Gängige Möglichkeiten für die Verwendung des bedingten Zugriffs mit Intune

  • Artikel

Es gibt zwei Arten von Richtlinien für bedingten Zugriff, die Sie mit Intune verwenden können: gerätebasierter bedingter Zugriff und App-basierter bedingter Zugriff. Um diese zu unterstützen, müssen Sie die zugehörigen Intune-Richtlinien konfigurieren. Wenn die Intune-Richtlinien eingerichtet und bereitgestellt sind, können Sie den bedingten Zugriff verwenden, um z. B. den Zugriff auf Exchange zuzulassen oder zu blockieren, den Zugriff auf Ihr Netzwerk zu steuern oder eine Mobile Threat Defense-Lösung zu integrieren.

In diesem Artikel finden Sie Informationen zur Verwendung der Intune-Funktionen für die Konformität von mobilen Geräten und der Intune-Funktionen für die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM).

Hinweis

Bedingter Zugriff ist eine Microsoft Entra-Funktion, die in einer Microsoft Entra-ID P1- oder P2-Lizenz enthalten ist. Intune erweitert diese Funktion, indem es der Lösung Konformität der mobilen Geräte und Mobile App-Verwaltung hinzufügt. Der Knoten für bedingten Zugriff, auf den über Intune zugegriffen wird, entspricht dem Knoten, auf den über Microsoft Entra ID zugegriffen wird.

Gerätebasierter bedingter Zugriff

Intune und Microsoft Entra ID arbeiten zusammen, um sicherzustellen, dass nur verwaltete und konforme Geräte auf die E-Mails Ihrer organization, Microsoft 365-Dienste, SaaS-Apps (Software-as-a-Service) und lokale Apps zugreifen können. Darüber hinaus können Sie eine Richtlinie in Microsoft Entra-ID festlegen, damit nur in die Domäne eingebundene Computer oder mobile Geräte, die bei Intune registriert sind, auf Microsoft 365-Dienste zugreifen können.

Mit Intune stellen Sie Gerätekonformitätsrichtlinien bereit, um festzustellen, ob ein Gerät Ihre erwarteten Konfigurations- und Sicherheitsanforderungen erfüllt. Die Auswertung der Konformitätsrichtlinie bestimmt die Gerätekonformität status, die sowohl an Intune als auch an Microsoft Entra ID gemeldet wird. In Microsoft Entra ID können Richtlinien für bedingten Zugriff die Compliance-status eines Geräts verwenden, um Entscheidungen darüber zu treffen, ob der Zugriff auf die Ressourcen Ihres organization von diesem Gerät aus zugelassen oder blockiert werden soll.

Gerätebasierte Richtlinien für bedingten Zugriff für Exchange Online und andere Microsoft 365-Produkte werden über das Microsoft Intune Admin Center konfiguriert.

Hinweis

Wenn Sie den gerätebasierten Zugriff für Inhalte aktivieren, auf die Benutzer über Browser-Apps auf ihren Android-Geräten mit persönlichen Arbeitsprofilen zugreifen, müssen Benutzer, die sich vor Januar 2021 registriert haben, den Browserzugriff wie folgt aktivieren:

  1. Starten Sie die Unternehmensportal-App.
  2. Navigieren Sie über das Menü zur Seite Einstellungen.
  3. Tippen Sie im Abschnitt Browserzugriff aktivieren auf die Schaltfläche AKTIVIEREN.
  4. Schließen Sie die Browser-App, und starten Sie sie neu.

Dies ermöglicht den Zugriff in Browser-Apps, jedoch nicht auf Browser-WebViews, die in Apps geöffnet werden.

