Gängige Möglichkeiten für die Verwendung des bedingten Zugriffs mit Intune
Es gibt zwei Arten von Richtlinien für bedingten Zugriff, die Sie mit Intune verwenden können: gerätebasierter bedingter Zugriff und App-basierter bedingter Zugriff. Um diese zu unterstützen, müssen Sie die zugehörigen Intune-Richtlinien konfigurieren. Wenn die Intune-Richtlinien eingerichtet und bereitgestellt sind, können Sie den bedingten Zugriff verwenden, um z. B. den Zugriff auf Exchange zuzulassen oder zu blockieren, den Zugriff auf Ihr Netzwerk zu steuern oder eine Mobile Threat Defense-Lösung zu integrieren.
In diesem Artikel finden Sie Informationen zur Verwendung der Intune-Funktionen für die Konformität von mobilen Geräten und der Intune-Funktionen für die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM).
Hinweis
Bedingter Zugriff ist eine Microsoft Entra Funktion, die in einer Microsoft Entra ID P1- oder P2-Lizenz enthalten ist. Intune erweitert diese Funktion, indem es der Lösung Konformität der mobilen Geräte und Mobile App-Verwaltung hinzufügt. Der Knoten für bedingten Zugriff, auf den über Intune zugegriffen wird, entspricht dem Knoten, auf den über Microsoft Entra ID zugegriffen wird.
Gerätebasierter bedingter Zugriff
Intune und Microsoft Entra ID zusammenarbeiten, um sicherzustellen, dass nur verwaltete und konforme Geräte auf die E-Mails Ihrer organization, Microsoft 365-Dienste, SaaS-Apps (Software-as-a-Service) und lokale Apps zugreifen können. Darüber hinaus können Sie eine Richtlinie in Microsoft Entra ID festlegen, dass nur in die Domäne eingebundene Computer oder mobile Geräte, die in Intune registriert sind, für den Zugriff auf Microsoft 365-Dienste aktiviert werden.
Mit Intune stellen Sie Gerätekonformitätsrichtlinien bereit, um festzustellen, ob ein Gerät Ihre erwarteten Konfigurations- und Sicherheitsanforderungen erfüllt. Die Auswertung der Konformitätsrichtlinie bestimmt die Kompatibilitäts-status des Geräts, die sowohl an Intune als auch an Microsoft Entra ID gemeldet wird. Es liegt in Microsoft Entra ID, dass Richtlinien für bedingten Zugriff die Compliance-status eines Geräts verwenden können, um Entscheidungen darüber zu treffen, ob der Zugriff auf die Ressourcen Ihrer organization von diesem Gerät aus zugelassen oder blockiert werden soll.
Gerätebasierte Richtlinien für bedingten Zugriff für Exchange Online und andere Microsoft 365-Produkte werden über das Microsoft Intune Admin Center konfiguriert.
Weitere Informationen finden Sie unter Anfordern verwalteter Geräte mit bedingtem Zugriff in Microsoft Entra ID.
Erfahren Sie mehr über die Gerätekonformität in Intune.
Weitere Informationen zu unterstützten Browsern mit bedingtem Zugriff finden Sie in Microsoft Entra ID.
Hinweis
Wenn Sie den gerätebasierten Zugriff für Inhalte aktivieren, auf die Benutzer über Browser-Apps auf ihren Android-Geräten mit persönlichen Arbeitsprofilen zugreifen, müssen Benutzer, die sich vor Januar 2021 registriert haben, den Browserzugriff wie folgt aktivieren:
- Starten Sie die Unternehmensportal-App.
- Navigieren Sie über das Menü zur Seite Einstellungen.
- Tippen Sie im Abschnitt Browserzugriff aktivieren auf die Schaltfläche AKTIVIEREN.
- Schließen Sie die Browser-App, und starten Sie sie neu.
Dies ermöglicht den Zugriff in Browser-Apps, jedoch nicht auf Browser-WebViews, die in Apps geöffnet werden.
