Einrichten App-basierter Richtlinien für bedingten ZugriffSet up app-based conditional access policies

Gilt für: Intune im Azure-PortalApplies to: Intune in the Azure portal
Suchen Sie nach der Dokumentation zu Intune im klassischen Portal?Looking for documentation about Intune in the classic portal? Klicken Sie hier.Go here.

Dieses Thema enthält Anweisungen zum Einrichten App-basierter Richtlinien für bedingten Zugriff für Apps, die in der Liste der genehmigten Apps aufgeführt sind.This topic provides instructions on how to set up app-based conditional access policies for apps that are part of the list of approved apps. Die Liste der genehmigten Apps enthält Apps, die von Microsoft getestet wurden.The list of approved apps consists of apps that were tested by Microsoft.

Wichtig

Dieses Thema führt durch die Schritte zum Hinzufügen einer App-basierten Richtlinie für bedingten Zugriff mit Exchange Online. Sie können dieselben Schritte aber auch beim Hinzufügen anderer Apps aus der Liste der genehmigten Apps wie SharePoint Online, Microsoft Teams usw. verwenden.This topic walks through the steps to add an app-based conditional access policy using Exchange Online, but you can use the same steps when adding other apps like SharePoint Online, Microsoft Teams, etc. from the list of approved apps.

So erstellen Sie eine App-basierte bedingte ZugriffsrichtlinieTo create an app-based conditional access policy

  1. Navigieren Sie zum Azure-Portal, und melden Sie sich mit Ihren Anmeldeinformationen an.Go the Azure portal and sign in with your credentials.

  2. Wählen Sie Weitere Dienste aus, und geben Sie „Intune“ ein.Choose More services, and type: "Intune".

  3. Wählen Sie Intune-Schutz für Apps aus.Choose Intune App Protection.

  4. Wählen Sie auf dem Blatt Mobile Anwendungsverwaltung mit Intune Alle Einstellungen aus.On the Intune mobile application management blade choose All Settings.

  5. Wählen Sie im Abschnitt Bedingter Zugriff Exchange Online aus.On the Conditional access section, choose Exchange Online.

    Screenshot des Blatts „Einstellungen“, das den Abschnitt „Bedingter Zugriff“ anzeigt, wobei die Option „Exchange Online“ hervorgehoben ist

  6. Wählen Sie auf dem Blatt Zulässige Apps die Option Allow apps that support Intune app policies (Apps zulassen, die Intune-App-Richtlinien unterstützen), um nur Apps zuzulassen, die von Intune-App-Schutzrichtlinien unterstützt werden, damit sie auf Exchange Online zugreifen können.On the Allowed apps blade, choose the Allow apps that support Intune app policies option to allow only apps that are supported by Intune app protection policies to have the ability to access Exchange Online. Wenn Sie diese Option auswählen, wird die Liste der unterstützten Apps angezeigt.When you select this option, the list of supported apps is displayed.

    Hinweis

    Alle E-Mail-Clients von Exchange Active Sync, einschließlich der integrierten E-Mail-Clients unter iOS und Android, die eine Verbindung mit Exchange Online herstellen, werden daran gehindert, E-Mails zu senden oder zu empfangen.All Exchange Active Sync mail clients, including the built-in mail clients on iOS and Android that connect to Exchange Online, will be prevented from sending or receiving email. Benutzer erhalten stattdessen eine einzige E-Mail, die sie darüber informiert, dass sie die Outlook-E-Mail-App verwenden müssen.Users will instead receive a single email informing them that they need to use the Outlook mail app.

  7. Um diese Richtlinie auf Benutzer anzuwenden, öffnen Sie das Blatt Eingeschränkte Benutzergruppen, und wählen Sie Benutzergruppe hinzufügen aus.To apply this policy to users, open the Restricted user groups blade, and choose Add user group. Wählen Sie mindestens eine Benutzergruppe aus, auf die diese Richtlinie angewendet werden soll.Select one or more user groups that should get this policy.

