Erstellen einer gerätebasierten Richtlinie für bedingten Zugriff

Microsoft Intune Gerätekonformitätsrichtlinien können die status verwalteter Geräte auswerten, um sicherzustellen, dass diese Ihre Anforderungen erfüllen, bevor Sie ihnen Zugriff auf die Apps und Dienste Ihrer organization gewähren. Die status Ergebnisse Ihrer Gerätekonformitätsrichtlinien können von Microsoft Entra Richtlinien für bedingten Zugriff verwendet werden, um Sicherheit und Compliancestandards zu erzwingen. Diese Kombination wird als gerätebasierter bedingter Zugriff bezeichnet.

Bedingter Zugriff ist eine Microsoft Entra Technologie. Der Knoten für bedingten Zugriff, auf den Sie über das Microsoft Intune Admin Center zugreifen, ist derselbe Knoten, auf den Sie von Microsoft Entra ID aus zugreifen, sodass Sie nicht zwischen diesen Knoten wechseln müssen, um Richtlinien zu konfigurieren.

Anforderungen

Funktionsweise

Der gerätebasierte bedingte Zugriff verwendet Konformitäts- status Signale von Intune, um Zugriffssteuerungen in Microsoft Entra ID zu erzwingen. Die Konfiguration umfasst zwei Phasen:

• Phase 1: Konfigurieren von Gerätekonformitätsrichtlinien in Intune: Diese Richtlinien bewerten, ob verwaltete Geräte Ihre Sicherheitsanforderungen erfüllen. Intune meldet, dass die Konformität Microsoft Entra ID status.

• Phase 2: Erstellen einer Richtlinie für bedingten Zugriff in Microsoft Entra: Die Richtlinie verwendet das Konformitätssignal von Intune. In diesem Artikel erfahren Sie, wie Sie die Richtlinie im Microsoft Intune Admin Center konfigurieren.

Erstellen der Richtlinie für bedingten Zugriff

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie Endpunktsicherheit>Bedingter Zugriff>Neue Richtlinie erstellen aus.

   Der Bereich Neu wird geöffnet. Dabei handelt es sich um den Konfigurationsbereich aus Microsoft Entra. Die Richtlinie, die Sie erstellen, ist eine Microsoft Entra Richtlinie für bedingten Zugriff. Weitere Informationen zu diesem Bereich und richtlinien für bedingten Zugriff finden Sie unter Richtlinienkomponenten für bedingten Zugriff im Microsoft Entra Inhalt.

3. Konfigurieren Sie unter Zuweisungendie Option Benutzer und Gruppen , um die Identitäten in dem Verzeichnis auszuwählen, für das die Richtlinie gilt. Weitere Informationen finden Sie unter Benutzer und Gruppen in der Microsoft Entra-Dokumentation.

   • Konfigurieren Sie auf der Registerkarte Einschließen die Benutzer und Gruppen, die Sie einschließen möchten.
   • Verwenden Sie die Registerkarte Ausschließen, wenn Benutzer, Rollen oder Gruppen von dieser Richtlinie ausgeschlossen werden sollen.

   Tipp

   Testen Sie die Richtlinie mit einer kleineren Gruppe von Benutzern, um sicherzustellen, dass sie wie erwartet funktioniert, bevor Sie sie in größeren Gruppen bereitstellen.

4. Konfigurieren Sie als Nächstes Zielressourcen, die sich ebenfalls unter Zuweisungen befindet. Verwenden Sie die Dropdownliste für Auswählen, wofür diese Richtlinie gilt , um Cloud-Apps auszuwählen.

   • Verwenden Sie auf der Registerkarte Einschließen die verfügbaren Optionen, um die Apps und Dienste zu identifizieren, die Sie mit dieser Richtlinie für bedingten Zugriff schützen möchten.

     Wenn Sie Apps auswählen auswählen, verwenden Sie die verfügbare Benutzeroberfläche, um Apps und Dienste auszuwählen, die mit dieser Richtlinie geschützt werden sollen.

     Achtung

     Sperren Sie sich nicht aus. Wenn Sie Alle Cloud-Apps auswählen, überprüfen Sie unbedingt die Warnung, und schließen Sie dann Ihr Benutzerkonto oder andere relevante Benutzer und Gruppen, die den Zugriff behalten sollten, von dieser Richtlinie aus, um das Microsoft Entra Admin Center oder Microsoft Intune Admin Center zu verwenden, nachdem diese Richtlinie wirksam wird.

   • Verwenden Sie die Registerkarte Ausschließen, um ggf. Apps oder Dienste von dieser Richtlinie auszuschließen.

   Weitere Informationen finden Sie unter Cloud-Apps oder -Aktionen in der Microsoft Entra Dokumentation.

5. Konfigurieren Sie als Nächstes Bedingungen. Wählen Sie die Signale aus, die Sie als Bedingungen für diese Richtlinie verwenden möchten. Die folgenden Optionen stehen zur Verfügung:

   • Benutzerrisiko
   • Anmelderisiko
   • Geräteplattformen
   • Speicherorte
   • Client-Apps
   • Nach Geräten filtern

   Informationen zu diesen Optionen finden Sie unter Bedingungen in der Microsoft Entra-Dokumentation.

   Tipp

   Wenn Sie sowohl Clients mit moderner Authentifizierung als auch Exchange ActiveSync-Clients schützen möchten, erstellen Sie zwei separate Richtlinien für bedingten Zugriff – eine für jeden Clienttyp. Exchange Active Sync unterstützt zwar die moderne Authentifizierung, ist die einzige von Exchange Active Sync unterstützte Bedingung die Plattform. Andere Bedingungen, einschließlich der mehrstufigen Authentifizierung, werden nicht unterstützt. Um den Zugriff von Exchange ActiveSync auf Exchange Online effektiv zu schützen, erstellen Sie eine Richtlinie für bedingten Zugriff, die die Cloud-App „Microsoft 365 Exchange Online“ und die Client-App „Exchange ActiveSync“ mit aktivierter Einstellung „Richtlinie nur auf unterstützte Plattformen anwenden“ festlegt.

6. Konfigurieren Sie unter Zugriffssteuerungendie Option Gewähren , um eine oder mehrere Anforderungen auszuwählen. Informationen zu den Optionen für die Gewährung finden Sie unter Grant in der Microsoft Entra-Dokumentation.

   Wichtig

   Damit diese Richtlinie gerätekonform status verwendet, müssen Sie für Zugriff gewähren die Option Gerät als konform kennzeichnen auswählen.

   • Zugriff blockieren: Verweigert den Zugriff auf die angegebenen Apps oder Dienste.
   • Zugriff gewähren: Gewährt Zugriff, aber Sie können eine oder mehrere Bedingungen erfordern. Wenn Sie gerätekonform status aus Intune verwenden möchten, wählen Sie Als konform gekennzeichnetes Gerät erforderlich aus.

7. Klicken Sie unter Richtlinie aktivieren auf Ein. Standardmäßig ist die Richtlinie auf Nur Bericht festgelegt.

8. Wählen Sie Erstellen aus.

Nächste Schritte

• App-basierter bedingter Zugriff mit Intune
• Problembehandlung beim bedingten Zugriff in Intune