Freigeben über


Konfigurieren der CMMC Level 2-Zugriffssteuerungsmechanismen (Access Control, AC)

Microsoft Entra ID kann Sie bei der Erfüllung identitätsbezogener Verfahrensanforderungen auf allen CMMC-Ebenen (Cybersecurity Maturity Model Certification) unterstützen. Um die Anforderungen von CMMC V2.0 Level 2 zu erfüllen, liegt es in der Verantwortung von Unternehmen, die für das bzw. im Auftrag des US-Verteidigungsministeriums (DoD) arbeiten, weitere Konfigurationen oder Prozesse abzuschließen.

CMMC Level 2 umfasst 13 Bereiche, die ein oder mehrere identitätsbezogene Verfahren abdecken:

  • Zugriffssteuerung (Access Control, AC)
  • Überwachung und Verantwortlichkeit (AU)
  • Konfigurationsverwaltung (Configuration Management, CM)
  • Identifizierung und Authentifizierung (IA)
  • Reaktion auf Vorfälle (Incident Response, IR)
  • Wartung (Maintenance, MA)
  • Medienschutz (Media Protection, MP)
  • Personalsicherheit (PS)
  • Physischer Schutz (PE)
  • Risikobewertung (Risk Assessment, RA)
  • Sicherheitsbewertung (CA)
  • System- und Kommunikationsschutz (System and Communications, SC)
  • Integrität von System und Informationen (SI)

Der Rest dieses Artikels enthält Anleitungen für den Bereich „Zugriffssteuerung“ (Access Control, AC). Sie finden eine Tabelle mit Links zu Inhalten, die eine Schritt-für-Schritt-Anleitung für die Durchführung des Verfahrens bieten.

Zugriffssteuerung (Access Control, AC)

In der folgenden Tabelle finden Sie eine Liste mit Verfahrensanweisungen und Zielen sowie Anleitungen und Empfehlungen für Microsoft Entra, mit denen Sie diese Anforderungen mit Microsoft Entra ID erfüllen können.

CMMC-Verfahrensanweisung und -Ziele Leitfaden und Empfehlungen für Microsoft Entra
AC.L2-3.1.3

Verfahrensanweisung: Steuern Sie den Fluss kontrollierter nicht klassifizierter Informationen (Controlled Unclassified Information, CUI) in Übereinstimmung mit genehmigten Autorisierungen.

Ziele:
Ermitteln Sie, ob:
[a.] Richtlinien zur Steuerung des Informationsflusses definiert sind;
[b.] Methoden und Durchsetzungsmechanismen zur Steuerung des Flusses kontrollierter nicht klassifizierter Informationen (Controlled Unclassified Information, CUI) definiert sind;
[c.] bestimmte Quellen und Ziele (z. B. Netzwerke, Einzelpersonen und Geräte) für CUI innerhalb des Systems und zwischen verbundenen Systemen identifiziert sind;
[d.] Autorisierungen zur Steuerung des CUI-Flusses definiert sind; und
[e.] genehmigte Autorisierungen zur Steuerung des CUI-Flusses erzwungen werden.
Konfigurieren Sie Richtlinien für bedingten Zugriff, um den Flow von CUI von vertrauenswürdigen Standorten, vertrauenswürdigen Geräten und genehmigten Anwendungen zu steuern und eine App-Schutzrichtlinie zu erfordern. Konfigurieren Sie für eine differenziertere Autorisierung für CUI von der App erzwungene Einschränkungen (Exchange/SharePoint Online), App-Steuerung (mit Microsoft Defender for Cloud Apps) und Authentifizierungskontext. Stellen Sie den Microsoft Entra-Anwendungsproxy bereit, um den Zugriff auf lokale Anwendungen zu sichern.
Standortbedingung beim bedingten Zugriff in Microsoft Entra
Steuerelemente zur Rechteerteilung in der Richtlinie für bedingten Zugriff: Markieren des Geräts als kompatibel erforderlich
Steuerelemente zur Rechteerteilung in der Richtlinie für bedingten Zugriff: In Microsoft Entra eingebundenes Hybridgerät erforderlich
Steuerelemente zur Rechteerteilung in der Richtlinie für bedingten Zugriff: Genehmigte Client-App erforderlich
Steuerelemente zur Rechteerteilung in der Richtlinie für bedingten Zugriff: App-Schutzrichtlinie erforderlich
Session-Steuerung in der Richtlinie für den bedingten Zugriff - Anwendungs-erzwungene Einschränkungen
Schutz mit der App-Steuerung für bedingten Zugriff für Microsoft Defender for Cloud Apps
Cloud-Apps, Aktionen und Authentifizierungskontext in der Richtlinie für bedingten Zugriff
Remotezugriff auf lokale Anwendungen mit dem Microsoft Entra-Anwendungsproxy

Authentifizierungskontext
Konfigurieren des Authentifizierungskontexts und Zuweisen zu einer Richtlinie für bedingten Zugriff

Information Protection
Verstehen und schützen Sie Ihre Daten, und helfen Sie, Datenverluste zu verhindern.
Schützen Ihrer vertraulichen Daten mit Microsoft Purview

Bedingter Zugriff
Bedingter Zugriff für Azure Information Protection (AIP)

Anwendungsproxy
Remotezugriff auf lokale Anwendungen mit dem Microsoft Entra-Anwendungsproxy
AC.L2-3.1.4

Verfahrensanweisung: Trennen Sie die Aufgaben einzelner Personen, um das Risiko böswilliger Aktivitäten ohne Absprachen zu verringern.

Ziele:
Ermitteln Sie, ob:
[a.] die Aufgaben einzelner Personen, die eine Trennung erfordern, definiert sind;
[b.] die Zuständigkeiten für Aufgaben, die eine Trennung erfordern, unterschiedlichen Personen zugewiesen sind; und
[c.] die Zugriffsrechte, die den einzelnen Personen die Ausübung der Aufgaben ermöglichen, die eine Trennung erfordern, unterschiedlichen Personen zugewiesen sind.
Gewährleistung einer angemessenen Aufgabentrennung durch Festlegen des angemessenen Zugangs. Konfigurieren Sie Zugriffspakete für die Berechtigungsverwaltung, um den Zugriff auf Anwendungen, Gruppen, Teams und SharePoint-Websites zu steuern. Konfigurieren Sie Aufgabentrennungsprüfungen innerhalb von Zugriffspaketen, um zu vermeiden, dass ein Benutzer zu umfangreiche Zugriffsrechte hat. In der Microsoft Entra-Berechtigungsverwaltung können Sie für jede Benutzercommunity, die Zugriff über ein Zugriffspaket benötigt, mehrere Richtlinien mit unterschiedlichen Einstellungen konfigurieren. Diese Konfiguration umfasst Einschränkungen, sodass einem Benutzer einer bestimmten Gruppe oder einem Benutzer, dem bereits ein anderes Zugriffspaket zugewiesen wurde, keine anderen Zugriffspakete per Richtlinie zugewiesen werden.

Konfigurieren Sie Verwaltungseinheiten in Microsoft Entra ID, um Administratorrechte festzulegen, sodass Administratoren mit privilegierten Rollen nur über diese Berechtigungen für eine begrenzte Gruppe von Verzeichnisobjekten (Benutzer, Gruppen, Geräte) verfügen.
Was ist Berechtigungsverwaltung?
Was sind Zugriffspakete und welche Ressourcen können damit verwaltet werden?
Konfigurieren der Aufgabentrennung für ein Zugriffspaket in der Microsoft Entra-Berechtigungsverwaltung
Verwaltungseinheiten in Microsoft Entra ID
AC.L2-3.1.5

Verfahrensanweisung: Wenden Sie das Prinzip der geringsten Rechte an, auch für bestimmte Sicherheitsfunktionen und privilegierte Konten.

