Postfachrichtlinien für mobile Geräte in Exchange Server

In Exchange Server können Sie Postfachrichtlinien für mobile Geräte erstellen, um einen allgemeinen Satz von Richtlinien oder Sicherheitseinstellungen auf eine Sammlung von Benutzern anzuwenden. Nachdem Sie Exchange ActiveSync in Ihrer Exchange Server Organisation bereitgestellt haben, können Sie neue Postfachrichtlinien für mobile Geräte erstellen oder vorhandene Richtlinien ändern. Wenn Sie Exchange Server installieren, wird eine Standardmäßige Postfachrichtlinie für mobile Geräte erstellt. Allen Benutzern wird automatisch diese standardmäßige Postfachrichtlinie für mobile Geräte zugewiesen.

Übersicht über Postfachrichtlinien für mobile Geräte

Mit Postfachrichtlinien für mobile Geräte können Sie zahlreiche verschiedene Einstellungen verwalten. Hierzu gehören Folgende:

  • Kennwort anfordern
  • Minimale Kennwortlänge festlegen
  • Zahl oder Sonderzeichen im Kennwort erzwingen
  • Festlegen, nach welcher Inaktivitätsdauer der Benutzer das Kennwort für das Gerät erneut eingeben muss
  • Gerät nach einer bestimmten Anzahl von Fehleingaben des Kennworts vollständig zurücksetzen

Weitere Informationen zu allen Einstellungen, die Sie konfigurieren können, finden Sie unter „Postfachrichtlinien für mobile Geräte".

Exchange-Postfachrichtlinien für mobile Geräte

Exchange ActiveSync ist ein Clientprotokoll, mit dem Sie ein mobiles Gerät mit Ihrem Exchange-Postfach synchronisieren können. Exchange ActiveSync ist standardmäßig aktiviert, wenn Sie Exchange Server installieren.

Postfachrichtlinien für mobile Geräte können im Exchange-Verwaltungskonsole (EAC) oder in der Exchange-Verwaltungsshell erstellt werden. Wenn Sie eine Richtlinie im EAC erstellen, können Sie nur einen Teil der verfügbaren Einstellungen konfigurieren. Die restlichen Einstellungen können Sie über die Exchange-Verwaltungsshell konfigurieren.

Kennworteinstellungen für mobile Geräte und Biometrie

Viele mobile Geräte unterstützen biometrische Daten wie Apple Touch ID oder Face ID. Exchange-Postfachrichtlinien für mobile Geräte steuern nicht, ob biometrische Daten verwendet werden können, anstatt die Geräte-PIN einzugeben. Postfachrichtlinien für mobile Geräte können so konfiguriert werden, dass sie eine Geräte-PIN erfordern, aber dann steuern die Benutzer, ob sie biometrisch verwenden, nachdem sie die Geräte-PIN-Anforderung erfüllt haben.

Kennworteinstellungen für mobile Geräte und Android

Android 9.0 und frühere Versionen verwenden die Geräteadministratorfunktionen von Android, um Gerätekennworteinstellungen zu verwalten, die in einer Postfachrichtlinie für mobile Geräte definiert sind.

Mit Android 10.0 und höher hat Android die Geräteadministratorfunktionalität entfernt. Stattdessen fragen Apps, die eine Bildschirmsperre erfordern, die Bildschirmsperrkomplexität des Geräts (oder des Arbeitsprofils) ab. Apps, die eine stärkere Bildschirmsperre erfordern, leiten den Benutzer auf die Einstellungen für die Systembildschirmsperre weiter, sodass der Benutzer die Sicherheitseinstellungen aktualisieren kann, um die Kompatibilität zu gewährleisten. Zu keinem Zeitpunkt ist der App das Kennwort des Benutzers bekannt; Die App kennt nur die Komplexitätsstufe des Kennworts. Android unterstützt die folgenden vier Komplexitätsstufen für Kennwörter:

Komplexitätsgrad des Kennworts Kennwortanforderungen
Keine Es sind keine Kennwortanforderungen konfiguriert.
Niedrig Das Kennwort kann ein Muster oder eine PIN mit wiederholten (4444) oder sortierten (1234, 4321, 2468) Sequenzen sein.
Mittel Kennwörter, die eines der folgenden Kriterien erfüllen:
  • PIN ohne wiederholte (4444) oder sortierte (1234, 4321, 2468) Sequenzen mit einer Mindestlänge von 4 Zeichen
  • Alphabetische Kennwörter mit einer Mindestlänge von 4 Zeichen
  • Alphanumerische Kennwörter mit einer Mindestlänge von 4 Zeichen
Hoch Kennwörter, die eines der folgenden Kriterien erfüllen:
  • PIN ohne wiederholte (4444) oder sortierte (1234, 4321, 2468) Sequenzen mit einer Mindestlänge von 8 Zeichen
  • Alphabetische Kennwörter mit einer Mindestlänge von 6 Zeichen
  • Alphanumerische Kennwörter mit einer Mindestlänge von 6 Zeichen