Mit bedingtem Zugriff verfügbare Anwendungen zur Steuerung durch Microsoft Intune

Wenn Sie den bedingten Zugriff im Microsoft Entra Admin Center konfigurieren, stehen Ihnen zwei Anwendungen zur Auswahl:

  1. Microsoft Intune: Diese Anwendung steuert den Zugriff auf das Microsoft Intune Admin Center und die Datenquellen. Konfigurieren Sie Berechtigungen/Steuerelemente für diese Anwendung, wenn Sie das Microsoft Intune Admin Center und Datenquellen als Ziel verwenden möchten.
  2. Microsoft Intune-Registrierungs: Diese Anwendung steuert den Registrierungsworkflow. Konfigurieren Sie die Zuweisungen/Steuerungen für diese Anwendung, wenn Sie auf den Registrierungsprozess abzielen. Weitere Informationen finden Sie unter Mehrstufige Authentifizierung für Geräteregistrierung in Intune anfordern.

Bedingter Zugriff basierend auf der Netzwerkzugriffssteuerung

Intune lässt sich in Partnerlösungen wie Cisco ISE, Aruba Clear Pass und Citrix NetScaler integrieren, um die Zugriffssteuerung basierend auf der Intune-Registrierung und dem Konformitätszustand eines Geräts bereitzustellen.

Benutzern kann der Zugriff auf unternehmenseigene WLAN- oder VPN-Ressourcen erlaubt oder verweigert werden, je nachdem, ob das verwendete Gerät verwaltet wird und den Intune-Richtlinien für die Gerätekonformität entspricht.

Bedingter Zugriff basierend auf dem Geräterisiko

Intune arbeitet mit MTD-Anbietern (Mobile Threat Defense) zusammen, um eine Sicherheitslösung bereitzustellen, die Schadsoftware, Trojaner und andere Bedrohungen auf mobilen Geräten erkennt.

Funktionsweise von Intune und der Integration von MTD-Lösungen

Wenn der Mobile Threat Defense-Agent auf mobilen Geräten installiert ist, sendet dieser Benachrichtigungen zum Konformitätszustand an Intune zurück, die eine Meldung enthalten, wenn auf dem mobilen Gerät eine Bedrohung gefunden wurde.

Die Integration von Intune und Mobile Threat Defense ist ein wichtiger Faktor bei Entscheidungen zum bedingten Zugriff basierend auf dem Geräterisiko.

Bedingter Zugriff für Windows-PCs

Der bedingte Zugriff für PCs bietet eine Funktionalität, die der für mobile Geräte verfügbaren ähnlich ist. Im Folgenden finden Sie Informationen zu den verschiedenen Möglichkeiten, den bedingten Zugriff beim Verwalten von PCs mit Intune zu verwenden.

Unternehmenseigene Geräte

  • Microsoft Entra hybrid eingebunden: Diese Option wird häufig von Organisationen verwendet, die mit der Verwaltung ihrer PCs bereits über AD-Gruppenrichtlinien oder Configuration Manager vertraut sind.

  • Microsoft Entra in die Domäne eingebunden und Intune-Verwaltung: Dieses Szenario richtet sich an Organisationen, die cloud-first (d. a. in erster Linie Clouddienste verwenden, mit dem Ziel, die Nutzung einer lokalen Infrastruktur zu reduzieren) oder nur in der Cloud (keine lokale Infrastruktur) sein möchten. Microsoft Entra Join funktioniert gut in einer Hybridumgebung und ermöglicht den Zugriff auf cloudbasierte und lokale Apps und Ressourcen. Das Gerät wird mit der Microsoft Entra-ID verknüpft und bei Intune registriert, das beim Zugriff auf Unternehmensressourcen als Kriterien für bedingten Zugriff verwendet werden kann.

Bring Your Own Device (BYOD)

  • Arbeitsplatzbeitritt und Intune-Verwaltung: Bei dieser Option können Benutzer ihre persönlichen Geräte einbinden, um auf Unternehmensressourcen und -dienste zuzugreifen. Sie können den Arbeitsplatzbeitritt verwenden und Geräte bei Intune MDM registrieren, um Richtlinien auf Geräteebene zu erhalten. Dies ist eine weitere Option zum Auswerten von Kriterien für den bedingten Zugriff.

Weitere Informationen zum Geräteverwaltung finden Sie unter Microsoft Entra ID.

