Bedingter Zugriff für SharePoint Online in Configuration Manager
Betrifft: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note"){kind=icon} Hinweis |
|---|
Die Informationen in diesem Thema gelten für System Center 2012 Configuration Manager SP1 oder höher und System Center 2012 R2 Configuration Manager oder höher. |
Nutzen Sie die Configuration Manager-Richtlinie für bedingten Zugriff auf SharePoint Online zum Verwalten des Zugriffs auf OneDrive for Business-Dateien in SharePoint Online basierend auf von Ihnen angegebenen Bedingungen.
Wenn ein bestimmten Benutzer versucht, mit einer unterstützten App wie z. B. OneDrive auf seinem Gerät eine Verbindung mit einer Datei herzustellen, erfolgt die folgende Auswertung:
.jpeg "Conditional Access for SharePoint")
Zum Herstellen einer Verbindung mit den gewünschten Dateien muss das Gerät, auf dem OneDrive ausgeführt wird, die folgenden Voraussetzungen erfüllen:
Es muss bei Microsoft Intune oder einem in die Domäne eingebundenen PC registriert sein.
Das Gerät muss in Azure Active Directory registriert sein (dies erfolgt automatisch bei der Registrierung des Geräts in Intune).
Bei in die Domäne eingebundenen PCs müssen Sie es für eine automatische Registrierung bei Azure Active Directory einrichten.
Es muss mit allen festgelegten Kompatibilitätsrichtlinien von Configuration Manager kompatibel sein.
Der Gerätestatus wird in Azure Active Directory gespeichert. Die Anwendung gewährt oder blockiert den Zugriff auf Dateien entsprechend den von Ihnen angegebenen Bedingungen.
Wenn eine Bedingung nicht erfüllt wird, erhält der Benutzer bei der Anmeldung die folgenden Meldungen:
Wenn das Gerät nicht bei Intune oder in Azure Active Directory registriert ist, wird eine Meldung mit Anweisungen zum Installieren der Unternehmensportal-App und zum Registrieren des Geräts angezeigt.
Wenn das Gerät nicht kompatibel ist, wird eine Meldung angezeigt, die den Benutzer zum Intune-Webportal weiterleitet. Hier werden Informationen zum Problem und dessen Lösung geboten.
Für PCs:
Wenn die Richtlinie das Beitreten zu einer Domäne erfordert und der PC nicht in die Domäne eingebunden ist, wird die Meldung angezeigt, dass der IT-Administrator kontaktiert werden sollte.
Wenn die Richtlinie das Beitreten zu einer Domäne oder Kompatibilität erfordert und der PC keine der Anforderungen erfüllt, wird eine Meldung mit einer Anleitung zum Installieren der Unternehmensportal-App und zur Registrierung angezeigt.
Sie können den Zugriff auf SharePoint Online in den folgenden Apps blockieren:
Microsoft Office Mobile (Android)
Microsoft OneDrive (Android und iOS)
Microsoft Word (Android und iOS)
Microsoft Excel (Android und iOS)
Microsoft PowerPoint (Android und iOS)
Microsoft OneNote (Android und iOS)
Schritte zum Konfigurieren des bedingten Zugriffs für SharePoint Online
Schritt 1: Konfigurieren von Active Directory-Sicherheitsgruppen
Bevor Sie beginnen, konfigurieren Sie Azure Active Directory-Sicherheitsgruppen für die bedingte Zugriffsichtlinie. Sie können diese Gruppen im Office 365 Admin Center oder Intune-Kontenportal konfigurieren. Die Gruppen enthalten die Benutzer, für die die Richtlinie gelten soll oder die davon ausgeschlossen sind. Bei Benutzern, für die eine Richtlinie gelten soll, muss jedes von ihnen verwendete Gerät die Richtlinie erfüllen, damit sie auf Ressourcen zugreifen können.
Sie können zwei Arten von Gruppentypen in einer SharePoint Online-Richtlinie angeben:
Zielgruppen: Gruppen von Benutzern, für die die Richtlinie gelten soll.
Ausgenommene Gruppen: Gruppen von Benutzern, die von der Richtlinie ausgenommen sind (optional).
Benutzer, die in beiden Gruppen enthalten sind, werden von der Richtlinie ausgenommen.
Schritt 2: Konfigurieren und Bereitstellen einer Kompatibilitätsrichtlinie
Wichtig ist, dass Sie für alle Geräte, für die die SharePoint Online-Richtlinie gelten soll, eine Kompatibilitätsrichtlinie erstellen und bereitstellen.
| Hinweis |
|---|
Wenn Kompatibilitätsrichtlinien für Intune-Gruppen oder Configuration Manager-Sammlungen bereitgestellt werden, gelten bedingte Zugriffsrichtlinien für Azure Active Directory-Sicherheitsgruppen. |
Ausführliche Informationen zum Konfigurieren der Kompatibilitätsrichtlinie finden Sie unter Kompatibilitätsrichtlinien in Configuration Manager.
.jpeg "System_CAPS_important"){kind=icon} Wichtig |
|---|
Wenn Sie keine Kompatibilitätsrichtlinie bereitgestellt haben und dann die SharePoint Online-Richtlinie aktivieren, wird allen Zielgeräten der Zugriff erlaubt. |
Wenn Sie soweit sind, fahren Sie mit Schritt 3 fort.
Schritt 3: Konfigurieren der SharePoint Online-Richtlinie
Anschließend konfigurieren Sie die Richtlinie so, dass nur verwaltete und kompatible Geräte auf SharePoint Online zugreifen dürfen. Diese Richtlinie wird in Azure Active Directory gespeichert.
-
Klicken Sie in der Configuration Manager-Konsole auf Bestand und Kompatibilität.
-
Wählen Sie Bedingte Zugriffsrichtlinie für SharePoint Online aktivieren aus.
-
Unter Apps mit modernen Authentifizierung können Sie den Zugriff auf ausschließlich Geräte beschränken, die für jede Plattform kompatibel sind.
.jpeg "System_CAPS_tip")
TippDie moderne Authentifizierung ermöglicht das ADAL-basierte (Active Directory Authentication Library) Anmelden für Office-Clients.
Die ADAL-basierte Authentifizierung ermöglicht Office-Clients die Einbindung in die browserbasierte Authentifizierung (auch als passive Authentifizierung bekannt). Der Benutzer wird zur Authentifizierung zu einer Anmeldewebseite umgeleitet.
Diese neue Anmeldemethode ermöglicht neue Szenarien, z. B. den bedingten Zugriff, auf Grundlage der Gerätekompatibilität und in Abhängigkeit davon, ob eine mehrstufige Authentifizierung erfolgt ist.
Dieser Artikel enthält weitere ausführliche Informationen zur Funktionsweise der modernen Authentifizierung.
Bei Windows-PCs muss der PC entweder in die Domäne eingebunden oder bei Intune registriert und kompatibel sein. Sie können die folgenden Anforderungen festlegen:
- **Geräte müssen in eine Domäne eingebunden oder kompatibel sein.** Dies bedeutet, dass PCs entweder in die Domäne eingebunden oder mit den in Intune festgelegten Richtlinien kompatibel sein müssen. Wenn der PC keine der Anforderungen erfüllt, wird der Benutzer aufgefordert, das Gerät bei Intune zu registrieren. - **Geräte müssen in eine Domäne eingebunden sein.** Dies bedeutet, dass die PCs für den Zugriff auf Exchange Online in die Domäne eingebunden sein müssen. Wenn der Computer in keine Domäne eingebunden ist, wird der E-Mail-Zugriff blockiert und der Benutzer aufgefordert, den IT-Administrator zu kontaktieren. - **Geräte müssen kompatibel sein.** Dies bedeutet, dass die PCs bei Intune registriert und kompatibel sein müssen. Wenn der PC nicht registriert ist, wird eine Meldung mit Anweisungen zur Registrierung angezeigt. -
Klicken Sie auf der Registerkarte Startseite in der Gruppe Links auf Bedingte Zugriffsrichtlinie in der Intune-Konsole konfigurieren. Sie müssen ggf. den Benutzernamen und das Kennwort des Kontos angeben, das zum Verbinden von Configuration Manager mit Intune verwendet wurde.
Die Intune-Verwaltungskonsole wird geöffnet.
-
Klicken Sie in der Microsoft Intune-Verwaltungskonsole auf Richtlinie > Bedingter Zugriff > SharePoint Online-Richtlinie.
-
Wählen Sie Verhindern, dass Apps auf SharePoint Online zugreifen, wenn das Gerät nicht konform ist.
-
Klicken Sie unter Zielgruppen auf Ändern, um die Active Directory-Sicherheitsgruppen auszuwählen, für die die Richtlinie gelten soll.
-
Klicken Sie unter Ausgenommene Gruppen optional auf Ändern, um die Active Directory-Sicherheitsgruppen auszuwählen, die von dieser Richtlinie ausgenommen werden.
-
Klicken Sie abschließend auf Speichern.
Die Richtlinie für bedingten Zugriff wird sofort wirksam und muss nicht explizit bereitgestellt werden.
Unter Verwalten des SharePoint Online-Zugriffs mit Microsoft Intune finden Sie Informationen zum Überwachen der Richtlinie in der Intune-Konsole.