Aus der Perspektive einer Exchange-Postfachrichtlinie für mobile Geräte werden die Kennwortkomplexitätsstufen von Android den folgenden Richtlinieneinstellungen zugeordnet:

Postfachrichtlinieneinstellung für mobile Geräte Android-Kennwortkomplexitätsgrad
Kennwort aktiviert = false Keine
Einfaches Kennwort zulassen = true
Min. Kennwortlänge < 4
Niedrig
Einfaches Kennwort zulassen = true
Min. Kennwortlänge < 6
Mittel
Einfaches Kennwort zulassen = false
Alphanumerisches Kennwort erforderlich = true
Min. Kennwortlänge < 6
Mittel
Einfaches Kennwort zulassen = true
Min. Kennwortlänge > 6
Hoch
Einfaches Kennwort zulassen = false
Alphanumerisches Kennwort erforderlich = true
Min. Kennwortlänge >= 6
Hoch

Einstellungen für Postfachrichtlinien für mobile Geräte

Die folgende Tabelle enthält eine Zusammenfassung der Einstellungen, die mithilfe von Postfachrichtlinien für mobile Geräte festgelegt werden können.

Einstellung Beschreibung
Bluetooth zulassen Diese Einstellung gibt an, ob ein mobiles Gerät Bluetooth-Verbindungen zulässt. Die verfügbaren Optionen lauten "Deaktivieren", "Nur Freisprechen" und "Zulassen". Der Standardwert ist "Allow".
Browser zulassen Diese Einstellung gibt an, ob Pocket Internet Explorer auf dem mobilen Gerät zulässig ist. Sie hat keine Auswirkungen auf Webbrowser von Drittanbietern, die auf dem mobilen Gerät installiert sind. Der Standardwert ist $true.
Kamera zulassen Diese Einstellung gibt an, ob die Kamera des mobilen Geräts verwendet werden kann. Der Standardwert ist $true.
Consumer-E-Mail zulassen Diese Einstellung gibt an, ob der Benutzer des mobilen Geräts hierauf ein persönliches E-Mail-Konto (POP3 oder IMAP4) konfigurieren darf. Der Standardwert ist $true. Mit dieser Einstellung wird nicht der Zugriff auf E-Mail-Konten gesteuert, die E-Mail-Programme von Drittanbietern für mobile Geräte verwenden.
Desktop-Synchronisierung zulassen Diese Einstellung gibt an, ob das mobile Gerät über eine Kabel-, Bluetooth- oder Infrarotverbindung (IrDA) mit eine Computer synchronisiert werden kann. Der Standardwert ist $true.
Externe Geräteverwaltung zulassen Diese Einstellung gibt an, ob ein externes Geräteverwaltungsprogramm das mobile Gerät verwalten darf.
E-Mails im HTML-Format zulassen Diese Einstellung gibt an, ob E-Mails, die auf das mobile Gerät synchronisiert werden, im HTML-Format vorliegen dürfen. Wenn diese Einstellung auf $falsefestgelegt ist, werden alle E-Mails in Nur-Text konvertiert.
Gemeinsame Nutzung der Internetverbindung zulassen Diese Einstellung gibt an, ob das mobile Gerät als Modem für einen Desktopcomputer oder einen tragbaren Computer verwendet werden darf. Der Standardwert ist $true.
AllowIrDA Diese Einstellung gibt an, ob Infrarotverbindungen zu und von dem mobilen Gerät zulässig sind.
OTA-Update für mobile Geräte zulassen Diese Einstellung gibt an, ob die Postfachrichtlinien-Einstellungen für mobile Geräte über eine Mobilfunk-Datenverbindung an das mobile Gerät gesendet werden dürfen. Der Standardwert ist $true.
Nicht bereitstellbare Geräte zulassen Diese Einstellung gibt an, ob mobile Geräte, die die Anwendung aller Richtlinieneinstellungen möglicherweise nicht unterstützen, über Exchange ActiveSync eine Verbindung mit Exchange Server herstellen dürfen. Das Zulassen nicht bereitstellbarer mobiler Geräte hat Auswirkungen auf die Sicherheit. Beispielsweise können auf einigen nicht bereitstellbaren Geräten möglicherweise die Kennwortanforderungen einer Organisation nicht implementiert werden.
POPIMAPEmail zulassen Diese Einstellung gibt an, ob der Benutzer ein POP3- oder ein IMAP4-E-Mail-Konto auf dem mobilen Gerät konfigurieren darf. Der Standardwert ist $true. Diese Einstellung steuert nicht den Zugriff durch E-Mail-Programme von Drittanbietern.
Remotedesktop zulassen Diese Einstellung gibt an, ob das mobile Geräte eine Remotedesktopverbindung initiieren kann. Der Standardwert ist true.
Einfaches Kennwort zulassen Diese Einstellung aktiviert oder deaktiviert die Möglichkeit, ein einfaches Kennwort wie 1111 oder 1234 zu verwenden. Der Standardwert ist $true.
Aushandlung des S/MIME-Verschlüsselungsalgorithmus zulassen Diese Einstellung gibt an, ob die Messaginganwendung auf dem mobilen Gerät den Verschlüsselungsalgorithmus aushandeln kann, wenn das Zertifikat eines Empfängers den angegebenen Verschlüsselungsalgorithmus nicht unterstützt.
