Mobile Sicherheit und Authentifizierung in SharePoint 2013
**Gilt für:**SharePoint Foundation 2013, SharePoint Server 2013
**Letztes Änderungsdatum des Themas:**2017-07-20
Zusammenfassung: Hier finden Sie Informationen zum Sichern einer mobilen SharePoint-Infrastruktur sowie zu den verschiedenen in SharePoint Server 2013 unterstützen Authentifizierungstypen.
Dieser Artikel enthält Sicherheitsfunktionen und -empfehlungen zum Sicherstellen, dass der Zugriff auf SharePoint Server 2013 und bestimmte Daten in SharePoint von einem Mobilgerät nicht beeinträchtigt ist. In diesem Artikel sind auch die unterstützten Authentifizierungstypen für ausgewählte Geräte sowie Einzelheiten der Authentifizierung für die SharePoint Newsfeed App aufgeführt.
Inhalt dieses Artikels:
Sicherheit für mobile Geräte
Authentifizierung für mobile Geräte
Authentifizierung für die SharePoint Newsfeed App
Sicherheit für mobile Geräte
Dieser Abschnitt enthält Sicherheitsempfehlungen für die Verwendung von Geräten, die sich außerhalb Ihres Unternehmensnetzwerks befinden. Ein verlorenes oder gestohlenes Gerät kann für ein Unternehmen auf verschiedene Arten gefährlich sein. Daher müssen die erforderlichen Maßnahmen ergriffen werden, wenn die Sicherheit eines Geräts gefährdet ist.
Allgemeine Sicherheitsüberlegungen umfassen Folgendes:
Mobile Geräte können kritische Daten oder Dokumente enthalten. Da mobile Geräte verloren gehen oder gestohlen werden können, wird das Festlegen von Richtlinien für mobile Geräte empfohlen, damit kritische Daten und Dokumente geschützt werden. Dies kann das Sichern des mobilen Geräts mithilfe einer PIN oder Sperre einschließen, und es sollte sichergestellt sein, dass die Daten auf dem mobilen Gerät remote gelöscht werden können. Je nach mobilem Gerät stehen hierzu verschiedene Programme und Features zur Verfügung. Weitere Informationen zu einer möglichen Methode der Implementierung dieser Richtlinien in Ihrer Organisation finden Sie weiter unten in diesem Artikel unter Exchange ActiveSync.
Sie können Benutzer darin schulen, wie sie zum Schutz ihrer Benutzeranmeldeinformationen beitragen können. Dies schließt das Abmelden an Websites ein, wenn alle Aufgaben erledigt sind, sodass keine Option möglich ist, mit der die Benutzer angemeldet bleiben oder ihr Kennwort beibehalten wird. Auch das häufige Löschen von Cookies im mobilen Browser zählt zu diesen Maßnahmen. Dadurch kann verhindert werden, dass andere Benutzer die Benutzeranmeldinformationen zum Anmelden an einer SharePoint-Website verwenden können, falls das mobile Gerät verloren geht oder gestohlen wird.
Wir empfehlen die Aktivierung von SSL zum Sichern der Kommunikation zwischen mobilen Browsern und dem Computer, auf dem SharePoint Server 2013 ausgeführt wird. Weitere Informationen zur Verwendung eines Reverseproxyservers wie Forefront Unified Access Gateway (UAG) zum Sichern der Kommunikation finden Sie in der technischen Forefront-Bibliothek unter Forefront Unified Access Gateway (UAG).
Exchange ActiveSync
Microsoft Exchange ActiveSync ist ein Kommunikationsprotokoll, das mobilen Zugriff per Funk auf E-Mail-Nachrichten, Zeitplandaten, Kontakte und Aufgaben bietet. Exchange ActiveSync ist auf Windows Phone sowie Telefonen und Slates von Drittanbietern verfügbar, die für Exchange ActiveSync aktiviert sind, z. B. Apple iPhone. Einer der Vorteile einer Implementierung von Exchange ActiveSync in Ihrer Organisation ist die Gerätesicherheit und -verwaltung durch Richtlinienerzwingung. Wenn SharePoint Server 2013 in einer Extranettopologie bereitgestellt wird, greifen mobile Geräte über eine öffentliche URL auf den Computer zu, auf dem SharePoint Server 2013 ausgeführt wird. Bei Verlust oder Diebstahl des mobilen Geräts muss sichergestellt werden, dass die Sicherheit von SharePoint-Daten nicht gefährdet ist. Bei Verwendung von Exchange ActiveSync können Sie beispielsweise Dateninhalte wie SharePoint-Konfigurationen remote vom Gerät löschen oder auf dem Sperrbildschirm ein komplexes Kennwort erzwingen, um den nicht autorisierten Zugriff zu verhindern.
