wznutzer 37 Geschrieben vor 4 Stunden Melden Geschrieben vor 4 Stunden (bearbeitet) Guten Morgen, ich nutze bereits Conditional Access. Aber ich finde keine Möglichkeit, wie ich den Login nur von bekannten Geräten aus erlauben kann. Am liebsten wäre mir ein Workflow in der Art: User registriert Gerät, aber Admin muss es genehmigen. Ich kenne nur die Variante, dass der User eben registrieren kann oder nicht. Darf der User nicht, muss es ein Admin mit einem Service-Account machen. Das nun registrierte Gerät, darf über Conditional Access bestimmte Dinge tun oder halt auch nicht. Für diesen Punkt, fehlt mir der Ansatz. Kann mir jemand helfen den Knoten im Kopf zu lösen? Vielen Dank bearbeitet vor 3 Stunden von wznutzer Schreibfehler
cj_berlin 1.533 Geschrieben vor 3 Stunden Melden Geschrieben vor 3 Stunden Moin, Filter for devices as a condition in Conditional Access policy - Microsoft Entra ID | Microsoft Learn oder so? 1
testperson 1.903 Geschrieben vor 3 Stunden Melden Geschrieben vor 3 Stunden Hi, bei "registriert" reden wir hier über "Registered", "Hybrid joined" oder "Entra (only) joined"? Wenn ich mich recht erinnere ist das im deutschen etwas b***d übersetzt. Sind das alles "Corporate owned Devices" oder ist auch "BYOD" dabei? (Beim Device Filter müsste das Gerät bereits hybrid joined sein. (AFAIK)) Gruß Jan
wznutzer 37 Geschrieben vor 3 Stunden Autor Melden Geschrieben vor 3 Stunden vor 21 Minuten schrieb testperson: bei "registriert" reden wir hier über "Registered", "Hybrid joined" oder "Entra (only) joined"? Wenn ich mich recht erinnere ist das im deutschen etwas b***d übersetzt. Sind das alles "Corporate owned Devices" oder ist auch "BYOD" dabei? Es wird "Microsoft Entra joined" angezeigt. Das sollte nicht hybrid joined sein. Es sind alles Geräte im Firmenbesitz. BYOD ist für geschäftliches nicht erlaubt, aber wie es halt so ist, wenn man es nur sagt, hält sich halt nicht jeder dran und auf einmal ist der Kinderzimmer-PC mit dem Firmenaccount registriert, weil der Kumpel gesagt hat, man darf Office auf 5 Geräten nutzen. Jedenfall bis ich das deaktiviert hatte. vor 50 Minuten schrieb cj_berlin: Filter for devices as a condition in Conditional Access policy - Microsoft Entra ID | Microsoft Learn oder so? Danke, das sieht gut aus :-).
testperson 1.903 Geschrieben vor 2 Stunden Melden Geschrieben vor 2 Stunden Wie ist/war denn der Workflow zum Entra join? Ich würde vermuten, ein neues Gerät wandert zum User, der schaltet ein und meldet sich mit seiner Entra Id an und es ist kein Intune (Autopilot) im Spiel.* In dem Fall würde ich Intune bzw. Autopilot ins Spiel bringen. Da kannst du entweder (klassisch) die Hashes hochladen (lassen) oder ("neu") per Hersteller, Modell und/oder Seriennummer festlegen, welche Geräte überhaupt enrollen / deployen dürfen. Das wäre ja eine Form deiner Genehmigung. Der Rest ist dann Conditional Access mit Device Filter. *) AFAIK würden diese Devices aber als "Personal" markiert (im Intune). Evtl. wäre dann auch per Device Filter "Ownership = Company" die händische Freigabe im Nachgang möglich.
wznutzer 37 Geschrieben vor 16 Minuten Autor Melden Geschrieben vor 16 Minuten vor 1 Stunde schrieb testperson: Wie ist/war denn der Workflow zum Entra join? Ich würde vermuten, ein neues Gerät wandert zum User, der schaltet ein und meldet sich mit seiner Entra Id an und es ist kein Intune (Autopilot) im Spiel.* Ja, Gerät war erst im Haus, dann alles komplett eingerichtet/installiert (mit lokalem User). Dann ging das Gerät zum User, der hat sich dann mit der Entra ID angemeldet (meist mit Hilfe) und das Gerät war registriert. Das mit den Hashes gefällt mir, muss ich mir anschauen, vielen Dank.
testperson 1.903 Geschrieben vor 10 Minuten Melden Geschrieben vor 10 Minuten vor 2 Minuten schrieb wznutzer: Das mit den Hashes gefällt mir, muss ich mir anschauen, vielen Dank. Die Hashes wären "Autopilot (v1)" und ist in meinen Augen flexibler / komplexer. Der neue Weg "Autopilot (v2)" bzw. "Autopilot Device preparation" ist vermutlich einfacher kann (derzeit AFAIK) noch nicht alles, sofern man es braucht. Teste ggfs. beide Optionen vorher einmal bevor du dich in eines der Abenteuer stürzt. BTW.: Falls beim Essen noch Hunger kommt: GitHub - SkipToTheEndpoint/OpenIntuneBaseline: Community-driven baseline to accelerate Intune adoption and learning. GitHub - j0eyv/ConditionalAccessBaseline kennethvs (Kenneth van Surksum) · GitHub
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden