Bedingter Zugriff: Filter für Geräte

Beim Erstellen von Richtlinien für bedingten Zugriff haben Administratoren nach einer Möglichkeit gesucht, bestimmte Geräte in ihrer Umgebung als Ziel anzugeben oder auszuschließen. Die Bedingung Nach Geräten filtern gibt Administratoren diese Möglichkeit. Jetzt können Sie mithilfe von unterstützten Operatoren und Eigenschaften für Gerätefilter und den anderen verfügbaren Zuweisungsbedingungen in Ihren Richtlinien für bedingten Zugriff auf bestimmte Geräte abzielen.

Häufige Szenarien

Es gibt mehrere Szenarien, bei denen Organisationen jetzt die Bedingung „Filter für Geräte“ aktivieren und verwenden können. Die folgenden Szenarien enthalten Beispiele für die Verwendung dieser neuen Bedingung.

• Einschränken des Zugriffs auf privilegierte Ressourcen. Für dieses Beispiel nehmen wir an, dass Sie den Zugriff auf die Windows Azure-Dienstverwaltungs-API für einem Benutzer zulassen möchten, dem eine privilegierte Rolle zugewiesen wurde, der die Multi-Faktor-Authentifizierung erfüllt hat und der von einem Gerät aus zugreift, das privilegiert oder eine sichere Administratorarbeitsstation ist und als konform bescheinigt wurde. Für dieses Szenario würden Organisationen zwei Richtlinien für bedingten Zugriff erstellen:
  • Richtlinie 1: Alle Benutzer mit einer Administratorrolle, die auf die Cloud-App der Microsoft Azure-Dienstverwaltungs-API zugreifen, und für Zugriffssteuerungen, Zugriff zuweisen, die jedoch Multi-Faktor-Authentifizierung erfordern und ein als kompatibel markiertes Gerät.
  • Richtlinie 2: Alle Benutzer mit einem Administrator, die auf die Cloud-App der Microsoft Azure-Dienstverwaltungs-API zugreifen, mit Ausnahme eines Filters für Geräte, der den Regelausdruck „device.extensionAttribute1 gleich SAW“ verwendet, und für Zugriffssteuerungen und Blockieren. Hier erfahren Sie, wie Sie extensionAttributes auf einem Microsoft Entra-Geräteobjekt aktualisieren.
• Blockieren des Zugriffs auf Organisationsressourcen von Geräten, auf denen eine nicht unterstützte Betriebssystemversion ausgeführt wird. Nehmen Sie beispielsweise an, dass Sie den Zugriff auf Ressourcen von Geräten blockieren möchten, auf denen eine ältere Windows-Betriebssystemversion als Windows 10 ausgeführt wird. Für dieses Szenario sollten Organisationen die folgende Richtlinie für bedingten Zugriff erstellen:
  • Alle Benutzer, die auf alle Cloud-Apps zugreifen, ausschließlich der mit einem Gerätefilter, der den Regelausdruck „device.operatingSystem equals Windows“ und „device.operatingSystemVersion startsWith 10.0“ sowie die Einstellung „Blockieren“ für „Zugriffssteuerung“ verwendet, gefilterten Geräte.
• Keine Multi-Faktor-Authentifizierung (MFA) für bestimmte Konten auf bestimmten Geräten anfordern. Nehmen Sie beispielsweise an, dass bei der Verwendung von Dienstkonten auf bestimmten Geräten wie Teams-Smartphones oder Surface Hub-Geräten keine Multi-Faktor-Authentifizierung erforderlich sein soll. Für dieses Szenario würden Organisationen die beiden folgenden Richtlinien für bedingten Zugriff erstellen:
  • Richtlinie 1: Alle Benutzer mit Ausnahme von Dienstkonten, die auf alle Cloud-Apps zugreifen, sowie „Zugriff gewähren“ als Zugriffssteuerung. Erforderlich ist jedoch eine mehrstufige Authentifizierung (MFA).
  • Richtlinie 2: Wählen Sie Benutzer und Gruppen aus, und schließen Sie eine Gruppe ein, die nur Dienstkonten enthält, die auf alle Cloud-Apps zugreifen, mit Ausnahme der mit „Filter für Geräte“ und dem Regelausdruck „device.extensionAttribute2 NotEquals TeamsPhoneDevice“ gefilterten Geräte, für die „Blockieren“ als Zugriffssteuerung festgelegt wird.

