• Link zu X
  • Link zu Xing
  • Link zu LinkedIn
  • Link zu Instagram
  • Link zu Youtube
Webinare: 16.05. Zero Trust: der neue Standard | 16.05. Microsoft Copilot erfolgreich starten | 06.06. MDM mit Microsoft Intune > Infos & Anmeldung
Net at Work
  • Microsoft 365
    • Workshops
    • Microsoft Teams
    • Telefonie
      • Microsoft Teams Telefonie
      • Contact Center
      • Managed SBC
    • Microsoft Exchange
    • Microsoft SharePoint
    • M365 Migration
    • Security
      • Microsoft 365 Security
      • SOC
      • E-Mail Security
    • Microsoft Power Platform
    • Microsoft Copilot
    • Informationsmanagement
    • Wissensmanagement
  • Business Apps
    • Microsoft Development
    • Individuelle Softwareentwicklung
  • Intranet
  • Managed Services
  • Change Management
  • Unternehmen
    • Kontakt
    • Über uns
    • Referenzen
    • Karriere
      • Fach- und Führungskräfte
      • Junge Talente
  • Blog
  • Online Events
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
  • Absicherung des Gerätezugriffs mit Conditional Access

Heben Sie Ihre Zero-Trust-Architektur auf die nächste Stufe – Teil 1

Absicherung des Gerätezugriffs mit Conditional Access

Thomas Welslau
Autor: Thomas WelslauCompetence Lead Securityhttps://www.linkedin.com/in/thomas-welslau-866016153/–Auf LinkedIn vernetzen

In den Whitepapers zu Azure AD Premium P1 und Azure AD Premium P2 haben Sie erfahren, wie Sie die Lizenzpakete nutzen, um Benutzerkonten und auch administrative Konten optimal zu schützen. Damit haben wir den Grundstein für Ihre Zero-Trust-Architektur gelegt. Wie wir darauf nun sinnvoll aufbauen und den Gerätestatus in die Zugriffsbewertung integrieren, beschreiben wir in diesem Blogbeitrag.

Azure AD Feld „Trust Type“

Zunächst kommt immer die Frage auf, wie wir sicherstellen können, dass nur Firmengeräte auf Unternehmensanwendungen zugreifen können. Hierbei liegt es im Rahmen von Conditional Access nahe, zunächst die Option des Azure AD Feldes „Trust Type“ der Geräte mit in die Bewertung einzubeziehen.

Absicherung des Gerätezugriffs mit Conditional Access: Azure AD Feld Trust Type

Wie im Screenshot zu sehen ist, stehen hier folgende Typen zur Verfügung:

  • Azure AD Join

    Diesen Status erhält ein Windows Gerät, wenn es dem Azure AD zur Verwaltung hinzugefügt wurde. In den Standardeinstellungen des Azure ADs ist jeder Benutzer in der Lage, ein beliebiges Windows System hinzuzufügen. Diese Einstellung lässt sich jedoch auf Benutzergruppen beschränken, aber auch dann ist ein Azure AD Join noch kein eindeutiges Indiz dafür, dass es sich um ein Firmengerät handelt.

  • Azure AD registriert

    Den Status „Azure AD registriert“ erhält ein Gerät unabhängig vom Betriebssystem, wenn sich ein Benutzer mit einem Microsoft 365 Konto verbindet, um beispielsweise Microsoft 365 Apps for Enterprise zu verknüpfen. Wie im Falle des Azure AD Joins ist das Registrieren ebenfalls kein eindeutiges Merkmal für ein Firmengerät.

  • Hybrid Azure AD Join

    Diesen Status erhält ein Windows Gerät, wenn es zusätzlich zur lokalen Domänen-Mitgliedschaft auch dem Azure AD zur Verwaltung hinzugefügt wird. Hierfür sind Einstellungen in den Gruppenrichtlinien und im Azure AD Connect notwendig. Bewertet man Geräte mit diesem Status als Firmengerät, dann verlässt man sich darauf, dass nur Firmengeräte in der Domäne eingebunden sind. In vielen Umgebungen ist die Möglichkeit des Domain Joins auf administrative Konten beschränkt, sodass der Hybrid Azure AD Join vom Endbenutzer nicht so leicht „ausgenutzt“ werden kann.

