|
|
 RSS-Feed
|
|
|
|
|
Tauche in frisch zubereitete Artikel ein, die Dir die Grundlagen sowie fortgeschrittene Konzepte von Microsoft Azure und Microsoft 365 näherbringen.
Profitiere von anschaulichen Schritt-für-Schritt-Anleitungen und den besten Methoden, um die vielfältigen Aufgaben und Strategien für den Einsatz der Microsoft Cloud zu beherrschen.
|
|
cloud microsoft-azure microsoft-365 cloud-sicherheit
|
|
Hinzugefügt am 01.06.2024 - 16:50:36
|
|
|
|
https://www.cloudkaffee.ch/
|
|
;
|
|
RSS-Feed - Einträge
|
|
|
|
|
|
|
|
Bis anhin war der Zugriff auf interne Ressourcen über Microsoft Entra Private Access auf verwaltete Geräte beschränkt, die Microsoft Entra joined oder Microsoft Entra hybrid joined sein mussten. Mit der nun verfügbaren Bring Your Own Device (BYOD) Unterstützung in Microsoft Entra Private Access entfällt diese Einschränkung. Neu sind auch Microsoft Entra registered Geräte für den Zugriff auf interne Ressourcen über Microsoft Entra Private Access zugelassen. Bei der ersten Anmeldung über den Global Secure Access Client wird das Gerät im Tenant als Microsoft Entra registered registriert und als Geräteobjekt angelegt. Microsoft Entra registered Geräte unterstützen Microsoft Entra Private Access, jedoch nicht Microsoft Entra Internet Access. Bring Your Own Device (BYOD) in Microsoft Entra Private Access befindet sich aktuell in Public Preview. Voraussetzungen und Lizenzierung Profil für privaten Zugriff Für den Zugriff auf interne Ressourcen mit Bring Your Own Device (BYOD) ist Microsoft Entra Private Access erforderlich. Eine vollständige Anleitung zur Einrichtung von Microsoft Entra Private Access ist hier zu finden: Microsoft Entra Private Access: sicherer Zugriff auf interne Ressourcen und Cloud-Dienste ohne VPN – cloudkaffee.ch Global Secure Access Client Der Global Secure Access Client wird ab Version 2.26.108 benötigt.Die Clientsoftware steht im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Global Secure Access > Verbinden > Client Download zum Herunterladen zur Verfügung. Lizenzen Für BYOD in Microsoft Entra Private Access ist keine zusätzliche Lizenz erforderlich. Das Feature ist Bestandteil von Microsoft Entra Private Access und wird innerhalb dieser Lizenz genutzt. Rollen Für die Konfiguration der Datenverkehrsweiterleitungen sind folgende Rollen nach dem Prinzip der geringsten Berechtigungen geeignet: Rolle Berechtigung Global Secure Access-Administrator Einrichten und Verwalten von Global Secure Access Anwendungsadministrator Hinzufügen und Entfernen von Benutzern der Datenverkehrsweiterleitungsprofilen Microsoft Entra Private Access BYOD konfigurieren Konfiguration Datenverkehrsweiterleitung Für den Zugriff mit einem Bring Your Own Device (BYOD) Gerät auf interne Ressourcen ist die Zuweisung des Benutzers zum Profil für privaten Zugriff erforderlich. Microsoft Entra Admin Center (https://entra.microsoft.com) > Global Secure Access > Verbinden > Datenverkehrsweiterleitung > Profil für privaten Zugriff > Benutzer- und Gruppenzuweisungen Installation Global Secure Access Client Das Gerät benötigt den Global Secure Access Client ab Version 2.26.108 oder neuer. Die Clientsoftware steht im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Global Secure Access > Verbinden > Client Download zum Herunterladen bereit. Die heruntergeladene Datei GlobalSecureAccessClient.exe auf dem Gerät per Doppelklick starten und installieren. Der Installationsvorgang ist selbsterklärend. Verbindung mit Entra Private Access herstellen Beim ersten Start des Global Secure Access Clients erscheint die Aufforderung zur Anmeldung.Sign in auswählen. Anmeldedaten eingeben Wenn die Meldung „Anmelden bei allen Apps, Websites und Diensten auf diesem Gerät?“ erscheint, Ja auswählen. Dadurch wird das Gerät im Tenant registriert (1). Das Gerät ist registriert und nach einem Neustart ist Microsoft Entra Global Secure Access verbunden. Verbindungskontrolle Global Secure Access Client In der Übersicht des Global Secure Access Clients wird der Verbindungstyp Entra registered (1), die aktive Verbindung zu Microsoft Entra Private Access (2) sowie die aktuell genutzte Organisation (3) angezeigt. Geräteregistrierung Bei der erstmaligen Anmeldung mit einem Bring Your Own Device (BYOD) wird das Gerät im Tenant unter dem Benutzer als Microsoft Entra registered angelegt. Microsoft Entra Admin Center (https://admin.microsoft.com) > Entra ID > Benutzer > Benutzer auswählen > Geräte Fazit Microsoft Entra Private Access BYOD ermöglicht den Zugriff auf interne Ressourcen mit Microsoft Entra registered Geräten. Dadurch lassen sich BYOD Szenarien in eine bestehende Zero Trust Architektur integrieren, ohne separate VPN Lösungen betreiben zu müssen. Global Secure Access gewinnt dadurch an zusätzlicher Flexibilität und unterstützt moderne Arbeitsmodelle für einen sicheren Zugriff auf interne Ressourcen.
Der Beitrag Microsoft Entra Private Access BYOD: Zugriff auf interne Ressourcen mit Entra Registered Geräten erschien zuerst auf cloudkaffee.ch
|
|
13.02.2026 - 20:00:00
|
|
https://www.cloudkaffee.ch/microsoft-365/microsoft-entra-private-access-byod/
|
|
|
|
|
|
|
Intelligent Local Access (ILA) adressiert eine grundlegende Herausforderung von Microsoft Entra Global Secure Access: lokalen Netzwerkverkehr auch lokal zu behandeln. Microsoft Entra Global Secure Access leitet Datenverkehr basierend auf konfigurierten Datenverkehrsweiterleitungen über den cloudbasierten Security Service Edge (SSE), auch dann, wenn sich das Ziel im lokalen Netzwerk befindet. Dadurch werden Sicherheitsrichtlinien und Zugriffskontrollen jederzeit konsistent umgesetzt. Lokale Ressourcen wie Dateifreigaben oder Applikationen verlassen dadurch unnötig das lokale Netzwerk, obwohl eine direkte Verbindung möglich wäre. Durch den verlängerten Netzwerkpfad steigen die Latenzen und die Gesamtperformance des Zugriffs sinkt. Intelligent Local Access (ILA) verändert dieses Verhalten durch die dynamische Ermittlung des Netzwerkpfads. Der Global Secure Access Client erkennt, ob sich das Ziel im lokalen Netzwerk befindet, und leitet den Datenverkehr in diesem Fall direkt weiter, ohne Umweg über den cloudbasierten Security Service Edge (SSE). Der Global Secure Access Client bleibt dabei aktiv, wodurch Microsoft Entra ID weiterhin Identität, Gerätestatus und Richtlinien auswertet. Befindet sich das Ziel ausserhalb des lokalen Netzwerks, erfolgt der Zugriff weiterhin über Microsoft Entra Global Secure Access gemäss den definierten Traffic-Profilen. Dieser Beitrag zeigt die Umsetzung von Intelligent Local Access in Microsoft Entra Global Secure Access. Die Konfiguration von Privaten Netzwerken wird anhand eines Beispiels für den Zugriff auf einen Remote Desktop Session Host (RDSH) erläutert. Zum Zeitpunkt der Erstellung dieses Artikels stehen Private Netzwerke als Public Preview zur Verfügung. Das gezeigte Vorgehen lässt sich auf weitere lokale Ressourcen übertragen. Voraussetzungen und Lizenzierung Profil für privaten Zugriff Intelligent Local Access kommt in Szenarien zum Einsatz, in denen Microsoft Entra Private Access verwendet wird. Entsprechend ist ein konfiguriertes privates Zugriffsprofil in Global Secure Access erforderlich, um Ressourcen über Private Netzwerke zu definieren.Eine vollständige Anleitung zur Einrichtung von Microsoft Entra Private Access ist hier zu finden:Microsoft Entra Private Access: sicherer Zugriff auf interne Ressourcen und Cloud-Dienste ohne VPN – cloudkaffee.ch Lizenzen Für Intelligent Local Access (ILA) ist keine zusätzliche Lizenz erforderlich. Das Feature ist Bestandteil von Microsoft Entra Global Secure Access und wird in Verbindung mit Microsoft Entra Private Access eingesetzt. Rollen Um Intelligent Local Access (ILA) zu konfigurieren, ist folgende Rolle nach dem Prinzip der geringsten Berechtigungen geeignet: Rolle Berechtigung Global Secure Access-Administrator Erstellen und Verwaltung von Global Secure Access Intelligent Local Access aktivieren Bevor Intelligent Local Access (ILA) genutzt werden kann, muss Microsoft Entra Global Secure Access erkennen, ob sich das Zugriffsziel im lokalen Netzwerk befindet. Diese Erkennung erfolgt über die DNS-Namensauflösung und die daraus resultierende IP-Adresse. Löst ein für das Private Netzwerk definierter DNS-Server die Zieladresse auf und liegt die IP-Adresse innerhalb der konfigurierten IP-Adressdefinition, erkennt Microsoft Entra Global Secure Access das Ziel als lokal. Der Dienst leitet den Datenverkehr in diesem Fall direkt zum Ziel und umgeht den cloudbasierten Security Service Edge (SSE), während der Global Secure Access Client aktiv bleibt und Microsoft Entra ID weiterhin Identität und Richtlinien auswertet. Der Intelligent Local Access (ILA) erfordert die Konfiguration von Privaten Netzwerken im Microsoft Entra Admin Center. Microsoft Entra Admin Center (https://entra.microsoft.com) > Globaler sicherer Zugriff > Verbinden > Private Netzwerke > Privates Netzwerk hinzufügen Das private Netzwerk wie folgt konfigurieren: Konfiguration für das private Netzwerk mit Erstellen (7) abschliessen. Das private Netzwerk steht nun zur Verfügung. Global Secure Access ist nun in der Lage, lokale Ressourcen zu erkennen und den Datenverkehr direkt zum Ziel zu senden und umgeht den Umweg über den Security Service Edge (SSE). Datenfluss auf dem Client prüfen Mit der erweiterten Diagnose im Global Secure Access Client lässt sich der Datenfluss nachverfolgen. In diesem Beispiel erfolgt die Auswertung des Datenverkehrs für eine Remotedesktopverbindung zum Server cclvsrts001.int.cloudcoffee.ch. Global Secure Access Client starten > Troubleshooting > Collect advanced logs Im Register Traffic (1) den Filter (2) wie folgt setzen: Die Aufzeichnung des Datenverkehrs mit Start collecting (3) beginnen. Beim Herstellen der Verbindung zeigt sich, dass der Datenverkehr auf direktem Weg zum Server fliesst. Wenn die gleiche Verbindung nicht über Intelligent Local Access angesprochen werden kann, sieht dies in der Datenverkehrsaufzeichnung folgendermassen aus. Fazit Intelligent Local Access (ILA) erweitert Microsoft Entra Global Secure Access um eine gezielte Optimierung für lokale Zugriffsszenarien. Lokale Ressourcen bleiben lokal erreichbar, ohne auf die konsistente Auswertung von Identität, Gerätestatus und Richtlinien durch Microsoft Entra ID zu verzichten. Unnötige Umwege über den Security Service Edge werden vermieden, Latenzen reduziert und die Benutzererfahrung verbessert.
Der Beitrag Intelligent Local Access in Microsoft Entra Global Secure Access erschien zuerst auf cloudkaffee.ch
|
|
06.02.2026 - 16:00:00
|
|
https://www.cloudkaffee.ch/microsoft-365/intelligent-local-access-microsoft-entr ...
|
|
|
|
|
|
|
In Microsoft Entra ID entstehen Benutzer- und Gastzugriffe schrittweise im Laufe der Zeit, etwa durch Rollenwechsel, Projektzugehörigkeiten oder temporäre externe Zusammenarbeit. Einmal vergebene Berechtigungen bleiben dabei oft bestehen, obwohl der ursprüngliche fachliche Bedarf nicht mehr gegeben ist. Aus diesem Grund schaffen übliche Gegenmassnahmen wie manuelle Übersichten, Rückfragen bei Gruppenverantwortlichen oder gelegentliche Stichproben zwar punktuelle Transparenz, führen jedoch nicht zu einer konsistenten und regelmässigen Überprüfung von Zugriffen. Entscheidungen sind häufig nicht einheitlich dokumentiert und lassen sich im Nachgang nur schwer nachvollziehen. Microsoft Entra Access Reviews sind Bestandteil der Identity-Governance in Microsoft Entra ID und ermöglichen die regelmässige Überprüfung bestehender Zugriffe. Zugriffsüberprüfungen werden als wiederkehrende Reviews definiert, zeitlich gesteuert ausgeführt und bestimmten Prüfern zugewiesen, beispielsweise Gruppenbesitzern oder für den Zugriff verantwortlichen Personen. Die Konfiguration und Auswertung erfolgt zentral im Microsoft Entra Admin Center. Microsoft Entra Access Reviews protokollieren getroffene Entscheidungen und dokumentieren diese nachvollziehbar. Der Einsatz von Access Reviews unterstützt die Kontrolle von Benutzer- und Gastzugriffen und trägt dazu bei, überflüssige Berechtigungen zu entfernen. Dadurch reduzieren Microsoft Entra Access Reviews das Risiko, dass nicht mehr benötigte Zugriffsrechte unbeabsichtigt erhalten bleiben. Gleichzeitig stellen regelmässige Überprüfungen sicher, dass Zugriffe an aktuelle organisatorische und fachliche Anforderungen angepasst bleiben. Der Beitrag zeigt Schritt für Schritt die notwendigen Voraussetzungen für einstufige Zugriffsüberprüfungen, einschliesslich erforderlicher Benutzerrollen und Lizenzen und erläutert die Konfiguration im Microsoft Entra Admin Center. Voraussetzungen und Lizenzierung Lizenzen Die Funktion Microsoft Entra Access Reviews ist Bestandteil der folgenden Pläne: Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden. Rollen Für Microsoft Entra Access Reviews ist folgende Rolle nach dem Prinzip der geringsten Berechtigungen geeignet. Rolle Berechtigung Identity Governance-Administrator Erstellen, Konfigurieren und Verwalten von Zugriffsüberprüfungen Zugriffsüberprüfungen verwalten Zugriffsüberprüfungen erstellen Die Erstellung von Zugriffsüberprüfungen (Access Reviews) erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com) unter ID-Governance > Zugriffsüberprüfungen > Neue Zugriffsüberprüfung. Überprüfung des Zugriffs auf einen Ressourcentyp auswählen Im Abschnitt Wählen Sie aus, was zu überprüfen ist (1) wird Teams und Gruppen ausgewählt. Im Bereich Überprüfungsbereich (2) stehen zwei Optionen zur Verfügung:Alle Microsoft 365-Gruppen mit Gastbenutzern bezieht sich auf sämtliche Teams und Microsoft 365-Gruppen mit Gastzugriffen in der Organisation, ausgenommen dynamische Gruppen und Gruppen, denen Rollen zugewiesen werden können.Teams und Gruppen auswählen ermöglicht die gezielte Auswahl einzelner Teams oder Gruppen. In diesem Beispiel wird Teams und Gruppen auswählen verwendet. Unter Gruppe lassen sich alle Gruppen auswählen, die in die Zugriffsüberprüfung einbezogen werden sollen. Unter Bereich (1) wird festgelegt, welche Benutzergruppen in die Zugriffsüberprüfung einbezogen werden.Nur Gastbenutzer beschränkt die Überprüfung auf Microsoft Entra B2B-Gastbenutzer.Alle Benutzer erweitert die Überprüfung auf alle Benutzerobjekte. Optional kann die Zugriffsüberprüfung auf inaktive Benutzer (2) eingeschränkt werden. Nach der Aktivierung dieser Option lässt sich die Anzahl der Tage der Inaktivität festlegen. In diesem Beispiel kommt die Option Alle Benutzer ohne Filterung nach inaktiven Benutzern zum Einsatz. Weiter: Überprüfungen anklicken Im nächsten Schritt Prüfer auswählen wird festgelegt, wer die Zugriffsüberprüfung für die Gruppe durchführt. Folgende Prüfer stehen zur Auswahl: Bei Auswahl von Vorgesetzte von Benutzern oder Gruppenbesitzer kann zusätzlich ein Fallbackprüfer angegeben werden, der einspringt, wenn kein Vorgesetzter oder kein Gruppenbesitzer hinterlegt ist. Im Abschnitt Wiederholung der Überprüfung angeben wird festgelegt, wie lange und in welchem Zeitraum die Zugriffsüberprüfung durchgeführt wird. Dauer (in Tagen) definiert den Zeitraum, in dem Prüfer ihre Entscheidung abgeben können.Wiederholung der Überprüfung legt fest, in welchem Intervall die Zugriffsüberprüfung wiederholt wird. Zur Auswahl stehen Einmal, Wöchentlich, Monatlich, Vierteljährlich, Halbjährlich, Jährlich.Über das Startdatum wird der Beginn der Überprüfungsreihe festgelegt.Das Enddatum bestimmt, wann die Überprüfungsreihe endet. Zur Auswahl stehen Nie, An bestimmtem Datum beenden oder Nach Anzahl von Vorkommen beenden. Weiter: Einstellungen anklicken Unter Einstellungen nach Abschluss wird festgelegt, wie die Ergebnisse der Zugriffsüberprüfung verarbeitet werden. Mit Ergebnisse automatisch auf Ressource anwenden werden die Entscheidungen nach Abschluss der Überprüfung automatisch umgesetzt. Bei deaktivierter Option dokumentiert die Zugriffsüberprüfung die Ergebnisse lediglich und nimmt keine unmittelbaren Änderungen an der Ressource vor. In diesem Fall müssen erforderliche Änderungen manuell umgesetzt werden. Die Option Wenn Prüfer nicht reagieren legt fest, wie mit Zugriffen ohne Entscheidung umgegangen wird. Zur Auswahl stehen keine Änderung, Zugriff entfernen, Zugriff genehmigen oder Empfehlung annehmen. Die Empfehlung (Entscheidungshilfe) wird im nächsten Abschnitt definiert. Mit Bei Abschluss der Überprüfung Benachrichtigung senden an können Benutzer oder Gruppen definiert werden, die nach Abschluss der Überprüfung informiert werden. Unter Entscheidungshilfen für Prüfer aktivieren können zusätzliche Informationen eingeblendet werden, die Prüfer bei deren Entscheidung unterstützen. Mit Keine Anmeldung innerhalb