9
Blockiere Azure Login für Benutzer?
Hallo zusammen,
wir nutzen Microsoft 365 in diversen Umfängen (Teams, Office, ToDo, Planner, etc.).
Ich habe zwar schon deaktiviert, dass die Benutzer keine Geräte mehr ins AzureAD aufnehmen können, also bspw. private Geräte dort nicht mehr als "Verwaltet von der Organisation" angeklickt werden kann, aber wie löse ich das für Apps oder allgemein Services?
Lädt sich jemand bspw. Teams auf sein Smartphone oder seinen privaten PC, dann kann er sich mit seinem Unternehmensaccount dort anmelden und dies nutzen.
Ganz übergreifend wäre hier zu sagen, dass eine Anmeldung an den Microsoft Clouddiensten nur möglich sein soll, wenn:
Toll wäre natürlich auch, wenn ich hier differenzieren könnte, also bspw. möchte ein Mitarbeiter an seinem privaten Smartphone gern Teams nutzen, dann würde ich ihm sein Gerät gern dafür freigeben, dann soll er aber nicht an den Exchange Online (also seine E-Mails nicht abrufen können) und er soll auch nicht an sein OneDrive.
...wenn das granular nicht geht, da bspw. Teams auch auf OneDrive und den Kalender im Exchange zurückgreift, wäre eben nur Punkt 1 mit der allgemeinen Freigabe interessant.
Jemand eine Idee, bzw. sowas schon mal umgesetzt?
Bei meinen Recherchen bin ich bislang nur auf die Deaktivierung der privaten Geräte für die Aufnahme im Azure AD gestoßen.
Grüße
ToWa
wir nutzen Microsoft 365 in diversen Umfängen (Teams, Office, ToDo, Planner, etc.).
Ich habe zwar schon deaktiviert, dass die Benutzer keine Geräte mehr ins AzureAD aufnehmen können, also bspw. private Geräte dort nicht mehr als "Verwaltet von der Organisation" angeklickt werden kann, aber wie löse ich das für Apps oder allgemein Services?
Lädt sich jemand bspw. Teams auf sein Smartphone oder seinen privaten PC, dann kann er sich mit seinem Unternehmensaccount dort anmelden und dies nutzen.
Ganz übergreifend wäre hier zu sagen, dass eine Anmeldung an den Microsoft Clouddiensten nur möglich sein soll, wenn:
- das Gerät zur lokalen Domain gehört
- das Gerät zum Azure AD gehört
- das Gerät in einer administrativ gepflegten Liste freigegeben ist
Toll wäre natürlich auch, wenn ich hier differenzieren könnte, also bspw. möchte ein Mitarbeiter an seinem privaten Smartphone gern Teams nutzen, dann würde ich ihm sein Gerät gern dafür freigeben, dann soll er aber nicht an den Exchange Online (also seine E-Mails nicht abrufen können) und er soll auch nicht an sein OneDrive.
...wenn das granular nicht geht, da bspw. Teams auch auf OneDrive und den Kalender im Exchange zurückgreift, wäre eben nur Punkt 1 mit der allgemeinen Freigabe interessant.
Jemand eine Idee, bzw. sowas schon mal umgesetzt?
Bei meinen Recherchen bin ich bislang nur auf die Deaktivierung der privaten Geräte für die Aufnahme im Azure AD gestoßen.
Grüße
ToWa
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7313176354
Url: https://administrator.de/contentid/7313176354
Printed on: April 27, 2024 at 06:04 o'clock
9 Comments
Latest comment
Hi Towa,
Conditional Access ist das Zauberwort, damit kannst du das gewünschte umsetzen.
Grüße
Baubutze
Conditional Access ist das Zauberwort, damit kannst du das gewünschte umsetzen.
Grüße
Baubutze
Salut,
danke. Manchmal muss man wirklich nur die Begrifflichkeiten wissen.
Aber da kommen wir schon zu einem Knackpunkt:
Für die Verwendung dieses Features sind **Azure AD Premium P1**-Lizenzen erforderlich. Ich habe ein paar P1 Lizenzen, aber eben nicht für Hinz und Kunz. Bedeutet dies, dass ich das effektiv nur umsetzen kann, wenn jeder eine P1 Lizenz hat?
Oder bedarf es der P1 Lizenz, wenn Mitarbeiter XY sich vom Privatgerät connecten möchte?
Vielen Dank.
Für Conditional Access ist leider mindestens die P1 Lizenz notwendig. Die Lizenz ist für das ganze Azure AD gültig, wird jedoch nach Anzahl der Benutzern lizensiert.
Siehe Lizenzmatrix hier
Siehe Lizenzmatrix hier
Womit ich mich im Kreis drehe.
Dann würde ich einfach gern alle ausschließen, außer sie sind in Besitz eine P1 Lizenz.
Würde sich das umsetzen lassen, dann kann ich mich da mal einfuchsen.
Grüße
Conditional Access wurde ja bereits gesagt aber denk dran dass das nicht eben im 5 Minuten mit 8 klicks eingeführt ist.
Wenns läuft dann ist das mega
Es gibt ja die diversesten Probleme mit dem Online Zeug. Alleine das Outlook OWA Web von jedem PC aus erreichbar ist und die Apps und ca. Hatten mal einen User dessen Office Apps for Irgendwas nicht mehr ging. Bei der Recherche hat sich dann herausgestellt das er sich an verschiedenen PC´s Zuhause und bei Freunden angemeldet hat und denen dadurch dann das Office sozusagen Aktiviert hat. Lt. Ihm ging das ganz einfach deswegen hat er sich da auch keine Gedanken gemacht. Hat ja auch insgesamt noch einige Male funktioniert und dann war eben Schluss - dumm nur das es der Account auf der Arbeit war
Das war einer der Gründe für Conditional Access, ein andere war auch das die MA sich eben nicht einfach das Postfach ins Private Handy einbinden können da hierfür nur Firmenhandy freigegeben sind ( Datenschutz und Sicherheit ).
Darauf haben wir dann den Zugriff ein bisschen mit Conditional Access beschränkt.
Seit der Aktivierung müssen die Mitarbeiter z.B. an einem unserer Standorte sein oder wenn Sie das nicht sind weil Ausland oder unterwegs beim Kunden eben ein VPN aufbauen damit E-Mail geht. Das betrifft jetzt erstmal nur die PC´s Notebooks und Surfaces. Dank always On VPN ( Testphase ) merken das die Benutzer teilweise noch nicht mal
Bei den Handy ist es so das diese ins MDM Eingebunden sein müssen damit diese Zugriff haben bzw. entsprechende Services nutzen können. Hat schon einige male dazu geführt das verwunderte Entwickler im Büro standen und sagten Ihre Mail auf dem Handy ginge nicht mehr -- Tja Conditional Access hat das Gerät sozusagen gesperrt bzw. die Verbindung gekappt weil das iPhone plötzlich wie von Geisterhand jailbroben war.
Sowas geht auch damit. Oder auch wenn z.b. die Sicherheitsbewertung schlechter ist als .... Sowohl Pc als Mobiledevice und ca.
Läuft richtig geil dauert aber bis es eingeführt ist
Wenns läuft dann ist das mega
Es gibt ja die diversesten Probleme mit dem Online Zeug. Alleine das Outlook OWA Web von jedem PC aus erreichbar ist und die Apps und ca. Hatten mal einen User dessen Office Apps for Irgendwas nicht mehr ging. Bei der Recherche hat sich dann herausgestellt das er sich an verschiedenen PC´s Zuhause und bei Freunden angemeldet hat und denen dadurch dann das Office sozusagen Aktiviert hat. Lt. Ihm ging das ganz einfach deswegen hat er sich da auch keine Gedanken gemacht. Hat ja auch insgesamt noch einige Male funktioniert und dann war eben Schluss - dumm nur das es der Account auf der Arbeit war
Das war einer der Gründe für Conditional Access, ein andere war auch das die MA sich eben nicht einfach das Postfach ins Private Handy einbinden können da hierfür nur Firmenhandy freigegeben sind ( Datenschutz und Sicherheit ).
Darauf haben wir dann den Zugriff ein bisschen mit Conditional Access beschränkt.
Seit der Aktivierung müssen die Mitarbeiter z.B. an einem unserer Standorte sein oder wenn Sie das nicht sind weil Ausland oder unterwegs beim Kunden eben ein VPN aufbauen damit E-Mail geht. Das betrifft jetzt erstmal nur die PC´s Notebooks und Surfaces. Dank always On VPN ( Testphase ) merken das die Benutzer teilweise noch nicht mal
Bei den Handy ist es so das diese ins MDM Eingebunden sein müssen damit diese Zugriff haben bzw. entsprechende Services nutzen können. Hat schon einige male dazu geführt das verwunderte Entwickler im Büro standen und sagten Ihre Mail auf dem Handy ginge nicht mehr -- Tja Conditional Access hat das Gerät sozusagen gesperrt bzw. die Verbindung gekappt weil das iPhone plötzlich wie von Geisterhand jailbroben war.
Sowas geht auch damit. Oder auch wenn z.b. die Sicherheitsbewertung schlechter ist als .... Sowohl Pc als Mobiledevice und ca.
Läuft richtig geil dauert aber bis es eingeführt ist
Zitat von @dertowa:
Womit ich mich im Kreis drehe.
Dann würde ich einfach gern alle ausschließen, außer sie sind in Besitz eine P1 Lizenz.
Würde sich das umsetzen lassen, dann kann ich mich da mal einfuchsen.
Womit ich mich im Kreis drehe.
Dann würde ich einfach gern alle ausschließen, außer sie sind in Besitz eine P1 Lizenz.
Würde sich das umsetzen lassen, dann kann ich mich da mal einfuchsen.
Conditional Access wird ohne Lizenz für Conditional Access nicht möglich sein. Es gab zumindest in der Vergangenheit Verkaufskanäle direkt durch Microsoft wo die P1/P2 Lizenzen inkludiert waren, aber genaue Konditionen und ob das noch möglich ist weiß ich da auch nicht.
/Thomas
Verstanden, dennoch wäre es irgendwie schön, wenn der Zugriff auf die Azure Services von nicht autorisierten Geräten pauschal nicht möglich wäre und man mit dem Buchen von P1/P2 Lizenzen dann das Recht bekäme diese Möglichkeiten zu nutzen.
...wie es ja eigentlich überall ist, ich zahle um etwas zu erhalten.
Natürlich ist es für Microsoft hier lukrativer alle zu lizenzieren damit man ihnen die Möglichkeit verwehren kann.
Ein Schelm wer böses dabei denkt.
Hi,
welches Lizenzstufe nutzt Du denn aktuell?
Mit einer Azure AD P1 ist dein Wunschszenario umsetzbar und diese wiederum ist schon ab einer Business Premium mit drin
Du kannst ansonsten auch Azure AD P1 standalone (Listenpreis um die 5,50EUR) erwerben und somit an die gewünschten Features kommen, falls du bisher eine kleinere Lizenz (unterhalb Business Premium) nutzt.
Edit:
https://www.microsoft.com/de-de/security/business/identity-access/azure- ... Den dritten Reiter einfach mal aufklappen.
welches Lizenzstufe nutzt Du denn aktuell?
Mit einer Azure AD P1 ist dein Wunschszenario umsetzbar und diese wiederum ist schon ab einer Business Premium mit drin
Du kannst ansonsten auch Azure AD P1 standalone (Listenpreis um die 5,50EUR) erwerben und somit an die gewünschten Features kommen, falls du bisher eine kleinere Lizenz (unterhalb Business Premium) nutzt.
Edit:
https://www.microsoft.com/de-de/security/business/identity-access/azure- ... Den dritten Reiter einfach mal aufklappen.
Salut,
danke ist durchaus verstanden.
Genutzt wird Microsoft 365 Business Standard, lediglich die Kollegen, welche mobile Geräte haben und somit im Intune landen sollen bekommen die Premium, oder eben eine FrontWorker Lizenz.
Grüße
ToWa