Microsoft 365 Basic Mobility and Security Verwaltung von mobilen Endgeräten mit Microsoft 365

Von Thomas Joos

Anbieter zum Thema

Unternehmen, die auf Microsoft 365 setzen, erhalten auch grundlegende Funktionen für das Mobile Device Management. Diese lassen sich für Android-Geräte und auch für iOS/iPadOS nutzen. In vielen Fällen setzen hier Unternehmen aber auf die Funktionen von Microsoft Endpoint Manager/Intune.

Geräteverwaltung mit Microsoft-365-Bordmitteln: Mobile Device Management in der Cloud mit Microsoft 365 Basic Mobility and Security.
Geräteverwaltung mit Microsoft-365-Bordmitteln: Mobile Device Management in der Cloud mit Microsoft 365 Basic Mobility and Security.
(Bild: sdecoret - stock.adobe.com )

Basic Mobility and Security ermöglicht die grundsätzliche Verwaltung von Smartphones und Tablets im Rahmen der Anbindung an Microsoft 365. Die Dienste dazu sind direkt in Microsoft 365 integriert. Damit generell MDM in Microsoft 365 funktioniert, sollte noch überprüft werden, ob die notwendigen Einträge in der DNS-Zone vorgenommen wurden, die wiederum bei Microsoft 365 zum Einsatz kommt. Hier geht es vor allem um die Einträge mit dem Host „enterpriseregistration“ und „enterpriseregistration.windows.net“ sowie „enterpriseenrollment“ und „enterpriseenrollment.manage.microsoft.com“.

Bildergalerie
Bildergalerie mit 10 Bildern

Generell ist die Verwaltung von MDM in Microsoft 365 cloudbasiert, es ist keine lokale Installation notwendig. Das gilt auch, wenn Microsoft Endpoint Manager parallel oder als Alternative zum Einsatz kommt. Die Verwaltung lässt sich aber auch mit dem Microsoft Endpoint Configuration Manager noch erweitern. Das ist für Smartphones und Tablets aber in den meisten Fällen nicht notwendig, sondern nur, wenn an die Lösung auch Windows-Rechner angebunden werden sollen. Basic Mobility and Security in Microsoft 365 basiert ebenfalls auf Endpoint Manager (ohne Endpoint Configuration Manager).

Basis der Umsetzung von MDM mit Microsoft 365 sind Richtlinien

Die Umsetzung von MDM-Funktionen in Microsoft 365 erfolgt mit Richtlinien, die Anwender auf den Endgeräten bestätigen müssen. Nach der Anbindung eines Postfachs auf einem Smartphone oder einem Tablet an Microsoft 365, erscheint dazu der Hinweis, dass vor der Anbindung ein Assistent bestätigt werden muss. Dieser setzt die durch Admins festgelegten Einstellungen per Richtlinien in Android, iOS und iPadOS um. Wollen Anwender diese Richtlinien nicht umsetzen, lässt Microsoft 365 die Anbindung an das Postfach nicht zu.

Die Einrichtung der Richtlinien findet im Microsoft 365 Admin Center statt. Microsoft hat die Einrichtung von Basic Mobility and Security in Microsoft 365 bewusst einfach gehalten. Wem die Funktionen nicht ausreichen, sollte sich die kostenpflichtigen Möglichkeiten von Microsoft Endpoint Manager/Intune näher anschauen.

Funktionen von Basic Mobility and Security in Microsoft 365

Mobility and Security in Microsoft 365 unterstützt vor allem grundsätzliche Sicherheitseinstellungen auf den Endgeräten und setzt diese automatisiert über Richtlinien um. Auch das Anbinden von gerooteten Android-Geräten kann über die Richtlinien verhindert werden. Parallel dazu können Admins auch Apps auf den Geräten verteilen und konfigurieren, zum Beispiel OneDrive for Business oder Outlook.

Neben den Sicherheitseinstellungen umfasst Basic Mobility and Security auch das Anzeigen von Berichten oder das entfernte Löschen von beruflichen Daten auf den Endgeräten. Dazu erfolgt die Anbindung an Microsoft 365 mit den Geräteverwaltungsrichtlinien. Wenn einem Benutzer oder einer Gruppe eine solche Richtlinie zugeordnet ist, führt Microsoft 365 diese bei jedem Gerät aus, das der Anwender anbinden will. Verweigert der Benutzer die Anwendung auf einzelnen Geräten, lassen sich diese nicht an Microsoft 365 anbinden. Für unterstütze Geräte, lassen sich folgende Sicherheitseinstellungen in MDM für Microsoft 365 vorgeben:

  • Kennwort anfordern
  • Einfaches Kennwort verhindern (wird nicht auf Android-Geräten unterstützt)
  • Alphanumerisches Kennwort anfordern (wird nicht auf Android-Geräten unterstützt)
  • Minimale Kennwortlänge
  • Anzahl von Anmeldefehlern, bevor die Gerätedaten gelöscht werden
  • Minuten der Inaktivität, bevor das Gerät gesperrt wird
  • Kennwortablauf (Tage)
  • Kennwortverlauf verfolgen und Wiederverwendung verhindern

Es ist auch möglich alle Microsoft-365-Daten auf den angebundenen Endgeräten zu verschlüsseln, sofern das Gerät die Verschlüsselung unterstützt. Alle unterstützten Funktionen, und die jeweils kompatiblen Einstellungen, listet Microsoft in der Dokumentation auf.

Bildergalerie
Bildergalerie mit 10 Bildern

Vorbereitungen für die Anbindung von Apple-Geräten an MDM in Microsoft 365

Um Apple-Geräte an die MDM-Funktionen von Microsoft 365 anzubinden, ist ein Apple-MDM-Push-Zertifikat notwendig. Die Steuerung dazu ist bei "Geräte\Geräteregistrierung" über "Geräte registrieren" bei "Apple-Registrierung" zu finden. Nach der Vorbereitung der Zertifikatsanfrage, kann das entsprechende Zertifikat bei Apple über die Seite "https://identity.apple.com/pushcert" abgerufen werden. Das Zertifikat muss anschließend wieder im Microsoft 365 Admin Center oder im Endpoint Manager Admin Center hochgeladen werden.

Geräterichtlinien anlegen, verwalten und steuern

Die Steuerung von Geräterichtlinien erfolgt am schnellsten über die Seite https://portal.office.com/adminportal/home#/MifoDevices. Microsoft baut derzeit die Seiten von Office 365 zu Microsoft 365 Defender um, daher ändern sich die Links ständig. Durch die internen Umleitungen lassen sich durch das direkte Aufrufen der Seiten, die Funktionen aber sehr schnell erreichen. Auf dieser Seite sind die vorhandenen Richtlinien zu sehen und es lassen sich hier auch neue Richtlinien erstellen. Auch das Bearbeiten bereits vorhandener Richtlinien ist an dieser Stelle möglich.

Das Anlegen einer neuen Richtlinie erfolgt über einen Assistenten, mit dem alle notwendigen Einstellung gesetzt werden können. Im Rahmen des Assistenten kann auch festgelegt werden, ob die Einstellungen gleich umgesetzt, oder zunächst nur gespeichert werden sollen. Nachträglich lassen sich Richtlinien bereitstellen, in dem der Assistent zur Konfiguration der Richtlinie neu aufgerufen wird. Durch das Setzen der Option "Ja" lassen sich die Benutzer oder Gruppen auswählen, denen diese Richtlinie zugeordnet werden soll.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48418722)