7
Zugriff auf Office 365 von Privatgeräten verbieten
Hallo zusammen,
wir haben aktuell folgendes Problem:
Unsere User installieren sich munter die Office365 Apps auf Ihre Privatgeräte (Smartphones und Windows-Clients) und melden sich dort mit dem Geschäftskonto an.
Es ist zwar eigentlich untersagt, aber dran halten sich natürlich nicht alle.
Nun war der Auftrag der Geschäftsführung, das zu unterbinden.
Ich habe schon mal das WWW durchsucht, aber leider nichts gefunden.
Bei SharePoint/OneDrive ist das wohl möglich, aber zu den restlichen Office-Apps habe ich nichts gefunden.
Unsere Lizenz ist das MS 365 Business premium Modell, mit Intune usw.
Hat jemand eine Idee oder einen hilfreichen Link?
Danke
LG
Nils
wir haben aktuell folgendes Problem:
Unsere User installieren sich munter die Office365 Apps auf Ihre Privatgeräte (Smartphones und Windows-Clients) und melden sich dort mit dem Geschäftskonto an.
Es ist zwar eigentlich untersagt, aber dran halten sich natürlich nicht alle.
Nun war der Auftrag der Geschäftsführung, das zu unterbinden.
Ich habe schon mal das WWW durchsucht, aber leider nichts gefunden.
Bei SharePoint/OneDrive ist das wohl möglich, aber zu den restlichen Office-Apps habe ich nichts gefunden.
Unsere Lizenz ist das MS 365 Business premium Modell, mit Intune usw.
Hat jemand eine Idee oder einen hilfreichen Link?
Danke
LG
Nils
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3260195351
Url: https://administrator.de/contentid/3260195351
Ausgedruckt am: 08.11.2024 um 11:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Stichwort "Conditional Access", da kannst du sowas recht gut unterbinden.
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
Im ersten Link hast du auch die Lizenzanforderungen aufgeführt.
Ist im Premium Modell auch enthalten.
Gruß
Nussi
Stichwort "Conditional Access", da kannst du sowas recht gut unterbinden.
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
Im ersten Link hast du auch die Lizenzanforderungen aufgeführt.
Ist im Premium Modell auch enthalten.
Gruß
Nussi
Falls noch nie mit bedingtem Zugriff (Conditional Access) gearbeitet wurde: Erstell dir zuvor eine Sicherheitsgruppe mit mind. einem globalen Admin, die von jedem bedingtem Zugriff befreit ist. Braucht keine Lizenz und kann dir im Fall der Fälle den Arsch retten...
1
Hi,
in deinem Fall könnte dir genau diese MS Doku helfen:
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
Vorraussetzung ist natürlich, dass die Geräte mit der Azure AD verbunden sind. Sonst wirds generell schwierig zu erkennen ob es sich um ein Privat- oder Firmengerät handelt. Ob du dann die Compliant Anforderung noch mit reinnimmst bleibt dir überlassen.
Gruss
Crazy
in deinem Fall könnte dir genau diese MS Doku helfen:
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
Vorraussetzung ist natürlich, dass die Geräte mit der Azure AD verbunden sind. Sonst wirds generell schwierig zu erkennen ob es sich um ein Privat- oder Firmengerät handelt. Ob du dann die Compliant Anforderung noch mit reinnimmst bleibt dir überlassen.
Gruss
Crazy
Zitat von @cr4zyd1ng0:
Hi,
in deinem Fall könnte dir genau diese MS Doku helfen:
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
Vorraussetzung ist natürlich, dass die Geräte mit der Azure AD verbunden sind. Sonst wirds generell schwierig zu erkennen ob es sich um ein Privat- oder Firmengerät handelt. Ob du dann die Compliant Anforderung noch mit reinnimmst bleibt dir überlassen.
Gruss
Crazy
Hi,
in deinem Fall könnte dir genau diese MS Doku helfen:
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
Vorraussetzung ist natürlich, dass die Geräte mit der Azure AD verbunden sind. Sonst wirds generell schwierig zu erkennen ob es sich um ein Privat- oder Firmengerät handelt. Ob du dann die Compliant Anforderung noch mit reinnimmst bleibt dir überlassen.
Gruss
Crazy
Zitat von @blubbstrahl11:
Falls noch nie mit bedingtem Zugriff (Conditional Access) gearbeitet wurde: Erstell dir zuvor eine Sicherheitsgruppe mit mind. einem globalen Admin, die von jedem bedingtem Zugriff befreit ist. Braucht keine Lizenz und kann dir im Fall der Fälle den Arsch retten...
Falls noch nie mit bedingtem Zugriff (Conditional Access) gearbeitet wurde: Erstell dir zuvor eine Sicherheitsgruppe mit mind. einem globalen Admin, die von jedem bedingtem Zugriff befreit ist. Braucht keine Lizenz und kann dir im Fall der Fälle den Arsch retten...
Zitat von @DerNussi:
Hallo,
Stichwort "Conditional Access", da kannst du sowas recht gut unterbinden.
