Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieses Dokument beschreibt Richtlinien für bedingten Zugriff basierend auf Geräten in einem Hybridszenario, in dem die lokalen Verzeichnisse mithilfe von Microsoft Entra Connect mit Microsoft Entra ID verbunden sind.
AD FS und hybrider bedingter Zugriff
AD FS stellt die lokale Komponente von Richtlinien für bedingten Zugriff in einem Hybridszenario bereit. Wenn Sie Geräte mit der Microsoft Entra-ID für bedingten Zugriff auf Cloudressourcen registrieren, stellt die Microsoft Entra Connect-Geräterückschreibfunktion geräteregistrierungsinformationen lokal für AD FS-Richtlinien zur Verfügung, um sie zu nutzen und zu erzwingen. Auf diese Weise haben Sie einen konsistenten Ansatz für Zugriffssteuerungsrichtlinien für lokale und Cloudressourcen.
Typen registrierter Geräte
Es gibt drei Arten registrierter Geräte, die alle als Geräteobjekte in der Microsoft Entra-ID dargestellt werden und auch für bedingten Zugriff mit AD FS lokal verwendet werden können.
| BESCHREIBUNG | Geschäfts-, Schul- oder Unikonto hinzufügen | Microsoft Entra-Einbindung | Windows 10-Domänenbeitritt |
|---|---|---|---|
| BESCHREIBUNG | Benutzer fügen ihr Geschäfts-, Schul- oder Unikonto interaktiv zu ihrem BYOD-Gerät hinzu. Anmerkung: "Geschäfts-, Schul- oder Unikonto hinzufügen" ist der Ersatz für workplace Join in Windows 8/8.1 | Benutzer verbinden sich mit der Microsoft Entra-ID auf ihrem Windows 10-Arbeitsgerät. | Windows 10-Geräte, die einer Domäne beigetreten sind, registrieren sich automatisch mit der Microsoft Entra-ID. |
| Wie Benutzer sich beim Gerät anmelden | Melden Sie sich nicht bei Windows als Geschäfts-, Schul- oder Unikonto an. Melden Sie sich mit einem Microsoft-Konto an. | Melden Sie sich bei Windows als das (Arbeits- oder Schul-) Konto an, das das Gerät registriert hat. | Melden Sie sich mit dem AD-Konto an. |
| Wie Geräte verwaltet werden | MDM-Richtlinien (mit zusätzlicher Intune-Registrierung) | MDM-Richtlinien (mit zusätzlicher Intune-Registrierung) | Gruppenrichtlinie, Konfigurationsmanager |
| Vertrauenstyp für Microsoft Entra ID | Workplace ist beigetreten | Microsoft Entra ist beigetreten | Domäne beigetreten |
| Speicherort für W10-Einstellungen | Einstellungen Konten >> Ihr Konto > Hinzufügen eines Geschäfts-, Schul- oder Unikontos | Einstellungen > System > Info zu > Beitreten zu Microsoft Entra-ID | Einstellungen > Systeminformationen > Domäne beitreten > |
| Auch für iOS- und Android-Geräte verfügbar? | Ja | Nein | Nein |
Weitere Informationen zu den verschiedenen Methoden zum Registrieren von Geräten finden Sie auch unter:
- Verwenden von Windows-Geräten an Ihrem Arbeitsplatz
- Bei Microsoft Entra registrierte Geräte
- In Microsoft Entra eingebundene Geräte
Wie sich die Windows 10-Benutzer- und Geräteanmeldung von früheren Versionen unterscheidet
Für Windows 10 und AD FS 2016 gibt es einige neue Aspekte der Geräteregistrierung und Authentifizierung, die Sie kennen sollten (insbesondere, wenn Sie mit der Geräteregistrierung und der "Arbeitsplatzbeitritt" in früheren Versionen vertraut sind).
Zunächst basiert die Geräteregistrierung und Authentifizierung in Windows 10 und AD FS in Windows Server 2016 nicht mehr ausschließlich auf einem X509-Benutzerzertifikat. Es gibt ein neues und robusteres Protokoll, das eine bessere Sicherheit und eine nahtlosere Benutzererfahrung bietet. Die wichtigsten Unterschiede bestehen darin, dass es für „Windows 10-Domänenbeitritt“ und „Microsoft Entra-Beitritt“ ein X509-Computerzertifikat und neue Anmeldeinformationen gibt, die als PRT bezeichnet werden. Alles dazu können Sie hier und hier lesen.
Zweitens unterstützen Windows 10 und AD FS 2016 die Benutzerauthentifizierung mit Windows Hello for Business, die Sie hier und hier lesen können.
