Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Es gibt zwei Arten von Richtlinien für bedingten Zugriff, die Sie mit Intune verwenden können: gerätebasiert und app-basiert. In diesem Artikel werden gängige Szenarien für beide Typen behandelt.
Die Informationen in diesem Artikel helfen Ihnen zu verstehen, wie Sie sowohl die Intune Funktionen für die Kompatibilität mobiler Geräte als auch die Intune Mam-Funktionen (Mobile Application Management, Verwaltung mobiler Anwendungen) verwenden.
Hinweis
Bedingter Zugriff ist eine Microsoft Entra Funktion, die in einer Microsoft Entra ID P1- oder P2-Lizenz enthalten ist. Der Knoten für bedingten Zugriff, auf den über das Microsoft Intune Admin Center zugegriffen wird, entspricht dem Knoten, auf den über Microsoft Entra ID zugegriffen wird.
Mit bedingtem Zugriff verfügbare Anwendungen zur Steuerung durch Microsoft Intune
Wenn Sie den bedingten Zugriff im Microsoft Entra Admin Center konfigurieren, stehen Ihnen zwei Anwendungen zur Auswahl:
- Microsoft Intune: Diese Anwendung steuert den Zugriff auf das Microsoft Intune Admin Center und die Datenquellen. Konfigurieren Sie Berechtigungen/Steuerelemente für diese Anwendung, wenn Sie das Microsoft Intune Admin Center und Datenquellen als Ziel verwenden möchten.
- Microsoft Intune-Registrierungs: Diese Anwendung steuert den Registrierungsworkflow. Konfigurieren Sie die Zuweisungen/Steuerungen für diese Anwendung, wenn Sie auf den Registrierungsprozess abzielen. Weitere Informationen finden Sie unter Anfordern der mehrstufigen Authentifizierung für Intune Geräteregistrierungen.
Gerätebasierter bedingter Zugriff
Intune und Microsoft Entra ID zusammenarbeiten, um sicherzustellen, dass nur verwaltete und konforme Geräte auf die E-Mails Ihrer organization, Microsoft 365-Dienste, SaaS-Apps (Software-as-a-Service) und lokale Apps zugreifen können. Darüber hinaus können Sie eine Richtlinie in Microsoft Entra ID festlegen, dass nur in die Domäne eingebundene Computer oder mobile Geräte, die in Intune registriert sind, für den Zugriff auf Microsoft 365-Dienste aktiviert werden.
Mit Intune stellen Sie Gerätekonformitätsrichtlinien bereit, um festzustellen, ob ein Gerät Ihre erwarteten Konfigurations- und Sicherheitsanforderungen erfüllt. Die Auswertung der Konformitätsrichtlinie bestimmt die Kompatibilitäts-status des Geräts, die sowohl an Intune als auch an Microsoft Entra ID gemeldet wird. Es liegt in Microsoft Entra ID, dass Richtlinien für bedingten Zugriff die Compliance-status eines Geräts verwenden können, um Entscheidungen darüber zu treffen, ob der Zugriff auf die Ressourcen Ihrer organization von diesem Gerät aus zugelassen oder blockiert werden soll.
Gerätebasierte Richtlinien für bedingten Zugriff für Exchange Online und andere Microsoft 365-Produkte werden über das Microsoft Intune Admin Center konfiguriert.
Weitere Informationen finden Sie unter Anfordern verwalteter Geräte mit bedingtem Zugriff in Microsoft Entra ID.
Erfahren Sie mehr über die Gerätekonformität in Intune.
Weitere Informationen zu unterstützten Browsern mit bedingtem Zugriff finden Sie in Microsoft Entra ID.
Die folgenden Szenarien bauen auf dem gerätebasierten bedingten Zugriff auf, um zu zeigen, wie er in bestimmten Kontexten angewendet wird.
