Bedingter Zugriff: Zielressourcen

Zielressourcen (früher Cloud-Apps, -Aktionen und -Authentifizierungskontext) sind wichtige Signale in einer Richtlinie für bedingten Zugriff. Richtlinien für bedingten Zugriff ermöglichen Administrator*innen das Zuweisen von Steuerelementen zu bestimmten Anwendungen, Diensten, Aktionen oder Authentifizierungskontext.

• Ein Administrator kann aus der Liste der Anwendungen oder Diensten auswählen, die integrierte Microsoft-Anwendungen und alle integrierten Microsoft Entra-Anwendungen umfassen, einschließlich Galerie-, Nicht-Galerie-Anwendungen und Anwendungen, die über den Anwendungsproxy veröffentlicht wurden.
• Administratoren können eine Richtlinie definieren, die nicht auf einer Cloudanwendung basiert, sondern auf einer Benutzeraktion wie "Sicherheitsinformationen registrieren" oder " Registrieren" oder "Verbinden von Geräten", sodass der bedingte Zugriff Steuerelemente für diese Aktionen erzwingt.
• Administratoren können Datenverkehrsweiterleitungsprofile für erweiterte Funktionen aus dem Global Secure Access anvisieren.
• Administratoren können den Authentifizierungskontext verwenden, um eine zusätzliche Sicherheitsebene in Anwendungen bereitzustellen.

Microsoft Cloud-Anwendungen

Viele der vorhandenen Microsoft-Cloudanwendungen sind in der Liste der Anwendungen enthalten, die zur Auswahl stehen.

Administratoren können diesen Microsoft-Cloudanwendungen eine Richtlinie für den bedingten Zugriff zuweisen. Einige Apps wie die Office 365- und Windows Azure-Dienstverwaltungs-API umfassen mehrere verwandte untergeordnete Apps oder Dienste.

Wichtig

Anwendungen, die für bedingten Zugriff verfügbar sind, durchlaufen einen Onboarding- und Validierungsprozess. Diese Anwendungen enthalten nicht alle Microsoft-Apps. Viele Anwendungen sind Back-End-Dienste, die keine Richtlinie direkt darauf anwenden sollen. Wenn Sie nach einer fehlenden Anwendung suchen, können Sie sich an das jeweilige Anwendungsteam wenden oder eine Anfrage an UserVoice stellen.

Office 365

Microsoft 365 stellt cloudbasierte Dienste für Produktivität und Zusammenarbeit wie Exchange, SharePoint und Microsoft Teams bereit. Microsoft 365-Clouddienste sind umfassend integriert, um nahtlose Funktionen für die Zusammenarbeit zu gewährleisten. Diese Integration kann beim Erstellen von Richtlinien zu Verwirrung führen, da einige Apps wie Microsoft Teams Abhängigkeiten von anderen Apps wie SharePoint oder Exchange aufweisen.

Mit der Office 365-Suite können Sie gleichzeitig auf all diese Dienste abzielen. Es wird empfohlen, die neue Office 365-Suite zu verwenden, anstatt einzelne Cloud-Apps zu verwenden, um Probleme mit Dienstabhängigkeiten zu vermeiden.

Eine Ausrichtung auf diese Gruppe von Anwendungen trägt dazu bei, Probleme zu vermeiden, die aufgrund inkonsistenter Richtlinien und Abhängigkeiten auftreten können. Beispiel: Die Exchange Online-App ist an herkömmliche Exchange Online-Daten wie E-Mail-, Kalender- und Kontaktinformationen gebunden. Zugehörige Metadaten können über verschiedene Ressourcen wie die Suche verfügbar gemacht werden. Administratoren sollten der Office 365-Suite Richtlinien zuweisen, um sicherzustellen, dass alle Metadaten wie beabsichtigt durch geschützt werden.

Administratoren können die gesamte Office 365-Suite oder bestimmte Office 365-Cloud-Apps aus der Richtlinie für bedingten Zugriff ausschließen.

Eine vollständige Liste aller enthaltenen Dienste finden Sie im Artikel Apps, die in der Office 365-App-Suite für bedingten Zugriff enthalten sind.