AD FS 2016 bietet nahtlose Geräte- und Benutzer-SSO basierend auf PRT- und Passport-Anmeldeinformationen. Mithilfe der Schritte in diesem Dokument können Sie diese Funktionen aktivieren und sehen, dass sie funktionieren.
Gerätezugriffssteuerungsrichtlinien
Geräte können in einfachen AD FS-Zugriffssteuerungsregeln verwendet werden, z. B.:
- Zugriff nur über ein registriertes Gerät zulassen
- Mehrstufige Authentifizierung erforderlich, wenn ein Gerät nicht registriert ist
Diese Regeln können dann mit anderen Faktoren wie Netzwerkzugriffsort und mehrstufiger Authentifizierung kombiniert werden, wodurch umfangreiche Richtlinien für bedingten Zugriff erstellt werden, z. B.:
- Erfordern der Multifaktor-Authentifizierung für nicht registrierte Geräte, die von außerhalb des Unternehmensnetzwerks zugreifen, mit Ausnahme von Mitgliedern einer bestimmten Gruppe oder Gruppen.
Mit AD FS 2016 können diese Richtlinien speziell so konfiguriert werden, dass eine bestimmte Gerätevertrauensstufe erforderlich ist: entweder authentifiziert, verwaltet oder kompatibel.
Weitere Informationen zum Konfigurieren von AD FS-Zugriffssteuerungsrichtlinien finden Sie unter Zugriffssteuerungsrichtlinien in AD FS.
Authentifizierte Geräte
Authentifizierte Geräte sind registrierte Geräte, die nicht bei MDM registriert sind (Intune und MDMs von Drittanbietern für Windows 10, Intune nur für iOS und Android).
Authentifizierte Geräte weisen den isManaged AD FS-Anspruch mit dem Wert FALSE auf. (Geräte, die überhaupt nicht registriert sind, fehlen diesen Anspruch.) Authentifizierte Geräte (und alle registrierten Geräte) verfügen über den isKnown AD FS-Anspruch mit dem Wert TRUE.
Verwaltete Geräte:
Verwaltete Geräte sind registrierte Geräte, die bei MDM registriert sind.
Verwaltete Geräte verfügen über den isManaged AD FS-Anspruch mit dem Wert TRUE.
Kompatible Geräte (mit MDM- oder Gruppenrichtlinien)
Kompatible Geräte sind registrierte Geräte, die nicht nur bei MDM registriert sind, sondern mit den MDM-Richtlinien kompatibel sind. (Complianceinformationen stammen aus dem MDM und werden in die Microsoft Entra-ID geschrieben.)
Kompatible Geräte verfügen über den isCompliant AD FS-Anspruch mit dem Wert TRUE.
Eine vollständige Liste der AD FS 2016-Geräte und Ansprüche für bedingten Zugriff finden Sie unter Referenz.
Referenz
Updates und funktionskritische Änderungen – Microsoft Identity Platform | Microsoft-Dokumentation
Vollständige Liste der neuen AD FS 2016- und Geräte-Claims
https://schemas.microsoft.com/ws/2014/01/identity/claims/anchorclaimtypehttps://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperability_Profile_V1.5.pdfhttps://schemas.microsoft.com/2014/03/pssohttps://schemas.microsoft.com/2015/09/prthttp://schemas.xmlsoap.org/ws/2005/05/identity/claims/upnhttps://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsidhttps://schemas.microsoft.com/ws/2008/06/identity/claims/primarysidhttps://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperability_Profile_V1.5_Web_Guide.pdfhttps://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountnamehttps://schemas.microsoft.com/ws/2008/06/identity/claims/groupsidhttps://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid/dotnet/api/system.security.claims.claimtypes.windowsdeviceclaimhttps://schemas.microsoft.com/2012/01/devicecontext/claims/identifierhttps://schemas.microsoft.com/2012/01/devicecontext/claims/ostypehttps://schemas.microsoft.com/2012/01/devicecontext/claims/osversionhttps://schemas.microsoft.com/2012/01/devicecontext/claims/ismanagedhttps://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser/dotnet/api/system.security.claims.claimtypes.windowsdeviceclaimhttps://schemas.microsoft.com/2014/02/deviceusagetimehttps://schemas.microsoft.com/2014/09/devicecontext/claims/iscomplianthttps://schemas.microsoft.com/2014/09/devicecontext/claims/trusttypehttps://schemas.microsoft.com/claims/authnmethodsreferenceshttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agenthttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-pathhttps://schemas.microsoft.com/ws/2012/01/insidecorporatenetworkhttps://schemas.microsoft.com/2012/01/requestcontext/claims/client-request-idhttps://schemas.microsoft.com/2012/01/requestcontext/claims/relyingpartytrustidhttps://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-iphttps://schemas.microsoft.com/2014/09/requestcontext/claims/useriphttps://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod