nils02
Goto Top

Zugriff auf Office 365 von Privatgeräten verbieten

Hallo zusammen,


wir haben aktuell folgendes Problem:

Unsere User installieren sich munter die Office365 Apps auf Ihre Privatgeräte (Smartphones und Windows-Clients) und melden sich dort mit dem Geschäftskonto an.
Es ist zwar eigentlich untersagt, aber dran halten sich natürlich nicht alle.

Nun war der Auftrag der Geschäftsführung, das zu unterbinden.

Ich habe schon mal das WWW durchsucht, aber leider nichts gefunden.
Bei SharePoint/OneDrive ist das wohl möglich, aber zu den restlichen Office-Apps habe ich nichts gefunden.


Unsere Lizenz ist das MS 365 Business premium Modell, mit Intune usw.

Hat jemand eine Idee oder einen hilfreichen Link?

Danke face-smile

LG
Nils

Content-ID: 3260195351

Url: https://administrator.de/forum/zugriff-auf-office-365-von-privatgeraeten-verbieten-3260195351.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

DerNussi
Lösung DerNussi 05.07.2022 um 16:40:03 Uhr
Goto Top
Hallo,

Stichwort "Conditional Access", da kannst du sowas recht gut unterbinden.

https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...

Im ersten Link hast du auch die Lizenzanforderungen aufgeführt.
Ist im Premium Modell auch enthalten.

Gruß
Nussi
blubbstrahl11
Lösung blubbstrahl11 05.07.2022 um 17:26:07 Uhr
Goto Top
Falls noch nie mit bedingtem Zugriff (Conditional Access) gearbeitet wurde: Erstell dir zuvor eine Sicherheitsgruppe mit mind. einem globalen Admin, die von jedem bedingtem Zugriff befreit ist. Braucht keine Lizenz und kann dir im Fall der Fälle den Arsch retten...
Abyssox
Lösung Abyssox 05.07.2022 aktualisiert um 17:41:59 Uhr
Goto Top
Hi,

in deinem Fall könnte dir genau diese MS Doku helfen:
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...

Vorraussetzung ist natürlich, dass die Geräte mit der Azure AD verbunden sind. Sonst wirds generell schwierig zu erkennen ob es sich um ein Privat- oder Firmengerät handelt. Ob du dann die Compliant Anforderung noch mit reinnimmst bleibt dir überlassen.

Gruss
Crazy
Nils02
Lösung Nils02 06.07.2022 um 09:09:15 Uhr
Goto Top
Zitat von @cr4zyd1ng0:

Hi,

in deinem Fall könnte dir genau diese MS Doku helfen:
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...

Vorraussetzung ist natürlich, dass die Geräte mit der Azure AD verbunden sind. Sonst wirds generell schwierig zu erkennen ob es sich um ein Privat- oder Firmengerät handelt. Ob du dann die Compliant Anforderung noch mit reinnimmst bleibt dir überlassen.

Gruss
Crazy


Zitat von @blubbstrahl11:

Falls noch nie mit bedingtem Zugriff (Conditional Access) gearbeitet wurde: Erstell dir zuvor eine Sicherheitsgruppe mit mind. einem globalen Admin, die von jedem bedingtem Zugriff befreit ist. Braucht keine Lizenz und kann dir im Fall der Fälle den Arsch retten...


Zitat von @DerNussi:

Hallo,

Stichwort "Conditional Access", da kannst du sowas recht gut unterbinden.

https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...

Im ersten Link hast du auch die Lizenzanforderungen aufgeführt.
Ist im Premium Modell auch enthalten.

Gruß
Nussi

Danke euch dreien, genau das was wir gesucht haben face-smile

Hat bei meinem Test eben wunderbar funktioniert!

LG
Scrises
Scrises 23.10.2023 um 15:10:37 Uhr
Goto Top
Hi Admins,

ich würde dieses Thema gerne nochmals aufmachen, um folgendes Szenario lösen zu können.

Wie ob schon erwähnt möchte ich den Zugriff auf die Office-Apps auf Gerätelisten einschränken. Dies Funktioniert auch wie beschrieben über die CA ohne Probleme.
Sprich ein Endgerät welches nicht der CA-Regel entspricht, schafft es auch nicht sich zB. in Outlook anzumelden.
Jetzt kommt aber mein Problem. Wenn das Outlook davor schon einmal eingerichtet war ( vor CA-Einrichtung ) dann öffnet es sich weiterhin ohne Probleme. Das verhindern der Anmeldung greift erst nachdem ich zb. bei Outlook ein Profil neu erstelle.
Wie kann ich dies lösen, damit ich nicht bei allen Endgeräten, die vor der CA - Einrichtung schon Outlook eingerichtet hatten dieses bearbeiten muss.

Danke für eure Hilfe
Nils02
Nils02 23.10.2023 um 15:33:48 Uhr
Goto Top
Moin,

im Admin Center unter admin.microsoft.com einen User suchen, dann auf "Konto" -> Abmelden -> Von allen Sitzungen abmelden.

Das sollte das Problem lösen.
Konnte man auch Per PowerShell für alle User Triggern.
Weiß leider nicht mehr wie das ging, aber sollte zu finden sein.


Außerdem haben die MS 365 Sessions eine Laufzeit. Die ist aber relativ lang Standardmäßig.
Das müssten 90 Tage gewesen sein.

Danach sollte die Richtlinie auch greifen.

LG
Scrises
Scrises 23.10.2023 um 16:51:34 Uhr
Goto Top
Zitat von @Nils02:

Moin,

im Admin Center unter admin.microsoft.com einen User suchen, dann auf "Konto" -> Abmelden -> Von allen Sitzungen abmelden.

Das sollte das Problem lösen.
Konnte man auch Per PowerShell für alle User Triggern.
Weiß leider nicht mehr wie das ging, aber sollte zu finden sein.


Außerdem haben die MS 365 Sessions eine Laufzeit. Die ist aber relativ lang Standardmäßig.
Das müssten 90 Tage gewesen sein.

Danach sollte die Richtlinie auch greifen.

LG

Danke das war das was ich gesucht hatte

Mit den Befehlen geht es dann via PS

Get-AzureADUser -ObjectId XX@dom.de
revoke-AzureADUserAllRefreshToken -ObjectId "ID"