Microsoft 365 mit Intune-Compliance und Conditional Access absichern

    , 12.01.2023
    Tags: , , ,

    Azure Active DirectoryEin Hybrid Join in einem lokalen Active Directory und Azure AD ist die Voraussetzung, um Geräte im M365 Endpoint Manage­ment (Intune) zu verwalten. Die Registrierung in Intune lässt sich dann für eine Richtlinie von Conditional Access nutzen, um nur solchen Clients den Zugriff auf M365-Dienste zu erlauben, die über das Online-Tool verwaltet werden.

    Wenn Unternehmen Cloud-Dienste verwenden, dann verschiebt sich der Sicherheitsfokus weg von der Perimeter-Firewall hin zur Identität der Nutzer und ihren Endgeräten.

    Wird nämlich die Identität eines Anwenders kompromittiert, dann können sich Angreifer auf weitere Cloud-Dienste und damit verbundene Konten (Lateral Movement) ausbreiten.

    Häufig implementieren Unternehmen daher eine so genannte Zero-Trust-Strategie. In diesem Zusammenhang könnten Sie sich beispielsweise fragen, ob der Zugriff auf M365-Services von jedem beliebigen Endgerät erlaubt sein soll oder ob Sie höhere Anforderungen stellen möchten.

    Die Rolle von Intune

    Intune kann nicht nur Endgeräte verwalten, die von Mitarbeitern im eigenen Unternehmen verwendet werden. Vielmehr eignet es sich auch für BYOD-Szenarien, etwa für Notebooks von Außen­dienst­mitarbeitern oder private PCs im Home-Office.

    Intune überprüft dann registrierte Endgeräte daraufhin, ob sie mit den Compliance-Richtlinien eines Unternehmens übereinstimmen (zum Beispiel Secure-Boot, BitLocker-Verschlüsselung, Viren-Scanner, u.v.m.) und verleiht bei bestandener Prüfung eine Art Gütesiegel.

    Das Konzept erinnert an die Network Access Protection (NAP) in früheren Versionen von Windows Server.

    Richtlinie für Conditional Access einrichten

    Eine Conditional-Access-Richtlinie im Azure AD könnte dann die Registrierung eines Gerätes in Intune als Bedingung (Condition) verwenden, um den Zugriff auf Cloud-Dienste wie Microsoft 365 oder Teams zu steuern.

    Eine Conditional Access Policy für den Zugriff auf M365-Dienste lässt sich mit einer Bedingung vom Typ Intune Enrolled and Compliant Device erstellen ("Require device to be marked as compliant").

    Eine Conditional-Access-Richtlinie für den Zugriff auf O365, die den Intune-Geräte-Status als Bedingung verwendet.

    Fazit

    Die Kombination aus Azure AD Hybrid Join, der Azure AD-Geräte­verwaltung und einem Intune-Enrollment der AD DS-Clients sowie einer Richtlinie für Conditional Access erhöht die Sicherheit für den Zugriff auf M365-Dienste ganz erheblich. Sie lässt sich relativ einfach einrichten, wenn man das Zusammen­spiel der Komponenten verstanden hat.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling
    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant. Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Verwandte Beiträge

    Weitere Links