Windows Azure Dienstverwaltungs-API

Wenn Sie auf die Windows Azure Dienstverwaltungs-API-Anwendung abzielen, wird die Richtlinie für Token erzwungen, die an eine Gruppe von Diensten ausgestellt wurden, die eng an das Portal gebunden sind. Diese Gruppierung umfasst die Anwendungs-IDs von:

• Azure Resource Manager
• Azure-Portal, das auch das Microsoft Entra Admin Center abdeckt.
• Azure Data Lake
• Application Insights-Programmierschnittstelle
• Log Analytics-API

Da die Richtlinie auf das Azure-Verwaltungsportal und die API angewendet wird, können alle Dienste oder Clients, die von der Azure-API abhängen, indirekt betroffen sein. Zum Beispiel:

• Azure-Befehlszeilenschnittstelle (Azure CLI)
• Azure Data Factory-Portal
• Azure Event Hubs
• Azure PowerShell
• Azure-Servicebus
• Azure SQL-Datenbank
• Azure Synapse
• APIs für das klassische Bereitstellungsmodell
• Microsoft 365 Admin Center
• Microsoft IoT Central
• Verwaltete SQL-Instanz
• Administratorportal für Visual Studio-Abonnements

Hinweis

Die Windows Azure Service Management API-Anwendung gilt für Azure PowerShell, die die Azure Resource Manager-API aufruft. Sie gilt nicht für Microsoft Graph PowerShell, die die Microsoft Graph-API aufruft.

Weitere Informationen zum Einrichten einer Beispielrichtlinie für die Windows Azure-Dienstverwaltungs-API finden Sie unter Bedingter Zugriff: MFA für Azure-Verwaltung erforderlich.

Tipp

Für Azure Government sollten Sie die Anwendung „Azure Government Cloud Management API“ auswählen.

Microsoft-Verwaltungsportale

Wenn eine Richtlinie für bedingten Zugriff auf die Microsoft Admin Portals-Cloud-App ausgerichtet ist, wird die Richtlinie für Token erzwungen, die an Anwendungs-IDs der folgenden Microsoft-Verwaltungsportale ausgegeben werden:

• Azure-Portal
• Exchange Admin Center
• Microsoft 365 Admin Center
• Microsoft 365 Defender-Portal
• Microsoft Entra Admin Center
• Microsoft Intune Admin Center
• Grundlegendes zum Microsoft Purview-Complianceportal
• Microsoft Teams Admin Center

Wir fügen der Liste kontinuierlich weitere Verwaltungsportale hinzu.

Hinweis

Die Microsoft Admin Portals-App gilt nur für interaktive Anmeldungen bei den aufgeführten Verwaltungsportalen. Anmeldungen an den zugrunde liegenden Ressourcen oder Diensten wie Microsoft Graph oder Azure Resource Manager-APIs werden von dieser Anwendung nicht abgedeckt. Diese Ressourcen werden von der Windows Azure Service Management API-App geschützt. Diese Gruppierung ermöglicht Es Kunden, die MFA-Einführungsreise für Administratoren zu durchlaufen, ohne sich auf die Automatisierung zu auswirken, die auf APIs und PowerShell basiert. Wenn Sie bereit sind, empfiehlt Microsoft die Verwendung einer Richtlinie, die erfordert, dass Administratoren immer MFA ausführen für umfassenden Schutz.

Andere Anwendungen

Administratoren können jede für Microsoft Entra registrierte Anwendung zu Richtlinien für bedingten Zugriff hinzufügen. Dazu können folgende Anwendungen zählen:

• Anwendungen, die über den Microsoft Entra-Anwendungsproxy veröffentlicht wurden
• Aus dem Katalog hinzugefügte Anwendungen
• Benutzerdefinierte Anwendungen nicht im Katalog
• Altanwendungen, die über Anwendungsbereitstellungs-Controller und Netzwerke veröffentlicht wurden
• Anwendungen, die kennwortbasiertes einmaliges Anmelden verwenden

Hinweis

Da die Richtlinie für bedingten Zugriff die Anforderungen für den Zugriff auf einen Dienst festlegt, können Sie sie nicht auf eine Clientanwendung (öffentlich/native) anwenden. Anders ausgedrückt: Die Richtlinie wird nicht direkt auf einer Clientanwendung (öffentlich/systemeigene Anwendung) festgelegt, sondern angewendet, wenn ein Client einen Dienst aufruft. Eine Richtlinie, die für den SharePoint-Dienst festgelegt wurde, gilt beispielsweise für alle Clients, die SharePoint aufrufen. Eine Richtlinie, die für Exchange festgelegt wurde, gilt für den Zugriffsversuch auf E-Mail mithilfe des Outlook-Clients. Aus diesem Grund sind Clientanwendungen (öffentlich/systemeigene) nicht für die Auswahl in der App-Auswahl verfügbar, und die Option für bedingten Zugriff ist in den Anwendungseinstellungen für die in Ihrem Mandanten registrierte Clientanwendung (öffentlich/systemeigene Anwendung) nicht verfügbar.

