Einsatz des bedingten Zugriffs

Abgeschlossen

Mithilfe von Intune oder Configuration Manager können Sie sicherstellen, dass in Ihrer Organisation ordnungsgemäße Anmeldeinformationen für den Zugriff und die Freigabe von Unternehmensdaten verwendet werden.

Bedingter Zugriff über Intune

Intune bietet die folgenden Arten des bedingten Zugriffs:

• Gerätebasierter bedingter Zugriff
  • Bedingter Zugriff für Exchange lokal
  • Bedingter Zugriff basierend auf der Netzwerkzugriffssteuerung
  • Bedingter Zugriff basierend auf dem Geräterisiko
  • Bedingter Zugriff für Windows-PCs
    • Unternehmenseigene Geräte
    • Bring Your Own Device (BYOD)
• App-basierter bedingter Zugriff

Bedingter Zugriff mithilfe von Co-Verwaltung

Im Rahmen der Co-Verwaltung wertet Intune jedes Gerät in Ihrem Netzwerk aus, um festzustellen, wie vertrauenswürdig es ist. Diese Auswertung erfolgt auf die folgenden zwei Arten:

1. Intune stellt sicher, dass ein Gerät oder eine App verwaltet und sicher konfiguriert wird. Diese Prüfung hängt davon ab, wie Sie die Compliancerichtlinien Ihres Unternehmens festlegen. Stellen Sie beispielsweise sicher, dass für alle Geräte Verschlüsselung aktiviert ist und keine Jailbreaks vorhanden sind.

   • Diese Auswertung erfolgt vor einer Sicherheitsverletzung und ist konfigurationsbasiert.

   • Für gemeinsam verwaltete Geräte führt Configuration Manager auch konfigurationsbasierte Auswertungen durch, z. B. erforderliche Updates oder die Compliance von Apps. Intune kombiniert diese Auswertung mit einer eigenen Bewertung.

2. Intune erkennt aktive Sicherheitsincidents auf einem Gerät. Intune nutzt die intelligente Sicherheit von Microsoft Defender for Endpoint (vormals Microsoft Defender Advanced Threat Protection oder Windows Defender ATP) und anderen Anbietern von Mobile Threat Defense. Diese Partner führen laufend Verhaltensanalysen auf Geräten aus. Diese Analyse erkennt aktive Incidents und leitet diese Informationen dann an Intune zur Complianceauswertung in Echtzeit weiter.

   • Diese Auswertung erfolgt nach der Sicherheitsverletzung und basiert auf Incidents.

Gängige Möglichkeiten der Nutzung des bedingten Zugriffs

Sie müssen die zugehörigen Compliancerichtlinien konfigurieren, um in Ihrer Organisation für Compliance mit dem bedingten Zugriff zu sorgen. Der bedingte Zugriff wird in der Regel für das Zulassen oder Blockieren des Zugriffs auf Exchange, das Kontrollieren des Netzwerkzugriffs oder die Integration mit einer Mobile Threat Defense-Lösung verwendet.

Gerätebasierter bedingter Zugriff

Intune und Microsoft Entra ID arbeiten zusammen, um sicherzustellen, dass nur verwaltete und kompatible Geräte auf E-Mails, Office 365-Dienste, SaaS-Apps (Software as a Service) und lokale Apps zugreifen können. Darüber hinaus können Sie eine Richtlinie in Microsoft Entra ID festlegen, um nur in die Domäne eingebundene Computer oder mobile Geräte zu aktivieren, die in Intune registriert sind, um auf Office 365-Dienste zuzugreifen.

Intune stellt Funktionen für Gerätekonformitätsrichtlinien bereit, die den Konformitätsstatus der Geräte bewerten. Der Compliancestatus wird an Microsoft Entra ID gemeldet, was diese verwendet, um die in Microsoft Entra ID erstellte Richtlinie für bedingten Zugriff zu erzwingen, wenn der Benutzer versucht, auf Unternehmensressourcen zuzugreifen.

Bedingter Zugriff basierend auf der Netzwerkzugriffssteuerung

Intune lässt sich mit Partnerlösungen wie Cisco ISE, Aruba Clear Pass und Citrix NetScaler integrieren, um die Zugriffssteuerung basierend auf der Intune-Registrierung und dem Konformitätszustand eines Geräts bereitzustellen.

Benutzern kann der Zugriff auf unternehmenseigene WLAN- oder VPN-Ressourcen erlaubt oder verweigert werden, je nachdem, ob das verwendete Gerät verwaltet wird und den Intune-Richtlinien für die Gerätekonformität entspricht.

Bedingter Zugriff basierend auf dem Geräterisiko

Intune arbeitet mit MTD-Anbietern (Mobile Threat Defense) zusammen, um eine Sicherheitslösung bereitzustellen, die Schadsoftware, Trojaner und andere Bedrohungen auf mobilen Geräten erkennt.

Funktionsweise von Intune und der Integration von MTD-Lösungen

Wenn der Mobile Threat Defense-Agent auf mobilen Geräten installiert ist, sendet dieser Benachrichtigungen zum Konformitätszustand an Intune zurück, die eine Meldung enthalten, wenn auf dem mobilen Gerät eine Bedrohung gefunden wurde.

Die Integration mit Intune und Mobile Threat Defense spielen bei Entscheidungen zu bedingtem Zugriff eine Rolle, die auf dem Geräterisiko basieren.

Bedingter Zugriff für Windows-PCs

Der Funktionsumfang des bedingten Zugriffs ist für PCs und mobile Geräte ähnlich. Nun werden die Einsatzmöglichkeiten für den bedingten Zugriff vorgestellt, die bei der Verwaltung von PCs mit Intune zur Verfügung stehen.

Unternehmenseigene Geräte

• Über Microsoft Entra hybrid eingebunden: Organisationen, die bereits mit der Verwaltung ihrer PCs über AD-Gruppenrichtlinien oder Configuration Manager vertraut sind, nutzen in der Regel diese Option.

• In die Microsoft Entra-Domäne eingebunden und mit Intune verwaltet: Diese Szenario ist für Organisationen gedacht, die in erster Linie Clouddienste verwenden und die lokale Infrastruktur reduzieren möchten, oder solche, die über gar keine lokale Infrastruktur verfügen. Microsoft Entra Join funktioniert auch in einer Hybridumgebung gut, da es den Zugriff auf Apps und Ressourcen ermöglicht, egal ob in der Cloud oder vor Ort. Das Gerät wird in Microsoft Entra ID eingebunden und bei Intune registriert. Diese Faktoren können als Kriterien für den bedingten Zugriff verwendet werden, wenn auf Unternehmensressourcen zugegriffen wird.

Bring Your Own Device (BYOD)

• Workplace Join und Intune Management: Der Benutzer/die Benutzerin kann seinen/ihren persönlichen Geräten beitreten, um auf Unternehmensressourcen und -dienste zuzugreifen. Geräte können einem Arbeitsplatz beitreten und bei der mobilen Geräteverwaltung in Intune registriert werden, um Richtlinien auf Geräteebene zu empfangen. Diese sind eine weitere Option für die Auswertung von Kriterien für den bedingten Zugriff.

App-basierter bedingter Zugriff

Intune und Microsoft Entra ID arbeiten zusammen, um sicherzustellen, dass nur verwaltete Apps auf Unternehmens-E-Mail oder andere Office 365-Dienste zugreifen können.