Gängige Möglichkeiten für die Verwendung des bedingten Zugriffs mit Intune

Es gibt zwei Arten von Richtlinien für bedingten Zugriff, die Sie mit Intune verwenden können: gerätebasierter bedingter Zugriff und App-basierter bedingter Zugriff. Um diese zu unterstützen, müssen Sie die zugehörigen Intune-Richtlinien konfigurieren. Wenn die Intune-Richtlinien eingerichtet und bereitgestellt sind, können Sie den bedingten Zugriff verwenden, um z. B. den Zugriff auf Exchange zuzulassen oder zu blockieren, den Zugriff auf Ihr Netzwerk zu steuern oder eine Mobile Threat Defense-Lösung zu integrieren.

In diesem Artikel finden Sie Informationen zur Verwendung der Intune-Funktionen für die Konformität von mobilen Geräten und der Intune-Funktionen für die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM).

Hinweis

Bei dem bedingtem Zugriff handelt es sich um eine Azure Active Directory-Funktion (Azure AD-Funktion), die in einer Azure Active Directory Premium-Lizenz enthalten ist. Intune erweitert diese Funktion, indem es der Lösung Konformität der mobilen Geräte und Mobile App-Verwaltung hinzufügt. Bei dem Knoten für bedingten Zugriff, auf den aus Intune zugegriffen wird, handelt es sich um denselben Knoten, auf den aus Azure AD zugegriffen wird.

Gerätebasierter bedingter Zugriff

Intune und Azure AD stellen gemeinsam sicher, dass nur verwaltete und konforme Geräte Zugriff auf E-Mails, Microsoft 365-Dienste, SaaS-Apps (Software-as-a-Service) und lokale Apps Ihrer Organisation erhalten. Zusätzlich können Sie in Azure AD eine Richtlinie festlegen, die nur Computern, die der Domäne angehören, oder mobilen Geräten, die in Intune registriert sind, den Zugriff auf Microsoft 365-Dienste erlaubt.

Mit Intune stellen Sie Gerätekonformitätsrichtlinien bereit, um festzustellen, ob ein Gerät Ihre erwarteten Konfigurations- und Sicherheitsanforderungen erfüllt. Die Auswertung der Konformitätsrichtlinie bestimmt den Gerätekonformitätsstatus, der sowohl Intune als auch Azure AD gemeldet wird. In Azure AD können Richtlinien für bedingten Zugriff den Konformitätsstatus eines Geräts verwenden, um Entscheidungen darüber zu treffen, ob der Zugriff auf die Ressourcen Ihrer Organisation von diesem Gerät aus zugelassen oder blockiert werden soll.

Gerätebasierte Richtlinien für den bedingten Zugriff für Exchange Online und andere Microsoft 365-Produkte werden über das Microsoft Endpoint Manager Admin Center konfiguriert.

Hinweis

Wenn Sie den gerätebasierten Zugriff für Inhalte aktivieren, auf die Benutzer über Browser-Apps auf ihren Android-Geräten mit persönlichen Arbeitsprofilen zugreifen, müssen Benutzer, die sich vor Januar 2021 registriert haben, den Browserzugriff wie folgt aktivieren:

  1. Starten Sie die Unternehmensportal-App.
  2. Navigieren Sie über das Menü zur Seite Einstellungen.
  3. Tippen Sie im Abschnitt Browserzugriff aktivieren auf die Schaltfläche AKTIVIEREN.
  4. Schließen Sie die Browser-App, und starten Sie sie neu.

Dies ermöglicht den Zugriff in Browser-Apps, jedoch nicht auf Browser-WebViews, die in Apps geöffnet werden.

