Erneutes Zuweisen von Richtlinien für bedingten Zugriff über das klassische Intune-Porta zum Azure-PortalReassign conditional access policies from Intune classic portal to the Azure portal

Ab dem neuen Azure-Portal bietet der bedingt Zugriff Unterstützung für mehrere Richtlinien pro Anwendung zusammen mit erweiterter Anpassbarkeit.Starting in the new Azure portal, conditional access offers support for multiple policies per application, along with more customizability.

VorbereitungBefore you begin

Wenn Sie bereit für das Azure-Portal sind, befolgen Sie die in diesem Thema angegebenen Schritte, um die Richtlinien des bedingten Zugriffs, die Sie zuvor im klassischen Intune-Portal erstellt haben, erneut zuzuweisen:If you’re ready to move to the Azure portal, follow the steps in this topic to reassign the conditional access policies you previously created in the Intune classic portal:

  • Sammeln Sie die Richtlinien für bedingten Zugriff, die zuvor erstellt wurden, damit Sie wissen, welche Einstellungen Sie für die spätere Neuzuweisung benötigen.Gather the conditional access policies previously created, so you know what settings you need to reassign later.

  • Führen Sie die Schritte in diesem Thema aus, um diese Richtlinien im Azure-Portal neu zu erstellen.Follow the steps in this topic to re-create these policies in the Azure portal.

  • Deaktivieren Sie die bedingten Richtlinien im klassischen Intune-Portal, nachdem Sie überprüft haben, ob die neuen Richtlinien im Azure-Portal wie erwartet funktionieren.Disable the conditional policies in the Intune classic portal, after you have verified that the new policies are working as expected in the Azure portal.

    • Vor dem Deaktivieren der Richtlinien für bedingten Zugriff im klassischen Intune-Portal, planen Sie, wie Sie Benutzer zur neuen Richtlinie verschieben.Before you disable the conditional access policies in the Intune classic portal, plan how you'll move users over to the new policy. Es gibt zwei Ansätze:There are two approaches:

      • Verwenden Sie dieselbe Einschlussgruppe, um die im Azure-Portal erstellten Richtlinien anzuwenden, und erstellen Sie eine neue Ausnahmegruppe, die mit den vom klassischen Intune-Portal angewendeten Richtlinien verwendet wird.Use the same inclusion group to apply policies created in the Azure portal, and create a new exemption group to use with the policies applied by the Intune classic portal.
        • Verschieben Sie einige Benutzer allmählich in die Ausnahmegruppe, die im klassischen Portal angegeben ist.Gradually move some users into the exemption group specified in the classic portal. Dies verhindert, dass die Richtlinien, die das Ziel des klassischen Intune-Portals sind, angewendet werden.This prevents the policies targeted by the Intune classic portal from being applied. Die Richtlinien, die für die gleiche Benutzergruppe im Azure-Portal erstellt wurden und konzipiert sind, werden zusätzlich zu den im klassischen Intune-Portal angewendeten Richtlinien angewendet.The policies created and targeted to the same user group in the Azure portal are applied, in addition to the ones applied in the Intune classic portal.

      • Erstellen Sie eine neue Gruppe für Richtlinien für bedingten Zugriff im Azure-Portal.Create a new group to target the conditional access policies in the Azure portal. Wenn Sie sich für diese Vorgehensweise entscheiden, müssen Sie folgende Aktionen ausführen:If you choose this approach, you need to do the following:
        • Entfernen Sie Benutzer allmählich aus den Sicherheitsgruppen, die speziell für das klassische Intune-Portal Richtlinien für bedingten Zugriff besitzen.Gradually remove users from the security groups that have conditional access policies targeted to them in the Intune classic portal.
        • Nachdem Sie bestätigt haben, dass die neue Richtlinie für diese Benutzer funktioniert, können Sie die Richtlinie im klassischen Intune-Portal deaktivieren.After you have confirmed the new policy is working for those users, you can disable the policy in the Intune classic portal.

  • Wenn Sie die Einstellungen für die Richtlinien für den bedingten Zugriff konfiguriert haben, um Exchange Active Sync (EAS) im klassischen Intune-Portal zu verwenden, gehen Sie zu den Anweisungen in diesem Thema, um die Einstellungen der Richtlinie für bedingten Zugriff für EAS im Azure-Portal erneut zuzuweisen.If you have your conditional access policy settings configured to use Exchange ActiveSync (EAS) in the Intune classic portal, see the instructions in this topic to reassign EAS conditional access policy settings in the Azure portal.

