Bedingter Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich

Viele Menschen verwenden mobile Geräte sowohl für private als auch für berufliche Zwecke. Unternehmen wollen nicht nur sicherstellen, dass ihre Mitarbeiter produktiv arbeiten können, sondern auch Datenverluste durch Anwendungen auf Geräten verhindern, die sie nicht vollständig verwalten können.

Mit bedingtem Zugriff können Organisationen den Zugriff auf genehmigte (moderne authentifizierungsfähige) Client-Apps mithilfe von Intune-App-Schutzrichtlinien einschränken. Für ältere Client-Apps, die möglicherweise keine App-Schutzrichtlinien unterstützen, können Administratoren den Zugriff auf genehmigte Client-Apps einschränken.

Warnung

App-Schutzrichtlinien werden nur unter iOS und Android unterstützt.

Nicht alle Anwendungen werden als genehmigte Anwendungen unterstützt oder unterstützen Anwendungsschutzrichtlinien. Eine Liste einiger der gängigsten Client-Apps finden Sie unter Anforderung an die App-Schutzrichtlinie. Wenn Ihre Anwendung dort nicht aufgeführt ist, wenden Sie sich an den Anwendungsentwickler.

Um genehmigte Client-Apps für iOS- und Android-Geräte anzufordern, müssen sich diese Geräte zunächst bei Azure AD registrieren.

Hinweis

Die Option „Eine der ausgewählten Steuerungen anfordern“ unter den Zugriffserteilungssteuerungen funktioniert wie eine ODER-Klausel. Sie wird innerhalb einer Richtlinie verwendet, um Benutzern die Verwendung von Apps zu ermöglichen, welche die Zugriffserteilungssteuerungen App-Schutzrichtlinie erforderlich bzw. Genehmigte Client-App erforderlich unterstützen. App-Schutzrichtlinie erforderlich wird erzwungen, wenn die App dieses Gewährungssteuerungselement unterstützt.

Weitere Informationen zu den Vorteilen der Verwendung von App-Schutzrichtlinien finden Sie im Artikel Übersicht über App-Schutzrichtlinien.

Erstellen der Richtlinie für bedingten Zugriff

Für diese Richtlinien wird zu Beginn der Modus Nur Bericht festgelegt, damit Administratoren die Auswirkungen auf vorhandene Benutzer ermitteln können. Wenn Sie als Administrator der Ansicht sind, dass die Richtlinien den beabsichtigten Zweck erfüllen, können Sie sie auf EIN einstellen oder die nächste Phase der Bereitstellung beginnen, indem Sie bestimmte Gruppen hinzufügen und andere ausschließen.

Voraussetzen von genehmigten Client-Apps oder App-Schutzrichtlinien mit mobilen Geräten

Die folgenden Schritte helfen beim Erstellen einer Richtlinie für bedingten Zugriff, die eine genehmigte Client-App oder eine App-Schutzrichtlinie beim Verwenden eines iOS/iPadOS- oder Android-Geräts erfordert. Diese Richtlinie verhindert auch die Verwendung von Exchange ActiveSync-Clients, die die Standardauthentifizierung auf mobilen Geräten verwenden. Diese Richtlinie funktioniert zusammen mit einer App-Schutzrichtlinie, die in Microsoft Intune erstellt wurde.

Organisationen können diese Richtlinie mithilfe der unten beschriebenen Schritte oder mithilfe der Vorlagen für bedingten Zugriff (Vorschau) bereitstellen.

  1. Melden Sie sich beim Azure-Portal als globaler Administrator, Sicherheitsadministrator oder Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Azure Active DirectorySicherheitBedingter Zugriff.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und schließen Sie mindestens ein Konto aus, um zu verhindern, dass Sie selbst gesperrt werden. Wenn Sie keine Konten ausschließen, können Sie die Richtlinie nicht erstellen.
  6. Wählen Sie unter Cloud-Apps oder -Aktionen die Option Alle Cloud-Apps aus.
  7. Navigieren Sie zu Bedingungen>Geräteplattformen und setzen Sie die Option Konfigurieren auf Ja.
    1. Wählen Sie unter Einschließen die Option Geräteplattformen auswählen aus.
    2. Wählen Sie Android und iOS.
    3. Wählen Sie Fertig aus.
  8. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
    1. Wählen Sie Genehmigte Client-App erforderlich und App-Schutzrichtlinie erforderlich aus.
    2. Für mehrere Steuerelemente wählen Sie Eines der ausgewählten Steuerelemente verlangen.
  9. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Nachdem Sie Ihre Einstellungen mit dem Modus Nur Bericht bestätigt haben, kann ein Administrator den Schalter Richtlinie aktivieren von Nur Bericht auf Ein setzen.

Sperren von Exchange ActiveSync auf allen Geräten

Diese Richtlinie hindert alle Exchange ActiveSync-Clients, die die Standardauthentifizierung verwenden, daran, eine Verbindung mit Exchange Online herzustellen.

  1. Melden Sie sich beim Azure-Portal als globaler Administrator, Sicherheitsadministrator oder Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Azure Active DirectorySicherheitBedingter Zugriff.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und schließen Sie mindestens ein Konto aus, um zu verhindern, dass Sie selbst gesperrt werden. Wenn Sie keine Konten ausschließen, können Sie die Richtlinie nicht erstellen.
    3. Wählen Sie Fertigaus.
  6. Wählen Sie unter Cloud-Apps oder -aktionen die Option Apps auswählen aus.
    1. Wählen Sie Office 365 Exchange Online aus.
    2. Wählen Sie Auswählen.
  7. Legen Sie unter Bedingungen>Client-Apps die Option Konfigurieren auf Ja fest.
    1. Deaktivieren Sie alle Optionen außer Exchange ActiveSync-Clients.
    2. Wählen Sie Fertig aus.
  8. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
    1. Wählen Sie App-Schutzrichtlinie erforderlich aus.
  9. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Nachdem Sie Ihre Einstellungen mit dem Modus Nur Bericht bestätigt haben, kann ein Administrator den Schalter Richtlinie aktivieren von Nur Bericht auf Ein setzen.

Nächste Schritte

Übersicht über App-Schutzrichtlinien

Allgemeine Richtlinien für bedingten Zugriff

Simulieren des Anmeldeverhaltens mit dem Was-wäre-wenn-Tool für den bedingten Zugriff