Plattformen für Conditional Access einrichten

Anleitung zur Einrichtung von Conditional Access für alle Plattformen mit Relution und Entra ID.

Übersicht #

Diese Einrichtungsanleitung zeigt Ihnen Schritt für Schritt, wie Sie Relution erfolgreich mit Microsoft Entra/Intune verbinden, um bedingten Zugriff für Ihre verwalteten Geräte einzurichten. Bitte stellen Sie sicher, dass die Anforderungen erfüllt sind, bevor Sie beginnen.

Einrichtung von Conditional Access mit Relution und Entra ID #

Während der folgenden Einrichtungsschritte verbinden Sie Relution mit Microsoft Entra ID und Microsoft Intune, um den Bedingten Zugriff zu aktivieren:

1. Zuerst eine Entra ID-Anwendung erstellen, die den Zugriff Ihres Servers über unseren Microservice validiert.
2. Erteilen Sie unserer Multi-Tenant-App Relution die Zustimmung, die wir benötigen, um den Konformitäts-Status Ihrer Geräte an Ihre Entra ID zu melden.
3. FüHinzufügen von Relution als Compliance-Partner in Intune hinzu.
4. Überprüfen Sie, ob die Einrichtung korrekt ist.

Jeder Schritt ist für den nächsten entscheidend. Führen Sie alle Schritte sorgfältig nacheinander aus und stellen Sie bei Aufforderungen zur Überprüfung sicher, dass die Meldung ‚Erfolgreich‘ angezeigt wird.

Navigieren Sie zu “Bedingter Zugriff” #

Sobald Entra ID korrekt konfiguriert und die Benutzer erfolgreich synchronisiert wurden, können Sie in den Einstellungen zu Bedingter Zugriff navigieren.

Plattformen aktivieren: Android Enterprise, iOS und macOS #

Starten Sie den Assistenten, um die gewünschten Plattform zu aktivieren.

Assistent (1): Entra ID-Anwendung erstellen #

Sie können diesen Schritt auch überspringen und die Anwendung wiederverwenden, die Sie bei der Entra ID-Einrichtung verwendet haben. Relution empfiehlt die Nutzung zweier separater Anwendungen, um Berechtigungen und Einsatzzwecke zu trennen.

Erstellen Sie eine neue Entra ID-Anwendung-Anwendung, damit der Relution Microservice Ihren Zugriff auf den Mandanten verifizieren kann. Eine einfache App-Registrierung ist ausreichend – eine vollständige MDM-App ist nicht erforderlich. Über den Link im Assistenten gelangen Sie zu Ihren Entra ID-App-Registrierungen. Nach der Erstellung der App geben Sie im Assistenten die Anwendungs-ID ein.

Assistent (2): Anwendungs-IDs und Clientschlüssel hinterlegen #

Ihre App benötigt außerdem einen geheimen Client-Schlüssel. Erstellen Sie einen solchen Schlüssel und fügen Sie die Anwendungs-ID und den geheimen Schlüssel in die Eingabefelder ein. Nach erfolgreicher Überprüfung fahren Sie mit dem nächsten Schritt fort.

Assistent (3): API freigeben #

Aufgrund technischer Einschränkungen bei der Validierung von Tokens durch Microsoft muss eine API freigeben und ein benutzerdefinierter Bereich hinzugefügt werden. Führen Sie auf der Einstellungsseite API freigeben Ihrer Entra-App folgende Schritte aus:

1. Klicken Sie auf Bereich hinzufügen.
2. Tragen Sie die erforderlichen Informationen ein:
   • Name des Bereichs: Relution.Auth
   • Sichtbarkeit: Aktivieren Sie die Option Nur Administratoren
   • Anzeigename und Beschreibung: beliebige Angaben möglich, wir empfehlen beispielsweise: Von Relution zur Identifizierung der Mandanteneigentümerschaft verwendet.
3. Klicken Sie auf Bereich hinzufügen.
4. Der Bereich sollte nun unter Von dieser API definierte Bereiche angezeigt werden.

Oben in der Ansicht API freigeben in Entra sollte eine Anwendungs-ID-URI angezeigt werden. Wählen Sie diesen Wert als Bereichstyp aus. Er sollte entweder die Client-ID der neu erstellten App (Schritt 1) oder Ihre Domäne enthalten, wenn Sie die aus der Entra ID-Einrichtung wiederverwenden. Ist dies nicht der Fall, können Sie einen beliebigen Wert eingeben.

Sie sollten diesen Schritt nun im Assistenten erfolgreich überprüfen können.

Assistent (4): Relution als Compliance-Partner in Intune hinzufügen #

In der Einstellung Intune-Partner-Compliance-Verwaltung müssen Sie Relution als Partner für jede Plattform hinzufügen, die synchronisiert werden soll.

1. Klicken Sie auf Compliance-Partner hinzufügen.
2. Wählen Sie die Plattform aus, die Sie synchronisieren möchten (Sie können diese Schritte für alle Plattformen wiederholen): Android, iOS, macOS oder Windows.
3. Weisen Sie eine Gruppe von Benutzern zu, die synchronisiert werden sollen. Sie können auch Alle Benutzer hinzufügen auswählen, aber achten Sie darauf, dass Sie sich später nicht selbst aussperren.
   • Hinweis: Die Option Gruppen ausschließen hat derzeit keine Wirkung.
4. Nachdem Sie überprüft haben, dass alles korrekt ausgewählt wurde, klicken Sie auf Erstellen.
5. Sie sollten ‚Relution‘ mit dem Status 🔄 Aktivierung ausstehend für diese Plattform sehen. Der Status kann abweichen, wenn dies nicht Ihre erste Einrichtung ist.

Assistent (5): Administrator-Zustimmung erteilen #

Dieser Schritt schlägt fehl, wenn Sie im vorherigen Schritt keine Plattform verknüpft haben.

Erteilen Sie der Multi-Tenant-App Relution die erforderliche Admin-Zustimmung. Dies erlaubt ‚Relution‘, den Compliance-Status Ihrer Entra ID-Geräte zu verwalten. Dadurch wird ein neuer Tab geöffnet (möglicherweise wird dieser von Ihrem Browser als Pop-up blockiert). Nach erfolgreicher Zustimmung erscheint die Meldung Erfolgreich! Sie können diesen Tab jetzt schließen. Sie können diesen zusätzlichen Tab nun schließen und mit dem Assistenten fortfahren.

Assistent (6): Entra ID-Gruppen synchronisieren #

Als letzten Schritt müssen Sie die Entra ID-Gruppen synchronisieren. Währenddessen stellt Relution eine korrekte Einrichtung sicher und synchronisiert die Gruppen, die Sie im Assistenten in Schritt 4 konfiguriert haben.

In den Einstellungen für Intune Partner Compliance Management sollte ‚Relution‘ nun als ✅ Aktiv angezeigt werden.

Wenn Sie in den Compliance-Partner-Einstellungen in Intune Einstellungen anpassen, z. B. Gruppen oder Plattformen hinzufügen/entfernen, müssen Sie die Synchronisation erneut manuell starten.

Windows-Plattform unterstützen #

Für Windows-Geräte müssen Sie lediglich die folgende Option aktivieren:

Windows-Geräte sollten nun ihren Status erfolgreich synchronisieren.