Bedingter Zugriff: Anfordern von kompatiblen Geräten

Unternehmen, die Microsoft Intune bereitgestellt haben, können die von ihren Geräten zurückgegebenen Informationen verwenden, um Geräte zu identifizieren, die den Compliancevorgaben entsprechen, z. B.:

  • Erfordern einer PIN zum Entsperren
  • Erfordern der Geräteverschlüsselung
  • Erfordern einer minimalen oder maximalen Betriebssystemversion
  • Erfordern, dass ein Gerät keinen Jailbreak oder Rootzugriff verwendet

Diese Informationen zur Richtliniencompliance werden an Azure AD weitergeleitet, wo Entscheidungen zum bedingten Zugriff zur Gewährung oder Sperrung des Zugriffs auf Ressourcen treffen kann. Weitere Informationen zu Gerätekonformitätsrichtlinien finden Sie im Artikel Festlegen von Regeln auf Geräten mit Intune, um Zugriff auf Ressourcen in Ihrer Organisation zu gewähren.

Erstellen der Richtlinie für bedingten Zugriff

Die folgenden Schritte helfen bei der Erstellung einer Richtlinie für bedingten Zugriff, bei der Geräte, die auf Ressourcen zugreifen, als mit den Compliancerichtlinien von Intune Ihres Unternehmens konform gekennzeichnet werden.

  1. Melden Sie sich beim Azure-Portal als globaler Administrator, Sicherheitsadministrator oder Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Azure Active Directory > Sicherheit > Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer und Gruppen aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
    3. Wählen Sie Fertig aus.
  6. Wählen Sie unter Cloud-Apps oder -aktionen > Einschließen die Option Alle Cloud-Apps aus.
    1. Wenn Sie bestimmte Anwendungen von Ihrer Richtlinie ausschließen müssen, können Sie sie auf der Registerkarte Ausschließen unter Ausgeschlossene Cloudanwendungen auswählen die Option Auswählen auswählen.
    2. Wählen Sie Fertig aus.
  7. Lassen Sie unter Bedingungen > Client-Apps (Vorschau) > Wählen Sie die Client-Apps aus, auf die diese Richtlinie angewendet wird. alle Standardwerte aktiviert, und klicken Sie auf Fertig.
  8. Wählen Sie unter Zugriffssteuerung > Erteilen die Option Markieren des Geräts als kompatibel erforderlich aus.
    1. Wählen Sie Auswählen.
  9. Bestätigen Sie die Einstellungen und legen Sie Richtlinie aktivieren auf Ein fest.
  10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Hinweis

Sie können Ihre neuen Geräte auch dann bei Intune registrieren, wenn Sie Markieren des Geräts als kompatibel erforderlich für Alle Benutzer und Alle Cloud-Apps mithilfe der oben beschriebenen Schritte auswählen. Das Steuerelement Markieren des Geräts als kompatibel erforderlich blockiert die Intune-Registrierung nicht.

Bekanntes Verhalten

Unter Windows 7, iOS, Android, macOS und einigen Webbrowsern von Drittanbietern identifiziert Azure AD das Gerät anhand eines Clientzertifikats, das beim Registrieren des Geräts bei Azure AD bereitgestellt wird. Wenn sich ein Benutzer zum ersten Mal über den Browser anmeldet, wird er zum Auswählen des Zertifikats aufgefordert. Der Endbenutzer muss dieses Zertifikat auswählen, bevor der Browser verwendet werden kann.

Nächste Schritte

Allgemeine Richtlinien für bedingten Zugriff

Bestimmen der Auswirkung durch Verwendung des reinen Berichtsmodus des bedingten Zugriffs

Simulieren des Anmeldeverhaltens mit dem Was-wäre-wenn-Tool für den bedingten Zugriff

Richtlinien für Gerätekonformität funktionieren mit Azure AD