Blockiere Azure Login für Benutzer?
Hallo zusammen,
wir nutzen Microsoft 365 in diversen Umfängen (Teams, Office, ToDo, Planner, etc.).
Ich habe zwar schon deaktiviert, dass die Benutzer keine Geräte mehr ins AzureAD aufnehmen können, also bspw. private Geräte dort nicht mehr als "Verwaltet von der Organisation" angeklickt werden kann, aber wie löse ich das für Apps oder allgemein Services?
Lädt sich jemand bspw. Teams auf sein Smartphone oder seinen privaten PC, dann kann er sich mit seinem Unternehmensaccount dort anmelden und dies nutzen.
Ganz übergreifend wäre hier zu sagen, dass eine Anmeldung an den Microsoft Clouddiensten nur möglich sein soll, wenn:
Toll wäre natürlich auch, wenn ich hier differenzieren könnte, also bspw. möchte ein Mitarbeiter an seinem privaten Smartphone gern Teams nutzen, dann würde ich ihm sein Gerät gern dafür freigeben, dann soll er aber nicht an den Exchange Online (also seine E-Mails nicht abrufen können) und er soll auch nicht an sein OneDrive.
...wenn das granular nicht geht, da bspw. Teams auch auf OneDrive und den Kalender im Exchange zurückgreift, wäre eben nur Punkt 1 mit der allgemeinen Freigabe interessant.
Jemand eine Idee, bzw. sowas schon mal umgesetzt?
Bei meinen Recherchen bin ich bislang nur auf die Deaktivierung der privaten Geräte für die Aufnahme im Azure AD gestoßen.
Grüße
ToWa
wir nutzen Microsoft 365 in diversen Umfängen (Teams, Office, ToDo, Planner, etc.).
Ich habe zwar schon deaktiviert, dass die Benutzer keine Geräte mehr ins AzureAD aufnehmen können, also bspw. private Geräte dort nicht mehr als "Verwaltet von der Organisation" angeklickt werden kann, aber wie löse ich das für Apps oder allgemein Services?
Lädt sich jemand bspw. Teams auf sein Smartphone oder seinen privaten PC, dann kann er sich mit seinem Unternehmensaccount dort anmelden und dies nutzen.
Ganz übergreifend wäre hier zu sagen, dass eine Anmeldung an den Microsoft Clouddiensten nur möglich sein soll, wenn:
- das Gerät zur lokalen Domain gehört
- das Gerät zum Azure AD gehört
- das Gerät in einer administrativ gepflegten Liste freigegeben ist
Toll wäre natürlich auch, wenn ich hier differenzieren könnte, also bspw. möchte ein Mitarbeiter an seinem privaten Smartphone gern Teams nutzen, dann würde ich ihm sein Gerät gern dafür freigeben, dann soll er aber nicht an den Exchange Online (also seine E-Mails nicht abrufen können) und er soll auch nicht an sein OneDrive.
...wenn das granular nicht geht, da bspw. Teams auch auf OneDrive und den Kalender im Exchange zurückgreift, wäre eben nur Punkt 1 mit der allgemeinen Freigabe interessant.
Jemand eine Idee, bzw. sowas schon mal umgesetzt?
Bei meinen Recherchen bin ich bislang nur auf die Deaktivierung der privaten Geräte für die Aufnahme im Azure AD gestoßen.
Grüße
ToWa
Please also mark the comments that contributed to the solution of the article
Content-Key: 7313176354
Url: https://administrator.de/contentid/7313176354
Printed on: April 27, 2024 at 06:04 o'clock
9 Comments
Latest comment
Für Conditional Access ist leider mindestens die P1 Lizenz notwendig. Die Lizenz ist für das ganze Azure AD gültig, wird jedoch nach Anzahl der Benutzern lizensiert.
Siehe Lizenzmatrix hier
Siehe Lizenzmatrix hier
Conditional Access wurde ja bereits gesagt aber denk dran dass das nicht eben im 5 Minuten mit 8 klicks eingeführt ist.
Wenns läuft dann ist das mega
Es gibt ja die diversesten Probleme mit dem Online Zeug. Alleine das Outlook OWA Web von jedem PC aus erreichbar ist und die Apps und ca. Hatten mal einen User dessen Office Apps for Irgendwas nicht mehr ging. Bei der Recherche hat sich dann herausgestellt das er sich an verschiedenen PC´s Zuhause und bei Freunden angemeldet hat und denen dadurch dann das Office sozusagen Aktiviert hat. Lt. Ihm ging das ganz einfach deswegen hat er sich da auch keine Gedanken gemacht. Hat ja auch insgesamt noch einige Male funktioniert und dann war eben Schluss - dumm nur das es der Account auf der Arbeit war
Das war einer der Gründe für Conditional Access, ein andere war auch das die MA sich eben nicht einfach das Postfach ins Private Handy einbinden können da hierfür nur Firmenhandy freigegeben sind ( Datenschutz und Sicherheit ).
Darauf haben wir dann den Zugriff ein bisschen mit Conditional Access beschränkt.
