Office 365 kann schon mit Bordmitteln viele Funktionen zur Verfügung stellen, die ansonsten nur mit MDM-Lösungen möglich sind. Allerdings gibt es Grenzen, zum Beispiel bei der sicheren Einstellung von Apps, der Inventarisierung oder dem Verteilen von Apps auf den Geräten. Auch ein zentraler Überblick aller angebundenen Geräte fehlt. Möglich sind aber ActiveSync-Richtlinien, Geräterichtlinien sowie das Fernlöschen von Geräten und einiges mehr. In vielen Fällen reichen die Möglichkeiten aus, vor allem wenn es um die Verwaltung von Sicherheitsfunktionen geht. Office 365 bietet natürlich unterschiedliche Funktionen an, abhängig vom eingesetzten Abonnement.
Viele Einstellungen sind erst ab Office 365 Small Business Premium oder auch erst Office 365 Enterprise E1/E3 möglich. Den genauen Funktionsumfang der verschiedenen Editionen zeigt Microsoft auf einer eigenen Webseite.
Gerätesicherheitsrichtlinien nutzen
Bei allen Editionen von Office 365 können Administratoren in den Einstellungen zentral Gerätesicherheitseinstellungen festlegen. Auf diese Weise kann bestimmt werden, dass nur solche Smartphones an Office 365 angebunden werden dürfen, die besondere Sicherheitseinstellungen nutzen. Welche das sind, lässt sich in der Weboberfläche von Office 365 einstellen. In den großen Editionen von Office 365, also E1 und E3, heißen die Gerätesicherheitseinstellungen auch Postfachrichtlinien, genauso wie in Exchange Server 2010/2013. Die Verwaltung ist dann identisch mit Exchange Server 2013.
Anwender können aber auch selbst zur Sicherheit beitragen. In Outlook Web App von Office 365 besteht die Möglichkeit, über das Zahnradsymbol im Bereich Telefon verschiedene Maßnahmen durchzuführen. Hier sind alle angebundenen Smartphones und Tablets zu sehen. Über die Statusleiste lässt sich genau anzeigen, wann sich das Gerät das letzte Mal mit dem Office-365-Postfach synchronisiert hat. Außerdem ist hier zu erkennen, welche Bezeichnung das Gerät hat, welches Betriebssystem installiert ist, die Gerätesprache sowie die verwendeten Richtlinien.
Weitere Möglichkeiten sind das Löschen des Gerätes von Office 365. In diesem Fall muss das Endgerät erneut verbunden werden. Interessant ist in diesem Bereich auch das Fernlöschen (Remote Wipe). Dabei wird das Gerät auf den Auslieferungszustand zurückgesetzt. Bei diesem Vorgang werden alle Firmendaten entfernt. Diese Funktionen sind auch in den kleinen Editionen von Office 365 integriert.
Mobilen Zugriff von Benutzern einrichten und verwalten
In den Benutzereinstellungen von Office 365 können Administratoren zentral festlegen, welche Benutzer das Recht haben, sich über ActiveSync mit dem Postfach zu verbinden. Diese Funktion lässt sich natürlich auch deaktivieren. Exchange ActiveSync ist standardmäßig aktiviert, doch das kann man über die Weboberfläche jederzeit wieder deaktivieren. In den großen Office-365-Editionen (E1 und E2) lassen sich in der Verwaltungsoberfläche von Exchange (Administrator\Exchange) für Benutzer zahlreiche Optionen festlegen. Im Bereich Postfachfunktionen können Administratoren zentral für jeden Anwender zunächst im Bereich Mobile Geräte Exchange ActiveSync aktivieren oder deaktivieren.
Über den Bereich Mobil lassen sich in den Exchange-Einstellungen von Office 365 danach zahlreiche weitere Einstellungen vornehmen. Diese fehlen allerdings in den Small-Business-Varianten von Office 365. In den großen Editionen können Administratoren bestimmte Geräte von der Verbindung blockieren lassen und umfangreiche Postfachrichtlinien festlegen. Hier unterscheidet sich Office 365 nicht von Exchange Server 2013.