So überprüfen Sie Ihre Richtlinien für den gerätebasierten bedingten Zugriff im klassischen Intune-PortalTo verify your device-based conditional access policies in the Intune classic portal

  1. Wechseln Sie zum klassischen Intune-Portal, und melden Sie sich mit Ihren Anmeldeinformationen an.Go to the Intune classic portal, and sign in with your credentials.

  2. Wählen Sie Richtlinie im linken Menü aus.Choose Policy from the left menu.

  3. Wählen Sie Bedingter Zugriff aus und anschließend den Microsoft-Clouddienst (z.B. Exchange Online oder SharePoint Online), für den Sie eine Richtlinie für bedingten Zugriff erstellt haben.Choose Conditional access, and then select the Microsoft cloud service (for example, Exchange Online or SharePoint Online) you created a conditional access policy for.

  4. Notieren Sie sich die Einstellungen für den bedingten Zugriff, und beziehen Sie sich auf diese Notizen, wenn Sie die gleichen Richtlinien für bedingten Zugriff im Azure-Portal erstellen.Take note of your conditional access settings, and refer to these when you create the same conditional access policies in the Azure portal.

Richtlinien für den App- und gerätebasierten bedingten Zugriffs, die zusammen arbeitenApp and device-based conditional access policies working together

Das Blatt Intune-App-Schutz im Azure-Portal erlaubt Administratoren, App-basierte bedingte Regeln festzulegen, sodass nur Apps, die die App-Schutzrichtlinien von Intune unterstützen, auf Unternehmensressourcen zugreifen dürfen.The Intune App Protection blade in the Azure portal enables admins to set app-based conditional rules so that only apps that support the Intune app protection policies are allowed access to corporate resources. Sie können diese Richtlinien für den App-basierten bedingten Zugriff mithilfe von Richtlinien für den gerätebasierten bedingten Zugriff überlappen.You can choose to overlap these app-based conditional access policies by using device-based conditional access policies. Sie können die gerätebasierte und App-basierte bedingte Richtlinie kombinieren (logischer UND-Vorgang) oder eine Option bereitstellen (logischer ODER-Vorgang).You can combine the device-based and app-based conditional policies (logical AND), or you can provide either option (logical OR). Wenn die Anforderungen für Ihre Richtlinie für den bedingten Zugriffs Folgende sind:If your conditional access policy requirements are to:

Tipp

Dieses Thema enthält Screenshots, die die Benutzererfahrung im klassischen Intune-Portal und dem Azure-Portal vergleichen.This topic provides screenshots comparing the user experience in both the Intune classic portal and the Azure portal.

Erneutes Zuweisen von Richtlinien für den gerätebasierten bedingten Zugriff für IntuneReassign Intune device-based conditional access policies

  1. Wechseln Sie zum bedingten Zugriff im Azure-Portal, und melden Sie sich mit Ihren Anmeldeinformationen an.Go to Conditional access in the Azure portal, and sign in with your credentials.

  2. Wählen Sie Neue Richtlinie aus.Choose New policy.

  3. Geben Sie einen Namen für die Richtlinie an.Provide a name for the policy.

  4. Wählen Sie Benutzer und Gruppen unter dem Abschnitt Zuweisungen für die neue Richtlinie für den bedingten Zugriff aus.Under the Assignments section, choose Users and groups to target the new conditional access policy.

    Vergleich der Benutzergruppen-Benutzeroberfläche zwischen den Portalen Intune und Azure

    Wichtig

    Diese Auswahl, die Sie für das Azure-Portal treffen, muss mit der Auswahl übereinstimmen, die Sie bereits für das Azure-Portal getroffen haben.The selection you make for the Azure portal should correspond to the selection you made for the Azure portal. Wenn Sie z.B. alle Benutzer im klassischen Intune-Portal ausgewählt haben, wählen Sie im Azure-Portal Alle Benutzer aus.For example, if you have all users selected in the Intune classic portal, select All users in the Azure portal. Wenn Sie darüber hinaus die Option Ausgenommene Gruppen im klassischen Intune-Portal ausgewählt haben, schließen Sie diese ausgewählten Gruppen im Azure-Portal aus.Additionally, if you’ve chosen the Exempt groups option in the Intune classic portal, also exclude those select groups in the Azure portal.