Seit der Aktivierung müssen die Mitarbeiter z.B. an einem unserer Standorte sein oder wenn Sie das nicht sind weil Ausland oder unterwegs beim Kunden eben ein VPN aufbauen damit E-Mail geht. Das betrifft jetzt erstmal nur die PC´s Notebooks und Surfaces. Dank always On VPN ( Testphase ) merken das die Benutzer teilweise noch nicht mal
Bei den Handy ist es so das diese ins MDM Eingebunden sein müssen damit diese Zugriff haben bzw. entsprechende Services nutzen können. Hat schon einige male dazu geführt das verwunderte Entwickler im Büro standen und sagten Ihre Mail auf dem Handy ginge nicht mehr -- Tja Conditional Access hat das Gerät sozusagen gesperrt bzw. die Verbindung gekappt weil das iPhone plötzlich wie von Geisterhand jailbroben war.
Sowas geht auch damit. Oder auch wenn z.b. die Sicherheitsbewertung schlechter ist als .... Sowohl Pc als Mobiledevice und ca.
Läuft richtig geil dauert aber bis es eingeführt ist
Wenns läuft dann ist das mega
Es gibt ja die diversesten Probleme mit dem Online Zeug. Alleine das Outlook OWA Web von jedem PC aus erreichbar ist und die Apps und ca. Hatten mal einen User dessen Office Apps for Irgendwas nicht mehr ging. Bei der Recherche hat sich dann herausgestellt das er sich an verschiedenen PC´s Zuhause und bei Freunden angemeldet hat und denen dadurch dann das Office sozusagen Aktiviert hat. Lt. Ihm ging das ganz einfach deswegen hat er sich da auch keine Gedanken gemacht. Hat ja auch insgesamt noch einige Male funktioniert und dann war eben Schluss - dumm nur das es der Account auf der Arbeit war
Das war einer der Gründe für Conditional Access, ein andere war auch das die MA sich eben nicht einfach das Postfach ins Private Handy einbinden können da hierfür nur Firmenhandy freigegeben sind ( Datenschutz und Sicherheit ).
Darauf haben wir dann den Zugriff ein bisschen mit Conditional Access beschränkt.
Seit der Aktivierung müssen die Mitarbeiter z.B. an einem unserer Standorte sein oder wenn Sie das nicht sind weil Ausland oder unterwegs beim Kunden eben ein VPN aufbauen damit E-Mail geht. Das betrifft jetzt erstmal nur die PC´s Notebooks und Surfaces. Dank always On VPN ( Testphase ) merken das die Benutzer teilweise noch nicht mal
Bei den Handy ist es so das diese ins MDM Eingebunden sein müssen damit diese Zugriff haben bzw. entsprechende Services nutzen können. Hat schon einige male dazu geführt das verwunderte Entwickler im Büro standen und sagten Ihre Mail auf dem Handy ginge nicht mehr -- Tja Conditional Access hat das Gerät sozusagen gesperrt bzw. die Verbindung gekappt weil das iPhone plötzlich wie von Geisterhand jailbroben war.
Sowas geht auch damit. Oder auch wenn z.b. die Sicherheitsbewertung schlechter ist als .... Sowohl Pc als Mobiledevice und ca.
Läuft richtig geil dauert aber bis es eingeführt ist
Zitat von @dertowa:
Womit ich mich im Kreis drehe.
Dann würde ich einfach gern alle ausschließen, außer sie sind in Besitz eine P1 Lizenz.
Würde sich das umsetzen lassen, dann kann ich mich da mal einfuchsen.
Womit ich mich im Kreis drehe.
Dann würde ich einfach gern alle ausschließen, außer sie sind in Besitz eine P1 Lizenz.
Würde sich das umsetzen lassen, dann kann ich mich da mal einfuchsen.
Conditional Access wird ohne Lizenz für Conditional Access nicht möglich sein. Es gab zumindest in der Vergangenheit Verkaufskanäle direkt durch Microsoft wo die P1/P2 Lizenzen inkludiert waren, aber genaue Konditionen und ob das noch möglich ist weiß ich da auch nicht.
/Thomas
Hi,
welches Lizenzstufe nutzt Du denn aktuell?
Mit einer Azure AD P1 ist dein Wunschszenario umsetzbar und diese wiederum ist schon ab einer Business Premium mit drin
Du kannst ansonsten auch Azure AD P1 standalone (Listenpreis um die 5,50EUR) erwerben und somit an die gewünschten Features kommen, falls du bisher eine kleinere Lizenz (unterhalb Business Premium) nutzt.
Edit:
https://www.microsoft.com/de-de/security/business/identity-access/azure- ... Den dritten Reiter einfach mal aufklappen.
welches Lizenzstufe nutzt Du denn aktuell?
Mit einer Azure AD P1 ist dein Wunschszenario umsetzbar und diese wiederum ist schon ab einer Business Premium mit drin
Du kannst ansonsten auch Azure AD P1 standalone (Listenpreis um die 5,50EUR) erwerben und somit an die gewünschten Features kommen, falls du bisher eine kleinere Lizenz (unterhalb Business Premium) nutzt.
Edit:
https://www.microsoft.com/de-de/security/business/identity-access/azure- ... Den dritten Reiter einfach mal aufklappen.