woipadinga
Goto Top

Defender kann wegen Conditional Access nicht mehr aktiv werden

Hallo zusammen,

wieder einmal ein Problem im Zusammenspiel von Intune, Defender for Endpoint und Conditional Access Policies. In diesem speziellen Fall ist es so, dass iOS Geräte welche länger (>7 Tage) ausgeschalten waren, keine Verbindung mehr zu Defender for Endpoint herstellen können.

Details zum Problem:

  • Wir haben eine Conditional Access Policy die Verbindungen von "not compliant" Devices stark einschränkt.

  • In der Compliance Policy wird der Risk Score vom Defender einbezogen. Ist diese höher als "Mittel" wird das Gerät als "not compliant" markiert.

Ist das Gerät nun länger als 7 Tage offline oder ausgeschalten (zb. im Urlaub) wird das Gerät in Defender for Endpoint im "sensor state" automatisch als "inactive" gekennzeichnet. Dadurch wird das Gerät automatisch "not compliant" und darf erst wieder auf Unternehmensdaten zugreifen sobald der Schutz wieder aktiv ist und das Gerät "compliant".

Es ist jetzt nur leider so, dass das Gerät anscheinend auch nicht mehr zu Defender for Endpoint verbinden darf. Der User kann sich zwar an der Defender-App erfolgreich ab- und wieder anmelden aber dies hat keinen Einfluß auf den "sensor state". Erst wenn ich den Risk-Score aus der Compliance Policy entferne oder die Conditional Access Policy deaktiviere wird der Sensor wieder "active".

Um das zu umgehen habe ich versucht den Defender aus der Conditional Access Policy auszuschließen. Die einzige App die ich gefunden habe war "WindowsDefenderATP", welche ich auch aus der Policy ausgeschlossen habe, leider ohne Erfolg.

Nun die Frage, wie schließe ich die Kommunikation des lokalen Sensors zur Defender-Cloud aus der Conditional Access Policy aus?

Wäre klasse wenn hier jemand etwas dazu weiß.

Danke und Gruß
Woipadinga

Content-Key: 13002382802

Url: https://administrator.de/contentid/13002382802

Printed on: July 17, 2024 at 19:07 o'clock

Member: 7Gizmo7
7Gizmo7 Jan 09, 2024 at 18:33:01 (UTC)
Goto Top
Mhm

You can use the Microsoft Defender for Endpoint app along with the Approved Client app , App Protection policy and Compliant Device (Require device to be marked as compliant) controls in Microsoft Entra Conditional Access policies. There's no exclusion required for the Microsoft Defender for Endpoint app while setting up Conditional Access. Although Microsoft Defender for Endpoint on Android & iOS (App ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) isn't an approved app, it is able to report device security posture in all the three grant permissions.

https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoi ...
Member: Woipadinga
Woipadinga Jan 10, 2024 at 08:31:27 (UTC)
Goto Top
Hi
Quote from @7Gizmo7:

Mhm

You can use the Microsoft Defender for Endpoint app along with the Approved Client app , App Protection policy and Compliant Device (Require device to be marked as compliant) controls in Microsoft Entra Conditional Access policies. There's no exclusion required for the Microsoft Defender for Endpoint app while setting up Conditional Access. Although Microsoft Defender for Endpoint on Android & iOS (App ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) isn't an approved app, it is able to report device security posture in all the three grant permissions.

https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoi ...

Hi @7Gizmo7

You didn't get the issue. The iOS defender app can't report back if the device is incompliant (probably because of the control "Require device to be marked as compliant"). The device become incompliant if the sensor gets inactive. So in summary, if the sensor is inactive the device will become incompliant and is then not able to report back to get active again. The sensor will instantly become active if i disable the conditional access policy or remove the risk score from the compliance policy.

So based on these facts i have to find a solution and hoping to be able to probably exclude an app to get rid of the issue.
Member: 7Gizmo7
7Gizmo7 Jan 11, 2024 at 19:14:40 (UTC)
Goto Top
I am a German face-smile

Ich übersetzte es so und verstehe das dein Problem nicht sein sollte , was sagt der Microsoft Support ?

Für die Microsoft Defender für Endpunkt-App ist beim Einrichten des bedingten Zugriffs kein Ausschluss erforderlich. Obwohl Microsoft Defender für Endpunkt unter Android und iOS (App-ID – dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) keine genehmigte App ist, kann sie den Gerätesicherheitsstatus in allen drei Erteilungsberechtigungen melden.
Member: Woipadinga
Woipadinga Jan 12, 2024 at 07:55:11 (UTC)
Goto Top
Hi @7Gizmo7,

theoretisch verstehe ich das auch so, praktisch ist es aber anders. Erinnert mich gerade stark an die Fehler in der GraphAPI Dokumentation. face-smile

Den Support werde ich heute erst hinzuziehen, hatte gehofft das mir hier jemand helfen kann, da der MS Support bei sporadischen oder schwer reproduzierbaren Fehlern recht anstrengend sein kann. face-wink

Danke dir und Gruß
Wiopadinga