Exchange-ActiveSync-Zugriffseinstellungen
Über Administrator\Exchange\Mobil sehen Administratoren Geräte, die Office 365 in die Quarantäne verschoben hat; außerdem lassen sich in diesem Bereich Gerätezugriffsregeln definieren. Office 365 bietet dazu die Möglichkeit, Regeln festzulegen, die bestimmen, welche Geräte über das Internet eine Synchronisierung durchführen dürfen und welche Office 365 sperren soll. Auf diesem Weg lassen sich unsichere oder unerwünschte Gerätetypen von der Verbindung ausschließen, auch wenn ein Benutzer generell mit Exchange ActivesSync arbeiten darf.
Solche Regeln lassen sich auch über die Benutzereinstellungen definieren. Hier sind im Bereich Postfachfunktionen\Mobile Geräte\Details anzeigen die Smartphones aufgelistet, mit denen sich Anwender verbunden haben. Über einen Klick auf die Erstellung einer neuen Regel können Administratoren festlegen, dass sich bestimmte Geräte oder Gerätefamilien nicht mit Office 365 verbinden dürfen.
Bei Gerätezugriffsregeln im Bereich Administrator\Exchange\Mobil legen Administratoren dazu zentral fest, welche Geräte sie generell blockieren oder isolieren wollen. Standardmäßig sind in diesem Bereich noch keine Richtlinien hinterlegt.
Wurde eine neue Regel auf Basis eines Benutzergerätes erstellt, wie zuvor beschrieben, wird die Regel hier ebenfalls angezeigt. Über das Pluszeichen im Bereich Gerätezugriffsregeln werden neue Richtlinien erstellt. Über Gerätefamilie oder Nur dieses Modell wird festgelegt, welche Art von Geräten blockiert oder isoliert werden soll. Die Geräte müssen sich dazu mindestens einmal mit einem Postfach im Office-365-Abonnement verbunden haben.
Anschließend kann festgelegt werden, ob die entsprechenden Geräte blockiert, zugelassen oder in die Quarantäne verschoben werden sollen. Blockierte Geräte lassen sich über diesen Weg auch wieder freischalten, indem die Option bei Zugriff zulassen gesetzt wird. Zusätzlich besteht die Möglichkeit, bestimmte Geräte in einen isolierten Bereich zu setzen. Die Benutzer können wiederum in ihren eigenen Exchange-Optionen die entsprechenden Geräte selbst freischalten oder blockieren.
Über den Link Bearbeiten nehmen Administratoren Einstellungen bezüglich der Benachrichtigungen vor. Hier wird festgelegt, was mit Geräten passieren soll, die Office 365 noch nicht kennt, und wie Office 365 Anwender über gesperrte Geräte benachrichtigen soll. Unternehmen können zum Beispiel neue Geräte automatisch blockieren oder isolieren lassen, bevor sich Anwender mit diesen synchronisieren dürfen.
Standardmäßig lässt Office 365 neue Geräte zu. Blockiert es ein neues Gerät oder setzt es in den isolierten Bereich, können Administratoren an dieser Stelle einen E-Mail-Text eingeben. Ihn erhält der Anwender in sein Postfach zugestellt, wenn er sich mit einem blockierten Gerät synchronisieren will.
Postfachrichtlinien für mobile Geräte nutzen
Klicken Administratoren im gleichen Bereich auf Postfachrichtlinien für mobile Geräte, können sie steuern, welche Sicherheitseinstellungen Smartphones verwenden müssen, damit Office 365 eine Synchronisierung zulässt. Standardmäßig legt Office 365 in den großen Editionen eine Standardrichtlinie an, deren Einstellungen Administratoren per Doppelklick verwalten. Mit dem Pluszeichen lassen sich weitere Richtlinien erstellen, die dann speziellen Anwendern zugewiesen werden können.