von 30 Tagen wird angezeigt, ob sich ein Benutzer in den letzten 30 Tagen nicht angemeldet hat. Diese Information dient als Hinweis auf möglicherweise nicht mehr benötigte Zugriffe. Die Option Benutzer-zu-Gruppen-Zugehörigkeit zeigt dem Prüfer, in welchen weiteren Gruppen der Benutzer Mitglied ist. Dadurch lässt sich besser einschätzen, ob der Zugriff zur aktuellen Rolle oder Aufgabe des Benutzers passt. Unter Erweiterte Einstellungen werden zusätzliche Steuerungs- und Benachrichtigungsoptionen für die Zugriffsüberprüfung konfiguriert. Mit Begründung erforderlich wird festgelegt, dass Prüfer bei ihrer Entscheidung eine Begründung angeben müssen. Die Entscheidung kann ohne Angabe einer Begründung nicht abgeschlossen werden. Die Option E-Mail-Benachrichtigungen steuert, ob Prüfer per E-Mail über den Start und den Abschluss einer Zugriffsüberprüfung informiert werden. Über Erinnerungen werden automatische Erinnerungen an Prüfer gesendet, solange noch keine Entscheidung getroffen wurde. Im Feld Zusätzlicher Inhalt für E-Mail an Prüfer kann ein individueller Text hinterlegt werden, der den automatischen Benachrichtigungs-E-Mails hinzugefügt wird, beispielsweise mit Hinweisen zum Kontext der Überprüfung. Weiter: Überprüfen + erstellen auswählen Zum Abschluss ein Name der Überprüfung (1) eingeben und mit Erstellen (2) die Zugriffsüberprüfung speichern. Nach dem Speichern startet die Zugriffsüberprüfung zum festgelegten Datum. Zugriffsüberprüfungen einsehen und verwalten Das Microsoft Entra Admin Center zeigt Konfiguration, Status und Ergebnisse von Zugriffsüberprüfungen an. Microsoft Entra Admin Center (https://entra.microsoft.com) unter ID-Governance > Zugriffsüberprüfungen > Zugriffsüberprüfung auswählen. In der folgenden Übersicht können die Einstellungen der aktuell laufenden Zugriffsüberprüfung (1) angepasst sowie die Ergebnisse abgeschlossener und die Konfiguration zukünftiger Zugriffsüberprüfungen (2) eingesehen werden. Ebenso wird der Fortschritt einer aktiven Zugriffsüberprüfung unter Ergebnisse angezeigt. Nach Ablauf des definierten Zeitraums werden die getroffenen Entscheidungen gemäss der Konfiguration (automatisch oder manuell) umgesetzt. Alternativ kann die Zugriffsüberprüfung über Stop manuell abgeschlossen werden. Zugriffsüberprüfungen aus Prüfersicht Zu Beginn jeder Zugriffsüberprüfung erhalten die Prüfer eine E-Mail. Der Klick auf Start review öffnet die Prüfansicht. Nach dem ?-ffnen der Zugriffsüberprüfung wird eine Übersicht angezeigt, die alle Mitglieder der zu überprüfenden Gruppe enthält. Unter Empfehlung (1) schlägt Microsoft Entra Access Reviews eine geeignete Massnahme für das jeweilige Benutzerkonto vor. Über Details (2) können zusätzliche Informationen zum Benutzerkonto eingesehen werden. Ein oder mehrere Benutzer (1) anklicken und die Massnahme (2) auswählen.Als Massnahmen stehen Genehmigen, Ablehnen, Nicht sicher, Entscheidungen zurücksetzen und Empfehlungen übernehmen zur Auswahl. Begründung (1) eingeben und auf Senden (2) klicken. Die umzusetzende Massnahme wird in der Spalte Entscheidung angezeigt. Der Abschluss der Zugriffsüberprüfung wird dem Prüfer per E-Mail mitgeteilt. Fazit Microsoft Entra Access Reviews ermöglichen die regelmässige, nachvollziehbare Überprüfung von Benutzer- und Gastmitgliedschaften in Microsoft Entra-Gruppen und sind ein zentrales Element der Identity Governance. Wiederkehrende Reviews, definierte Prüfer, Entscheidungshilfen und Protokollierung schaffen einen kontrollierten Prozess zur Bereinigung von Gruppenmitgliedschaften. Die automatische Anwendung der Ergebnisse reduziert nicht mehr benötigte Mitgliedschaften und senkt das Risiko überprovisionierter Berechtigungen.
Der Beitrag Microsoft Entra Access Reviews: Governance für Benutzer- und Gastzugriffe erschien zuerst auf cloudkaffee.ch
|
|
10.01.2026 - 05:42:36
|
|
https://www.cloudkaffee.ch/microsoft-365/microsoft-entra-access-reviews-governan ...
