Bedingter Zugriff: Gewähren

In einer Richtlinie für bedingten Zugriff kann ein Administrator Zugriffssteuerungen verwenden, um den Zugriff auf Ressourcen zu gewähren oder zu blockieren.

Screenshot: Richtlinie für bedingten Zugriff mit einem Gewährungssteuerelement, das die Multi-Faktor-Authentifizierung erforderlich macht.

Zugriff blockieren

Das Steuerelement zum Blockieren des Zugriffs berücksichtigt alle Zuweisungen und verhindert den Zugriff anhand der Konfiguration der Richtlinie für bedingten Zugriff.

Zugriff blockieren ist ein leistungsstarkes Steuerelement, das nur mit entsprechenden Kenntnissen eingesetzt werden sollte. Richtlinien mit Blockanweisungen können unbeabsichtigte Nebeneffekte haben. Ordnungsgemäße Tests und Überprüfungen sind wichtig, bevor Sie das Steuerelement im großen Stil aktivieren. Administratoren sollten bei Änderungen Tools wie den Modus Nur Bericht und das What if-Tool für den bedingten Zugriff verwenden.

Gewähren von Zugriff

Administratoren können auswählen, ob beim Gewähren des Zugriffs ein oder mehrere Steuerelemente erzwungen werden sollen. Diese Steuerelemente umfassen die folgenden Optionen:

Wenn Administratoren diese Optionen kombinieren möchten, können sie die folgenden Methoden verwenden:

  • Alle ausgewählten Steuerungen anfordern (Steuerelement AND)
  • Eine der ausgewählten Steuerungen anfordern (Steuerelement OR)

Der bedingten Zugriff fordert standardmäßig alle ausgewählten Steuerelemente an.

Multi-Faktor-Authentifizierung erforderlich

Wenn Sie dieses Kontrollkästchen aktivieren, müssen Benutzer die Multi-Faktor-Authentifizierung von Azure Active Directory (Azure AD) ausführen. Weitere Informationen zum Bereitstellen der Multi-Faktor-Authentifizierung von Azure AD finden Sie unter Planen einer cloudbasierten Bereitstellung der Azure AD Multi-Faktor-Authentifizierung.

Windows Hello for Business erfüllt die Anforderungen für Multi-Faktor-Authentifizierung in Richtlinien für bedingten Zugriff.

Authentifizierungsstärke erforderlich (Vorschau)

Administratoren können auswählen, dass bestimmte Authentifizierungsstärken in ihren Richtlinien für bedingten Zugriff erforderlich sind. Diese Authentifizierungsstärken werden unter dem Navigationspfad Azure-Portal>Azure Active Directory>Sicherheit>Authentifizierungsmethoden>Authentifizierungsstärken (Vorschau) definiert. Administratoren können entweder ihre eigenen Authentifizierungsstärken erstellen oder die integrierten Versionen verwenden.

Hinweis

Das Feature „Authentifizierungsstärke erforderlich“ befindet sich derzeit in der öffentlichen Vorschauphase. Weitere Informationen zu Vorschauversionen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Markieren des Geräts als kompatibel erforderlich

Organisationen, die Microsoft Intune bereitstellen, können mithilfe der von ihren Geräten zurückgegebenen Informationen Geräte identifizieren, die bestimmte Richtlinienkonformitätsanforderungen erfüllen. Intune sendet Konformitätsinformationen an Azure AD, sodass beim bedingten Zugriff entschieden werden kann, ob der Zugriff auf Ressourcen gewährt oder blockiert wird. Weitere Informationen zu Konformitätsrichtlinien finden Sie im Artikel Festlegen von Regeln für Geräte, um den Zugriff auf Ressourcen in Ihrer Organisation mithilfe von Intune zu erlauben.

Ein Gerät kann von Intune als kompatibel für ein beliebiges Gerätebetriebssystem oder von einem Drittanbietersystem für die Verwaltung mobiler Geräte als kompatibel für Windows 10-Geräte gekennzeichnet werden. Eine Liste der unterstützten Drittanbietersysteme für die Verwaltung mobiler Geräte finden Sie unter Unterstützung von Drittanbieter-Gerätekonformitätspartnern in Intune.