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
Im ersten Link hast du auch die Lizenzanforderungen aufgeführt.
Ist im Premium Modell auch enthalten.
Gruß
Nussi
Hallo,
Stichwort "Conditional Access", da kannst du sowas recht gut unterbinden.
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
https://docs.microsoft.com/de-de/azure/active-directory/conditional-acce ...
Im ersten Link hast du auch die Lizenzanforderungen aufgeführt.
Ist im Premium Modell auch enthalten.
Gruß
Nussi
Danke euch dreien, genau das was wir gesucht haben
Hat bei meinem Test eben wunderbar funktioniert!
LG
Hi Admins,
ich würde dieses Thema gerne nochmals aufmachen, um folgendes Szenario lösen zu können.
Wie ob schon erwähnt möchte ich den Zugriff auf die Office-Apps auf Gerätelisten einschränken. Dies Funktioniert auch wie beschrieben über die CA ohne Probleme.
Sprich ein Endgerät welches nicht der CA-Regel entspricht, schafft es auch nicht sich zB. in Outlook anzumelden.
Jetzt kommt aber mein Problem. Wenn das Outlook davor schon einmal eingerichtet war ( vor CA-Einrichtung ) dann öffnet es sich weiterhin ohne Probleme. Das verhindern der Anmeldung greift erst nachdem ich zb. bei Outlook ein Profil neu erstelle.
Wie kann ich dies lösen, damit ich nicht bei allen Endgeräten, die vor der CA - Einrichtung schon Outlook eingerichtet hatten dieses bearbeiten muss.
Danke für eure Hilfe
ich würde dieses Thema gerne nochmals aufmachen, um folgendes Szenario lösen zu können.
Wie ob schon erwähnt möchte ich den Zugriff auf die Office-Apps auf Gerätelisten einschränken. Dies Funktioniert auch wie beschrieben über die CA ohne Probleme.
Sprich ein Endgerät welches nicht der CA-Regel entspricht, schafft es auch nicht sich zB. in Outlook anzumelden.
Jetzt kommt aber mein Problem. Wenn das Outlook davor schon einmal eingerichtet war ( vor CA-Einrichtung ) dann öffnet es sich weiterhin ohne Probleme. Das verhindern der Anmeldung greift erst nachdem ich zb. bei Outlook ein Profil neu erstelle.
Wie kann ich dies lösen, damit ich nicht bei allen Endgeräten, die vor der CA - Einrichtung schon Outlook eingerichtet hatten dieses bearbeiten muss.
Danke für eure Hilfe
Moin,
im Admin Center unter admin.microsoft.com einen User suchen, dann auf "Konto" -> Abmelden -> Von allen Sitzungen abmelden.
Das sollte das Problem lösen.
Konnte man auch Per PowerShell für alle User Triggern.
Weiß leider nicht mehr wie das ging, aber sollte zu finden sein.
Außerdem haben die MS 365 Sessions eine Laufzeit. Die ist aber relativ lang Standardmäßig.
Das müssten 90 Tage gewesen sein.
Danach sollte die Richtlinie auch greifen.
LG
im Admin Center unter admin.microsoft.com einen User suchen, dann auf "Konto" -> Abmelden -> Von allen Sitzungen abmelden.
Das sollte das Problem lösen.
Konnte man auch Per PowerShell für alle User Triggern.
Weiß leider nicht mehr wie das ging, aber sollte zu finden sein.
Außerdem haben die MS 365 Sessions eine Laufzeit. Die ist aber relativ lang Standardmäßig.
Das müssten 90 Tage gewesen sein.
Danach sollte die Richtlinie auch greifen.
LG
Zitat von @Nils02:
Moin,
im Admin Center unter admin.microsoft.com einen User suchen, dann auf "Konto" -> Abmelden -> Von allen Sitzungen abmelden.
Das sollte das Problem lösen.
Konnte man auch Per PowerShell für alle User Triggern.
Weiß leider nicht mehr wie das ging, aber sollte zu finden sein.
Außerdem haben die MS 365 Sessions eine Laufzeit. Die ist aber relativ lang Standardmäßig.
Das müssten 90 Tage gewesen sein.
Danach sollte die Richtlinie auch greifen.
LG
Moin,
im Admin Center unter admin.microsoft.com einen User suchen, dann auf "Konto" -> Abmelden -> Von allen Sitzungen abmelden.
Das sollte das Problem lösen.
Konnte man auch Per PowerShell für alle User Triggern.
Weiß leider nicht mehr wie das ging, aber sollte zu finden sein.
Außerdem haben die MS 365 Sessions eine Laufzeit. Die ist aber relativ lang Standardmäßig.
Das müssten 90 Tage gewesen sein.
Danach sollte die Richtlinie auch greifen.
LG
Danke das war das was ich gesucht hatte
Mit den Befehlen geht es dann via PS
Get-AzureADUser -ObjectId XX@dom.de
revoke-AzureADUserAllRefreshToken -ObjectId "ID"
