Allgemeine Richtlinie für bedingten Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich

  • Artikel

Viele Menschen verwenden mobile Geräte sowohl für private als auch für berufliche Zwecke. Unternehmen wollen nicht nur sicherstellen, dass ihre Mitarbeiter produktiv arbeiten können, sondern auch Datenverluste durch Anwendungen auf Geräten verhindern, die sie nicht vollständig verwalten können.

Mit bedingtem Zugriff können Organisationen den Zugriff auf genehmigte (moderne authentifizierungsfähige) Client-Apps mithilfe von Intune-App-Schutzrichtlinien einschränken. Für ältere Client-Apps, die möglicherweise keine App-Schutzrichtlinien unterstützen, können Administratoren den Zugriff auf genehmigte Client-Apps einschränken.

Warnung

App-Schutzrichtlinien werden auf iOS und Android unterstützt, wenn die Apps bestimmte Anforderungen erfüllen. App-Schutzrichtlinien werden auf Windows in der Vorschau nur für den Microsoft Edge-Browser unterstützt.

Nicht alle Anwendungen werden als genehmigte Anwendungen unterstützt oder unterstützen Anwendungsschutzrichtlinien. Eine Liste einiger der gängigsten Client-Apps finden Sie unter Anforderung an die App-Schutzrichtlinie. Wenn Ihre Anwendung dort nicht aufgeführt ist, wenden Sie sich an den Anwendungsentwickler.

Um genehmigte Client-Apps für iOS- und Android-Geräte anzufordern, müssen sich diese Geräte zunächst bei Microsoft Entra registrieren.

Hinweis

Die Option „Eine der ausgewählten Steuerungen anfordern“ unter den Zugriffserteilungssteuerungen funktioniert wie eine ODER-Klausel. Sie wird innerhalb einer Richtlinie verwendet, um Benutzern die Verwendung von Apps zu ermöglichen, welche die Zugriffserteilungssteuerungen App-Schutzrichtlinie erforderlich bzw. Genehmigte Client-App erforderlich unterstützen. App-Schutzrichtlinie erforderlich wird erzwungen, wenn die App dieses Gewährungssteuerungselement unterstützt.

Weitere Informationen zu den Vorteilen der Verwendung von App-Schutzrichtlinien finden Sie im Artikel Übersicht über App-Schutzrichtlinien.

Erstellen der Richtlinie für bedingten Zugriff

Für diese Richtlinien wird zu Beginn der Modus Nur Bericht festgelegt, damit Administratoren die Auswirkungen auf vorhandene Benutzer ermitteln können. Wenn Sie als Administrator der Ansicht sind, dass die Richtlinien den beabsichtigten Zweck erfüllen, können Sie sie auf EIN einstellen oder die nächste Phase der Bereitstellung beginnen, indem Sie bestimmte Gruppen hinzufügen und andere ausschließen.

Voraussetzen von genehmigten Client-Apps oder App-Schutzrichtlinien mit mobilen Geräten

Die folgenden Schritte helfen beim Erstellen einer Richtlinie für bedingten Zugriff, die eine genehmigte Client-App oder eine App-Schutzrichtlinie beim Verwenden eines iOS/iPadOS- oder Android-Geräts erfordert. Diese Richtlinie verhindert auch die Verwendung von Exchange ActiveSync-Clients, die die Standardauthentifizierung auf mobilen Geräten verwenden. Diese Richtlinie funktioniert zusammen mit einer App-Schutzrichtlinie, die in Microsoft Intune erstellt wurde.

Unternehmen können diese Richtlinie entweder mit den unten beschriebenen Schritten oder mit den Vorlagen für bedingten Zugriff einrichten.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Browsen Sie zu Schutz>Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie erstellen aus.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und schließen Sie mindestens ein Konto aus, um zu verhindern, dass Sie selbst gesperrt werden. Wenn Sie keine Konten ausschließen, können Sie die Richtlinie nicht erstellen.
  6. Wählen Sie unter Zielressourcen>Cloud-Apps>Einschließen die Option Alle Cloud-Apps aus.
  7. Navigieren Sie zu Bedingungen>Geräteplattformen und setzen Sie die Option Konfigurieren auf Ja.
    1. Wählen Sie unter Einschließen die Option Geräteplattformen auswählen aus.
    2. Wählen Sie Android und iOS.
    3. Wählen Sie Fertig aus.
  8. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
    1. Wählen Sie Genehmigte Client-App erforderlich und App-Schutzrichtlinie erforderlich aus.
    2. Für mehrere Steuerelemente wählen Sie Eines der ausgewählten Steuerelemente verlangen.
  9. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Wenn ein Administrator die Einstellungen mit dem reinen Berichtsmodus bestätigt hat, kann er den Schalter Richtlinie aktivieren von Nur Bericht auf Ein festlegen.

Tipp

Organisationen sollten zusätzlich zu dieser Richtlinie auch eine Richtlinie bereitstellen, die den Zugriff von nicht unterstützten oder unbekannten Geräteplattformen blockiert.

Sperren von Exchange ActiveSync auf allen Geräten

Diese Richtlinie hindert alle Exchange ActiveSync-Clients, die die Standardauthentifizierung verwenden, daran, eine Verbindung mit Exchange Online herzustellen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Browsen Sie zu Schutz>Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie erstellen aus.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und schließen Sie mindestens ein Konto aus, um zu verhindern, dass Sie selbst gesperrt werden. Wenn Sie keine Konten ausschließen, können Sie die Richtlinie nicht erstellen.
    3. Wählen Sie Fertigaus.
  6. Wählen Sie unter Zielressourcen>Cloud-Apps>Einschließen die Option Apps auswählen aus.
    1. Wählen Sie Office 365 Exchange Online aus.
    2. Wählen Sie Auswählen.
  7. Legen Sie unter Bedingungen>Client-Apps die Option Konfigurieren auf Ja fest.
    1. Deaktivieren Sie alle Optionen außer Exchange ActiveSync-Clients.
    2. Wählen Sie Fertig aus.
  8. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
    1. Wählen Sie App-Schutzrichtlinie erforderlich aus.
  9. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Wenn ein Administrator die Einstellungen mit dem reinen Berichtsmodus bestätigt hat, kann er den Schalter Richtlinie aktivieren von Nur Bericht auf Ein festlegen.

Nächste Schritte

Übersicht über App-Schutzrichtlinien

Allgemeine Richtlinien für bedingten Zugriff

Migrieren einer genehmigten Client-App zur Anwendungsschutzrichtlinie im bedingten Zugriff