• Artikel

Bedingter Zugriff in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteHinweis

Die Informationen in diesem Thema gelten für System Center 2012 Configuration Manager SP2 und System Center 2012 R2 Configuration Manager SP1.

Wenn Sie die bedingte Zugriffserweiterung für Microsoft Intune verwenden, ist die Funktionalität dieser Erweiterung jetzt im Kernprodukt enthalten, und die Erweiterung wird nicht mehr unter dem Knoten Erweiterungen für Microsoft Intune der Configuration Manager-Konsole angezeigt.

Für System Center 2012 R2 Configuration Manager SP1 wird ab dem 2. November jedoch die folgende neue Funktionalität über die Erweiterung für bedingten Zugriff bereitgestellt. Die Erweiterung wird im Knoten Erweiterungen für Microsoft Intune der Configuration Manager-Konsole angezeigt.

  • Konformitätsregel für Betriebssystem (Minimum)

  • Konformitätsregel für Betriebssystem (Maximum)

Verwenden Sie den bedingten Zugriff in Configuration Manager, um E-Mail- und andere Dienste, die mit Microsoft Intune registriert sind, basierend auf von Ihnen festgelegten Bedingungen zu schützen.

Ein typischer Ablauf für bedingten Zugriff könnte wie folgt aussehen:

Advanced conditional access flow

Verwenden Sie den bedingten Zugriff zum Verwalten des Zugriffs auf folgende Dienste:

  • Microsoft Exchange lokal

  • Microsoft Exchange Online

  • Exchange Online Dedicated

  • SharePoint Online

Sie können den Zugriff auf Exchange Online und Exchange On-Premises über den integrierten E-Mail-Client auf den folgenden Plattformen steuern:

  • Android 4.0 und höher, Samsung KNOX Standard 4.0 und höher

  • iOS 7.1 und höher

  • Windows Phone 8.1 und höher

  • E-Mail-Anwendung unter Windows 8.1 und höher

Sie können den Zugriff auf SharePoint Online über die folgenden Apps für die aufgeführten Plattformen steuern:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android und iOS)

  • Microsoft Word (iOS)

  • Microsoft Excel (iOS)

  • Microsoft PowerPoint (iOS)

  • Microsoft OneNote (iOS)

Office-Desktopanwendungen können auf PCs, auf denen Folgendes ausgeführt wird, auf Exchange Online und SharePoint Online zugreifen:

System_CAPS_noteHinweis

PCs sollten in eine Domäne eingebunden oder mit den in Intune festgelegten Richtlinien kompatibel sein.

Um bedingten Zugriff zu implementieren, konfigurieren Sie zwei Richtlinientypen in Configuration Manager:

  • Konformitätsrichtlinien sind optionale Richtlinien, die Sie für Benutzersammlungen bereitstellen können. Mit diesen Richtlinien werden Einstellungen wie die folgenden ausgewertet:

    • Passwort

    • Verschlüsselung

    • Ob das Gerät per Jailbreak oder Rooting manipuliert wurde

    • Ob der E-Mail-Dienst auf dem Gerät über eine Configuration Manager-oder Intune-Richtlinie verwaltet wird

    Wenn keine Konformitätsrichtlinie für ein Gerät bereitgestellt wird, behandeln alle anwendbaren Richtlinien für bedingten Zugriff das Gerät als konform.

  • Richtlinien für bedingten Zugriff werden für einen bestimmten Dienst konfiguriert und definieren Regeln wie z. B., welche Azure Active Directory-Sicherheitsbenutzergruppen oder Configuration Manager-Benutzersammlungen als Ziel dienen oder davon ausgeschlossen sind.

    Sie konfigurieren die Richtlinie für bedingten On-Premises Exchange-Zugriff über die Configuration Manager-Konsole. Wenn Sie jedoch eine Exchange Online- oder SharePoint Online-Richtlinie konfigurieren, wird die Microsoft Intune-Verwaltungskonsole geöffnet, in der Sie die Richtlinie konfigurieren.

    Im Gegensatz zu anderen Intune- oder Configuration Manager-Richtlinien stellen Sie Richtlinien für bedingten Zugriff nicht bereit. Stattdessen konfigurieren Sie diese einmalig; anschließend gelten sie für alle Zielbenutzer.

Wenn Geräte die von Ihnen konfigurierten Bedingungen nicht erfüllen, erhält der Benutzer Anweisungen zum Registrieren des Geräts und zum Beheben des Problems, das die Konformität des Geräts verhindert.