Mit bedingtem Zugriff verfügbare Anwendungen zur Steuerung durch Microsoft Intune
Wenn Sie den bedingten Zugriff im Microsoft Entra Admin Center konfigurieren, stehen Ihnen zwei Anwendungen zur Auswahl:
- Microsoft Intune: Diese Anwendung steuert den Zugriff auf das Microsoft Intune Admin Center und die Datenquellen. Konfigurieren Sie Berechtigungen/Steuerelemente für diese Anwendung, wenn Sie das Microsoft Intune Admin Center und Datenquellen als Ziel verwenden möchten.
- Microsoft Intune-Registrierungs: Diese Anwendung steuert den Registrierungsworkflow. Konfigurieren Sie die Zuweisungen/Steuerungen für diese Anwendung, wenn Sie auf den Registrierungsprozess abzielen. Weitere Informationen finden Sie unter Mehrstufige Authentifizierung für Geräteregistrierung in Intune anfordern.
Bedingter Zugriff basierend auf der Netzwerkzugriffssteuerung
Intune lässt sich in Partnerlösungen wie Cisco ISE, Aruba Clear Pass und Citrix NetScaler integrieren, um die Zugriffssteuerung basierend auf der Intune-Registrierung und dem Konformitätszustand eines Geräts bereitzustellen.
Benutzern kann der Zugriff auf unternehmenseigene WLAN- oder VPN-Ressourcen erlaubt oder verweigert werden, je nachdem, ob das verwendete Gerät verwaltet wird und den Intune-Richtlinien für die Gerätekonformität entspricht.
- Erfahren Sie mehr über die NAC-Integration in Intune.
Bedingter Zugriff basierend auf dem Geräterisiko
Intune arbeitet mit MTD-Anbietern (Mobile Threat Defense) zusammen, um eine Sicherheitslösung bereitzustellen, die Schadsoftware, Trojaner und andere Bedrohungen auf mobilen Geräten erkennt.
Funktionsweise von Intune und der Integration von MTD-Lösungen
Wenn der Mobile Threat Defense-Agent auf mobilen Geräten installiert ist, sendet dieser Benachrichtigungen zum Konformitätszustand an Intune zurück, die eine Meldung enthalten, wenn auf dem mobilen Gerät eine Bedrohung gefunden wurde.
Die Integration von Intune und Mobile Threat Defense ist ein wichtiger Faktor bei Entscheidungen zum bedingten Zugriff basierend auf dem Geräterisiko.
- Erfahren Sie mehr über Intune Mobile Threat Defense.
Bedingter Zugriff für Windows-PCs
Der bedingte Zugriff für PCs bietet eine Funktionalität, die der für mobile Geräte verfügbaren ähnlich ist. Im Folgenden finden Sie Informationen zu den verschiedenen Möglichkeiten, den bedingten Zugriff beim Verwalten von PCs mit Intune zu verwenden.
Unternehmenseigene Geräte
Microsoft Entra hybrid eingebunden: Diese Option wird häufig von Organisationen verwendet, die mit der Verwaltung ihrer PCs bereits über AD-Gruppenrichtlinien oder Configuration Manager vertraut sind.
Microsoft Entra in die Domäne eingebundenen und Intune Verwaltung: Dieses Szenario richtet sich an Organisationen, die cloud-first (d. a. in erster Linie Clouddienste verwenden, um die Nutzung einer lokalen Infrastruktur zu reduzieren) oder nur in der Cloud (keine lokale Infrastruktur) sein möchten. Microsoft Entra Join funktioniert gut in einer Hybridumgebung und ermöglicht den Zugriff auf cloudbasierte und lokale Apps und Ressourcen. Das Gerät wird mit dem Microsoft Entra ID verknüpft und bei Intune registriert, die beim Zugriff auf Unternehmensressourcen als Kriterien für bedingten Zugriff verwendet werden können.
Bring Your Own Device (BYOD)
- Arbeitsplatzbeitritt und Intune-Verwaltung: Bei dieser Option können Benutzer ihre persönlichen Geräte einbinden, um auf Unternehmensressourcen und -dienste zuzugreifen. Sie können den Arbeitsplatzbeitritt verwenden und Geräte bei Intune MDM registrieren, um Richtlinien auf Geräteebene zu erhalten. Dies ist eine weitere Option zum Auswerten von Kriterien für den bedingten Zugriff.