S/MIME-Softwarezertifikate zulassen Diese Einstellung gibt an, ob S/MIME-Softwarezertifikate auf dem mobilen Gerät zulässig sind.
Speicherkarte zulassen Diese Einstellung gibt an, ob das mobile Gerät auf Informationen zugreifen darf, die auf einer Speicherkarte abgelegt sind.
Textnachrichten zulassen Diese Einstellung gibt an, ob Textnachrichten von diesem mobilen Gerät zulässig sind. Der Standardwert ist $true.
Nicht signierte Anwendungen zulassen Diese Einstellung gibt an, ob auf dem mobilen Gerät nicht signierte Anwendungen installiert werden können. Der Standardwert ist $true.
Nicht signierte Installationspakete zulassen Diese Einstellung gibt an, ob auf dem mobilen Gerät ein nicht signiertes Installationspaket ausgeführt werden kann. Der Standardwert ist $true.
WiFi zulassen Diese Einstellung gibt an, ob mit dem mobilen Gerät der drahtlose Internetzugriff zulässig ist. Der Standardwert ist $true.
Alphanumerisches Kennwort erforderlich Diese Einstellung schreibt vor, dass ein Kennwort numerische und nicht-numerische Zeichen enthalten muss. Der Standardwert ist $true.
Liste genehmigter Anwendungen Mit dieser Einstellung wird eine Liste genehmigter Anwendungen gespeichert, die auf dem mobilen Gerät ausgeführt werden dürfen.
Anlagen aktiviert Diese Einstellung ermöglicht das Herunterladen von Anlagen auf das mobile Gerät. Der Standardwert ist $true.
Geräteverschlüsselung aktiviert Diese Einstellung aktiviert die Verschlüsselung auf dem mobilen Gerät. Nicht alle mobilen Geräte können eine Verschlüsselung erzwingen. Weitere Informationen hierzu finden Sie in der Dokumentation zum Gerät sowie zum mobilen Betriebssystem.
Geräterichtlinien-Aktualisierungsintervall Diese Einstellung gibt an, wie oft die Postfachrichtlinie für das mobile Gerät vom Server an das mobile Gerät gesendet wird.
IRM aktiviert Diese Einstellung gibt an, ob auf dem mobilen Gerät die Verwaltung von Informationsrechten (Information Rights Management, IRM) aktiviert ist.
Max. Anlagengröße Diese Einstellung steuert die maximale Größe von Anlagen, die auf das mobile Gerät heruntergeladen werden können. Der Standardwert ist "Unbegrenzt".
Filter für max. Kalenderalter Diese Einstellung gibt den maximalen Bereich der Kalendertage an, die auf das mobile Gerät synchronisiert werden können. Die folgenden Werte werden akzeptiert:
1: Alle
2: OneDay
3: ThreeDays
4: OneWeek
5: ZweiWochen
6: OneMonth
Filter für max. E-Mail-Alter Mit dieser Einstellung wird die maximale Anzahl von Tagen angegeben, für die E-Mail-Elemente auf das mobile Gerät synchronisiert werden. Die folgenden Werte werden akzeptiert:
1: Alle
2: OneDay
3: ThreeDays
4: OneWeek
5: ZweiWochen
6: OneMonth
Max. Größe für E-Mail-Textkörperkürzung Mit dieser Einstellung wird die maximale Größe angegeben, bei der E-Mail-Nachrichten bei der Synchronisierung auf das mobile Gerät abgeschnitten werden. Der Wert wird in Kilobytes (KB) angegeben.
Max. Größe für E-Mail-Textkörperkürzung, HTML Mit dieser Einstellung wird die maximale Größe angegeben, bei der E-Mail-Nachrichten im HTML-Format bei der Synchronisierung auf das mobile Gerät abgeschnitten werden. Der Wert wird in Kilobytes (KB) angegeben.
Zeitsperre für max. Inaktivität Dieser Wert gibt an, wie lange das mobile Gerät inaktiv sein kann, bevor es mithilfe eines Kennworts erneut aktiviert werden muss. Sie können ein Intervall zwischen 30 Sekunden und einer Stunde eingeben. Der Standardwert beträgt 15 Minuten.
Max. fehlgeschlagene Kennwortversuche Diese Einstellung gibt die Anzahl von Versuchen an, die einem Benutzer zur Verfügung stehen, um das korrekte Kennwort für das Gerät einzugeben. Sie können einen Wert von 4 bis 16 eingeben. Der Standardwert ist 8.
Min. komplexe Zeichen im Kennwort Diese Einstellung gibt die Anzahl von Zeichensätzen an, die für das Kennwort des Mobilgeräts erforderlich sind. Diese Zeichensätze sind:
  • Der MinPasswordComplexCharacters-Parameter gibt die Zeichensätze an, die für das Kennwort des Mobilgeräts erforderlich sind. Diese Zeichensätze sind:
  • Kleinbuchstaben.
  • Großbuchstaben.
  • Sonderzeichen (z. B. Ausrufezeichen)


Sie können einen Wert von 1 bis 4 eingeben. Der Standardwert ist 1.
Min. Kennwortlänge Diese Einstellung gibt die Mindestanzahl der Zeichen für das Kennwort des mobilen Geräts an. Sie können einen Wert von 1 bis 16 eingeben. Der Standardwert ist 4.
Kennwort aktiviert Diese Einstellung aktiviert das Kennwort für das mobile Gerät.
Kennwortablauf Diese Einstellung ermöglicht dem Administrator das Konfigurieren eines Zeitraums, nach dem das Kennwort für das mobile Gerät geändert werden muss.
Kennwortverlauf Diese Einstellung gibt die Anzahl der letzten Kennwörter an, die im Postfach eines Benutzers gespeichert werden dürfen. Ein gespeichertes Kennwort kann vom Benutzer nicht erneut verwendet werden.
Kennwortwiederherstellung aktiviert Wenn diese Einstellung aktiviert ist, generiert das mobile Gerät ein Wiederherstellungskennwort, das an den Server gesendet wird. Wenn der Benutzer sein Kennwort für mobile Geräte vergisst, kann das Wiederherstellungskennwort verwendet werden, um das mobile Gerät zu entsperren und dem Benutzer das Erstellen eines neuen Kennworts für mobile Geräte zu ermöglichen.
Geräteverschlüsselung anfordern Diese Einstellung gibt an, ob eine Geräteverschlüsselung erforderlich ist. Wenn auf $truefestgelegt ist, muss das mobile Gerät die Verschlüsselung unterstützen und implementieren können, um mit dem Server zu synchronisieren.
Verschlüsselte S/MIME-Nachrichten anfordern Diese Einstellung gibt an, ob S/MIME-Nachrichten verschlüsselt werden müssen. Der Standardwert ist $false.
S/MIME-Verschlüsselungsalgorithmus anfordern Mit dieser Einstellung wird angegeben, welcher erforderliche Algorithmus beim Verschlüsseln von S/MIME-Nachrichten verwendet werden muss.
Manuelle Synchronisierung beim Roaming anfordern Diese Einstellung gibt an, ob das mobile Gerät beim Roaming manuell synchronisiert werden muss. Das Zulassen der automatischen Synchronisierung beim Roaming führt häufig zu höheren Datenkosten für den Datentarif des mobilen Geräts als erwartet.
Algorithmus für signiertes S/MIME anfordern Mit dieser Einstellung wird angegeben, welcher erforderliche Algorithmus beim Signieren einer Nachricht verwendet werden muss.
Signierte S/MIME-Nachrichten anfordern Mit dieser Einstellung wird angegeben, ob das mobile Gerät nur signierte S/MIME-Nachrichten versenden darf.
Verschlüsselung der Speicherkarte anfordern Diese Einstellung gibt an, ob die Speicherkarte verschlüsselt werden muss. Nicht alle Betriebssysteme für mobile Geräte unterstützen die Verschlüsselung von Speicherkarten. Weitere Informationen hierzu finden Sie in der Dokumentation zum mobilen Gerät sowie zum mobilen Betriebssystem.
Liste nicht genehmigter InROM-Anwendungen Diese Einstellung gibt eine Liste von Anwendungen an, die nicht im ROM ausgeführt werden dürfen.