Hinweis

Microsoft Entra ID verwendet die Geräteauthentifizierung zum Auswerten von Gerätefilterregeln. Bei einem Gerät, das nicht in Microsoft Entra ID registriert ist, werden alle Geräteeigenschaften als NULL-Werte betrachtet, und die Geräteattribute können nicht ermittelt werden, da das Gerät im Verzeichnis nicht vorhanden ist. Die beste Möglichkeit, Richtlinien auf nicht registrierte Geräte auszurichten, ist die Verwendung des negativen Operators, da die konfigurierte Filterregel angewendet würde. Wenn Sie einen positiven Operator verwenden, wird die Filterregel nur angewendet, wenn ein Gerät im Verzeichnis vorhanden ist und die konfigurierte Regel mit dem Attribut des Geräts übereinstimmt.

Erstellen der Richtlinie für bedingten Zugriff

Filter für Geräte ist ein optionales Steuerelement beim Erstellen einer Richtlinie für bedingten Zugriff.

Mit den folgenden Schritten können Sie zwei Richtlinien für bedingten Zugriff erstellen, um das erste unter Häufige Szenarien beschriebene Szenario zu unterstützen.

Richtlinie 1: Alle Benutzer mit einer Administratorrolle, die auf die Cloud-App der Microsoft Azure-Dienstverwaltungs-API zugreifen, und für Zugriffssteuerungen, Zugriff zuweisen, die jedoch Multi-Faktor-Authentifizierung erfordern und ein als kompatibel markiertes Gerät.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
2. Browsen Sie zu Schutz>Bedingter Zugriff.
3. Wählen Sie Neue Richtlinie erstellen aus.
4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.

   1. Wählen Sie unter Einschließen die Verzeichnisrollen und dann alle Rollen mit „Administrator“ im Namen aus.

      Warnung

      Richtlinien für bedingten Zugriff unterstützen integrierte Rollen. Richtlinien für bedingten Zugriff werden nicht für andere Rollentypen erzwungen, einschließlich Rollen einer administrativen Einheit oder benutzerdefinierten Rollen.

   2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.

   3. Wählen Sie Fertigaus.

6. Wählen Sie unter Zielressourcen>Cloud-Apps>Einschließen>Apps auswählen die Option Windows Azure Dienstverwaltungs-API aus, und wählen Sie dann Auswählen aus.
7. Wählen Sie unter Zugriffssteuerungen>Gewähren die Optionen Zugriff gewähren, Multi-Faktor-Authentifizierung erforderlich und Markieren des Geräts als kompatibel erforderlich aus, und wählen Sie dann Auswählen aus.
8. Bestätigen Sie die Einstellungen und legen Sie Richtlinie aktivieren auf Ein fest.
9. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Richtlinie 2: Alle Benutzer mit einer Administratorrolle, die auf die Cloud-App der Microsoft Azure-Dienstverwaltungs-API zugreifen, mit Ausnahme eines Filters für Geräte, der den Regelausdruck „device.extensionAttribute1 gleich SAW“ verwendet, und für Zugriffssteuerungen und Blockieren.

1. Wählen Sie Neue Richtlinie erstellen aus.
2. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
3. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.

   1. Wählen Sie unter Einschließen die Option Verzeichnisrollen und dann alle Rollen mit „Administrator“ im Namen aus

      Warnung

      Richtlinien für bedingten Zugriff unterstützen integrierte Rollen. Richtlinien für bedingten Zugriff werden nicht für andere Rollentypen erzwungen, einschließlich Rollen einer administrativen Einheit oder benutzerdefinierten Rollen.

