Verwenden von App-basierten Richtlinien für bedingten Zugriff mit Intune

Intune App-Schutzrichtlinien funktionieren mit bedingtem Zugriff, einer Azure Active (Azure AD)-Funktion, um Ihre Organisationsdaten auf Geräten zu schützen, die Ihre Mitarbeiter verwenden. Diese Richtlinien funktionieren auf Geräten, die bei Intune registriert sind, und auf Geräten von Mitarbeitern, die nicht registriert sind.

App-Schutzrichtlinien sind Regeln, die sicherstellen, dass die Daten einer Organisation in einer verwalteten App jederzeit sicher sind und dort verbleiben.

  • Eine App-Schutzrichtlinie kann eine Regel sein, die erzwungen wird, wenn ein Benutzer versucht, auf „unternehmenseigene“ Daten zuzugreifen oder diese zu verschieben. Es kann sich auch um eine Reihe von Aktionen handeln, die nicht zulässig sind oder überwacht werden, wenn sich ein Benutzer in der App befindet.
  • Eine verwaltete App ist eine App, auf die App-Schutzrichtlinien angewendet wurden und die von Intune verwaltet werden kann.
  • Wenn Sie nur für die Microsoft Outlook-App den Zugriff auf Exchange Online zulassen, können Sie auch die integrierten E-Mail-Apps von iOS/iPadOS und Android blockieren. Darüber hinaus können Sie für Apps, auf die keine Intune-Appschutz-Richtlinien angewendet wurden, den Zugriff auf SharePoint Online blockieren.

Mit App-basiertem bedingten Zugriff mit Verwaltung von Client-Apps wird eine Sicherheitsstufe hinzugefügt, indem sichergestellt wird, dass nur Client-Apps, die Intune-App-Schutzrichtlinien unterstützen, auf Exchange Online und andere Microsoft 365-Dienste zugreifen können.

Voraussetzungen

Damit Sie eine App-basierte Richtlinie für bedingten Zugriff erstellen können, benötigen Sie Folgendes:

  • Enterprise Mobility + Security (EMS) oder ein Azure AD Premium-Abonnement
  • Benutzer müssen für EMS oder Azure AD lizenziert sein

Weitere Informationen finden Sie unter Enterprise Mobility: Preise oder Azure Active Directory: Preise.

Unterstützte Apps

Eine Liste der Apps, die app-basierten bedingten Zugriff unterstützen, finden Sie unter Bedingter Zugriff: Bedingungen in der Azure AD-Dokumentation.

Der App-basierte bedingte Zugriff unterstützt auch branchenspezifische Apps, aber diese Apps müssen die moderne Authentifizierung von Microsoft 365 nutzen.

Funktionsweise des App-basierten bedingten Zugriffs

In diesem Beispiel hat der Administrator Appschutz-Richtlinien auf die Outlook-App angewendet. Zudem gilt eine Regel für bedingten Zugriff, mit der die Outlook-App einer genehmigten Liste von Apps hinzugefügt wird, die verwendet werden kann, um auf Unternehmens-E-Mails zuzugreifen.

Hinweis

Das folgende Flussdiagramm kann für andere verwaltete Apps verwendet werden.

Veranschaulichung des Prozesses des App-basierten bedingten Zugriffs in einem Flussdiagramm

  1. Der Benutzer versucht, sich über die Outlook-App bei Azure AD zu authentifizieren.

  2. Der Benutzer wird an den App Store umgeleitet, um eine Broker-App zu installieren, wenn er zum ersten Mal versucht, sich zu authentifizieren. Bei der Broker-App kann es sich um die Microsoft Authenticator für iOS oder Microsoft Unternehmensportal für Android-Geräte handeln.

    Wenn Benutzer versuchen, eine native E-Mail-App zu verwenden, werden sie an den App Store umgeleitet, um dann die Outlook-App zu installieren.

  3. Die Broker-App wird auf dem Gerät installiert.

  4. Die Broker-App startet die Azure AD-Registrierung, durch die ein Gerätedatensatz in Azure AD erstellt wird. Dieser Prozess ist nicht mit der Registrierung für die Verwaltung mobiler Geräte (MDM) identisch, aber dieser Datensatz ist erforderlich, damit bedingte Zugriffsrichtlinien auf dem Gerät erzwungen werden können.

  5. Die Broker-App überprüft die Azure AD-Geräte-ID, den Benutzer und die Anwendung. Diese Informationen werden an die Azure AD-Anmeldeserver übermittelt, um den Zugriff auf den angeforderten Dienst zu überprüfen.

  6. Die Broker-App sendet die App-Client-ID während der Benutzerauthentifizierung an Azure AD, um zu überprüfen, ob sie in der durch die Richtlinie genehmigten Liste enthalten ist.

  7. Azure AD ermöglicht dem Benutzer die Authentifizierung und die Verwendung der App basierend auf der durch die Richtlinie genehmigte Liste. Wenn die App nicht auf der Liste enthalten ist, verweigert Azure AD den Zugriff auf die App.

  8. Die Outlook-App kommuniziert mit dem Outlook-Clouddienst, um die Kommunikation mit Exchange Online zu initiieren.

  9. Der Outlook-Clouddienst kommuniziert mit Azure AD, um Exchange Online-Dienstzugriffstoken für den Benutzer abzurufen.

  10. Die Outlook-App kommuniziert mit Exchange Online, um die Unternehmens-E-Mails des Benutzers abzurufen.

  11. Unternehmens-E-Mails werden an das Postfach des Benutzers übermittelt.

Nächste Schritte