Einige Anwendungen werden in der Auswahl überhaupt nicht angezeigt. Die einzige Möglichkeit, diese Anwendungen in eine Richtlinie für bedingten Zugriff einzuschließen, besteht darin, alle Ressourcen (früher "Alle Cloud-Apps") einzuschließen.

Grundlegendes zum bedingten Zugriff für verschiedene Clienttypen

Bedingter Zugriff gilt für Ressourcen, die keine Clients sind, außer wenn der Client ein vertraulicher Client ist, der ein ID-Token anfordert.

• Öffentlicher Client
  • Öffentliche Clients sind solche, die lokal auf Geräten wie Microsoft Outlook auf dem Desktop oder mobilen Apps wie Microsoft Teams ausgeführt werden.
  • Richtlinien für bedingten Zugriff gelten nicht für den öffentlichen Client selbst, gelten jedoch basierend auf den ressourcen, die von den öffentlichen Clients angefordert werden.
• Vertraulicher Client
  • Der bedingte Zugriff gilt für die vom Client angeforderten Ressourcen und den vertraulichen Client selbst, wenn er ein ID-Token anfordert.
  • Beispiel: Wenn Outlook Web ein Token für Bereiche Mail.Read und Files.Readanfordert, wendet der bedingte Zugriff Richtlinien für Exchange und SharePoint an. Wenn Outlook Web ein ID-Token anfordert, wendet der bedingte Zugriff auch die Richtlinien für Outlook Web an.

So zeigen Sie Anmeldeprotokolle für diese Clienttypen im Microsoft Entra Admin Center an:

1. Melden Sie sich mindestens als Berichtsleser beim Microsoft Entra Admin Center an.
2. Navigieren Sie zu Entra ID>Überwachung & Gesundheit>Sign-in-Protokollen.
3. Fügen Sie einen Filter für den Clientanmeldeinformationstyp hinzu.
4. Passen Sie den Filter an, um einen bestimmten Satz von Protokollen basierend auf den Clientanmeldeinformationen anzuzeigen, die in der Anmeldung verwendet werden.

Weitere Informationen finden Sie im Artikel "Öffentlicher Client und vertrauliche Clientanwendungen".

Alle Ressourcen

Das Anwenden einer Richtlinie für bedingten Zugriff auf alle Ressourcen (vormals "Alle Cloud-Apps") ohne App-Ausschlüsse führt dazu, dass die Richtlinie für alle Tokenanforderungen von Websites und Diensten erzwungen wird, einschließlich der Weiterleitungsprofile für globalen sicheren Zugriff. Diese Option umfasst Anwendungen, die in der Richtlinie für bedingten Zugriff nicht einzeln als Ziel bestimmt werden können, z. B. Windows Azure Active Directory (0000002-00000-0000-c000000000000).

Wichtig

Microsoft empfiehlt, eine grundlegende mehrstufige Authentifizierungsrichtlinie für alle Benutzer und alle Ressourcen (ohne App-Ausschlüsse) zu erstellen, wie die unter "Mehrstufige Authentifizierung für alle Benutzer erforderlich" erläutert wird.

Verhalten des bedingten Zugriffs, wenn eine Richtlinie für alle Ressourcen einen App-Ausschluss aufweist

Wenn eine App aus der Richtlinie ausgeschlossen ist, um den Benutzerzugriff nicht versehentlich zu blockieren, werden bestimmte Bereiche mit niedriger Berechtigung von der Richtlinienerzwingung ausgeschlossen. Diese Bereiche ermöglichen Aufrufen der zugrunde liegenden Graph-APIs wie Windows Azure Active Directory (00000002-0000-0000-c000-000000000000) und Microsoft Graph (00000003-0000-0000-c0000-00000000000), um im Rahmen der Authentifizierung häufig von Anwendungen verwendeten Benutzerprofil- und Gruppenmitgliedschaftsinformationen zuzugreifen. Beispiel: Wenn Outlook ein Token für Exchange anfordert, wird auch der User.Read Bereich aufgefordert, die grundlegenden Kontoinformationen des aktuellen Benutzers anzuzeigen.