|
|
|
|
|
|
|
Dank Soft Delete bleibt eine gelöschte Richtlinie im bedingten Microsoft Entra-Zugriff (Microsoft Conditional Access) bis zu 30 Tage verfügbar und lässt sich in diesem Zeitraum vollständig wiederherstellen. So lassen sich gelöschte Richtlinien ohne grossen Aufwand wiederherstellen, inklusive aller Bedingungen, Zuweisungen und Zugriffskontrollen. Verschiedene Auslöser wie versehentliches Entfernen, fehlerhafte Automatisierungen, Tenant-Optimierungen oder böswillige Änderungen führen dazu, dass Richtlinien gelöscht werden. Soft Delete stellt eine schnelle Wiederherstellung sicher und verhindert den dauerhaften Verlust wichtiger Zugriffsregeln sowie aufwendige Rekonstruktionsarbeiten. Diese neue Funktion, derzeit in Public Preview, ergänzt Microsoft Entra ID um eine Art Papierkorb-Mechanismus. Damit erweitert Microsoft das Wiederherstellungskonzept von Entra ID, das bereits zum Beispiel für Objekte wie Benutzer und Gruppen verfügbar ist. Dieser Blogpost zeigt Schritt für Schritt, welche Voraussetzungen für Soft Delete im bedingten Microsoft Entra-Zugriff erfüllt sein müssen und wie sich gelöschte Richtlinien sowohl im Microsoft Entra Admin Center als auch über PowerShell wiederherstellen lassen. Voraussetzungen und Lizenzierung Lizenzen Die Soft Delete-Funktion steht in allen Tenants mit bedingtem Microsoft Entra-Zugriff zur Verfügung. Bedingter Microsoft Entra-Zugriff ist Bestandteil von Microsoft Entra ID P1. Rollen Für das Anzeigen oder Wiederherstellen gelöschter Richtlinien ist folgende Rolle nach dem Prinzip der geringsten Berechtigungen geeignet. Rolle Berechtigung Administrator für den bedingten Zugriff Kann gelöschte Richtlinien anzeigen und wiederherstellen Gelöschte Richtlinien im Microsoft Entra Admin Center anzeigen und wiederherstellen Gelöschte Richtlinien anzeigen Mit der Einführung von Soft Delete im bedingten Microsoft Entra-Zugriff stehen gelöschte Richtlinien im Microsoft Entra Admin Center in einer eigenen Ansicht zur Verfügung. Die Übersicht listet alle Richtlinien auf, die sich innerhalb des Aufbewahrungszeitraums von 30 Tagen wiederherstellen lassen. Microsoft Entra Admin Center (https://entra.microsoft.com) > Entra ID > Bedingter Zugriff > Gelöschte Richtlinien Gelöschte Richtlinie wiederherstellen Für jede gelöschte Richtlinien bestehen zwei Optionen: Eine wiederhergestellte Richtlinie erscheint unmittelbar wieder im ursprünglichen Zustand. Es empfiehlt sich jedoch, sie zunächst im Modus Nur Bericht (1) wiederherzustellen, um die Konfiguration zu überprüfen und die Richtlinie erst danach manuell zu aktivieren.Wiederherstellen (2) anklicken. Die bedingte Microsoft Entra-Zugriffsrichtlinie steht nun unter Richtlinien zur weiteren Bearbeitung wieder bereit. Gelöschte Richtlinien über PowerShell und Microsoft Graph anzeigen und wiederherstellen PowerShell und die Microsoft Graph API ermöglichen die Verwaltung von Soft Delete im bedingten Microsoft Entra-Zugriff. Die folgenden Beispiele nutzen die aktuellen Beta-Endpunkte von Microsoft Graph, welche die Soft-Delete-Funktion im bedingten Zugriff bereitstellen. Gelöschte Richtlinien anzeigen Der folgende Aufruf listet alle gelöschten Richtlinien auf, die sich innerhalb des Wiederherstellungszeitraums von 30 Tagen befinden. Die Ausgabe enthält den Anzeigenamen (1), die Objekt-ID (2) und das Löschdatum (3) der Richtlinie. Gelöschte Richtlinie wiederherstellen Die Wiederherstellung setzt den ursprünglichen Zustand der Richtlinie wieder her. Im nachfolgenden PowerShell-Beispiel den Wert der Variable $policyId mit dem zuvor ausgelesenen Wert anpassen. Empfohlen ist, die Richtlinie in den Modus Nur Bericht (Report-Only) zu versetzen, um diese nach Wiederherstellung im Microsoft Entra Admin Center zu prüfen und manuell zu aktivieren. Der Modus Nur Bericht wird aktiviert, indem der state-Wert auf enabledForReportingButNotEnforced gesetzt wird. Fazit Die Einführung von Soft Delete im bedingten Microsoft Entra-Zugriff ist ein wesentlicher Beitrag zur Sicherheit und Stabilität. Löschungen von Richtlinien lassen sich nun ohne grossen Aufwand rückgängig machen. Soft Delete bietet damit eine wertvolle zusätzliche Sicherheitsebene und zeigt, wie Microsoft die Resilienz seiner Entra-Plattform kontinuierlich verbessert. Ein kleines, aber starkes Update.
Der Beitrag Soft Delete im bedingten Microsoft Entra-Zugriff: Gelöschte Richtlinien einfach wiederherstellen erschien zuerst auf cloudkaffee.ch
|
|
13.12.2025 - 06:00:00
|
|
https://www.cloudkaffee.ch/microsoft-365/soft-delete-microsoft-entra-conditional ...
|
|
|
|
|
|
|
Die Multi-Admin-Genehmigung (Multi Admin Approval, MAA) in Microsoft Intune ist ein Sicherheitsfeature, das kritische Änderungen nur nach Genehmigung durch eine zweite Person zulässt. Dieses Vier-Augen-Prinzip erhöht die Sicherheit erheblich, da zwei Personen administrative Aktionen gemeinsam ausführen müssen. Ursprünglich lag der Einsatzbereich von Multi-Admin-Genehmigung in Microsoft Intune vor allem bei Konfigurationsobjekten wie App-Bereitstellungen oder Skripten. Mit der aktuellen Erweiterung wertet Microsoft das Feature deutlich auf, indem jetzt auch Geräteaktionen in den Genehmigungsprozess einfliessen. Dazu zählen besonders sensible Aktionen wie das Zurücksetzen (Wipe), Ausserbetriebnahme (Retire) und Löschen (Delete) von Geräten, die direkte Auswirkungen auf verwaltete Endgeräte haben. Die Multi-Admin-Genehmigung in Microsoft Intune schützt aktiv vor Fehlkonfigurationen und verhindert gleichzeitig, dass Geräte versehentlich oder unautorisiert gelöscht oder zurückgesetzt werden. Für Unternehmen, die Microsoft Intune als zentrale Plattform für Gerätemanagement einsetzen, sorgt das Feature für ein höheres Mass an Governance und Sicherheit. Dieser Beitrag zeigt, wie Administratoren die Multi-Admin-Genehmigung (MAA) in Microsoft Intune für die Gerätezurücksetzung (Wipe) einrichten, welche Voraussetzungen sie beachten und wie sie die Einstellungen überprüfen, um kritische Geräteaktionen abzusichern. Die Anleitung lässt sich ausserdem leicht auf weitere Aktionen anwenden, beispielsweise auf die Gerätelöschung (Delete) oder die Ausserbetriebnahme eines Geräts (Retire), sodass auch diese Vorgänge abgesichert sind. Voraussetzungen und Lizenzierung Lizenzen Das Feature Multi-Admin-Genehmigung (Multi Admin Approval, MAA) in Microsoft Intune setzt die folgende Lizenz voraus: Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden. Rollen Für die Konfiguration Multi-Admin-Genehmigung (Multi Admin Approval, MAA) sind folgende Rollen nach dem Prinzip der geringsten Berechtigungen geeignet. Rolle Berechtigung Intune-Administrator Konfiguration der Zugriffsrichtlinien zur Multi-Admin-Genehmigung Gruppenadministrator Erstellt und verwaltet die Entra-Gruppen, welche die genehmigenden Personen enthalten Gruppen Die im nächsten Schritt erstellte Zugriffsrichtlinie verlangt eine Microsoft-Entra-Gruppe, welche die Benutzerkonten der genehmigenden Personen enthält. Konfiguration Multi-Admin-Genehmigung Die nachfolgenden Schritte konfigurieren die Multi-Admin-Genehmigung für die Aufgabe Gerät zurücksetzen (Wipe). Weitere Vorgänge wie Gerätelöschung (Delete) oder Ausserbetriebnahme eines Geräts (Retire) lassen sich nach dem gleichen Prinzip einrichten. Intune Rolle für genehmigende Personen erstellen und zuweisen Damit die Personen aus der zuvor erstellten Microsoft-Entra-Gruppe die Anfragen in Microsoft Intune einsehen und bearbeiten können, ohne zusätzliche Microsoft Entra-Rollen zu benötigen, wird eine eigene Microsoft Intune-Rolle angelegt und dieser Gruppe zugewiesen. Anmelden an Microsoft Intune Admin Center (https://intune.microsoft.com) und Mandantenverwaltung > Rollen > Erstellen > Intune-Rolle auswählen. Intune-Rolle benennen und auf Weiter klicken Berechtigungen wie folgt setzen: Kategorie Berechtigung Beschreibung Multi Admin Approval Read access policy Diese Berechtigung ist nur erforderlich, wenn kein Intune-Administrator oder Globaler Administrator die Zugriffsrichtlinien freigibt. Multi Admin Approval Approval for Multi Admin Approval Ermöglicht das Genehmigen oder Ablehnen von Anforderungen, die durch die Multi-Admin-Genehmigung geschützt sind. Remote tasks Wipe Erforderlich, damit genehmigende Personen Anfragen für Geräte-Zurücksetzungen einsehen und bearbeiten können. Ohne diese Berechtigung werden entsprechende Anfragen nicht angezeigt. Bereichstags bei Bedarf konfigurieren. Einstellungen prüfen und mit Erstellen die Intune-Rolle erstellen. Die soeben erstellte Intune-Rolle auswählen. Zuweisungen > Zuweisen auswählen Rollenzuweisung benennen Unter Administratorengruppen die