App-basierter gerätebasierter bedingter Zugriff

Intune und Microsoft Entra ID arbeiten zusammen, um sicherzustellen, dass nur verwaltete Apps auf Unternehmens-E-Mail oder andere Microsoft 365-Dienste zugreifen können.

Bedingter Zugriff von Intune für Exchange lokal

Der bedingte Zugriff kann zum Zulassen oder Sperren des Zugriffs auf Exchange lokal basierend auf den Konformitätsrichtlinien für Geräte und dem Registrierungsstatus verwendet werden. Wenn der bedingte Zugriff zusammen mit einer Gerätekonformitätsrichtlinie verwendet wird, ist nur konformen Geräten der Zugriff auf Exchange lokal gestattet.

Sie können erweiterte Einstellungen wie die folgenden für den bedingten Zugriff konfigurieren, um eine präzisere Steuerung zu erzielen:

  • Zulassen oder Blockieren bestimmter Plattformen

  • Sofortiges Blockieren von Geräten, die nicht über Intune verwaltet werden

Jedes Gerät, mit dem auf Exchange lokal zugegriffen wird, wird auf Konformität überprüft, wenn Richtlinien für Gerätekonformität und bedingten Zugriff angewendet werden.

Wenn ein Gerät die festgelegten Bedingungen nicht erfüllt, erhält der Endbenutzer Anweisungen zum Registrieren des Geräts, um das Problem zu beheben, das die Konformität des Geräts verhindert.

Hinweis

Ab Juli 2020 wird der Exchange Connector nicht mehr unterstützt und durch die hybride moderne Authentifizierung (HMA) für Exchange ersetzt. Für die Verwendung der HMA muss Intune nicht den Exchange Connector einrichten und verwenden. Mit dieser Änderung wurde die Benutzeroberfläche zum Konfigurieren und Verwalten des Exchange-Connectors für Intune aus dem Microsoft Intune Admin Center entfernt, es sei denn, Sie verwenden bereits einen Exchange-Connector mit Ihrem Abonnement.

Wenn Sie einen Exchange Connector in Ihrer Umgebung eingerichtet haben, wird Ihr Intune-Mandant weiterhin für dessen Verwendung unterstützt, und Sie haben weiterhin Zugriff auf die Benutzeroberfläche, die dessen Konfiguration unterstützt. Weitere Informationen finden Sie unter Exchange lokal-Connector installieren. Sie können den Connector weiterhin verwenden oder die HMA konfigurieren und den Connector deinstallieren.

Die moderne Hybridauthentifizierung bietet Funktionen, die zuvor vom Exchange Connector für Intune bereitgestellt wurden: Zuordnung einer Geräteidentität zu ihrem Exchange-Datensatz. Diese Zuordnung ist nun nicht mehr Teil einer von Ihnen in Intune vorgenommenen Konfiguration oder der Anforderung, dass der Intune Connector zum Verbinden von Intune und Exchange verwendet werden soll. Mit der HMA wurde die Anforderung der Verwendung der Intune-spezifischen Konfiguration (des Connectors) aufgehoben.

Was ist die Intune-Rolle?

Intune bewertet und verwaltet den Gerätezustand.

Was ist die Exchange-Server-Rolle?

Der Exchange-Server stellt die API und die Infrastruktur bereit, um Geräte in die Quarantäne zu verschieben.

Wichtig

Denken Sie daran, dass dem Benutzer, der das Gerät verwendet, ein Konformitätsprofil und eine Intune-Lizenz zugewiesen sein müssen, damit das Gerät hinsichtlich der Konformität bewertet werden kann. Wenn keine Konformitätsrichtlinie für den Benutzer bereitgestellt wird, wird das Gerät als konform behandelt, und es werden keine Zugriffsbeschränkungen angewendet.

Nächste Schritte

Konfigurieren des bedingten Zugriffs in Microsoft Entra ID

Einrichten von Richtlinien für App-basierten bedingten Zugriff

Erstellen einer Richtlinie für den bedingten Zugriff auf Exchange lokal