Einrichten von Intune

Übersicht

Dies ist eine kurze Anleitung zum Einrichten und Verwenden/Debuggen von Conditional Access Policies (Richtlinien für bedingten Zugriff) in Intune. Mithilfe von Richtlinien legen Sie fest, was mit nicht konformen Geräten tatsächlich geschehen soll. Weitere Informationen finden Sie in der offiziellen Dokumentation.

Eine falsche Konfiguration der bedingten Zugriffsrichtlinien kann dazu führen, dass sich Ihre Benutzer nicht mehr anmelden können. Relution haftet nicht für Schäden, die durch eine unsachgemäße Konfiguration entstehen.

Wenn Sie in den Zielressourcen strenge Richtlinien für alle Cloud-Apps festlegen, können Benutzer ihre Geräte ebenfalls nicht registrieren.

Hinweis

Relution empfiehlt Folgendes:

  • Beginnen Sie zunächst entweder
    • mit der Verwendung von Richtlinien im Modus “Nur Berichten”, anstatt sie direkt anzuwenden
    • ODER zunächst nur ausgewählte Benutzer, um sicherzustellen, dass alles wie erwartet funktioniert
  • Wählen Sie niemals Alle Cloud-Apps in den ‚Zielressourcen‘ aus. Wenn Sie Alle Cloud-Apps mit strengen Richtlinien auswählen, können Benutzer ihre Geräte nicht registrieren. Derzeit kann die Microsoft Broker-App nicht im Filter Ausschließen ausgewählt werden, der immer aktiviert sein muss.
    • Die Auswahl von Office 365 ist ein guter Ausgangspunkt

Beispielkonfiguration

Richtlinien können unter Intune > Endpunktsicherheit > Bedingter Zugriff > Richtlinien konfiguriert werden.

Siehe den folgenden Screenshot als Beispiel: Grundlegende Richtlinieneinrichtung

  1. Wählen Sie die Benutzer aus, die betroffen sein sollen.
  2. Wählen Sie die Ressourcen aus, die betroffen sein sollen.
  3. In diesem Beispiel haben wir die Teams-Dienste verwendet.
  4. Als Berechtigung haben wir festgelegt, dass Geräte konform sein müssen.
    • Grundlegende Richtlinieneinrichtung Berechtigung
  5. Zu Testzwecken haben wir die Richtlinie auf Nur Bericht gesetzt.

Sicherheitsstandards

Möglicherweise wird eine Fehlermeldung angezeigt, dass die Sicherheitsstandards deaktiviert werden müssen, bevor Sie Richtlinien für bedingten Zugriff aktivieren können. In der offiziellen Microsoft-Dokumentation erfahren Sie mehr darüber, ob Sie zu bedingtem Zugriff wechseln sollten oder nicht.

Wenn Sie sicher sind, dass Sie sie deaktivieren möchten, klicken Sie auf Sicherheitsstandards deaktivieren, wählen Sie ‚Deaktiviert‘ und Meine Organisation plant die Verwendung von bedingtem Zugriff. Sicherheitsstandards

Fehlerbehebung

In der Ansicht Anmeldelogs in Entra/Intune können Sie sehen, ob Richtlinien für den bedingten Zugriff angewendet wurden oder nicht.

Richtlinien-Debugging

Darüber hinaus bietet Microsoft ein What If tool an.