vorgängig erstelle Microsoft Entra Gruppe mit den genehmigenden Personen auswählen. Bereichsgruppen festlegen, in diesem Beispiel werden die Bereichsgruppen auf Alle Benutzer und Alle Geräte festgelegt. Bereichstags auswählen, z.B. Default Rollenzuweisung prüfen und mit Erstellen abschliessen. Zugriffsrichtlinie konfigurieren Eine Zugriffsrichtlinie für die Multi-Admin-Genehmigung (Multi-Admin Approval, MAA) in Microsoft Intune definiert, welche Änderungen nur nach Bestätigung durch eine zweite Person wirksam werden. Bei jeder Änderung geben Administratoren eine Begründung an, die den genehmigenden Personen als Entscheidungsgrundlage dient. Erst nach Genehmigung und Abschluss wird die Änderung in Microsoft Intune übernommen, sodass diese Aktionen zuverlässig abgesichert sind. Anmelden an Microsoft Intune Admin Center (https://intune.microsoft.com) und Mandantenverwaltung > Genehmigung für mehrere Administratoren > Zugriffsrichtlinien > Erstellen auswählen. Zugriffsrichtlinie benennen (1) und Richtlinientyp Gerätezurücksetzung (2) auswählen. Microsoft Entra Gruppe auswählen, welche die genehmigenden Personen enthält. Begründung (1) für diese Zugriffsrichtlinie eingeben und mit Zur Genehmigung übermitteln (2) absenden. Nach dem Erstellen wartet die Zugriffsrichtlinie auf die Genehmigung einer Person aus der hinterlegten Microsoft Entra Gruppe. Zugriffsrichtlinie genehmigen Eine weitere Person aus der berechtigten Microsoft Entra Gruppe muss die neu erstellte Zugriffsrichtline prüfen und freigeben. Anmelden an Microsoft Intune Admin Center (https://intune.microsoft.com) und unter Mandantenverwaltung > Genehmigung für mehrere Administratoren > Alle Anfragen die Anforderung anklicken. Die Details der Anfrage werden angezeigt und diese können nun geprüft werden.Hinweis (1) eingeben und Anfrage genehmigen (2) oder ablehnen (3). Die Zugriffsrichtlinie ist nun genehmigt. Zugriffsrichtlinie abschliessen Nachdem die Zugriffsrichtlinie im Vier-Augen-Prinzip genehmigt wurde kann der Antragsteller die Anforderung abschliessen. Anmelden an Microsoft Intune Admin Center (https://intune.microsoft.com) und unter Mandantenverwaltung > Genehmigung für mehrere Administratoren > Meine Anforderungen die Anforderung öffnen. Anforderung mit Klick auf Anforderung abschliessen aktivieren. Nach der Freigabe erscheint die Anforderung als Abgeschlossen. Benutzererlebnis bei der Gerätezurücksetzung (Wipe) Ein Administrator, der mit aktivierter Multi-Admin-Genehmigung nun ein Gerät zurücksetzen will (Wipe), muss dafür eine Begründung (1) eingeben und den Genehmigungsprozess (2) starten. Den genehmigenden Personen werden die Anforderung nun unter Microsoft Intune Admin Center (https://intune.microsoft.com) Mandantenverwaltung > Genehmigung für mehrere Administratoren > Alle Anfragen angezeigt. Nach dem öffnen der entsprechenden Anforderung werden Details (1) dazu angezeigt. Nachdem ein Hinweis (2) eingeben wurde kann die Anfrage genehmigt (3) oder ablehnt (4) werden. Nachdem die Anforderung im Vier-Augen-Prinzip genehmigt wurde, kann der Antragsteller die Aufgabe unter Microsoft Intune Admin Center (https://intune.microsoft.com) > Mandantenverwaltung > Genehmigung für mehrere Administratoren > Meine Anforderungen öffnen und mit Anforderung abschliessen ausführen. Die Anforderung wird nun als Abgeschlossen angezeigt. Im Geräteaktionsstatus wird die ausstehende Aufgabe Zurücksetzen angezeigt. Fazit Die Einführung der Multi-Admin-Genehmigung für Geräteaktionen hebt das Sicherheitsniveau in Microsoft Intune deutlich an. Wenn Administratoren Vorgänge wie Wipe, Retire oder Delete auslösen, startet Intune einen strukturierten Prüf- und Freigabeprozess, bevor die Aktion wirksam wird. Dieser Ablauf trennt Antragstellung und Genehmigung sauber voneinander und reduziert Fehlbedienungen, Missbrauch sowie unbeabsichtigte Eingriffe. Die Kombination aus Intune-Rollen, Entra-Gruppen und klar definierten Zugriffsrichtlinien schafft ein konsistentes Governance-Modell, das die administrative Kontrolle im gesamten Tenant stärkt.
Der Beitrag Microsoft Intune Multi Admin Approval: Geräteaktionen wie Wipe, Retire und Delete absichern erschien zuerst auf cloudkaffee.ch
|
|
22.11.2025 - 06:20:00
|
|
https://www.cloudkaffee.ch/microsoft-365/multi-admin-genehmigung-intune-wipe-ret ...
|
|
|
|
|
|
|
|
|
