Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Intune und Microsoft Entra arbeiten zusammen, um Ihre Organisation über Gerätecompliancerichtlinien und bedingten Zugriff zu sichern. Gerätecompliancerichtlinien stellen sicher, dass Benutzergeräte mindestkonfigurationsanforderungen erfüllen. Die Anforderungen können durchgesetzt werden, wenn Benutzende auf Dienste zugreifen, die durch Richtlinien für bedingten Zugriff geschützt sind.
Einige Organisationen sind möglicherweise noch nicht bereit, die Einhaltung der Geräteanforderungen für alle Benutzer vorzuschreiben. Diese Organisationen könnten sich stattdessen entscheiden, die folgenden Richtlinien einzuführen:
- Anfordern eines kompatiblen oder durch Microsoft Entra hybrid eingebundenen Geräts für Administratoren
- Anfordern eines kompatiblen Geräts, eines hybrid verbundenen Microsoft Entra-Geräts oder einer mehrstufigen Authentifizierung für alle Benutzer
- Blockieren unbekannter oder nicht unterstützter Geräteplattformen
- Browserpersistenz deaktivieren
Ausschluss von Benutzern
Richtlinien für bedingten Zugriff sind leistungsstarke Tools. Es wird empfohlen, die folgenden Konten aus Ihren Richtlinien auszuschließen:
-
Notfallzugriff oder Break-Glass-Konten, um eine Sperrung aufgrund von Richtlinienfehlkonfigurationen zu verhindern. In dem unwahrscheinlichen Szenario, in dem alle Administratoren gesperrt sind, kann Ihr Administratorkonto für den Notfallzugriff verwendet werden, um sich anzumelden und den Zugriff wiederherzustellen.
- Weitere Informationen finden Sie im Artikel "Verwalten von Notfallzugriffskonten in Microsoft Entra ID".
-
Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nichtinteraktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden in der Regel von Back-End-Diensten verwendet, um programmgesteuerten Zugriff auf Anwendungen zu ermöglichen, aber sie werden auch verwendet, um sich für administrative Zwecke bei Systemen anzumelden. Aufrufe von Dienstprinzipalen werden nicht durch Richtlinien für bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie bedingten Zugriff für Arbeitsauslastungsidentitäten, um Richtlinien zu definieren, die auf Dienstprinzipale abzielen.
- Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, ersetzen Sie sie durch verwaltete Identitäten.
Vorlagenbereitstellung
Organisationen können diese Richtlinie bereitstellen, indem Sie die unten beschriebenen Schritte ausführen oder die Vorlagen für bedingten Zugriff verwenden.
Erstellen der Richtlinie für bedingten Zugriff
Die folgenden Schritte helfen beim Erstellen einer Richtlinie für bedingten Zugriff, damit Geräte, die auf Ressourcen zugreifen, als konform mit den Intune-Compliancerichtlinien Ihrer Organisation gekennzeichnet werden müssen.
Warnung
Ohne eine in Microsoft Intune erstellte Compliancerichtlinie funktioniert diese Richtlinie für bedingten Zugriff nicht wie beabsichtigt. Erstellen Sie zuerst eine Compliancerichtlinie, und stellen Sie sicher, dass Sie mindestens ein kompatibles Gerät haben, bevor Sie fortfahren.
- Melden Sie sich beim Microsoft Entra Verwaltungszentrum als Bedingter Zugriffsadministrator an.
- Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
- Wählen Sie "Neue Richtlinie" aus.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Wählen Sie unter AufgabenBenutzer oder Workload-Identitäten aus.
- Wählen Sie unter "Einschließen" die Option "Alle Benutzer" aus.
- Unter "Ausschließen":
-
Benutzer und Gruppen auswählen
- Wählen Sie die Konten für den Notfallzugriff bzw. Notfallkonten Ihrer Organisation aus.
- Wenn Sie Hybrididentitätslösungen wie Microsoft Entra Connect oder Microsoft Entra Connect Cloud Sync verwenden, wählen Sie Verzeichnisrollen und dann Verzeichnissynchronisierungskonten aus.
-
Benutzer und Gruppen auswählen
- Wählen Sie unter Zielressourcen>Ressourcen (ehemals Cloud-Apps)>einschließen, Alle Ressourcen (ehemals 'Alle Cloud-Apps') aus.
- Unter Zugriffssteuerung>Berechtigung.
- Wählen Sie Gerät muss als konform gekennzeichnet werden aus.
- Wählen Sie "Auswählen" aus.
- Bestätigen Sie Ihre Einstellungen, und legen Sie " Richtlinie aktivieren " auf "Nur Bericht" fest.
- Wählen Sie "Erstellen" aus, um Ihre Richtlinie zu aktivieren.
Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".
Hinweis
Sie können Ihre neuen Geräte bei Intune registrieren, selbst wenn Sie Geräte müssen als kompatibel gekennzeichnet werden für alle Benutzer und alle Ressourcen (vormals "Alle Cloud-Apps") auswählen, indem Sie die vorherigen Schritte verwenden. Die Anforderung, dass das Gerät als konform markiert wird, blockiert die Intune-Registrierung nicht.
Entsprechend blockiert das "Gerät erforderlich", das als kompatibel gekennzeichnet ist , den Zugriff der Microsoft Authenticator-App auf den UserAuthenticationMethod.Read-Bereich nicht. Authenticator benötigt während der Authenticator-Registrierung Zugriff auf den UserAuthenticationMethod.Read-Bereich, um zu bestimmen, welche Anmeldeinformationen ein Benutzer konfigurieren kann. Authenticator benötigt Zugriff auf UserAuthenticationMethod.ReadWrite, um Anmeldeinformationen zu registrieren, wodurch das Erfordern-Gerät nicht als konforme Überprüfung gekennzeichnet werden muss .
Bekanntes Verhalten
Unter iOS, Android, macOS und einigen Nicht-Microsoft-Webbrowsern identifiziert Die Microsoft Entra-ID das Gerät mithilfe eines Clientzertifikats, das bereitgestellt wird, wenn das Gerät mit der Microsoft Entra-ID registriert ist. Wenn sich ein Benutzer zum ersten Mal über den Browser anmeldet, wird er zum Auswählen des Zertifikats aufgefordert. Der Endbenutzer muss dieses Zertifikat auswählen, bevor der Browser verwendet werden kann.
B2B-Szenarien
Für Organisationen, mit denen Sie über eine Beziehung und Vertrauensstellung verfügen, können Sie deren Gerätecomplianceansprüchen vertrauen. Informationen zum Konfigurieren dieser Einstellung finden Sie im Artikel "Verwalten mandantenübergreifender Zugriffseinstellungen für die B2B-Zusammenarbeit".
Abonnementaktivierung
Organisationen, die das Feature "Abonnementaktivierung " verwenden, um Benutzern das "Aufsteigen" von einer Windows-Version zu einer anderen zu ermöglichen, möchten möglicherweise den Windows Store für Unternehmen, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f aus ihrer Gerätekompatibilitätsrichtlinie ausschließen.
Zugehöriger Inhalt
- Erfahren Sie, wie Sie eine Compliancerichtlinie in Microsoft Intune erstellen.
- Erfahren Sie mehr über Steuerelemente zur Gewährung des bedingten Zugriffs.
- Erfahren Sie, wie Sie mandantenübergreifende Zugriffseinstellungen konfigurieren.