Azure AD Feld „Compliant“

In vielen Fällen wird also der Trust Type eines Gerätes allein zur Bewertung nicht ausreichen. Deswegen schauen wir im nächsten Schritt, inwieweit das Azure AD Feld „Compliant“ hier unterstützen kann.

Absicherung des Gerätezugriffs mit Conditional Access: Azure AD Feld Compliant

Damit das Feld für die Geräte im Azure AD gepflegt wird, ist die Einrichtung vom Microsoft Endpoint Manager (Intune) notwendig. Setzt man an dieser Stelle für die Geräteverwaltung auf ein anderes System, kann auch dies ggfs. zur Compliance-Bewertung herangezogen werden. Für Windows Clients kann beispielsweise der Microsoft Endpoint Configuration Manager integriert werden. Ist für iOS, Android oder macOS Geräte ein anderes Mobile Device Management System im Einsatz, kann dieses über einen Compliance Partner Connector angebunden werden. Die hier im Artikel beschriebene Bewertung bezieht sich auf den Microsoft Endpoint Manager.

Das Attribut „Compliant“ hat entweder den Wert „True“ oder „False“, sodass in Conditional Access nach Geräten unterschieden werden kann, die entweder konform oder nicht konform sind. Damit aber ein Gerät als konform markiert wird, sind folgende Voraussetzungen notwendig:

  • Das Gerät wird durch eine Geräteverwaltung wie z.B. mit dem Microsoft Endpoint Manager verwaltet
  • Dem Gerät ist eine Compliance-Richtlinie zugewiesen
  • Das Gerät erfüllt die Anforderungen in der Compliance Richtlinie

Geräteverwaltung mit dem Microsoft Endpoint Manager: Enrollment Restrictions

Inwiefern ein Gerät zur Verwaltung registriert werden darf, hängt von den Einstellungen ab. Die Registrierung kann durch die Enrollment Restrictions so weit beschränkt werden, dass nur noch vorab im Tenant bekannte Unternehmensgeräte ausgerollt werden können.

Geräteverwaltung mit dem Microsoft Endpoint Manager: Enrollment Restrictions

Werden die Enrollment Restrictions wie im Screenshot zu sehen konfiguriert, können z.B. folgende Geräte im Endpoint Manager registriert werden:

  • Windows Geräte, die im Status „Azure AD Join“ oder „Hybrid Azure AD Join“ sind
  • Windows Autopilot Geräte, die vorab vom Hersteller oder Gerätelieferanten im Tenant hinterlegt werden
  • iOS oder iPadOS Geräte, die vom Apple Business Manager synchronisiert werden
  • Android Zero-Touch-Geräte
  • Geräte, die per IMEI oder Seriennummer importiert werden

Zugewiesene Compliance Richtlinie

Hier gibt es zunächst eine Standardrichtlinie, die für jedes Gerät mit jedem Betriebssystem gilt. Diese Richtlinie lässt sich geringfügig anpassen. Beispielsweise wird hier ein Gerät nach X Tagen Inaktivität als nicht konform markiert.

Zugewiesene Compliance Richtlinie

Darüber hinaus gibt es für jedes Betriebssystem individuell noch die Möglichkeit, eigene Compliance Richtlinien zu verteilen. In diesen Compliance Richtlinien werden die Anforderungen an ein konformes Gerät festgelegt. So ist ein Windows Gerät z.B. nur dann konform, wenn die Firewall eingeschaltet, Bitlocker aktiv und der Defender auf dem aktuellen Stand ist.

Überprüfung der Compliance

Der Compliance Status wird regelmäßig ausgewertet und protokolliert. Wenn sich der Compliance Status ändert und von „konform“ auf „nicht konform“ wechselt, weil z.B. die Windows Version länger nicht aktualisiert wurde und das Gerät so den Anforderungen nicht mehr genügt, sorgt Conditional Access dafür, dass die Benutzer auf dem Gerät auf keine Unternehmensanwendungen mehr zugreifen können. Erst nach einem Update auf eine unterstützte Version und der erneuten Überprüfung der Compliance ist der Zugriff wieder möglich.

