4
Defender kann wegen Conditional Access nicht mehr aktiv werden
Hallo zusammen,
wieder einmal ein Problem im Zusammenspiel von Intune, Defender for Endpoint und Conditional Access Policies. In diesem speziellen Fall ist es so, dass iOS Geräte welche länger (>7 Tage) ausgeschalten waren, keine Verbindung mehr zu Defender for Endpoint herstellen können.
Details zum Problem:
Ist das Gerät nun länger als 7 Tage offline oder ausgeschalten (zb. im Urlaub) wird das Gerät in Defender for Endpoint im "sensor state" automatisch als "inactive" gekennzeichnet. Dadurch wird das Gerät automatisch "not compliant" und darf erst wieder auf Unternehmensdaten zugreifen sobald der Schutz wieder aktiv ist und das Gerät "compliant".
Es ist jetzt nur leider so, dass das Gerät anscheinend auch nicht mehr zu Defender for Endpoint verbinden darf. Der User kann sich zwar an der Defender-App erfolgreich ab- und wieder anmelden aber dies hat keinen Einfluß auf den "sensor state". Erst wenn ich den Risk-Score aus der Compliance Policy entferne oder die Conditional Access Policy deaktiviere wird der Sensor wieder "active".
Um das zu umgehen habe ich versucht den Defender aus der Conditional Access Policy auszuschließen. Die einzige App die ich gefunden habe war "WindowsDefenderATP", welche ich auch aus der Policy ausgeschlossen habe, leider ohne Erfolg.
Nun die Frage, wie schließe ich die Kommunikation des lokalen Sensors zur Defender-Cloud aus der Conditional Access Policy aus?
Wäre klasse wenn hier jemand etwas dazu weiß.
Danke und Gruß
Woipadinga
wieder einmal ein Problem im Zusammenspiel von Intune, Defender for Endpoint und Conditional Access Policies. In diesem speziellen Fall ist es so, dass iOS Geräte welche länger (>7 Tage) ausgeschalten waren, keine Verbindung mehr zu Defender for Endpoint herstellen können.
Details zum Problem:
- Wir haben eine Conditional Access Policy die Verbindungen von "not compliant" Devices stark einschränkt.
- In der Compliance Policy wird der Risk Score vom Defender einbezogen. Ist diese höher als "Mittel" wird das Gerät als "not compliant" markiert.
Ist das Gerät nun länger als 7 Tage offline oder ausgeschalten (zb. im Urlaub) wird das Gerät in Defender for Endpoint im "sensor state" automatisch als "inactive" gekennzeichnet. Dadurch wird das Gerät automatisch "not compliant" und darf erst wieder auf Unternehmensdaten zugreifen sobald der Schutz wieder aktiv ist und das Gerät "compliant".
Es ist jetzt nur leider so, dass das Gerät anscheinend auch nicht mehr zu Defender for Endpoint verbinden darf. Der User kann sich zwar an der Defender-App erfolgreich ab- und wieder anmelden aber dies hat keinen Einfluß auf den "sensor state". Erst wenn ich den Risk-Score aus der Compliance Policy entferne oder die Conditional Access Policy deaktiviere wird der Sensor wieder "active".
Um das zu umgehen habe ich versucht den Defender aus der Conditional Access Policy auszuschließen. Die einzige App die ich gefunden habe war "WindowsDefenderATP", welche ich auch aus der Policy ausgeschlossen habe, leider ohne Erfolg.
Nun die Frage, wie schließe ich die Kommunikation des lokalen Sensors zur Defender-Cloud aus der Conditional Access Policy aus?
Wäre klasse wenn hier jemand etwas dazu weiß.
Danke und Gruß
Woipadinga
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 13002382802
Url: https://administrator.de/contentid/13002382802
Printed on: April 28, 2024 at 15:04 o'clock
4 Comments
Latest comment
Mhm
You can use the Microsoft Defender for Endpoint app along with the Approved Client app , App Protection policy and Compliant Device (Require device to be marked as compliant) controls in Microsoft Entra Conditional Access policies. There's no exclusion required for the Microsoft Defender for Endpoint app while setting up Conditional Access. Although Microsoft Defender for Endpoint on Android & iOS (App ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) isn't an approved app, it is able to report device security posture in all the three grant permissions.
https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoi ...
You can use the Microsoft Defender for Endpoint app along with the Approved Client app , App Protection policy and Compliant Device (Require device to be marked as compliant) controls in Microsoft Entra Conditional Access policies. There's no exclusion required for the Microsoft Defender for Endpoint app while setting up Conditional Access. Although Microsoft Defender for Endpoint on Android & iOS (App ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) isn't an approved app, it is able to report device security posture in all the three grant permissions.
https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoi ...
Hi
Hi @7Gizmo7
You didn't get the issue. The iOS defender app can't report back if the device is incompliant (probably because of the control "Require device to be marked as compliant"). The device become incompliant if the sensor gets inactive. So in summary, if the sensor is inactive the device will become incompliant and is then not able to report back to get active again. The sensor will instantly become active if i disable the conditional access policy or remove the risk score from the compliance policy.
So based on these facts i have to find a solution and hoping to be able to probably exclude an app to get rid of the issue.
Quote from @7Gizmo7:
Mhm
You can use the Microsoft Defender for Endpoint app along with the Approved Client app , App Protection policy and Compliant Device (Require device to be marked as compliant) controls in Microsoft Entra Conditional Access policies. There's no exclusion required for the Microsoft Defender for Endpoint app while setting up Conditional Access. Although Microsoft Defender for Endpoint on Android & iOS (App ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) isn't an approved app, it is able to report device security posture in all the three grant permissions.
https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoi ...
Mhm
You can use the Microsoft Defender for Endpoint app along with the Approved Client app , App Protection policy and Compliant Device (Require device to be marked as compliant) controls in Microsoft Entra Conditional Access policies. There's no exclusion required for the Microsoft Defender for Endpoint app while setting up Conditional Access. Although Microsoft Defender for Endpoint on Android & iOS (App ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) isn't an approved app, it is able to report device security posture in all the three grant permissions.
https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoi ...
Hi @7Gizmo7
You didn't get the issue. The iOS defender app can't report back if the device is incompliant (probably because of the control "Require device to be marked as compliant"). The device become incompliant if the sensor gets inactive. So in summary, if the sensor is inactive the device will become incompliant and is then not able to report back to get active again. The sensor will instantly become active if i disable the conditional access policy or remove the risk score from the compliance policy.
So based on these facts i have to find a solution and hoping to be able to probably exclude an app to get rid of the issue.
I am a German 
Ich übersetzte es so und verstehe das dein Problem nicht sein sollte , was sagt der Microsoft Support ?
Für die Microsoft Defender für Endpunkt-App ist beim Einrichten des bedingten Zugriffs kein Ausschluss erforderlich. Obwohl Microsoft Defender für Endpunkt unter Android und iOS (App-ID – dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) keine genehmigte App ist, kann sie den Gerätesicherheitsstatus in allen drei Erteilungsberechtigungen melden.
Ich übersetzte es so und verstehe das dein Problem nicht sein sollte , was sagt der Microsoft Support ?
Für die Microsoft Defender für Endpunkt-App ist beim Einrichten des bedingten Zugriffs kein Ausschluss erforderlich. Obwohl Microsoft Defender für Endpunkt unter Android und iOS (App-ID – dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) keine genehmigte App ist, kann sie den Gerätesicherheitsstatus in allen drei Erteilungsberechtigungen melden.
Hi @7Gizmo7,
theoretisch verstehe ich das auch so, praktisch ist es aber anders. Erinnert mich gerade stark an die Fehler in der GraphAPI Dokumentation.
Den Support werde ich heute erst hinzuziehen, hatte gehofft das mir hier jemand helfen kann, da der MS Support bei sporadischen oder schwer reproduzierbaren Fehlern recht anstrengend sein kann.
Danke dir und Gruß
Wiopadinga
theoretisch verstehe ich das auch so, praktisch ist es aber anders. Erinnert mich gerade stark an die Fehler in der GraphAPI Dokumentation.
Den Support werde ich heute erst hinzuziehen, hatte gehofft das mir hier jemand helfen kann, da der MS Support bei sporadischen oder schwer reproduzierbaren Fehlern recht anstrengend sein kann.
Danke dir und Gruß
Wiopadinga
