Freigeben über

Genehmigte Client-Apps oder eine Richtlinie zum Schutz von Apps erforderlich machen

Übersicht

Viele Menschen verwenden mobile Geräte sowohl für private als auch für berufliche Zwecke. Unternehmen wollen nicht nur sicherstellen, dass ihre Mitarbeiter produktiv arbeiten können, sondern auch Datenverluste durch Anwendungen auf Geräten verhindern, die sie nicht vollständig verwalten können.

Mit bedingtem Zugriff können Organisationen den Zugriff auf genehmigte (moderne authentifizierungsfähige) Client-Apps mithilfe von Intune-App-Schutzrichtlinien einschränken. Für ältere Client-Apps, die möglicherweise keine App-Schutzrichtlinien unterstützen, können Administratoren den Zugriff auf genehmigte Client-Apps einschränken.

Warnung

App-Schutz Richtlinien werden unter iOS und Android unterstützt, bei denen Anwendungen bestimmte Anforderungen erfüllen. App-Schutzrichtlinien werden nur in der Vorschauversion für den Microsoft Edge-Browser unter Windows unterstützt. Nicht alle Anwendungen werden als genehmigte Anwendungen unterstützt oder unterstützen Anwendungsschutzrichtlinien. Unter App-Schutzrichtlinienanforderung finden Sie eine Liste einiger gängiger Client-Apps. Wenn Ihre Anwendung dort nicht aufgeführt ist, wenden Sie sich an den Anwendungsentwickler. Um genehmigte Client-Apps oder App-Schutzrichtlinien für iOS- und Android-Geräte zu erzwingen, müssen sich diese Geräte zuerst in Microsoft Entra ID registrieren.

Hinweis

Das Erfordern einer der ausgewählten Kontrollen unter den Zuweisungskontrollen ist wie eine ODER-Klausel. Sie wird innerhalb einer Richtlinie verwendet, um benutzenden Personen die Verwendung von Apps zu ermöglichen, die die Gewährungssteuerelemente Appschutz-Richtlinie erforderlich oder Genehmigte Client-App erforderlich unterstützen. App-Schutzrichtlinie erforderlich wird erzwungen, wenn die App dieses Gewährungssteuerungselement unterstützt.

Weitere Informationen zu den Vorteilen der Verwendung von app protection Richtlinien finden Sie im Artikel App-Schutz Richtlinienübersicht.

Für die folgenden Richtlinien wird zu Beginn der Modus Nur melden festgelegt, damit Administratoren die Auswirkungen auf vorhandene Benutzer ermitteln können. Wenn Sie als Administrator der Ansicht sind, dass die Richtlinien den beabsichtigten Zweck erfüllen, können Sie sie auf EIN einstellen oder die nächste Phase der Bereitstellung beginnen, indem Sie bestimmte Gruppen hinzufügen und andere ausschließen.

Erfordern genehmigte Client-Apps oder App-Schutzrichtlinien für mobile Geräte.

Die folgenden Schritte helfen bei der Erstellung einer Richtlinie für den bedingten Zugriff, die eine genehmigte Client-App oder eine App-Schutzrichtlinie bei der Verwendung eines iOS/iPadOS- oder Android-Geräts erfordert. Diese Richtlinie verhindert die Verwendung von Exchange ActiveSync Clients, die die Standardauthentifizierung auf mobilen Geräten verwenden. Diese Richtlinie funktioniert zusammen mit einer app-Schutzrichtlinie, die in Microsoft Intune erstellt wurde.

Unternehmen können diese Richtlinie entweder mit den unten beschriebenen Schritten oder mit den Vorlagen für bedingten Zugriff einrichten.

  1. Melden Sie sich im Microsoft Entra Admin Center als mindestens Conditional Access Administrator an.
  2. Navigieren Sie zu Entra ID>Conditional Access.
  3. Wählen Sie Neue Richtlinie erstellen aus.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und schließen Sie mindestens ein Konto aus, um zu verhindern, dass Sie selbst gesperrt werden. Wenn Sie keine Konten ausschließen, können Sie die Richtlinie nicht erstellen.
  6. Wählen Sie unter Zielressourcen>Ressourcen (früher Cloud-Apps)>Einschließen die Option Alle Ressourcen (früher „Alle Cloud-Apps") aus.
  7. Navigieren Sie zu Bedingungen>Geräteplattformen und setzen Sie die Option Konfigurieren auf Ja.
    1. Wählen Sie unter Einschließen die Option Geräteplattformen auswählen aus.
    2. Wählen Sie Android und iOS.
    3. Wählen Sie Fertig aus.
  8. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
    1. Wählen Sie Genehmigte Client-App erforderlich und Anwendungsschutz-Richtlinie erforderlich aus.
    2. Für mehrere Steuerelemente wählen Sie Eines der ausgewählten Steuerelemente verlangen.
  9. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  10. Wählen Sie "Erstellen" aus, um Ihre Richtlinie zu aktivieren.

Hinweis

Wenn eine Richtlinie im Nur Bericht Modus für das Steuerelement "App-Schutzrichtlinie erforderlich" erstellt wird, zeigt Ihr Anmeldeprotokoll möglicherweise das Ergebnis als "Nur Bericht: Fehlschlag" auf der Registerkarte "Bedingter Zugriff", auch wenn alle konfigurierten Richtlinienbedingungen erfüllt sind. Dies liegt daran, dass das Steuerelement nicht im Nur-Bericht-Modus zufriedengestellt wurde. Nachdem Sie die Richtlinie aktiviert haben, wird das Steuerelement auf die App angewendet, und die Anmeldung wird nicht blockiert.

Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".

Tipp

Organisationen sollten zusätzlich zu dieser Richtlinie auch eine Richtlinie bereitstellen, die den Zugriff von nicht unterstützten oder unbekannten Geräteplattformen blockiert.

Blockieren von Exchange ActiveSync auf allen Geräten

Diese Richtlinie blockiert alle Exchange ActiveSync Clients, die die Standardauthentifizierung verwenden, vom Herstellen einer Verbindung mit Exchange Online.

  1. Melden Sie sich im Microsoft Entra Admin Center als mindestens Conditional Access Administrator an.
  2. Navigieren Sie zu Entra ID>Conditional Access.
  3. Wählen Sie Neue Richtlinie erstellen aus.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und schließen Sie mindestens ein Konto aus, um zu verhindern, dass Sie selbst gesperrt werden. Wenn Sie keine Konten ausschließen, können Sie die Richtlinie nicht erstellen.
    3. Wählen Sie Fertig aus.
  6. Wählen Sie unter Zielressourcen>Ressourcen (früher Cloud-Apps)>Einschließen die Option Ressourcen auswählen aus.
    1. Wählen Sie Office 365 Exchange Online aus.
    2. Wählen Sie Auswählen.
  7. Legen Sie unter Bedingungen>Client-Apps die Option Konfigurieren auf Ja fest.
    1. Deaktivieren Sie alle Optionen außer Exchange ActiveSync Clients.
    2. Wählen Sie Fertig aus.
  8. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
    1. Wählen Sie Erforderliche App-Schutzrichtlinie aus.
  9. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  10. Wählen Sie "Erstellen" aus, um Ihre Richtlinie zu aktivieren.

Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools. Es wird empfohlen, die folgenden Konten aus Ihren Richtlinien auszuschließen:

  • Notfallzugriffskonten oder Notfallkonten zum Verhindern einer Sperrung aufgrund von falsch konfigurierten Richtlinien. In dem unwahrscheinlichen Szenario, in dem alle Administratoren gesperrt sind, kann Ihr Administratorkonto für den Notfallzugriff verwendet werden, um sich anzumelden und den Zugriff wiederherzustellen.
  • Service-Konten und Diensteprinzipale, wie das Synchronisierungskonto von Microsoft Entra Connect. Dienstkonten sind nichtinteraktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden in der Regel von Back-End-Diensten verwendet, um programmgesteuerten Zugriff auf Anwendungen zu ermöglichen, aber sie werden auch verwendet, um sich für administrative Zwecke bei Systemen anzumelden. Anrufe von Dienstprinzipalen werden nicht durch Richtlinien für bedingten Zugriff blockiert, die auf Benutzer angewendet werden. Verwenden Sie bedingten Zugriff für Arbeitsauslastungsidentitäten, um Richtlinien zu definieren, die auf Dienstprinzipale abzielen.
    • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, ersetzen Sie sie durch verwaltete Identitäten.

Verwandte Inhalte

  • Last updated on