Um den Zugriff auf Office 365 so einzuschränken, dass nur verwaltete Windows 10-Geräte darauf zugreifen können, erstellen Sie eine anwendungsspezifische Zugriffsregel, die mit dem Gerätetyp „Windows 10-Registrierung“ konfiguriert ist. Dadurch können nicht verwaltete Geräte registriert und verwaltet werden.

Sie erstellen oder aktualisieren eine zweite Regel für die Zugriffsrichtlinie, die Windows 10 als Gerätetyp verwendet. Die Regel ist für die Authentifizierung mithilfe der Methode „Zertifikat (Cloud-Bereitstellung)“ konfiguriert, ohne dass ein Fallback konfiguriert wurde. Versuchen Benutzer, auf Office 365 zuzugreifen, wenn das Gerät nicht verwaltet wird, schlägt der Start der Office 365-App fehl und das Gerät wird mithilfe der Windows 10-Registrierungsregel registriert und verwaltet. Benutzer, die mit einem verwalteten Gerät auf Office 365 zuzugreifen versuchen, werden basierend auf der zweiten Zugriffsrichtlinienregel authentifziert.

Voraussetzungen

  • Office 365 ist mit dem primären Identitätsanbieter konfiguriert. Der primäre Identitätsanbieter kann Workspace ONE Access, Okta oder ADFS sein. Workspace ONE Access muss als sekundärer Identitätsanbieter konfiguriert werden, wenn Okta oder ADFS der primäre Identitätsanbieter ist.
  • Die Geräteregistrierung wird über die Windows 10 Out-of-Box Experience (OOBE) oder beim Beitritt zur Azure Active Directory-Domäne verwaltet.
  • Für den Identitätsanbieter konfigurierte und aktivierte Authentifizierungsmethoden.
  • Office 365-App wurde zum Hub-Katalog hinzugefügt.

Prozedur

  1. Klicken Sie in der Workspace ONE Access-Konsole auf der Seite Ressourcen > Richtlinien auf Richtlinie hinzufügen.
  2. Fügen Sie in den entsprechenden Textfeldern einen Namen und eine Beschreibung der Richtlinie ein.
  3. Wählen Sie im Abschnitt Gilt für die Anwendungen aus, für die ein eingeschränkter Zugriff erforderlich ist.
  4. Klicken Sie auf Weiter.
  5. Klicken Sie auf Richtlinienregel hinzufügen, um eine Regel hinzuzufügen.
    Option Beschreibung
    Ist der Netzwerkbereich eines Benutzers Wählen Sie einen Netzwerkbereich aus.
    und der Benutzer auf Inhalt zugreift aus Wählen Sie Windows 10-Registrierung als Gerätetyp aus.
    und Benutzer gehört zu Gruppen Wenn diese Zugriffsregel für bestimmte Gruppen gelten soll, suchen Sie die Gruppen über das Suchfeld.

    Wenn keine Gruppe ausgewählt wird, gilt die Zugriffsrichtlinienregel für alle Benutzer.

    Dann diese Aktion ausführen Wählen Sie Authentifizieren verwendet... aus.
    kann sich der Benutzer anschließend authentifizieren mit Wählen Sie die zu verwendende Authentifizierungsmethode aus.
    Wichtig: Verwenden Sie nicht „Zertifikat (Cloud-Bereitstellung)“. Geräte verfügen nicht über das richtige Zertifikat, bevor das Gerät registriert wird.

    Damit sich Benutzer über zwei Authentifizierungsmethoden authentifizieren müssen, klicken Sie auf + und wählen Sie im Dropdown-Menü eine zweite Authentifizierungsmethode.

    Wenn die vorherige Methode fehlschlägt oder nicht zutrifft, dann Konfigurieren Sie bei Bedarf eine Fallback-Authentifizierungsmethode.
    Erneute Authentifizierung nach Wählen Sie die Länge der Sitzung, nach der sich die Benutzer erneut authentifizieren müssen.
  6. Klicken Sie auf Speichern.

Nächste Maßnahme

Sie können jetzt die für den Windows 10-Gerätetyp konfigurierte Zugriffsrichtlinie aktualisieren. Die ausgewählte Authentifizierungsmethode ist weiterhin „Zertifikat (Cloud-Bereitstellung)“, es wurden aber alle konfigurierten Fallback-Authentifizierungsmethoden entfernt.