{"id":45535,"date":"2020-06-17T08:32:29","date_gmt":"2020-06-17T06:32:29","guid":{"rendered":"https:\/\/twincapfirst.ch\/blog\/conditional-access\/"},"modified":"2024-11-10T19:20:15","modified_gmt":"2024-11-10T18:20:15","slug":"conditional-access","status":"publish","type":"post","link":"https:\/\/twincapfirst.ch\/de\/blog\/conditional-access\/","title":{"rendered":"Conditional Access (hybrid Umgebung inkl. Mac)"},"content":{"rendered":"\n

Conditional Access (hybrid Umgebung inkl. Mac)<\/h2>\n\n\n\n

Ausgangslage Conditional Access<\/h2>\n\n\n\n

In diesem Blog beschreiben wir Conditional Access mit Microsoft Intune in einer hybriden Umgebung. Als Ausgangslage dient eine Umgebung, die hybrid betrieben wird und noch den einen oder anderen Apple Mac PC beinhaltet. Die bestehenden File-Server wurden durch SharePoint Online abgel\u00f6st. Nun muss jedoch sichergestellt werden, dass die Bibliotheken nur auf Firmenger\u00e4ten synchronisiert werden d\u00fcrfen. Wie l\u00e4sst sich dies unter diesen Voraussetzungen sicherstellen?<\/p>\n\n\n\n

Was ist die L\u00f6sung?<\/h2>\n\n\n\n

Die L\u00f6sung hierf\u00fcr lautet Conditional Access. Mit der Verwendung von Conditional Access Policies lassen sich entsprechende Zugriffskontrollen erstellen. Dabei lassen sich weit komplexere und umfassendere Policies erstellen, als wir es in diesem Beispiel tun.<\/p>\n\n\n\n

Lizenzierung<\/h2>\n\n\n\n

Um Conditional Access verwenden zu k\u00f6nnen, m\u00fcssen die erforderlichen Benutzer mindestens \u00fcber eine Azure AD Premium P1 Lizenz verf\u00fcgen. (*Azure AD Premium P1 steht auch mit Microsoft 365 Business Premium zur Verf\u00fcgung.)<\/p>\n\n\n\n

Ziel<\/h2>\n\n\n\n

Das Ziel ist es, sicherzustellen, dass ein Benutzer der auf eine SharePoint Online Bibliothek zugreift, diese nur mit OneDrive synchronisieren kann, wenn sein Ger\u00e4t der Firma geh\u00f6rt. Somit soll verhindert werden, dass Firmenbibliotheken auf privaten, unsicheren Computern synchronisiert werden.<\/p>\n\n\n\n

Mancher denkt sich jetzt, „ist ja einfach und l\u00e4sst sich ganz simpel im SharePoint Admin Center einstellen“ Sicher ja, dies k\u00f6nnte es sein. Doch eine Umgebung, bei welcher einige Ger\u00e4te Azure AD joined sind, andere sich in der lokalen Active Directory befinden und zus\u00e4tzlich noch Apple Macs existieren, wird es dann doch etwas komplizierter. Aus diesem Grund kommt eine L\u00f6sung mit Conditional Access zum Zug.<\/p>\n\n\n\n

\u00dcbersicht Zugriffe<\/h2>\n\n\n\n

In folgender Tabelle abgebildet ist die Zugriffs\u00fcbersicht.<\/p>\n\n\n\n

 <\/td>Zugriff<\/strong><\/td><\/tr>
Ger\u00e4t (Besitzer)<\/strong><\/td>Browser<\/strong><\/td>OneDrive-Client<\/strong><\/td><\/tr>
Desktop (Firma)<\/strong><\/td>Ja<\/td>Ja<\/td><\/tr>
Laptop (Firma)<\/strong><\/td>Ja<\/td>Ja<\/td><\/tr>
iMac (Firma)<\/strong><\/td>Ja<\/td>Ja<\/td><\/tr>
Desktop (Privat)<\/strong><\/td>Ja<\/td>Nein<\/td><\/tr>
Laptop (Privat)<\/strong><\/td>Ja<\/td>Nein<\/td><\/tr>
iMac (Privat)<\/strong><\/td>Ja<\/td>Nein<\/td><\/tr>
\u00dcbrige (Privat)<\/strong><\/td>Ja<\/td>Nein<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Conditional Access Policy<\/h2>\n\n\n\n

Basierend auf vorgehender Tabelle, wird nun eine Conditional Access Policy erstellt, die den Zugriff auf SharePoint Online regelt.<\/p>\n\n\n\n

Daf\u00fcr wird eine neue Policy erstellt, die auf alle Benutzer angewandt wird. Weiters wird die Policy auf die Cloud App Office 365 SharePoint Online angewandt, und zwar f\u00fcr jedes Device von jeder Location. Der Browser wird ausgeschlossen. Was nun wichtig ist: Die Richtlinie wird f\u00fcr alle Device states gesetzt, ausgenommen werden aber Ger\u00e4te die a) Hybrid Azure AD joined oder b) als \u00abcompliant\u00bb markiert sind. Dazu im n\u00e4chsten Abschnitt mehr. Weiters w\u00e4hlen wir Block access<\/strong> und !WICHTIG!<\/strong> erst einmal \u00abReport only\u00bb. Dadurch sperren wir uns nicht gleich selbst aus und k\u00f6nnen erst einmal mit What-if ein paar Szenarien pr\u00fcfen.<\/p>\n\n\n\n

Folgend ein paar Szenarien im Test. (Benutzer im Azure AD)<\/p>\n\n\n\n