nils02
Jul 05, 2022
view4626
view7
0
Goto Top

Zugriff auf Office 365 von Privatgeräten verbieten

GermansolvedQuestionMicrosoft
Hallo zusammen,


wir haben aktuell folgendes Problem:

Unsere User installieren sich munter die Office365 Apps auf Ihre Privatgeräte (Smartphones und Windows-Clients) und melden sich dort mit dem Geschäftskonto an.
Es ist zwar eigentlich untersagt, aber dran halten sich natürlich nicht alle.

Nun war der Auftrag der Geschäftsführung, das zu unterbinden.

Ich habe schon mal das WWW durchsucht, aber leider nichts gefunden.
Bei SharePoint/OneDrive ist das wohl möglich, aber zu den restlichen Office-Apps habe ich nichts gefunden.


Unsere Lizenz ist das MS 365 Business premium Modell, mit Intune usw.

Hat jemand eine Idee oder einen hilfreichen Link?

Danke face-smile

LG
Nils
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 3260195351

Url: https://administrator.de/contentid/3260195351

Printed on: May 9, 2024 at 19:05 o'clock

7 Comments
Latest comment
Goto Top
Member: DerNussi
Solution DerNussi Jul 05, 2022 at 14:40:03 (UTC)
Goto Top
Hallo,

Stichwort "Conditional Access", da kannst du sowas recht gut unterbinden.

https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...

Im ersten Link hast du auch die Lizenzanforderungen aufgeführt.
Ist im Premium Modell auch enthalten.

Gruß
Nussi
Member: blubbstrahl11
Solution blubbstrahl11 Jul 05, 2022 at 15:26:07 (UTC)
Goto Top
Falls noch nie mit bedingtem Zugriff (Conditional Access) gearbeitet wurde: Erstell dir zuvor eine Sicherheitsgruppe mit mind. einem globalen Admin, die von jedem bedingtem Zugriff befreit ist. Braucht keine Lizenz und kann dir im Fall der Fälle den Arsch retten...
heart1
Member: Abyssox
Solution Abyssox Jul 05, 2022 updated at 15:41:59 (UTC)
Goto Top
Hi,

in deinem Fall könnte dir genau diese MS Doku helfen:
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...

Vorraussetzung ist natürlich, dass die Geräte mit der Azure AD verbunden sind. Sonst wirds generell schwierig zu erkennen ob es sich um ein Privat- oder Firmengerät handelt. Ob du dann die Compliant Anforderung noch mit reinnimmst bleibt dir überlassen.

Gruss
Crazy
Member: Nils02
Solution Nils02 Jul 06, 2022 at 07:09:15 (UTC)
Goto Top
Zitat von @cr4zyd1ng0:

Hi,

in deinem Fall könnte dir genau diese MS Doku helfen:
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...

Vorraussetzung ist natürlich, dass die Geräte mit der Azure AD verbunden sind. Sonst wirds generell schwierig zu erkennen ob es sich um ein Privat- oder Firmengerät handelt. Ob du dann die Compliant Anforderung noch mit reinnimmst bleibt dir überlassen.

Gruss
Crazy


Zitat von @blubbstrahl11:

Falls noch nie mit bedingtem Zugriff (Conditional Access) gearbeitet wurde: Erstell dir zuvor eine Sicherheitsgruppe mit mind. einem globalen Admin, die von jedem bedingtem Zugriff befreit ist. Braucht keine Lizenz und kann dir im Fall der Fälle den Arsch retten...


Zitat von @DerNussi:

Hallo,

Stichwort "Conditional Access", da kannst du sowas recht gut unterbinden.

https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...

Im ersten Link hast du auch die Lizenzanforderungen aufgeführt.
Ist im Premium Modell auch enthalten.

Gruß
Nussi

Danke euch dreien, genau das was wir gesucht haben face-smile

Hat bei meinem Test eben wunderbar funktioniert!

LG
Member: Scrises
Scrises Oct 23, 2023 at 13:10:37 (UTC)
Goto Top
Hi Admins,

ich würde dieses Thema gerne nochmals aufmachen, um folgendes Szenario lösen zu können.

Wie ob schon erwähnt möchte ich den Zugriff auf die Office-Apps auf Gerätelisten einschränken. Dies Funktioniert auch wie beschrieben über die CA ohne Probleme.
Sprich ein Endgerät welches nicht der CA-Regel entspricht, schafft es auch nicht sich zB. in Outlook anzumelden.
Jetzt kommt aber mein Problem. Wenn das Outlook davor schon einmal eingerichtet war ( vor CA-Einrichtung ) dann öffnet es sich weiterhin ohne Probleme. Das verhindern der Anmeldung greift erst nachdem ich zb. bei Outlook ein Profil neu erstelle.
Wie kann ich dies lösen, damit ich nicht bei allen Endgeräten, die vor der CA - Einrichtung schon Outlook eingerichtet hatten dieses bearbeiten muss.

Danke für eure Hilfe
Member: Nils02
Nils02 Oct 23, 2023 at 13:33:48 (UTC)
Goto Top
Moin,

im Admin Center unter admin.microsoft.com einen User suchen, dann auf "Konto" -> Abmelden -> Von allen Sitzungen abmelden.

Das sollte das Problem lösen.
Konnte man auch Per PowerShell für alle User Triggern.
Weiß leider nicht mehr wie das ging, aber sollte zu finden sein.


Außerdem haben die MS 365 Sessions eine Laufzeit. Die ist aber relativ lang Standardmäßig.
Das müssten 90 Tage gewesen sein.

Danach sollte die Richtlinie auch greifen.

LG
Member: Scrises
Scrises Oct 23, 2023 at 14:51:34 (UTC)
Goto Top
Zitat von @Nils02:

Moin,

im Admin Center unter admin.microsoft.com einen User suchen, dann auf "Konto" -> Abmelden -> Von allen Sitzungen abmelden.

Das sollte das Problem lösen.
Konnte man auch Per PowerShell für alle User Triggern.
Weiß leider nicht mehr wie das ging, aber sollte zu finden sein.


Außerdem haben die MS 365 Sessions eine Laufzeit. Die ist aber relativ lang Standardmäßig.
Das müssten 90 Tage gewesen sein.

Danach sollte die Richtlinie auch greifen.

LG

Danke das war das was ich gesucht hatte

Mit den Befehlen geht es dann via PS

Get-AzureADUser -ObjectId XX@dom.de
revoke-AzureADUserAllRefreshToken -ObjectId "ID"
GermansolvedQuestionMicrosoft
Hotly discussed
LinuxeroWireguard with systemd and nftablesLinuxero - 9 Comments