Konformes Gerät, hybrid in Microsoft Entra eingebundenes Gerät oder Multi-Faktor-Authentifizierung für alle Benutzer erfordern

Unternehmen, die Microsoft Intune bereitgestellt haben, können die von ihren Geräten zurückgegebenen Informationen verwenden, um Geräte zu identifizieren, die den Compliancevorgaben entsprechen, z. B.:

• Erfordern einer PIN zum Entsperren
• Anforderung der Geräteverschlüsselung
• Erfordern einer minimalen oder maximalen Betriebssystemversion
• Erfordern, dass ein Gerät keinen Jailbreak oder Rootzugriff verwendet

Informationen zur Einhaltung von Richtlinien werden an Microsoft Entra ID gesendet, wobei der bedingte Zugriff entscheidet, ob der Zugriff auf Ressourcen gewährt oder gesperrt wird. Weitere Informationen zu Gerätekonformitätsrichtlinien finden Sie im Artikel Festlegen von Regeln auf Geräten mit Intune, um Zugriff auf Ressourcen in Ihrer Organisation zu gewähren.

Für die Anforderung eines hybrid in Microsoft Entra eingebundenen Geräts müssen Ihre Geräte bereits hybrid in Microsoft Entra eingebunden sein. Weitere Informationen finden Sie im Artikel Konfigurieren der hybriden Einbindung in Microsoft Entra.

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools. Es wird empfohlen, die folgenden Konten aus Ihren Richtlinien auszuschließen:

• Notfallzugriffskonten oder Notfallkonten zum Verhindern einer Sperrung aufgrund von falsch konfigurierten Richtlinien. In dem unwahrscheinlichen Szenario, in dem alle Administratoren gesperrt sind, kann Ihr Administratorkonto für den Notfallzugriff verwendet werden, um sich anzumelden und den Zugriff wiederherzustellen.
  • Weitere Informationen finden Sie im Artikel Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.
• Dienstkonten und Dienstprinzipale, z. B. das Konto für die Microsoft Entra Connect-Synchronisierung. Dienstkonten sind nichtinteraktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden in der Regel von Back-End-Diensten verwendet, um programmgesteuerten Zugriff auf Anwendungen zu ermöglichen, aber sie werden auch verwendet, um sich für administrative Zwecke bei Systemen anzumelden. Aufrufe von Dienstprinzipalen werden nicht durch Richtlinien für bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie bedingten Zugriff für Arbeitsauslastungsidentitäten, um Richtlinien zu definieren, die auf Dienstprinzipale abzielen.
  • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, ersetzen Sie sie durch verwaltete Identitäten.

Vorlagenbereitstellung

Organisationen können diese Richtlinie bereitstellen, indem Sie die unten beschriebenen Schritte ausführen oder die Vorlagen für bedingten Zugriff verwenden.

Erstellen einer Richtlinie für bedingten Zugriff

Die folgenden Schritte helfen beim Erstellen einer Richtlinie für bedingten Zugriff, die Multi-Faktor-Authentifizierung erfordert oder die voraussetzt, dass Geräte, die auf Ressourcen zugreifen, als mit den Intune-Compliancerichtlinien Ihres Unternehmens konform gekennzeichnet werden oder hybrid in Microsoft Entra eingebunden sind.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
3. Wählen Sie Neue Richtlinie.
4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
   1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
   2. Führen Sie unter Ausschließen die folgenden Schritte aus:
      1. Benutzer und Gruppen auswählen
         1. Wählen Sie die Konten für den Notfallzugriff bzw. Notfallkonten Ihrer Organisation aus.
         2. Wenn Sie Hybrididentitätslösungen wie Microsoft Entra Connect oder Microsoft Entra Connect Cloud Sync verwenden, wählen Sie Verzeichnisrollen und dann Verzeichnissynchronisierungskonten aus.
6. Wählen Sie unter Zielressourcen>Ressourcen (früher Cloud-Apps)>Einschließen die Option Alle Ressourcen (früher „Alle Cloud-Apps") aus.
   1. Wenn Sie bestimmte Anwendungen von Ihrer Richtlinie ausschließen müssen, können Sie sie auf der Registerkarte Ausschließen unter Ausgeschlossene Cloudanwendungen auswählen die Option Auswählen auswählen.
7. Unter Zugriffssteuerungen>Erteilen:
   1. Wählen Sie Multi-Faktor-Authentifizierung erfordern, Markieren des Geräts als konform erforderlich und In Microsoft Entra eingebundenes Hybridgerät erforderlich aus.
   2. Für mehrere Steuerelemente wählen Sie Eines der ausgewählten Steuerelemente verlangen.
   3. Wählen Sie Auswählen aus.
8. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
9. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".