Geräte müssen in Azure AD registriert werden, damit Sie als kompatibel gekennzeichnet werden können. Weitere Informationen zur Geräteregistrierung finden Sie unter Was ist eine Geräteidentität?.

Für das Steuerelement Markieren des Geräts als kompatibel erforderlich gilt Folgendes:

  • Unterstützt nur Geräte mit Windows 10 und höher, iOS, Android und macOS, die bei Azure AD und Intune registriert sind.
  • Betrachtet Microsoft Edge im InPrivate-Modus als nicht kompatibles Gerät.

Hinweis

Bei Windows 7, iOS, Android, macOS und einigen Webbrowsern von Drittanbietern identifiziert Azure AD das Gerät anhand eines Clientzertifikats, das beim Registrieren des Geräts bei Azure AD bereitgestellt wird. Wenn sich ein Benutzer zum ersten Mal über den Browser anmeldet, wird er zum Auswählen des Zertifikats aufgefordert. Der Benutzer muss dieses Zertifikat auswählen, bevor der Browser weiterhin verwendet werden kann.

Sie können die Microsoft Defender for Endpoint-App zusammen mit der Richtlinie „Genehmigte Client-App“ in Intune verwenden, um die Gerätekonformitätsrichtlinie für Richtlinien für bedingten Zugriff festzulegen. Beim Einrichten des bedingten Zugriffs ist kein Ausschluss der Microsoft Defender for Endpoint-App erforderlich. Auch wenn Microsoft Defender for Endpoint unter Android und iOS (App-ID dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) keine genehmigte App ist, hat sie die Berechtigung zum Melden des Gerätesicherheitsstatus. Diese Berechtigung ermöglicht bei bedingtem Zugriff den Fluss von Complianceinformationen.

Gerät mit Hybrid-Azure AD-Einbindung erforderlich

Organisationen können die Geräteidentität als Teil ihrer Richtlinie für bedingten Zugriff verwenden. Mit diesem Kontrollkästchen können Organisationen festlegen, dass Geräte hybrid in Azure AD eingebunden sein müssen. Weitere Informationen zu Geräteidentitäten finden Sie unter Was ist eine Geräteidentität?.

Wenn Sie den OAuth-Gerätecodeflow verwenden, wird das erforderliche Gewährungssteuerelement für das verwaltete Gerät oder eine Gerätestatusbedingung nicht unterstützt. Dies liegt daran, dass das Gerät, das die Authentifizierung ausführt, seinen Gerätestatus nicht für das Gerät bereitstellen kann, das einen Code bereitstellt. Außerdem ist der Gerätestatus im Token für das Gerät gesperrt, das die Authentifizierung ausführt. Verwenden Sie stattdessen das Steuerelement Multi-Faktor-Authentifizierung erforderlich.

Für das Steuerelement Hybrid in Azure AD eingebundenes Gerät erforderlich gilt Folgendes:

  • Unterstützt nur in die Domäne eingebundene Geräte mit älteren Windows-Versionen (vor Windows 10) und Geräte mit aktuellen Windows-Versionen (Windows 10+).
  • Betrachtet Microsoft Edge im InPrivate-Modus nicht als hybrid in Azure AD eingebundenes Gerät.

Genehmigte Client-App erforderlich

Organisationen können anfordern, dass für den Zugriff auf ausgewählte Cloud-Apps eine genehmigte Client-App verwendet wird. Diese genehmigten Client-Apps unterstützen Intune-App-Schutzrichtlinien, und zwar unabhängig von einer MDM-Lösung (Mobile-Device Management, Verwaltung mobiler Geräte).

