Geräteverwaltung und Anwendungsverwaltung in Microsoft 365 Business Premium

Ein wichtiger Teil Ihrer Sicherheitsstrategie in Microsoft 365 Business Premium ist der Schutz der Computer, Tablets und Smartphones, die für den Zugriff auf Unternehmensdaten verwendet werden. Business Premium umfasst Microsoft Intune Plan 1, eine umfassende Geräteverwaltungslösung, mit der Sie Geräte registrieren, überwachen und verwalten können. Weitere Informationen finden Sie unter Microsoft Intune Übersicht.

Geräte, die von Intune verwaltet werden, sind in der Regel unternehmenseigene Geräte, können aber auch persönliche Geräte sein (auch als Bring Your Own Device oder BYOD bezeichnet). In Microsoft 365 für Kampagnen sind die meisten Geräte wahrscheinlich BYOD.

Intune bietet zwei grundlegende Strategien für die Verwaltung von Geräten, die auf Unternehmensdaten zugreifen:

• Verwaltung mobiler Geräte (Mobile Device Management, MDM): Die organization steuert alle Aspekte des Geräts. Nachdem das Gerät bei Intune registriert wurde, können Administratoren Apps installieren, die Registrierung nach Plattform zulassen oder blockieren, persönliche Geräte blockieren und vieles mehr. Wenn das Gerät jemals verloren geht oder gestohlen wird, können Sie das Gerät remote zurücksetzen. Das registrierte Gerät wird als verwaltet bezeichnet.

  Wir empfehlen immer MDM für unternehmenseigene Geräte. Anweisungen in diesem Artikel finden Sie unter Verwaltung mobiler Geräte in Intune für geräteschutz.

• Verwaltung mobiler Anwendungen (MAM): Der Benutzer steuert das Gerät, aber die organization steuert den Zugriff auf Unternehmensdaten auf dem Gerät. Sie müssen Richtlinien erstellen, die Benutzer daran hindern, ihre persönlichen Geräte bei MDM zu registrieren. Anwendungsverwaltungsrichtlinien verhindern, dass Benutzer Geschäftsdaten aus Microsoft 365 Apps in persönliche Apps kopieren. Wenn ein Gerät jemals verloren geht oder gestohlen wird, können Sie alle organization Daten aus verwalteten Apps remote entfernen. Das Gerät wird als nicht verwaltet bezeichnet.

  Sie können MDM oder MAM für persönliche Geräte verwenden. Anweisungen zu MAM in diesem Artikel finden Sie unter Verwaltung mobiler Apps in Intune zum Schutz von Daten.

Basierend auf der Art der Geräte in Ihrem organization können Sie eine oder beide Methoden auswählen, um den Zugriff auf Daten in Ihrem organization zu schützen.

Im weiteren Verlauf dieses Artikels werden die empfohlenen Optionen für MDM und MAM in Business Premium beschrieben.

Verwaltung mobiler Geräte mit Intune für den Geräteschutz

In Business Premium wird empfohlen, unternehmenseigene Geräte in Microsoft Intune zu registrieren, wie in den folgenden Unterabschnitten beschrieben.

Schritt 1: Konfigurieren von Geräteregistrierungseinschränkungen für Intune

Möglicherweise müssen Sie verhindern, dass Benutzer bestimmte Arten berechtigter Geräte in Intune registrieren. Sie beabsichtigen beispielsweise, MAM für persönliche iOS- und Android-Smartphones zu verwenden, sodass Sie verhindern möchten, dass Benutzer diese Geräte in Intune registrieren.

Anweisungen finden Sie unter Erstellen von Geräteplattformeinschränkungen.

