtigungen, die zum Ausführen der einzelnen Aufgaben in diesem Tutorial erforderlich sind.

Für dieses Tutorial ist ein Testmandant mit den folgenden Abonnements erforderlich:

Anmelden bei Intune

Melden Sie sich für dieses Tutorial beim Microsoft Intune Admin Center mit dem Konto an, das Sie bei der Registrierung für das Intune-Testabonnement erstellt haben.

Erstellen eines E-Mail-Geräteprofils

Für dieses Tutorial ist ein iOS-/iPadOS-Email-Geräteprofil erforderlich. Um ein Gerät zu erstellen, befolgen Sie die Anleitung in Schritt 11 – Erstellen eines Geräteprofils. Für das E-Mail-Profil müssen iOS-/iPadOS-Geräte ein geschäftliches E-Mail-Konto verwenden.

Wenn Sie das E-Mail-Profil erstellen, weisen Sie das Profil derselben Gerätegruppe zu, die Sie später für die Gerätekonformitätsrichtlinie und die Richtlinien für bedingten Zugriff verwenden, die Sie in den nachfolgenden Schritten dieses Tutorials erstellen.

Nachdem Sie das E-Mail-Profil erstellt haben, kehren Sie hierher zurück, um fortzufahren.

Erstellen einer App-Schutzrichtlinie

Für dieses Tutorial ist eine Intune App-Schutzrichtlinie erforderlich, die auf Outlook unter iOS/iPadOS ausgerichtet ist. Die App-Schutzrichtlinie funktioniert mit der Richtlinie für bedingten Zugriff, die Sie später erstellen. Dies erfordert, dass eine App-Schutzrichtlinie vorhanden ist, bevor ein Gerät auf Exchange Online zugreifen kann.

Befolgen Sie zum Erstellen der App-Schutzrichtlinie die Anleitung unter Erstellen und Zuweisen von App-Schutzrichtlinien. Verwenden Sie beim Konfigurieren der Richtlinie die folgenden Einstellungen:

  • Plattform: Wählen Sie iOS/iPadOS aus.
  • Apps: Legen Sie Zielrichtlinie aufCore Microsoft Apps fest, oder wählen Sie Microsoft Outlook einzeln aus.
  • Datenschutz, Zugriffsanforderungen und bedingter Start: Akzeptieren Sie die Standardwerte (enterprise basic data protection) für dieses Tutorial.
  • Zuweisungen: Weisen Sie die Richtlinie derselben Gruppe von Benutzern zu, die Sie in diesem Tutorial für die Richtlinien für Konformität und bedingten Zugriff verwenden.

Nachdem Sie die App-Schutzrichtlinie erstellt haben, kehren Sie hierher zurück, um fortzufahren.

Erstellen der iOS-Gerätekonformitätsrichtlinie

Richten Sie eine Intune-Gerätekonformitätsrichtlinie ein, um die Bedingungen festzulegen, die ein Gerät erfüllen muss, um als konform angesehen zu werden. In diesem Tutorial erstellen Sie eine Gerätekonformitätsrichtlinie für iOS-Geräte. Konformitätsrichtlinien sind plattformspezifisch, weshalb Sie eine separate Konformitätsrichtlinie für jede Geräteplattform benötigen, die Sie auswerten möchten.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen SieGerätekonformität> aus.

  3. Wählen Sie auf der Registerkarte Richtlinien die Option Richtlinie erstellen aus.

  4. Wählen Sie auf der Seite Richtlinie erstellen unter Plattformdie Option iOS/iPadOS und dann Erstellen aus, um den Vorgang fortzusetzen.

  5. Geben Sie auf der Registerkarte Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das neue Profil ein. Geben Sie in diesem Beispiel test (Test der iOS-Konformitätsrichtlinie) ein.
    • Beschreibung: Optional: Geben Sie den iOS-Konformitätsrichtlinientest ein.

    Wählen Sie Weiter aus, um fortzufahren.

  6. Auf der Registerkarte Kompatibilitätseinstellungen :

    1. Erweitern Sie Email, und legen Sie dann E-Mail auf dem Gerät kann nicht eingerichtet werden auf Erforderlich fest.

    2. Erweitern Sie Geräteintegrität, und legen Sie Geräte mit Jailbreak auf Blockieren fest.

    3. Erweitern Sie Systemsicherheit, und konfigurieren Sie die folgenden Einstellungen:

      • Anfordern eines Kennworts zum Entsperren mobiler Geräte für Erforderlich
      • Einfache Kennwörter, die blockiert werden sollen
      • Minimale Kennwortlänge bis 4

      Tipp

      Standardwerte, die ausgegraut und kursiv sind, stellen nur Empfehlungen dar. Sie müssen Empfehlungswerte ersetzen, um Einstellungen zu konfigurieren.