Bedingter Zugriff basierend auf der Netzwerkzugriffssteuerung
Intune lässt sich in Partnerlösungen wie Cisco ISE, Aruba Clear Pass und Citrix NetScaler integrieren, um die Zugriffssteuerung basierend auf der Intune-Registrierung und dem Konformitätszustand eines Geräts bereitzustellen.
Benutzern kann der Zugriff auf unternehmenseigene WLAN- oder VPN-Ressourcen erlaubt oder verweigert werden, je nachdem, ob das verwendete Gerät verwaltet wird und den Intune-Richtlinien für die Gerätekonformität entspricht.
- Erfahren Sie mehr über die NAC-Integration in Intune.
Bedingter Zugriff basierend auf dem Geräterisiko
Intune Partner mit Anbietern von mobilem Bedrohungsschutz, die eine Sicherheitslösung zum Erkennen von Schadsoftware, Trojanern und anderen Bedrohungen auf mobilen Geräten bereitstellen. Wenn der Mobile Threat Defense-Agent auf mobilen Geräten installiert ist, sendet der Agent Konformitätsstatusmeldungen zurück an Intune meldet, wenn eine Bedrohung gefunden wird. Diese Integration spielt einen Faktor bei Entscheidungen für bedingten Zugriff basierend auf dem Geräterisiko.
- Erfahren Sie mehr über Intune Mobile Threat Defense.
Bedingter Zugriff für Windows-PCs
Der bedingte Zugriff für PCs bietet eine Funktionalität, die der für mobile Geräte verfügbaren ähnlich ist. Die folgenden Optionen sind verfügbar, wenn Sie PCs mit Intune verwalten.
Unternehmenseigene Geräte
Microsoft Entra hybrid eingebunden: Diese Option wird häufig von Organisationen verwendet, die mit der Verwaltung ihrer PCs bereits über AD-Gruppenrichtlinien oder Konfigurations-Manager vertraut sind.
Microsoft Entra in die Domäne eingebundenen und Intune Verwaltung: Dieses Szenario richtet sich an Organisationen, die cloud-first (d. a. in erster Linie Clouddienste verwenden, um die Nutzung einer lokalen Infrastruktur zu reduzieren) oder nur in der Cloud (keine lokale Infrastruktur) sein möchten. Microsoft Entra Join funktioniert gut in einer Hybridumgebung und ermöglicht den Zugriff auf cloudbasierte und lokale Apps und Ressourcen. Das Gerät wird mit dem Microsoft Entra ID verknüpft und bei Intune registriert, die beim Zugriff auf Unternehmensressourcen als Kriterien für bedingten Zugriff verwendet werden können.
Bring Your Own Device (BYOD)
- Arbeitsplatzbeitritt und Intune-Verwaltung: Bei dieser Option können Benutzer ihre persönlichen Geräte einbinden, um auf Unternehmensressourcen und -dienste zuzugreifen. Sie können den Arbeitsplatzbeitritt verwenden und Geräte bei Intune MDM registrieren, um Richtlinien auf Geräteebene zu erhalten. Dies ist eine weitere Option zum Auswerten von Kriterien für den bedingten Zugriff.
Weitere Informationen zu Geräteverwaltung finden Sie in Microsoft Entra ID.
App-basierter gerätebasierter bedingter Zugriff
App-basierter bedingter Zugriff schützt den Zugriff auf App-Ebene und nicht auf Geräteebene, sodass er sich gut für nicht registrierte Geräte eignet. In den folgenden Artikeln werden App-basierte Szenarien für bedingten Zugriff für Intune behandelt:
- Verwenden von App-basierten Richtlinien für bedingten Zugriff mit Intune
- Genehmigte App oder App-Schutzrichtlinie erforderlich (Microsoft Entra)
Nächste Schritte
Konfigurieren des bedingten Zugriffs in Microsoft Entra ID
Einrichten von gerätebasierten Richtlinien für bedingten Zugriff
Einrichten von Richtlinien für App-basierten bedingten Zugriff