Gängige Möglichkeiten der Verwendung des bedingten Zugriffs in IntuneCommon ways to use conditional access with Intune

Gilt für: Intune im Azure-PortalApplies to: Intune in the Azure portal
Suchen Sie nach der Dokumentation zu Intune im klassischen Portal?Looking for documentation about Intune in the classic portal? Klicken Sie hier.Go here.

Sie müssen die Intune-Konformitätsrichtlinie für mobile Geräte und die Intune-Funktionen für die mobile Anwendungsverwaltung (Mobile Application Management, MAM) konfigurieren, um die Konformität mit dem bedingten Zugriff in Ihrer Organisation zu erzwingen.You need to configure Intune mobile device compliance policy, and the Intune mobile application management (MAM) capabilities to drive conditional access compliance at your organization. Im Folgenden werden gängige Möglichkeiten für die Verwendung des bedingten Zugriffs mit Intune erläutert.Let’s talk about the common ways to use conditional access with Intune.

Gerätebasierter bedingter ZugriffDevice-based conditional access

Intune und Azure Active Directory stellen gemeinsam sicher, dass nur verwaltete und konforme Geräte Zugriff auf E-Mails, Office 365-Dienste, SaaS-Apps (Software-as-a-Service) und lokale Apps erhalten.Intune and Azure Active Directory work together to make sure only managed and compliant devices are allowed access to email, Office 365 services, Software as a service (SaaS) apps, and on-premises apps. Zusätzlich können Sie in Azure Active Directory eine Richtlinie festlegen, die nur Computern, die der Domäne angehören, oder mobilen Geräten, die in Intune registriert sind, den Zugriff auf Office 365-Dienste erlaubt.Additionally, you can set a policy in Azure Active Directory to only enable computers that are domain-joined, or mobile devices that are enrolled in Intune to access Office 365 services.

Intune stellt Funktionen für Gerätekonformitätsrichtlinien bereit, die den Konformitätsstatus der Geräte bewerten.Intune provides device compliance policy capabilities that evaluate the compliance status of the devices. Der Konformitätsstatus wird an Azure Active Directory gemeldet, um die in Azure Active Directory erstellte Richtlinie für den bedingten Zugriff zu erzwingen, wenn der Benutzer versucht, auf Unternehmensressourcen zuzugreifen.The compliance status is reported to Azure Active Directory that uses it to enforce the conditional access policy created in Azure Active Directory when the user tries to access company resources.

Seit es das neue Azure-Portal gibt, werden gerätebasierte Richtlinien für den bedingten Zugriff für Exchange Online und andere Office 365-Produkte über das Azure-Portal konfiguriert.Starting at the new Azure portal, device-based conditional access policies for Exchange online and other Office 365 products are configured through the Azure portal.

Bedingter Zugriff für Exchange lokalConditional access for Exchange on-premises

Der bedingte Zugriff kann zum Zulassen oder Sperren des Zugriffs auf Exchange lokal basierend auf den Konformitätsrichtlinien für Geräte und dem Registrierungsstatus verwendet werden.Conditional access can be used to allow or block access to Exchange on-premises based on the device compliance policies and enrollment state. Wenn der bedingte Zugriff zusammen mit einer Gerätekonformitätsrichtlinie verwendet wird, ist nur konformen Geräten der Zugriff auf Exchange lokal gestattet.When conditional access is used in combination with a device compliance policy, only compliant devices are allowed access to Exchange on-premises.

Sie können erweiterte Einstellungen wie die folgenden für den bedingten Zugriff konfigurieren, um eine präzisere Steuerung zu erzielen:You can configure advanced settings in conditional access for more granular control such as:

  • Zulassen oder Blockieren bestimmter PlattformenAllow or block certain platforms.

  • Sofortiges Blockieren von nicht über Intune verwalteten GerätenImmediately block devices that are not managed by Intune.

Jedes Gerät, mit dem auf Exchange lokal zugegriffen wird, wird auf Konformität überprüft, wenn Richtlinien für Gerätekonformität und bedingten Zugriff angewendet werden.Any device used to access Exchange on-premises is checked for compliance when device compliance and conditional access policies are applied.

Wenn Geräte die Bedingungen nicht erfüllen, erhält der Benutzer Anweisungen zum Registrieren des Geräts und zum Beheben des Problems, das die Konformität des Geräts verhindert.When devices do not meet the conditions set, the end user is guided through the process of enrolling the device to fix the issue that is making the device non-compliant.

Funktionsweise des bedingten Zugriffs für Exchange lokalHow conditional access for Exchange on-premises works

Der Intune Exchange-Connector ruft alle EAS-Datensätze (Exchange Active Sync) ab, die auf dem Exchange-Server vorhanden sind, damit Intune diese Datensätze verwenden und den Intune-Gerätedatensätzen zuordnen kann.The Intune Exchange connector pulls in all the Exchange Active Sync (EAS) records that exist at the Exchange server so Intune can take these EAS records and map them to Intune device records. Bei diesen Datensätzen handelt es sich um Geräte, die bei Intune registriert sind und von Intune erkannt werden.These records are devices enrolled and recognized by Intune. Dieser Prozess erlaubt oder blockiert den E-Mail-Zugriff.This process allows or blocks e-mail access.

Wenn ein EAS-Datensatz neu und Intune noch nicht bekannt ist, gibt Intune ein Cmdlet aus, das den Zugriff auf E-Mails blockiert.If the EAS record is brand new, and Intune is not aware of it, Intune issues a command-let that blocks access to e-mail. Im Folgenden finden Sie weitere Details zur Funktionsweise dieses Prozesses:Here are more details on how this process works:

Flussdiagramm: Exchange lokal mit bedingtem Zugriff

  1. Ein Benutzer versucht, auf Unternehmens-E-Mails zuzugreifen, die in Exchange lokal 2010 SP1 oder höher gehostet werden.User tries to access corporate e-mail, which is hosted on Exchange on-premises 2010 SP1 or later.

  2. Wenn das Gerät nicht durch Intune verwaltet wird, wird der E-Mail-Zugriff blockiert.If the device is not managed by Intune, it will be blocked access to e-mail. Intune senden eine Benachrichtigung zur Blockierung an den EAS-Client.Intune sends block notification to the EAS client.

  3. EAS empfängt die Benachrichtigung, verschiebt das Gerät in die Quarantäne und sendet eine Quarantäne-E-Mail mit Schritten zur Behebung und entsprechenden Links, sodass der Benutzer das Gerät registrieren kann.EAS receives block notification, moves the device to quarantine, and sends the quarantine e-mail with remediation steps that contain links so the users can enroll their devices.

  4. Der Prozess für den Arbeitsplatzbeitritt wird ausgeführt. Dies ist der erste Schritt, mit dem ein Gerät zur Verwaltung in Intune eingebunden wird.The Workplace join process happens, which is the first step to have the device managed by Intune.

  5. Das Gerät wird in Intune registriert.The device gets enrolled into Intune.

  6. Intune ordnet den EAS-Datensatz einem Gerätedatensatz zu und speichert den Konformitätszustand des Geräts.Intune maps the EAS record to a device record, and saves the device compliance state.

  7. Die EAS-Client-ID wird vom Azure AD Device Registration-Prozess registriert, der eine Beziehung zwischen dem Intune-Gerätedatensatz und der EAS-Client-ID erstellt.The EAS client ID gets registered by the Azure AD Device Registration process, which creates a relationship between the Intune device record, and the EAS client ID.

  8. Der Azure AD Device Registration-Prozess speichert die Informationen zum Gerätezustand.The Azure AD Device Registration saves the device state information.