Mit bedingtem Zugriff verfügbare Anwendungen zur Steuerung durch Microsoft Intune

Wenn Sie den bedingten Zugriff im Azure AD-Portal konfigurieren, stehen ihnen zwei Anwendungen zur Auswahl:

  1. Microsoft Intune: Diese Anwendung steuert den Zugriff auf die Microsoft Endpoint Manager-Konsole und Datenquellen. Konfigurieren Sie die Zuweisungen/Steuerungen für diese Anwendung, wenn Sie die Microsoft Endpoint Manager-Konsole und Datenquellen im Blick haben.
  2. Microsoft Intune-Registrierungs: Diese Anwendung steuert den Registrierungsworkflow. Konfigurieren Sie die Zuweisungen/Steuerungen für diese Anwendung, wenn Sie auf den Registrierungsprozess abzielen. Weitere Informationen finden Sie unter Mehrstufige Authentifizierung für Geräteregistrierung in Intune anfordern.

Bedingter Zugriff basierend auf der Netzwerkzugriffssteuerung

Intune lässt sich in Partnerlösungen wie Cisco ISE, Aruba Clear Pass und Citrix NetScaler integrieren, um die Zugriffssteuerung basierend auf der Intune-Registrierung und dem Konformitätszustand eines Geräts bereitzustellen.

Benutzern kann der Zugriff auf unternehmenseigene WLAN- oder VPN-Ressourcen erlaubt oder verweigert werden, je nachdem, ob das verwendete Gerät verwaltet wird und den Intune-Richtlinien für die Gerätekonformität entspricht.

Bedingter Zugriff basierend auf dem Geräterisiko

Intune arbeitet mit MTD-Anbietern (Mobile Threat Defense) zusammen, um eine Sicherheitslösung bereitzustellen, die Schadsoftware, Trojaner und andere Bedrohungen auf mobilen Geräten erkennt.

Funktionsweise von Intune und der Integration von MTD-Lösungen

Wenn der Mobile Threat Defense-Agent auf mobilen Geräten installiert ist, sendet dieser Benachrichtigungen zum Konformitätszustand an Intune zurück, die eine Meldung enthalten, wenn auf dem mobilen Gerät eine Bedrohung gefunden wurde.

Die Integration von Intune und Mobile Threat Defense ist ein wichtiger Faktor bei Entscheidungen zum bedingten Zugriff basierend auf dem Geräterisiko.

Bedingter Zugriff für Windows-PCs

Der bedingte Zugriff für PCs bietet eine Funktionalität, die der für mobile Geräte verfügbaren ähnlich ist. Im Folgenden finden Sie Informationen zu den verschiedenen Möglichkeiten, den bedingten Zugriff beim Verwalten von PCs mit Intune zu verwenden.

Unternehmenseigene Geräte

  • Azure AD Hybrid beigetreten: Diese Option wird häufig von Organisationen verwendet, die mit der Verwaltung ihrer PCs bereits über AD-Gruppenrichtlinien oder Konfigurations-Manager vertraut sind.

  • Azure AD in die Domäne eingebundene und Intune-Verwaltung: Dieses Szenario ist für Organisationen vorgesehen, die zuerst in der Cloud (d. h. in erster Linie Clouddienste verwenden, mit dem Ziel, die Nutzung einer lokalen Infrastruktur zu reduzieren) oder nur in der Cloud (keine lokale Infrastruktur) arbeiten möchten. Die Azure AD-Einbindung lässt sich gut in einer hybriden Umgebung einsetzen und bietet Zugriff auf Apps und Ressourcen sowohl in der Cloud als auch in der lokalen Infrastruktur. Geräte werden in Azure AD eingebunden und in Intune registriert – dies kann beim Zugriff auf Unternehmensressourcen als Kriterium für den bedingten Zugriff verwendet werden.

Bring Your Own Device (BYOD)

  • Arbeitsplatzbeitritt und Intune-Verwaltung: Bei dieser Option können Benutzer ihre persönlichen Geräte einbinden, um auf Unternehmensressourcen und -dienste zuzugreifen. Sie können den Arbeitsplatzbeitritt verwenden und Geräte bei Intune MDM registrieren, um Richtlinien auf Geräteebene zu erhalten. Dies ist eine weitere Option zum Auswerten von Kriterien für den bedingten Zugriff.

Erfahren Sie mehr über Geräteverwaltung in Azure Active Directory.

App-basierter gerätebasierter bedingter Zugriff

Intune und Azure AD stellen gemeinsam sicher, dass nur verwaltete Apps auf Unternehmens-E-Mails oder andere Microsoft 365-Dienste zugreifen können.

Bedingter Zugriff von Intune für Exchange lokal

Der bedingte Zugriff kann zum Zulassen oder Sperren des Zugriffs auf Exchange lokal basierend auf den Konformitätsrichtlinien für Geräte und dem Registrierungsstatus verwendet werden. Wenn der bedingte Zugriff zusammen mit einer Gerätekonformitätsrichtlinie verwendet wird, ist nur konformen Geräten der Zugriff auf Exchange lokal gestattet.

Sie können erweiterte Einstellungen wie die folgenden für den bedingten Zugriff konfigurieren, um eine präzisere Steuerung zu erzielen:

  • Zulassen oder Blockieren bestimmter Plattformen

  • Sofortiges Blockieren von Geräten, die nicht über Intune verwaltet werden

Jedes Gerät, mit dem auf Exchange lokal zugegriffen wird, wird auf Konformität überprüft, wenn Richtlinien für Gerätekonformität und bedingten Zugriff angewendet werden.

Wenn ein Gerät die festgelegten Bedingungen nicht erfüllt, erhält der Endbenutzer Anweisungen zum Registrieren des Geräts, um das Problem zu beheben, das die Konformität des Geräts verhindert.

Hinweis

Ab Juli 2020 wird der Exchange Connector nicht mehr unterstützt und durch die hybride moderne Authentifizierung (HMA) für Exchange ersetzt. Für die Verwendung der HMA muss Intune nicht den Exchange Connector einrichten und verwenden. Durch diese Änderung wurde die Benutzeroberfläche zum Konfigurieren und Verwalten des Exchange Connectors für Intune aus dem Admin Center des Microsoft Endpoint Managers entfernt, es sei denn, Sie verwenden mit Ihrem Abonnement bereits den Exchange Connector.

Wenn Sie einen Exchange Connector in Ihrer Umgebung eingerichtet haben, wird Ihr Intune-Mandant weiterhin für dessen Verwendung unterstützt, und Sie haben weiterhin Zugriff auf die Benutzeroberfläche, die dessen Konfiguration unterstützt. Weitere Informationen finden Sie unter Exchange lokal-Connector installieren. Sie können den Connector weiterhin verwenden oder die HMA konfigurieren und den Connector deinstallieren.

Die moderne Hybridauthentifizierung bietet Funktionen, die zuvor vom Exchange Connector für Intune bereitgestellt wurden: Zuordnung einer Geräteidentität zu ihrem Exchange-Datensatz. Diese Zuordnung ist nun nicht mehr Teil einer von Ihnen in Intune vorgenommenen Konfiguration oder der Anforderung, dass der Intune Connector zum Verbinden von Intune und Exchange verwendet werden soll. Mit der HMA wurde die Anforderung der Verwendung der Intune-spezifischen Konfiguration (des Connectors) aufgehoben.

Was ist die Intune-Rolle?

Intune bewertet und verwaltet den Gerätezustand.

Was ist die Exchange-Server-Rolle?

Der Exchange-Server stellt die API und die Infrastruktur bereit, um Geräte in die Quarantäne zu verschieben.

Wichtig

Denken Sie daran, dass dem Benutzer, der das Gerät verwendet, ein Konformitätsprofil und eine Intune-Lizenz zugewiesen sein müssen, damit das Gerät hinsichtlich der Konformität bewertet werden kann. Wenn keine Konformitätsrichtlinie für den Benutzer bereitgestellt wird, wird das Gerät als konform behandelt, und es werden keine Zugriffsbeschränkungen angewendet.

Nächste Schritte

Konfigurieren des bedingten Zugriffs in Azure Active Directory

Einrichten von Richtlinien für App-basierten bedingten Zugriff

Erstellen einer Richtlinie für den bedingten Zugriff auf Exchange lokal