Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Viele Organisationen haben Fragen beim Bereitstellen von Microsoft 365 auf sichere Weise. Die Richtlinien für bedingten Zugriff, App-Schutz und Gerätecompliance in diesem Artikel basieren auf den Empfehlungen von Microsoft und den drei Leitprinzipien von Zero Trust:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Von einer Sicherheitsverletzung ausgehen
Organisationen können diese Richtlinien wie vorhanden verwenden oder an ihre Anforderungen anpassen. Testen Sie Ihre Richtlinien in einer Nichtproduktionsumgebung, um potenzielle Auswirkungen zu identifizieren und sie den Benutzern mitzuteilen, bevor Sie sie in die Produktion einführen. Tests sind wichtig, um mögliche Auswirkungen für Benutzer zu identifizieren und zu kommunizieren.
Wir gruppieren diese Richtlinien in drei Schutzebenen, je nachdem, in welcher Phase der Bereitstellung Sie sich befinden:
- Ausgangspunkt: Grundlegende Steuerelemente, die eine mehrstufige Authentifizierung, sichere Kennwortänderungen und Intune-App-Schutzrichtlinien für mobile Geräte einführen.
- Enterprise: Erweiterte Steuerelemente, die die Gerätecompliance sicherstellen.
- Spezielle Sicherheit: Richtlinien, die die mehrstufige Authentifizierung jedes Mal für bestimmte Datasets oder Benutzer erfordern.
Dieses Diagramm zeigt die Schutzebenen für jede Richtlinie und die Gerätetypen, auf die sie angewendet werden:
Sie können dieses Diagramm als PDF-Datei oder als bearbeitbare Visio-Datei herunterladen.
Tipp
Erfordern Sie die mehrstufige Authentifizierung (MFA) für Benutzer, bevor Sie Geräte in Intune registrieren, um zu bestätigen, dass das Gerät mit dem beabsichtigten Benutzer ist. MFA ist standardmäßig gründliche Sicherheitsstandards aktiviert, oder Sie können Richtlinien für den bedingten Zugriff verwenden, um MFA für alle Benutzer erforderlich zu machen.
Geräte müssen in Intune registriert sein, bevor Sie Gerätecompliancerichtlinien erzwingen können.
Voraussetzungen
Berechtigungen
Die folgenden Berechtigungen in Microsoft Entra sind erforderlich:
- Verwalten von Richtlinien für bedingten Zugriff: Die Administratorrolle für bedingten Zugriff .
- Verwalten von App-Schutz- und Gerätecompliancerichtlinien: Die Rolle "Intune-Administrator ".
- Nur Konfigurationen anzeigen: Die Rolle Sicherheitsleser.
Weitere Informationen zu Rollen und Berechtigungen in Microsoft Entra finden Sie unter Übersicht über die rollenbasierte Zugriffssteuerung in Microsoft Entra ID.
Benutzerregistrierung
Stellen Sie sicher, dass Benutzer sich für MFA registrieren, bevor sie sie verwenden müssen. Wenn Ihre Lizenzen Microsoft Entra ID P2 enthalten, können Sie die MFA-Registrierungsrichtlinie in Microsoft Entra ID Protection verwenden, um die Registrierung von Benutzern zu verlangen. Wir stellen Kommunikationsvorlagen bereit, die Sie herunterladen und anpassen können, um die Benutzerregistrierung zu fördern.
Gruppen
Alle microsoft Entra-Gruppen, die in diesen Empfehlungen verwendet werden, müssen Microsoft 365-Gruppen und keine Sicherheitsgruppen sein. Diese Anforderung ist wichtig für die Bereitstellung von Vertraulichkeitsbezeichnungen zum Sichern von Dokumenten in Microsoft Teams und SharePoint. Weitere Informationen finden Sie unter Informationen zu Gruppen und Zugriffsrechten in Microsoft Entra ID.
Zuweisen von Richtlinien
Sie können Benutzern, Gruppen und Administratorrollen Richtlinien für den bedingten Zugriff zuweisen. Sie können Intune-App-Schutz- und Gerätekompatibilitätsrichtlinien nur Gruppen zuweisen. Bevor Sie Ihre Richtlinien konfigurieren, identifizieren Sie, wer einbezogen und ausgeschlossen werden soll. In der Regel gelten die Richtlinien für die Ausgangspunkt-Schutzebenen für jeden in der Organisation.
