Steuern Sie den Exchange Online-Zugriff für eine sicherere Organisation

Viele Organisationen verwenden die integrierte Funktion von Exchange Server, um den Gerätezugriff über einzuschränken ActiveSync. Diese Funktion bietet eine grundlegende Schutzstufe, um sicherzustellen, dass nur genehmigte Geräte eine Verbindung zur Organisation herstellen dürfen, und bietet Administratoren die Möglichkeit, Geräte anzuweisen, eine PIN zu benötigen.

Leider wurden die Richtlinien von ActiveSync lange vor der Existenz von iPhone, Android und modernen Windows Phone-Geräten definiert. Die Optionen waren auf Windows Mobile-Geräte ausgerichtet, aber die kleine Anzahl von Richtlinien, die auf den meisten Geräten verfügbar sind, ist begrenzt und trägt wenig zum Schutz von per E-Mail freigegebenen Inhalten oder zum Schutz vor Techniken wie Jailbreaking bei.

Der bedingte Zugriff für Exchange Online schließt diese Funktionslücke, indem er in Kombination mit arbeitet Microsoft Intune (und bald über Office 365 Mobile Device Management). Microsoft Intune steuert diese Funktion und basiert auf dem Status des Geräts, das Exchange Online blockiert oder zulässt. Mit dieser Funktion können Unternehmen den Prozess automatisieren, um zu überprüfen, ob ein Gerät sicher mit dem Unternehmen verbunden werden kann, und so den Exchange Online-Zugriff steuern. Wir werden erläutern, wie diese Funktionen aktiviert werden, und erläutern, wie sie den Endbenutzern angezeigt werden.

Voraussetzungen für den bedingten Zugriff

Bevor Sie den bedingten Zugriff für Exchange Online implementieren, müssen Sie sicherstellen, dass die folgenden Voraussetzungen erfüllt sind.

  • Ein Büro 365 Mandant mit Exchange Online-Postfächern ist konfiguriert und funktioniert.
  • Microsoft Intune ist konfiguriert mit:
    • Relevante Zertifikate für die Geräteverwaltung. In diesem Beispiel haben wir ein Zertifikat hinzugefügt, das die Verwaltung von iOS-Geräten ermöglicht.
    • Eine konfigurierte Exchange Online-Verbindung, die normalerweise dieselben globalen Administratoranmeldeinformationen von Microsoft Intune verwendet.
  • Eine Compliance-Richtlinie mit den Einstellungen, die Sie auf dem mobilen Gerät erzwingen möchten.

Melden Sie sich zunächst bei Ihrem vorhandenen Microsoft Intune-Mandanten unter an https://portal.manage.microsoft.com. Navigieren Sie nach dem Anmelden zu Politik Abschnitt und überprüfen Sie, ob eine Compliance-Richtlinie definiert ist. In unserem Beispiel, der Exchange Online-Zugriffsrichtlinie, sind Standardeinstellungen erforderlich ActiveSync kann erzwingen, wie z. B. ein Gerätekennwort. Die Richtlinie erfordert außerdem, dass das Gerät nicht jailbroken darf und dass Intune das E-Mail-Konto verwalten muss (Abbildung 1).

Exchange Online-Zugriffsrichtlinie
Die Standard-Compliance-Richtlinie

Die Einstellungen, die ActiveSync verwalten kann, werden über den Exchange Online-Connector im Office 365-Mandanten angezeigt. Die Mailbox-Richtlinie für mobile Geräte wird im Exchange-Verwaltungscenter im angezeigt Handy, Mobiltelefon Tab. Die verwaltete InTune-Richtlinie hat eine eindeutige WindowsIntune_ Präfix (Abbildung 2).

Mailbox-Richtlinie für mobile Geräte
Eine von Intune verwaltete Postfachrichtlinie für mobile Geräte

Aktivieren Sie den bedingten Zugriff

Mit diesen Voraussetzungen können wir jetzt den bedingten Zugriff für Exchange Online ActiveSync-Geräte aktivieren.
Verwenden Sie vor dem Aktivieren des bedingten Zugriffs die Berichtsfunktion, um zu überprüfen, welche Endbenutzer bereits keine Richtlinien mehr haben oder welche Endbenutzer nicht überprüft werden können. Letztere könnten den vorübergehenden Zugriff verlieren, bis ihre Geräte repariert sind.
Wir können dann den bedingten Zugriff in InTune aktivieren, indem wir zu navigieren Politik Registerkarte, erweitern Sie die Bedingter Zugriff Abschnitt und Auswahl Online-Richtlinie austauschen.
Wählen Sie zuerst Blockieren Sie den Zugriff von E-Mail-Apps auf Exchange Online, wenn das Gerät nicht kompatibel ist, dann wählen Sie die Zielgruppen bevor Sie eine Gruppe auswählen. Die Gruppe ist entweder eine über DirSync synchronisierte Gruppe oder eine in Azure AD erstellte Nur-Cloud-Gruppe. In unserem Beispiel wurde eine Gruppe mit dem Namen “Alle Benutzer” ausgewählt (Abbildung 3). Zum Testen vor der Bereitstellung für eine breitere Endbenutzerbasis können Sie eine kleinere Gruppe mit Pilotendbenutzern auswählen.

Zielgruppen, um den bedingten Zugriff zu ermöglichen
Aktivieren des bedingten Zugriffs

Als zusätzliche Option zum Blockieren nicht kompatibler Geräte können Sie alle Geräte blockieren, die Intune nicht unterstützt. Diese Option befindet sich unter der Nicht unterstützte Plattformen Überschrift (Abbildung 4).

Option zum Blockieren nicht unterstützter mobiler Geräte
Blockieren nicht unterstützter Geräte

Nach dem Aktivieren des bedingten Zugriffs verwendet Intune die Funktionen in Exchange Online, um Geräte zu blockieren und unter Quarantäne zu stellen, bis sie kompatibel sind. Dies bedeutet, dass der bedingte Zugriff die Verwaltung der vorhandenen Quarantänefunktionen von Office 365 automatisiert und Ihnen mehr Kontrolle über den Exchange Online-Zugriff gibt.

Endbenutzererfahrung

Nach dem Einschalten des bedingten Zugriffs werden nicht kompatible Geräte in den Quarantänestatus versetzt. Die an das Gerät gesendete Benachrichtigungs-E-Mail unterscheidet sich von einer normalen Exchange-Quarantänemeldung. Es enthält Informationen, mit denen Endbenutzer die Microsoft Intune-Anwendung aus dem App Store ihres Geräts herunterladen und das Gerät dann registrieren können. Eine mögliche Nachricht, die ein Endbenutzer erhält, könnte ihn auffordern, sein Gerät zu registrieren (Abbildung 5).

Registrieren Sie das mobile Gerät für den bedingten Zugriff
Benachrichtigungs-E-Mail, nachdem der bedingte Zugriff angewendet wurde

Wenn sich das Gerät in Quarantäne befindet, werden alle Nachrichten auf dem Gerät zusammen mit anderen synchronisierten Informationen wie Kontakten entfernt. Die ActiveSync-Beziehung zwischen dem Gerät und Exchange Online bleibt erhalten, das Gerät kann jedoch keine E-Mails synchronisieren oder Nachrichten senden.
Der nächste Schritt ist die Installation der InTune-Anwendung auf dem Gerät. Auf diese Weise können sich Endbenutzer mit ihrem Azure AD-Benutzernamen und -Kennwort (und bei Verwendung von DirSync mit ihrem AD-Kennwort) anmelden, um das Gerät bei InTune zu registrieren (Abbildung 6).

Registrieren Sie mobile Geräte bei Microsoft Intune
Die Registrierung für InTune ist abgeschlossen

Nachdem der Registrierungsprozess abgeschlossen ist und das Gerät die in der Compliance-Richtlinie festgelegten Anforderungen erfüllt, versetzt InTune das Gerät wieder in einen Zustand, in dem es mit Exchange Online synchronisiert werden darf. Wenn das Gerät nicht mehr den Richtlinien entspricht, wird dieser Exchange Online-Zugriff widerrufen.
Über den Autor:
Steve Goodman ist ein Exchange MVP und arbeitet als technischer Architekt für einen der führenden Microsoft Gold-Partner in Großbritannien. Goodman hat seit Version 5.5 intensiv mit Microsoft Exchange und seit seinen Anfängen in Exchange Labs und mit Office 365 zusammengearbeitet [email protected]

Similar Posts

Leave a Reply