In der folgenden Tabelle ist eine Auswahl von Exchange ActiveSync-Features und -Richtlinien aufgelistet, die Sie auf einige Geräte anwenden können.
Tabelle: Exchange ActiveSync-Richtlinien für mobile Geräte
| Exchange ActiveSync-Richtlinie | Beschreibung |
|---|---|
Remotezurücksetzung (hierbei handelt es sich um ein Feature und nicht um eine Exchange ActiveSync-Richtlinie) |
Wenn ein Mobiltelefon verloren geht, gestohlen oder in anderer Weise beschädigt wird, können Sie auf dem Exchange-Computer oder in einem beliebigen Webbrowser mithilfe von Outlook Web App einen Befehl zur Remotezurücksetzung ausgeben. Mit diesem Befehl wird das Gerät auf die Herstellerstandards zurückgesetzt. Wichtig Nach einer Remotegerätzurücksetzung ist es äußerst schwierig, Daten wiederherzustellen. Es gibt jedoch keinen Datenentfernungsvorgang, der ein Gerät so rückstandsfrei von verbliebenen Daten hinterlässt, wie es bei einem neuen Gerät der Fall ist. Die Wiederherstellung der Daten eines Geräts kann mithilfe von Spezialtools auch weiterhin möglich sein. |
Kennwort für Gerät erzwingen (DevicePasswordEnabled) |
Diese Einstellung aktiviert das Mobiltelefonkennwort. |
Minimale Kennwortlänge (MinDevicePasswordLength) |
Mit dieser Option wird die Länge des Kennworts für das Mobiltelefon angegeben. Die Standardlänge beträgt vier Zeichen, es können jedoch bis zu 18 Zeichen vorgeschrieben werden. |
Alphanumerisches Kennwort anfordern (AlphanumericDevicePasswordRequired) |
Diese Einstellung schreibt vor, dass ein Kennwort numerische und nicht-numerische Zeichen enthalten muss. |
Einfaches Kennwort zulassen (AllowSimpleDevicePassword) |
Diese Einstellung aktiviert bzw. deaktiviert die Möglichkeit, ein einfaches Kennwort wie "1234" zu verwenden. |
Zeitsperre für maximale Inaktivität (MaxInactivityTimeDeviceLock) |
Diese Option bestimmt, wie lange das Mobiltelefon inaktiv sein muss, bevor der Benutzer zur Eingabe eines Kennworts aufgefordert wird, um die Sperre für das Mobiltelefon aufzuheben. |
Wichtig
Die Auswahl der verwendbaren Exchange ActiveSync-Richtlinien ist geräteabhängig. Weitere Informationen zu den unterstützten Richtlinien auf einer bestimmten Plattform (wie Windows Phone oder Apple iPhone) finden Sie unter Exchange ActiveSync.
Finden eines verlorenen Geräts
Bei Verlust oder Diebstahl eines Geräts ist es u. U. hilfreich, den Standort des Geräts zu ermitteln und ggf. alle Dateninhalte zu löschen. Diese Funktionalität wird von verschiedenen Drittanbieterdiensten und -lösungen geboten. Der Windows Phone-Dienst "Mein Handy finden" macht es z. B. einfacher, Ihr mobiles Gerät wiederzufinden oder zu verhindern, das es ohne Ihre Zustimmung verwendet wird.
Die Funktionalität dieses Diensts umfasst Folgendes:
Anzeigen des Standorts Ihres mobilen Geräts auf der Karte.
Ihr mobiles Gerät klingeln lassen.
Sperren Ihres mobilen Geräts und Anzeigen einer Nachricht.
Löschen der Daten auf Ihrem mobilen Gerät.
Hinweis
Weitere Informationen zum Windows Phone-Dienst "Mein Handy finden" finden Sie unter Wiederfinden eines verlorenen Handys.