In der folgenden Tabelle werden Beispielgruppenzuweisungen und Ausschlüsse für MFA beschrieben, nachdem Benutzer die Benutzerregistrierung abgeschlossen haben:
| Microsoft Entra-Richtlinie für bedingten Zugriff | Einbeziehen | Ausschließen | |
|---|---|---|---|
| Startpunkt | Mehrstufige Authentifizierung für mittleres oder hohes Anmelderisiko erforderlich | Alle Benutzer |
|
| Unternehmen | Mehrstufige Authentifizierung für geringes, mittleres oder hohes Anmelderisiko erforderlich | Gruppe der leitenden Mitarbeiter |
|
| Spezialisierte Sicherheit | Mehrstufige Authentifizierung immer erforderlich | Top-Secret-Projekt Buckeye Gruppe |
|
Tipp
Wenden Sie höhere Schutzebenen auf Benutzer und Gruppen sorgfältig an. Das Ziel der Sicherheit besteht nicht darin, der Benutzererfahrung unnötige Reibung hinzuzufügen. Beispielsweise müssen Mitglieder der Gruppe " Top Secret Project Buckeye " jedes Mal MFA verwenden, wenn sie sich anmelden, auch wenn sie nicht an den speziellen Inhalten für ihr Projekt arbeiten. Übermäßige Sicherheitsvorgaben können zu Frustration führen. Aktivieren Sie Phishing-beständige Authentifizierungsmethoden (z. B. Windows Hello for Business- oder FIDO2-Sicherheitsschlüssel), um die Reibung durch Sicherheitskontrollen zu verringern.
Konten für den Notfallzugriff
Jede Organisation benötigt mindestens ein Notfallzugriffskonto, das für die Verwendung überwacht und von Richtlinien ausgeschlossen wird. Größere Organisationen benötigen möglicherweise mehr Konten. Diese Konten werden nur verwendet, wenn alle anderen Administratorkonten und Authentifizierungsmethoden gesperrt oder anderweitig nicht verfügbar sind. Weitere Informationen finden Sie unter Verwalten von Notfallzugriffskonten in der Microsoft Entra-ID.
Ausschließen von Benutzern
Es wird empfohlen, eine Microsoft Entra-Gruppe für Ausschlüsse für bedingten Zugriff zu gruppieren. Über diese Gruppe können Sie einem Benutzer den Zugriff ermöglichen, während Sie Zugriffsprobleme behandeln. Features wie Zugriffsüberprüfungen in Microsoft Entra ID Governance helfen Ihnen, Benutzer zu verwalten, die von Richtlinien für bedingten Zugriff ausgeschlossen sind.
Warnung
Es wird nur eine Ausschlussgruppe als temporäre Lösung empfohlen. Überwachen Sie diese Gruppe kontinuierlich auf Änderungen und stellen Sie sicher, dass sie nur für den vorgesehenen Zweck verwendet wird.
Führen Sie die folgenden Schritte aus, um vorhandenen Richtlinien eine Ausschlussgruppe hinzuzufügen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
- Wählen Sie eine vorhandene Richtlinie aus, indem Sie auf den Namen klicken.
- Unter Assignments wählen Sie Benutzer oder Workload-Identitäten aus.
a) Wählen Sie unter "Ausschließen" "Benutzer und Gruppen" aus, und wählen Sie die folgenden Identitäten aus:
- Benutzer: Ihre Notfallzugriffskonten.
- Gruppen: Ihre Ausschlussgruppe für bedingten Zugriff. b. Wählen Sie Select aus.
- Nehmen Sie andere Änderungen vor.
- Wählen Sie Speichern aus.
Ausschließen von Anwendungen
Es wird empfohlen, eine geplante mehrstufige Authentifizierungsrichtlinie für alle Benutzer und alle Ressourcen (ohne Anwendungsausschlüsse) zu erstellen, z. B. die unter "Mehrstufige Authentifizierung für alle Benutzer erforderlich". Das Ausschließen bestimmter Anwendungen kann unbeabsichtigte Auswirkungen auf Sicherheit und Benutzerfreundlichkeit haben, die im Verhalten des bedingten Zugriffs beschrieben werden, wenn eine Richtlinie für alle Ressourcen einen App-Ausschluss aufweist. Anwendungen, z. B. Microsoft 365 und Microsoft Teams, hängen davon ab, dass mehrere Dienste das Verhalten unvorhersehbar machen, wenn Ausschlüsse vorgenommen werden.