   2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.

   3. Wählen Sie Fertigaus.

4. Wählen Sie unter Zielressourcen>Cloud-Apps>Einschließen>Apps auswählen die Option Windows Azure Dienstverwaltungs-API aus, und wählen Sie dann Auswählen aus.
5. Wechseln Sie unter Bedingungen zu Filter für Geräte.
   1. Legen Sie Konfigurieren auf Ja fest.
   2. Legen Sie Geräte, die der Regel entsprechen auf Gefilterte Geräte von der Richtlinie ausschließen fest.
   3. Legen Sie die Eigenschaft auf ExtensionAttribute1, den Operator auf Equals und den Wert auf SAW fest.
   4. Wählen Sie Fertigaus.
6. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff blockieren und dann Auswählen aus.
7. Bestätigen Sie die Einstellungen und legen Sie Richtlinie aktivieren auf Ein fest.
8. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Warnung

Richtlinien, die konforme Geräte erfordern, können Benutzer von Mac-, iOS- und Android-Geräten auffordern, bei der Richtlinienauswertung ein Gerätezertifikat auszuwählen, auch wenn die Gerätekonformität nicht erzwungen wird. Diese Aufforderungen können wiederholt werden, bis das Gerät konform ist.

Festlegen von Attributwerten

Das Festlegen von Erweiterungsattributen wird über die Graph-API ermöglicht. Weitere Informationen zum Festlegen von Geräteattributen finden Sie im Artikel Aktualisieren von Geräten.

Graph-API „Filter für Geräte“

Die API „Nach Geräten filtern“ ist derzeit im Microsoft Graph v1.0-Endpunkt verfügbar und kann über den Endpunkt https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/ aufgerufen werden. Sie können einen Filter für Geräte konfigurieren, wenn Sie eine neue Richtlinie für bedingten Zugriff erstellen. Sie können aber auch eine vorhandene Richtlinie aktualisieren, um „Filter für Geräte“ als Bedingung zu konfigurieren. Um eine vorhandene Richtlinie zu aktualisieren, können Sie einen Patchaufruf an den Microsoft Graph v1.0-Endpunkt senden und dabei die Richtlinien-ID einer vorhandenen Richtlinie anfügen und den folgenden Anforderungstext ausführen. Im hier gezeigten Beispiel wird das Konfigurieren einer Bedingung „Filter für Geräte“ veranschaulicht, durch die Geräte ausgeschlossen werden, die nicht als SAW-Geräte markiert sind. Die Regelsyntax kann aus mehreren Ausdrücken bestehen. Weitere Informationen zur Syntax finden Sie unter Regeln für eine dynamische Mitgliedschaft für Gruppen in Microsoft Entra ID.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Unterstützte Operatoren und Geräteeigenschaften für Filter

Die folgenden Geräteattribute können mit der Bedingung „Filter für Geräte“ für den bedingten Zugriff verwendet werden.

Hinweis

Microsoft Entra ID verwendet die Geräteauthentifizierung zum Auswerten von Gerätefilterregeln. Bei einem Gerät, das nicht in Microsoft Entra ID registriert ist, werden alle Geräteeigenschaften als NULL-Werte betrachtet, und die Geräteattribute können nicht ermittelt werden, da das Gerät im Verzeichnis nicht vorhanden ist. Die beste Möglichkeit, Richtlinien auf nicht registrierte Geräte auszurichten, ist die Verwendung des negativen Operators, da die konfigurierte Filterregel angewendet würde. Wenn Sie einen positiven Operator verwenden, wird die Filterregel nur angewendet, wenn ein Gerät im Verzeichnis vorhanden ist und die konfigurierte Regel mit dem Attribut des Geräts übereinstimmt.