  5. Nachdem Sie Ihre Gruppe ausgewählt haben, wählen Sie Auswählen aus, und klicken Sie dann auf Fertig.After you choose your group, click Select, and then click Done.

  6. Wählen Sie Cloud-Apps unter dem Abschnitt Zuweisungen aus.Under the Assignments section, choose Cloud apps.

  7. Wählen Sie auf dem Cloud-Apps-Blatt Apps auswählen aus.On the Cloud apps blade, choose Select apps.

  8. Wählen Sie die App, für die Sie die neue Richtlinie für bedingten Zugriff anwenden möchten, und klicken Sie auf Auswählen.Choose the app you want to apply the new conditional access policy to, and click Select.

  9. Klicken Sie auf Fertig.Click Done.

    Vergleich der Cloud-App-Benutzeroberfläche zwischen den Portalen Intune und Azure

    Tipp

    Wenn Sie mehrere Apps mit derselben Richtlinie haben, ziehen Sie in Betracht, sie in einer einzelnen Richtlinie im Azure-Portal zu konsolidieren.If you have multiple apps with the same policy, consider consolidating them into a single policy in the Azure portal.

  10. Wählen Sie Bedingungen unter dem Abschnitt Zuweisungen aus.Under the Assignments section, choose Conditions.

  11. Wählen Sie auf dem Blatt Bedingungen die Option Geräteplattformen aus, dann wählen Sie die zutreffende Geräteplattform aus.On the Conditions blade, choose Device platforms, and then choose the applicable device platforms.

  12. Sobald Sie damit fertig sind, klicken Sie zweimal auf Fertig.When you are finished choosing the device platforms, click Done twice.

    Vergleich der Geräteplattform-Benutzeroberfläche zwischen den Portalen Intune und Azure

    Tipp

    Wenn Sie einzelne Plattformen im klassischen Intune-Portal ausgewählt haben, wählen Sie die einzelnen Plattformen im Azure-Portal aus.If you have chosen individual platforms in the Intune classic portal, choose the individual platforms in the Azure portal.

    Hinweis

    Sie können später den Domänenbeitritt oder kompatible Optionen für Windows angeben.You can specify the domain join or compliant options for Windows later.

  13. Wählen Sie Bedingungen unter dem Abschnitt Zuweisungen aus.Under the Assignments section, choose Conditions.

  14. Wählen Sie auf dem Blatt Bedingungen Client-Apps aus, wählen Sie dann die zutreffende Client-App aus.On the Conditions blade, choose Client apps, and then choose the applicable client app.

  15. Sobald Sie damit fertig sind, klicken Sie auf zweimal auf Fertig.When you have finished choosing the client app, click Done twice.

    Vergleich der Client-Apps-Benutzeroberfläche zwischen den Portalen Intune und Azure

  16. Wenn Sie die Browsereinstellungen im klassischen Intune-Portal ausgewählt haben, wählen Sie jeweils Browser und Mobile Apps und Desktopclients im Azure-Portal aus.If you have chosen the browser settings in the Intune classic portal, select both Browser and Mobile apps and desktop clients in the Azure portal. Wählen Sie für den Fall, dass Sie nicht die Browsereinstellungen im klassischen Intune-Portal ausgewählt haben, nur Mobile Apps und Desktopclients aus.In case you have not chosen the browser settings in the Intune classic portal, choose Mobile apps and desktop clients only.

  17. Wählen Sie im Abschnitt Zugriffssteuerung die Option Grant (Gewähren) aus.Under the Access controls section, choose Grant.

  18. Wählen Sie Markieren des Geräts als kompatibel erforderlich unter Grant Access Controls (Zugriffssteuerungen gewähren) aus, klicken Sie dann auf Auswählen.Under Grant Access Controls, choose Require device to be marked as compliant, and then click Select.