Bereitstellung
Es wird empfohlen, die Startpunktrichtlinien in der in der folgenden Tabelle aufgeführten Reihenfolge zu implementieren. Sie können die MFA-Richtlinien für Unternehmen und spezielle Sicherheitsstufen des Schutzes jederzeit implementieren.
Ausgangspunkt:
| Politik | Weitere Informationen | Lizenzierung |
|---|---|---|
| MFA erforderlich, wenn das Anmelderisiko "Mittel" oder "Hoch" ist | Nur MFA erforderlich, wenn das Risiko von Microsoft Entra ID Protection erkannt wird. |
|
| Blockieren Sie Clients, die die moderne Authentifizierung nicht unterstützen | Clients, die keine moderne Authentifizierungsmethode verwenden, können Richtlinien für den bedingten Zugriff umgehen. Daher ist es wichtig, sie zu blockieren. | Microsoft 365 E3 oder E5 |
| Benutzer mit hohem Risiko müssen das Kennwort ändern | Erzwingen Sie, dass Benutzer ihr Kennwort ändern, wenn die Aktivität mit hohem Risiko für ihr Konto erkannt wird. |
|
| Anwenden von Anwendungsschutzrichtlinien (APP) zum Datenschutz | Eine Intune-APP pro mobiler Geräteplattform (Windows, iOS/iPadOS und Android). | Microsoft 365 E3 oder E5 |
| Richtlinien für genehmigte Apps und den App-Schutz verlangen | Erzwingt App-Schutzrichtlinien für mobile Geräte mit iOS, iPadOS oder Android. | Microsoft 365 E3 oder E5 |
Unternehmen:
| Politik | Weitere Informationen | Lizenzierung |
|---|---|---|
| MFA erforderlich, wenn das Anmelderisiko niedrig, mittel oder hoch ist | Nur MFA erforderlich, wenn das Risiko von Microsoft Entra ID Protection erkannt wird. |
|
| Richtlinien für die Gerätecompliance definieren | Legen Sie Mindestanforderungen für die Konfiguration fest. Eine Richtlinie für jede Plattform. | Microsoft 365 E3 oder E5 |
| Konforme PCs und mobile Geräte vorschreiben | Erzwingt die Konfigurationsanforderungen für Geräte, die auf Ihre Organisation zugreifen | Microsoft 365 E3 oder E5 |
Spezielle Sicherheit:
| Politik | Weitere Informationen | Lizenzierung |
|---|---|---|
| MFA immer erforderlich | Benutzer müssen MFA jederzeit ausführen, wenn sie sich bei Diensten in der Organisation anmelden. | Microsoft 365 E3 oder E5 |
App-Schutzrichtlinien
App-Schutzrichtlinien geben zulässige Apps und die Aktionen an, die sie mit den Daten Ihrer Organisation ausführen können. Obwohl es viele Richtlinien gibt, aus denen Sie wählen können, beschreibt die folgende Liste unsere empfohlenen Basispläne.
Tipp
Obwohl wir drei Vorlagen bereitstellen, sollten die meisten Organisationen Ebene 2 (zugeordnet zu Startpunkt oder Sicherheit auf Unternehmensebene ) und Stufe 3 (zuordnungen zu spezieller Sicherheit) auswählen.
Grundlegender Datenschutz der Ebene 1 für Unternehmen: Wir empfehlen diese Konfiguration als Mindestdatenschutz für Unternehmensgeräte.
Erweiterter Datenschutz der Ebene 2 für Unternehmen: Wir empfehlen diese Konfiguration für Geräte, die auf vertrauliche Daten oder vertrauliche Informationen zugreifen. Diese Konfiguration gilt für die meisten mobilen Benutzer, die auf Geschäfts- oder Schuldaten zugreifen. Einige der Steuerelemente wirken sich möglicherweise auf die Benutzererfahrung aus.
Hoher Datenschutz der Ebene 3 für Unternehmen: Wir empfehlen diese Konfiguration in den folgenden Szenarien:
- Organisationen mit größeren oder komplexeren Sicherheitsteams.
