Konfigurieren des bedingten Zugriffs mit Entra ID
Entra ID
Stellen Sie sicher, dass Sie die Voraussetzungen für den bedingten Entra ID-Zugriff erfüllen.
- Klicken Sie in der Menüleiste derUEM-Verwaltungskonsole aufEinstellungen > Externe Integration > Bedingter Zugriff auf Entra ID.
- Klicken Sie auf
. - Geben Sie einen Namen für die Konfiguration ein.
- Klicken Sie in der Dropdown-ListeEntra Cloudauf die OptionGLOBAL.
- Geben Sie im FeldEntra-Mandanten-IDden Mandantennamen Ihres Unternehmens im FQDN-Format oder eine eindeutige Mandanten-ID im GUID-Format ein.
- Klicken Sie unterÜberschreiben der GerätezuordnungaufUPNoderE-Mail.Wenn Sie UPN wählen, überprüfen Sie, ob derEntra ID-Mandant und alle zugeordneten Verzeichnisse denselben UPN-Wert für Benutzer verwenden, bevor Sie die Verbindung speichern. Nachdem Sie die Verbindung gespeichert haben, können Sie die Überschreibung der Gerätezuordnung nicht mehr ändern.
- Wählen Sie in der ListeVerfügbare Unternehmensverzeichnissedie entsprechenden Unternehmensverzeichnisse aus, und fügen Sie sie hinzu.
- Klicken Sie aufSpeichern.
- Wählen Sie das Administratorkonto aus, mit dem Sie sich beimEntra-Mandanten Ihres Unternehmens anmelden möchten.
- Akzeptieren Sie dieMicrosoft-Berechtigungsanforderung.
- Klicken Sie in der Menüleiste aufRichtlinien und Profile > Richtlinie > BlackBerry Dynamics. Führen Sie für jedes BlackBerry Dynamics-Profil, das Sie Gerätebenutzern zuweisen möchten (z. B. das Standardprofil und alle benutzerdefinierten Profile), die folgenden Schritte aus.
- Öffnen und bearbeiten Sie das Profil.
- Wählen SieAnmeldung des UEM Client bei BlackBerry Dynamics aktivieren.
- Wenn Sie den Registrierungsprozess für den bedingten Zugriff verzögern möchten, bis dieMicrosoft Authenticator-App auf Geräten installiert ist, wählen SieStart der Registrierung für bedingten Zugriff, nachdem der Authentifizierungs-Broker installiert wurde.
- Klicken Sie aufSpeichern.
- Weisen Sie das Profil ggf. Benutzern und Gruppen zu.
- Klicken Sie in der Menüleiste aufRichtlinien und Profile > Netzwerke und Verbindungen > BlackBerry Dynamics-Konnektivität. Führen Sie für jedes BlackBerry Dynamics-Konnektivitätsprofil, das Sie Gerätebenutzern zuweisen möchten (z. B. das Standardprofil und alle benutzerdefinierten Profile), die folgenden Schritte aus.
- Öffnen und bearbeiten Sie das Profil.
- Klicken Sie im AbschnittApp-ServeraufHinzufügen.
- Suchen und wählen SieFunktion – Azure Conditional Accessaus.
- Klicken Sie aufSpeichern.
- Klicken Sie in der TabelleAzure Conditional Accessauf.
- Geben Sie in das FeldServergdas-ein.<UEM_SRP_ID>.<region_code>.bbsecure.com
- Geben Sie in das FeldPort443 ein.
- Klicken Sie unterRoutingtypaufDirekt.
- Klicken Sie aufSpeichern.
- Weisen Sie das Profil ggf. Benutzern und Gruppen zu.
- Weisen Sie die AppFeature – Azure Conditional AccessBenutzern oder Gruppen zu. Weitere Informationen finden Sie unter Benutzerkonten verwalten und Benutzergruppe verwalten.
- Erstellen und konfigurieren Sie ein Konformitätsprofil und weisen Sie das Profil bei Bedarf Benutzern und Gruppen zu. Die folgende Tabelle zeigt, wieUEM-Konformitätsaktionen anIntunegemeldet werden:Erzwingungsaktion vonUEMfür KonformitätVerhaltenErzwingungsaktion: Überwachen und protokollierenEs wird nichts anIntunegemeldet.Erzwingungsaktion:
- Nicht vertrauen
- Nur geschäftliche Daten löschen
- Alle Daten löschen
UEMbenachrichtigtEntra ID, wenn alle Benutzeraufforderungen abgelaufen sind.Erzwingungsaktion fürBlackBerry Dynamics-Apps: Überwachen und protokollierenEs wird nichts anIntunegemeldet.Erzwingungsaktion fürBlackBerry Dynamics:- Ausführen vonBlackBerry Dynamics-Apps nicht zulassen
- BlackBerry Dynamics-Appdaten löschen
UEMbenachrichtigt,Entra ID, sobald der Konformitätsverstoß erkannt wird. - Installieren Sie sowohl dieUEM Client- als auch dieMicrosoft Authenticator-App auf den Geräten der Benutzer. Sie können dieMicrosoft Authenticator-App mitUEMzuweisen und bereitstellen (siehe Hinzufügen öffentlicher Apps zur App-Liste), oder Sie können Benutzer anweisen, sie selbst herunterzuladen.
- Je nach E-Mail-Client, den Ihr Unternehmen verwenden möchte, müssen Sie zusätzliche Schritte durchführen, um sicherzustellen, dass der E-Mail-Client mitEntravalidieren und kommunizieren kann:
- FürBlackBerry Work, siehe Konfigurieren der BlackBerry Work-App-Konfiguration für den bedingten Entra ID-Zugriff imBlackBerry Work-Administrationshandbuch.
- Informationen zum nativen E-Mail-Client voniOSfinden Sie in KB 94163.
- Wenn ein Benutzer sein Gerät aktiviert, fordert ihn derUEM Clientauf, sich mit bedingtem Zugriff mitEntrazu registrieren. Benutzer mit aktivierten Geräten werden beim nächsten Öffnen desUEM Clientaufgefordert, sich für den bedingten Zugriff mitEntrazu registrieren.Weisen Sie die Benutzer an, die Registrierung mitEntrazu initiieren, indem sie denUEM Clientverwenden, ohne dass Anmeldeoptionen innerhalb vonMicrosoft Authenticatorverwendet werden. Die Registrierungsaufforderung desUEM ClientöffnetMicrosoft Authenticator, um den Benutzer zur Eingabe der Anmeldeinformationen und zum Abschluss des Registrierungsprozesses aufzufordern.
- Nachdem ein Benutzer ein Gerät mitUEMaktiviert hat, können Sie die Geräteeigenschaften des Benutzers inMicrosoftEndpoint Manager überprüfen, um zu bestätigen, dass es wie erwartet beiEntraregistriert wurde. Der Name des Geräts hat folgendes Format:<username>-<platform>Unbekannt Unbekannt -<xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx>.
- Wenn Sie den Umfang von Benutzern oder Gruppen in derEntra-Partnerkonformitäts-Konfiguration ändern, navigieren Sie imEntra-Portal zu den Sicherheitsberechtigungen fürBlackBerry UEMConditional Access und erteilen Sie erneut die Zustimmung des Administrators fürBlackBerry.
- Wenn Sie ein Gerät vonUEMentfernen, bleibt das Gerät für den bedingten Zugriff mitEntra IDregistriert. Benutzer können ihrEntra ID-Konto aus den Kontoeinstellungen in derMicrosoft Authenticator-App entfernen, oder Sie können das Gerät aus demEntra-Portal entfernen.