Welche Anforderungen hier definiert werden können und wie der Defender for Endpoint Computerstatus integriert werden kann, erfahren Sie im zweiten Teil.

Microsoft Security Workshop

In dem Microsoft Security Workshop entwickeln wir eine auf Ihr Unternehmen zugeschnittene Sicherheitsstrategie.

Jetzt informieren!

Weitere News zu diesem Thema

Defender External Attack Surface Management Preview

Defender External Attack Surface Management: So verwalten Sie externe Ressourcen

Alle News, News IT-Betrieb, News Kompetenzen, News Microsoft Microsoft 365, News Security, Unsere Top-News
Weiterlesen
2025-05-09
Cyberangriff Beispiel – detaillierte Analyse eines echten Angriffs

Cyberangriff Beispiel – detaillierte Analyse eines echten Angriffs

Alle News, News IT-Betrieb, News Kompetenzen, News Microsoft Microsoft 365, News Security, Unsere Top-News
Weiterlesen
2025-04-10
Power Platform Governance – so vermeiden Sie Chaos und Risiken

Power Platform Governance – so vermeiden Sie Chaos und Risiken

Alle News, News IT-Betrieb, News Kompetenzen, News Microsoft Microsoft 365, News Microsoft Power Platform, News Security, Unsere Top-News
Weiterlesen
2025-04-01
Seite 1 von 21123›»

Pressekontakt

Aysel Nixdorf, Marketing Managerin bei Net at Work.
Gerne stehe ich Ihnen bei Fragen zu Net at Work und unserem Angebot jederzeit zur Verfügung. Sprechen Sie mich an.

Aysel Nixdorf
Marketing & PR
Telefon +49 5251 304627

Kostenfreier Beratungstermin

Wird geladen

Newsletter

Jetzt abonnieren

Jetzt Beitrag teilen!

  • teilen 
  • teilen 
  • teilen 
  • E-Mail 

Unternehmen

  • Profil
  • Kontakt
  • Karriere
  • Impressum
  • Datenschutzerklärung
  • Allgemeine Geschäftsbedingungen (AGB)
  • Datenschutzinformation für Geschäftspartner und Bewerber

Kompetenzen

  • Microsoft 365
  • Microsoft 365 Change Management
  • Managed Services Provider
  • Microsoft Teams
  • Microsoft Teams Telefonie
  • Microsoft Teams Contact Center
  • Microsoft 365 Security
  • Microsoft Copilot
  • Microsoft Azure
  • Microsoft SharePoint
  • Microsoft Exchange
  • Microsoft Power Platform
  • Informationsmanagement
  • Intranet
  • E-Mail-Sicherheit

Microsoft Solutions Partner Modern Work

Microsoft Solutions Partner Security

News

  • Newsletter abonnieren
  • Kompetenzen
  • Unternehmen
  • Termine
  • Alle News

Letzte News

  • Defender External Attack Surface Management Preview
    Defender External Attack Surface Management: So verwalten Sie externe Ressourcen2025-05-09 - 10:00
  • Great Place To Work – Net at Work zählt zu den Top 30 der besten Arbeitgeber in Deutschland
    Great Place To Work – Net at Work zählt zu den Top 30 der besten Arbeitgeber in Deutschland2025-04-28 - 10:16
  • Cyberangriff Beispiel – detaillierte Analyse eines echten Angriffs
    Cyberangriff Beispiel – detaillierte Analyse eines echten Angriffs2025-04-10 - 11:00
IMPRESSUM • Datenschutzerklärung •  • © 2025 Net at Work GmbH
  • Link zu X
  • Link zu Xing
  • Link zu LinkedIn
  • Link zu Instagram
  • Link zu Youtube
Nach oben scrollen Nach oben scrollen Nach oben scrollen