BeyondCorp Enterprise-Integration mit Microsoft Intune einrichten

In diesem Dokument erfahren Sie, wie Sie die BeyondCorp Enterprise-Integration in Microsoft Intune einrichten. Zum Einrichten dieser Einbindung müssen Sie Intune und die Endpunktprüfung sowie die Azure-Workload-Identität einrichten und Microsoft Intune in Ihren Organisationseinheiten aktivieren.

Hinweise

• So richten Sie Intune für BeyondCorp Enterprise ein:

  • Machen Sie sich mit den unterstützten Konfigurationen vertraut und prüfen Sie, ob Ihre Umgebung die Netzwerkanforderungen erfüllt.
  • Melden Sie sich in Ihrem Probeabo an oder erstellen Sie ein neues Intune-Abo.
  • DNS-Registrierung einrichten, um den Domainnamen Ihres Unternehmens mit Intune zu verbinden
  • Fügen Sie Nutzer und Gruppen hinzu oder verbinden Sie Active Directory, um mit Intune zu synchronisieren.
  • Erteilen Sie Nutzern durch Zuweisen von Lizenzen die Berechtigung zur Verwendung von Intune.

  Weitere Informationen finden Sie unter Intune einrichten.

• Achten Sie darauf, dass die Geräte in Ihrer Organisation eines der folgenden Betriebssysteme ausführen:

  • macOS-Version 10.11 oder höher
  • Microsoft® Windows 10 oder höher
• Endpunktprüfung für Ihre Organisation einrichten

Mit Intune verbinden

1. Suchen Sie Ihre Microsoft 365-Mandanten-ID.
2. Registrieren Sie Ihre Anwendung, um eine Anwendungs-ID zu erhalten.

3. Gehen Sie auf der Startseite der Admin-Konsole zu Geräte.

   Zu „Geräte“
4. Klicken Sie im Navigationsmenü auf Mobilgeräte und Endpunkte > Einstellungen > Integrationen von Drittanbietern > Partner für Sicherheit und Mobilgeräteverwaltung > Verwalten.
5. Suchen Sie nach Microsoft Intune und klicken Sie auf Open connection (Verbindung öffnen).

6. Geben Sie im Dialogfeld Mit Intune verbinden die Mandanten-ID in das Feld Mandanten-ID für das Azure-Verzeichnis und die Anwendungs-ID in das Feld Azure-Anwendungs-ID ein.

   
7. Je nachdem, ob Sie nur unternehmenseigene Geräte oder alle Geräte importieren möchten, führen Sie die entsprechenden Schritte aus:
   • Wenn Sie nur unternehmenseigene Geräte importieren möchten, klicken Sie auf die Ein-/Aus-Schaltfläche Nur unternehmenseigene Geräte importieren. Wählen Sie im Abschnitt Zu importierende Geräteeigenschaften die Eigenschaften aus, die in BeyondCorp Enterprise gespeichert werden sollen.

   • Wenn Sie alle Geräte importieren möchten, wählen Sie im Abschnitt Zu importierende Geräteeigenschaften die Eigenschaften aus, die in BeyondCorp Enterprise gespeichert werden sollen.

     

   Die obligatorischen Geräteeigenschaften wie device identifier, last sync time, serial number und wifi MAC address werden standardmäßig erfasst.

   Weitere Informationen zu den von Intune erfassten Geräteeigenschaften finden Sie unter Intune-Geräteeigenschaften.

8. Klicken Sie auf Weiter.
9. Kopieren Sie die Dienstkonto-ID.
   
10. Verwenden Sie die Dienstkonto-ID, um die Azure-Workload-Identität zu autorisieren, Daten von den Intune-Geräten zu erfassen:
    1. App so konfigurieren, dass sie einem externen Identitätsanbieter vertraut

       Geben Sie die folgenden Werte in die entsprechenden Felder an:

       • Name: Ein beliebiger Name für die föderierten Anmeldedaten.
       • Betreff-ID: Die Dienstkonto-ID, die Sie kopiert haben.
       • Aussteller: https://accounts.google.com.
    2. Gewähren Sie der App Berechtigungen:
       1. Suchen Sie nach den Berechtigungen DeviceManagementManagedDevices.Read.All und DeviceManagementApps.Read.All und fügen Sie diese Berechtigungen zu Microsoft Graph hinzu. Wenn Sie die API-Berechtigungen anfordern, wählen Sie Anwendungsberechtigungen aus.

          DeviceManagementManagedDevices.Read.All bietet Lesezugriff auf alle von Intune verwalteten Geräte und deren Eigenschaften. DeviceManagementApps.Read.All bietet Lesezugriff auf die Intune-Audit-Logs für Gerätelöschungsereignisse.

       2. Gewähren Sie dem Administrator die Einwilligung für die für Ihre Anwendung konfigurierten Berechtigungen.
11. Klicken Sie im Dialogfeld Connect to Intune (Mit Intune verbinden) auf Connect (Verbinden).

Die Verbindung zu Intune ist auf „Offen“ eingestellt.

Intune für Ihre Organisationseinheit aktivieren

Wenn Sie Geräteinformationen mit Intune erfassen möchten, aktivieren Sie Intune für Ihre Organisationseinheit. Gehen Sie dazu so vor:

1. Gehen Sie auf der Startseite der Admin-Konsole zu Geräte.

   Zu „Geräte“
2. Klicken Sie im Navigationsmenü auf Mobilgeräte und Endpunkte > Einstellungen > Integrationen von Drittanbietern > Partner für Sicherheit und Mobilgeräteverwaltung.
3. Wählen Sie im Bereich Organisationseinheiten Ihre Organisationseinheit aus.

4. Klicken Sie auf das Kästchen für Microsoft Intune und dann auf Speichern.

   Microsoft Intune wird jetzt im Abschnitt Partner für Sicherheit und Mobilgeräteverwaltung aufgeführt. Je nach Größe Ihrer Organisation kann es einige Sekunden dauern, bis die Verbindung zwischen der Endpunktprüfung und Intune hergestellt ist. Nachdem die Verbindung hergestellt wurde, kann es einige Minuten bis eine Stunde dauern, bis die Geräte Intune-Daten melden.

   
   

Intune-Daten auf Geräten überprüfen

1. Gehen Sie auf der Startseite der Admin-Konsole zu Geräte.

   Zu „Geräte“
2. Klicken Sie auf Endpunkte.

3. Wählen Sie ein Gerät in Ihrer Organisationseinheit aus, für das Intune aktiviert ist.

   

4. Prüfen Sie, ob die Microsoft Intune-Daten im Abschnitt Drittanbieterdienste aufgeführt sind.

   

5. Um alle Details zu sehen, maximieren Sie den Abschnitt Drittanbieterdienste.

   Die folgende Abbildung zeigt Details zu den von Intune erfassten Daten:

   

Die von Intune gemeldeten Compliancestatus werden grob in die folgenden Compliancestatus unterteilt:

Nächste Schritte

• Benutzerdefinierte Zugriffsebenen erstellen und zuweisen