Hilfe zu Microsoft Conditional Access

Wo kann ich bei Microsoft sehen, ob ein Gerät konform oder nicht konform ist?

Sie können entweder Intune öffnen und die Geräteübersicht eines bestimmten aufrufen – alternativ finden Sie eine Übersicht aller registrierten Geräte in Entra ID.

Einstellungs-Landingpage

Das Gerät ist bei Microsoft als „N/A“ gekennzeichnet

Das bedeutet, dass der Status noch nicht synchronisiert wurde. Stellen Sie bitte sicher, ob auf der Einstellungsseite Bedingter Zugriff keine Fehler angezeigt werden und prüfen Sie gegebenenfalls die Protokolle auf Fehlermeldungen.

Das Gerät ist bei Microsoft als nicht konform markiert, aber der Benutzer kann weiterhin auf blockierte Apps zugreifen

Dies kann mehrere Gründe haben:

  • Stellen Sie sicher, dass Ihre Richtlinie gilt (d. h., dass das Benutzeranmeldungsprotokoll von Microsoft eine Registerkarte „Bedingter Zugriff“ mit weiteren Informationen enthält).
  • Überprüfen Sie, ob die Plattform mit Relution verknüpft ist und die richtige Benutzergruppe zugewiesen ist.
  • Wenn ein Benutzer bereits angemeldet war, können zwischengespeicherte Tokens bis zu zwei Stunden lang aktiv bleiben.

Der Benutzer kann sein Gerät nicht registrieren, da es von MSCA blockiert wird

  • Überprüfen Sie Ihre Richtlinie für bedingten Zugriff. Die Konfiguration Alle Cloud-Apps verhindert aktuell auch die Registrierung des Benutzers, da die dafür notwendige Microsoft Broker App derzeit nicht ausgenommen werden kann.

Das Gerät ist als nicht konform gesperrt

Ihr Gerät ist als nicht konform markiert. Daher hat Ihr Administrator den Zugriff darauf gesperrt. Öffnen Sie den Relution Agent, um den Grund für den nicht konformen Status einzusehen. Bei weiteren Fragen wenden Sie sich bitte an Ihre IT-Administration.

Wenn sich Ihr Status von „nicht konform“ zu „konform“ oder umgekehrt ändert, erfolgt die Statusaktualisierung in der Regel innerhalb von 1–2 Minuten. In einigen Fällen kann Microsoft die Werte jedoch bis zu einer Stunde lang im Cache halten.

Gerät nicht konformAgent nicht konformAgent konform
DeviceNotCompliantAgentNotCompliantAgentCompliant

Das Gerät ist nicht registriert

Hinweis: Dieser Abschnitt gilt nicht für Windows-Geräte. Windows-Geräte müssen entweder mit Entra verbunden oder über Autopilot eingebunden sein. Mit Entra registrierte Windows-Geräte werden derzeit nicht unterstützt.

Um bedingten Zugriff mit iOS, macOS oder Android Enterprise nutzen zu können, muss das Gerät zusätzlich bei Microsoft registriert werden. Öffnen Sie dazu den Relution Agent. Unter Gerätedetails können Sie Ihr Entra ID-Konto verbinden. Dadurch wird Ihr Gerät korrekt verknüpft.

Gerät nicht registriertAgent nicht verbundenAgent verbunden
DeviceNotRegisteredAgentNotConnectedAgentConnected

Der Benutzer/das Gerät kann nicht registriert werden

Wenn die Registrierung fehlschlägt, kann dies auf eine fehlerhafte Verknüpfung zurückzuführen sein. In diesem Fall stehen Ihnen folgende Optionen zur Verfügung:

  • „Verknüpfung Zurücksetzen“ über den Relution Agent -> Menü: Geräte Informationen -> MSCA
  • Geräteregistrierung in der Microsoft Authenticator App aufheben
  • Frühere Geräteverknüpfungen löschen, beispielsweise mit der Keychain Access App unter macOS.