Ziele:
Ermitteln Sie, ob:
[a.] privilegierte Konten identifiziert sind;
[b.] der Zugriff auf privilegierte Konten nach dem Prinzip der geringsten Rechte autorisiert ist;
[c.] Sicherheitsfunktionen identifiziert sind; und
[d.] der Zugriff auf Sicherheitsfunktionen nach dem Prinzip der geringsten Rechte autorisiert ist.
Sie sind für die Implementierung und Durchsetzung der Regel der geringsten Rechte verantwortlich. Diese Aktion kann mit Privileged Identity Management zum Konfigurieren von Erzwingung, Überwachung und Warnung ausgeführt werden. Legen Sie Anforderungen und Bedingungen für die Rollenmitgliedschaft fest.

Nachdem privilegierte Konten identifiziert und verwaltet wurden, verwenden Sie die Lebenszyklusverwaltung für Berechtigungen und Zugriffsüberprüfungen, um angemessenen Zugriff festzulegen, zu verwalten und zu überwachen. Verwenden Sie die MS Graph-API, um Verzeichnisrollen zu ermitteln und zu überwachen.

Zuweisen von Rollen
Zuweisen von Microsoft Entra-Rollen in PIM
Zuweisen von Azure-Ressourcenrollen in PIM
Zuweisen berechtigter Besitzer*innen und Mitglieder für PIM für Gruppen

Festlegen von Rolleneinstellungen
Konfigurieren von Microsoft Entra-Rolleneinstellungen in PIM
Konfigurieren von Einstellungen für Azure-Ressourcenrollen in PIM
Konfigurieren von Einstellungen für PIM für Gruppen in PIM

Einrichten von Warnungen
Sicherheitswarnungen für Microsoft Entra-Rollen in PIM
Konfigurieren von Sicherheitswarnungen für Azure-Ressourcenrollen in Privileged Identity Management
AC.L2-3.1.6

Verfahrensanweisung: Verwenden Sie nicht privilegierte Konten oder Rollen für den Zugriff auf nicht sicherheitsrelevante Funktionen.

Ziele:
Ermitteln Sie, ob:
[a.] nicht sicherheitsrelevante Funktionen identifiziert sind; und
[b.] Benutzer für den Zugriff auf nicht sicherheitsrelevante Funktionen nicht privilegierte Konten oder Rollen verwenden müssen.

AC.L2-3.1.7

Verfahrensanweisung: Hindern Sie nicht privilegierte Benutzer an der Ausführung privilegierter Funktionen, und erfassen Sie die Ausführung solcher Funktionen in Überwachungsprotokollen.

Ziele:
Ermitteln Sie, ob:
[a.] privilegierte Funktionen definiert sind;
[b.] nicht privilegierte Benutzer definiert sind;
[c.] nicht privilegierte Benutzer an der Ausführung privilegierter Funktionen gehindert werden; und
[d.] die Ausführung privilegierter Funktionen in Überwachungsprotokollen erfasst wird.
Die Anforderungen in AC. L2-3.1.6 und AC. L2-3.1.7 ergänzen sich. Erfordern Sie separate Konten für die Nutzung mit Berechtigungen und ohne Berechtigungen. Konfigurieren Sie Privileged Identity Management (PIM), um privilegierten Just-In-Time-Zugriff (JIT) zu ermöglichen und ständigen Zugriff zu entfernen. Konfigurieren Sie rollenbasierte Richtlinien für bedingten Zugriff, um den Zugriff auf Produktivitätsanwendungen für privilegierte Benutzer zu beschränken. Schützen Sie bei hoch privilegierten Benutzern Geräte im Rahmen des privilegierten Zugriffs. Alle privilegierten Aktionen werden in den Microsoft Entra-Überwachungsprotokollen erfasst.
Überblick über die Absicherung des privilegierten Zugriffs
Konfigurieren von Microsoft Entra-Rolleneinstellungen in PIM
Benutzer und Gruppen in der Richtlinie für bedingten Zugriff
Warum sind Geräte mit privilegiertem Zugriff wichtig?
AC.L2-3.1.8

Verfahrensanweisung: Schränken Sie die Anzahl erfolgloser Anmeldeversuche ein.

Ziele:
Ermitteln Sie, ob:
[a.] die Methode zum Einschränken der Anzahl erfolgloser Anmeldeversuche definiert ist; und
[b.] die definierte Methode zum Einschränken der Anzahl erfolgloser Anmeldeversuche implementiert ist.
Aktivieren Sie benutzerdefinierte Smart Lockout-Einstellungen. Konfigurieren Sie den Sperrschwellenwert und die Sperrdauer in Sekunden, um diese Anforderungen umzusetzen.
Schützen von Benutzerkonten vor Angriffen mithilfe von Smart Lockout von Microsoft Entra
Verwalten von Microsoft Entra Smart Lockout-Werten
AC.L2-3.1.9

Verfahrensanweisung: Stellen Sie Datenschutz- und Sicherheitshinweise bereit, die den geltenden Regeln für kontrollierte nicht klassifizierte Informationen (Controlled Unclassified Information, CUI) entsprechen.

Ziele:
Ermitteln Sie, ob:
[a.] die aufgrund der CUI-Regeln erforderlichen Datenschutz- und Sicherheitshinweise identifiziert, konsistent und der jeweiligen CUI-Kategorie zugeordnet sind; und
[b.] Datenschutz- und Sicherheitshinweise angezeigt werden.
Mit Microsoft Entra ID können Sie Benachrichtigungs- oder Bannermeldungen für alle Apps bereitstellen, die vor Gewähren des Zugriffs eine Bestätigung erfordern und erfassen. Sie können diese Nutzungsbedingungen genau auf bestimmte Benutzer (Mitglied oder Gast) ausrichten. Sie können sie auch über Richtlinien für bedingten Zugriff für jede Anwendung anpassen.

Bedingter Zugriff
Was ist der bedingte Zugriff in Microsoft Entra ID?

Nutzungsbedingungen
Microsoft Entra Nutzungsbedingungen
Anzeigen des Berichts über abgelehnte und akzeptierte Nutzungsbedingungen
AC.L2-3.1.10

Verfahrensanweisung: Verwenden Sie eine Sitzungssperre mit Unkenntlichmachung der Anzeige, um den Zugriff auf und die Anzeige von Daten nach einer bestimmten Zeit der Inaktivität zu verhindern.

Ziele:
Ermitteln Sie, ob:
[a.] die Zeitdauer der Inaktivität, nach der das System eine Sitzungssperre initiiert, festgelegt ist;
[b.] der Zugriff auf das System und die Anzeige von Daten durch das Initiieren einer Sitzungssperre nach der festgelegten Zeit der Inaktivität verhindert wird; und
[c.] zuvor sichtbare Informationen nach der festgelegten Zeit der Inaktivität über eine Unkenntlichmachung der Anzeige verborgen werden.
Implementieren Sie eine Gerätesperre mithilfe einer Richtlinie für bedingten Zugriff, um den Zugriff auf konforme oder in Microsoft Entra eingebundene Hybridgeräte einzuschränken. Konfigurieren Sie Richtlinieneinstellungen auf dem Gerät, um die Gerätesperre auf Betriebssystemebene mit MDM-Lösungen wie Intune zu erzwingen. In Hybridbereitstellungen können auch Microsoft Intune, Configuration Manager oder Gruppenrichtlinienobjekte berücksichtigt werden. Für nicht verwaltete Geräte konfigurieren Sie die Anmeldefrequenz-Einstellung um Benutzer zu zwingen, sich erneut zu authentifizieren.
Markieren des Geräts als kompatibel erforderlich
Steuerelemente zur Rechteerteilung in der Richtlinie für bedingten Zugriff: In Microsoft Entra eingebundenes Hybridgerät erforderlich
Anmeldehäufigkeit von Benutzern

