Welche gängigen Möglichkeiten gibt es für die Verwendung des bedingten Zugriffs in Intune?What are common ways to use Conditional Access with Intune?

Es gibt zwei Arten des bedingten Zugriffs in Intune: den gerätebasierten bedingten Zugriff und den App-basierten bedingten Zugriff.There are two types of conditional access with Intune: device-based conditional access and app-based conditional access. Sie müssen die entsprechenden Konformitätsrichtlinien konfigurieren, um die Konformität mit bedingtem Zugriff in Ihrer Organisation zu unterstützen.You need to configure the related compliance policies to drive conditional access compliance at your organization. Der bedingte Zugriff wird häufig verwendet, um Aktionen wie die folgenden auszuführen: Zulassen oder Blockieren des Zugriffs auf Exchange, Steuern des Zugriffs auf das Netzwerk oder Integrieren in eine Mobile Threat Defense-Lösung.Conditional access is commonly used to do things like allow or block access to Exchange, control access to the network, or integrate with a Mobile Threat Defense solution.

In diesem Artikel finden Sie Informationen zur Verwendung der Intune-Funktionen für die Konformität von mobilen Geräten und der Intune-Funktionen für die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM).The information in this article can help you understand how to use the Intune mobile device compliance capabilities and the Intune mobile application management (MAM) capabilities.

Hinweis

Bei dem bedingtem Zugriff handelt es sich um eine Azure Active Directory-Funktion, die in einer Azure Active Directory Premium-Lizenz enthalten ist.Conditional Access is an Azure Active Directory capability that is included with an Azure Active Directory Premium license. Intune erweitert diese Funktion, indem es der Lösung Konformität der mobilen Geräte und Mobile App-Verwaltung hinzufügt.Intune enhances this capability by adding mobile device compliance and mobile app management to the solution. Bei dem Knoten für bedingten Zugriff, auf den aus Intune zugegriffen wird, handelt es sich um denselben Knoten, auf den aus Azure AD zugegriffen wird.The Conditional Access node accessed from Intune is the same node as accessed from Azure AD.

Gerätebasierter bedingter ZugriffDevice-based Conditional Access

Intune und Azure Active Directory stellen gemeinsam sicher, dass nur verwaltete und konforme Geräte Zugriff auf E-Mails, Microsoft 365-Dienste, SaaS-Apps (Software-as-a-Service) und lokale Apps erhalten.Intune and Azure Active Directory work together to make sure only managed and compliant devices can access email, Microsoft 365 services, Software as a service (SaaS) apps, and on-premises apps. Zusätzlich können Sie in Azure Active Directory eine Richtlinie festlegen, die nur Computern, die der Domäne angehören, oder mobilen Geräten, die in Intune registriert sind, den Zugriff auf Microsoft 365-Dienste erlaubt.Additionally, you can set a policy in Azure Active Directory to only enable domain-joined computers or mobile devices that are enrolled in Intune to access Microsoft 365 services.

Intune stellt Funktionen für Gerätekonformitätsrichtlinien bereit, die den Konformitätsstatus der Geräte bewerten.Intune provides device compliance policy capabilities that evaluate the compliance status of the devices. Der Konformitätsstatus wird an Azure Active Directory gemeldet, um die in Azure Active Directory erstellte Richtlinie für den bedingten Zugriff zu erzwingen, wenn ein Benutzer versucht, auf Unternehmensressourcen zuzugreifen.The compliance status is reported to Azure Active Directory that uses it to enforce the Conditional Access policy created in Azure Active Directory when the user tries to access company resources.

Gerätebasierte Richtlinien für den bedingten Zugriff für Exchange Online und andere Microsoft 365-Produkte werden über das Microsoft Endpoint Manager Admin Center konfiguriert.Device-based Conditional Access policies for Exchange online and other Microsoft 365 products are configured through the Microsoft Endpoint Manager admin center.

Hinweis

Wenn Sie den gerätebasierten Zugriff für Inhalte aktivieren, auf die Benutzer über Browser-Apps auf ihren Android-Geräten mit persönlichen Arbeitsprofilen zugreifen, müssen Benutzer, die sich vor Januar 2021 registriert haben, den Browserzugriff wie folgt aktivieren:When you enable Device Based Access for content that users access from browser apps on their Android personally-owned work profile devices, users that enrolled before January 2021 must enable browser access as follows:

  1. Starten Sie die Unternehmensportal-App.Launch the Company Portal app.
  2. Navigieren Sie über das Menü zur Seite Einstellungen.Go to the Settings page from the menu.
  3. Tippen Sie im Abschnitt Browserzugriff aktivieren auf die Schaltfläche AKTIVIEREN.In the Enable Browser Access section, tap the ENABLE button.
  4. Schließen Sie die Browser-App, und starten Sie sie neu.Close and then restart the browser app.

Mit bedingtem Zugriff verfügbare Anwendungen zur Steuerung durch Microsoft IntuneApplications available in Conditional Access for controlling Microsoft Intune

Wenn Sie den bedingten Zugriff im Azure Active Directory-Portal konfigurieren, stehen Ihnen zwei Anwendungen zur Verfügung:When you are configuring conditional access in the Azure Active Directory portal, you have two applications available:

  1. Microsoft Intune: Diese Anwendung steuert den Zugriff auf die Microsoft Endpoint Manager-Konsole und Datenquellen.Microsoft Intune - This application controls access to the Microsoft Endpoint Manager console and data sources. Konfigurieren Sie die Zuweisungen/Steuerungen für diese Anwendung, wenn Sie die Microsoft Endpoint Manager-Konsole und Datenquellen im Blick haben.Configure grants/controls on this application when you want to target the Microsoft Endpoint Manager console and data sources.
  2. Microsoft Intune-Registrierungs: Diese Anwendung steuert den Registrierungsworkflow.Microsoft Intune Enrollment - This application controls the enrollment workflow. Konfigurieren Sie die Zuweisungen/Steuerungen für diese Anwendung, wenn Sie auf den Registrierungsprozess abzielen.Configure grants/controls on this application when you want to target the enrollment process. Weitere Informationen finden Sie unter Mehrstufige Authentifizierung für Geräteregistrierung in Intune erfordern.For more information see Require multi-factor authentication for Intune device enrollments.

Bedingter Zugriff basierend auf der NetzwerkzugriffssteuerungConditional access based on network access control

Intune lässt sich in Partnerlösungen wie Cisco ISE, Aruba Clear Pass und Citrix NetScaler integrieren, um die Zugriffssteuerung basierend auf der Intune-Registrierung und dem Konformitätszustand eines Geräts bereitzustellen.Intune integrates with partners like Cisco ISE, Aruba Clear Pass, and Citrix NetScaler to provide access controls based on the Intune enrollment and the device compliance state.

Benutzern kann der Zugriff auf unternehmenseigene WLAN- oder VPN-Ressourcen erlaubt oder verweigert werden, je nachdem, ob das verwendete Gerät verwaltet wird und den Intune-Richtlinien für die Gerätekonformität entspricht.Users can be allowed or denied access to corporate Wi-Fi or VPN resources based on whether the device they're using is managed and compliant with Intune device compliance policies.

Bedingter Zugriff basierend auf dem GeräterisikoConditional access based on device risk

Intune arbeitet mit MTD-Anbietern (Mobile Threat Defense) zusammen, um eine Sicherheitslösung bereitzustellen, die Schadsoftware, Trojaner und andere Bedrohungen auf mobilen Geräten erkennt.Intune partners with Mobile Threat Defense vendors that provide a security solution to detect malware, Trojans, and other threats on mobile devices.

Funktionsweise von Intune und der Integration von MTD-LösungenHow the Intune and Mobile Threat Defense integration works

Wenn der Mobile Threat Defense-Agent auf mobilen Geräten installiert ist, sendet dieser Benachrichtigungen zum Konformitätszustand an Intune zurück, die eine Meldung enthalten, wenn auf dem mobilen Gerät eine Bedrohung gefunden wurde.When mobile devices have the Mobile Threat Defense agent installed, the agent sends compliance state messages back to Intune reporting when a threat is found on the mobile device itself.

Die Integration von Intune und Mobile Threat Defense ist ein wichtiger Faktor bei Entscheidungen zum bedingten Zugriff basierend auf dem Geräterisiko.The Intune and mobile threat defense integration plays a factor in the conditional access decisions based on device risk.

Bedingter Zugriff für Windows-PCsConditional access for Windows PCs

Der bedingte Zugriff für PCs bietet eine Funktionalität, die der für mobile Geräte verfügbaren ähnlich ist.Conditional access for PCs provides capabilities similar to those available for mobile devices. Im Folgenden finden Sie Informationen zu den verschiedenen Möglichkeiten, den bedingten Zugriff beim Verwalten von PCs mit Intune zu verwenden.Let's talk about the ways you can use conditional access when managing PCs with Intune.

