Benutzerdefinierte Zugriffsebenen mit Microsoft Intune-Daten erstellen und zuweisen

In diesem Dokument erfahren Sie, wie Sie gerätebasierte benutzerdefinierte Zugriffsebenen mit Intune-Daten erstellen und diese Zugriffsebenen Ihren Organisationsressourcen zuweisen.

Hinweise

BeyondCorp Enterprise-Integration in Microsoft Intune einrichten
Führen Sie ein Upgrade auf BeyondCorp Enterprise Premium aus, das kostenpflichtige Abo von BeyondCorp Enterprise. Wenn Sie ein Upgrade ausführen möchten, wenden Sie sich an unser Vertriebsteam.
Sie benötigen eine der folgenden Identity and Access Management-Rollen:
- Access Context Manager-Administrator (roles/accesscontextmanager.policyAdmin)
- Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor)
Informationen zu den Objekten und Attributen, die zum Erstellen von CEL-Ausdrücken (Common Expression Language) für benutzerdefinierte Zugriffsebenen verwendet werden. Weitere Informationen finden Sie unter Spezifikation für benutzerdefinierte Zugriffsebenen.

Benutzerdefinierte Zugriffsebenen erstellen

Sie können Zugriffsebenen mit einer oder mehreren Bedingungen erstellen. Wenn die Geräte der Nutzer mehrere Bedingungen erfüllen sollen (ein logisches UND von Bedingungen), erstellen Sie eine Zugriffsebene, die alle erforderlichen Bedingungen enthält.

So erstellen Sie eine neue benutzerdefinierte Zugriffsebene mit den von Intune bereitgestellten Daten:

Rufen Sie in der Google Cloud Console die Seite Access Context Manager auf.
Zu Access Context Manager
Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
Klicken Sie auf der Seite Access Context Manager auf Neu.
Geben Sie im Bereich Neue Zugriffsebene Folgendes ein:
1. Geben Sie in das Feld Titel der Zugriffsebene einen Titel ein für Zugriffsebene ein. Der Titel darf maximal 50 Zeichen lang sein und muss mit einem Buchstaben beginnen. Er darf nur Zahlen, Buchstaben, Unterstriche und Leerzeichen enthalten.
2. Wählen Sie im Abschnitt Bedingungen erstellen in die Option Erweiterter Modus aus.
3. Geben Sie im Abschnitt Bedingungen die Ausdrücke für Ihre benutzerdefinierte Zugriffsebene ein. Die Bedingung muss in einen einzelnen booleschen Wert aufgelöst werden.
  Die verfügbaren Intune-Felder für Ihren CEL-Ausdruck finden Sie in den Intune-Daten, die für Ihre Geräte erfasst wurden.
  Beispiele
  Der folgende CEL-Ausdruck erstellt eine Regel, die den Zugriff nur von konformen Intune-verwalteten Geräten zulässt:
```
device.vendors["Intune"].is_managed_device == true && device.vendors["Intune"].data["complianceState"] == "compliant"
```
  Mit dem folgenden CEL-Ausdruck wird eine Regel erstellt, die den Zugriff nur von Geräten zulässt, die in den letzten drei Tagen mit Intune synchronisiert wurden. Das Feld lastSyncDateTime wird von Intune bereitgestellt.
```
request.time - timestamp(device.vendors["Intune"].data["lastSyncDateTime"]) < duration("72h")
      
```
  Hinweis:Es kann bis zu 60 Minuten dauern, bis BeyondCorp Enterprise Aktualisierungen aus Intune abgerufen hat. Intune wird nur ein paar Mal am Tag synchronisiert, wenn das Gerät aktiv ist. Wir empfehlen daher, diesen Zeitplan bei der Planung der Aktualitätsdauer zu berücksichtigen.
  
  Beispiele und weitere Informationen zur Unterstützung von Common Expression Language (CEL) und benutzerdefinierten Zugriffsebenen finden Sie in der Spezifikation für benutzerdefinierte Zugriffsebenen.
4. Klicken Sie auf Speichern.

Benutzerdefinierte Zugriffsebenen zuweisen

Sie können benutzerdefinierte Zugriffsebenen zuweisen, um den Zugriff auf Anwendungen zu steuern. Dazu gehören Google Workspace-Anwendungen und Anwendungen, die durch Identity-Aware Proxy in Google Cloud geschützt sind (auch als IAP-gesicherte Ressource bezeichnet). Sie können den Anwendungen eine oder mehrere Zugriffsebenen zuweisen. Wenn Sie mehrere Zugriffsebenen auswählen, müssen die Geräte der Nutzer nur die Bedingungen in einer der Zugriffsebenen erfüllen, um Zugriff auf die Anwendung zu erhalten.

Benutzerdefinierte Zugriffsebenen für Google Workspace-Anwendungen zuweisen

Weisen Sie Zugriffsebenen für Google Workspace-Anwendungen über die Google Workspace-Admin-Konsole zu:

Klicken Sie auf der Startseite der Admin-Konsole auf Sicherheit > Kontextsensitiver Zugriff.
Zu „Kontextsensitiver Zugriff“
Klicken Sie auf Zugriffsebenen zuweisen.

Eine Liste mit Apps wird angezeigt.
Wählen Sie im Abschnitt Organisationseinheiten Ihre Organisationseinheit oder Gruppe aus.
Wählen Sie die Anwendung aus, der Sie eine Zugriffsebene zuweisen möchten, und klicken Sie auf Zuweisen.

Eine Liste mit allen Zugriffsebenen wird angezeigt. Zugriffsebenen werden übergreifend für Google Workspace, Cloud Identity und Google Cloud genutzt. Daher sehen Sie in der Liste möglicherweise auch Zugriffsebenen, die Sie nicht erstellt haben.
Wählen Sie mindestens eine Zugriffsebene für die App aus.
Wählen Sie Auf Desktop- und mobile Apps von Google anwenden aus, um die Zugriffsebenen auf Nutzer in Desktop- und mobilen Apps (und im Browser) anzuwenden. Dieses Kästchen gilt nur für integrierte Anwendungen.
Klicken Sie auf Speichern. Der Name der Zugriffsebene wird in der Liste der zugewiesenen Zugriffsebenen neben der Anwendung angezeigt.

Benutzerdefinierte Zugriffsebenen für mit IAP gesicherte Ressourcen zuweisen

Folgen Sie der Anleitung unter Zugriffsebene für mit IAP gesicherte Ressourcen anwenden, um über die Google Cloud Console Zugriffsebenen für mit IAP gesicherte Ressourcen zuzuweisen.

Nächste Schritte

Gerätebestand beobachten