  19. Wenn Sie eine Richtlinie besitzen, die mit einer Domäne verknüpfte Windows-Geräte erfordert, und Sie auch in Intune registrierte und mit Windows kompatible Geräte zulassen, wählen Sie In Domäne eingebundenes Gerät anfordern und Markieren des Geräts als kompatibel erforderlich zusammen mit Eine der ausgewählten Kontrollen anfordern aus.If you have a policy to require domain joined Windows devices, and you also allow Intune-enrolled and compliant Windows devices, choose Require domain joined device and Require device to be marked as compliant, along with Require one of the selected controls.

  20. Wenn Sie keine mit Intune registrierten und mit Windows kompatiblen Geräte erlauben, schließen Sie Windows-Richtlinien von der aktuellen Richtlinie aus.If you do not allow Intune enrolled and compliant Windows devices, exempt the Windows policy from the current policy. Erstellen Sie anschließend eine separate Richtlinie, für die Geräteplattformen auf Windows festgelegt sind, einschließlich der anderen Bedingungen, die wie oben festgelegt sind. Wählen Sie dann In Domäne eingebundenes Gerät anfordern unter Grant Access Controls (Zugriffssteuerungen genehmigen) aus.Then create a separate policy with Device platforms set to Windows, include the other conditions as set per above, and choose Require domain joined device under Grant Access Controls.

  21. Aktivieren Sie die Umschaltfläche Richtlinie aktivieren auf dem Blatt Neu der Richtlinie für den bedingten Zugriff, klicken Sie dann auf Erstellen.On the New conditional access policy blade, turn on the Enable policy toggle, and then click Create.

    Zulassen des Vergleichs der Benutzeroberfläche für die Richtlinie für bedingten Zugriff zwischen den Portalen Intune und Azure

Erneutes Zuweisen von Richtlinien für den gerätebasierten bedingten Zugriff für EAS-Clients für IntuneReassign Intune device-based conditional access policies for EAS clients

Wenn Sie Exchange Active Sync-Einstellungen als Teil einer Exchange Online-Richtlinie im klassischen Intune-Portal konfiguriert haben, müssen Sie eine zweite Richtlinie für den bedingten Zugriff im Azure-Portal erstellen.If you have configured Exchange ActiveSync settings as part of an Exchange Online policy in the Intune classic portal, you need to create a second conditional access policy in the Azure portal.

  1. Wechseln Sie zum bedingten Zugriff im Azure-Portal, und melden Sie sich mit Ihren Anmeldeinformationen an.Go to Conditional access in the Azure portal, and sign in with your credentials.

  2. Wählen Sie Neue Richtlinie aus.Choose New policy.

  3. Geben Sie einen Namen für die Richtlinie an.Provide a name for the policy.

  4. Wählen Sie Benutzer und Gruppen unter dem Abschnitt Zuweisungen für die neue Richtlinie für den bedingten Zugriff aus.Under the Assignments section, choose Users and groups to target the new conditional access policy.

    Vergleich der Benutzergruppen-Benutzeroberfläche zwischen den Portalen Intune und Azure

    Wichtig

    Diese Auswahl, die Sie für das Azure-Portal treffen, muss mit der Auswahl übereinstimmen, die Sie bereits für das Azure-Portal getroffen haben.The selection you make for the Azure portal should correspond to the selection you made for the Azure portal. Wenn Sie z.B. alle Benutzer im klassischen Intune-Portal ausgewählt haben, wählen Sie im Azure-Portal Alle Benutzer aus.For example, if you have all users selected in the Intune classic portal, select All users in the Azure portal. Wenn Sie darüber hinaus die Option Ausgenommene Gruppen im klassischen Intune-Portal ausgewählt haben, schließen Sie diese ausgewählten Gruppen im Azure-Portal aus.Additionally, if you’ve chosen the Exempt groups option in the Intune classic portal, also exclude those select groups in the Azure portal.

  5. Nachdem Sie Ihre Gruppe ausgewählt haben, wählen Sie Auswählen aus, und klicken Sie dann auf Fertig.After you choose your group, click Select, and then click Done.

  6. Wählen Sie Cloud-Apps unter dem Abschnitt Zuweisungen aus.Under the Assignments section, choose Cloud apps.

  7. Klicken Sie auf dem Blatt Cloud-Apps auf Apps auswählen, und wählen Sie Exchange Online aus.On the Cloud apps blade, click Select apps, and choose Exchange Online. Klicken Sie dann auf Auswählen und Fertig.Then click Select and Done.

