Bedingter Zugriff: Filter für Geräte
Wenn Administrierende Richtlinien für den bedingten Zugriff erstellen, ist die Möglichkeit, bestimmte Geräte in ihrer Umgebung gezielt anzusprechen oder auszuschließen, eine gängige Aufgabe. Der Bedingungsfilter für Geräte ermöglicht es Administrierenden, bestimmte Geräte gezielt anzusprechen. Administrierende können unterstützte Operatoren und Eigenschaften für Gerätefilter zusammen mit den anderen verfügbaren Zuweisungsbedingungen in Ihren Richtlinien für bedingten Zugriff verwenden.
Häufige Szenarien
Es gibt mehrere Szenarien, bei denen Organisationen jetzt die Bedingung „Filter für Geräte“ aktivieren und verwenden können. Die folgenden Szenarien enthalten Beispiele für die Verwendung dieser neuen Bedingung.
- Einschränken des Zugriffs auf privilegierte Ressourcen. Nehmen wir für dieses Beispiel an, Sie möchten einem Benutzerkonto Zugriff auf die Windows Azure Service Management-API gewähren, welches:
- einer privilegierten Rolle zugewiesen wurde.
- eine Multifaktor-Authentifizierung abgeschlossen hat.
- sich auf einem Gerät befindet, das zu den privilegierten oder sicheren Admin-Arbeitsstationen gehört und als konform bestätigt wurde.
- Für dieses Szenario würden Organisationen zwei Richtlinien für bedingten Zugriff erstellen:
- Richtlinie 1: Alle Benutzer mit einer Administratorrolle, die auf die Cloud-App der Microsoft Azure-Dienstverwaltungs-API zugreifen, und für Zugriffssteuerungen, Zugriff zuweisen, die jedoch Multi-Faktor-Authentifizierung erfordern und ein als kompatibel markiertes Gerät.
- Richtlinie 2: Alle Benutzer mit einem Administrator, die auf die Cloud-App der Microsoft Azure-Dienstverwaltungs-API zugreifen, mit Ausnahme eines Filters für Geräte, der den Regelausdruck „device.extensionAttribute1 gleich SAW“ verwendet, und für Zugriffssteuerungen und Blockieren. Hier erfahren Sie, wie Sie extensionAttributes auf einem Microsoft Entra-Geräteobjekt aktualisieren.
- Blockieren des Zugriffs auf Organisationsressourcen von Geräten, auf denen eine nicht unterstützte Betriebssystemversion ausgeführt wird. Nehmen Sie beispielsweise an, dass Sie den Zugriff auf Ressourcen von Geräten blockieren möchten, auf denen eine ältere Windows-Betriebssystemversion als Windows 10 ausgeführt wird. Für dieses Szenario sollten Organisationen die folgende Richtlinie für bedingten Zugriff erstellen:
- Alle Benutzer, die auf alle Ressourcen zugreifen, ausschließlich der mit einem Gerätefilter, der den Regelausdruck „device.operatingSystem equals Windows“ und „device.operatingSystemVersion startsWith 10.0“ sowie die Einstellung „Blockieren“ für „Zugriffssteuerung“ verwendet, gefilterten Geräte.
- Keine Multi-Faktor-Authentifizierung (MFA) für bestimmte Konten auf bestimmten Geräten anfordern. Nehmen wir für dieses Beispiel an, dass Sie keine mehrstufige Authentifizierung benötigen, wenn Sie Dienstkonten auf bestimmten Geräten wie Teams Phones oder Surface Hub-Geräten verwenden. Für dieses Szenario würden Organisationen die beiden folgenden Richtlinien für bedingten Zugriff erstellen:
- Richtlinie 1: Alle Benutzer mit Ausnahme von Dienstkonten, die auf alle Ressourcen zugreifen, sowie „Zugriff gewähren“ als Zugriffssteuerung. Erforderlich ist jedoch eine mehrstufige Authentifizierung (MFA).
- Richtlinie 2: Wählen Sie Benutzer und Gruppen aus, und schließen Sie eine Gruppe ein, die nur Dienstkonten enthält, die auf alle Ressourcen zugreifen, mit Ausnahme der mit „Filter für Geräte“ und dem Regelausdruck „device.extensionAttribute2 NotEquals TeamsPhoneDevice“ gefilterten Geräte, für die „Blockieren“ als Zugriffssteuerung festgelegt wird.
Hinweis
Microsoft Entra ID verwendet die Geräteauthentifizierung zum Auswerten von Gerätefilterregeln. Bei einem Gerät, das nicht in Microsoft Entra ID registriert ist, werden alle Geräteeigenschaften als NULL-Werte betrachtet, und die Geräteattribute können nicht ermittelt werden, da das Gerät im Verzeichnis nicht vorhanden ist. Die beste Möglichkeit, Richtlinien auf nicht registrierte Geräte auszurichten, ist die Verwendung des negativen Operators, da die konfigurierte Filterregel angewendet würde. Wenn Sie einen positiven Operator verwenden, wird die Filterregel nur angewendet, wenn ein Gerät im Verzeichnis vorhanden ist und die konfigurierte Regel mit dem Attribut des Geräts übereinstimmt.
Erstellen der Richtlinie für bedingten Zugriff
Filter für Geräte ist ein optionales Steuerelement beim Erstellen einer Richtlinie für bedingten Zugriff.
Mit den folgenden Schritten erstellen Sie zwei Richtlinien für bedingten Zugriff, um das erste Szenario unter Gängige Szenarien zu unterstützen.
Richtlinie 1: Alle Benutzer mit einer Administratorrolle, die auf die Cloud-App der Microsoft Azure-Dienstverwaltungs-API zugreifen, und für Zugriffssteuerungen, Zugriff zuweisen, die jedoch Multi-Faktor-Authentifizierung erfordern und ein als kompatibel markiertes Gerät.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
- Wählen Sie Neue Richtlinie.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
Wählen Sie unter Einschließen die Verzeichnisrollen und dann alle Rollen mit „Administrator“ im Namen aus.
Warnung
Richtlinien für bedingten Zugriff unterstützen integrierte Rollen. Richtlinien für bedingten Zugriff werden nicht für andere Rollentypen erzwungen, einschließlich Rollen einer administrativen Einheit oder benutzerdefinierten Rollen.
Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
Wählen Sie Fertig aus.
- Wählen Sie unter Zielressourcen>Ressourcen (ehemals Cloud-Apps)>Einschließen>Ressourcen auswählen die Option Windows Azure Service Management API und dann Auswählen aus.
- Wählen Sie unter Zugriffssteuerungen>Gewähren die Optionen Zugriff gewähren, Multi-Faktor-Authentifizierung erforderlich und Markieren des Geräts als kompatibel erforderlich aus, und wählen Sie dann Auswählen aus.
- Bestätigen Sie die Einstellungen und legen Sie Richtlinie aktivieren auf Ein fest.
- Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.
Richtlinie 2: Alle Benutzenden mit Administratorrolle, die auf die Windows Azure Service Management API-Cloud-App zugreifen, mit Ausnahme der mit „Filter für Geräte“ und dem Regelausdruck „device.extensionAttribute1 equals SAW“ gefilterten Geräte, für die „Blockieren“ als Zugriffssteuerung festgelegt wird.
- Wählen Sie Neue Richtlinie.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
Wählen Sie unter Einschließen die Option Verzeichnisrollen und dann alle Rollen mit „Administrator“ im Namen aus
Warnung
Richtlinien für bedingten Zugriff unterstützen integrierte Rollen. Richtlinien für bedingten Zugriff werden nicht für andere Rollentypen erzwungen, einschließlich Rollen einer administrativen Einheit oder benutzerdefinierten Rollen.
Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
Wählen Sie Fertig aus.
- Wählen Sie unter Zielressourcen>Ressourcen (ehemals Cloud-Apps)>Einschließen>Ressourcen auswählen die Option Windows Azure Service Management API und dann Auswählen aus.
- Wechseln Sie unter Bedingungen zu Filter für Geräte.
- Legen Sie Konfigurieren auf Ja fest.
- Legen Sie Geräte, die der Regel entsprechen auf Gefilterte Geräte von der Richtlinie ausschließen fest.
- Legen Sie die Eigenschaft auf
ExtensionAttribute1
, den Operator aufEquals
und den Wert aufSAW
fest. - Wählen Sie Fertigaus.
- Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff blockieren und dann Auswählen aus.
- Bestätigen Sie die Einstellungen und legen Sie Richtlinie aktivieren auf Ein fest.
- Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.
Warnung
Richtlinien, die konforme Geräte erfordern, können Benutzer von Mac-, iOS- und Android-Geräten auffordern, bei der Richtlinienauswertung ein Gerätezertifikat auszuwählen, auch wenn die Gerätekonformität nicht erzwungen wird. Diese Aufforderungen können wiederholt werden, bis das Gerät konform ist.
Festlegen von Attributwerten
Das Festlegen von Erweiterungsattributen wird durch die Microsoft Graph-API ermöglicht. Weitere Informationen zum Festlegen von Geräteattributen finden Sie im Artikel Aktualisieren von Geräten.
Graph-API „Filter für Geräte“
Die API „Nach Geräten filtern“ ist derzeit im Microsoft Graph v1.0-Endpunkt verfügbar und kann über den Endpunkt https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/
aufgerufen werden. Sie können einen Filter für Geräte konfigurieren, wenn Sie eine neue Richtlinie für bedingten Zugriff erstellen. Sie können aber auch eine vorhandene Richtlinie aktualisieren, um „Filter für Geräte“ als Bedingung zu konfigurieren. Um eine vorhandene Richtlinie zu aktualisieren, können Sie einen Patchaufruf an den Microsoft Graph v1.0-Endpunkt senden und dabei die Richtlinien-ID einer vorhandenen Richtlinie anfügen und den folgenden Anforderungstext ausführen. Im hier gezeigten Beispiel wird das Konfigurieren einer Bedingung „Filter für Geräte“ veranschaulicht, durch die Geräte ausgeschlossen werden, die nicht als SAW-Geräte markiert sind. Die Regelsyntax kann aus mehreren Ausdrücken bestehen. Weitere Informationen zur Syntax finden Sie unter Regeln für dynamische Mitgliedergruppen für Gruppen in Microsoft Entra ID.
{
"conditions": {
"devices": {
"deviceFilter": {
"mode": "exclude",
"rule": "device.extensionAttribute1 -ne \"SAW\""
}
}
}
}
Unterstützte Operatoren und Geräteeigenschaften für Filter
Die folgenden Geräteattribute können mit der Bedingung „Filter für Geräte“ für den bedingten Zugriff verwendet werden.
Hinweis
Microsoft Entra ID verwendet die Geräteauthentifizierung zum Auswerten von Gerätefilterregeln. Bei einem Gerät, das nicht in Microsoft Entra ID registriert ist, werden alle Geräteeigenschaften als NULL-Werte betrachtet, und die Geräteattribute können nicht ermittelt werden, da das Gerät im Verzeichnis nicht vorhanden ist. Die beste Möglichkeit, Richtlinien auf nicht registrierte Geräte auszurichten, ist die Verwendung des negativen Operators, da die konfigurierte Filterregel angewendet würde. Wenn Sie einen positiven Operator verwenden, wird die Filterregel nur angewendet, wenn ein Gerät im Verzeichnis vorhanden ist und die konfigurierte Regel mit dem Attribut des Geräts übereinstimmt.
