Aktivieren des bedingten Zugriffs zum besseren Schutz von Benutzern, Geräten und Daten

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Der bedingte Zugriff ist eine Funktion, mit der Sie Ihre Benutzer und Unternehmensinformationen besser schützen können, indem Sie sicherstellen, dass nur sichere Geräte Zugriff auf Anwendungen haben.

Mit bedingtem Zugriff können Sie den Zugriff auf Unternehmensinformationen basierend auf der Risikostufe eines Geräts steuern. Auf diese Weise können vertrauenswürdige Benutzer auf vertrauenswürdigen Geräten mithilfe vertrauenswürdiger Anwendungen beibehalten werden.

Sie können Sicherheitsbedingungen definieren, unter denen Geräte und Anwendungen Informationen aus Ihrem Netzwerk ausführen und darauf zugreifen können, indem Sie Richtlinien erzwingen, um die Ausführung von Anwendungen zu beenden, bis ein Gerät in einen kompatiblen Zustand zurückkehrt.

Die Implementierung des bedingten Zugriffs in Defender für Endpunkt basiert auf Microsoft Intune (Intune)-Gerätekompatibilitätsrichtlinien und Azure Active Directory (Azure AD) Richtlinien für bedingten Zugriff.

Die Kompatibilitätsrichtlinie wird mit bedingtem Zugriff verwendet, um nur Geräten, die eine oder mehrere Regeln der Gerätekompatibilitätsrichtlinie erfüllen, den Zugriff auf Anwendungen zu ermöglichen.

Grundlegendes zum Bedingten Zugriffsfluss

Der bedingte Zugriff wird eingerichtet, damit der Zugriff auf vertrauliche Inhalte blockiert wird, bis die Bedrohung behoben wird, wenn eine Bedrohung auf einem Gerät angezeigt wird.

Der Fluss beginnt mit Geräten mit einem niedrigen, mittleren oder hohen Risiko. Diese Risikoermittlungen werden dann an Intune gesendet.

Je nachdem, wie Sie Richtlinien in Intune konfigurieren, kann der bedingte Zugriff so eingerichtet werden, dass die Richtlinie angewendet wird, wenn bestimmte Bedingungen erfüllt sind.

Sie können Intune beispielsweise so konfigurieren, dass bedingter Zugriff auf Geräte mit hohem Risiko angewendet wird.

In Intune wird eine Gerätekompatibilitätsrichtlinie in Verbindung mit Azure AD bedingten Zugriff verwendet, um den Zugriff auf Anwendungen zu blockieren. Parallel dazu wird ein automatisierter Untersuchungs- und Korrekturprozess gestartet.

Ein Benutzer kann das Gerät weiterhin verwenden, während die automatisierte Untersuchung und Behebung stattfindet, aber der Zugriff auf Unternehmensdaten wird blockiert, bis die Bedrohung vollständig behoben ist.

Um das auf einem Gerät festgestellte Risiko zu beheben, müssen Sie das Gerät in einen kompatiblen Zustand versetzen. Ein Gerät kehrt in einen kompatiblen Zustand zurück, wenn kein Risiko dafür besteht.

Es gibt drei Möglichkeiten, ein Risiko zu beheben:

  1. Manuelle oder automatisierte Wartung verwenden.
  2. Beheben aktiver Warnungen auf dem Gerät. Dadurch wird das Risiko vom Gerät entfernt.
  3. Sie können das Gerät aus den aktiven Richtlinien entfernen, und folglich wird der bedingte Zugriff nicht auf das Gerät angewendet.

Die manuelle Behebung erfordert, dass ein Administrator eine Warnung untersucht und das auf dem Gerät angezeigte Risiko adressiert. Die automatisierte Problembehebung wird über die Konfigurationseinstellungen konfiguriert, die im folgenden Abschnitt " Konfigurieren des bedingten Zugriffs"bereitgestellt werden.

Wenn das Risiko entweder durch manuelle oder automatisierte Wartung entfernt wird, kehrt das Gerät in einen kompatiblen Zustand zurück, und der Zugriff auf Anwendungen wird gewährt.

In der folgenden Beispielsequenz von Ereignissen wird der bedingte Zugriff in Aktion erläutert:

  1. Ein Benutzer öffnet eine schädliche Datei, und Defender für Endpunkt kennzeichnet das Gerät als hohes Risiko.
  2. Die Bewertung mit hohem Risiko wird an Intune übergeben. Parallel dazu wird eine automatisierte Untersuchung eingeleitet, um die identifizierte Bedrohung zu beheben. Eine manuelle Korrektur kann auch durchgeführt werden, um die identifizierte Bedrohung zu beheben.
  3. Basierend auf der in Intune erstellten Richtlinie wird das Gerät als nicht kompatibel gekennzeichnet. Die Bewertung wird dann von der Intune-Richtlinie für bedingten Zugriff an Azure AD kommuniziert. In Azure AD wird die entsprechende Richtlinie angewendet, um den Zugriff auf Anwendungen zu blockieren.
  4. Die manuelle oder automatisierte Untersuchung und Behebung ist abgeschlossen, und die Bedrohung wird entfernt. Defender für Endpunkt sieht, dass kein Risiko auf dem Gerät besteht, und Intune bewertet das Gerät als konform. Azure AD wendet die Richtlinie an, die den Zugriff auf Anwendungen zulässt.
  5. Benutzer können jetzt auf Anwendungen zugreifen.