Konfigurieren Sie Geräte für eine maximale Anzahl von Minuten der Inaktivität, bis die Anzeige gesperrt wird (Android, iOS, Windows 10).
AC.L2-3.1.11

Verfahrensanweisung: Beenden Sie eine Benutzersitzung (automatisch) nach einer definierten Bedingung.

Ziele:
Ermitteln Sie, ob:
[a.] Bedingungen definiert sind, die das Beenden einer Benutzersitzung erfordern; und
[b.] eine Benutzersitzung nach Eintreten einer der definierten Bedingungen automatisch beendet wird.
Aktivieren Sie fortlaufende Zugriffsevaluierung (Continuous Access Evaluation, CAE) für alle unterstützten Anwendungen. Für Anwendungen, die keine CAE unterstützen, oder für Bedingungen, die nicht für CAE gelten, implementieren Sie Richtlinien in Microsoft Defender for Cloud Apps, um Sitzungen automatisch zu beenden, wenn Bedingungen auftreten. Konfigurieren Sie darüber hinaus Microsoft Entra ID Protection, um das Benutzer- und Anmelderisiko auszuwerten. Verwenden Sie bedingten Zugriff mit Identity Protection, um Benutzern das automatische Korrigieren von Risiken zu ermöglichen.
Fortlaufende Zugriffsevaluierung in Microsoft Entra ID
Steuern der Cloud-App-Nutzung durch Erstellen von Richtlinien
Was ist Microsoft Entra ID Protection?
AC.L2-3.1.12

Verfahrensanweisung: Überwachen und steuern Sie Remotezugriffssitzungen.

Ziele:
Ermitteln Sie, ob:
[a.] Remotezugriffssitzungen zulässig sind;
[b.] die Typen des zulässigen Remotezugriffs identifiziert sind;
[c.] Remotezugriffssitzungen gesteuert werden; und
[d.] Remotezugriffssitzungen überwacht werden.
Heutzutage greifen Benutzer fast ausschließlich remote über unbekannte oder nicht vertrauenswürdige Netzwerke auf cloudbasierte Anwendungen zu. Für diese Art des Zugriffs ist es wichtig, die Prinzipen von Zero Trust anzuwenden. Um diese Kontrollanforderungen in einer modernen Cloudwelt zu erfüllen, müssen wir jede Zugriffsanforderung explizit überprüfen, das Prinzip der geringsten Rechte implementieren und immer von einer Sicherheitsverletzung ausgehen.

Konfigurieren Sie benannte Standorte, um interne und externe Netzwerke zu trennen. Konfigurieren Sie die App-Steuerung für bedingten Zugriff, um den Zugriff über Microsoft Defender for Cloud Apps weiterzuleiten. Konfigurieren Sie Defender for Cloud-Apps, um alle Sitzungen zu steuern und zu überwachen.
Zero Trust-Bereitstellungshandbuch für Microsoft Entra ID
Standortbedingung beim bedingten Zugriff in Microsoft Entra
Bereitstellen der App-Steuerung für bedingten Zugriff für Microsoft Entra-Apps
Was ist Microsoft Defender for Cloud Apps?
Überwachen der in Defender for Cloud Apps ausgelösten Warnungen
AC.L2-3.1.13

Verfahrensanweisung: Implementieren Sie kryptografische Mechanismen zum Schutz der Vertraulichkeit von Remotezugriffssitzungen.