      • Erforderlicher Kennworttyp für alphanumerisch
      • Maximale Anzahl von Minuten nach der Bildschirmsperre, bevor das Kennwort sofort benötigt wird
      • Kennwortablauf (Tage) bis 41
      • Anzahl vorheriger Kennwörter, um die Wiederverwendung zu verhindern, bis 5

    Klicken Sie auf Weiter, um den Vorgang fortzusetzen.

    Konfiguration der iOS-Konformitätsrichtlinie.

  7. Wählen Sie Weiter aus, um Aktionen bei Nichtkonformität zu überspringen.

  8. Wählen Sie auf der Registerkarte Zuweisungen für Eingeschlossene Gruppendie Option Alle Geräte hinzufügen aus, oder wählen Sie eine Gruppe aus, die nur die Geräte enthält, die diese Richtlinie erhalten sollen. Achten Sie darauf, die gleiche Zuweisung wie für das E-Mail-Geräteprofil zu verwenden.

    Wählen Sie Weiter aus, um fortzufahren.

  9. Überprüfen Sie auf der Registerkarte Überprüfen + erstellen Ihre Einstellungen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen.

Erstellen der Richtlinie für bedingten Zugriff

Verwenden Sie als Nächstes das Microsoft Intune Admin Center, um eine Richtlinie für bedingten Zugriff zu erstellen. Sie integrieren den bedingten Zugriff in Intune, um die Geräte und Apps zu steuern, die eine Verbindung mit den E-Mails und Ressourcen Ihrer organization herstellen können.

Die Richtlinie für bedingten Zugriff führt Folgendes aus:

  • Geräte, auf denen eine Plattform ausgeführt wird, müssen sich bei Intune registrieren und Ihre Intune-Konformitätsrichtlinie einhalten, bevor diese Geräte für den Zugriff auf Exchange Online verwendet werden können.
  • Geräte müssen die Outlook-App für den E-Mail-Zugriff verwenden.

Sie können Richtlinien für bedingten Zugriff entweder im Microsoft Entra Admin Center oder im Microsoft Intune Admin Center konfigurieren. In den folgenden Schritten wird das Intune Admin Center verwendet.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Endpunktsicherheit>Bedingter Zugriff>Neue Richtlinie erstellen aus.

  3. Geben Sie unter NameTestrichtlinie für Microsoft 365-E-Mail ein.

  4. Wählen Sie unter Zuweisungen für Benutzer oder Agentsdie Option 0 Benutzer und Gruppen ausgewählt aus. Wählen Sie auf der Registerkarte Einschließen die Option Alle Benutzer aus. Der Wert für Benutzer wird auf Alle Benutzer aktualisiert.

  5. Wählen Sie auch unter Zuweisungen für Zielressourcendie Option Keine Zielressourcen ausgewählt aus. Wählen Sie für die Dropdownliste Auswählen, für was diese Richtlinie gilt die Option Ressourcen (früher Cloud-Apps) aus.

    Wählen Sie als Nächstes diese App aus, um Microsoft 365 Exchange Online E-Mail zu schützen:

    1. Wählen Sie auf der Registerkarte Einschließen die Option Ressourcen auswählen aus.
    2. Wählen Sie für Bestimmte Ressourcen auswählendie Option Keine aus, um den Bereich Ressourcen zu öffnen.
    3. Aktivieren Sie in der Ressourcenliste das Kontrollkästchen für Office 365 Exchange Online, und wählen Sie dann Auswählen aus.

    Wählen Sie Office 365 Exchange Online aus, um der Richtlinie hinzuzufügen.

  6. Wählen Sie auch unter Zuweisungen für Bedingungendie Option 0 Bedingungen ausgewählt aus. Wählen Sie auf der neuen Seite, die verfügbar ist, für Geräteplattformendie Option Nicht konfiguriert aus, um den Bereich Geräteplattformen zu öffnen.

    1. Legen Sie Konfigurieren auf Ja fest.
    2. Wählen Sie auf der Registerkarte Einschließendie Option Beliebiges Gerät und dann Fertig aus.

    Konfigurieren der Geräteplattformen

  7. Öffnen Sie erneut unter Zuweisungendie Bedingungen>Client-Apps.

    1. Legen Sie Konfigurieren auf Ja fest.

    2. Wählen Sie für dieses Tutorial Mobile Apps und Desktopclients aus, die teil der modernen Authentifizierungsclients sind (die sich auf Apps wie Outlook für iOS und Outlook für Android beziehen). Deaktivieren Sie alle anderen Kontrollkästchen.