    Vergleich der Cloud-Apps-Benutzeroberfläche zwischen den Portalen Intune und Azure

    Wichtig

    Bedingte Zugriffsrichtlinien für EAS-Clients können keine andere Cloud-App enthalten.Conditional access policies for EAS clients cannot include any other cloud app.

  8. Wählen Sie auf dem Blatt Bedingungen Client-Apps aus, wählen Sie dann die zutreffende Client-App aus.On the Conditions blade, choose Client apps, and then choose the applicable client app. Wenn Sie Clients blockieren möchten, die nicht von Intune unterstützt werden, verwenden Sie die Option Richtlinie nur auf unterstützte Plattformen anwenden.If you have chosen to block clients that aren’t supported by Intune, use the Apply policy only to supported platforms option.

    Vergleich der Client-Apps-Benutzeroberfläche zwischen den Portalen Intune und Azure

  9. Sobald Sie damit fertig sind, klicken Sie auf zweimal auf Fertig.When you have finished choosing the client app, click Done twice.

  10. Wählen Sie im Abschnitt Zugriffssteuerung die Option Grant (Gewähren) aus.Under the Access controls section, choose Grant.

  11. Wählen Sie Markieren des Geräts als kompatibel erforderlich unter Grant Access Controls (Zugriffssteuerungen gewähren) aus, klicken Sie dann auf Auswählen.Under Grant Access Controls, choose Require device to be marked as compliant, and then click Select.

    Vergleich der Benutzeroberfläche für das Erteilen von Zugriff zwischen den Portalen Intune und Azure

  12. Aktivieren Sie die Umschaltfläche Richtlinie aktivieren auf dem Blatt Neu der Richtlinie für den bedingten Zugriff, klicken Sie dann auf Erstellen.On the New conditional access policy blade, turn on the Enable policy toggle, and then click Create.

    Zulassen des Vergleichs der Benutzeroberfläche für die Richtlinie für bedingten Zugriff zwischen den Portalen Intune und Azure

Deaktivieren von Richtlinien für bedingten Zugriff im klassischen Intune-PortalDisable conditional access policies in the Intune classic portal

Sobald Sie Ihre Richtlinien für den bedingten Zugriff erneut im Azure-Portal zugewiesen haben, ist es wichtig, dass Sie die Richtlinien für bedingten Zugriff, die Sie zuvor im klassischen Intune-Portal erstellt haben, allmählich deaktivieren.After you have reassigned your conditional access policies in the Azure portal, it's important to gradually disable the conditional access policies previously created in the Intune classic portal. Darüber hinaus müssen Sie möglicherweise die gleiche Sicherheitsgruppe verwenden, um die im Azure-Portal erstellten Richtlinien für bedingten Zugriff anzuwenden.Additionally, you might need to use the same security group to apply the conditional access policies created in the Azure portal.

Hinweis

Sehen Sie sich den Abschnitt mit den Vorbereitungen zu Beginn dieses Themas an, bevor Sie Ihre Richtlinien für den bedingten Zugriff im klassischen Intune-Portal deaktivieren.Before disabling your conditional access policies in the Intune classic portal, see the Before you begin section at the beginning of this topic.

So deaktivieren Sie die Richtlinien für den bedingten ZugriffTo disable the conditional access policies

  1. Wechseln Sie zum klassischen Intune-Portal, und melden Sie sich mit Ihren Anmeldeinformationen an.Go to the Intune classic portal, and sign in with your credentials.

  2. Wählen Sie Richtlinie im linken Menü aus.Choose Policy from the left menu.

  3. Wählen Sie Bedingter Zugriff aus und anschließend den Microsoft-Clouddienst (Exchange Online, SharePoint Online usw.), für den Sie eine Richtlinie für bedingten Zugriff erstellt haben.Choose Conditional access, and then select the Microsoft cloud service (for example, Exchange Online or SharePoint Online) that you created a conditional access policy for.

  4. Deaktivieren Sie die Option Bedingte Zugriffsrichtlinie für Exchange Online aktivieren, und klicken Sie dann auf Speichern.Uncheck the option Enable conditional access policy, and then click Save.

    Deaktivieren von Richtlinien für bedingten Zugriff im klassischen Intune-Portal

Weitere Informationen:See also