Freigeben über

Festlegen von Richtlinien für bedingten Zugriff für Windows 365 Business

  • Artikel

Als bedingter Zugriff wird der Schutz regulierter Inhalte in einem System bezeichnet, bei dem bestimmte Kriterien erfüllt sein müssen, damit Zugriff auf die Inhalte gewährt wird. Richtlinien für bedingten Zugriff sind im Wesentlichen "Wenn-dann"-Anweisungen. Wenn ein Benutzer auf eine Ressource zugreifen möchte, muss dieser eine Aktion durchführen. Beispielsweise möchte ein Gehaltsabrechnungsmanager auf die Lohnbuchhaltungsanwendung zugreifen und muss dazu die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) durchführen.

Mit bedingtem Zugriff können Sie zwei Hauptziele erreichen:

  • Sie geben Benutzern die Möglichkeit, überall und jederzeit produktiv sein zu können.
  • Sie schützen die Ressourcen Ihrer Organisation.

Mithilfe von Richtlinien für den bedingten Zugriff können Sie bei Bedarf die richtigen Zugriffssteuerungen anwenden, um die Sicherheit Ihrer Organisation zu gewährleisten und Ihren Benutzern bei Bedarf nicht im Weg zu stehen.

Wie oft ein Benutzer zur erneuten Authentifizierung aufgefordert wird, hängt von Microsoft Entra Konfigurationseinstellungen für die Sitzungsdauer ab. Das Speichern von Anmeldeinformationen ist zwar praktisch, kann aber auch dazu führen, dass Bereitstellungen mit persönlichen Geräten weniger sicher sind. Zum Schutz Ihrer Benutzer können Sie sicherstellen, dass der Client häufiger nach Microsoft Entra Anmeldeinformationen für die mehrstufige Authentifizierung fragt. Sie können die Anmeldehäufigkeit für bedingten Zugriff verwenden, um dieses Verhalten zu konfigurieren.

Zuweisen einer Richtlinie für bedingten Zugriff für Cloud-PCs

Für Ihren Mandanten sind standardmäßig keine Richtlinien für bedingten Zugriff festgelegt. Sie können Zertifizierungsstellenrichtlinien auf die Erstanbieter-Apps des Cloud-PCs ausrichten, indem Sie eine der folgenden Plattformen verwenden:

Unabhängig davon, welche Methode Sie verwenden, werden die Richtlinien für das Cloud-PC-Endbenutzerportal und die Verbindung mit dem Cloud-PC erzwungen.

  1. Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Endpunktsicherheit>Bedingter Zugriff>Neue Richtlinie erstellen aus.

  2. Geben Sie einen Namen für Ihre konkrete Richtlinie für bedingten Zugriff an.

  3. Wählen Sie unter Benutzerdie Option 0 Benutzer und Gruppen ausgewählt aus.

  4. Wählen Sie auf der Registerkarte Einschließen die Option Benutzer und Gruppen auswählen aus, und aktivieren Sie Benutzer und Gruppen. Wenn der neue Bereich nicht automatisch geöffnet wird, wählen Sie 0 Benutzer und Gruppen aus.

  5. Suchen Sie im daraufhin geöffneten Bereich Benutzer und Gruppen auswählen nach den spezifischen Benutzern oder Gruppen, die Sie mit der Zertifizierungsstellenrichtlinie als Ziel verwenden möchten, und wählen Sie sie aus. Wählen Sie dann Auswählen aus.

