Erstellen einer gerätebasierten Richtlinie für bedingten Zugriff
Mit Gerätekompatibilitätsrichtlinien in Microsoft Intune können Ihre Richtlinien für bedingten Zugriff in Azure Active Directory (Azure AD) einen Gerätestatus verwenden, um Apps und Diensten Ihrer Organisation entweder den Zugriff zu gewähren oder zu verweigern.
Sie können das Microsoft Intune Admin Center verwenden, um Ihre gerätebasierten Richtlinien für bedingten Zugriff zu konfigurieren. Im Admin Center haben Sie Zugriff auf die Benutzeroberfläche der Richtlinie für bedingten Zugriff, wie sie in Azure AD vorhanden ist. Die Verwendung der Azure AD-Benutzeroberfläche bietet Zugriff auf alle Optionen, die Ihnen auch zur Verfügung stehen, wenn Sie die Richtlinie im Azure-Portal konfigurieren. Die von Ihnen erstellten Richtlinien können die Apps oder Dienste, die Sie schützen möchten, die Bedingungen, unter denen auf die Apps oder Dienste zugegriffen werden kann, und die Benutzer angeben, für die die Richtlinie gilt.
Für das Erstellen einer gerätebasierten Richtlinie für bedingten Zugriff muss das Konto in Azure AD über eine der folgenden Berechtigungen verfügen:
- Globaler Administrator
- Sicherheitsadministrator
- Administrator für bedingten Zugriff
Um den Gerätekompatibilitätsstatus zu nutzen, konfigurieren Sie Richtlinien für bedingten Zugriff so, dassMarkieren des Geräts als kompatibel erforderlich ist. Diese Option wird beim Konfigurieren des Zugriffs Gewähren in Schritt 6 des folgenden Verfahrens festgelegt.
Wichtig
Bevor Sie den bedingten Zugriff einrichten, müssen Sie Intune-Gerätekonformitätsrichtlinien festlegen, um Geräte danach zu bewerten, ob sie bestimmte Voraussetzungen erfüllen. Informationen dazu finden Sie unter Erste Schritte mit den Gerätekonformitätsrichtlinien in Intune.
Erstellen der Richtlinie für bedingten Zugriff
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Endpunktsicherheit>Richtlinien>für bedingten Zugriff>Neue Richtlinie aus.
Der Bereich Neu wird geöffnet, dies ist der Konfigurationsbereich aus Azure AD. Die Richtlinie, die Sie erstellen, ist eine Azure AD-Richtlinie für bedingten Zugriff. Weitere Informationen zu diesem Bereich und zu den Richtlinien für bedingten Zugriff finden Sie unter Komponenten der Richtlinie für den bedingten Zugriff im Azure AD-Inhalt.
Konfigurieren Sie unter Zuweisungendie Option Benutzer , um die Identitäten in dem Verzeichnis auszuwählen, für das die Richtlinie gilt. Weitere Informationen finden Sie unter Benutzer und Gruppen in der Azure AD-Dokumentation.
- Konfigurieren Sie auf der Registerkarte Einschließen die Benutzer und Gruppen, die Sie einschließen möchten.
- Verwenden Sie die Registerkarte Ausschließen, wenn Benutzer, Rollen oder Gruppen von dieser Richtlinie ausgeschlossen werden sollen.
Tipp
Testen Sie die Richtlinie mit einer kleineren Gruppe von Benutzern, um sicherzustellen, dass sie wie erwartet funktioniert, bevor Sie sie in größeren Gruppen bereitstellen.
Konfigurieren Sie als Nächstes Cloud-Apps oder -Aktionen, die sich ebenfalls unter Zuweisungen befinden. Wählen Sie für die Dropdownauswahl, auf die diese Richtlinie angewendet wird, Cloud-Apps aus.
Verwenden Sie auf der Registerkarte Einschließen die verfügbaren Optionen, um die Apps und Dienste zu identifizieren, die Sie mit dieser Richtlinie für bedingten Zugriff schützen möchten.
Wenn Sie Apps auswählen auswählen, wählen Sie die Apps und Dienste aus, die Sie mit dieser Richtlinie schützen möchten.
Achtung
Wenn Sie Alle Cloud-Apps auswählen, überprüfen Sie unbedingt die Warnung, und schließen Sie dann Ihr Konto oder andere relevante Benutzer und Gruppen von dieser Richtlinie aus, die den Zugriff behalten sollten, um das Azure-Portal oder Microsoft Intune Admin Center zu verwenden, nachdem diese Richtlinie wirksam wird.
Verwenden Sie die Registerkarte Ausschließen, um ggf. Apps oder Dienste von dieser Richtlinie auszuschließen.
Weitere Informationen finden Sie unter Cloud-Apps oder -aktionen in der Azure AD-Dokumentation.
Konfigurieren Sie als Nächstes Bedingungen. Wählen Sie die Signale aus, die Sie als Bedingungen für diese Richtlinie verwenden möchten. Die folgenden Optionen stehen zur Verfügung:
- Benutzerrisiko
- Anmelderisiko
- Geräteplattformen
- Speicherorte
- Client-Apps
- Nach Geräten filtern
Informationen zu diesen Optionen finden Sie unter Bedingungen in der Azure AD-Dokumentation.
Tipp
Wenn Sie sowohl Clients mit moderner Authentifizierung als auch Exchange ActiveSync-Clients schützen möchten, erstellen Sie zwei separate Richtlinien für bedingten Zugriff – eine für jeden Clienttyp. Exchange Active Sync unterstützt zwar die moderne Authentifizierung, ist die einzige von Exchange Active Sync unterstützte Bedingung die Plattform. Andere Bedingungen wie z. B. die mehrstufige Authentifizierung werden nicht unterstützt. Um den Zugriff von Exchange ActiveSync auf Exchange Online effektiv zu schützen, erstellen Sie eine Richtlinie für bedingten Zugriff, die die Cloud-App „Microsoft 365 Exchange Online“ und die Client-App „Exchange ActiveSync“ mit aktivierter Einstellung „Richtlinie nur auf unterstützte Plattformen anwenden“ festlegt.
Wählen Sie unter Zugriffskontrollen die Option Gewähren und dann eine oder mehrere Anforderungen aus. Weitere Informationen zu den Optionen für „Gewähren“ finden Sie unter Gewähren in der Azure AD-Dokumentation.
Zugriff blockieren: Die Benutzer, für die diese Richtlinie gilt, erhalten unter den von Ihnen angegebenen Bedingungen keinen Zugriff auf die Apps und Dienste.
Zugriff gewähren: Den Benutzern, für die diese Richtlinie gilt, wird Zugriff gewährt, Sie können jedoch eine oder mehrere der folgenden Aktionen anfordern:
- Anfordern mehrstufiger Authentifizierung
- Markieren des Geräts als kompatibel erforderlich: Diese Option ist erforderlich, damit die Richtlinie den Gerätekompatibilitätsstatus verwendet.
- In Azure AD hybrid eingebundenes Gerät erforderlich
- Genehmigte Client-App erforderlich
- Erfordert eine App-Schutzrichtlinie
- Kennwortänderung erforderlich
Klicken Sie unter Richtlinie aktivieren auf Ein. Standardmäßig ist die Richtlinie auf Nur Bericht festgelegt.
Wählen Sie Erstellen aus.