  9. Wenn der Benutzer die Richtlinien für den bedingten Zugriff erfüllt, gibt Intune ein Cmdlet über den Intune Exchange-Connector aus, mit dem das Postfach synchronisiert werden kann.If the user meets the conditional access policies, Intune issues a command-let through the Intune Exchange connector that allows the mailbox to sync.

  10. Der Exchange-Server sendet eine Benachrichtigung an den EAS-Client, damit der Benachrichtigung auf die E-Mails zugreifen kann.Exchange server sends the notification to EAS client so the user can access e-mail.

Was ist die Intune-Rolle?What’s the Intune role?

Intune bewertet und verwaltet den Gerätezustand.Intune evaluates and manage the device state.

Was ist die Exchange-Server-Rolle?What’s the Exchange server role?

Der Exchange-Server stellt die API und die Infrastruktur bereit, um Geräte in die Quarantäne zu verschieben.Exchange server provides API and infrastructure to move devices to its quarantine.

Wichtig

Denken Sie daran, dass dem Benutzer, der das Gerät verwendet, ein Konformitätsprofil zugewiesen sein muss, damit das Gerät hinsichtlich der Konformität bewertet werden kann.Keep in mind that the user who’s using the device must have a compliance profile assigned to them so the device to be evaluated for compliance. Wenn keine Konformitätsrichtlinie für den Benutzer bereitgestellt wird, wird das Gerät als konform behandelt, und es werden keine Zugriffsbeschränkungen angewendet.If no compliance policy is deployed to the user, the device is treated as compliant and no access restrictions are applied.

Bedingter Zugriff basierend auf der NetzwerkzugriffssteuerungConditional access based on network access control

Intune ist in Partnerlösungen wie Cisco ISE, Aruba Clear Pass und Citrix NetScaler integriert, um die Zugriffssteuerung basierend auf der Intune-Registrierung und dem Konformitätszustand des Geräts bereitzustellen.Intune integrated with partners like Cisco ISE, Aruba Clear Pass, and Citrix NetScaler to provide access controls based on the Intune enrollment and the device compliance state.

Benutzern kann der Zugriff auf unternehmenseigene WLAN- oder VPN-Ressourcen erlaubt oder verweigert werden, je nachdem, ob das verwendete Gerät verwaltet wird und den Intune-Konformitätsrichtlinien für Geräte entspricht.Users can be allowed or denied access when trying to access corporate Wi-Fi or VPN resources based on whether the device is managed and compliant with Intune device compliance policies.

Bedingter Zugriff basierend auf dem GeräterisikoConditional access based on device risk

Intune arbeitet mit MTD-Anbietern (Mobile Threat Defense) zusammen, um eine Sicherheitslösung bereitzustellen, die Schadsoftware, Trojaner und andere Bedrohungen auf mobilen Geräten erkennt.Intune partnered with Mobile Threat Defense vendors that provides a security solution to detect malwares, Trojans, and other threats on mobile devices.

Funktionsweise von Intune und der Integration von MTD-LösungenHow the Intune and mobile threat defense integration works

Wenn der Mobile Threat Defense-Agent auf mobilen Geräten installiert ist, kann dieser Benachrichtigungen zum Konformitätszustand an Intune zurücksenden, um zu melden, ob auf dem mobilen Gerät eine Bedrohung gefunden wurde.When mobile devices have the mobile threat defense agent installed, the agent can send compliance state messages back to Intune reporting if a threat has been found in the mobile device itself.

Die Integration von Intune und Mobile Threat Defense-Lösungen spielt eine wichtige Rolle bei Entscheidungen zum bedingten Zugriff basierend auf dem Geräterisiko.The Intune and mobile threat defense integration plays a factor at the conditional access decisions based on device risk.

Bedingter Zugriff für Windows-PCsConditional access for Windows PCs

Der bedingte Zugriff für PCs bietet eine ähnliche Funktionalität wie für mobile Geräte.Conditional access for PCs provide similar capabilities available for mobile devices. Im Folgenden finden Sie Informationen zu den verschiedenen Möglichkeiten, den bedingten Zugriff beim Verwalten von PCs mit Intune zu verwenden.Let’s talk about the ways you can use conditional access when managing PCs with Intune.

Unternehmenseigene GeräteCorporate-owned

  • In die lokale AD-Domäne eingebunden: Dies ist die häufigste Bereitstellungsoption für bedingen Zugriff für Organisationen, denen die Tatsache genügt, dass sie ihre PCs bereits über AD-Gruppenrichtlinien und/oder mit System Center Configuration Manager verwalten.On premises AD domain joined: This has been the most common conditional access deployment option for organizations, whose are reasonable comfortable with the fact they’re already managing their PCs through AD group policies and/or with System Center Configuration Manager.

  • In die Azure AD-Domäne eingebunden und über Intune verwaltet: Diese Option zielt üblicherweise auf CYOD-Bereitstellungen (Choose Your Own Device) und Roamingszenarien mit Laptops ab, die selten mit dem Unternehmensnetzwerk verbunden sind.Azure AD domain joined and Intune management: This scenario is typically geared to Choose Your Own Device (CYOD), and roaming laptop scenarios where these devices are rarely connected to corporate-network. Das Gerät tritt der Azure AD-Domäne bei und wird bei Intune registriert. Dadurch entsteht keinerlei Abhängigkeit von einer lokalen Active Directory-Instanz oder Domänencontrollern.The device joins to the Azure AD and gets enrolled to Intune, which removes any dependency on on-premises AD, and domain controllers. Diese Option kann als Kriterium für den bedingten Zugriff auf Unternehmensressourcen verwendet werden.This can be used as a conditional access criteria when accessing corporate resources.

  • In die AD-Domäne eingebunden und System Center Configuration Manager: Im aktuellen Branch stellt System Center Configuration Manager Funktionen für den bedingten Zugriff bereit, die bestimmte Konformitätskriterien auswerten können. Zusätzlich muss der PC in die Domäne eingebunden sein:AD domain joined and System Center Configuration Manager: As of current branch, System Center Configuration Manager provides conditional access capabilities that can evaluate specific compliance criteria, in addition to be a domain-joined PC:

    • Ist der PC verschlüsselt?Is the PC encrypted?

    • Ist Schadsoftware installiert?Is Malware installed? Ist der PC auf dem neuesten Stand?Is it up-to-date?

    • Wurde das Gerät per Jailbreak oder Rooting manipuliert?Is the device jailbroken or rooted?

Bring Your Own Device (BYOD)Bring your own device (BYOD)

  • Arbeitsplatzbeitritt und Intune-Verwaltung: Bei dieser Option können Benutzer ihre persönlichen Geräte einbinden, um auf Unternehmensressourcen und -dienste zuzugreifen.Workplace join and Intune management: Here the user can join their personal devices to access corporate resources and services. Sie können den Arbeitsplatzbeitritt verwenden und Geräte bei Intune registrieren, um Richtlinien auf Geräteebene zu erhalten. Dies ist eine weitere Option zum Auswerten von Kriterien für den bedingten Zugriff.You can use Workplace join and enroll devices into Intune to receive device-level policies, which is also another option to evaluate conditional access criteria.

App-basierter bedingter ZugriffApp-based conditional access

Intune und Azure Active Directory stellen gemeinsam sicher, dass nur verwaltete Geräte auf Unternehmens-E-Mails oder andere Office 365-Dienste zugreifen können.Intune and Azure Active Directory work together to make sure only managed apps can access corporate e-mail or other Office 365 services.

Nächste SchritteNext steps

Konfigurieren des bedingten Zugriffs in Azure Active DirectoryHow to configure conditional access in Azure Active Directory

Installieren des lokalen Exchange Connectors für IntuneHow to install on-premises Exchange connector with Intune.

Erstellen einer Richtlinie für den bedingten Zugriff auf Exchange lokalHow to create a conditional access policy for Exchange on-premises