Weitere Informationen zu Geräteverwaltung finden Sie in Microsoft Entra ID.
App-basierter gerätebasierter bedingter Zugriff
Intune und Microsoft Entra ID stellen gemeinsam sicher, dass nur verwaltete Apps auf Unternehmens-E-Mails oder andere Microsoft 365-Dienste zugreifen können.
- Erfahren Sie mehr über den App-basierten bedingten Zugriff mit Intune.
Bedingter Zugriff von Intune für Exchange lokal
Der bedingte Zugriff kann zum Zulassen oder Sperren des Zugriffs auf Exchange lokal basierend auf den Konformitätsrichtlinien für Geräte und dem Registrierungsstatus verwendet werden. Wenn der bedingte Zugriff zusammen mit einer Gerätekonformitätsrichtlinie verwendet wird, ist nur konformen Geräten der Zugriff auf Exchange lokal gestattet.
Sie können erweiterte Einstellungen wie die folgenden für den bedingten Zugriff konfigurieren, um eine präzisere Steuerung zu erzielen:
Zulassen oder Blockieren bestimmter Plattformen
Sofortiges Blockieren von Geräten, die nicht über Intune verwaltet werden
Jedes Gerät, mit dem auf Exchange lokal zugegriffen wird, wird auf Konformität überprüft, wenn Richtlinien für Gerätekonformität und bedingten Zugriff angewendet werden.
Wenn ein Gerät die festgelegten Bedingungen nicht erfüllt, erhält der Endbenutzer Anweisungen zum Registrieren des Geräts, um das Problem zu beheben, das die Konformität des Geräts verhindert.
Hinweis
Ab Juli 2020 wird der Exchange Connector nicht mehr unterstützt und durch die hybride moderne Authentifizierung (HMA) für Exchange ersetzt. Für die Verwendung der HMA muss Intune nicht den Exchange Connector einrichten und verwenden. Mit dieser Änderung wurde die Benutzeroberfläche zum Konfigurieren und Verwalten des Exchange-Connectors für Intune aus dem Microsoft Intune Admin Center entfernt, es sei denn, Sie verwenden bereits einen Exchange-Connector mit Ihrem Abonnement.
Wenn Sie einen Exchange Connector in Ihrer Umgebung eingerichtet haben, wird Ihr Intune-Mandant weiterhin für dessen Verwendung unterstützt, und Sie haben weiterhin Zugriff auf die Benutzeroberfläche, die dessen Konfiguration unterstützt. Weitere Informationen finden Sie unter Exchange lokal-Connector installieren. Sie können den Connector weiterhin verwenden oder die HMA konfigurieren und den Connector deinstallieren.
Die moderne Hybridauthentifizierung bietet Funktionen, die zuvor vom Exchange Connector für Intune bereitgestellt wurden: Zuordnung einer Geräteidentität zu ihrem Exchange-Datensatz. Diese Zuordnung ist nun nicht mehr Teil einer von Ihnen in Intune vorgenommenen Konfiguration oder der Anforderung, dass der Intune Connector zum Verbinden von Intune und Exchange verwendet werden soll. Mit der HMA wurde die Anforderung der Verwendung der Intune-spezifischen Konfiguration (des Connectors) aufgehoben.
Was ist die Intune-Rolle?
Intune bewertet und verwaltet den Gerätezustand.
Was ist die Exchange-Server-Rolle?
Der Exchange-Server stellt die API und die Infrastruktur bereit, um Geräte in die Quarantäne zu verschieben.
Wichtig
Denken Sie daran, dass dem Benutzer, der das Gerät verwendet, ein Konformitätsprofil und eine Intune-Lizenz zugewiesen sein müssen, damit das Gerät hinsichtlich der Konformität bewertet werden kann. Wenn keine Konformitätsrichtlinie für den Benutzer bereitgestellt wird, wird das Gerät als konform behandelt, und es werden keine Zugriffsbeschränkungen angewendet.
Nächste Schritte
Konfigurieren des bedingten Zugriffs in Microsoft Entra ID
Einrichten von Richtlinien für App-basierten bedingten Zugriff
Erstellen einer Richtlinie für den bedingten Zugriff auf Exchange lokal