Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Ihre Microsoft Intune-Umgebung Microsoft Entra bedingten Zugriff verwendet, können Sie Richtlinien für bedingten Zugriff verwenden, um den Gerätezugriff auf Ihr Microsoft Tunnel-VPN-Gateway zu sperren.
Um die Integration von bedingtem Zugriff und Microsoft Tunnel zu unterstützen, verwenden Sie Microsoft Graph PowerShell , um Ihrem Mandanten die Unterstützung von Microsoft Tunnel zu ermöglichen. Nachdem Sie die Unterstützung von Microsoft Tunnel für Ihren Mandanten aktiviert haben, können Sie Richtlinien für bedingten Zugriff erstellen, die für die Microsoft Tunnel-App gelten.
Bereitstellen Ihres Mandanten
Bevor Sie Richtlinien für den bedingten Zugriff für den Tunnel konfigurieren können, müssen Sie es Ihrem Mandanten ermöglichen, Microsoft Tunnel für bedingten Zugriff zu unterstützen. Verwenden Sie das Microsoft Graph PowerShell-Modul , und führen Sie ein PowerShell-Skript aus, um Ihren Mandanten so zu ändern, dass Microsoft Tunnel Gateway als Cloud-App hinzugefügt wird. Nachdem der Tunnel als Cloud-App hinzugefügt wurde, können Sie diese als Teil einer Richtlinie für bedingten Zugriff auswählen.
Wichtig
Der Support für AzureAD PowerShell wurde im März 2025 eingestellt und durch Microsoft Graph PowerShell ersetzt. Weitere Informationen finden Sie unter Erforderliche Aktion: Einstellung von MSOnline und AzureAD PowerShell – Informationen und Ressourcen für 2025.
Laden Sie das Microsoft.Graph-Modulherunter, und installieren Sie es.
Laden Sie das PowerShell-Skript namensmst-ca-provisioning.ps1 von herunter https://aka.ms/mst-ca-provisioning.
Verwenden Sie Anmeldeinformationen, die über die Berechtigungen der rolle "Microsoft Entra ID" verfügen, die dem Intune-Administrator entsprechen, und führen Sie das Skript von einem beliebigen Speicherort in Ihrer Umgebung aus aus, um Ihren Mandanten bereitzustellen.
Das Skript ändert Ihren Mandanten, indem es einen Dienstprinzipal mit den folgenden Details erstellt:
- App-ID: 3678c9e9-9681-447a-974d-d19f668fcd88
- Name: Microsoft Tunnel Gateway
Das Hinzufügen dieses Dienstprinzipals ist erforderlich, damit Sie die Tunnel-Cloud-App auswählen können, während Sie Richtlinien für bedingten Zugriff konfigurieren. Es ist auch möglich, Graph zum Hinzufügen der Dienstprinzipalinformationen zu Ihrem Mandanten zu verwenden.
Nachdem das Skript abgeschlossen wurde, können Sie den normalen Prozess zum Erstellen von Richtlinien für bedingten Zugriff verwenden.
Einschränken des Zugriffs auf Microsoft Tunnel mit bedingtem Zugriff
Wenn Sie Richtlinien für bedingten Zugriff verwenden, um den Benutzerzugriff einzuschränken, empfiehlt es sich, diese Richtlinie zu konfigurieren, nachdem Sie Ihren Mandanten zur Unterstützung der Microsoft Tunnel Gateway-Cloud-App bereitgestellt haben, aber bevor Sie das Tunnel-Gateway installieren.
Melden Sie sich beim Microsoft Intune Admin Center>Endpoint Security>Conditional Access>An. Erstellen Sie eine neue Richtlinie. Das Admin Center stellt die Microsoft Entra-Schnittstelle zum Erstellen von Richtlinien für bedingten Zugriff dar.
Geben Sie einen Namen für diese Richtlinie ein.
Um Benutzer- und Gruppenzugriff zu konfigurieren, wählen Sie unter Zuweisungen die Option Benutzer und Gruppen aus.
- Wählen Sie Einschließen>Alle Benutzer aus.
- Wählen Sie als Nächstes Ausschließen aus, konfigurieren Sie dann die Gruppen, auf die Sie Zugriff gewähren möchten, und speichern Sie dann die Benutzer- und Gruppenkonfiguration.
Wählen Sie unter Zielressourcen> die Option Ressourcen für Auswählen, wofür diese Richtlinie gilt aus. Wählen Sie im Bereich Einschließen Ressourcen auswählen die Option Microsoft Tunnel Gateway aus.
Wählen Sie unter Zugriffssteuerungen die Option Gewähren aus, wählen Sie Zugriff blockieren aus, und speichern Sie die Konfiguration dann.
Legen Sie Richtlinie aktivieren auf Ein fest.
Wählen Sie Erstellen aus.
Weitere Informationen zum Erstellen von Richtlinien für bedingten Zugriff finden Sie unter Erstellen einer gerätebasierten Richtlinie für bedingten Zugriff.