Meine Firma verwendet alsoMicrosoft 365(E5-Lizenz). Und wir nutzen den „Microsoft Defender Cloud App Catalog“, um den Zugriff auf einige „Cloud-Apps“ zu blockieren.
Es stellte sich jedoch heraus, dass manche Leute tatsächlich Zugriff auf die blockierten Cloud-Apps benötigen, was mit der „Gerätegruppe“ von Defender möglich ist.
Leider scheint esEin Endpunktgerät kann nur Mitglied genau einer Gerätegruppe sein, nicht mehr und nicht weniger.
Das hat mich dazu gebracht, die Dinge wie folgt einzurichten:
Nachdem ich die drei Gerätegruppen erstellt hatte, schloss ich in der Einstellung „Nicht genehmigt“ von Site A die Gruppen „CanA“ und „CanAB“ aus. Ebenso schloss ich für Site B „CanB“ und „CanAB“ aus den „Nicht genehmigt“-Einstellungen der Site aus.
Alles funktioniert wie erwartet akzeptabel.
Es kam jedoch dazu, dass es nun eine DRITTE Site gibt, die eine ähnliche Behandlung benötigt. Das bedeutet, dass die Beziehung nun folgendermaßen aussieht:
Das ist eine solche Komplexität! Ganz zu schweigen davon, dass die Anzahl der Gruppen außer Kontrolle geraten wird, wenn in Zukunft eine vierte Site die gleiche Behandlung benötigt.
Gibt es eine bessere Möglichkeit, Microsoft 365 zu nutzen, um das bereitzustellen, was ich möchte?
(Wenn ein Gerät Mitglied mehrerer Gerätegruppen sein kann, ist dies natürlich leicht lösbar. Fakt ist aber, dass ein Gerät nur Mitglied genau einer Gerätegruppe sein kann.)
Antwort1
Sie können auch Microsoft Entra/Azure AD Conditonal Access verwenden. In CA (Conditonal Access) können Sie mehrere Gruppen als Ausschluss hinzufügen
Bearbeiten/Aktualisieren
Wenn die App nicht existiert, müssen Sie manuell eine App erstellen
Hier ist ein PowerShell-Skript, das prüft, ob die App existiert und wenn nicht, die App erstellt und dann die Richtlinie erstellt.
# Install the required module if not already installed
Install-Module -Name Az -Force -AllowClobber
# Connect to Azure AD
Connect-AzAccount
# Define variables
$appName = "TelegramWeb" # You can change this to a suitable name
$identifierUri = "https://web.telegram.org/"
$application = Get-AzADApplication -DisplayName $appName
# Check if the application exists
if (!$application) {
# Create the application
$application = New-AzADApplication -DisplayName $appName -IdentifierUris $identifierUri
}
# Get the application ID
$applicationId = $application.ApplicationId
# Create Conditional Access policy to block Telegram Web
New-AzAdPolicyConditionalAccessPolicy -Name "BlockTelegramWeb" -State "Enabled" -UsersAll $false -UsersIncludeGroups @("Group1", "Group2") -ApplicationsIncludeApplications $applicationId -GrantControlsIncludeGrantControls @("BlockAccess") -SessionControlsIncludeSessionControls @("UseConditionalAccessAppControl") -AccessControlsIncludeAccessControls @("Block")