
In dieser Anleitung erfahren Sie, wie Sie Microsoft 365-Apps mithilfe der Richtlinie für bedingten Zugriff blockieren. Dies verhindert unbefugten Zugriff von nicht verwalteten oder BYOD-Geräten, sodass bei Intune registrierte oder kompatible Geräte auf Anwendungen wie Teams, OneDrive, SharePoint Online, Exchange Online und Outlook zugreifen müssen.
Mit Richtlinien für bedingten Zugriff können Administratoren bestimmten Anwendungen, Diensten, Aktionen oder Authentifizierungskontexten Kontrollen zuweisen. Sie können beispielsweise den Zugriff auf die gesamte M365-Apps-Suite oder einzelne Anwendungen wie Office 365 Exchange Online oder SharePoint Online auf eine bestimmte Gruppe von Gruppen beschränken. Ein weiteres Beispiel für die Verwendung von Richtlinien wird in der Anleitung zum Konfigurieren des bedingten Zugriffs für die Remotehilfe in Intune behandelt.
Unternehmen können Richtlinien für bedingten Zugriff nutzen, um geeignete Zugriffskontrollen durchzusetzen und sicherzustellen, dass Ihr Unternehmen sicher bleibt, ohne die Produktivität zu beeinträchtigen. Bewerten Sie vor der Bereitstellung die Anforderungen gründlich und entwerfen Sie die Richtlinie sorgfältig, um sie an die Bedürfnisse Ihres Unternehmens anzupassen. Now let’s get started.
Installieren und aktualisieren Sie Anwendungen von Drittanbietern mit Patch My PC
Voraussetzungen
Um Benutzern effektiv den Zugriff auf Microsoft 365-Apps zu verweigern, müssen die folgenden Anforderungen erfüllt sein. Diese Voraussetzungen sind auch in der Microsoft-Dokumentation beschrieben.
-
Ein funktionierender Microsoft Entra-Mandant mit aktivierter Microsoft Entra-ID P1, P2 oder einer Testlizenz.
-
Administratoren, die mit bedingtem Zugriff interagieren, benötigen eine der folgenden Rollenzuweisungen:
- Sicherheitsleser: Lesen Sie Richtlinien und Konfigurationen für bedingten Zugriff.
- Administrator für bedingten Zugriff: Erstellen, ändern oder wiederherstellen Sie vorläufig gelöschte Richtlinien für bedingten Zugriff.
-
Windows devices must be registered in Microsoft Entra ID assigned with a valid license.
-
Erstellen Sie eine Pilotgruppe aus Testbenutzern oder -geräten, um die Funktionalität der Richtlinie für bedingten Zugriff zu bewerten. Wenn die Richtlinie erfolgreich funktioniert, können Sie sie auf andere Gruppen erweitern.
Best Practices
-
Beim Erstellen einer Richtlinie für bedingten Zugriff empfiehlt Microsoft, Notfallzugriffs- oder Break-Glass-Konten auszuschließen, um eine Sperrung aufgrund einer Fehlkonfiguration der Richtlinie zu verhindern. Wenn alle Administratoren unerwartet gesperrt werden, können Sie sich über das Administratorkonto für den Notfallzugriff anmelden und den Zugriff wiederherstellen.
-
Nachdem Sie Ihre Richtlinie für bedingten Zugriff zum Blockieren von M365-Apps konfiguriert haben, legen Sie den Richtlinienstatus auf „Nur Berichtsmodus“ fest. Dadurch können Administratoren die meisten Richtlinien für bedingten Zugriff testen, bevor sie sie vollständig aktivieren. Sobald Sie bestätigt haben, dass die Richtlinie wie vorgesehen funktioniert, wechseln Sie den Status vom Nur-Bericht-Modus in den Ein-Modus.
