Mobile Sicherheit und Authentifizierung in SharePoint 2013
GILT FÜR:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
Dieser Artikel enthält Sicherheitsfunktionen und -empfehlungen zum Sicherstellen, dass der Zugriff auf SharePoint Server 2013 und bestimmte Daten in SharePoint von einem Mobilgerät nicht beeinträchtigt ist. In diesem Artikel sind auch die unterstützten Authentifizierungstypen für ausgewählte Geräte sowie Einzelheiten der Authentifizierung für die SharePoint Newsfeed App aufgeführt.
Sicherheit für mobile Geräte
Dieser Abschnitt enthält Sicherheitsempfehlungen für die Verwendung von Geräten, die sich außerhalb Ihres Unternehmensnetzwerks befinden. Ein verlorenes oder gestohlenes Gerät kann für ein Unternehmen auf verschiedene Arten gefährlich sein. Daher müssen die erforderlichen Maßnahmen ergriffen werden, wenn die Sicherheit eines Geräts gefährdet ist.
Allgemeine Sicherheitsüberlegungen umfassen Folgendes:
Mobile Geräte können kritische Daten oder Dokumente enthalten. Da mobile Geräte verloren gehen oder gestohlen werden können, wird das Festlegen von Richtlinien für mobile Geräte empfohlen, damit kritische Daten und Dokumente geschützt werden. Dies kann das Sichern des mobilen Geräts mithilfe einer PIN oder Sperre einschließen, und es sollte sichergestellt sein, dass die Daten auf dem mobilen Gerät remote gelöscht werden können. Je nach mobilem Gerät stehen hierzu verschiedene Programme und Features zur Verfügung. Weitere Informationen zu einer möglichen Methode der Implementierung dieser Richtlinien in Ihrer Organisation finden Sie weiter unten in diesem Artikel unter Exchange ActiveSync.
Sie können Benutzer darüber informieren, wie sie ihre Benutzeranmeldeinformationen schützen können. Dies kann das Abmelden von Websites umfassen, wenn sie fertig sind, keine Option aktivieren, die sie angemeldet hält oder ihr Kennwort speichert, und das häufige Löschen von Cookies im mobilen Browser. Dies kann verhindern, dass andere Benutzer ihre Benutzeranmeldeinformationen verwenden, um sich bei einer SharePoint-Website anzumelden, wenn ihr mobiles Gerät verloren geht oder gestohlen wird.
Wir empfehlen die Aktivierung von SSL zum Sichern der Kommunikation zwischen mobilen Browsern und dem Computer, auf dem SharePoint Server 2013 ausgeführt wird. Weitere Informationen zur Verwendung eines Reverseproxyservers wie Forefront Unified Access Gateway (UAG) zum Sichern der Kommunikation finden Sie in der technischen Forefront-Bibliothek unter Forefront Unified Access Gateway (UAG).
Exchange ActiveSync
Microsoft Exchange ActiveSync ist ein Kommunikationsprotokoll, das den mobilen Zugriff über die Luft auf E-Mail-Nachrichten, Planungsdaten, Kontakte und Aufgaben ermöglicht. Exchange ActiveSync ist auf Windows Phone- und Drittanbietertelefonen und Slaten verfügbar, die für Exchange ActiveSync wie das Apple iPhone aktiviert sind. Einer der Vorteile der Implementierung von Exchange ActiveSync in Ihrer Organisation ist die geräteseitige Sicherheit und die Verwaltung durch Richtlinienerzwingung. Wenn SharePoint Server 2013 in einer Extranettopologie bereitgestellt wird, greifen mobile Geräte über eine öffentlich zugängliche URL auf den Computer zu, auf dem SharePoint Server 2013 ausgeführt wird. Wenn das mobile Gerät verloren geht oder gestohlen wird, muss sichergestellt werden, dass SharePoint-Daten nicht kompromittiert werden. Mithilfe von Exchange ActiveSync können Sie beispielsweise Dateninhalte vom Gerät remote zurücksetzen, z. B. SharePoint-Konfigurationen, oder ein komplexes Kennwort auf dem Sperrbildschirm erzwingen, um nicht autorisierten Zugriff zu verhindern.
In der folgenden Tabelle ist eine Auswahl von Exchange ActiveSync-Features und -Richtlinien aufgelistet, die Sie auf einige Geräte anwenden können.
Tabelle: Exchange ActiveSync-Richtlinien für mobile Geräte
Exchange ActiveSync-Richtlinie | Beschreibung |
---|---|
Remotezurücksetzung (hierbei handelt es sich um ein Feature und nicht um eine Exchange ActiveSync-Richtlinie) | Wenn ein Mobiltelefon verloren geht, gestohlen oder in anderer Weise beschädigt wird, können Sie auf dem Exchange-Computer oder in einem beliebigen Webbrowser mithilfe von Outlook Web App einen Befehl zur Remotezurücksetzung ausgeben. Mit diesem Befehl wird das Gerät auf die Herstellerstandards zurückgesetzt. Wichtig: Nachdem ein Remotegerät zurückgesetzt wurde, ist die Datenwiederherstellung sehr schwierig. However, no data removal process leaves a device as free from residual data as when it is new. Recovery of data from a device may still be possible using sophisticated tools. |
Kennwort für Gerät erzwingen (DevicePasswordEnabled) | Diese Einstellung aktiviert das Mobiltelefonkennwort. |
Minimale Kennwortlänge (MinDevicePasswordLength) | Mit dieser Option wird die Länge des Kennworts für das Mobiltelefon angegeben. Die Standardlänge beträgt vier Zeichen, es können jedoch bis zu 18 Zeichen vorgeschrieben werden. |
Alphanumerisches Kennwort anfordern (AlphanumericDevicePasswordRequired) | Diese Einstellung schreibt vor, dass ein Kennwort numerische und nicht-numerische Zeichen enthalten muss. |
Einfaches Kennwort zulassen (AllowSimpleDevicePassword) | Diese Einstellung aktiviert bzw. deaktiviert die Möglichkeit, ein einfaches Kennwort wie "1234" zu verwenden. |
Zeitsperre für maximale Inaktivität (MaxInactivityTimeDeviceLock) | Diese Option bestimmt, wie lange das Mobiltelefon inaktiv sein muss, bevor der Benutzer zur Eingabe eines Kennworts aufgefordert wird, um die Sperre für das Mobiltelefon aufzuheben. |
Wichtig
[!WICHTIGER HINWEIS] Die Auswahl der verwendbaren Exchange ActiveSync-Richtlinien ist geräteabhängig. Weitere Informationen zu den unterstützten Richtlinien auf einer bestimmten Plattform (wie Windows Phone oder Apple iPhone) finden Sie unter Exchange ActiveSync.
Finden eines verlorenen Geräts
Wenn ein Gerät verloren geht oder gestohlen wird, kann es nützlich sein, den Standort dieses Geräts zu finden und alle Dateninhalte bei Bedarf zu löschen. Es gibt verschiedene Dienste und Lösungen von Drittanbietern, die diese Funktionalität bereitstellen können. Ein Beispiel hierfür ist der Windows Phone Dienst "Mein Smartphone suchen", mit dem Sie Ihr mobiles Gerät leichter wiederherstellen können, indem Sie es finden oder verhindern können, dass jemand es ohne Ihre Zustimmung verwendet.
Die Funktionalität dieses Diensts umfasst Folgendes:
Anzeigen des Standorts Ihres mobilen Geräts auf der Karte.
Ihr mobiles Gerät klingeln lassen.
Sperren Ihres mobilen Geräts und Anzeigen einer Nachricht.
Löschen der Daten auf Ihrem mobilen Gerät.
Hinweis
Weitere Informationen zum Windows Phone-Dienst "Mein Handy finden" finden Sie unter Wiederfinden eines verlorenen Handys.
