Aktion erforderlich: Aktualisieren Sie die Richtlinien für den bedingten Zugriff für den Launch von iPadOS
Apple hat vor kurzem angekündigt, dass iPadOS (neues Betriebssystem für iPad) am 30. September 2019 veröffentlicht wird. Microsoft hat festgestellt, dass in dieser Version eine Änderung für Microsoft Azure AD- und Intune-Kunden eingeführt wird, die im Unternehmen Regeln für den bedingten Zugriff verwenden. Dieser Hinweis soll Ihnen helfen, die wichtigsten Änderungen von Apple zu verstehen, die Auswirkungen auf Ihr Unternehmen einzuschätzen und enthält Empfehlungen von Microsoft.
Achtung! Diese Regeln für den bedingten Zugriff häufig auf Betriebssystem- oder app-spezifischer Basis angewendet werden, kann sich diese Änderung auf Ihre Sicherheit und Kompatibilität aller iPad-Geräte auswirken, die auf iPadOS aktualisiert werden.
Apps, die von der Umstellung betroffen sein könnten
Diese Änderung betrifft Apps, die bedingten Zugriff verwenden und als macOS-Apps anstelle von iOS-Apps identifiziert werden. Bei der Überprüfung der Regeln für den bedingten Zugriff müssen Sie beachten, ob Sie lieber mit macOS und iOS-Apps arbeiten möchten. Hinzu müssen Sie die Regeln für den bedingten Zugriff in Azure AD überprüfen, die die betroffenen Anwendungskategorien verwenden.
Die Änderung wirkt sich in den folgenden Szenarien auf die Durchsetzung Ihrer Regeln für den bedingten Zugriff auf dem iPad aus, auf dem iPadOS ausgeführt wird:
- Zugriff auf Webanwendungen mit dem Safari-Browser
- Apple Native Mail-Zugriff
- Nativer Anwendungszugriff mit Safari View Controller
In diesen Fällen behandelt Azure AD jede Zugriffsanforderung als eine MacOS-Zugriffsanforderung.
Wichtig: Es ist sehr wichtig, dass Ihr Unternehmen über eine Richtlinie für den bedingten Zugriff für macOS verfügt. Wenn Sie dies nicht haben, kann es dazukommen, dass es einen freien Zugang auf die Ressourcen Ihres Unternehmens gibt.
Es gibt keine Auswirkungen auf folgende Zugriffsszenarien:
- Zugriff auf alle nativen Microsoft-Anwendungen (z.B. Outlook, Word, Edge, Excel, …)
- Zugriff auf Webanwendungen mit einem anderen Browser als Safari (z.B. Chrome, Firefox)
- Apps, die das Intune App SDK / App-Wrapping-Tool für Authentifizierungsbibliotheken von iOS / Microsoft Identity Platform v2.0 oder v1.0 verwenden
Empfehlung von Microsoft:
- Überprüfen Sie, ob Sie über browserbasierte Azure AD CA-Richtlinien für iOS verfügen, die den Zugriff von iPad-Geräten aus regeln. Wenn ja, gehen Sie folgendermaßen vor:
- Erstellen Sie eine entsprechende Zugriffsrichtlinie für den MacOS Azure AD-Browser. Es wird empfohlen, die Richtlinie „Ein kompatibles Gerät erforderlich“ zu verwenden. Diese Richtlinie registriert Ihre iPad- und Mac-Geräte bei Microsoft Intune (oder JAMF Pro, wenn Sie dies als Ihr MacOS-Verwaltungstool ausgewählt haben) und stellt sicher, dass Browser-Apps nur von kompatiblen Geräten aus Zugriff haben (sicherste Option). Sie müssen außerdem eine Richtlinie zur Einhaltung der Intune-Richtlinien für Geräte für macOS erstellen.
- Für den Fall, dass Sie für den Browserzugriff kein „kompatibles Gerät“ für MacOS und iPadOS benötigen, stellen Sie sicher, dass Sie für diesen Zugriff „MFA“ benötigen.
- Bestimmen Sie, ob eine auf Nutzungsbedingungen (Zustimmung pro Gerät) basierende Azure AD-Richtlinie für den bedingten Zugriff für iOS konfiguriert ist. Wenn ja, erstellen Sie eine entsprechende Richtlinie für macOS.
Wenn Sie Unterstützung bei Ihrer Überprüfung benötigen, kontaktieren Sie uns! Wir helfen Ihnen gerne weiter.
Dieser Blogeintrag beruht in Teilen auf einem Blogartikel von Microsoft: https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Microsoft-Intune-Support-for-iOS-13-and-iPadOS/ba-p/861998