Unterstützte Geräteattribute	Unterstützte Operatoren	Unterstützte Werte	Beispiel
deviceId	Equals, NotEquals, In, NotIn	Gültige „deviceId“, die eine GUID ist	(device.deviceid -eq "498c4de7-1aee-4ded-8d5d-000000000000")
displayName	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Beliebige Zeichenfolge	(device.displayName -contains "ABC")
deviceOwnership	Equals, NotEquals	Unterstützte Werte sind „Persönlich“ für BYOD (Bring Your Own Devices) und „Unternehmen“ für unternehmenseigene Geräte	(device.deviceOwnership -eq "Company")
isCompliant	Equals, NotEquals	Unterstützte Werte sind „True“ für kompatible Geräte und „False“ für nicht kompatible Geräte	(device.isCompliant -eq "True")
Hersteller	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Beliebige Zeichenfolge	(device.manufacturer -startsWith "Microsoft")
mdmAppId	Equals, NotEquals, In, NotIn	Gültige MDM-Anwendungs-ID	(device.mdmAppId -in ["0000000a-0000-0000-c000-000000000000"]
model	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Beliebige Zeichenfolge	(device.model -notContains "Surface")
operatingSystem	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Gültiges Betriebssystem (z. B. Windows, iOS oder Android)	(device.operatingSystem -eq "Windows")
operatingSystemVersion	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Eine gültige Betriebssystemversion (z. B. 6.1 für Windows 7, 6.2 für Windows 8 oder 10.0 für Windows 10 und Windows 11)	(device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds	Contains, NotContains	Beispiel: Alle Windows Autopilot-Geräte speichern ZTDId (eindeutiger Wert, der allen importierten Windows Autopilot-Geräten zugewiesen ist) in der PhysicalIds-Eigenschaft des Geräts.	(device.physicalIds -contains "[ZTDId]:value")
profileType	Equals, NotEquals	Gültiger Profiltyp, der für ein Gerät festgelegt ist. Unterstützte Werte: „RegisteredDevice“ (Standard), „SecureVM“ (für Windows-VMs, die in Azure mit Microsoft Entra-Anmeldung aktiviert sind), „Printer“ (für Drucker), „Shared“ (für freigegebene Geräte), „IoT“ (für IoT-Geräte)	(device.profileType -eq "Printer")
systemLabels	Contains, NotContains	Liste der Bezeichnungen, die vom System auf das Gerät angewendet werden. Einige unterstützte Werte: „AzureResource“ (für Windows-VMs, die in Azure mit Microsoft Entra-Anmeldung aktiviert sind), „M365Managed“ (für Geräte mit Microsoft Managed Desktop-Verwaltung), „MultiUser“ (für freigegebene Geräte)	(device.systemLabels -contains "M365Managed")
trustType	Equals, NotEquals	Gültiger registrierter Status für Geräte. Unterstützte Werte: „AzureAD“ (für in Microsoft Entra eingebundene Geräte), „ServerAD“ (für hybride in Microsoft Entra eingebundene Geräte), „Workplace“ (für in Microsoft Entra registrierten Geräte)	(device.trustType -eq "ServerAD")
extensionAttribute1-15	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	extensionAttributes1-15 sind Attribute, die Kunden für Geräteobjekte verwenden können. Kunden können alle Attribute des Typs „extensionAttributes1-15“ mit benutzerdefinierten Werten aktualisieren und sie in der Bedingung „Filter für Geräte“ für den bedingten Zugriff verwenden. Es kann ein beliebiger Zeichenfolgewert verwendet werden.	(device.extensionAttribute1 -eq "SAW")

Hinweis

Wenn Sie komplexe Regeln erstellen oder zu viele individuelle Bezeichner wie „deviceid“ für Geräteidentitäten verwenden, sollten Sie „die maximale Länge für die Filterregel von 3072 Zeichen“ im Auge behalten.

