Erkunden des bedingten Zugriffs
Bedingter Zugriff ist ein Feature von Enterprise Mobility + Security (EMS). Das Feature bietet eine differenzierte Steuerung des Zugriffs auf Unternehmensdaten, ermöglicht Benutzern aber gleichzeitig, ihre Arbeit von jedem Gerät und von jedem Ort aus optimal zu erledigen. Bedingter Zugriff trägt dazu bei, die E-Mails und Daten Ihres Unternehmens vor sicherheitsrelevanten Risiken zu schützen, die von nicht konformen Geräten ausgehen.
Intune und Microsoft Entra ID arbeiten zusammen, um den bedingten Zugang für mobile Geräte zu ermöglichen. Intune liefert Informationen über die Konformität von Geräten mit Microsoft Entra ID. Wenn Microsoft Entra ID eine Anforderung zum Zugriff auf Ressourcen erhält, vergleicht es diese Informationen mit den Richtlinien für den bedingten Zugriff.
- Wenn die Richtlinie für bedingten Zugriff besagt, dass nicht kompatible Geräte keinen Zugriff auf eine Ressource erhalten, wird die Zugriffsanforderung verweigert.
- Wenn der Zugriff verweigert wird, wird der Benutzer aufgefordert, das Gerät zu registrieren und die Complianceprobleme zu beheben.
Sie können in Microsoft Entra ID auch Richtlinien festlegen, die den Zugriff auf Ressourcen nur für Geräte erlauben, die der Domäne angehören oder bei Intune angemeldet sind.
Eine bedingte Zugriffsrichtlinie ist die Definition eines Zugriffsszenarios nach dem Schema: Wenn dies geschieht: dann das tun.
Wenn dies geschieht. Definiert den Grund für das Auslösen der Richtlinie für bedingten Zugriff. Dieser Grund ist durch eine Gruppe von Bedingungen gekennzeichnet, die erfüllt wurden. Beim bedingten Zugriff spielen zwei Zuordnungsbedingungen eine besondere Rolle:
- Benutzer. Dies ist der Benutzer, der einen Zugriffsversuch durchführt (Wer).
- Cloud-Apps. Die Ziele eines Zugriffsversuchs (Was).
Beide Bedingungen müssen in einer Richtlinie für bedingten Zugriff angegeben werden. Zusätzlich zu den beiden obligatorischen Bedingungen können Sie auch andere Bedingungen einfügen, die beschreiben, wie der Zugriffsversuch erfolgt. Gängige Beispiele sind mobile Geräte oder Standorte außerhalb des Unternehmensnetzwerks.
- Führen Sie dann dies aus. Definiert die Antwort der Richtlinie. Mit einer Richtlinie für bedingten Zugriff steuern Sie, wie autorisierte Benutzer (Benutzer, denen Der Zugriff auf eine Cloud-App gewährt wurde) unter bestimmten Bedingungen auf Cloud-Apps zugreifen können. In Ihrer Antwort erzwingen Sie weitere Anforderungen, wie z. B. eine Multi-Faktor-Authentifizierung, ein verwaltetes Gerät usw. Im Kontext des bedingten Zugriffs werden die Anforderungen, die die Richtlinie erzwingt, als Zugriffssteuerungen bezeichnet. In der restriktivsten Form kann Ihre Richtlinie den Zugriff blockieren.
Bedingter Zugriff ist in bestimmten Szenarien besonders vorteilhaft.
- Unterstützen von Apps, die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) erfordern. Einige Anwendungen erfordern mehr Schutz als andere. Bedingter Zugriff ermöglicht es Ihnen, eine Schutzebene für diese hinzuzufügen, indem für den Zugriff darauf die MFA der Benutzer erforderlich ist.
- MFA für nicht vertrauenswürdige Netzwerke erforderlich. In diesem Szenario ist es nicht die Anwendung selbst, die zusätzliche Sicherheit erfordert. Stattdessen ist der Standort, an dem der Zugriff angefordert wird, der kritische Punkt. In diesem Fall können Sie verlangen, dass ein Benutzer, der von einem nicht vertrauenswürdigen Standort aus auf Daten zugreift, eine MFA durchläuft.
- Microsoft 365-Zugriff nur auf vertrauenswürdige Geräte zulassen. Möglicherweise möchten Sie den Zugriff auf Microsoft 365-Dienste ausschließlich auf Geräten erlauben, die in Intune registriert sind, und auf PCs, die in die lokale Domäne eingebunden sind. Mit dem bedingten Zugriff können Sie den Zugriff von Microsoft 365-Apps auf Geräten einschränken, die diese Anforderungen nicht erfüllen.