  6. Wählen Sie unter Zielressourcendie Option Keine Zielressourcen ausgewählt aus.

  7. Wählen Sie auf der Registerkarte Einschließendie Option Apps auswählen und dann unter Auswählen die Option Keine aus.

  8. Suchen Sie im Bereich Auswählen nach den folgenden Apps, und wählen Sie sie basierend auf den Ressourcen aus, die Sie schützen möchten:

    • Windows 365 (App-ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5). Sie können auch nach "Cloud" suchen, um diese App zu finden. Diese App wird verwendet, wenn die Liste der Ressourcen für den Benutzer abgerufen wird und wenn Benutzer Aktionen auf ihrem Cloud-PC initiieren, z. B. Neu starten.
    • Azure Virtual Desktop (App-ID 9cdead84-a844-4324-93f2-b2e6bb768d07). Diese App kann auch als Windows Virtual Desktop angezeigt werden. Diese App wird verwendet, um sich während der Verbindung beim Azure Virtual Desktop-Gateway zu authentifizieren und wenn der Client Diagnoseinformationen an den Dienst sendet.
    • Microsoft-Remotedesktop (App-ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) und Windows Cloud Login (App-ID 270efc09-cd0d-444b-a71f-39af4910ec45). Diese Apps werden nur benötigt, wenn Sie einmaliges Anmelden in Ihrer Umgebung konfigurieren. Diese Apps werden verwendet, um Benutzer auf dem Cloud-PC zu authentifizieren.

    Es wird empfohlen, Richtlinien für bedingten Zugriff zwischen diesen Apps abzugleichen. Dadurch wird sichergestellt, dass die Richtlinie für das Cloud-PC-Endbenutzerportal, die Verbindung mit dem Gateway und dem Cloud-PC gilt, um eine konsistente Erfahrung zu erzielen. Wenn Sie Apps ausschließen möchten, müssen Sie auch alle diese Apps auswählen.

    Wichtig

    Wenn einmaliges Anmelden aktiviert ist, verwendet die Authentifizierung beim Cloud-PC heute die Microsoft-Remotedesktop Entra ID-App. Bei einer bevorstehenden Änderung wird die Authentifizierung auf die Windows Cloud Login Entra ID-App umgestellt. Um einen reibungslosen Übergang zu gewährleisten, müssen Sie Ihren Zertifizierungsstellenrichtlinien beide Entra ID-Apps hinzufügen.

    Hinweis

    Wenn die Windows Cloud-Anmelde-App beim Konfigurieren Ihrer Richtlinie für bedingten Zugriff nicht angezeigt wird, führen Sie die folgenden Schritte aus, um die App zu erstellen. Sie müssen über die Berechtigungen Besitzer oder Mitwirkender für das Abonnement verfügen, um diese Änderungen vornehmen zu können:

    1. Melden Sie sich beim Azure-Portal an.
    2. Wählen Sie in der Liste der Azure-Dienste die Option Abonnements aus.
    3. Wählen Sie Ihren Abonnementnamen aus.
    4. Wählen Sie Ressourcenanbieter und dann Microsoft.DesktopVirtualization aus.
    5. Wählen Sie oben Registrieren aus.

    Nachdem der Ressourcenanbieter registriert wurde, wird die Windows Cloud-Anmeldungs-App in der Richtlinienkonfiguration für bedingten Zugriff angezeigt, wenn Sie Apps auswählen, auf die die Richtlinie angewendet werden soll. Wenn Sie Azure Virtual Desktop nicht verwenden, können Sie die Registrierung des Ressourcenanbieters Microsoft.DesktopVirtualization aufheben, nachdem die Windows-Cloudanmeldungs-App verfügbar ist.

  9. Wenn Sie Ihre Richtlinie optimieren möchten, wählen Sie unter Gewähren die Option 0 Steuerelemente ausgewählt aus.

  10. Wählen Sie im Bereich Gewähren die Optionen zum Gewähren oder Blockieren des Zugriffs aus, die Sie auf alle Objekte anwenden möchten, die dieser Richtlinie zugewiesen sind, und wählen Sie dann Auswählen aus.

  11. Wenn Sie Ihre Richtlinie zuerst testen möchten, wählen Sie unter Richtlinie aktivieren die Option Nur Bericht aus. Wenn Sie sie auf Ein festlegen, wird die Richtlinie angewendet, sobald Sie sie erstellen.

  12. Klicken Sie auf Erstellen, um die Richtlinie zu erstellen.

Die Liste der aktiven und inaktiven Richtlinien finden Sie in der Ansicht Richtlinien in der Benutzeroberfläche für den bedingten Zugriff.