Authentifizierung für mobile Geräte
SharePoint Server 2013 unterstützt mehrere Authentifizierungsmethoden und Authentifizierungsmodi. Nicht alle mobilen Browser und Geräte können mit allen verfügbaren Authentifizierungsmethoden verwendet werden. Beim Planen des Zugriffs auf mobile Geräte müssen Sie folgende Aktionen ausführen:
Bestimmen Sie die mobilen Geräte, die unterstützt werden müssen. Bringen Sie dann die Authentifizierungsmethoden in Erfahrung, die von den mobilen Geräten unterstützt werden. Diese Informationen sind je nach Hersteller unterschiedlich.
Bestimmen Sie die Websites, die Sie für Ihre mobilen Benutzer verfügbar machen möchten.
Bestimmen, ob der Zugriff auf SharePoint-Websites für mobile Geräte verfügbar sein soll, wenn die Geräte außerhalb der Unternehmensfirewall verwendet werden. In diesem Fall kann die Methode, die zum Aktivieren des externen Zugriffs verwendet wird, auch Auswirkungen auf die Authentifizierung von mobilen Geräten besitzen.
In den folgenden Tabellen sind die Authentifizierungstypen aufgeführt, die für Browser, OneDrive und die Office Hub-Windows Phone erfahrung in SharePoint Server 2013 unterstützt werden. Im Folgenden bezieht sich OrgID auf die Microsoft Online Services-ID, den Identitätsanbieter für Microsoft 365. MSOFBA steht für Microsoft Office Forms Based Authentication.
Tabelle: Authentifizierungsunterstützung für mobile Geräte für SharePoint-Browser
SharePoint-Infrastruktur | Mobile Geräte | |||||||
---|---|---|---|---|---|---|---|---|
Authentifizierungstyp | Authentifizierungsprotokoll | Identitätsanbieter | SharePoint-Bereitstellung | Windows Phone 7.5 (Internet Explorer Mobile) | Windows Phone 8 (Internet Explorer Mobile) | Windows 8 (Internet Explorer) | iOS 5.x oder höhere Versionen (Safari-Browser) | Android 4.x oder höhere Versionen (Android-Browser) |
Windows-Authentifizierung | NTLM | Active Directory | Lokal | Ja | Ja | Ja | Ja | Ja |
Basic Authentication | Active Directory | Lokal, Extranet | Ja | Ja | Ja | Ja | Ja | |
Formularbasierte Authentifizierung (FBA) | FBA | Active Directory, LDAP, SQL | Lokal, Extranet | Ja | Ja | Ja | Ja | Ja |
FBA | Organisations-ID | SharePoint in Microsoft 365, hybridbasierte Szenarien | Ja | Ja | Ja | Ja | Ja | |
SAML (Token-basiert) | SAML | Mit WS-Federation 1.1 kompatibler Identitätsanbieter | Lokal, SharePoint in Microsoft 365, hybride Szenarien | Ja | Ja | Ja | Ja | Ja |
Tabelle: Unterstützte Authentifizierungstypen für die OneDrive-App
Authentifizierungstyp | Beschreibung | Unterstützt | Administrator-Typ für die Konfiguration erforderlich |
---|---|---|---|
Org-ID | Organisationen mit einer Microsoft 365- oder SharePoint-Organisation ohne Verbund. | Ja | Globaler Administrator |
ADFS- und Org-ID-Verbund | Organisationen mit einer Microsoft 365- oder SharePoint-Hybridorganisation mit Benutzern, die aus einem lokalen Verzeichnis verbunden sind. | Ja | Globaler Administrator plus lokaler Netzwerkadministrator plus SharePoint-Administrator |
Windows-Authentifizierung (NTLM) | Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass NTLM anspruchsbasierte Windows-Authentifizierung zugelassen wird. | Ja | SharePoint-Administrator |
