arohwedder
Goto Top

Office365 Zugriff nur für zugelassene Geräte

Hallo Leute,

ich habe die Herausforderung, dass ein Kunde möchte, dass nur zugelassene Geräte auf die Office365 Deutschland Cloud des Kunden zugreifen darf.
Bis auf 2-Faktor Authentifizierung ist mir nichts bekannt.

Viele Grüße
Achim

Content-ID: 339948

Url: https://administrator.de/forum/office365-zugriff-nur-fuer-zugelassene-geraete-339948.html

Ausgedruckt am: 23.12.2024 um 09:12 Uhr

Kraemer
Kraemer 07.06.2017 aktualisiert um 08:26:38 Uhr
Goto Top
Moin,

Zitat von @arohwedder:
Bis auf 2-Faktor Authentifizierung ist mir nichts bekannt.

ja, das merkt man. Nicht einmal die Art der Geräte...
Viel Erfolg
7Gizmo7
7Gizmo7 07.06.2017 um 11:30:18 Uhr
Goto Top
Zitat von @arohwedder:

Hallo Leute,

ich habe die Herausforderung, dass ein Kunde möchte, dass nur zugelassene Geräte auf die Office365 Deutschland Cloud des Kunden zugreifen darf.

Welche Authentifizierungsmethode wird verwandt ? Wie ist AzureAD Sync einegrichtet. Kann AzureAD Conditional Access verwendet werden. Intune und EMS ist glaube ich noch nicht in der deutschen Cloud. Wie ist das Design "cloudonly" oder "Hybrid" ? Ist ADFS und WAP vorhanden ?

Bis auf 2-Faktor Authentifizierung ist mir nichts bekannt.

Viele Grüße
Achim
arohwedder
arohwedder 07.06.2017 um 14:04:06 Uhr
Goto Top
Vielen Dank für Deinen sinnreichen Beitrag. Es geht um alle Geräte, die auf die Cloud zugreifen. Gurkenhobel natürlich ausgeschlossen.
Notebooks, PC, Mobiletelefon, Tablets.
Theoretisch wäre es ja denkbar, dass ein User sich den Cloud-Account auf einen weiteren (Privat-)Rechner einrichtet. Dies soll unterbunden werden.
Intune ist für DE nicht verfügbar, daher dieser Post. Ich suche halt eine entsprechende Lösung.
Kraemer
Kraemer 07.06.2017 um 14:12:06 Uhr
Goto Top
Zitat von @arohwedder:

Vielen Dank für Deinen sinnreichen Beitrag.
vielen Dank für deine unvollständige Frage:
Intune ist für DE nicht verfügbar, daher dieser Post. Ich suche halt eine entsprechende Lösung.
sowas sollen wir natürlich erst einmal wieder erraten

Es geht um alle Geräte, die auf die Cloud zugreifen.
das war mir schon klar - nur sagst du noch immer nicht, was das exakt für Geräte sind.

Notebooks, PC, Mobiletelefon, Tablets.
stell dir vor - da gibt es verschiedene, die verschiedenes können

Gurkenhobel natürlich ausgeschlossen.
das ist zwar diskriminierend - aber ich kann dir sagen, dass ich für meinen Kühlschrank eine Lösung hätte

Theoretisch wäre es ja denkbar, dass ein User sich den Cloud-Account auf einen weiteren (Privat-)Rechner einrichtet. Dies soll unterbunden werden.
Theoretisch ist vieles denkbar und warum das natürlich unterbunden werden muss ist tatsächlich nicht wirklich von Bedeutung.
Wenn ihr aber nicht wollt, dass die Mitarbeiter sich von anderen Rechnern anmelden können, warum zum Teufel gebt ihr ihnen dann die Zugangsdaten in die Hand?
arohwedder
arohwedder 07.06.2017 um 14:12:25 Uhr
Goto Top
Danke, ja stimmt, dass kann man noch dazu beitragen.
tatsächlich ist die zukünftige Architektur von Kundenseite nicht zu 100% zu Ende gedacht und implementiert.

Unser Plan wäre schon mit einem AD Proxy zu arbeiten und Hybrid aufzusetzen. Es kann durchaus sein, dass der Kunde sich aber auch für Cloudonly entscheidet. Intune gibt es tatsächlich nicht für die deutsche Cloud.
AzureAD Conditional Acces scheint mir eine sinnvolle Möglichkeit. Das habe ich noch nicht verwendet bisher, gibt es irgendwo ein sehr gutes HowTo, oder ähnlich (was nicht von MS sondern aus der Praxis ist face-smile )?

Was meinst Du mit WAP?

Vg
Achim
arohwedder
arohwedder 07.06.2017 um 17:14:35 Uhr
Goto Top
Naja die Gurkenhobel haben keine Lobby, deswegen ist so eine Diskriminierung folgenlos face-smile
Die Zugangsdaten bekommen die Anwender im Zweifel doch schon, sobald Sie Ihr Gerät anmelden, wenn ich über AD Proxy, etc. arbeite.

Kläre mich doch mal auf, was Du meinst mit unterschiedlichen Fähigkeiten der Geräte. Ich kann mit einem Notebook OneNote nutzen und auch mit meinem Mobiltelefon. Exchange geht sowieso. Also welche Relevanz hat das?
7Gizmo7
Lösung 7Gizmo7 07.06.2017 um 17:28:28 Uhr
Goto Top
Zitat von @arohwedder:

Danke, ja stimmt, dass kann man noch dazu beitragen.
tatsächlich ist die zukünftige Architektur von Kundenseite nicht zu 100% zu Ende gedacht und implementiert.

Darüber muss er sich aber im Klaren sein, sonst kann man keine Implementierung machen.


Unser Plan wäre schon mit einem AD Proxy zu arbeiten und Hybrid aufzusetzen. Es kann durchaus sein, dass der Kunde sich aber auch für Cloudonly entscheidet. Intune gibt es tatsächlich nicht für die deutsche Cloud.

Was ist eine AD Proxy ?

AzureAD Conditional Acces scheint mir eine sinnvolle Möglichkeit. Das habe ich noch nicht verwendet bisher, gibt es irgendwo ein sehr gutes HowTo, oder ähnlich (was nicht von MS sondern aus der Praxis ist face-smile )?

Was meinst Du mit WAP?

Web Application Proxy (braucht man für die Federierte Variante) , wenn man bei Hybrid nämlich ohne WAP arbeitet, können nur interne domänen-Clients auf ADFS zugreifen und sich gegen Office365 authentifizieren. Jeder der von außen auf Portal.office.de geht, kann keine Authentfifizierung durchführen, da er nicht auf den ADFS zugreifen kann. (Gilt aber auch für Atvice Sync etc ) Das ist aber auch nur eine Sichtweise auf, deinen speziellen Punkt.


Vg
Achim

Ich denke die Erarbeitung des Design für die Nutzung von Cloud-Service ist im ersten Step notwendig.
https://docs.microsoft.com/de-de/azure/active-directory/connect/active-d ...
arohwedder
arohwedder 08.06.2017 um 18:55:19 Uhr
Goto Top
https://blogs.technet.microsoft.com/canitpro/2013/06/21/step-by-step-set ...

Danke für Deine Info. Hat schon einmal gut geholfen.