Unternehmen können Anwendern also problemlos unterschiedliche Richtlinien zuweisen und so beispielsweise Benutzer, die in Abteilungen mit sensiblen Daten arbeiten, noch besser absichern. In den Einstellungen legen Administratoren mit Dies ist die Standardrichtlinie fest, dass automatisch alle neue Benutzerkonten in Office 365 die Einstellungen dieser Richtlinie verwenden müssen. Diese lassen sich aber auch nachträglich in den Eigenschaften der Benutzerkonten anpassen. Hier können Administratoren auch jederzeit andere Richtlinien auswählen.
In Einstellungen im Menü Sicherheit einer Richtlinie lässt sich festlegen, welche davon auf den Endgeräten gesetzt sein müssen, damit sich diese mit Office 365 verbinden können. Sie entsprechen den Gerätesicherheitseinstellungen in den kleinen Office-365-Editionen, bieten aber mehr Auswahl.
Verbinden sich Anwender das erste Mal mit dem Postfach, erscheint eine Meldung auf dem Smartphone, dass sie die Richtlinie annehmen müssen, damit eine Synchronisierung möglich ist. Das heißt, die Richtlinie wird übertragen, die Anwender können danach selbst entscheiden, ob diese umgesetzt werden soll. Hier gibt es keinen Unterschied zwischen den großen und kleinen Editionen von Office 365.
Benutzerverwaltung für Exchange ActiveSync
Der mobile Zugriff auf ein Postfach ist standardmäßig für alle Benutzer aktiviert.
Administratoren können über die Exchange-Verwaltungskonsole in Office 365 für einzelne Benutzer Exchange ActiveSync aktivieren oder deaktivieren. Außerdem sind hier die Geräte der Anwender zu sehen.
In diesem Bereich haben Administratoren darüber hinaus die Möglichkeit, einzelne Geräte der Anwender zu sperren. Die Einstellungen sind an folgender Stelle zu finden:
1. Klicken Sie in der Weboberfläche von Office 365 auf Administrator\Exchange\Empfänger\Postfächer.
2. Rufen Sie die Eigenschaften des entsprechenden Benutzerkontos auf.
3. Klicken Sie auf Postfachfunktionen.
4. Über den Link Details anzeigen im Bereich Mobile Geräte können Sie die beschriebene Exchange-ActiveSync-Postfachrichtlinie zuweisen und Einstellungen anpassen.
5. Im unteren Bereich finden Sie die verbundenen Geräte und können diese auch entsprechend blockieren oder freischalten.
Die Grenzen von Office 365 - ab wann sind MDM-Lösungen notwendig?
Die Sicherheitseinstellungen in Office 365 sind weitreichend. Was der Cloud-Lösung aber fehlt sind jegliche Art von Berichten, eine Inventarisierung, oder die Verteilung von Apps. Außerdem lassen sich nur sehr rudimentäre Sicherheitseinstellungen vornehmen, nicht so umfangreiche Funktionen, wie bei MDM-Lösungen. Viele MDM-Lösungen bieten sogar Fernzugriff für Administratoren an, auch das ist mit Office 365 nicht möglich.
MDM-Lösungen haben außerdem den Vorteil, dass sie bestimmte Einstellungen für Endgeräte automatisieren können, zum Beispiel die E-Mail-Einstellungen. Dazu sind die Richtlinien in Office 365 nicht in der Lage. Auch wenn ein schneller Überblick über alle angebundenen Smartphones und Tablets notwendig ist, müssen Unternehmen auf MDM-Lösungen setzen. Nur sie können auch eine Datenverbindung zwischen Endgerät und Unternehmensnetzwerk aufbauen. Sind im Unternehmen verschiedene Benutzerrollen im Einsatz, zum Beispiel Geschäftsführung, Vertrieb und IT, lässt sich das über die Postfachrichtlinien zwar einigermaßen abbilden, aber nur sehr eingeschränkt. So fehlt die zentrale Steuerung von Kameras, Bluetooth oder WLAN zentral für Smartphones, wenn Unternehmen keine MDM-Lösung einsetzen. Auch Sicherheits-Tokens oder Zertifikate lassen sich ohne MDM nicht an Smartphones verteilen. (mje)