Formularbasierte Authentifizierung (FBA) | Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass die formularbasierte Authentifizierung oder eine andere anspruchsbasierte Authentifizierung über ein Standard-Websteuerelement zugelassen wird. | Ja | SharePoint-Administrator |
Qualifizierte nicht-ADFS-Identitätsanbieter | Organisationen mit einer Microsoft 365- oder SharePoint-Umgebung, die für die Benutzeranmeldung konfiguriert ist, die mit einem Identitätsanbieter verbunden ist, der im Programm Funktioniert mit Microsoft 365 – Identität für Rich Clients qualifiziert ist. | Ja | SharePoint-Administrator plus lokaler Netzwerkadministrator oder globaler Administrator (in einigen Organisationen ist der globale Administrator eine Anforderung, keine Option).) |
Alle anderen nicht-ADFS-Identitätsanbieter | Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass ein nicht-ADFS-Identitätsanbieter zugelassen wird. | Nein | SharePoint-Administrator plus lokaler Netzwerkadministrator |
Kerberos-Authentifizierung | Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass sie die Kerberos-Authentifizierung unterstützt. | Nein | SharePoint-Administrator plus lokaler Netzwerkadministrator |
Standardauthentifizierung | Organisationen mit einer SharePoint-Umgebung, die so konfiguriert ist, dass sie die Standardauthentifizierung unterstützt. | Nein | SharePoint-Administrator plus lokaler Netzwerkadministrator |
Hinweis
Wenn Sie ein Microsoft 365-Benutzer mit mehreren Organisationen sind, können Sie eine Verbindung über die OneDrive-App in einer beliebigen Netzwerkumgebung herstellen, einschließlich Wi-Fi und Mobilfunkdaten. Wenn Sie kein Microsoft 365-Benutzer mit mehreren Organisationen sind, können Sie nur eine Verbindung herstellen, wenn Sie das lokale Wi-Fi Netzwerk Ihrer Organisation verwenden. Wenn Sie nicht sicher sind, welcher Benutzer Sie sind, wenden Sie sich an Ihren SharePoint-Administrator.
Tabelle: Matrix der Authentifizierungsunterstützung auf mobilen Geräten für Office-Hub
SharePoint-Infrastruktur | Clientseite | Mobile Geräte | ||||
---|---|---|---|---|---|---|
Authentifizierungstyp | Authentifizierungsprotokoll | Identitätsanbieter | SharePoint-Bereitstellung | Behandelt durch: | Windows Phone 7.5 (Internet Explorer Mobile) | Windows Phone 8 (Internet Explorer Mobile) |
Windows-Authentifizierung | NTLM | Active Directory | Lokal | NTLM | Ja | Ja |
Basic Authentication | Active Directory | Lokal, Extranet | Standardauthentifizierung | Nein | Ja (HTTPS) | |
Formularbasierte Authentifizierung (FBA) | FBA | Active Directory, LDAP, SQL | Lokal, Extranet | MSOFBA | Ja | Ja |
FBA | Organisations-ID | SharePoint, hybridbasierte Szenarien | MSOFBA | Ja | Ja | |
FBA | Organisations-ID | SharePoint, hybridbasierte Szenarien | Aktive Authentifizierung (IDCRL) | Nein | Ja | |
SAML (Token-basiert) | SAML | Mit WS-Federation 1.1 kompatibler Identitätsanbieter | Lokale, SharePoint, hybride Szenarien | MSOFBA | Ja | Ja |
SAML | Mit WS-Federation 1.1 kompatibler Identitätsanbieter | Lokal, SharePoint in Microsoft 365, hybridbasierte Szenarien | Aktive Authentifizierung (IDCRL) | Nein | Ja |
Hinweis
Damit mobile Geräte mit SharePoint-Servern kommunizieren können, muss die Internetprotokollsicherheit (Internet Protocol Security, IPSec) auf den Servern deaktiviert sein. Der Grund dafür ist, dass mobile Geräte nicht in die Domäne eingebunden sind.