Unternehmenseigene GeräteCorporate-owned

  • Über Azure AD Hybrid eingebunden: Diese Option wird häufig von Organisationen genutzt, die bereits mit der Verwaltung ihrer PCs über AD-Gruppenrichtlinien oder Configuration Manager vertraut sind.Hybrid Azure AD joined: This option is commonly used by organizations that are reasonably comfortable with how they're already managing their PCs through AD group policies or Configuration Manager.

  • In die Azure AD-Domäne eingebunden und über Intune verwaltet: Dieses Szenario eignet sich für Organisationen, die einen Cloud-First-Ansatz (primäre Nutzung von Clouddiensten, sodass weniger lokale Infrastruktur erforderlich ist) oder einen Cloud-Only-Ansatz (gar keine lokale Infrastruktur) verfolgen möchten.Azure AD domain joined and Intune management: This scenario is for organizations that want to be cloud-first (that is, primarily use cloud services, with a goal to reduce use of an on-premises infrastructure) or cloud-only (no on-premises infrastructure). Die Azure AD-Einbindung lässt sich gut in einer hybriden Umgebung einsetzen und bietet Zugriff auf Apps und Ressourcen sowohl in der Cloud als auch in der lokalen Infrastruktur.Azure AD Join works well in a hybrid environment, enabling access to both cloud and on-premises apps and resources. Geräte werden in Azure AD eingebunden und in Intune registriert – dies kann beim Zugriff auf Unternehmensressourcen als Kriterium für den bedingten Zugriff verwendet werden.The device joins to the Azure AD and gets enrolled to Intune, which can be used as a conditional access criteria when accessing corporate resources.

Bring Your Own Device (BYOD)Bring your own device (BYOD)

  • Arbeitsplatzbeitritt und Intune-Verwaltung: Bei dieser Option können Benutzer ihre persönlichen Geräte einbinden, um auf Unternehmensressourcen und -dienste zuzugreifen.Workplace join and Intune management: Here the user can join their personal devices to access corporate resources and services. Sie können den Arbeitsplatzbeitritt verwenden und Geräte bei Intune MDM registrieren, um Richtlinien auf Geräteebene zu erhalten. Dies ist eine weitere Option zum Auswerten von Kriterien für den bedingten Zugriff.You can use Workplace join and enroll devices into Intune MDM to receive device-level policies, which are another option to evaluate conditional access criteria.

Erfahren Sie mehr über Geräteverwaltung in Azure Active Directory.Learn more about Device Management in Azure Active Directory.

App-basierter bedingter ZugriffApp-based conditional access

Intune und Azure Active Directory stellen gemeinsam sicher, dass nur verwaltete Geräte auf Unternehmens-E-Mails oder andere Microsoft 365-Dienste zugreifen können.Intune and Azure Active Directory work together to make sure only managed apps can access corporate e-mail or other Microsoft 365 services.

Bedingter Zugriff von Intune für Exchange lokalIntune Conditional access for Exchange on-premises

Der bedingte Zugriff kann zum Zulassen oder Sperren des Zugriffs auf Exchange lokal basierend auf den Konformitätsrichtlinien für Geräte und dem Registrierungsstatus verwendet werden.Conditional access can be used to allow or block access to Exchange on-premises based on the device compliance policies and enrollment state. Wenn der bedingte Zugriff zusammen mit einer Gerätekonformitätsrichtlinie verwendet wird, ist nur konformen Geräten der Zugriff auf Exchange lokal gestattet.When conditional access is used in combination with a device compliance policy, only compliant devices are allowed access to Exchange on-premises.

Sie können erweiterte Einstellungen wie die folgenden für den bedingten Zugriff konfigurieren, um eine präzisere Steuerung zu erzielen:You can configure advanced settings in conditional access for more granular control such as:

  • Zulassen oder Blockieren bestimmter PlattformenAllow or block certain platforms.

  • Sofortiges Blockieren von Geräten, die nicht über Intune verwaltet werdenImmediately block devices that aren't managed by Intune.

Jedes Gerät, mit dem auf Exchange lokal zugegriffen wird, wird auf Konformität überprüft, wenn Richtlinien für Gerätekonformität und bedingten Zugriff angewendet werden.Any device used to access Exchange on-premises is checked for compliance when device compliance and conditional access policies are applied.