    3. Klicken Sie auf Fertig und dann erneut auf Fertig.

    Wählen Sie Apps und Clients als Bedingungen für die Richtlinie aus.

  8. Wählen Sie unter Zugriffssteuerungen für Gewährendie Option Nicht konfiguriert aus, um den Bereich Gewähren zu öffnen:

    1. Klicken Sie im Bereich Gewähren auf Zugriff gewähren.

    2. Klicken Sie auf Markieren des Geräts als konform erforderlich.

    3. Wählen Sie App-Schutzrichtlinie erforderlich aus.

    4. Klicken Sie unter Für mehrere Steuerelemente auf Alle ausgewählten Kontrollen anfordern. Durch diese Einstellung wird sichergestellt, dass beide Anforderungen, die Sie ausgewählt haben, erzwungen werden, wenn ein Gerät versucht, auf E-Mails zuzugreifen.

    5. Klicken Sie auf Auswählen.

    Auswählen von Steuerelementen

  9. Klicken Sie unter Richtlinie aktivieren auf Ein.

    Legen Sie zum Aktivieren der Richtlinie den Schieberegler Richtlinie aktivieren auf Ein fest.

  10. Wählen Sie Erstellen aus, um Ihre Änderungen zu speichern. Das Profil wird zugewiesen.

Hinweis

Einige abhängige Dienste, z. B. Microsoft Teams, lassen sich in Exchange Online Ressourcen integrieren und unterliegen der früh gebundenen Richtlinienerzwingung. Daher müssen Benutzer exchange-Richtlinien einhalten, bevor sie sich bei Microsoft Teams anmelden.

Wenn Sie über eine Richtlinie für bedingten Zugriff verfügen, die Authentifizierungsanforderungen für Exchange Online Ressourcen einschränkt, müssen Benutzer die Exchange-Richtlinienanforderungen erfüllen, bevor sie sich bei Teams anmelden. Die Nichteinhaltung dieser Richtlinien wirkt sich auf die Möglichkeit aus, sich bei Teams anzumelden.

Weitere Informationen finden Sie in der Microsoft-Dokumentation zu Dienstabhängigkeiten und Richtlinienerzwingung.

Probieren Sie es aus

Mit den von Ihnen erstellten Richtlinien muss jedes iOS-Gerät, das versucht, sich bei Microsoft 365-E-Mail anzumelden, bei Intune registrieren und die mobile Outlook-App für iOS/iPadOS verwenden. Um dieses Szenario auf iOS-Geräten zu testen, melden Sie sich bei Exchange Online mit den Anmeldeinformationen für einen Benutzer auf Ihrem Testmandanten an. Sie werden aufgefordert, das Gerät zu registrieren und die mobile Outlook-App zu installieren.

  1. Um auf einem iPhone zu testen, wechseln Sie zu Einstellungen>Apps>E-Mail-Konten>>Konto hinzufügen, und wählen Sie dann Microsoft Exchange aus.

    Hinweis

    Der Pfad in den Einstellungen kann je nach iOS-Version variieren. Die vorherigen Schritte basieren auf iOS 26. Die neuesten Schritte finden Sie unter Hinzufügen eines E-Mail-Kontos zu Ihrem iPhone oder iPad auf der Apple-Supportwebsite.

  2. Geben Sie die E-Mail-Adresse für einen Benutzer auf Ihrem Testmandanten ein, und klicken Sie dann auf Weiter.

  3. Klicken Sie auf Anmelden.

  4. Geben Sie das Kennwort des Testbenutzers ein, und klicken Sie auf Anmelden.

  5. Eine Meldung wird angezeigt, die besagt, dass Ihr Gerät für den Zugriff auf die Ressource zusammen mit einer Option zur Registrierung verwaltet werden muss.

Ressourcen bereinigen

Wenn die Testrichtlinien nicht mehr benötigt werden, können Sie diese entfernen.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen SieGerätekonformität> aus.

  3. Wählen Sie in der Liste Richtlinienname Ihre Testrichtlinie und dann Löschen aus. Bestätigen Sie den Löschvorgang.

  4. Wählen SieBedingter Zugriff fürEndpunktsicherheit> aus.

  5. Wählen Sie Ihre Testrichtlinie und dann Löschen aus. Bestätigen Sie den Löschvorgang.

Nächste Schritte

In diesem Tutorial haben Sie Richtlinien erstellt, die für den Zugriff auf den Exchange Online-E-Mail-Dienst von iOS-Geräten verlangen, sich bei Intune zu registrieren und die Outlook-App zu verwenden. Informationen zur Verwendung von Intune mit bedingtem Zugriff zum Schutz anderer Apps und Dienste finden Sie unter Einrichten des bedingten Zugriffs.

  • Last updated on