wznutzer 37 Geschrieben vor 2 Stunden Melden Geschrieben vor 2 Stunden (bearbeitet) Guten Morgen, ich nutze bereits Conditional Access. Aber ich finde keine Möglichkeit, wie ich den Login nur von bekannten Geräten aus erlauben kann. Am liebsten wäre mir ein Workflow in der Art: User registriert Gerät, aber Admin muss es genehmigen. Ich kenne nur die Variante, dass der User eben registrieren kann oder nicht. Darf der User nicht, muss es ein Admin mit einem Service-Account machen. Das nun registrierte Gerät, darf über Conditional Access bestimmte Dinge tun oder halt auch nicht. Für diesen Punkt, fehlt mir der Ansatz. Kann mir jemand helfen den Knoten im Kopf zu lösen? Vielen Dank bearbeitet vor 1 Stunde von wznutzer Schreibfehler
cj_berlin 1.533 Geschrieben vor 1 Stunde Melden Geschrieben vor 1 Stunde Moin, Filter for devices as a condition in Conditional Access policy - Microsoft Entra ID | Microsoft Learn oder so? 1
testperson 1.897 Geschrieben vor 1 Stunde Melden Geschrieben vor 1 Stunde Hi, bei "registriert" reden wir hier über "Registered", "Hybrid joined" oder "Entra (only) joined"? Wenn ich mich recht erinnere ist das im deutschen etwas b***d übersetzt. Sind das alles "Corporate owned Devices" oder ist auch "BYOD" dabei? (Beim Device Filter müsste das Gerät bereits hybrid joined sein. (AFAIK)) Gruß Jan
wznutzer 37 Geschrieben vor 1 Stunde Autor Melden Geschrieben vor 1 Stunde vor 21 Minuten schrieb testperson: bei "registriert" reden wir hier über "Registered", "Hybrid joined" oder "Entra (only) joined"? Wenn ich mich recht erinnere ist das im deutschen etwas b***d übersetzt. Sind das alles "Corporate owned Devices" oder ist auch "BYOD" dabei? Es wird "Microsoft Entra joined" angezeigt. Das sollte nicht hybrid joined sein. Es sind alles Geräte im Firmenbesitz. BYOD ist für geschäftliches nicht erlaubt, aber wie es halt so ist, wenn man es nur sagt, hält sich halt nicht jeder dran und auf einmal ist der Kinderzimmer-PC mit dem Firmenaccount registriert, weil der Kumpel gesagt hat, man darf Office auf 5 Geräten nutzen. Jedenfall bis ich das deaktiviert hatte. vor 50 Minuten schrieb cj_berlin: Filter for devices as a condition in Conditional Access policy - Microsoft Entra ID | Microsoft Learn oder so? Danke, das sieht gut aus :-).
testperson 1.897 Geschrieben vor 13 Minuten Melden Geschrieben vor 13 Minuten Wie ist/war denn der Workflow zum Entra join? Ich würde vermuten, ein neues Gerät wandert zum User, der schaltet ein und meldet sich mit seiner Entra Id an und es ist kein Intune (Autopilot) im Spiel.* In dem Fall würde ich Intune bzw. Autopilot ins Spiel bringen. Da kannst du entweder (klassisch) die Hashes hochladen (lassen) oder ("neu") per Hersteller, Modell und/oder Seriennummer festlegen, welche Geräte überhaupt enrollen / deployen dürfen. Das wäre ja eine Form deiner Genehmigung. Der Rest ist dann Conditional Access mit Device Filter. *) AFAIK würden diese Devices aber als "Personal" markiert (im Intune). Evtl. wäre dann auch per Device Filter "Ownership = Company" die händische Freigabe im Nachgang möglich.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden