GitHub GitHub Hover Bluesky Bluesky Hover Medium Medium Hover CodePen CodePen Hover YouTube YouTube Hover
GitHub GitHub Hover Bluesky Bluesky Hover Medium Medium Hover CodePen CodePen Hover YouTube YouTube Hover
Impressum | Datenschutz

Conditional Access mit Intune-Compliance einrichten

Im Microsoft 365 Portal unten links Apps öffnen und Admin anklicken.

Im Microsoft 365 Admin Center links auf Alle anzeigen klicken.

Unter Alle Admin Center Microsoft Entra öffnen.

In Microsoft Entra zu Bedingter Zugriff → Richtlinien → Neue Richtlinie gehen.

Einen Namen vergeben, zum Beispiel:
CA - Konformes Gerät - Testuser - Bericht.
Bei Benutzer und Gruppen unter Einschließen den Benutzer Test Mitarbeiter (testuser) auswählen.

Unter Ausschließen die Konten admin, BreakGlass 01 und BreakGlass 02 auswählen.

Bei Ressourcen (ehemals Cloud-Apps) Alle Ressourcen auswählen.

Bei Gewähren Zugriff gewähren auswählen und
Markieren des Geräts als kompatibel erforderlich aktivieren. Danach Auswählen klicken.

Die Richtlinie zuerst auf Nur Bericht lassen, unten die erste Warn-Option so belassen und dann auf Erstellen klicken.

Kontrolle: Die neue Richtlinie erscheint jetzt unter Von Benutzenden erstellte Richtlinien mit Status Nur melden.

In den Anmeldeprotokollen einen aktuellen Anmeldeeintrag von Test Mitarbeiter öffnen.

Im Detailfenster über die drei Punkte den Bereich Nur Bericht öffnen.

Im Tab Nur Bericht sieht man das Ergebnis der Richtlinie.
Hier: Nur Bericht: Erfolgreich.

Im Tab Geräteinformationen sieht man den Gerätezustand.
Hier wichtig:

  • Konform: Ja
  • Verwaltet: Ja
  • Azure AD joined

Falls der Tab nicht sichtbar ist, über die drei Punkte Geräteinformationen auswählen.

Wenn der Test erfolgreich war, die Richtlinie öffnen, von Nur Bericht auf Ein stellen und Speichern klicken.

Test mit Chrome: Zugriff wird blockiert.
Grund: Chrome übergibt in deinem Fall die Geräteidentität nicht sauber für diese Richtlinie.

Blockmeldung in Chrome: Zugriff nur für Geräte, die der Kompatibilitätsrichtlinie entsprechen.

Test mit Edge: Zugriff funktioniert.
Das zeigt, dass die Richtlinie korrekt arbeitet und das Gerät als konform und verwaltet erkannt wird.

  • Conditional Access eingerichtet
  • testuser ist eingeschlossen
  • admin / bg01 / bg02 sind ausgeschlossen
  • Nur konformes Gerät darf zugreifen
  • Chrome wurde blockiert
  • Edge hat funktioniert
Compliance-Richtlinien in Intune für Windows 11 sauber aufsetzen
Compliance-Richtlinien in Intune für Windows 11 sauber aufsetzen
Damit Intune ein Windows-Gerät als konform einstufen kann, braucht es eine passende Compliance-Richtlinie mit klar definierten Anforderun...