Teilen über


Verwenden des bedingten Zugriffs mit Microsoft Tunnel in Intune

Wenn Ihre Microsoft Intune-Umgebung Microsoft Entra bedingten Zugriff verwendet, können Sie Richtlinien für bedingten Zugriff verwenden, um den Gerätezugriff auf Ihr Microsoft Tunnel-VPN-Gateway zu sperren.

Um die Integration von bedingtem Zugriff und Microsoft Tunnel zu unterstützen, verwenden Sie Microsoft Graph PowerShell , um Ihrem Mandanten die Unterstützung von Microsoft Tunnel zu ermöglichen. Nachdem Sie die Unterstützung von Microsoft Tunnel für Ihren Mandanten aktiviert haben, können Sie Richtlinien für bedingten Zugriff erstellen, die für die Microsoft Tunnel-App gelten.

Bereitstellen Ihres Mandanten

Bevor Sie Richtlinien für den bedingten Zugriff für den Tunnel konfigurieren können, müssen Sie es Ihrem Mandanten ermöglichen, Microsoft Tunnel für bedingten Zugriff zu unterstützen. Verwenden Sie das Microsoft Graph PowerShell-Modul, und führen Sie ein PowerShell-Skript aus, um Ihren Mandanten so zu ändern, dass Microsoft Tunnel Gateway als Cloud-App hinzugefügt wird. Nachdem der Tunnel als Cloud-App hinzugefügt wurde, können Sie diese als Teil einer Richtlinie für bedingten Zugriff auswählen.

  1. Laden Sie das AzureAD PowerShell-Modul herunter, und installieren Sie es.

  2. Laden Sie das PowerShell-Skript mit Namen mst-ca-provisioning.ps1 von aka.ms/mst-ca-provisioning herunter.

  3. Verwenden Sie Anmeldeinformationen, die über die Azure-Rollenberechtigungen verfügen, die dem globalen Administrator entsprechen, und führen Sie das Skript von einem beliebigen Speicherort in Ihrer Umgebung aus, um Ihren Mandanten bereitzustellen.

    Das Skript ändert Ihren Mandanten, indem es einen Dienstprinzipal mit den folgenden Details erstellt:

    • App-ID: 3678c9e9-9681-447a-974d-d19f668fcd88
    • Name: Microsoft Tunnel Gateway

    Das Hinzufügen dieses Dienstprinzipals ist erforderlich, damit Sie die Tunnel-Cloud-App auswählen können, während Sie Richtlinien für bedingten Zugriff konfigurieren. Es ist auch möglich, Graph zum Hinzufügen der Dienstprinzipalinformationen zu Ihrem Mandanten zu verwenden.

  4. Nachdem das Skript abgeschlossen wurde, können Sie den normalen Prozess zum Erstellen von Richtlinien für bedingten Zugriff verwenden.

Einschränken des Zugriffs auf Microsoft Tunnel mit bedingtem Zugriff

Wenn Sie Richtlinien für bedingten Zugriff verwenden, um den Benutzerzugriff einzuschränken, empfiehlt es sich, diese Richtlinie zu konfigurieren, nachdem Sie Ihren Mandanten zur Unterstützung der Microsoft Tunnel Gateway-Cloud-App bereitgestellt haben, aber bevor Sie das Tunnel-Gateway installieren.

  1. Melden Sie sich bei Microsoft Intune Admin Center>Endpoint Security>Bedingter Zugriff>an Erstellen Sie eine neue Richtlinie. Das Admin Center stellt die Microsoft Entra-Schnittstelle zum Erstellen von Richtlinien für bedingten Zugriff dar.

  2. Geben Sie einen Namen für diese Richtlinie ein.

  3. Um Benutzer- und Gruppenzugriff zu konfigurieren, wählen Sie unter Zuweisungen die Option Benutzer und Gruppen aus.

    1. Wählen Sie Einschließen>Alle Benutzer aus.
    2. Wählen Sie dann Ausschließen aus, und konfigurieren Sie die Gruppen, denen Sie Zugriff gewähren möchten, und speichern Sie die Benutzer- und Gruppenkonfiguration.
  4. Wählen Sie unter Cloud-Apps oder Aktionen>Apps auswählen die Microsoft Tunnel Gateway-App aus.

  5. Wählen Sie unter Zugriffssteuerungen die Option Gewähren aus, wählen Sie Zugriff blockieren aus, und speichern Sie die Konfiguration dann.

  6. Legen Sie Richtlinie aktivieren auf Ein fest.

  7. Wählen Sie Erstellen aus.

Weitere Informationen zum Erstellen von Richtlinien für bedingten Zugriff finden Sie unter Erstellen einer gerätebasierten Richtlinie für bedingten Zugriff.

Nächste Schritte

Microsoft Tunnel überwachen