-
Viele Microsoft 365-Apps sind voneinander abhängig. Beispielsweise kann das Blockieren von SharePoint die Funktionalität der Registerkarte „Dateien“ in Microsoft Teams beeinträchtigen. Um solche Probleme zu vermeiden, empfiehlt es sich, die gesamte Office 365-Suite zu verwalten (zu blockieren oder zuzulassen), anstatt sich auf einzelne Apps zu konzentrieren.
-
Beachten Sie, dass das Blockieren bestimmter Microsoft Admin-Portale Benutzer daran hindern kann, auf Selbstinstallationsseiten zuzugreifen. Testen Sie diese Richtlinie daher sorgfältig.
Blockieren Sie Microsoft 365-Apps mithilfe der Richtlinie für bedingten Zugriff
Der bedingte Zugriff wird hauptsächlich im Microsoft Entra Admin Center konfiguriert. Die Erstellung einer Richtlinie für bedingten Zugriff umfasst mehrere Schritte, die im Folgenden definiert werden.
Schritt 1: Richtlinie erstellen
Lassen Sie uns in Microsoft Entra eine neue Richtlinie für bedingten Zugriff zum Blockieren von Microsoft 365-Apps erstellen.
- Melden Sie sich beim Microsoft Entra Admin Center als Administrator für bedingten Zugriff oder als globaler Administrator an.
- Navigieren Sie zu ID-Schutz > Risikobasierter bedingter Zugriff > Richtlinien.
- Um eine neue Richtlinie für bedingten Zugriff zu erstellen, wählen Sie Neue Richtlinie aus.
Erstellen Sie eine Richtlinie für bedingten Zugriff in Microsoft Entra
Schritt 2: Richtlinienzuweisungen definieren
Geben Sie einen Richtliniennamen an, z. B. M365-Apps für Windows-Benutzer blockieren. Wählen Sie unter Zuweisungen die Option Benutzer oder Agenten aus und wechseln Sie zur Registerkarte Einschließen. Fügen Sie hier die Entra-Benutzer/-Gruppen hinzu, die auf diese Richtlinie ausgerichtet sein sollen. Wechseln Sie zur Registerkarte „Ausschließen“ und fügen Sie Ihre Notfallzugriffs- oder Break-Glass-Konten hinzu, um eine Sperrung aufgrund einer Richtlinienfehlkonfiguration zu verhindern.
Im folgenden Beispiel ist die Richtlinie auf die Windows Pilot-Gruppe und nicht auf alle Benutzer ausgerichtet.
Erstellen Sie eine Richtlinie für bedingten Zugriff, um Microsoft 365-Apps zu blockieren
Schritt 3: Zielressourcen angeben
Klicken Sie unter „Zielressourcen > Ressourcen (früher Cloud-Apps)“ auf der Registerkarte „Einschließen“ auf „Ressourcen auswählen“. Klicken Sie nun auf „Bestimmte Ressourcen auswählen“. Im Bereich „Ressourcen“ werden die Microsoft 365-Anwendungen aufgelistet, die Sie zulassen oder blockieren können.
Basierend auf den Anforderungen Ihrer Organisation können Sie entweder alle Office 365-Apps oder bestimmte Apps innerhalb der Suite blockieren. Beide Optionen werden im Folgenden erläutert.
Alle Microsoft 365-Apps blockieren: Wenn Sie alle in der Microsoft 365-Suite enthaltenen Apps blockieren möchten, wählen Sie Office 365-App aus. Dies ist hilfreich, wenn Sie Ihren Mitarbeitern den Zugriff auf Microsoft 365-Anwendungen verbieten möchten.
Erstellen Sie eine Richtlinie für bedingten Zugriff, um Microsoft 365-Apps zu blockieren
Einzelne Microsoft 365-Apps blockieren: Wählen Sie diese Option aus, um bestimmte Apps innerhalb der M365-Suite einzuschränken. Sie können beispielsweise Apps wie Office 365 Exchange Online, OneDrive, Outlook, Office 365 Zoom, Office 365 SharePoint Online usw. blockieren.