- Geräte, die von bestimmten Benutzern oder Gruppen verwendet werden, die ein eindeutig hohes Risiko aufweisen. Benutzer, die beispielsweise streng vertrauliche Daten verarbeiten, bei denen die nicht autorisierte Offenlegung zu erheblichen Verlusten für die Organisation führen würde
Organisationen, die wahrscheinlich von gut finanzierten und raffinierten Angreifern angegriffen werden, sollten diese Konfiguration anstreben.
Erstellen Sie eine neue App-Schutzrichtlinie für jede Geräteplattform in Microsoft Intune (iOS/iPadOS und Android) mithilfe der Datenschutzframeworkeinstellungen mithilfe einer der folgenden Methoden:
- Erstellen Sie die Richtlinien manuell, indem Sie die Schritte in Erstellen und Bereitstellen von App-Schutzrichtlinien mit Microsoft Intune ausführen.
- Importieren Sie die JSON-Beispielvorlagen im Intune-Konfigurationsframework für Richtlinien für den App-Schutz mit den PowerShell-Skripts von Intune.
Konformitätsrichtlinien für Geräte
Intune-Gerätecompliancerichtlinien definieren die Anforderungen für gerätekonforme Geräte. Sie müssen eine Richtlinie für jede PC-, Telefon- oder Tablet-Plattform erstellen. In den folgenden Abschnitten werden die Empfehlungen für die folgenden Plattformen beschrieben:
Erstellen von Gerätecompliancerichtlinien
Führen Sie die folgenden Schritte aus, um Gerätecompliancerichtlinien zu erstellen:
- Melden Sie sich beim Microsoft Intune Admin Center als Intune-Administrator an.
- Navigieren Sie zu "Gerätecompliance>>Erstellen"-Richtlinie.
Eine schrittweise Anleitung finden Sie unter Erstellen einer Compliancerichtlinie in Microsoft Intune.
Registrierung und Complianceeinstellungen für iOS/iPadOS
iOS/iPadOS unterstützt mehrere Registrierungsszenarien, von denen zwei von diesem Framework abgedeckt werden:
- Geräteregistrierung für persönliche Geräte: Persönliche Geräte (auch als Bring Your Own Device oder BYOD bezeichnet), die auch für die Arbeit verwendet werden.
- Automatisierte Geräteregistrierung für Unternehmensgeräte: Unternehmenseigene Geräte, die einem einzelnen Benutzer zugeordnet sind und ausschließlich für die Arbeit verwendet werden.
Tipp
Wie zuvor beschrieben, ordnet Stufe 2 den Ausgangspunkt oder die Sicherheit auf Unternehmensebene zu, und Stufe 3 ist der speziellen Sicherheit zugeordnet. Weitere Informationen finden Sie unter Zero Trust Identity und Gerätezugriffskonfigurationen.
Complianceeinstellungen für persönlich registrierte Geräte
- Persönliche Grundsicherheit (Stufe 1): Wir empfehlen diese Konfiguration als Mindestsicherheit für persönliche Geräte, die auf Geschäfts- oder Schuldaten zugreifen. Sie erreichen diese Konfiguration, indem Sie Kennwortrichtlinien, Gerätesperreigenschaften und Deaktivieren bestimmter Gerätefunktionen (z. B. nicht vertrauenswürdige Zertifikate) erzwingen.
- Persönliche erweiterte Sicherheit (Stufe 2): Wir empfehlen diese Konfiguration für Geräte, die auf vertrauliche Daten oder vertrauliche Informationen zugreifen. Diese Konfiguration ermöglicht die Kontrolle über die Datenfreigabe. Diese Konfiguration gilt für die meisten mobilen Benutzer, die auf Geschäfts- oder Schuldaten zugreifen.
- Persönliche hohe Sicherheit (Stufe 3): Wir empfehlen diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen verwendet werden, die eindeutig hohes Risiko aufweisen. Benutzer, die beispielsweise streng vertrauliche Daten verarbeiten, bei denen nicht autorisierte Offenlegungen zu erheblichen Verlusten für die Organisation führen. Diese Konfiguration ermöglicht stärkere Kennwortrichtlinien, deaktiviert bestimmte Gerätefunktionen und erzwingt zusätzliche Datenübertragungseinschränkungen.
Complianceeinstellungen für die automatisierte Geräteregistrierung
- Überwachte Grundlegende Sicherheit (Stufe 1): Wir empfehlen diese Konfiguration als Mindestsicherheit für Unternehmensgeräte, die auf Geschäfts- oder Schuldaten zugreifen. Sie erreichen diese Konfiguration, indem Sie Kennwortrichtlinien, Gerätesperreigenschaften und Deaktivieren bestimmter Gerätefunktionen (z. B. nicht vertrauenswürdige Zertifikate) erzwingen.
- Überwachte erweiterte Sicherheit (Stufe 2): Wir empfehlen diese Konfiguration für Geräte, die auf vertrauliche Daten oder vertrauliche Informationen zugreifen. Diese Konfiguration ermöglicht die Steuerung der Datenfreigabe und blockiert den Zugriff auf USB-Geräte. Diese Konfiguration gilt für die meisten mobilen Benutzer, die auf einem Gerät auf Geschäfts- oder Schuldaten zugreifen.
- Überwachte hohe Sicherheit (Stufe 3): Wir empfehlen diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen verwendet werden, die eindeutig hohes Risiko aufweisen. Benutzer, die beispielsweise streng vertrauliche Daten verarbeiten, bei denen nicht autorisierte Offenlegungen zu erheblichen Verlusten für die Organisation führen. Diese Konfiguration ermöglicht stärkere Kennwortrichtlinien, deaktiviert bestimmte Gerätefunktionen, erzwingt zusätzliche Datenübertragungseinschränkungen und erfordert, dass Apps über das Volumenkaufprogramm von Apple installiert werden.
Registrierung und Complianceeinstellungen für Android
Android Enterprise unterstützt mehrere Registrierungsszenarien, von denen zwei von diesem Framework abgedeckt werden:
- Android Enterprise-Arbeitsprofil: Persönliche Geräte (auch als Bring Your Own Device oder BYOD bezeichnet), die auch für die Arbeit verwendet werden. Richtlinien, die von der IT-Abteilung gesteuert werden, stellen sicher, dass Arbeitsdaten nicht in das persönliche Profil übertragen werden können.
- Vollständig verwaltete Android Enterprise-Geräte: Unternehmenseigene Geräte, die einem einzelnen Benutzer zugeordnet sind und ausschließlich für die Arbeit verwendet werden.
Das Android Enterprise-Sicherheitskonfigurationsframework ist in verschiedene Konfigurationsszenarien unterteilt, die Anleitungen für Arbeitsprofil und vollständig verwaltete Szenarien bieten.
Tipp
Wie zuvor beschrieben, ordnet Stufe 2 den Ausgangspunkt oder die Sicherheit auf Unternehmensebene zu, und Stufe 3 ist der speziellen Sicherheit zugeordnet. Weitere Informationen finden Sie unter Zero Trust Identity und Gerätezugriffskonfigurationen.
Complianceeinstellungen für Android Enterprise-Geräte mit Arbeitsprofil
- Es gibt keine Basis-Sicherheit (Ebene 1) für Geräte mit persönlichem Arbeitsprofil. Die verfügbaren Einstellungen rechtfertigen keinen Unterschied zwischen Ebene 1 und Ebene 2.
- Erweiterte Sicherheit des Arbeitsprofils (Stufe 2): Wir empfehlen diese Konfiguration als Mindestsicherheit für persönliche Geräte, die auf Geschäfts- oder Schuldaten zugreifen. Diese Konfiguration implementiert Kennwortanforderungen, trennt geschäftliche und persönliche Daten und überprüft den Android-Gerätenachweis.
- Arbeitsprofil hohe Sicherheit (Stufe 3): Wir empfehlen diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen verwendet werden, die eindeutig hohes Risiko aufweisen. Benutzer, die beispielsweise streng vertrauliche Daten verarbeiten, bei denen nicht autorisierte Offenlegungen zu erheblichen Verlusten für die Organisation führen. Diese Konfiguration führt die Verteidigung mobiler Bedrohungen oder Microsoft Defender für Endpunkt ein, legt die mindeste Android-Version fest, ermöglicht stärkere Kennwortrichtlinien und trennt weitere Arbeits- und persönliche Daten.
Complianceeinstellungen für vollständig verwaltete Android Enterprise-Geräte
- Vollverwaltete Grundlegende Sicherheit (Stufe 1): Wir empfehlen diese Konfiguration als Mindestsicherheit für ein Unternehmensgerät. Diese Konfiguration gilt für die meisten mobilen Benutzer, die Geschäfts- oder Schuldaten verwenden. In dieser Konfiguration werden Kennwortanforderungen eingeführt, die Mindestversion von Android festgelegt und bestimmte Geräteeinschränkungen aktiviert.
- Vollverwaltete erweiterte Sicherheit (Stufe 2): Wir empfehlen diese Konfiguration für Geräte, die auf vertrauliche Daten oder vertrauliche Informationen zugreifen. Diese Konfiguration ermöglicht stärkere Kennwortrichtlinien und deaktiviert die Benutzer-/Kontofunktionen.
- Vollverwaltete hohe Sicherheit (Stufe 3): Wir empfehlen diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen verwendet werden, die eindeutig hohes Risiko aufweisen. Benutzer, die beispielsweise streng vertrauliche Daten verarbeiten, bei denen nicht autorisierte Offenlegungen zu erheblichen Verlusten für die Organisation führen. Diese Konfiguration erhöht die mindestens erforderliche Android-Version, implementiert die Abwehr mobiler Bedrohungen oder Microsoft Defender for Endpoint und erzwingt zusätzliche Geräteeinschränkungen.
Empfohlene Complianceeinstellungen für Windows 10 und höher
Konfigurieren Sie die folgenden Einstellungen, wie in den Gerätekompatibilitätseinstellungen für Windows 10/11 in Intune beschrieben. Diese Einstellungen entsprechen den Prinzipien, die unter Identitäts- und Gerätezugriffsrichtlinien von Zero Trust beschrieben werden.
Geräteintegrität>Auswertungsregeln für den Windows-Integritätsnachweisdienst:
Eigenschaft Wert BitLocker erforderlich Erforderlich Die Funktion „Sicherer Start“ muss auf dem Gerät aktiviert sein Erforderlich Codeintegrität erfordern Erforderlich Geräteeigenschaften>Betriebssystemversion: Geben Sie geeignete Werte für Betriebssystemversionen basierend auf Ihren IT- und Sicherheitsrichtlinien ein.
Eigenschaft Wert Minimale Version des Betriebssystems Maximale Version des Betriebssystems Mindestbetriebssystem für mobile Geräte erforderlich Maximaler Betriebssystembedarf für mobile Geräte Gültige Betriebssystemversionen Konfigurationsmanager-Konformität:
Eigenschaft Wert Gerätekonformität von Configuration Manager anfordern Wählen Sie "Erforderlich" in Umgebungen aus, die mit Configuration Manager gemeinsam verwaltet werden. Wählen Sie andernfalls "Nicht konfiguriert" aus. Systemsicherheit:
Eigenschaft Wert Kennwort Kennwort zum Entsperren mobiler Geräte erforderlich Erforderlich Einfache Kennwörter Block Kennworttyp Gerätevoreinstellung Minimale Kennwortlänge 6 Maximale Inaktivität in Minuten, bevor ein Kennwort erforderlich ist 15 Minuten Passwortablaufdauer (Tage) 41 Anzahl vorheriger Kennwörter, deren Wiederverwendung verhindert wird 5 Kennwort anfordern, wenn das Gerät aus dem Leerlauf zurückkehrt (mobil und Holographic) Erforderlich Verschlüsselung Verschlüsselung des Datenspeichers auf dem Gerät erfordern Erforderlich Firewall Brandmauer Erforderlich Antivirus Virenschutz Erforderlich Anti-Spyware Spyware-Schutz Erforderlich Verteidiger Microsoft Defender Antischadsoftware Erforderlich Mindestversion von Microsoft Defender Anti-Malware Wir empfehlen einen Wert, der nicht mehr als fünf Versionen hinter der neuesten Version liegt. Microsoft Defender Anti-Malware-Signatur auf dem neuesten Stand Erforderlich Echtzeitschutz Erforderlich Microsoft Defender für Endgeräte:
Eigenschaft Wert Das Gerät muss der Risikobewertung des Computers entsprechen oder darunter liegen Mittelstufe
Richtlinien für bedingten Zugriff
Nachdem Sie App-Schutzrichtlinien und Gerätekompatibilitätsrichtlinien in Intune erstellt haben, können Sie die Erzwingung mit Richtlinien für bedingten Zugriff aktivieren.