Authentifizierung für mobile Geräte
SharePoint Server 2013 unterstützt mehrere Authentifizierungsmethoden und Authentifizierungsmodi. Nicht alle mobilen Browser und Geräte können mit allen verfügbaren Authentifizierungsmethoden verwendet werden. Beim Planen des Zugriffs auf mobile Geräte müssen Sie folgende Aktionen ausführen:
Bestimmen Sie die mobilen Geräte, die unterstützt werden müssen. Bringen Sie dann die Authentifizierungsmethoden in Erfahrung, die von den mobilen Geräten unterstützt werden. Diese Informationen sind je nach Hersteller unterschiedlich.
Bestimmen Sie die Websites, die Sie für Ihre mobilen Benutzer verfügbar machen möchten.
Bestimmen, ob der Zugriff auf SharePoint-Websites für mobile Geräte verfügbar sein soll, wenn die Geräte außerhalb der Unternehmensfirewall verwendet werden. In diesem Fall kann die Methode, die zum Aktivieren des externen Zugriffs verwendet wird, auch Auswirkungen auf die Authentifizierung von mobilen Geräten besitzen.
Die folgenden Tabellen enthalten ausführliche Informationen zu den für Browser, OneDrive for Business und das Windows Phone-Feature Office-Hub unterstützten Authentifizierungstypen in SharePoint Server 2013. Im Folgenden bezieht sich "Organisations-ID" auf die Microsoft Online Services-ID, den Identitätsanbieter für Office 365. MSOFBA steht für Microsoft Office Forms Based Authentication.
Tabelle: Unterstützte Authentifizierung für SharePoint-Browser auf mobilen Geräten
| SharePoint-Infrastruktur | Mobile Geräte |
|---|---|
Authentifizierungstyp |
Authentifizierungsprotokoll |
Windows-Authentifizierung |
NTLM |
Standardauthentifizierung |
Active Directory |
Formularbasierte Authentifizierung (FBA) |
FBA |
FBA |
Organisations-ID |
SAML (Token-basiert) |
SAML |
Tabelle: Unterstützte Authentifizierungstypen für die OneDrive for Business-App
| Authentifizierungstyp | Beschreibung | Unterstützt | Administrator-Typ für die Konfiguration erforderlich |
|---|---|---|---|
Org-ID |
Organisationen mit einem Office 365- oder SharePoint Online-Mandanten ohne Verbund. |
Ja |
Globaler Administrator |
ADFS- und Org-ID-Verbund |
Organisationen mit einem hybriden Office 365- oder SharePoint Online-Mandanten mit Verbundbenutzern aus einem lokalen Verzeichnis. |
Ja |
Globaler Administrator und lokaler Netzwerkadministrator sowie SharePoint-Administrator |
Windows-Authentifizierung (NTLM) |
Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass NTLM anspruchsbasierte Windows-Authentifizierung zugelassen wird. |
Ja |
SharePoint-Administrator |
Formularbasierte Authentifizierung (FBA) |
Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass die formularbasierte Authentifizierung oder eine andere anspruchsbasierte Authentifizierung über ein Standard-Websteuerelement zugelassen wird. |
Ja |
SharePoint-Administrator |
Qualifizierte nicht-ADFS-Identitätsanbieter |
Organisationen mit einer Office 365- oder SharePoint Online-Umgebung, die so konfiguriert ist, dass Benutzer sich anmelden können, die mit einem für Rich-Clients im Works mit Office 365 - Identitätsprogramm qualifizierten Identitätsanbieter verbunden sind. |
Ja |
SharePoint-Administrator sowie der lokale Netzwerkadministrator oder globale Administrator (in einigen Organisationen ist der globale Administrator eine Anforderung, keine Option.) |
Alle anderen nicht-ADFS-Identitätsanbieter |
Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass ein nicht-ADFS-Identitätsanbieter zugelassen wird. |
Nein |
SharePoint-Administrator sowie der lokale Netzwerkadministrator |
Kerberos-Authentifizierung |
Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass sie die Kerberos-Authentifizierung unterstützt. |
Nein |
SharePoint-Administrator sowie der lokale Netzwerkadministrator |
Standardauthentifizierung |
Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass sie die Standardauthentifizierung unterstützt. |
Nein |
SharePoint-Administrator sowie der lokale Netzwerkadministrator |
Hinweis
Wenn Sie ein Office 365-Benutzer mit mehreren Mandanten sind, können Sie sich über die OneDrive for Business-App in jeder Netzwerkumgebung anmelden, auch über WLAN und mobil. Wenn Sie Office 365 nicht mit mehreren Mandanten nutzen, können Sie sich nur über das lokale WLAN-Netzwerk in Ihrer Organisation verbinden. Wenden Sie sich an Ihren SharePoint-Administrator, falls Sie unsicher sind, welche Art von Benutzer Sie sind.
