Wiki source code of Conditional Access

Version 2.1 by Dimitri Rupp on 2026/06/11 11:09

Show last authors
1 Übersicht der Rules (Stand 02/2024)
2
3 Compliance Policies der Geräte:
4
5 [[image:__fileCreatedFromDataURI__.png]]
6
7 Conditional Access Regeln:
8
9
10 Die Rules sind so aufgebaut das die stärksten Regel von oben nach unten Sortiert sind, wobei die Admin Regeln die ersten Regeln sind.
11 CA001-CA009 sollen als Adminregeln genutzt werden, danach folgen die allgemeinen Regeln.
12
13
14 **CA001 - BLOCK_Admin_Extern**
15
16 Diese Regel sperrt den Zugriff auf die M365 Managment Console für alle Admin Rollen. Nur mit MFA kann man diese überwinden. Wird jeden Tag neu angefordert bzw. bei jeder neuen Aktiven Session. Dabei ist der Zugriff nur aus Österreich, sowie Wolkersdorf oder VPN möglich.
17
18
19 **CA002 - ALLOW_MFA_Admin**
20
21 Diese Regel ist quasi das Erlauben Pendant zur vorherigen Block Regel. Sprich lediglich den Administratoren wird nach MFA Authentifizierung aus den enrsprechenden Locations der Zugriff zur M365 Console erlaubt.
22
23
24 **CA003 - ALLOW_MFA_Admin_Portals**
25
26 Diese Regel ist vergleichbar mir der vorherigen. Sie erlaubt den Administratoren aus den Trusted Locations den Zugriff zu den Management Portalen sofern eine erfolgreiche MFA Authentifizierung durchlaufen wurde. Auch hier ist eine Anmeldung mindestens nach einem Tag erneut erforderlich.
27
28
29 **CA010 - MFA_Default_8-Days_all **
30
31 Diese Regel soll die zukünftige Default Regel für MFA werden. Aktuell steht die Regel noch auf Reporting da erst jene User Ausgeschloßen werden müssen (wie Service User) die kein MFA machen können aber sonst aktive Services beeinflussen. Hier ist erst das Azure Abo incl. Log Analytics notwendig um die User aus zu werten.
32
33
34 **CA012 - MFA_VPN**
35
36 Diese Regel zieht auf den Forticlient und setzt vorraus das eine VPN Verbindung nur nach erfolgreicher MFA Authentifizierung aufgebaut werden kann
37
38
39 **CA013 - MFA_Intern **
40
41 Diese Regel befreit die User welche in Wolkersdorf oder durchgängig im VPN arbeiten von der mehrmaligen Authentifizierung. Jedoch ist weiterhin aktiv das mindesten nach 8 Tagen eine erneute Authentifizierung angefordert wird.
42
43
44 **CA014 - MFA_Guest **
45
46 Diese Regel erfordert MFA für alle Gast User, die nicht zur SPL Domain gehören. Kann gelöscht werden sobald die Default Regel für alle Benutzer gilt.
47
48
49 **CA015 - MFA_PowerBI_Bukkerji **
50
51 Diese Regel nimmt die Power BI Applikation von der MFA Authentifizierung aus. Sollten User viele Power BI Workflows machen kann es sein das hier alle paar Minuten MFA aufscheint. Bei Personen welcher in der Regel betreffenden Gruppe sind, werden davon ausgenommen.
52
53
54 **CA016 - Block_Countries **
55
56 In dieser Regel wird der generelle Zugriff aus diesen in den Named Locations als "Blocked Countries" aufgelisteten Ländern gesperrt. Jeglicher Zugang!
57
58
59 **CA017 - ALLOW_CollabTools_hybridDevice**
60
61 In der Regel werden alle Geräte die keinen Hybrid Join zur SPL Domäne haben ausgesperrt von den Office Applikationen und Diensten (Webaccess ist nicht betroffen)
62
63
64 **CA018 - BLOCK_Office_UnmanagedSmartPhone**
65
66 Mit dieser Regel werden alle Smartphone welche nicht mit Intune der SPL Domäne beigetreten von den Office Applikationen und Diensten ausgesperrt (Webacces ist nicht betroffen).
67
68
69 **CA098 - MFA_Basic_User (Zu deaktivieren, wenn auf Default umgestellt)**
70
71 In dieser Regel bekommen alle Benutzer mit Basic Lizenz (da hier EMS Lizenz fehlt, bzw. Premium das EMS beinhaltet) die Aufforderung zur MFA Authentifizierung. Auch dies muss spätenstens nach 8 Tagen erneuert werden. Regel kann entfernt werden wenn Default aktiv ist.
72
73
74 **CA099 - MFA_Extern (Zu deaktivieren, wenn auf Default umgestellt)**
75
76 Diese Regel erfordert MFA für alle externen User, die nicht zur SPL Domain gehören. Kann gelöscht werden sobald die Default Regel für alle Benutzer gilt.
77
78 ----
79
80 == Verwandte Themen ==
81
82 //Kuratiert — kann direkt im Editor ergänzt werden://
83
84 * [[Abwesenheitsnotiz setzen (Admin Console)>>doc:IT-Wiki.02-Tools.Microsoft-365.Admin.Abwesenheitsnotiz-setzen-(Admin-Console).WebHome]]
85 * [[Antiphishing Ausnahmen definieren>>doc:IT-Wiki.02-Tools.Microsoft-365.Admin.Antiphishing-Ausnahmen-definieren.WebHome]]
86 * [[Basic-authentifzierung aktivieren>>doc:IT-Wiki.02-Tools.Microsoft-365.Admin.Basic-authentifzierung-aktivieren.WebHome]]
87
88 {{include reference="IT-Wiki.Makros.Verwandte-Themen.WebHome"/}}
89
90 ----
91 **Status:** Migriert — Team-Review ausstehend · **Owner:** //(festlegen)// · **Letzter Review:** 2026-06-11