Hinweis: Bei der Auswahl einiger Apps wird möglicherweise die Meldung „Ressource im bedingten Zugriff nicht unterstützt“ angezeigt. Dies bedeutet lediglich, dass sie nicht in die Richtlinie für bedingten Zugriff aufgenommen werden können.
Blockieren Sie einzelne Microsoft 365-Apps über die Richtlinie für bedingten Zugriff
Schritt 4: Geräteplattformen definieren
Sie können den Zugriff auf Microsoft 365-Apps für bestimmte Geräteplattformen blockieren. Der bedingte Zugriff identifiziert die Geräteplattform anhand der vom Gerät bereitgestellten Informationen, z. B. Benutzeragentenzeichenfolgen.
Wählen Sie unter Bedingungen Geräteplattformen aus. Wählen Sie zum Konfigurieren „Ja“ und wählen Sie auf der Registerkarte „Einschließen“ die Geräteplattformen aus, auf die die Richtlinie angewendet werden soll. Ich habe beispielsweise Windows und macOS für die Anwendung dieser Richtlinie für bedingten Zugriff ausgewählt. Wählen Sie „Fertig“ und fahren Sie mit der nächsten Konfiguration fort.
Blockieren Sie Microsoft 365-Apps mithilfe der Richtlinie für bedingten Zugriff
Schritt 5: Wählen Sie Client-Apps
Nachdem Sie die Geräteplattformen ausgewählt haben, wählen Sie Client-Apps aus. Klicken Sie auf „Ja“, um diese Einstellung zu konfigurieren und die Client-Apps auszuwählen, für die diese Richtlinie gelten soll. Unter Moderne Authentifizierungsclients werden zwei Optionen angezeigt.
-
Browser: Um den Zugriff auf Microsoft 365-Apps über den Browser zu blockieren, wählen Sie diese Option.
-
Mobile Apps und Desktop-Clients: Um den Zugriff auf Microsoft 365-Apps auf mobilen Apps und Desktop-Clients zu blockieren, wählen Sie diese Option aus.
Client-Apps – Richtlinie für bedingten Zugriff
Schritt 6: Zugriff auf M365-Apps blockieren
In einer Richtlinie für bedingten Zugriff kann ein Administrator Zugriffskontrollen verwenden, um den Zugriff auf Ressourcen zu gewähren oder zu blockieren. Wählen Sie unter „Zugriffskontrollen“ die Option „Gewähren“ aus. Hier können Sie die Zugriffsdurchsetzung steuern, um den Zugriff auf M365-Apps zu blockieren oder zu gewähren. Wenn Sie „Zugriff blockieren“ wählen, wird den Benutzern der Zugriff auf die Microsoft 365-Apps verwehrt, die Sie im obigen Schritt ausgewählt haben.
Richtlinie für bedingten Zugriff Gewähren Sie Zugriff, um Microsoft 365-Apps zuzulassen oder zu blockieren
Schritt 7: Richtlinie aktivieren
Nachdem Sie die Richtlinieneinstellungen konfiguriert haben, besteht der letzte Schritt darin, die Richtlinie zu aktivieren. Stellen Sie zunächst den Schalter „Richtlinie aktivieren“ auf „Nur Bericht“ ein. Auf diese Weise können Sie über die Microsoft Entra-Anmeldeprotokolle überprüfen, wer betroffen wäre, ohne sie tatsächlich zu blockieren.
Bedingter Zugriff: Richtlinie aktivieren
Nachdem Sie Ihre Einstellungen im Nur-Bericht-Modus bestätigt haben, verschieben Sie den Schalter „Richtlinie aktivieren“ von „Nur Bericht“ auf „Ein“.
Aktivieren Sie die Richtlinie für bedingten Zugriff, um Microsoft 365-Apps zu blockieren
Endbenutzererfahrung
Lassen Sie uns in diesem letzten Abschnitt fortfahren und testen, ob die obige Richtlinie für bedingten Zugriff die in der Richtlinie definierten Microsoft 365-Apps blockiert. Dies erreichen wir, indem wir über Webbrowser und Desktop-Clients auf die Microsoft 365-Apps zugreifen.