Wenn ein Gerät die festgelegten Bedingungen nicht erfüllt, erhält der Endbenutzer Anweisungen zum Registrieren des Geräts, um das Problem zu beheben, das die Konformität des Geräts verhindert.When devices don't meet the conditions set, the end user is guided through the process of enrolling the device to fix the issue that is making the device noncompliant.

Hinweis

Ab Juli 2020 wird der Exchange Connector nicht mehr unterstützt und durch die hybride moderne Authentifizierung (HMA) für Exchange ersetzt.Beginning in July of 2020, support for the Exchange connector is deprecated, and replaced by Exchange hybrid modern authentication (HMA). Für die Verwendung der HMA muss Intune nicht den Exchange Connector einrichten und verwenden.Use of HMA does not require Intune to setup and use the Exchange Connector. Durch diese Änderung wurde die Benutzeroberfläche zum Konfigurieren und Verwalten des Exchange Connector für Intune aus dem Admin Center des Microsoft Endpoint Manager entfernt, sofern Sie mit Ihrem Abonnement nicht bereits den Exchange Connector verwenden.With this change, the UI to configure and manage the Exchange Connector for Intune has been removed from the Microsoft Endpoint Manager admin center, unless you already use an Exchange connector with your subscription.

Wenn Sie einen Exchange Connector in Ihrer Umgebung eingerichtet haben, wird Ihr Intune-Mandant weiterhin für dessen Verwendung unterstützt, und Sie haben weiterhin Zugriff auf die Benutzeroberfläche, die dessen Konfiguration unterstützt.If you have an Exchange Connector set up in your environment, your Intune tenant remains supported for its use, and you’ll continue to have access to UI that supports its configuration. Weitere Informationen finden Sie unter Einrichten des lokalen Intune Exchange Connector.See Install Exchange on-premises connector for more information. Sie können den Connector weiterhin verwenden oder die HMA konfigurieren und den Connector deinstallieren.You can continue to use the connector or configure HMA and then uninstall your connector.

Die hybride moderne Authentifizierung stellt Funktionen bereit, die bisher im Exchange Connector für Intune verfügbar waren: Zuordnen einer Geräteidentität zum entsprechenden Exchange-Datensatz:Hybrid Modern Authentication provides functionality that was previously provided by the Exchange Connector for Intune: Mapping of a device identity to its Exchange record. Diese Zuordnung ist nun nicht mehr Teil einer von Ihnen in Intune vorgenommenen Konfiguration oder der Anforderung, dass der Intune Connector zum Verbinden von Intune und Exchange verwendet werden soll.This mapping now happens outside of a configuration you make in Intune or the requirement of the Intune connector to bridge Intune and Exchange. Mit der HMA wurde die Anforderung der Verwendung der Intune-spezifischen Konfiguration (des Connectors) aufgehoben.With HMA, the requirement to use the ‘Intune' specific configuration (the connector) has been removed.

Was ist die Intune-Rolle?What's the Intune role?

Intune bewertet und verwaltet den Gerätezustand.Intune evaluates and manages the device state.

Was ist die Exchange-Server-Rolle?What's the Exchange server role?

Der Exchange-Server stellt die API und die Infrastruktur bereit, um Geräte in die Quarantäne zu verschieben.Exchange server provides API and infrastructure to move devices to quarantine.

Wichtig

Denken Sie daran, dass dem Benutzer, der das Gerät verwendet, ein Konformitätsprofil und eine Intune-Lizenz zugewiesen sein müssen, damit das Gerät hinsichtlich der Konformität bewertet werden kann.Keep in mind that the user who's using the device must have a compliance profile and Intune license assigned to them so the device can be evaluated for compliance. Wenn keine Konformitätsrichtlinie für den Benutzer bereitgestellt wird, wird das Gerät als konform behandelt, und es werden keine Zugriffsbeschränkungen angewendet.If no compliance policy is deployed to the user, the device is treated as compliant and no access restrictions are applied.

Nächste SchritteNext steps

Konfigurieren des bedingten Zugriffs in Azure Active DirectoryHow to configure Conditional Access in Azure Active Directory

Einrichten App-basierter Richtlinien für bedingten ZugriffSet up app-based conditional access policies

Erstellen einer Richtlinie für den bedingten Zugriff auf Exchange lokalHow to create a Conditional Access policy for Exchange on-premises