Ausgangslage Conditional access

In diesem Blog beschreiben wir Conditional Access mit Microsoft Intune in einer hybriden Umgebung. Als Ausgangslage dient eine Umgebung, die hybrid betrieben wird und noch den einen oder anderen Apple Mac PC beinhaltet. Die bestehenden File-Server wurden durch SharePoint Online abgelöst. Nun muss jedoch sichergestellt werden, dass die Bibliotheken nur auf Firmengeräten synchronisiert werden dürfen. Wie lässt sich dies unter diesen Voraussetzungen sicherstellen?

Was ist die Lösung?

Die Lösung hierfür lautet Conditional Access. Mit der Verwendung von Conditional Access Policies lassen sich entsprechende Zugriffskontrollen erstellen. Dabei lassen sich weit komplexere und umfassendere Policies erstellen, als wir es in diesem Beispiel tun.

Lizenzierung

Um Conditional Access verwenden zu können, müssen die erforderlichen Benutzer mindestens über eine Azure AD Premium P1 Lizenz verfügen. (*Azure AD Premium P1 steht auch mit Microsoft 365 Business Premium zur Verfügung.)

Ziel

Das Ziel ist es, sicherzustellen, dass ein Benutzer der auf eine SharePoint Online Bibliothek zugreift, diese nur mit OneDrive synchronisieren kann, wenn sein Gerät der Firma gehört. Somit soll verhindert werden, dass Firmenbibliotheken auf privaten, unsicheren Computern synchronisiert werden.

Mancher denkt sich jetzt, “ist ja einfach und lässt sich ganz simpel im SharePoint Admin Center einstellen” Sicher ja, dies könnte es sein. Doch eine Umgebung, bei welcher einige Geräte Azure AD joined sind, andere sich in der lokalen Active Directory befinden und zusätzlich noch Apple Macs existieren, wird es dann doch etwas komplizierter. Aus diesem Grund kommt eine Lösung mit Conditional Access zum Zug.

Übersicht Zugriffe

In folgender Tabelle abgebildet ist die Zugriffsübersicht.

 Zugriff
Gerät (Besitzer)BrowserOneDrive-Client
Desktop (Firma)JaJa
Laptop (Firma)JaJa
iMac (Firma)JaJa
Desktop (Privat)JaNein
Laptop (Privat)JaNein
iMac (Privat)JaNein
Übrige (Privat)JaNein

Conditional Access Policy

Basierend auf vorgehender Tabelle, wird nun eine Conditional Access Policy erstellt, die den Zugriff auf SharePoint Online regelt.

Dafür wird eine neue Policy erstellt, die auf alle Benutzer angewandt wird. Weiters wird die Policy auf die Cloud App Office 365 SharePoint Online angewandt, und zwar für jedes Device von jeder Location. Der Browser wird ausgeschlossen. Was nun wichtig ist: Die Richtlinie wird für alle Device states gesetzt, ausgenommen werden aber Geräte die a) Hybrid Azure AD joined oder b) als «compliant» markiert sind. Dazu im nächsten Abschnitt mehr. Weiters wählen wir Block access und !WICHTIG! erst einmal «Report only». Dadurch sperren wir uns nicht gleich selbst aus und können erst einmal mit What-if ein paar Szenarien prüfen.

Folgend ein paar Szenarien im Test. (Benutzer im Azure AD)

  • Zugriff von privatem Windows 10 Gerät via Browser: Erlaubt
    coditional access with windwos 10 browser
  • Zugriff von privatem Windows 10 Gerät via OneDrive: Blockiert
    What-if private Windows 10 OneDrive
  • Zugriff von Firmengerät, Windows 10 via OneDrive: Erlaubt
    What-if company Win 10 OneDrive

Device State compliant oder Hybrid Azure AD joined

Wichtig ist, dass die Firmengeräte einer dieser beiden Status erhalten. Hybrid Azure AD joined erhält ein Gerät, wenn es aus der lokalen AD ins Azure AD synchronisiert wird. Somit wird davon ausgegangen, dass diese Geräte auch der Firma gehörten. Was aber nun mit den Azure AD joined-Geräten und den Macs, die sich nicht in der lokalen AD befinden?

Intune

Da kommt nun Intune zum Einsatz. In Intune wird eine Device Compliance Policy erstellt und anschliessend wird bei allen Azure AD-joined Geräte eine MDM-Registrierung durchgeführt. Für das Enrollment der iMacs und MacBooks muss erst ein Apple MDM Push certificate erstellt werden, worauf sich aber auch die Mac-Geräte im Intune registrieren lassen.

Da alle diese Geräte nun compliant sind (sofern sie die Kriterien der Policy erfüllen), können die SharePoint Bibliotheken nun ebenfalls auf diesen Geräten synchronisiert werden.

Device Compliance Intune with iMac

Fazit

Mit dem Einsatz von Conditional Access lässt sich auch in einer gemischten Umgebung der Zugriff auf SharePoint Bibliotheken einschränken. Klar, in dem beschriebenen Szenario könnte der Mitarbeiter den Ordner auch im Browser öffnen und die Datei lokal herunterladen. Es könnte sogar noch weiter gegangen werden und auch den Zugriff via Browser verboten werden, wenn es sich nicht um ein Firmengerät handelt. Wie restriktiv die angewandten Richtlinien sind, hängt immer von der Firma und ihrer Philosophie ab.

Datenschutz
, Besitzer: (Firmensitz: Deutschland), verarbeitet zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in der Datenschutzerklärung.
Datenschutz
, Besitzer: (Firmensitz: Deutschland), verarbeitet zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in der Datenschutzerklärung.