Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Es gibt zwei Arten von Richtlinien für bedingten Zugriff, die Sie mit Intune verwenden können: gerätebasierter bedingter Zugriff und App-basierter bedingter Zugriff. Zur Unterstützung dieser Richtlinien müssen Sie die zugehörigen Intune-Richtlinien konfigurieren. Wenn die Intune-Richtlinien eingerichtet und bereitgestellt sind, können Sie den bedingten Zugriff verwenden, um z. B. den Zugriff auf Exchange zuzulassen oder zu blockieren, den Zugriff auf Ihr Netzwerk zu steuern oder eine Mobile Threat Defense-Lösung zu integrieren.
In diesem Artikel finden Sie Informationen zur Verwendung der Intune-Funktionen für die Konformität von mobilen Geräten und der Intune-Funktionen für die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM).
Hinweis
Bedingter Zugriff ist eine Microsoft Entra-Funktion, die in einer Microsoft Entra-ID P1- oder P2-Lizenz enthalten ist. Intune erweitert diese Funktion, indem es der Lösung Konformität der mobilen Geräte und Mobile App-Verwaltung hinzufügt. Der Knoten für bedingten Zugriff, auf den über Intune zugegriffen wird, entspricht dem Knoten, auf den über Microsoft Entra ID zugegriffen wird.
Gerätebasierter bedingter Zugriff
Intune und Microsoft Entra ID arbeiten zusammen, um sicherzustellen, dass nur verwaltete und konforme Geräte auf die E-Mails Ihrer organization, Microsoft 365-Dienste, SaaS-Apps (Software-as-a-Service) und lokale Apps zugreifen können. Darüber hinaus können Sie eine Richtlinie in Microsoft Entra-ID festlegen, damit nur in die Domäne eingebundene Computer oder mobile Geräte, die bei Intune registriert sind, auf Microsoft 365-Dienste zugreifen können.
Mit Intune stellen Sie Gerätekonformitätsrichtlinien bereit, um festzustellen, ob ein Gerät Ihre erwarteten Konfigurations- und Sicherheitsanforderungen erfüllt. Die Auswertung der Konformitätsrichtlinie bestimmt die Kompatibilitäts-status des Geräts, die sowohl an Intune als auch an Microsoft Entra ID gemeldet wird. In Microsoft Entra ID können Richtlinien für bedingten Zugriff die Compliance-status eines Geräts verwenden, um Entscheidungen darüber zu treffen, ob der Zugriff auf die Ressourcen Ihres organization von diesem Gerät aus zugelassen oder blockiert werden soll.
Gerätebasierte Richtlinien für bedingten Zugriff für Exchange Online und andere Microsoft 365-Produkte werden über das Microsoft Intune Admin Center konfiguriert.
Weitere Informationen finden Sie unter Anfordern verwalteter Geräte mit bedingtem Zugriff in Microsoft Entra ID.
Erfahren Sie mehr über die Gerätekonformität in Intune.
Weitere Informationen finden Sie unter Unterstützte Browser mit bedingtem Zugriff in Microsoft Entra ID.
Hinweis
Wenn Sie den gerätebasierten Zugriff für Inhalte aktivieren, auf die Benutzer von Browser-Apps auf ihren persönlichen Android-Arbeitsprofilgeräten zugreifen, müssen Benutzer, die sich vor Januar 2021 registriert haben, den Browserzugriff wie folgt aktivieren:
- Starten Sie die Unternehmensportal-App.
- Navigieren Sie über das Menü zur Seite Einstellungen.
- Tippen Sie im Abschnitt Browserzugriff aktivieren auf die Schaltfläche AKTIVIEREN.
- Schließen Sie die Browser-App, und starten Sie sie neu.
Dies ermöglicht den Zugriff in Browser-Apps, jedoch nicht auf Browser-WebViews, die in Apps geöffnet werden.
Mit bedingtem Zugriff verfügbare Anwendungen zur Steuerung durch Microsoft Intune
Wenn Sie den bedingten Zugriff im Microsoft Entra Admin Center konfigurieren, stehen Ihnen zwei Anwendungen zur Auswahl:
- Microsoft Intune : Diese Anwendung steuert den Zugriff auf das Microsoft Intune Admin Center und datenquellen. Konfigurieren Sie Berechtigungen/Steuerelemente für diese Anwendung, wenn Sie das Microsoft Intune Admin Center und Datenquellen als Ziel verwenden möchten.
- Microsoft Intune-Registrierungs: Diese Anwendung steuert den Registrierungsworkflow. Konfigurieren Sie die Zuweisungen/Steuerungen für diese Anwendung, wenn Sie auf den Registrierungsprozess abzielen. Weitere Informationen finden Sie unter Anfordern der mehrstufigen Authentifizierung für Intune-Geräteregistrierungen.
Bedingter Zugriff basierend auf der Netzwerkzugriffssteuerung
Intune lässt sich in Partnerlösungen wie Cisco ISE, Aruba Clear Pass und Citrix NetScaler integrieren, um die Zugriffssteuerung basierend auf der Intune-Registrierung und dem Konformitätszustand eines Geräts bereitzustellen.
Benutzern kann der Zugriff auf unternehmenseigene WLAN- oder VPN-Ressourcen erlaubt oder verweigert werden, je nachdem, ob das verwendete Gerät verwaltet wird und den Intune-Richtlinien für die Gerätekonformität entspricht.
- Erfahren Sie mehr über die NAC-Integration in Intune.
Bedingter Zugriff basierend auf dem Geräterisiko
Intune arbeitet mit MTD-Anbietern (Mobile Threat Defense) zusammen, um eine Sicherheitslösung bereitzustellen, die Schadsoftware, Trojaner und andere Bedrohungen auf mobilen Geräten erkennt.
Funktionsweise von Intune und der Integration von MTD-Lösungen
Wenn der Mobile Threat Defense-Agent auf mobilen Geräten installiert ist, sendet dieser Benachrichtigungen zum Konformitätszustand an Intune zurück, die eine Meldung enthalten, wenn auf dem mobilen Gerät eine Bedrohung gefunden wurde.
Die Integration von Intune und Mobile Threat Defense ist ein wichtiger Faktor bei Entscheidungen zum bedingten Zugriff basierend auf dem Geräterisiko.
- Erfahren Sie mehr über Intune Mobile Threat Defense.
Bedingter Zugriff für Windows-PCs
Der bedingte Zugriff für PCs bietet eine Funktionalität, die der für mobile Geräte verfügbaren ähnlich ist. Im Folgenden finden Sie Informationen zu den verschiedenen Möglichkeiten, den bedingten Zugriff beim Verwalten von PCs mit Intune zu verwenden.
Unternehmenseigene Geräte
Microsoft Entra hybrid eingebunden: Diese Option wird häufig von Organisationen verwendet, die mit der Verwaltung ihrer PCs bereits über AD-Gruppenrichtlinien oder Configuration Manager vertraut sind.
Microsoft Entra in die Domäne eingebunden und Intune-Verwaltung: Dieses Szenario richtet sich an Organisationen, die cloud-first (d. a. in erster Linie Clouddienste verwenden, mit dem Ziel, die Nutzung einer lokalen Infrastruktur zu reduzieren) oder nur in der Cloud (keine lokale Infrastruktur) sein möchten. Microsoft Entra Join funktioniert gut in einer Hybridumgebung und ermöglicht den Zugriff auf cloudbasierte und lokale Apps und Ressourcen. Das Gerät wird mit der Microsoft Entra-ID verknüpft und bei Intune registriert, das beim Zugriff auf Unternehmensressourcen als Kriterien für bedingten Zugriff verwendet werden kann.
Bring Your Own Device (BYOD)
- Arbeitsplatzbeitritt und Intune-Verwaltung: Bei dieser Option können Benutzer ihre persönlichen Geräte einbinden, um auf Unternehmensressourcen und -dienste zuzugreifen. Sie können den Arbeitsplatzbeitritt verwenden und Geräte bei Intune MDM registrieren, um Richtlinien auf Geräteebene zu erhalten. Dies ist eine weitere Option zum Auswerten von Kriterien für den bedingten Zugriff.
Weitere Informationen zum Geräteverwaltung finden Sie unter Microsoft Entra ID.
App-basierter gerätebasierter bedingter Zugriff
Intune und Microsoft Entra ID stellen gemeinsam sicher, dass nur verwaltete Apps auf Unternehmens-E-Mails oder andere Microsoft 365-Dienste zugreifen können. Erfahren Sie mehr über den App-basierten bedingten Zugriff mit Intune.
Nächste Schritte
Konfigurieren des bedingten Zugriffs in Microsoft Entra ID
Einrichten von Richtlinien für App-basierten bedingten Zugriff