Um dieses Genehmigungssteuerelement anzuwenden, muss das Gerät in Azure AD registriert sein, was die Verwendung einer Broker-App voraussetzt. Als Broker-App kann Microsoft Authenticator für iOS-Geräte bzw. Microsoft Authenticator oder das Microsoft-Unternehmensportal für Android-Geräte verwendet werden. Wenn auf dem Gerät keine Broker-App installiert ist und ein Benutzer versucht, sich zu authentifizieren, wird er zum entsprechenden App Store umgeleitet, um die erforderliche Broker-App zu installieren.

Die folgenden Client-Apps unterstützen diese Einstellung. Diese Liste ist nicht vollständig und unterliegt Änderungen:

  • Microsoft Azure Information Protection
  • Microsoft Bookings
  • Microsoft Cortana
  • Microsoft Dynamics 365
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Invoicing
  • Microsoft Kaizala
  • Microsoft Launcher
  • Microsoft-Listen
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Skype for Business
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Visio
  • Microsoft Word
  • Microsoft Yammer
  • Microsoft Whiteboard
  • Microsoft 365 Admin

Anmerkungen

  • Die genehmigten Client-Apps unterstützen das Intune-Feature für die mobile Anwendungsverwaltung.
  • Anforderung Genehmigte Client-App erforderlich:
    • Unterstützt als Geräteplattformbedingung nur iOS und Android.
    • Zum Registrieren des Geräts ist eine Broker-App erforderlich. Als Broker-App kann Microsoft Authenticator für iOS-Geräte bzw. Microsoft Authenticator oder das Microsoft-Unternehmensportal für Android-Geräte verwendet werden.
  • Beim bedingten Zugriff kann Microsoft Edge im InPrivate-Modus nicht als genehmigte Client-App betrachtet werden.
  • Richtlinien für bedingten Zugriff, die Microsoft Power BI als genehmigte Client-App voraussetzen, unterstützen bei der Verbindung der mobilen Power BI-App mit dem lokalen Power BI-Berichtsserver den Azure AD-Anwendungsproxy nicht.

Konfigurationsbeispiele finden Sie unter Bedingter Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich.

App-Schutzrichtlinie erforderlich

In Ihrer Richtlinie für bedingten Zugriff können Sie festlegen, dass eine Intune-App-Schutzrichtlinie für die Client-App vorhanden sein muss, bevor der Zugriff auf die ausgewählten Cloud-Apps verfügbar ist.

Um dieses Gewährungssteuerelement anzuwenden, muss für den bedingten Zugriff das Gerät in Azure AD registriert sein. Dafür ist eine Broker-App erforderlich. Als Broker-App kann Microsoft Authenticator für iOS-Geräte oder das Microsoft-Unternehmensportal für Android-Geräte verwendet werden. Wenn auf dem Gerät keine Broker-App installiert ist und der Benutzer versucht, sich zu authentifizieren, wird er zum entsprechenden App Store umgeleitet, um die Broker-App zu installieren.

Anwendungen müssen über das Intune SDK mit implementierter Richtliniensicherung verfügen und bestimmte weitere Anforderungen erfüllen, um diese Einstellung unterstützen zu können. Entwickler, die Anwendungen mit dem Intune SDK implementieren möchten, finden in der SDK-Dokumentation weitere Informationen zu diesen Anforderungen.

Es wurde bestätigt, dass folgende Client-Apps diese Einstellung unterstützen. Diese Liste ist nicht vollständig und unterliegt Änderungen:

  • iAnnotate für Office 365
  • Microsoft Cortana
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Launcher
  • Microsoft-Listen
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power BI
  • Microsoft PowerApps
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Stream Mobile Native 2.0
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Word
  • Microsoft Whiteboard Services
  • Microsoft Field Service (Dynamics 365)
  • MultiLine for Intune
  • Nine Mail – Email & Calendar
  • Notate für Intune
  • Yammer (Android, iOS und iPadOS)

Diese Liste ist nicht vollständig. Wenn Ihre App nicht in dieser Liste enthalten ist, wenden Sie sich an den Anwendungshersteller, um die Unterstützung zu bestätigen.

Hinweis

Kaizala, Skype for Business und Visio unterstützen den Gewährungstyp App-Schutzrichtlinie erforderlich nicht. Wenn Sie mit diesen Apps arbeiten müssen, verwenden Sie exklusiv den Gewährungstyp Genehmigte Apps erforderlich. Die Verwendung der OR-Klausel zwischen den beiden Gewährungstypen funktioniert bei diesen drei Anwendungen nicht.

Apps für die App-Schutzrichtlinie unterstützen die mobile Anwendungsverwaltung von Intune mit Richtlinienschutz.

Für das Steuerelement App-Schutzrichtlinie erforderlich gilt Folgendes:

  • Unterstützt als Geräteplattformbedingung nur iOS und Android.
  • Zum Registrieren des Geräts ist eine Broker-App erforderlich. Unter iOS fungiert Microsoft Authenticator als Broker-App. Unter Android fungiert das Intune-Unternehmensportal als Broker-App.

Konfigurationsbeispiele finden Sie unter Bedingter Zugriff: Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich.

Kennwortänderung anfordern

Wenn Benutzerrisiken erkannt werden, können Administratoren Bedingungen für die Richtlinie zum Benutzerrisiko festlegen und den Benutzer veranlassen, sein Kennwort mithilfe der Self-Service-Kennwortzurücksetzung von Azure AD sicher zu ändern. Benutzer können mit der Self-Service-Kennwortzurücksetzung ihr Kennwort zurücksetzen, um das Problem selbst zu beheben. Durch diesen Vorgang wird das Benutzerrisikoereignis geschlossen, und unnötige Administratorwarnungen werden vermieden.

Wenn Benutzer zum Ändern des Kennworts aufgefordert werden, müssen sie zunächst die Multi-Faktor-Authentifizierung ausführen. Stellen Sie sicher, dass alle Benutzer sich für die Multi-Faktor-Authentifizierung registriert haben, damit sie auf eine Risikoerkennung bei ihren Konten vorbereitet sind.

Warnung

Benutzer müssen sich vor Auslösen der Anmelderisikorichtlinie bereits für die Self-Service-Kennwortzurücksetzung registriert haben.

Die folgenden Einschränkungen gelten beim Konfigurieren einer Richtlinie mithilfe des Steuerelements für die Kennwortänderung:

  • Die Richtlinie muss „allen Cloud-Apps“ zugewiesen werden. Diese Anforderung verhindert, dass ein Angreifer eine andere App verwendet, um das Kennwort des Benutzers zu ändern. So wird auch verhindert, dass er das Kontorisiko zurücksetzt, indem er sich bei einer anderen App anmeldet.
  • Kennwortänderung erforderlich kann nicht mit anderen Steuerelementen (z. B. kompatibles Gerät erforderlich) verwendet werden.
  • Das Steuerelement für die Kennwortänderung kann nur mit der Benutzer- und Gruppenzuweisungsbedingung, der Cloud-App-Zuweisungsbedingung (die auf „Alle“ festgelegt sein muss) und den Benutzerrisikobedingungen verwendet werden.

Nutzungsbedingungen

Wenn Ihre Organisation Nutzungsbedingungen erstellt hat, werden unter den Gewährungssteuerelementen ggf. andere Optionen angezeigt. Mit diesen Optionen können Administratoren die Bestätigung von Nutzungsbedingungen als Bedingung für den Zugriff auf die Ressourcen festlegen, die durch die Richtlinie geschützt sind. Weitere Informationen zu Nutzungsbedingungen finden Sie unter Nutzungsbedingungen für Azure Active Directory.

Benutzerdefinierte Steuerelemente (Vorschau)

Benutzerdefinierte Steuerelemente sind eine Vorschaufunktion von Azure AD. Wenn Sie benutzerdefinierte Steuerelemente verwenden, werden Ihre Benutzer zu einem kompatiblen Dienst umgeleitet, um die Authentifizierungsanforderungen außerhalb von Azure AD zu erfüllen. Weitere Informationen finden Sie im Artikel Benutzerdefinierte Steuerelemente.

Nächste Schritte