Bedingter Zugriff

Verwende Bedingten Zugriff (Conditional Access) mit Microsoft Intune, um die Geräte und Anwendungen zu kontrollieren, die eine Verbindung zu E-Mails der Benutzer und zu Organisationsressourcen haben. Durch die Integration kannst du den Zugriff beschränken, um deine Organisationsdaten zu schützen und gleichzeitig kannst du den Nutzern eine Erfahrung bieten, die es ihnen ermöglicht, ihre Arbeit von jedem Gerät und jedem Standort aus optimal zu erledigen.

Bedingten Zugriff (Conditional Access) ist eine Azure Active Directory- (bzw. Entra-) Funktion, die in einer Azure Active Directory Premium-Lizenz enthalten ist. Durch Azure Active Directory bringt Bedingten Zugriff (Conditional Access) Indikatoren (Signale) zusammen, um Entscheidungen zu treffen und Organisationsrichtlinien durchzusetzen. Intune erweitert diese Funktion durch das Hinzufügen von Daten zur Einhaltung von Richtlinien für mobile Geräte und zur Verwaltung mobiler Anwendungen. Zu den gängigen Indikatoren gehören:

• Benutzer- oder Gruppenmitgliedschaft.
• IP-Standortinformationen.
• Gerätedetails, einschließlich Gerätekonformität oder Konfigurationsstatus.
• Anwendungsdetails, einschließlich der Anforderung, verwaltete Anwendungen für den Zugriff auf Unternehmensdaten zu verwenden.
• Echtzeit- und kalkulierte Risikoerkennung, wenn du auch einen Partner zur Abwehr mobiler Bedrohungen einsetzt.

Möglichkeiten zur Verwendung von Bedingten Zugriff mit Intune

Bedingter Zugriff (Conditional Access) funktioniert mit Intune-Gerätekonfigurations- und Compliance-Richtlinien sowie mit Intune Anwendungsschutzrichtlinien.

Gerätebasierter bedingter Zugriff

Intune und Azure Active Directory arbeiten zusammen, um sicherzustellen, dass nur verwaltete und konforme Geräte auf E-Mails, Microsoft 365-Dienste, Software-as-a-Service (SaaS)-Anwendungen und lokale Anwendungen zugreifen können. Darüber hinaus kannst du eine Richtlinie in Azure Active Directory festlegen, um nur domänenverbundenen Computern oder mobilen Geräten, die sich bei Intune angemeldet haben, den Zugriff auf Microsoft 365-Dienste zu ermöglichen:

• Bedingter Zugriff basierend auf der Netzwerkzugriffskontrolle
• Bedingter Zugriff basierend auf dem Geräterisiko
• Bedingter Zugriff für Windows-PCs. Sowohl organisationseigene Geräte, als auch Bring your own device (BYOD).
• Bedingter Zugriff für Exchange (on-premises)

App-basierter bedingter Zugriff

Intune und Azure Active Directory arbeiten zusammen, um sicherzustellen, dass nur verwaltete Anwendungen auf E-Mail oder andere Microsoft 365-Dienste zugreifen können.

Gerätebasierte Zugangskontrolle

Erstelle eine Richtlinie zur Gerätekonformität

1. Starte im Intune Admin Center > Endpunktsicherheit > Bedingter Zugriff > Richtlinien > Neue Richtlinie.
2. Vergib einen Name für die Richtlinie
3. Wähle unter Zuweisungen die Option Benutzer und Gruppen ausgewählt.
4. Gib im Bereich Einschließen die Benutzer oder Gruppen an, für die diese Richtlinie für den bedingten Zugriff gelten soll. Sobald du die einzuschließenden Gruppen oder Benutzer ausgewählt hast, verwende den Bereich Ausschließen, wenn es Benutzer, Rollen oder Gruppen gibt, die du von dieser Richtlinie ausschließen möchtest.Alle Benutzer: Wähle diese Option, um die Richtlinie auf alle Benutzer und Gruppen anzuwenden, einschließlich interner und Gastbenutzer.
   Benutzer und Gruppen: Wähle diese Option und wende einer oder mehrere der folgenden Optionen an:
   – Gastbenutzer oder externe Benutzer: Wähle diese Option zum Ein- oder Ausschließen von externen und Gastbenutzer (zum Beispiel Partner, externe Mitarbeiter)
   – Verzeichnisrollen: Wähle eine oder mehrere Azure AD-Rollen aus, um Benutzer ein- oder auszuschließen, denen diese entsprechende Rollen zugewiesen ist.
   – Benutzer und Gruppen: Wähle diese Option aus, um einzelnen Benutzern oder ganzen Gruppen zu verwalten, die du ein- oder ausschließen möchtest.
5. Du kannst folgende Auswahlen treffen:
   

   Zuweisung	Einschließen	Ausschließen	Link zu Microsoft
   Benutzer	- Kein - Alle Benutzer - Benutzer und Gruppen auswählen - Gastbenutzer oder externe Benutzer - Verzeichnisrollen - Benutzer und Gruppen	- Benutzer und Gruppen auswählen - Gastbenutzer oder externe Benutzer - Verzeichnisrollen - Benutzer und Gruppen	Weitere Informationen
   Zielressourcen	- Kein - Alle Cloud-Apps - Apps auswählen	- Cloud-Apps - können gefiltert werden - können einzeln gewählt werden	Weitere Informationen
   Bedingungen	Android, iOS, Windows Phone, Windows, macOS, Linux	Android, iOS, Windows Phone, Windows, macOS, Linux	Weitere Informationen
   Zugriffskontrollen	Zugriff gewähren	Zugriff blockieren	Link zu Microsoft
   Gewähren	- Multi-Faktor-Authentifizierung erfordern - Authentifizierungsstärke erforderlich - Markieren des Geräts als kompatibel erforderlich - In Azure AD eingebundenes Hybridgerät erforderlich - Genehmigte Client-App erforderlich - App-Schutzrichtlinie erforderlich	Option: Blockieren	Weitere Informationen
   Sitzung	- Von der App erzwungene Einschränkungen verwenden - App-Steuerung für bedingten Zugriff verwenden - Anmeldehäufigkeit - Beständige Browsersitzung - Fortlaufende Zugriffsevaluierung anpassen - Standardwerte für Resilienz deaktivieren - Tokenschutz für Anmeldesitzungen erforderlich (Vorschau)	nicht verfügbar	Weitere Informationen

6. Stelle deine Auswahl zusammen und klicke auf Erstellen.