    Screenshot des Blatts „Eingeschränkte Benutzergruppen“ mit hervorgehobener Option „Benutzergruppe hinzufügen“

  8. Möglicherweise möchten Sie, dass einige Benutzer in der Benutzergruppe, die Sie im vorherigen Schritt ausgewählt haben, nicht von dieser Richtlinie betroffen sind.You may want some users in the user group you selected in the previous step not to be affected by this policy. In solchen Fällen fügen Sie die Gruppe der Benutzer der Liste der ausgenommenen Benutzergruppen hinzu.In such cases, add the group of users to the exempted user groups list. Wählen Sie auf dem Blatt Exchange Online Exempted user groups (Ausgenommene Benutzergruppen) aus.From the Exchange Online blade, choose Exempted user groups. Wählen Sie Benutzergruppe hinzufügen aus, um die Liste der Benutzergruppen zu öffnen.Choose Add user group to open the list of user groups. Wählen Sie die Gruppen aus, die Sie von dieser Richtlinie ausnehmen möchten.Select the groups you want to exempt from this policy.

So ändern oder löschen Sie Benutzergruppen einer vorhandenen App-basierten bedingten ZugriffsrichtlinieTo modify or delete user groups from an existing app-based CA policy

  1. Öffnen Sie das Blatt Eingeschränkte Benutzergruppen, und markieren Sie die Benutzergruppe, die Sie löschen möchten.Open the Restricted user groups blade, then highlight the user group you want to delete.
  2. Klicken Sie auf die Auslassungspunkte, um die Optionen für den Löschvorgang anzuzeigen.Click on the ellipse to see the delete options.
  3. Wählen Sie Löschen aus, um die Benutzergruppe aus der Liste zu entfernen.Choose Delete to remove the user group from the list.

Erstellen von App-basierten Richtlinien für den bedingten Zugriff in der Azure AD-WorkloadCreate app-based conditional access policies in Azure AD workload

Ab Intune-Release 1708 können IT-Administratoren App-basierte Richtlinien für den bedingten Zugriff über die Azure AD-Workload erstellen.Beginning with Intune 1708 release, IT admins can create app-based conditional access policies from the Azure AD workload. Dies bietet Ihnen den Komfort, nicht zwischen den Azure- und Intune-Workloads hin und her wechseln zu müssen.This gives convenience so you don't need to switch between the Azure and the Intune workloads.

Wichtig

Sie benötigen eine Azure AD Premium-Lizenz, um im Azure-Portal für Intune Azure AD-Richtlinien für den bedingten Zugriff zu erstellen.You need to have an Azure AD Premium license to create Azure AD conditional access policies from the Intune Azure portal.

So erstellen Sie eine App-basierte bedingte ZugriffsrichtlinieTo create an app-based conditional access policy

Wichtig

Bevor Sie App-basierte Richtlinien für den bedingten Zugriff verwenden, müssen Sie Ihren Apps Intune-App-Schutzrichtlinien zugewiesen haben.You need to have Intune app protection policies applied to your apps before using app-based conditional access policies.

  1. Wählen Sie auf dem Intune-Dashboard die Option Bedingter Zugriff aus.In the Intune Dashboard, choose Conditional access.

  2. Wählen Sie auf dem Blatt Richtlinien Neue Richtlinie aus, um die neue App-basierte Richtlinie für den bedingten Zugriff zu erstellen.In the Policies blade, choose New policy to create your new app-based conditional access policy.

  3. Sobald Sie einen Richtliniennamen eingegeben haben und die verfügbaren Einstellungen im Abschnitt Zuweisungen konfiguriert haben, wählen Sie im Abschnitt Zugriffskontrollen Gewähren aus.Once you enter a policy name and configure the settings available in the Assignments section, then choose Grant under the Access controls section.

  4. Klicken Sie auf Genehmigte Client-App erforderlich (Vorschau), Auswählen und dann auf OK, um die neue Richtlinie zu speichern.Choose Require approved client app, choose Select, then choose OK to save the new policy.

Nächste SchritteNext steps

Blockieren von Apps, die über keine moderne Authentifizierung verfügenBlock apps that do not have modern authentication

Weitere Informationen:See also

Erstellen und Zuweisen von App-Schutzrichtlinien Bedingter Zugriff im klassischen Azure-PortalProtect app data with app protection policies Conditional Access in Azure Active Directory