Hinweis

Die Operatoren Contains und NotContains funktionieren je nach Attributtyp unterschiedlich. Bei Zeichenfolgenattributen wie operatingSystem und model gibt der Operator Contains an, ob eine angegebene Teilzeichenfolge innerhalb des Attributs auftritt. Bei Zeichenfolgenattributen wie physicalIds und systemLabels gibt der Operator Contains an, ob eine angegebene Teilzeichenfolge mit einer der gesamten Zeichenfolgen in der Sammlung übereinstimmt.

Warnung

Geräte müssen von Microsoft Intune verwaltet, kompatibel oder hybrid in Microsoft Entra eingebunden sein, damit ein Wert zum Zeitpunkt der Bewertung der Richtlinie für bedingten Zugriff in extensionAttributes1-15 verfügbar ist.

Verhalten von Richtlinien mit „Filter für Geräte“

Der Filter für den Gerätezustand für den bedingten Zugriff wertet richtlinienbasiert die Geräteattribute eines in Microsoft Entra ID registrierten Geräts aus. Darum ist es wichtig, die Umstände zu kennen, unter denen die Richtlinie angewendet bzw. nicht angewendet wird. In der folgenden Tabelle wird das Verhalten veranschaulicht, wenn die Bedingung „Nach Geräten filtern“ konfiguriert ist.

Bedingung „Filter für Geräte“	Geräteregistrierungsstatus	Angewendeter Gerätefilter
Include-/Exclude-Modus mit positiven Operatoren (Equals, StartsWith, EndsWith, Contains, In) und Verwendung beliebiger Attribute	Nicht registriertes Gerät	Nein
Include-/Exclude-Modus mit positiven Operatoren (Equals, StartsWith, EndsWith, Contains, In) und Verwendung von Attributen mit Ausnahme von extensionAttributes1-15	Registriertes Gerät	Ja, wenn die Kriterien erfüllt sind
Include-/Exclude-Modus mit positiven Operatoren (Equals, StartsWith, EndsWith, Contains, In) und Verwendung von Attributen einschließlich extensionAttributes1-15	Registriertes Gerät, das von Intune verwaltet wird	Ja, wenn die Kriterien erfüllt sind
Include-/Exclude-Modus mit positiven Operatoren (Equals, StartsWith, EndsWith, Contains, In) und Verwendung von Attributen einschließlich extensionAttributes1-15	Registriertes Gerät, das nicht von Intune verwaltet wird	Ja, wenn die Kriterien erfüllt sind. Bei der Verwendung von „extensionAttributes1–15“ gilt die Richtlinie, sofern das Gerät kompatibel oder hybrid in Microsoft Entra eingebunden ist.
Include-/Exclude-Modus mit negativen Operatoren (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) und Verwendung beliebiger Attribute	Nicht registriertes Gerät	Ja
Include-/Exclude-Modus mit negativen Operatoren (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) und Verwendung beliebiger Attribute mit Ausnahme von extensionAttributes1-15	Registriertes Gerät	Ja, wenn die Kriterien erfüllt sind
Include-/Exclude-Modus mit negativen Operatoren (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) und Verwendung beliebiger Attribute einschließlich extensionAttributes1-15	Registriertes Gerät, das von Intune verwaltet wird	Ja, wenn die Kriterien erfüllt sind
Include-/Exclude-Modus mit negativen Operatoren (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) und Verwendung beliebiger Attribute einschließlich extensionAttributes1-15	Registriertes Gerät, das nicht von Intune verwaltet wird	Ja, wenn die Kriterien erfüllt sind. Bei der Verwendung von „extensionAttributes1–15“ gilt die Richtlinie, sofern das Gerät kompatibel oder hybrid in Microsoft Entra eingebunden ist.

Nächste Schritte

• Zurück zur Schule: Richtiges Anwenden boolescher Algebra in komplexen Filtern
• Aktualisieren der Graph-API von Geräten
• Bedingter Zugriff: Bedingungen
• Allgemeine Richtlinien für bedingten Zugriff
• Schützen von Geräten im Rahmen der Geschichte des privilegierten Zugriffs