Konfigurieren der Anmeldehäufigkeit

Mit Richtlinien für die Anmeldehäufigkeit können Sie den Zeitraum festlegen, nach dem ein Benutzer seine Identität beim Zugriff auf Microsoft Entra-basierte Ressourcen erneut nachweisen muss. Dies kann zum Schutz Ihrer Umgebung beitragen und ist besonders wichtig für persönliche Geräte, bei denen das lokale Betriebssystem möglicherweise keine MFA erfordert oder nach Inaktivität nicht automatisch gesperrt wird.

Richtlinien für die Anmeldehäufigkeit führen je nach ausgewählter Microsoft Entra App zu unterschiedlichen Verhaltensweisen:

App-Name App-ID Verhalten
Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 Erzwingt die erneute Authentifizierung, wenn ein Benutzer seine Liste der Cloud-PCs abruft und Wenn Benutzer Aktionen auf ihrem Cloud-PC initiieren, z. B. Neu starten.
Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 Erzwingt die erneute Authentifizierung, wenn sich ein Benutzer während einer Verbindung beim Azure Virtual Desktop-Gateway authentifiziert.
Microsoft-Remotedesktop

Windows Cloud-Anmeldung		 a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45		 Erzwingt die erneute Authentifizierung, wenn sich ein Benutzer beim Cloud-PC anmeldet, wenn einmaliges Anmelden aktiviert ist.

Beide Apps sollten zusammen konfiguriert werden, da die Clients bald von der Verwendung der Microsoft-Remotedesktop-App zur Windows-Cloudanmeldungs-App wechseln, um sich beim Cloud-PC zu authentifizieren.

So konfigurieren Sie den Zeitraum, nach dem ein Benutzer aufgefordert wird, sich erneut anzumelden:

  1. Öffnen Sie die Richtlinie, die Sie zuvor erstellt haben.
  2. Wählen Sie unter Sitzungdie Option 0 Steuerelemente ausgewählt aus.
  3. Wählen Sie im Bereich Sitzung die Option Anmeldehäufigkeit aus.
  4. Wählen Sie Regelmäßige erneute Authentifizierung oder Jedes Mal aus.
    • Wenn Sie Regelmäßige erneute Authentifizierung auswählen, legen Sie den Wert für den Zeitraum fest, nach dem ein Benutzer erneut zur Anmeldung aufgefordert wird, und wählen Sie dann Auswählen aus. Wenn Sie beispielsweise den Wert auf 1 und die Einheit auf Stunden festlegen, ist eine mehrstufige Authentifizierung erforderlich, wenn eine Verbindung mehr als eine Stunde nach der letzten Gestartet wird.
    • Die Option Jedes Mal ist derzeit in der öffentlichen Vorschau verfügbar und wird nur unterstützt, wenn sie auf die Apps Microsoft-Remotedesktop und Windows Cloud Login angewendet wird, wenn einmaliges Anmelden für Ihre Cloud-PCs aktiviert ist. Wenn Sie Jedes Mal auswählen, werden Benutzer nach einem Zeitraum von 10 bis 15 Minuten nach der letzten Authentifizierung für die apps Microsoft-Remotedesktop und Windows Cloud Login aufgefordert, sich erneut zu authentifizieren.
  5. Wählen Sie unten auf der Seite Speichern aus.

Hinweis

  • Die erneute Authentifizierung erfolgt nur, wenn sich ein Benutzer bei einer Ressource authentifizieren muss. Wenn eine Verbindung hergestellt wird, werden Benutzer nicht aufgefordert, auch wenn die Verbindung länger als die von Ihnen konfigurierte Anmeldehäufigkeit dauert.
  • Benutzer müssen sich erneut authentifizieren, wenn es zu einer Netzwerkunterbrechung kommt, die erzwingt, dass die Sitzung nach der von Ihnen konfigurierten Anmeldehäufigkeit erneut eingerichtet wird. Dies kann zu häufigeren Authentifizierungsanforderungen in instabilen Netzwerken führen.