Melden Sie sich mit einem Arbeitskonto an einem Windows 11-PC an. Starten Sie den Webbrowser und greifen Sie auf Microsoft Teams im Web oder Outlook Web zu. Innerhalb von Sekunden wird durch die Richtlinie für bedingten Zugriff eine Fehlermeldung mit den folgenden Details auf dem Bildschirm angezeigt.
Sie können derzeit nicht darauf zugreifen. Ihre Anmeldung war erfolgreich, erfüllt jedoch nicht die Kriterien für den Zugriff auf diese Ressource. Beispielsweise könnten Sie sich über einen Browser, eine App oder einen Standort anmelden, der von Ihrem Administrator eingeschränkt wird.
Endbenutzererfahrung – Zugriff auf Microsoft 365-Apps blockiert
To verify if the above conditional access policy is also applied to desktop clients, open the Teams desktop app, the following error is displayed.
Sie müssen sich erneut anmelden. Dies kann eine Anfrage Ihrer IT-Abteilung oder Teams oder das Ergebnis einer Passwortaktualisierung sein.
Endbenutzererfahrung – Zugriff auf die Microsoft Teams-App blockiert
Die obigen Bilder und Fehlerdetails bestätigen, dass unsere Richtlinie für bedingten Zugriff den Zugriff auf Microsoft 365-Apps über Webbrowser, mobile Anwendungen und Desktop-Clients hinweg erfolgreich einschränkt.
Fazit
In diesem Leitfaden habe ich gezeigt, wie Administratoren eine Richtlinie für bedingten Zugriff in Microsoft Entra einrichten können, um den Zugriff auf Microsoft 365-Apps für Benutzer einzuschränken. Stellen Sie sicher, dass die Richtlinie entsprechend den Anforderungen Ihrer Organisation konfiguriert ist. Administratoren können die Richtlinie jederzeit bearbeiten und erforderliche Änderungen vornehmen. Wenden Sie es zunächst bei einer Pilotgruppe von Benutzern an und führen Sie es nach und nach bei einer größeren Benutzerbasis aus, sobald sich die Tests als erfolgreich erweisen.
Das ist alles für diesen Leitfaden. Wenn Sie Fragen haben, teilen Sie mir dies bitte im Kommentarbereich mit.
Ich brauche Ihre Unterstützung
Hey, das ist Prajwal. Ich hoffe, Sie fanden diese Seite hilfreich. Als unabhängiger Blogger erfordern die Inhalte, die ich veröffentliche, erhebliche Anstrengungen und Hingabe 💻. Der Aufstieg von Werbeblockern und KI #️⃣ hat im letzten Jahrzehnt zu erheblichen Umsatzverlusten für Online-Publisher geführt ⏰. Wenn Sie Wert auf eine solche unabhängige Arbeit legen, denken Sie bitte darüber nach, einen Beitrag zu leisten, damit ich weiterhin das tun kann, was ich liebe. Danke ❤️🙌
Unterstützung 💖
Brauchen Sie noch Hilfe?
Wenn Sie weitere Hilfe zu dem oben genannten Artikel benötigen oder andere technische Probleme besprechen möchten, sehen Sie sich einige dieser Optionen an.
Foren
Telegramm
Kontaktieren Sie mich
*️⃣ Quelllink:
Richtlinien für bedingten Zugriff, bedingten Zugriff für Remote-Hilfe in Intune konfigurieren,
,
Microsoft-Dokumentation,
Nur Berichtsmodus,
Microsoft Entra Admin Center,
Zugriff auf Microsoft Teams im Web,
Outlook Web, Teams-Desktop-App,
Unterstützung 💖
,
Foren
, Telegramm ,
Kontaktieren Sie mich
,