Easy Directory 2.0
Easy Directory 2.0 - entdecke die neuen Funktionen & Verbesserungen Wir freuen uns, dir die neueste Version von Easy Directory präsentieren zu dürfen! Diese ...
In diesem Blog beschreiben wir Conditional Access mit Microsoft Intune in einer hybriden Umgebung. Als Ausgangslage dient eine Umgebung, die hybrid betrieben wird und noch den einen oder anderen Apple Mac PC beinhaltet. Die bestehenden File-Server wurden durch SharePoint Online abgelöst. Nun muss jedoch sichergestellt werden, dass die Bibliotheken nur auf Firmengeräten synchronisiert werden dürfen. Wie lässt sich dies unter diesen Voraussetzungen sicherstellen?
Die Lösung hierfür lautet Conditional Access. Mit der Verwendung von Conditional Access Policies lassen sich entsprechende Zugriffskontrollen erstellen. Dabei lassen sich weit komplexere und umfassendere Policies erstellen, als wir es in diesem Beispiel tun.
Um Conditional Access verwenden zu können, müssen die erforderlichen Benutzer mindestens über eine Azure AD Premium P1 Lizenz verfügen. (*Azure AD Premium P1 steht auch mit Microsoft 365 Business Premium zur Verfügung.)
Das Ziel ist es, sicherzustellen, dass ein Benutzer der auf eine SharePoint Online Bibliothek zugreift, diese nur mit OneDrive synchronisieren kann, wenn sein Gerät der Firma gehört. Somit soll verhindert werden, dass Firmenbibliotheken auf privaten, unsicheren Computern synchronisiert werden.
Mancher denkt sich jetzt, «ist ja einfach und lässt sich ganz simpel im SharePoint Admin Center einstellen» Sicher ja, dies könnte es sein. Doch eine Umgebung, bei welcher einige Geräte Azure AD joined sind, andere sich in der lokalen Active Directory befinden und zusätzlich noch Apple Macs existieren, wird es dann doch etwas komplizierter. Aus diesem Grund kommt eine Lösung mit Conditional Access zum Zug.
In folgender Tabelle abgebildet ist die Zugriffsübersicht.
Zugriff | ||
Gerät (Besitzer) | Browser | OneDrive-Client |
Desktop (Firma) | Ja | Ja |
Laptop (Firma) | Ja | Ja |
iMac (Firma) | Ja | Ja |
Desktop (Privat) | Ja | Nein |
Laptop (Privat) | Ja | Nein |
iMac (Privat) | Ja | Nein |
Übrige (Privat) | Ja | Nein |
Basierend auf vorgehender Tabelle, wird nun eine Conditional Access Policy erstellt, die den Zugriff auf SharePoint Online regelt.
Dafür wird eine neue Policy erstellt, die auf alle Benutzer angewandt wird. Weiters wird die Policy auf die Cloud App Office 365 SharePoint Online angewandt, und zwar für jedes Device von jeder Location. Der Browser wird ausgeschlossen. Was nun wichtig ist: Die Richtlinie wird für alle Device states gesetzt, ausgenommen werden aber Geräte die a) Hybrid Azure AD joined oder b) als «compliant» markiert sind. Dazu im nächsten Abschnitt mehr. Weiters wählen wir Block access und !WICHTIG! erst einmal «Report only». Dadurch sperren wir uns nicht gleich selbst aus und können erst einmal mit What-if ein paar Szenarien prüfen.
Folgend ein paar Szenarien im Test. (Benutzer im Azure AD)
Wichtig ist, dass die Firmengeräte einer dieser beiden Status erhalten. Hybrid Azure AD joined erhält ein Gerät, wenn es aus der lokalen AD ins Azure AD synchronisiert wird. Somit wird davon ausgegangen, dass diese Geräte auch der Firma gehörten. Was aber nun mit den Azure AD joined-Geräten und den Macs, die sich nicht in der lokalen AD befinden?
Da kommt nun Intune zum Einsatz. In Intune wird eine Device Compliance Policy erstellt und anschliessend wird bei allen Azure AD-joined Geräte eine MDM-Registrierung durchgeführt. Für das Enrollment der iMacs und MacBooks muss erst ein Apple MDM Push certificate erstellt werden, worauf sich aber auch die Mac-Geräte im Intune registrieren lassen. Da alle diese Geräte nun compliant sind (sofern sie die Kriterien der Policy erfüllen), können die SharePoint Bibliotheken nun ebenfalls auf diesen Geräten synchronisiert werden.
Mit dem Einsatz von Conditional Access lässt sich auch in einer gemischten Umgebung der Zugriff auf SharePoint Bibliotheken einschränken. Klar, in dem beschriebenen Szenario könnte der Mitarbeiter den Ordner auch im Browser öffnen und die Datei lokal herunterladen. Es könnte sogar noch weiter gegangen werden und auch den Zugriff via Browser verboten werden, wenn es sich nicht um ein Firmengerät handelt. Wie restriktiv die angewandten Richtlinien sind, hängt immer von der Firma und ihrer Philosophie ab.
Abonniere unseren Blog und verpasse keinen Beitrag mehr. Wir spammen Dich nicht zu, sondern informieren Dich nur über neue Beiträge.
Easy Directory 2.0 - entdecke die neuen Funktionen & Verbesserungen Wir freuen uns, dir die neueste Version von Easy Directory präsentieren zu dürfen! Diese ...
Übersicht des Microsoft Teams Update Nov24 Geschätze Kundschaft Sie telefonieren mit uns über Microsoft Teams ins öffentliche Netz, wofür wir uns herzlich bedanken. Aus ...
Teams Telefonie mit eSIM auf deinem Handy, ohne Teamsapp! Du kennst die Situation: Du hast eine Festnetznummer in Microsoft Teams im Büro. Unterwegs musst ...
Printix ist neu Tungsten Printix Cloud Wir freuen uns, Ihnen mitteilen zu können, dass Printix nun Tungsten Printix Cloud heisst. Der Name wurde geändert, ...
Buche einen Microsoft Teams Meeting Termin bei Christoph Schoch. Nach der Buchung erhälst du eine Termineinladung. Dort findest du einen Link für das Teams Meeting. Natürlich kannst du uns auch gerne eine E-Mail schreiben oder uns direkt anrufen.
Wenn du Fragen hast, nutze dazu unser Helpcenter und/oder eröffne eine Ticket für dein Anliegen.