Authentifizierung für die SharePoint Newsfeed App
Dieser Abschnitt enthält Hinweise und Überlegungen zur Authentifizierung für die SharePoint Newsfeed App. Dies umfasst Informationen zu lokalen Bereitstellungen und zur Verwendung von SharePoint in Microsoft 365.
Die folgende Tabelle enthält ausführliche Informationen zu den für die SharePoint Newsfeed App unterstützten Authentifizierungstypen in SharePoint Server 2013. Im Folgenden bezieht sich OrgID auf die Microsoft Online Services-ID, den Identitätsanbieter für Microsoft 365. MSOFBA steht für Microsoft Office Forms Based Authentication.
Tabelle: Unterstützungsmatrix für die mobile Authentifizierung für die SharePoint Newsfeed-App\
Authentifizierungstyp |
Authentifizierungsprotokoll |
ID-Anbieter |
SharePoint-Bereitstellung |
Behandelt durch: |
Apps für Windows Phone 7.5 |
Apps für Windows Phone 8 |
Apps für Windows 8 |
Apps für iOS 6.x oder höhere Versionen |
---|---|---|---|---|---|---|---|---|
Windows-Authentifizierung |
NTLM |
Active Directory |
Lokal |
NTLM |
Nein |
Nein |
Ja |
Ja |
Standardauthentifizierung |
HTTPS |
Active Directory |
Lokal, Extranet |
Standardauthentifizierung |
Ja |
Ja |
Nein |
Ja (HTTPS) |
Formularbasierte Authentifizierung (FBA) |
FBA |
Active Directory, LDAP, SQL |
Lokal, Extranet |
MSOFBA |
Ja |
Ja |
Nein |
Ja |
FBA |
FBA |
Organisations-ID |
SharePoint, hybridbasierte Szenarien |
MSOFBA |
Ja |
Ja |
Nein |
Ja |
FBA |
FBA |
Organisations-ID |
SharePoint, hybridbasierte Szenarien |
Aktive Authentifizierung (IDCRL) |
Nein |
Nein |
Ja |
Ja |
SAML (Token-basiert) |
SAML |
Mit WS-Federation 1.1 kompatibler Identitätsanbieter |
Lokal, SharePoint in Microsoft 365, hybridbasierte Szenarien |
MSOFBA |
Ja |
Ja |
Nein |
Ja |
SAML |
SAML |
Mit WS-Federation 1.1 kompatibler Identitätsanbieter |
Lokal, SharePoint in Microsoft 365, hybride Szenarien |
Aktive Authentifizierung (IDCRL) |
Nein |
Nein |
Ja |
Ja |
Wichtig
Für Verbundszenarien in SharePoint in Microsoft 365 wird nur Active Directory-Verbunddienste (AD FS) (AD FS) 2.0 unterstützt. Während des Setupvorgangs muss der passive Verbundauthentifizierungs-URI "urn:oasis:names:tc:SAML:2.0:ac:classes:Password" unterstützt werden.
Authentifizierungsworkflows
Die SharePoint Newsfeed-App wird sowohl für lokale als auch für SharePoint in Microsoft 365 unterstützt. Bei beiden Optionen können Unterschiede im Authentifizierungsworkflow für den Endbenutzer auftreten. Die folgende Tabelle enthält Beispiele für die Authentifizierung bei beiden Implementierungstypen.
Bereitstellung) | Workflow | Details |
---|---|---|
Lokal | Unterstützte Authentifizierungstypen Windows-Authentifizierung Formularbasierte Authentifizierung SAML |
|
SharePoint in Microsoft 365 | Unterstützte Authentifizierungstypen Formularbasierte Authentifizierung SAML |
Weitere Informationen zum Bereitstellen der SharePoint Newsfeed-App in Ihrem Netzwerk, einschließlich der Konfiguration des firewallübergreifenden Zugriffs, finden Sie unter Konfigurieren des externen Zugriffs für mobile Geräte in SharePoint Server.