Schritt 2: Konfigurieren der Voraussetzungen für die Geräteregistrierung für Intune

Für die Gerätetypen, die Sie bei MDM registrieren möchten, müssen Sie einige Voraussetzungen erfüllen:

• Apple: Abrufen eines Apple MDM-Pushzertifikats
• Android: Verbinden Ihres Intune-Kontos mit Ihrem verwalteten Google Play-Konto
• Windows: Einrichten der automatischen Registrierung für Windows-Geräte

  • Enterprise State Roaming bietet Benutzern eine einheitliche Erfahrung auf ihren Windows-Geräten, indem bestimmte Benutzereinstellungen synchronisiert und gespeichert werden. Weitere Informationen finden Sie unter Aktivieren von Enterprise State Roaming in Microsoft Entra ID.

    Tipp

    Informationen zum Konfigurieren der Microsoft Edge Enterprise-Synchronisierung für die Synchronisierung von Microsoft Edge-Daten finden Sie unter Konfigurieren der Microsoft Edge-Unternehmenssynchronisierung.

  • Konfigurieren Sie Intune so, dass Microsoft 365 Apps automatisch auf Windows-Geräten installiert werden. Anweisungen finden Sie unter Hinzufügen von Microsoft 365 Apps zu Windows 10/11-Geräten mit Microsoft Intune.

  • Windows Autopilot verwendet eine unterstützte Version von Windows Semi-Annual Enterprise Channel, um PCs mit unternehmenskritischen Apps, Richtlinien und Features (z. B. BitLocker) einzurichten, bevor Sie die PCs an Benutzer übergeben. Autopilot kann windows-Geräte auch zurücksetzen, neu nutzen und wiederherstellen. Weitere Informationen finden Sie unter Übersicht über Windows Autopilot.

  • Business Premium umfasst kostenlose Upgrades auf Windows 10 Pro oder Windows 11 Pro aus den folgenden Versionen von Windows:

    • Windows 7 Pro
    • Windows 8 Pro
    • Windows 8.1 Pro

    Weitere Informationen finden Sie unter Upgraden von Windows-Geräten auf Windows 10 oder 11 Pro.

Schritt 2: Konfigurieren von Konformitätsrichtlinieneinstellungen in Intune

Konformitätsrichtlinieneinstellungen sind organization und bestimmen, wie Intune Geräte ohne zugewiesene Gerätekonformitätsrichtlinien (auch als Konformitätsrichtlinien bezeichnet) behandelt. Die folgenden Werte sind möglich:

• Geräte ohne zugewiesene Konformitätsrichtlinie als> markierenKonform: Geräte gelten als konform, bis sie nach dem Zuweisen einer Gerätekonformitätsrichtlinie als nicht konform überprüft wurden. Dieser Wert ist die Standardeinstellung.
• Geräte ohne zugewiesene Konformitätsrichtlinie als> markierenNicht konform: Geräte gelten als nicht konform, bis sie nach der Zuweisung einer Gerätekonformitätsrichtlinie als konform überprüft wurden.

In der Regel wird der Standardwert Konform empfohlen. Wenn Sie jedoch gerätebasierte Richtlinien für bedingten Zugriff wie im nächsten Abschnitt beschrieben verwenden und sicherstellen möchten, dass nur konforme Geräte jemals auf Unternehmensressourcen zugreifen dürfen, verwenden Sie den Wert Geräte ohne zugewiesene Konformitätsrichtlinie als>Nicht konform markieren.

Weitere Informationen finden Sie unter Kompatibilitätsrichtlinieneinstellungen.

Schritt 4: Erstellen von Gerätekonformitätsrichtlinien in Intune

Es wird empfohlen, eine Gerätekonformitätsrichtlinie (auch als Konformitätsrichtlinie bezeichnet) für jeden Gerätetyp zu erstellen, den Sie bei MDM registrieren möchten. Die Konformitätsrichtlinie für jeden Gerätetyp gibt die Mindestkonfiguration an, die den Zugriff auf Unternehmensdaten ermöglicht. Die Richtlinien werden erst erzwungen, wenn eine entsprechende gerätebasierte Richtlinie für bedingten Zugriff auf das Gerät angewendet wird.