Tabelle: Matrix der Authentifizierungsunterstützung auf mobilen Geräten für Office-Hub
| SharePoint-Infrastruktur | Clientseite | Mobile Geräte |
|---|---|---|
Authentifizierungstyp |
Authentifizierungsprotokoll |
Identitätsanbieter |
Windows-Authentifizierung |
NTLM |
Active Directory |
Standardauthentifizierung |
Active Directory |
Lokal, Extranet |
Formularbasierte Authentifizierung (FBA) |
FBA |
Active Directory, LDAP, SQL |
FBA |
Organisations-ID |
SharePoint Online, hybride Szenarien |
FBA |
Organisations-ID |
SharePoint Online, hybride Szenarien |
SAML (Token-basiert) |
SAML |
Mit WS-Federation 1.1 kompatibler Identitätsanbieter |
SAML |
Mit WS-Federation 1.1 kompatibler Identitätsanbieter |
Lokal, SharePoint Online, hybride Szenarien |
Hinweis
Die Internetprotokollsicherheit (Internet Protocol security, IPsec) muss auf den Servern deaktiviert sein, damit mobile Geräte mit SharePoint-Servern kommunizieren können, da mobile Geräte nicht in Domänen eingebunden sind.
Authentifizierung für die SharePoint Newsfeed App
Dieser Abschnitt enthält Hinweise und Überlegungen zur Authentifizierung für die SharePoint Newsfeed App. Darin sind auch Informationen für lokale Bereitstellungen und die Verwendung von SharePoint Online enthalten.
Authentifizierungsunterstützung für die SharePoint Newsfeed App
Die folgende Tabelle enthält ausführliche Informationen zu den für die SharePoint Newsfeed App unterstützten Authentifizierungstypen in SharePoint Server 2013. Im Folgenden bezieht sich "Organisations-ID" auf die Microsoft Online Services-ID, den Identitätsanbieter für Office 365. MSOFBA steht für Microsoft Office Forms Based Authentication.
Tabelle: Matrix der Authentifizierungsunterstützung auf mobilen Geräten für die SharePoint Newsfeed App
| SharePoint-Infrastruktur | Clientseite | Mobile Geräte |
|---|---|---|
Authentifizierungstyp |
Authentifizierungsprotokoll |
Identitätsanbieter |
Windows-Authentifizierung |
NTLM |
Active Directory |
Standardauthentifizierung |
Active Directory |
Lokal, Extranet |
Formularbasierte Authentifizierung (FBA) |
FBA |
Active Directory, LDAP, SQL |
FBA |
Organisations-ID |
SharePoint Online, hybride Szenarien |
FBA |
Organisations-ID |
SharePoint Online, hybride Szenarien |
SAML (Token-basiert) |
SAML |
Mit WS-Federation 1.1 kompatibler Identitätsanbieter |
SAML |
Mit WS-Federation 1.1 kompatibler Identitätsanbieter |
Lokal, SharePoint Online, hybride Szenarien |
Wichtig
Für Verbundszenarien in SharePoint Online werden ausschließlich die Active Directory-Verbunddienste 2.0 (Active Directory Federation Services, ADFS) unterstützt. Während des Setupprozesses muss die passive Verbundauthentifizierungs-URI "urn:oasis:names:tc:SAML:2.0:ac:classes:Password" unterstützt werden.
Authentifizierungsworkflows
Die SharePoint Newsfeed App wird sowohl für lokale Verwendung als auch in SharePoint Online unterstützt. Bei beiden Optionen können Unterschiede im Authentifizierungsworkflow für den Endbenutzer auftreten. Die folgende Tabelle enthält Beispiele für die Authentifizierung bei beiden Implementierungstypen.
| Bereitstellung | Workflow | Details |
|---|---|---|
Lokal |
.jpg "SPNewsfeed – Lokal") |
Unterstützte Authentifizierungstypen
|
SharePoint Online |
.jpg "SPNewsfeed – SPO") |
Unterstützte Authentifizierungstypen
|
Weitere Informationen zum Bereitstellen der SharePoint Newsfeed App in Ihrem Netzwerk, auch für den Zugriff über eine Firewall, finden Sie unter Konfigurieren des externen Zugriffs für mobile Geräte in SharePoint 2013.