Arbeitsplatzbeitritt von einem beliebigen Gerät für SSO und die nahtlose zweistufige Authentifizierung bei allen Unternehmensanwendungen

  • Artikel

Der rasche Anstieg der Anzahl von Verbrauchergeräten und des universellen Informationszugriffs ändert die Art und Weise, in der wir Technologie wahrnehmen. Die ständige Verwendung von Informationstechnologie im Laufe des Tages und der einfache Zugriff auf Informationen lassen die herkömmlichen Grenzen zwischen Berufs- und Privatleben verschwimmen. Bei den sich verschiebenden Grenzen liegt der Gedanke nahe, dass persönliche Technologie – die nach Persönlichkeiten, Aktivitäten und Terminen von Benutzern ausgewählt und daran angepasst werden – auf den Arbeitsplatz ausgeweitet werden sollte. Um die wachsende Anforderung einer Anbindung von persönlichen Verbrauchergeräten an Unternehmensnetzwerke zu erfüllen, werden die zwei folgenden Wertbeiträge eingeführt:

  • Administratoren können steuern, wer Zugriff auf Unternehmensressourcen hat, die auf Anwendungen, Benutzer, Geräte und Standorte basieren.

  • Mitarbeiter können überall mit jedem Gerät auf Anwendungen und Daten zugreifen. Mitarbeiter können das einmalige Anmelden in Browseranwendungen oder Unternehmensanwendungen verwenden.

Wichtige in der Lösung eingeführte Konzepte

In den Arbeitsplatz eingebunden

Mit der Verwendung des Arbeitsplatzbeitritts können Information-Worker ihre persönlichen Geräte zu den Arbeitsplatzcomputern ihres Unternehmens hinzufügen, um auf Unternehmensressourcen und -dienste zuzugreifen. Wenn Sie Ihr persönliches Gerät mit dem Arbeitsplatz verbinden, wird es zu einem bekannten Gerät und stellt die nahtlose zweistufige Authentifizierung und ein einmaliges Anmelden für Arbeitsplatzressourcen und -anwendungen bereit. Wenn ein Gerät über den Arbeitsplatzbeitritt hinzugefügt wird, können Attribute des Geräts vom Verzeichnis abgerufen werden, um einen bedingten Zugriff für den Zweck der autorisierenden Ausstellung von Sicherheitstoken für Anwendungen zu fördern. Durch Arbeitsplatzbeitritt können Windows 8.1-, iOS 6.0+- sowie Android 4.0+-Geräte zusammengeführt werden.

Microsoft Entra-Geräteregistrierungsdienst

Arbeitsplatzbeitritt wird durch den Microsoft Entra-Geräteregistrierungsdienst ermöglicht. Wenn ein Gerät über den Arbeitsplatzbeitritt hinzugefügt wird, stellt der Dienst ein Geräteobjekt in Microsoft Entra ID bereit und legt einen Schlüssel auf dem lokalen Gerät fest, der die Geräteidentität darstellt. Diese Geräteidentität kann dann mit Zugriffssteuerungsregeln für Anwendungen verwendet werden, die in der Cloud und lokal gehostet werden.

Weitere Informationen finden Sie unter Einführung in die Geräteverwaltung in Microsoft Entra ID.

Arbeitsplatzbeitritt als nahtlose zweistufige Authentifizierung

Unternehmen können das mit dem Informationszugriff verbundene Risiko verwalten und Governance und Compliance fördern, gleichzeitig aber Verbrauchergeräten Zugriff auf Unternehmensressourcen gewähren. Der Arbeitsplatzbeitritt auf Geräte bietet Administratoren die folgenden Funktionen:

  • Identifiziert bekannte Geräte mit Geräteauthentifizierung. Administratoren können diese Informationen verwenden, um einen bedingten Zugriff zu fördern und den Zugriff auf Ressourcen zu steuern.

  • Bietet eine nahtlosere Anmeldeerfahrung für Benutzer, um von vertrauenswürdigen Geräten auf Unternehmensressourcen zuzugreifen.

Single Sign-On

Im Zusammenhang mit diesem Szenario ist das einmalige Anmelden (Single Sign-On, SSO) die Funktion, mit der die Anzahl von Kennworteingabeaufforderungen reduziert wird, bei denen der Benutzer ein Kennwort eingeben muss, um von bekannten Geräten auf Unternehmensressourcen zuzugreifen. Diese Funktion bedeutet, dass Benutzer während der SSO-Lebensdauer nur einmal aufgefordert werden, um von diesem Gerät auf Anwendungen und Ressourcen des Unternehmens zuzugreifen. Wenn ein Gerät den Arbeitsplatzbeitritt verwendet, erhält der Benutzer, der für die Verwendung des Geräts registriert ist, standardmäßig für sieben ein beständiges einmaliges Anmelden. Dieser Benutzer hat eine nahtlose Anmeldeerfahrung in derselben oder in neuen Sitzungen.

Übersicht über die Lösungen

Als Teil dieser Lösung erfahren Sie, wie Sie den Arbeitsplatzbeitritt auf einem unterstützten Gerät verwenden und einmaliges Anmelden bei einer Unternehmensressource nutzen.

Hinweis

Zur Unterstützung von Windows 8.1-, iOS 6.0+- und Android 4.0+-Geräten MUSS die Microsoft Entra-Geräteregistrierung zusammen mit dem Zurückschreiben von Geräteobjekten konfiguriert werden, wie unter folgendem Link beschrieben: Step-by-Step Guide for On-premises Conditional Access using Microsoft Entra Device Registration Service

In den folgenden Lösungshandbüchern finden Sie die einzelnen Schritte für die exemplarische Vorgehensweise:

  1. Exemplarische Vorgehensweise: Arbeitsplatzbeitritt mit einem Windows-Gerät

  2. Exemplarische Vorgehensweise: Arbeitsplatzbeitritt mit einem iOS-Gerät

  3. Exemplarische Vorgehensweise: Arbeitsplatzbeitritt mit einem Android-Gerät

Weitere Informationen

Konfigurieren eines Verbundservers mit dem Geräteregistrierungsdienst