Erzwingen von MFA auf Basis des Anmelderisikos
Befolgen Sie die Anleitung in: Erfordern der mehrstufigen Authentifizierung für erhöhtes Anmelderisiko zum Erstellen einer Richtlinie, die eine mehrstufige Authentifizierung basierend auf anmelderisiko erfordert.
Verwenden Sie beim Konfigurieren der Richtlinie die folgenden Risikostufen:
| Schutzebene | Risikostufen |
|---|---|
| Startpunkt | Mittel und hoch |
| Unternehmen | Niedrig, Mittel und Hoch |
Clients blockieren, die keine Multi-Faktor-Authentifizierung unterstützen
Befolgen Sie die Anleitung unter Blockieren der Legacy-Authentifizierung mit bedingtem Zugriff.
Benutzer mit hohem Risiko müssen das Kennwort ändern
Befolgen Sie die Anweisungen in: Anfordern einer sicheren Kennwortänderung für erhöhtes Benutzerrisiko , damit Benutzer mit kompromittierten Anmeldeinformationen ihr Kennwort ändern können.
Verwenden Sie diese Richtlinie zusammen mit dem Microsoft Entra-Kennwortschutz, der bekannte schwache Kennwörter, deren Varianten und bestimmte Begriffe in Ihrer Organisation erkennt und blockiert. Durch Verwendung des Microsoft Entra-Kennwortschutzes wird sichergestellt, dass geänderte Kennwörter sicherer sind.
Erfordern genehmigte Apps oder App-Schutzrichtlinien
Sie müssen eine Richtlinie für bedingten Zugriff erstellen, um App-Schutzrichtlinien zu erzwingen, die Sie in Intune erstellen. Das Erzwingen von Richtlinien für den App-Schutz erfordert eine Richtlinie für den bedingten Zugriff und eine entsprechende Richtlinie für den App-Schutz.
Um eine Richtlinie für bedingten Zugriff zu erstellen, die genehmigte Apps oder App-Schutz erfordert, führen Sie die Schritte in Anfordern genehmigter Client-Apps oder App-Schutzrichtlinieaus. Diese Richtlinie erlaubt nur Konten in Apps, die durch App-Schutzrichtlinien geschützt sind, auf Microsoft 365-Endpunkte zuzugreifen.
Das Blockieren der Legacyauthentifizierung für andere Apps unter iOS/iPadOS und Android-Geräten stellt sicher, dass diese Geräte keine Richtlinien für bedingten Zugriff umgehen können. Wenn Sie den Anweisungen in diesem Artikel folgen, blockieren Sie bereits Clients, die die moderne Authentifizierung nicht unterstützen.
Erfordert kompatible PCs und Mobilgeräte
Achtung
Überprüfen Sie, ob Ihr eigenes Gerät kompatibel ist, bevor Sie diese Richtlinie aktivieren. Andernfalls könnten Sie gesperrt werden und ein Notfallzugriffskonto verwenden, um Ihren Zugriff wiederherzustellen.
Zugriff auf Ressourcen nur zulassen, nachdem festgelegt wurde, dass das Gerät mit Ihren Intune-Compliancerichtlinien kompatibel ist. Weitere Informationen finden Sie unter Erfordern der Gerätekompatibilität mit bedingtem Zugriff.
Sie können neue Geräte bei Intune registrieren, auch wenn Sie auswählen, dass das Gerät für alle Benutzer und alle Cloud-Apps in der Richtlinie als kompatibel gekennzeichnet werden soll. Die Anforderung, dass das Gerät als konform gekennzeichnet ist, blockiert weder die Intune-Registrierung noch den Zugriff auf die Microsoft Intune Web Company Portal-App.
Abonnementaktivierung
Wenn Ihre Organisation die Windows-Abonnementaktivierung verwendet, um Benutzern das "Aufsteigen" von einer Windows-Version zu einer anderen zu ermöglichen, sollten Sie die Universal Store-Dienst-APIs und Webanwendung (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) von Ihrer Gerätekompatibilität ausschließen.
Erfordern Sie immer MFA
Für alle Benutzer MFA erforderlich machen, indem Sie den Anweisungen in diesem Artikel folgen: Mehrstufige Authentifizierung für alle Benutzer erforderlich machen.
Nächste Schritte
Informationen zu Richtlinienempfehlungen für den Gastzugriff