In einem früheren
Artikel habe ich den Wechsel zu Intune Standalone erwähnt, mit dem wir die Funktionen von Azure Active Directory in größerem Umfang nutzen konnten, nämlich mit bedingtem Zugriff zu arbeiten. In diesem Artikel werde ich Ihnen mehr darüber erzählen, wie dies getan werden kann.
Was ist das?
Conditional Access (CA) ist ein Mechanismus zum Überprüfen jedes Verbindungsprozesses zum System basierend auf dem konfigurierten Skript und der Entscheidung, die bestimmt, was mit dieser Verbindung geschehen soll. Und es kann verboten, ohne Bedingungen oder mit Bedingungen erlaubt werden. Es ist eine Komponente von Azure AD.
Dieses Szenario wird durch die folgenden Einstellungen beschrieben:
Zuweisungen - In welchen Fällen sollte das Skript ausgelöst werden?
Zugangskontrollen - was zu tun ist.
Der Abschnitt
Aufgaben enthält:
-
Benutzer und Gruppen - Welche Benutzer unterliegen der Richtlinie? Dies können alle Benutzer in Azure AD oder bestimmte Gruppen / Benutzer sein. Sie können separat Ausnahmen angeben. Sie können die Richtlinie auf alle Benutzer mit Ausnahme einer einzelnen Gruppe anwenden.
-
Cloud-Apps - Skripts können auf jede in Azure AD registrierte Anwendung angewendet werden. Das heißt, Sie können nicht nur mit Office 365-Anwendungen arbeiten.
-
Bedingungen - zusätzliche Bedingungen.
-
Anmeldungsrisiko - die Fähigkeit, den Mechanismus zur Bewertung des Autorisierungsrisikos zu verwenden. Es wird geschätzt, wo, zu welcher Zeit, mit welchem Client, wie stark dieses Verhalten normalerweise ist usw. Erfordert eine Azure AD Premium 2-Lizenz.
-
Geräteplattformen - Es kann angegeben werden, auf welche Plattform die Richtlinie anwendbar ist. Erstellen Sie beispielsweise eine Richtlinie nur für mobile Clients oder nur für Windows-Computer.
-
Standorte - implizieren Netzwerkstandorte. Sie können die Liste der vertrauenswürdigen IP-Adressen verwenden.
-
Client-Apps (Vorschau) - wertet den Client-Typ aus. Es ist möglich, eine Richtlinie nur für den Browser oder EAS (Exchange Active Sync) zu erstellen. Für diejenigen, die die Verwendung von OWA auf Mobilgeräten beenden möchten, aber die Option für Desktop-Computer beibehalten möchten.
-
Gerätestatus (Vorschau) - Ermöglicht das Ausschließen von Geräten in einem bestimmten Status.
Als Nächstes müssen Sie konfigurieren, was genau die Richtlinie tun oder erfordern wird.
Hierfür gibt es zwei Abschnitte:
Gewähren - Hier wird das Szenario konfiguriert: Blockieren des Zugriffs oder Erfordernis zusätzlicher Sicherheitsmaßnahmen.
Sitzungssteuerung in der Sitzung selbst. Derzeit ist die Verwendung nur mit Exchange Online und Sharepoint Online möglich. Weitere Informationen
hier .
Schauen wir uns nun einige Anwendungsfälle an.
Szenario 1. Öffnen Sie den Zugriff auf Azure AD-Anwendungen nur auf mobilen Geräten, die von Intune verwaltet werden.Angenommen, wir müssen den Zugriff auf in Azure AD registrierte Anwendungen beschränken und ihn nur Geräten gewähren, die von Intune verwaltet werden. Dies sollte für alle Geräte gelten.
Wir wenden die Richtlinie auf alle Benutzer an.
Wählen Sie als Nächstes alle Anwendungen aus.
WICHTIG: Das Azure-Verwaltungsportal (portal.azure.com) wird auch als Anwendung angesehen. Seien Sie also vorsichtig. Es gibt eine Geschichte: Wenn Sie eine Richtlinie für alle Benutzer und alle Anwendungen erstellen, die Verbindungen blockieren, wird niemand jemals in Ihren Mandanten gelangen, und selbst der Microsoft-Support wird Ihnen nicht helfen.
Jetzt müssen wir die Richtlinie konfigurieren, um sie nur auf mobilen Geräten zu verwenden. Gehen Sie dazu zu Geräteplattformen und wählen Sie das mobile Betriebssystem (iOS, Android, Windows Phone).
Wir haben alle erforderlichen Bedingungen für die Anwendung der Richtlinie ausgewählt und wählen nun die Bedingung für das Zulassen der Verbindung aus. In diesem Fall ist die erforderliche Option die Anforderung, dass das Gerät die Sicherheitsrichtlinien in Intune (Compliance-Richtlinie) erfüllt. Der Gerätestatus wird von Intune übernommen.
Nach dem Erstellen und Anwenden der Richtlinie verwenden Benutzer mit von Intune verwalteten Geräten die Anwendungen weiterhin. Diejenigen, die Geräte verwendet haben, die nicht mit Intune verbunden sind, werden in einer Meldung aufgefordert, das Gerät zu registrieren.
Szenario 2. Zugriff auf das Unternehmensportal nur von Unternehmenscomputern aus.Sie müssen die Synchronisierung zwischen Active Directory und Azure Active Directory konfigurieren. Daher sind Computer aus AD vorhanden, wenn Hybrid Azure AD verbunden ist. Das interne Portal muss bei Azure AD registriert sein. Sie können sogar SSO konfigurieren.
Jetzt liegt es an der Richtlinie, die auf die richtigen Benutzer angewendet wird und nur eine Verbindung von Hybrid Joined-Geräten erfordert, wenn eine Verbindung zum angegebenen Portal / zur angegebenen Anwendung hergestellt wird. Mit IE und Edge funktioniert alles sofort. Chrome erfordert eine Erweiterung.
Und wenn etwas kaputt geht?Zu einem bestimmten Zeitpunkt kann es vorkommen, dass sich der Benutzer nicht bei der Anwendung anmelden kann und Sie nicht genau wissen, welche Richtlinie dafür verantwortlich ist.
In diesem Fall helfen Anmeldeprotokolle in Azure AD beim Filtern nach dem Status der Richtlinienerzwingung.
In den Details der einzelnen Ereignisse können Sie sehen, welche Richtlinie funktioniert hat und warum.
SchlussfolgerungenMit dem bedingten Zugriff können Sie den Zugriff auf Anwendungen und Dienste flexibel differenzieren. Es kann unendlich viele Bedingungen und Anwendungsfälle geben. Dieser Dienst wird am besten mit Microsoft-Diensten offengelegt. Beispielsweise kann es in Azure Application Proxy integriert werden, um den Zugriff auf interne Ressourcen einzuschränken oder um den Endpunktschutz zu integrieren und gleichzeitig den Zugriff auf das Unternehmensnetzwerk zu blockieren.