Vorbereitung

Bevor Sie den bedingten Zugriff verwenden können, müssen Sie sicherstellen, dass die jeweiligen Anforderungen erfüllt sind:

Richtlinientyp

Anforderungen

Exchange Online (bei Verwendung der freigegebenen Umgebung mit mehreren Mandanten)

Bedingter Zugriff auf Exchange Online unterstützt Geräte, die Folgendes ausführen:

  • Windows 8.1 und höher (bei Registrierung mit Intune)

  • Windows 7.0 oder Windows 8.1 (bei Einbindung in eine Domäne)

  • Windows Phone 8.1 und höher

  • iOS 7.1 und höher

  • Android 4.0 und höher, Samsung KNOX Standard 4.0 und höher

Darüber hinaus gilt:

  • Geräte erfordern eine Verknüpfung mit dem Arbeitsplatz, wodurch das Gerät beim Azure Active Directory Device Registration Service (AAD DRS) registriert wird.

    In eine Domäne eingebundene PCs müssen automatisch über eine Gruppenrichtlinie oder MSI bei Azure Active Directory registriert werden. Im Abschnitt Bedingter Zugriff für PCs in diesem Thema sind alle Anforderungen für die Aktivierung des bedingten Zugriffs für einen PC beschrieben.

    AAD DRS wird automatisch für Intune und Office 365-Kunden aktiviert. Kunden, die bereits den AD FS Device Registration Service bereitgestellt haben, sehen keine registrierten Geräte in ihrem lokalen Active Directory.

  • Sie müssen ein Office 365-Abonnement verwenden, das Exchange Online (z. B. E3) umfasst, und die Benutzer müssen für Exchange Online lizenziert sein.

  • Der Exchange Server-Connector ist optional und verbindet Configuration Manager mit Microsoft Exchange Online. Er hilft bei der Überwachung von Geräteinformationen über die Configuration Manager-Konsole (Informationen dazu finden Sie unter Verwalten von mobilen Geräten mit Configuration Manager und Exchange). Der Connector ist nicht zur Verwendung von Konformitätsrichtlinien oder Richtlinien für den bedingten Zugriff erforderlich, aber zum Ausführen von Berichten, mit deren Hilfe die Auswirkungen des bedingten Zugriffs bewertet werden.

Exchange Online Dedicated

Bedingter Zugriff auf Exchange Online Dedicated unterstützt Geräte, die Folgendes ausführen:

  • Windows 8 und höher (bei Registrierung mit Intune)

  • Windows 7.0 oder Windows 8.1 (bei Einbindung in eine Domäne)

    Bedingter Zugriff auf PCs, die in eine Domäne eingebunden sind, nur für Mandanten in der neuen Exchange Online Dedicated-Umgebung.

  • Windows Phone 8 und höher

  • Beliebige iOS-Geräte, die einen Exchange ActiveSync-E-Mail-Client (EAS) verwenden

  • Android 4 und höher

  • Für Mandanten in der Exchange Online Dedicated-Legacyumgebung gilt Folgendes:

    Sie müssen den Exchange Server-Connector verwenden, der Configuration Manager mit Microsoft Exchange On-Premises verbindet. Dies ermöglicht die Verwaltung mobiler Geräte und bedingten Zugriff (Informationen dazu finden Sie unter Verwalten von mobilen Geräten mit Configuration Manager und Exchange).

  • Für Mandanten in der neuen Exchange Online Dedicated-Umgebung gilt Folgendes:

    Der optionale Exchange Server-Connector verbindet Configuration Manager mit Microsoft Exchange Online und hilft bei der Verwaltung von Geräteinformationen (Informationen dazu finden Sie unter Verwalten von mobilen Geräten mit Configuration Manager und Exchange). Der Connector ist nicht zur Verwendung von Konformitätsrichtlinien oder Richtlinien für den bedingten Zugriff erforderlich, aber zum Ausführen von Berichten, mit deren Hilfe die Auswirkungen des bedingten Zugriffs bewertet werden.

Exchange lokal

Beim bedingten Zugriff auf Exchange lokal wird Folgendes unterstützt:

  • Windows 8 und höher (bei Registrierung mit Intune)

  • Windows Phone 8 und höher

  • Systemeigene E-Mail-App unter iOS

  • Systemeigene E-Mail-App unter Android 4 oder höher

  • Microsoft Outlook-App unter Android und iOS wird nicht unterstützt.

Darüber hinaus gilt:

  • Bei Ihrer Exchange-Version muss es sich um Exchange 2010 oder höher handeln. Exchange Server-Clientzugriffsserver-Arrays werden unterstützt.

    System_CAPS_tipTipp

    Wenn sich Ihre Exchange-Umgebung in einer Clientzugriffsserver-Konfiguration befindet, müssen Sie den lokalen Exchange-Connector so konfigurieren, dass er auf einen der Clientzugriffsserver zeigt.

  • Sie müssen den Exchange Server-Connector verwenden, der Configuration Manager mit Microsoft Exchange On-Premises verbindet. Dies ermöglicht die Verwaltung mobiler Geräte und bedingten Zugriff (Informationen dazu finden Sie unter Verwalten von mobilen Geräten mit Configuration Manager und Exchange).

    • Stellen Sie sicher, dass Sie die neueste Version des lokalen Exchange-Connectors verwenden. Der lokale Exchange-Connector sollte installiert und über die Configuration Manager-Konsole konfiguriert werden. Eine ausführliche exemplarische Vorgehensweise finden Sie unter Verwalten von mobilen Geräten mit Configuration Manager und Exchange.

    • Der Connector muss nur auf dem primären System Center Configuration Manager-Standort installiert werden.

    • Dieser Connector unterstützt die Exchange-Clientzugriffsserver-Umgebung. Sie müssen den Connector so konfigurieren, dass er mit einem der Exchange-Clientzugriffsserver kommuniziert.

  • Exchange ActiveSync kann mit zertifikatbasierter Authentifizierung oder Eingabe von Anmeldeinformationen konfiguriert werden

SharePoint Online

Bedingter Zugriff auf SharePoint Online unterstützt Geräte, die Folgendes ausführen:

  • Windows 8.1 und höher (bei Registrierung mit Intune)

  • Windows 7.0 oder Windows 8.1 (bei Einbindung in eine Domäne)

  • Windows Phone 8.1 und höher

  • iOS 7.1 und höher

  • Android 4.0 und höher, Samsung KNOX Standard 4.0 und höher

Darüber hinaus gilt:

  • Geräte erfordern eine Verknüpfung mit dem Arbeitsplatz, wodurch das Gerät beim Azure Active Directory Device Registration Service (AAD DRS) registriert wird.

    In eine Domäne eingebundene PCs müssen automatisch über eine Gruppenrichtlinie oder MSI bei Azure Active Directory registriert werden. Im Abschnitt Bedingter Zugriff für PCs in diesem Thema sind alle Anforderungen für die Aktivierung des bedingten Zugriffs für einen PC beschrieben.

    AAD DRS wird automatisch für Intune und Office 365-Kunden aktiviert. Kunden, die bereits den AD FS Device Registration Service bereitgestellt haben, sehen keine registrierten Geräte in ihrem lokalen Active Directory.

  • Es ist ein SharePoint Online-Abonnement erforderlich, und Benutzer müssen für SharePoint Online lizenziert sein.

Bedingter Zugriff für PCs

Sie können den bedingten Zugriff für PCs einrichten, auf denen Office-Desktopanwendungen ausgeführt werden, um auf Exchange Online und SharePoint Online zuzugreifen. Dies gilt für PCs, die folgende Anforderungen erfüllen:

  • Auf dem PC muss Windows 7.0 oder Windows 8.1 ausgeführt werden.

  • Der PC muss entweder in eine Domäne eingebunden oder kompatibel sein.

    Damit der PC kompatibel ist, muss er in Intune registriert sein und den Richtlinien entsprechen.

    Für in die Domäne eingebundene PCs müssen Sie das Gerät für eine automatische Registrierung bei Azure Active Directory einrichten.

  • Die moderne Authentifizierung von Office 365 muss aktiviert sein und alle neuesten Office-Updates enthalten.

    Die moderne Authentifizierung ermöglicht Windows-Clients mit Office 2013 eine Active Directory Authentication Library (ADAL)-basierte Anmeldung und bietet größere Sicherheit wie mehrstufige Authentifizierung und zertifikatbasierte Authentifizierung.

  • Setup-ADFS beansprucht Regeln zum Blockieren von nicht moderner Authentifizierungsprotokolle.

Nächste Schritte

Lesen Sie die folgenden Themen, um mehr über das Konfigurieren von Konformitätsrichtlinien und Richtlinien für den bedingten Zugriff für Ihr Szenario zu erfahren: