Conditional Access

Version 1.1 by Dimitri Rupp on 2026/06/11 11:09
Warning
For security reasons, the document is displayed in restricted mode as it is not the current version. There may be differences and errors due to this.

Übersicht der Rules (Stand 02/2024)

Compliance Policies der Geräte:

__fileCreatedFromDataURI__.png

Conditional Access Regeln:

Die Rules sind so aufgebaut das die stärksten Regel von oben nach unten Sortiert sind, wobei die Admin Regeln die ersten Regeln sind.
CA001-CA009 sollen als Adminregeln genutzt werden, danach folgen die allgemeinen Regeln.

CA001 - BLOCK_Admin_Extern

Diese Regel sperrt den Zugriff auf die M365 Managment Console für alle Admin Rollen. Nur mit MFA kann man diese überwinden. Wird jeden Tag neu angefordert bzw. bei jeder neuen Aktiven Session. Dabei ist der Zugriff nur aus Österreich, sowie Wolkersdorf oder VPN möglich.

CA002 - ALLOW_MFA_Admin

Diese Regel ist quasi das Erlauben Pendant zur vorherigen Block Regel. Sprich lediglich den Administratoren wird nach MFA Authentifizierung aus den enrsprechenden Locations der Zugriff zur M365 Console erlaubt.

CA003 - ALLOW_MFA_Admin_Portals

Diese Regel ist vergleichbar mir der vorherigen. Sie erlaubt den Administratoren aus den Trusted Locations den Zugriff zu den Management Portalen sofern eine erfolgreiche MFA Authentifizierung durchlaufen wurde. Auch hier ist eine Anmeldung mindestens nach einem Tag erneut erforderlich. 

CA010 - MFA_Default_8-Days_all 

Diese Regel soll die zukünftige Default Regel für MFA werden. Aktuell steht die Regel noch auf Reporting da erst jene User Ausgeschloßen werden müssen (wie Service User) die kein MFA machen können aber sonst aktive Services beeinflussen. Hier ist erst das Azure Abo incl. Log Analytics notwendig um die User aus zu werten.

CA012 - MFA_VPN

Diese Regel zieht auf den Forticlient und setzt vorraus das eine VPN Verbindung nur nach erfolgreicher MFA Authentifizierung aufgebaut werden kann

CA013 - MFA_Intern 

Diese Regel befreit die User welche in Wolkersdorf oder durchgängig im VPN arbeiten von der mehrmaligen Authentifizierung. Jedoch ist weiterhin aktiv das mindesten nach 8 Tagen eine erneute Authentifizierung angefordert wird.

CA014 - MFA_Guest 

Diese Regel erfordert MFA für alle Gast User, die nicht zur SPL Domain gehören. Kann gelöscht werden sobald die Default Regel für alle Benutzer gilt.

CA015 - MFA_PowerBI_Bukkerji 

Diese Regel nimmt die Power BI Applikation von der MFA Authentifizierung aus. Sollten User viele Power BI Workflows machen kann es sein das hier alle paar Minuten MFA aufscheint. Bei Personen welcher in der Regel betreffenden Gruppe sind, werden davon ausgenommen.

CA016 - Block_Countries 

In dieser Regel wird der generelle Zugriff aus diesen in den Named Locations als "Blocked Countries" aufgelisteten Ländern gesperrt. Jeglicher Zugang!

CA017 - ALLOW_CollabTools_hybridDevice

In der Regel werden alle Geräte die keinen Hybrid Join zur SPL Domäne haben ausgesperrt von den Office Applikationen und Diensten (Webaccess ist nicht betroffen)

CA018 - BLOCK_Office_UnmanagedSmartPhone

Mit dieser Regel werden alle Smartphone welche nicht mit Intune der SPL Domäne beigetreten von den Office Applikationen und Diensten ausgesperrt (Webacces ist nicht betroffen).

CA098 - MFA_Basic_User (Zu deaktivieren, wenn auf Default umgestellt)

In dieser Regel bekommen alle Benutzer mit Basic Lizenz (da hier EMS Lizenz fehlt, bzw. Premium das EMS beinhaltet) die Aufforderung zur MFA Authentifizierung. Auch dies muss spätenstens nach 8 Tagen erneuert werden. Regel kann entfernt werden wenn Default aktiv ist. 

CA099 - MFA_Extern (Zu deaktivieren, wenn auf Default umgestellt)

Diese Regel erfordert MFA für alle externen User, die nicht zur SPL Domain gehören. Kann gelöscht werden sobald die Default Regel für alle Benutzer gilt.


Verwandte Themen

Kuratiert — kann direkt im Editor ergänzt werden://

Failed to execute the [velocity] macro. Cause: [The execution of the [velocity] script macro is not allowed in [xwiki:IT-Wiki.Makros.Verwandte-Themen.WebHome]. Check the rights of its last author or the parameters if it's rendered from another script.]. Click on this message for details.


Status: Migriert — Team-Review ausstehend · Owner: (festlegen) · Letzter Review: 2026-06-11