Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie sip Gateway von der Richtlinie für bedingten Zugriff ausschließen. Dies ist ein Feature, mit dem Sie den Zugriff auf die Ressourcen Ihrer organization basierend auf bestimmten Bedingungen steuern können. Sie können das SIP-Gateway vom bedingten Zugriff ausschließen, wenn Sie es für VoIP verwenden und keine zusätzlichen Sicherheitsanforderungen für diese Benutzer erzwingen möchten. In diesem Artikel finden Sie die Schritte zum Erstellen einer Ausschlussgruppe und zum Zuweisen dieser Gruppe zur Richtlinie zusammen mit den Voraussetzungen.
Die in diesem Artikel erwähnten SIP-Gatewayressourcen können nicht direkt von Richtlinien für bedingten Zugriff ausgeschlossen werden. Daher wird der dynamische App-Filteransatz zum Ausschließen von SIP-Gateway-Apps beschrieben. Durch das einfache Ausschließen von SIP-Gateway-Apps wird die Lücke nicht geschlossen, da SIP Gateway-Apps keine eigenen Bereiche besitzen und für die erforderlichen Bereiche von der Teams-App abhängig sind.
Voraussetzungen
Zum Hinzufügen oder Deaktivieren benutzerdefinierter Sicherheitsattributedefinitionen benötigen Sie Folgendes:
- Attributzuweisungsadministrator
- Attributdefinitionsadministrator
- Microsoft Graph-Modul bei Verwendung von Microsoft Graph PowerShell
Wichtig
Standardmäßig verfügen der globale Administrator und andere Administratorrollen nicht über berechtigungen zum Lesen, Definieren oder Zuweisen benutzerdefinierter Sicherheitsattribute.
Schritt 1: Hinzufügen eines Attributsatzes
Melden Sie sich beim Microsoft Entra Admin Center als Attributdefinitionsadministrator an.
Navigieren Sie zu Schutz>Benutzerdefinierte Sicherheitsattribute.
Wählen Sie Attributsatz hinzufügen aus, um einen neuen Attributsatz hinzuzufügen.
Hinweis
Wenn Attributsatz hinzufügen deaktiviert ist, stellen Sie sicher, dass Ihnen die Rolle Attributdefinitionsadministrator zugewiesen ist. Weitere Informationen finden Sie unter Problembehandlung für benutzerdefinierte Sicherheitsattribute.
Geben Sie einen Namen, eine Beschreibung und eine maximale Anzahl von Attributen ein.
Tipp
Ein Attributsatzname kann 32 Zeichen ohne Leerzeichen oder Sonderzeichen umfassen. Nachdem Sie einen Namen angegeben haben, können Sie ihn nicht umbenennen. Weitere Informationen finden Sie unter Grenzwerte und Einschränkungen.
Wenn Sie fertig sind, wählen Sie Hinzufügen aus.
Der neue Attributsatz wird in der Liste der Attributsätze angezeigt.
Schritt 2: Hinzufügen einer benutzerdefinierten Sicherheitsattributedefinition
Melden Sie sich beim Microsoft Entra Admin Center als Attributdefinitionsadministrator an.
Navigieren Sie zu Schutz>Benutzerdefinierte Sicherheitsattribute.
Wählen Sie auf der Seite Benutzerdefinierte Sicherheitsattribute einen vorhandenen Attributsatz aus, oder wählen Sie Attributsatz hinzufügen aus, um einen neuen Attributsatz hinzuzufügen. Alle benutzerdefinierten Sicherheitsattributedefinitionen müssen Teil eines Attributsatzes sein.
Wählen Sie diese Option aus, um den ausgewählten Attributsatz zu öffnen.
Wählen Sie Attribut hinzufügen aus, um dem Attributsatz ein neues benutzerdefiniertes Sicherheitsattribute hinzuzufügen.
Geben Sie im Feld Attributname den Namen eines benutzerdefinierten Sicherheitsattributes ein.