Ziele:
Ermitteln Sie, ob:
[a.] kryptografische Mechanismen zum Schutz der Vertraulichkeit von Remotezugriffssitzungen identifiziert sind; und
[b.] kryptografische Mechanismen zum Schutz der Vertraulichkeit von Remotezugriffssitzungen implementiert sind.
Alle Microsoft Entra-Webdienste für Kunden werden mit dem TLS-Protokoll (Transport Layer Security) geschützt und mithilfe von FIPS-validierter Kryptografie implementiert.
Überlegungen zur Microsoft Entra Datensicherheit (microsoft.com)
AC.L2-3.1.14

Verfahrensanweisung: Leiten Sie den Remotezugriff über verwaltete Zugriffssteuerungspunkte.

Ziele:
Ermitteln Sie, ob:
[a.] verwaltete Zugriffssteuerungspunkte identifiziert und implementiert sind; und
[b.] der Remotezugriff über verwaltete Netzwerkzugriffssteuerungspunkte geleitet wird.
Konfigurieren Sie benannte Standorte, um interne und externe Netzwerke zu trennen. Konfigurieren Sie die App-Steuerung für bedingten Zugriff, um den Zugriff über Microsoft Defender for Cloud Apps weiterzuleiten. Konfigurieren Sie Defender for Cloud-Apps, um alle Sitzungen zu steuern und zu überwachen. Schützen Sie Geräte, die von privilegierten Konten im Rahmen des privilegierten Zugriffs verwendet werden.
Standortbedingung beim bedingten Zugriff in Microsoft Entra
Sitzungskontrollen in der Richtlinie für bedingten Zugriff
Überblick über die Absicherung des privilegierten Zugriffs
AC.L2-3.1.15

Verfahrensanweisung: Autorisieren Sie die Remoteausführung privilegierter Befehle und den Remotezugriff auf sicherheitsrelevante Informationen.

Ziele:
Ermitteln Sie, ob:
[a.] für die Remoteausführung autorisierte privilegierte Befehle identifiziert sind;
[b.] sicherheitsrelevante Informationen identifiziert sind, auf die remote zugegriffen werden darf;
[c.] die Ausführung der identifizierten privilegierten Befehle über den Remotezugriff autorisiert ist; und
[d.] der Zugriff auf die identifizierten sicherheitsrelevanten Informationen über den Remotezugriff autorisiert ist.
Bedingter Zugriff ist in Kombination mit Authentifizierungskontext die Zero Trust-Steuerungsebene für die Ausrichtung von Richtlinien auf den Zugriff auf Ihre Apps. Sie können in diesen Apps verschiedene Richtlinien anwenden. Schützen Sie Geräte, die von privilegierten Konten im Rahmen des privilegierten Zugriffs verwendet werden. Konfigurieren Sie Richtlinien für bedingten Zugriff, um die Verwendung dieser geschützten Geräte durch privilegierte Benutzer beim Ausführen privilegierter Befehle zu erfordern.
Cloud-Apps, Aktionen und Authentifizierungskontext in der Richtlinie für bedingten Zugriff
Überblick über die Absicherung des privilegierten Zugriffs
Filter für Geräte als Bedingung in der Richtlinie für bedingten Zugriff
AC.L2-3.1.18

Verfahrensanweisung: Steuern Sie die Verbindungen mobiler Geräte.

Ziele:
Ermitteln Sie, ob:
[a.] mobile Geräte, die CUI verarbeiten, speichern oder übertragen, identifiziert sind;
[b.] Verbindungen mobiler Geräte autorisiert sind; und
[c.] Verbindungen mobiler Geräte überwacht und protokolliert werden.
Konfigurieren Sie Richtlinien zur Geräteverwaltung über eine MDM-Lösung (wie z. B. Microsoft Intune), Configuration Manager oder Gruppenrichtlinienobjekte (Group Policy Objects, GPO), um die Konfiguration und das Verbindungsprofil mobiler Geräte zu erzwingen. Konfigurieren Sie Richtlinien für den bedingten Zugriff, um die Gerätekonformität zu erzwingen.

Bedingter Zugriff
Markieren des Geräts als kompatibel erforderlich
Microsoft Entra hybrid eingebundenen Gerät erforderlich

Intune
Gerätekompatibilitätsrichtlinien in Microsoft Intune
Was ist die Microsoft Intune App-Verwaltung?
AC.L2-3.1.19

Verfahrensanweisung: Verschlüsseln Sie kontrollierte nicht klassifizierte Informationen (Controlled Unclassified Information, CUI) für mobile Geräte und mobile Computingplattformen.

Ziele:
Ermitteln Sie, ob:
[a.] mobile Geräte und mobile Computingplattformen, die CUI verarbeiten, speichern oder übertragen, identifiziert sind; und
[b.] Verschlüsselung verwendet wird, um CUI auf identifizierten mobilen Geräten und mobilen Computingplattformen zu schützen.
Verwaltetes Gerät
Konfigurieren Sie Richtlinien für bedingten Zugriff, um die Verwendung von konformen oder hybriden, in Microsoft Entra eingebundenen Geräten zu erzwingen und sicherzustellen, dass verwaltete Geräte über die Geräteverwaltungslösung zum Verschlüsseln von CUI entsprechend konfiguriert werden.

Nicht verwaltetes Gerät
Konfigurieren Sie Richtlinien für bedingten Zugriff, um App-Schutzrichtlinien zu erfordern.
Steuerelemente zur Rechteerteilung in der Richtlinie für bedingten Zugriff: Markieren des Geräts als kompatibel erforderlich
Steuerelemente zur Rechteerteilung in der Richtlinie für bedingten Zugriff: In Microsoft Entra eingebundenes Hybridgerät erforderlich
Steuerelemente zur Rechteerteilung in der Richtlinie für bedingten Zugriff: App-Schutzrichtlinie erforderlich
AC.L2-3.1.21

Verfahrensanweisung: Schränken Sie die Verwendung tragbarer Speichergeräte in externen Systemen ein.

Ziele:
Ermitteln Sie, ob:
[a.] die Verwendung von tragbaren Speichergeräten, die CUI enthalten, auf externen Systemen identifiziert und dokumentiert ist;
[b.] Einschränkungen für die Verwendung von tragbaren Speichergeräten, die CUI enthalten, auf externen Systemen definiert sind; und
[c.] die Verwendung von tragbaren Speichergeräten, die CUI enthalten, auf externen Systemen wie definiert eingeschränkt wird.
Konfigurieren Sie Geräteverwaltungsrichtlinien über eine MDM-Lösung (wie z. B. Microsoft Intune), Configuration Manager oder Gruppenrichtlinienobjekte (Group Policy Objects, GPO), um die Verwendung von tragbaren Speichergeräten in Systemen zu kontrollieren. Konfigurieren Sie Richtlinieneinstellungen auf dem Windows-Gerät, um die Verwendung von tragbarem Speicher auf Betriebssystemebene vollständig zu verbieten oder einzuschränken. Blockieren Sie für alle anderen Geräte, auf denen Sie möglicherweise den Zugriff auf tragbaren Speicher nicht differenziert steuern können, das Herunterladen vollständig mit Microsoft Defender for Cloud Apps. Konfigurieren Sie Richtlinien für den bedingten Zugriff, um die Gerätekonformität zu erzwingen.

Bedingter Zugriff
Markieren des Geräts als kompatibel erforderlich
Microsoft Entra hybrid eingebundenen Gerät erforderlich
Konfigurieren der Verwaltung von Authentifizierungssitzungen

Intune
Gerätekompatibilitätsrichtlinien in Microsoft Intune
Einschränken von USB-Geräten mithilfe administrativer Vorlagen in Microsoft Intune

Microsoft Defender for Cloud Apps
Erstellen von Sitzungsrichtlinien in Defender for Cloud Apps

Nächste Schritte