Die meisten Apps weisen eine ähnliche Abhängigkeit auf, weshalb diese geringen Berechtigungsbereiche automatisch ausgeschlossen werden, wenn in einer Richtlinie "Alle Ressourcen" ein App-Ausschluss vorhanden ist. Diese Ausschlussbereiche mit geringen Rechten erlauben keinen Datenzugriff über grundlegende Benutzerprofil- und Gruppeninformationen hinaus. Die ausgeschlossenen Bereiche werden wie folgt aufgeführt, die Zustimmung ist weiterhin erforderlich, damit Apps diese Berechtigungen verwenden können.

• Native-Clients und Einzelseitenanwendungen (Single Page Applications, SPAs) haben Zugriff auf die folgenden Berechtigungsstufen mit niedriger Privilegierung:
  • Azure AD Graph: email, offline_access, openid, , profileUser.Read
  • Microsoft Graph: email, , openidoffline_access, profile, , User.ReadPeople.Read
• Vertrauliche Clients haben Zugriff auf die folgenden Niedrig-Berechtigungsbereiche, wenn sie von einer Richtlinie 'Alle Ressourcen' ausgeschlossen sind.
  • Azure AD Graph: email, offline_access, openid, profile, User.Read, User.Read.All, User.ReadBasic.All
  • Microsoft Graph: email, , offline_access, openid, User.Readprofile, User.Read.All, User.ReadBasic.AllPeople.ReadPeople.Read.AllGroupMember.Read.AllMember.Read.Hidden

Weitere Informationen zu den genannten Berechtigungen und Bereichen finden Sie in der Microsoft Graph-Berechtigungsreferenz und unter Berechtigungen und Bereiche in der Microsoft Identity Platform.

Schützen von Verzeichnisinformationen

Wenn die empfohlene Basis-MFA-Richtlinie ohne App-Ausschlüsse aufgrund von geschäftlichen Gründen nicht konfiguriert werden kann und die Sicherheitsrichtlinie Ihrer Organisation verzeichnisbezogene Bereiche mit geringen Berechtigungen (User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden) umfassen muss, besteht die Alternative darin, eine separate Richtlinie für bedingten Zugriff für Windows Azure Active Directory (00000002-0000-0000-c000-000000000000) zu erstellen. Windows Azure Active Directory (auch Azure AD Graph genannt) ist eine Ressource, die daten darstellt, die im Verzeichnis gespeichert sind, z. B. Benutzer, Gruppen und Anwendungen. Die Windows Azure Active Directory-Ressource ist in allen Ressourcen enthalten, kann jedoch mithilfe der folgenden Schritte einzeln in Richtlinien für bedingten Zugriff gezielt werden:

1. Melden Sie sich beim Microsoft Entra Admin Center als Attributdefinitionsadministrator und Attributzuweisungsadministrator an.
2. Navigieren Sie zu Entra-ID>benutzerdefinierten Sicherheitsattributen.
3. Erstellen Sie eine neue Attributsatz- und Attributdefinition. Weitere Informationen finden Sie unter Hinzufügen oder Deaktivieren von benutzerdefinierten Sicherheitsattributedefinitionen in microsoft Entra ID.
4. Navigieren Sie zu Entra ID>Enterprise-Apps.
5. Entfernen Sie den Anwendungstypfilter , und suchen Sie nach Anwendungs-ID , die mit 00000002-0000-0000-c000-00000000000 beginnt.
6. Wählen Sie Windows Azure Active Directory>Benutzerdefinierte Sicherheitsattribute>Zuweisung hinzufügen aus.
7. Wählen Sie den Attributsatz und den Attributwert aus, den Sie in der Richtlinie verwenden möchten.
8. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
9. Erstellen oder Ändern einer vorhandenen Richtlinie.
10. Wählen Sie unter Zielressourcen>(früher Cloud-Apps)>Einschließen, die Option >Ressourcen auswählen>Filter bearbeiten aus.
11. Passen Sie den Filter an, um den Attributsatz und die Definition aus früheren Versionen einzuschließen.
12. Speichern der Richtlinie

Alle Internetressourcen mit globalen sicheren Zugriff

Mit der Option "Alle Internetressourcen mit globaler sicherer Zugriff " können Administratoren das Datenverkehrsweiterleitungsprofil des Internetzugriffs von Microsoft Entra Internet Access als Ziel festlegen.

Mithilfe dieser Profile in Global Secure Access können Administratoren definieren und steuern, wie Datenverkehr über Microsoft Entra Internet Access und Microsoft Entra Private Access weitergeleitet wird. Datenverkehrsweiterleitungsprofile können Geräten und Remotenetzwerken zugewiesen werden. Ein Beispiel zum Anwenden einer Richtlinie für bedingten Zugriff auf diese Datenverkehrsprofile finden Sie im Artikel "Anwenden von Richtlinien für bedingten Zugriff" auf das Microsoft 365-Datenverkehrsprofil.

Weitere Informationen zu diesen Profilen finden Sie im Artikel "Global Secure Access traffic forwarding profiles".

Benutzeraktionen

Benutzeraktionen sind Aufgaben, die von einem Benutzer ausgeführt werden. Der bedingte Zugriff unterstützt derzeit zwei Benutzeraktionen:

• Registrieren von Sicherheitsinformationen: Mit dieser Benutzeraktion kann die Richtlinie für bedingten Zugriff erzwungen werden, wenn Benutzer, die für die kombinierte Registrierung aktiviert sind, versuchen, ihre Sicherheitsinformationen zu registrieren. Weitere Informationen finden Sie im Artikel kombinierte Registrierung von Sicherheitsinformationen.

Hinweis

Wenn Administratoren eine Richtlinie anwenden, die benutzerbezogene Aktionen für die Registrierung von Sicherheitsinformationen anwendet, wenn das Benutzerkonto ein Gast aus dem persönlichen Microsoft-Konto (MSA) ist, erfordert die Verwendung des Steuerelements "Mehrstufige Authentifizierung erforderlich", dass der MSA-Benutzer Sicherheitsinformationen bei der Organisation registriert. Wenn der Gastbenutzer von einem anderen Anbieter wie Google stammt, wird der Zugriff blockiert.

• Registrieren oder Beitreten von Geräten: Mit dieser Benutzeraktion können Administratoren richtlinien für bedingten Zugriff erzwingen, wenn Benutzer Geräte bei Microsoft Entra-ID registrieren oder beitreten . Sie bietet Granularität beim Konfigurieren der Multi-Faktor-Authentifizierung für das Registrieren oder Einbinden von Geräten anstelle einer derzeit vorhandenen mandantenweiten Richtlinie. Bei dieser Benutzeraktion sind drei wichtige Punkte zu beachten:
  • Require multifactor authentication ist die einzige Zugriffssteuerung, die bei dieser Benutzeraktion verfügbar ist. Alle anderen Zugriffssteuerungen sind deaktiviert. Durch diese Einschränkung werden Konflikte mit Zugriffssteuerungen verhindert, die entweder von der Microsoft Entra-Geräteregistrierung abhängig sind oder nicht für die Microsoft Entra-Geräteregistrierung gelten.
  • Die Bedingungen Client apps, Filters for devices und Device state sind bei dieser Benutzeraktion nicht verfügbar, da sie zum Erzwingen von Richtlinien für den bedingten Zugriff von der Microsoft Entra-Geräteregistrierung abhängig sind.

Warnung

Wenn eine Richtlinie für den bedingten Zugriff mit der Benutzeraktion "Registrieren" oder "Verbinden von Geräten " konfiguriert ist, müssen Sie entra ID>Devices>Overview>Device Settings - Require Multifactor Authentication to register or join devices with Microsoft Entra to No festlegen. Anderenfalls werden die Richtlinien für bedingten Zugriff bei dieser Benutzeraktion nicht ordnungsgemäß erzwungen. Weitere Informationen zu dieser Geräteeinstellung finden Sie unter "Geräteeinstellungen konfigurieren".

Authentifizierungskontext

Der Authentifizierungskontext kann verwendet werden, um Daten und Aktionen in Anwendungen besser zu schützen. Bei diesen Anwendungen kann es sich um Ihre eigenen benutzerdefinierten Anwendungen, benutzerdefinierte Geschäftsbereichsanwendungen (LOB), Anwendungen wie SharePoint oder Anwendungen handeln, die durch Microsoft Defender für Cloud Apps geschützt sind.

Eine Organisation kann z. B. Dateien auf SharePoint-Websites speichern, etwa eine Speisekarte oder die geheime Rezeptur ihrer BBQ-Soße. Möglicherweise haben alle Zugriff auf die Speisekartenwebsite, aber Benutzer mit Zugriff auf die geheime BBQ-Soßenrezepturwebsite müssen möglicherweise von einem verwalteten Gerät aus darauf zugreifen und bestimmten Nutzungsbedingungen zustimmen.

Der Authentifizierungskontext funktioniert mit Benutzern oder Workload-Identitäten, aber nicht innerhalb derselben Richtlinie für bedingten Zugriff.

Authentifizierungskontexte konfigurieren

Authentifizierungskontexte werden unter Entra-ID>Conditional Access> im Authentifizierungskontext verwaltet.

Erstellen Sie neue Authentifizierungskontextdefinitionen, indem Sie "Neuer Authentifizierungskontext" auswählen. Organisationen sind auf insgesamt 99 Authentifizierungskontextdefinitionen c1-c99 beschränkt. Konfigurieren Sie folgende Attribute:

• Der Anzeigename ist der Name, der verwendet wird, um den Authentifizierungskontext in der Microsoft Entra-ID und in allen Anwendungen zu identifizieren, die Authentifizierungskontexte nutzen. Es wird empfohlen, Namen zu verwenden, die über verschiedene Ressourcen hinweg genutzt werden können, wie z. B. vertrauenswürdige Geräte, um die Anzahl der erforderlichen Authentifizierungskontexte zu verringern. Durch einen reduzierten Satz an Namen wird die Anzahl der Umleitungen eingeschränkt, und die Endbenutzererfahrung wird verbessert.
• Beschreibung enthält weitere Informationen zu den Richtlinien, die von Administratoren und von Benutzern verwendet werden, die Authentifizierungskontexte auf Ressourcen anwenden.
• Wenn das Kontrollkästchen "In Apps veröffentlichen" aktiviert ist, wird der Authentifizierungskontext für Apps bekannt gegeben und steht zur Zuweisung bereit. Wenn er nicht aktiviert ist, ist der Authentifizierungskontext für Downstream-Ressourcen nicht verfügbar.
• ID ist schreibgeschützt und wird in Token und Apps für Anforderungsspezifische Authentifizierungskontextdefinitionen verwendet. Er ist hier zu Zwecken der Problembehandlung und für Anwendungsfälle in der Entwicklung aufgeführt.

Hinzufügen zur Richtlinie für bedingten Zugriff

Administratoren können veröffentlichte Authentifizierungskontexte in ihren Richtlinien für bedingten Zugriff unter Zuordnungen>Cloud-Apps oder -Aktionen auswählen und den Authentifizierungskontext aus dem Menü wählen Sie aus, worauf diese Richtlinie angewendet wird.

Löschen eines Authentifizierungskontexts

Wenn Sie einen Authentifizierungskontext löschen, stellen Sie sicher, dass er nicht mehr von Anwendungen verwendet wird. Andernfalls wird der Zugriff auf App-Daten nicht mehr geschützt. Sie können diese Voraussetzung bestätigen, indem Sie Anmeldeprotokolle für Fälle überprüfen, in denen die Richtlinien für bedingten Zugriff im Authentifizierungskontext angewendet werden.

Um einen Authentifizierungskontext zu löschen, dürfen ihm keine Richtlinien für bedingten Zugriff zugewiesen sein, und er darf nicht in Apps veröffentlicht werden. Diese Anforderung hilft, das versehentliche Löschen eines Authentifizierungskontexts zu verhindern, der noch verwendet wird.

Ressourcen mit Authentifizierungskontexten markieren

Weitere Informationen zur Verwendung des Authentifizierungskontexts in Anwendungen finden Sie in den folgenden Artikeln.

• Verwenden von Vertraulichkeitsbezeichnungen zum Schutz von Inhalten in Microsoft Teams, Microsoft 365-Gruppen und SharePoint-Websites
• Microsoft Defender für Cloud-Apps
• Benutzerdefinierte Anwendungen

Nächste Schritte

• Bedingter Zugriff: Bedingungen
• Allgemeine Richtlinien für bedingten Zugriff
• Clientanwendungsabhängigkeiten