Tipp
Ein Attributsatzname kann 32 Zeichen ohne Leerzeichen oder Sonderzeichen umfassen. Nachdem Sie einen Namen angegeben haben, können Sie ihn nicht umbenennen. Weitere Informationen finden Sie unter Grenzwerte und Einschränkungen.
Geben Sie im Feld Beschreibung eine optionale Beschreibung ein.
Tipp
Eine Beschreibung kann 128 Zeichen lang sein. Bei Bedarf können Sie die Beschreibung später ändern.
Wählen Sie in der Liste Datentyp den Datentyp für das benutzerdefinierte Sicherheitsattribute aus.
- Datentyp: Eine Beschreibung.
- Boolean: Ein boolescher Wert, der true oder false sein kann.
- Integer: Eine 32-Bit-Ganzzahl.
- Zeichenfolge: Eine Zeichenfolge, die X Zeichen lang sein kann.
Wählen Sie für Zuweisung mehrerer Werte zulassen die Option Ja oder Nein aus.
- Wählen Sie Ja aus, um zuzulassen, dass diesem benutzerdefinierten Sicherheitsattribute mehrere Werte zugewiesen werden.
- Wählen Sie Nein aus, um zuzulassen, dass diesem benutzerdefinierten Sicherheitsattribute nur ein einzelner Wert zugewiesen wird.
Wählen Sie für Nur die Zuweisung vordefinierter Werte zulassen die Option Ja oder Nein aus.
- Wählen Sie Ja aus, wenn benutzerdefinierte Sicherheitsattribute Aus einer vordefinierten Werteliste Werte zugewiesen werden können.
- Wählen Sie Nein aus, um zuzulassen, dass diesem benutzerdefinierten Sicherheitsattribute benutzerdefinierte Werte oder potenziell vordefinierte Werte zugewiesen werden.
Wenn Nur die Zuweisung vordefinierter Werte zulassen auf Ja festgelegt ist, wählen Sie Wert hinzufügen aus, um vordefinierte Werte hinzuzufügen. Ein aktiver Wert ist für die Zuweisung von Objekten verfügbar. Ein Wert, der nicht aktiv ist, ist definiert, aber noch nicht für die Zuweisung verfügbar.
Wenn Sie fertig sind, wählen Sie Speichern aus.
Das neue benutzerdefinierte Sicherheitsattribute wird in der Liste der benutzerdefinierten Sicherheitsattribute angezeigt.
Schritt 3: Hinzufügen von SIP-Gatewaydienstprinzipalen zu Ihrem Mandanten
Verwenden des Azure Active Directory-Moduls:
Öffnen Sie ein neues PowerShell-Fenster mit erhöhten Rechten.
Führen Sie aus
Install-Module AzureAD.Führen Sie aus
Import-Module AzureAD.Führen Sie aus
Connect-AzureRmAccount.Melden Sie sich mit dem Administratorkonto an.
Führen Sie das folgende Cmdlet aus:
Get-AzureADServicePrincipal -Filter "AppId eq '582b2e88-6cca-4418-83d2-2451801e1d26'"Wenn Sie keine Ausgabe erhalten, führen Sie Folgendes aus:
New-AzureADServicePrincipal -AppId "582b2e88-6cca-4418-83d2-2451801e1d26"Führen Sie das folgende Cmdlet aus:
Get-AzureADServicePrincipal -Filter "AppId eq '0ab9de21-b802-4d77-b279-1ad41ca233b4'"Wenn Sie keine Ausgabe erhalten, führen Sie Folgendes aus:
New-AzureADServicePrincipal -AppId "0ab9de21-b802-4d77-b279-1ad41ca233b4"
Verwenden des MS Graph-Moduls:
Führen Sie die folgenden Cmdlets aus:
## SIP Gateway API: Get-MgServicePrincipal -Filter "AppId eq '0ab9de21-b802-4d77-b279-1ad41ca233b4'" New-MgServicePrincipal -AppId "0ab9de21-b802-4d77-b279-1ad41ca233b4"## SIP Gateway UserApp: Get-MgServicePrincipal -Filter "AppId eq '582b2e88-6cca-4418-83d2-2451801e1d26'" New-MgServicePrincipal -AppId "582b2e88-6cca-4418-83d2-2451801e1d26"Nachdem Sie diese Cmdlets ausgeführt haben, sollten Sie die folgende Ausgabe erhalten, um fortzufahren:
Massenanmeldung von Geräten
Wenn Sie Massen-Sigin für Ihre Geräte verwenden, müssen Sie auch dieses zusätzliche Dienstprinzipal Teams SIP Gateway hinzufügen:
##Using AzureAd Module:
Get-AzureADServicePrincipal -Filter "AppId eq '61c8fd69-c13e-4ee6-aaa6-24ff71c09bca
Wenn Sie keine Ausgabe erhalten, führen Sie Folgendes aus:
New-AzureADServicePrincipal -AppId "61c8fd69-c13e-4ee6-aaa6-24ff71c09bca"
## Using MS Graph Module:
Get-AzureADServicePrincipal -Filter "AppId eq '61c8fd69-c13e-4ee6-aaa6-24ff71c09bca
New-MgServicePrincipal -AppId "61c8fd69-c13e-4ee6-aaa6-24ff71c09bca"
Schritt 4: Zuweisen eines benutzerdefinierten Sicherheitsattributes zum SIP-Gateway
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
Navigieren Sie zu Identitätsanwendungen>>Unternehmensanwendungen.
Löschen Sie alle Filter.
Suchen Sie nach SIP Gateway-API (0ab9de21-b802-4d77-b279-1ad41ca233b4), und wählen Sie sie aus.
Wählen Sie unterBenutzerdefinierte Sicherheitsattributeverwalten> die Option Zuweisung hinzufügen aus.
Wählen Sie unter Attributsatz den Attributsatz aus, den Sie in Schritt 1 erstellt haben.
Wählen Sie unter Attributname den Attributnamen aus, den Sie in Schritt 2 erstellt haben.
Wählen Sie unter Zugewiesene Werte die Option Werte hinzufügen aus, wählen Sie den Wert aus der Liste aus (in diesem Beispiel requireMFA), und wählen Sie dann Fertig aus.
Klicken Sie auf Speichern.
Führen Sie die gleichen Schritte für SIP Gateway UserApp (582b2e88-6cca-4418-83d2-2451801e1d26) aus.
Führen Sie die gleichen Schritte für Teams SIP Gateway (61c8fd69-c13e-4ee6-aaa6-24ff71c09bca) aus, falls Sie die Massenanmeldung für Ihre Geräte verwenden.
Schritt 5: Ausschließen dieses Attributs aus Ihrer Richtlinie für bedingten Zugriff
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
Navigieren Sie zu Schutz>bedingter Zugriff.
Wählen Sie die Richtlinie aus, die Sie ändern möchten.
Wählen Sie unter Zielressourcen die folgenden Optionen aus, um dieses Feld automatisch ausfüllen zu können:
- Wählen Sie in der Liste Wählen Sie aus, für was diese Richtlinie gilt die Option Cloud-Apps aus.
- Wählen Sie auf der Registerkarte Einschließen die Option Alle Apps aus.
- Wechseln Sie zur Registerkarte Ausschließen , suchen Sie unter Ausgeschlossene Cloud-Apps auswählen nach Microsoft Teams-Dienste , und klicken Sie auf Auswählen.
Wählen Sie Filter bearbeiten aus.
Legen Sie auf der Seite Filter bearbeitendie Option Konfigurieren auf Ja fest.
Wählen Sie das zuvor erstellte Attribut aus (in diesem Fall "exclAttrAllowMultiple").
Legen Sie Operator auf Contains fest.
Legen Sie Wert auf den Wert fest, der SIP-Gateway-Apps in Schritt 4 zugewiesen wurde (in diesem Fall requireMFA).
Wählen Sie Fertig aus.
Überprüfen und bestätigen Sie Ihre Einstellungen.
Wählen Sie Speichern aus, um Ihre Richtlinie zu aktivieren.