Unterstützte Geräteattribute | Unterstützte Operatoren | Unterstützte Werte | Beispiel |
---|---|---|---|
deviceId | Equals, NotEquals, In, NotIn | Gültige „deviceId“, die eine GUID ist | (device.deviceid -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb") |
displayName | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Beliebige Zeichenfolge | (device.displayName -contains "ABC") |
deviceOwnership | Equals, NotEquals | Unterstützte Werte sind „Persönlich“ für BYOD (Bring Your Own Devices) und „Unternehmen“ für unternehmenseigene Geräte | (device.deviceOwnership -eq "Company") |
isCompliant | Equals, NotEquals | Unterstützte Werte sind „True“ für kompatible Geräte und „False“ für nicht kompatible Geräte | (device.isCompliant -eq "True") |
Hersteller | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Beliebige Zeichenfolge | (device.manufacturer -startsWith "Microsoft") |
mdmAppId | Equals, NotEquals, In, NotIn | Gültige MDM-Anwendungs-ID | (device.mdmAppId -in ["00001111-aaaa-2222-bbbb-3333cccc4444"]) |
model | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Beliebige Zeichenfolge | (device.model -notContains "Surface") |
operatingSystem | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Gültiges Betriebssystem (z. B. Windows, iOS oder Android) | (device.operatingSystem -eq "Windows") |
operatingSystemVersion | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Eine gültige Betriebssystemversion (z. B. 6.1 für Windows 7, 6.2 für Windows 8 oder 10.0 für Windows 10 und Windows 11) | (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"]) |
physicalIds | Contains, NotContains | Beispiel: Alle Windows Autopilot-Geräte speichern ZTDId (eindeutiger Wert, der allen importierten Windows Autopilot-Geräten zugewiesen ist) in der PhysicalIds-Eigenschaft des Geräts. | (device.physicalIds -contains "[ZTDId]:value") |
profileType | Equals, NotEquals | Gültiger Profiltyp, der für ein Gerät festgelegt ist. Unterstützte Werte: „RegisteredDevice“ (Standard), „SecureVM“ (für Windows-VMs, die in Azure mit Microsoft Entra-Anmeldung aktiviert sind), „Printer“ (für Drucker), „Shared“ (für freigegebene Geräte), „IoT“ (für IoT-Geräte) | (device.profileType -eq "Printer") |
systemLabels | Contains, NotContains | Liste der Bezeichnungen, die vom System auf das Gerät angewendet werden. Einige unterstützte Werte: „AzureResource“ (für Windows-VMs, die in Azure mit Microsoft Entra-Anmeldung aktiviert sind), „M365Managed“ (für Geräte mit Microsoft Managed Desktop-Verwaltung), „MultiUser“ (für freigegebene Geräte) | (device.systemLabels -contains "M365Managed") |
trustType | Equals, NotEquals | Gültiger registrierter Status für Geräte. Unterstützte Werte: „AzureAD“ (für in Microsoft Entra eingebundene Geräte), „ServerAD“ (für hybride in Microsoft Entra eingebundene Geräte), „Workplace“ (für in Microsoft Entra registrierten Geräte) | (device.trustType -eq "ServerAD") |
extensionAttribute1-15 | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | extensionAttributes1-15 sind Attribute, die Kunden für Geräteobjekte verwenden können. Kunden können alle Attribute des Typs „extensionAttributes1-15“ mit benutzerdefinierten Werten aktualisieren und sie in der Bedingung „Filter für Geräte“ für den bedingten Zugriff verwenden. Es kann ein beliebiger Zeichenfolgewert verwendet werden. | (device.extensionAttribute1 -eq "SAW") |
Hinweis
Wenn Sie komplexe Regeln erstellen oder zu viele individuelle Bezeichner wie „deviceid“ für Geräteidentitäten verwenden, sollten Sie „die maximale Länge für die Filterregel von 3072 Zeichen“ im Auge behalten.
Hinweis
Die Operatoren Contains
und NotContains
funktionieren je nach Attributtyp unterschiedlich. Bei Zeichenfolgenattributen wie operatingSystem
und model
gibt der Operator Contains
an, ob eine angegebene Teilzeichenfolge innerhalb des Attributs auftritt. Bei Zeichenfolgenattributen wie physicalIds
und systemLabels
gibt der Operator Contains
an, ob eine angegebene Teilzeichenfolge mit einer der gesamten Zeichenfolgen in der Sammlung übereinstimmt.
Warnung
Geräte müssen von Microsoft Intune verwaltet, kompatibel oder hybrid in Microsoft Entra eingebunden sein, damit ein Wert zum Zeitpunkt der Bewertung der Richtlinie für bedingten Zugriff in extensionAttributes1-15 verfügbar ist.
Verhalten von Richtlinien mit „Filter für Geräte“
Der Filter für den Gerätezustand für den bedingten Zugriff wertet richtlinienbasiert die Geräteattribute eines in Microsoft Entra ID registrierten Geräts aus. Darum ist es wichtig, die Umstände zu kennen, unter denen die Richtlinie angewendet bzw. nicht angewendet wird. In der folgenden Tabelle wird das Verhalten veranschaulicht, wenn die Bedingung „Nach Geräten filtern“ konfiguriert ist.
Bedingung „Filter für Geräte“ | Geräteregistrierungsstatus | Angewendeter Gerätefilter |
---|---|---|
Include-/Exclude-Modus mit positiven Operatoren (Equals, StartsWith, EndsWith, Contains, In) und Verwendung beliebiger Attribute | Nicht registriertes Gerät | Nein |
Include-/Exclude-Modus mit positiven Operatoren (Equals, StartsWith, EndsWith, Contains, In) und Verwendung von Attributen mit Ausnahme von extensionAttributes1-15 | Registriertes Gerät | Ja, wenn die Kriterien erfüllt sind |
Include-/Exclude-Modus mit positiven Operatoren (Equals, StartsWith, EndsWith, Contains, In) und Verwendung von Attributen einschließlich extensionAttributes1-15 | Registriertes Gerät, das von Intune verwaltet wird | Ja, wenn die Kriterien erfüllt sind |
Include-/Exclude-Modus mit positiven Operatoren (Equals, StartsWith, EndsWith, Contains, In) und Verwendung von Attributen einschließlich extensionAttributes1-15 | Registriertes Gerät, das nicht von Intune verwaltet wird | Ja, wenn die Kriterien erfüllt sind. Bei der Verwendung von „extensionAttributes1-15“ gilt die Richtlinie, sofern das Gerät kompatibel oder hybrid in Microsoft Entra eingebunden ist. |
Include-/Exclude-Modus mit negativen Operatoren (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) und Verwendung beliebiger Attribute | Nicht registriertes Gerät | Ja |
Include-/Exclude-Modus mit negativen Operatoren (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) und Verwendung beliebiger Attribute mit Ausnahme von extensionAttributes1-15 | Registriertes Gerät | Ja, wenn die Kriterien erfüllt sind |
Include-/Exclude-Modus mit negativen Operatoren (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) und Verwendung beliebiger Attribute einschließlich extensionAttributes1-15 | Registriertes Gerät, das von Intune verwaltet wird | Ja, wenn die Kriterien erfüllt sind |
Include-/Exclude-Modus mit negativen Operatoren (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) und Verwendung beliebiger Attribute einschließlich extensionAttributes1-15 | Registriertes Gerät, das nicht von Intune verwaltet wird | Ja, wenn die Kriterien erfüllt sind. Bei der Verwendung von „extensionAttributes1-15“ gilt die Richtlinie, sofern das Gerät kompatibel oder hybrid in Microsoft Entra eingebunden ist. |