Defender kann wegen Conditional Access nicht mehr aktiv werden
Hallo zusammen,
wieder einmal ein Problem im Zusammenspiel von Intune, Defender for Endpoint und Conditional Access Policies. In diesem speziellen Fall ist es so, dass iOS Geräte welche länger (>7 Tage) ausgeschalten waren, keine Verbindung mehr zu Defender for Endpoint herstellen können.
Details zum Problem:
Ist das Gerät nun länger als 7 Tage offline oder ausgeschalten (zb. im Urlaub) wird das Gerät in Defender for Endpoint im "sensor state" automatisch als "inactive" gekennzeichnet. Dadurch wird das Gerät automatisch "not compliant" und darf erst wieder auf Unternehmensdaten zugreifen sobald der Schutz wieder aktiv ist und das Gerät "compliant".
Es ist jetzt nur leider so, dass das Gerät anscheinend auch nicht mehr zu Defender for Endpoint verbinden darf. Der User kann sich zwar an der Defender-App erfolgreich ab- und wieder anmelden aber dies hat keinen Einfluß auf den "sensor state". Erst wenn ich den Risk-Score aus der Compliance Policy entferne oder die Conditional Access Policy deaktiviere wird der Sensor wieder "active".
Um das zu umgehen habe ich versucht den Defender aus der Conditional Access Policy auszuschließen. Die einzige App die ich gefunden habe war "WindowsDefenderATP", welche ich auch aus der Policy ausgeschlossen habe, leider ohne Erfolg.
Nun die Frage, wie schließe ich die Kommunikation des lokalen Sensors zur Defender-Cloud aus der Conditional Access Policy aus?
Wäre klasse wenn hier jemand etwas dazu weiß.
Danke und Gruß
Woipadinga
wieder einmal ein Problem im Zusammenspiel von Intune, Defender for Endpoint und Conditional Access Policies. In diesem speziellen Fall ist es so, dass iOS Geräte welche länger (>7 Tage) ausgeschalten waren, keine Verbindung mehr zu Defender for Endpoint herstellen können.
Details zum Problem:
- Wir haben eine Conditional Access Policy die Verbindungen von "not compliant" Devices stark einschränkt.
- In der Compliance Policy wird der Risk Score vom Defender einbezogen. Ist diese höher als "Mittel" wird das Gerät als "not compliant" markiert.
Ist das Gerät nun länger als 7 Tage offline oder ausgeschalten (zb. im Urlaub) wird das Gerät in Defender for Endpoint im "sensor state" automatisch als "inactive" gekennzeichnet. Dadurch wird das Gerät automatisch "not compliant" und darf erst wieder auf Unternehmensdaten zugreifen sobald der Schutz wieder aktiv ist und das Gerät "compliant".
Es ist jetzt nur leider so, dass das Gerät anscheinend auch nicht mehr zu Defender for Endpoint verbinden darf. Der User kann sich zwar an der Defender-App erfolgreich ab- und wieder anmelden aber dies hat keinen Einfluß auf den "sensor state". Erst wenn ich den Risk-Score aus der Compliance Policy entferne oder die Conditional Access Policy deaktiviere wird der Sensor wieder "active".
Um das zu umgehen habe ich versucht den Defender aus der Conditional Access Policy auszuschließen. Die einzige App die ich gefunden habe war "WindowsDefenderATP", welche ich auch aus der Policy ausgeschlossen habe, leider ohne Erfolg.
Nun die Frage, wie schließe ich die Kommunikation des lokalen Sensors zur Defender-Cloud aus der Conditional Access Policy aus?
Wäre klasse wenn hier jemand etwas dazu weiß.
Danke und Gruß
Woipadinga
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 13002382802
Url: https://administrator.de/en/defender-kann-wegen-conditional-access-nicht-mehr-aktiv-werden-13002382802.html
Ausgedruckt am: 28.12.2024 um 07:12 Uhr
4 Kommentare
Neuester Kommentar
Mhm
You can use the Microsoft Defender for Endpoint app along with the Approved Client app , App Protection policy and Compliant Device (Require device to be marked as compliant) controls in Microsoft Entra Conditional Access policies. There's no exclusion required for the Microsoft Defender for Endpoint app while setting up Conditional Access. Although Microsoft Defender for Endpoint on Android & iOS (App ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) isn't an approved app, it is able to report device security posture in all the three grant permissions.
https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoi ...
You can use the Microsoft Defender for Endpoint app along with the Approved Client app , App Protection policy and Compliant Device (Require device to be marked as compliant) controls in Microsoft Entra Conditional Access policies. There's no exclusion required for the Microsoft Defender for Endpoint app while setting up Conditional Access. Although Microsoft Defender for Endpoint on Android & iOS (App ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) isn't an approved app, it is able to report device security posture in all the three grant permissions.
https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoi ...
I am a German
Ich übersetzte es so und verstehe das dein Problem nicht sein sollte , was sagt der Microsoft Support ?
Für die Microsoft Defender für Endpunkt-App ist beim Einrichten des bedingten Zugriffs kein Ausschluss erforderlich. Obwohl Microsoft Defender für Endpunkt unter Android und iOS (App-ID – dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) keine genehmigte App ist, kann sie den Gerätesicherheitsstatus in allen drei Erteilungsberechtigungen melden.
Ich übersetzte es so und verstehe das dein Problem nicht sein sollte , was sagt der Microsoft Support ?
Für die Microsoft Defender für Endpunkt-App ist beim Einrichten des bedingten Zugriffs kein Ausschluss erforderlich. Obwohl Microsoft Defender für Endpunkt unter Android und iOS (App-ID – dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) keine genehmigte App ist, kann sie den Gerätesicherheitsstatus in allen drei Erteilungsberechtigungen melden.