Hier sind unsere Empfehlungen:

• Windows-Geräte:

  • Konformitätseinstellungen:
    • Geräteintegrität: Legen Sie die folgenden Optionen auf Erforderlich fest:
      • BitLocker
      • Sicherer Start
      • Codeintegrität
    • Systemsicherheit:
      • Gerätesicherheit: Legen Sie die folgenden Optionen auf Erforderlich fest:
        • Firewall
        • Trusted Platform Module (TPM)
        • Antivirus
        • Antispyware
      • Defender: Legen Sie die folgenden Optionen auf Erforderlich fest:
        • Microsoft Defender-Antischadsoftware
        • Sicherheitsinformationen zur Microsoft Defender-Antischadsoftware auf dem neuesten Stand
        • Echtzeitschutz
  • Aktionen bei Nichtkonformität:
    • Gerät als nicht konform markieren: Ändern Sie den Wert des Zeitplans (Tage nach Nichtkonformität) von Sofort in 1.
  • Zuweisungen: Wählen Sie für Eingeschlossene Gruppendie Option Alle Benutzer hinzufügen aus.

• Andere Gerätetypen: Wählen Sie die folgenden Optionen aus, sofern verfügbar:

  • Erfordere ein Kennwort, um das Gerät zu entsperren.
  • Geräteverschlüsselung erforderlich.
  • Codeintegrität erforderlich.

Weitere Informationen finden Sie unter Erstellen einer Compliance-Richtlinie in Microsoft Intune.

Schritt 5: Erstellen von gerätebasierten Richtlinien für bedingten Zugriff

Wir empfehlen die folgenden gerätebasierten Richtlinien für bedingten Zugriff für Intune:

• MFA für Intune Geräteregistrierung erforderlich
• Blockieren unbekannter oder nicht unterstützter Geräteplattformen
• Anfordern genehmigter Client-Apps oder einer App-Schutzrichtlinie
• Anfordern eines kompatiblen Geräts, Microsoft Entra hybrid eingebundenen Geräts oder MFA für alle Benutzer

Schritt 6: Registrieren von Geräten in Intune

Nachdem Sie die vorherigen Schritte zum Vorbereiten und Konfigurieren von Intune ausgeführt haben, können Benutzer ihre Geräte jetzt registrieren. Anweisungen finden Sie in den folgenden Artikeln:

• iOS/iPadOS: Einrichten eines persönlichen iOS-Geräts für Arbeit oder Schule
• Android: Registrieren eines Geräts mit dem Android-Arbeitsprofil
• Linux: Registrieren eines Linux-Geräts in Intune
• macOS: Registrieren Ihres macOS-Geräts mithilfe der Unternehmensportal-App
• Windows: Registrieren von Windows 10/11-Geräten in Intune

Weitere Optionen für MDM

• Anzeigen und Überwachen der Geräteintegrität im Defender-Portal: In Defender for Business oder Intune in Business Premium können Sie Gerätedetails anzeigen, z. B. Integritätsstatus und Risikostufe für alle integrierten Geräte. Sie können auch Aktionen auf Geräten ausführen, z. B. eine Antivirenüberprüfung oder das Starten einer automatisierten Untersuchung. Weitere Informationen finden Sie unter Verwalten von Geräten in Microsoft Defender for Business und Überprüfen erkannter Bedrohungen.

Auf verwalteten Geräten können Benutzer die folgenden Schritte ausführen, um ihre Geräte zu schützen:

• Festlegen der Nutzungszeit auf Windows-Geräten: Antiviren-, Antischadsoftware- und andere Bedrohungsschutzfunktionen werden automatisch auf integrierten Geräten installiert, konfiguriert und regelmäßig aktualisiert. Updates, die Geräteneustarts erfordern, können nach Ihren Arbeitszeiten erfolgen, wie in der Einstellung für die Nutzungszeit auf Windows-Geräten definiert. Weitere Informationen erhalten Sie unter Halten Sie Ihren PC auf dem neuesten Stand.

Verwaltung mobiler Apps in Intune zum Schutz von Daten

In Business Premium ist die Verwaltung mobiler Apps (MAM) verfügbar, um den Zugriff auf Unternehmensdaten auf persönlichen Geräten ohne die vollständige Geräteverwaltung von MDM zu schützen. In den folgenden Unterabschnitten werden die Anforderungen für die Konfiguration von MAM beschrieben.

Schritt 1: Konfigurieren von Einschränkungen für die Geräteregistrierung für MAM

Persönliche Geräte, die Sie mit MAM schützen möchten, können nicht in Intune (MDM) registriert werden. Informationen zum Verhindern der Registrierung bestimmter Gerätetypen bei MDM finden Sie unter Erstellen von Geräteplattformeinschränkungen.

Schritt 2: Bereitstellen von App-Schutzrichtlinien in MAM

App-Schutz-Richtlinien (APP) aktivieren MAM auf iOS-/iPadOS- und Android-Geräten, ohne dass die Geräte in Intune (MDM) registriert werden müssen. Zum Beispiel:

• Erfordere eine PIN, um Microsoft Outlook auf dem Gerät zu öffnen.
• Verhindern Sie das lokale Speichern von Unternehmensdaten auf dem Gerät.

Weitere Informationen finden Sie unter Erstellen und Zuweisen von App-Schutzrichtlinien.

Zu unseren grundlegenden Empfehlungen gehören:

• Erstellen Sie Richtlinien für iOS-/iPadOS - und Android-Geräte .
• Zielrichtlinie auf: Wählen Sie Core Microsoft Apps (einschließlich Outlook) aus.
• Sichern von Organisationsdaten in iTunes- und iCloud-Sicherungen: Wählen Sie Blockieren aus.
• Organisationsdaten an andere Apps senden: Wählen Sie Richtlinienverwaltete Apps aus.
  • Kopien von Organisationsdaten speichern: Wählen Sie Blockieren aus.
  • Benutzern das Speichern von Kopien in ausgewählten Diensten erlauben: Wählen Sie OneDrive und SharePoint aus.

Unsere Empfehlungen für unterschiedliche Sicherheitsstufen werden unter Datenschutzframework mit App-Schutzrichtlinien beschrieben.

Weitere Optionen für MAM

Die mehrstufige Authentifizierung (MFA) und eine unterstützte Authentifikator-App wie die Microsoft Authenticator-App sind standardmäßig für alle Business Premium-Konten erforderlich. Weitere Informationen finden Sie unter Mehrstufige Authentifizierung für Microsoft 365.

Andernfalls ist der Gerätebesitzer für den Schutz und die Wartung seines eigenen Geräts in MAM-Szenarien verantwortlich. Sie können die folgenden Schritte ausführen:

• Aktivieren Sie Verschlüsselung und Firewallschutz. Die Datenträgerverschlüsselung schützt Daten, wenn Geräte verloren gehen oder gestohlen werden. Der Firewallschutz schützt Geräte vor unerwünschten Kontakten durch andere Computer im Internet oder in anderen Netzwerken. Weitere Informationen finden Sie unter Schützen nicht verwalteter Geräte.

• Stellen Sie sicher, dass Antiviren-/Antischadsoftware installiert und auf dem neuesten Stand ist: Weitere Informationen finden Sie unter Schützen mit Windows-Sicherheit.

• Bleiben Sie mit Betriebssystem- und Anwendungsupdates auf dem Laufenden: Weitere Informationen finden Sie unter Halten Sie Ihren PC auf dem neuesten Stand.

Nächste Schritte

• Einrichten von Information Protection-Funktionen
• Schützen von Benutzern vor Phishing und anderen Angriffen in Microsoft 365 Business
• Sicheres Zusammenarbeiten und Freigeben