Bekanntes Verhalten

Unter iOS, Android, macOS und einigen Nicht-Microsoft-Webbrowsern identifiziert Die Microsoft Entra-ID das Gerät mithilfe eines Clientzertifikats, das bereitgestellt wird, wenn das Gerät mit der Microsoft Entra-ID registriert ist. Wenn sich ein Benutzer zum ersten Mal über den Browser anmeldet, wird er zum Auswählen des Zertifikats aufgefordert. Der Endbenutzer muss dieses Zertifikat auswählen, bevor der Browser verwendet werden kann.

Abonnementaktivierung

Organisationen, die das Feature „Abonnementaktivierung“ verwenden, um Benutzern den „Step-Up“ von einer Windows-Version zu einer anderen zu ermöglichen und Richtlinien für bedingten Zugriff zu verwenden, um den Zugriff zu steuern, müssen eine der folgenden Cloud-Apps aus ihren Richtlinien für bedingten Zugriff mithilfe von Ausgeschlossene Cloud-Apps auswählen ausschließen:

• Universal Store-Dienst-APIs und Webanwendung, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

• Windows Store für Unternehmen, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

Obwohl die App-ID in beiden Instanzen identisch ist, hängt der Name der Cloud-App vom Mandanten ab.

Wenn ein Gerät über einen längeren Zeitraum offline ist, wird das Gerät möglicherweise nicht automatisch reaktiviert, wenn dieser Ausschluss für bedingten Zugriff nicht vorhanden ist. Das Festlegen dieses Ausschlusses für bedingten Zugriff stellt sicher, dass die Abonnementaktivierung weiterhin nahtlos funktioniert.

Beginnend mit Windows 11, Version 23H2 mit KB5034848 oder höher, werden Benutzer mit einer Toast-Benachrichtigung zur Authentifizierung aufgefordert, wenn die Abonnementaktivierung erneut erfolgen muss. Die Popupbenachrichtigung zeigt die folgende Meldung an:

Ihr Konto benötigt eine Authentifizierung

Melden Sie sich bei Ihrem Geschäfts-, Schul- oder Unikonto an, um Ihre Informationen zu überprüfen.

Darüber hinaus wird im Aktivierungsbereich möglicherweise die folgende Meldung angezeigt:

Melden Sie sich bei Ihrem Geschäfts-, Schul- oder Unikonto an, um Ihre Informationen zu überprüfen.

Der Prompt zur Authentifizierung tritt in der Regel auf, wenn ein Gerät über einen längeren Zeitraum offline ist. Diese Änderung beseitigt die Notwendigkeit eines Ausschlusses in der Richtlinie für bedingten Zugriff für Windows 11, Version 23H2 mit KB5034848 oder höher. Eine Richtlinie für bedingten Zugriff kann weiterhin mit Windows 11, Version 23H2 mit KB5034848 oder höher verwendet werden, wenn der Prompt zur Benutzerauthentifizierung über eine Popupbenachrichtigung nicht gewünscht wird.

Nächste Schritte

Vorlagen für bedingten Zugriff

Bestimmen der Auswirkung mit dem reinen Berichtsmodus des bedingten Zugriffs

Verwenden des Modus „Nur Bericht“ für bedingten Zugriff zum Ermitteln der Ergebnisse neuer Richtlinienentscheidungen

Richtlinien für Gerätekonformität funktionieren mit Microsoft Entra ID