top of page

Conditional Access mit Azure/Intune für Frontline Worker: Die intelligente Lösung mit MCloud und SureLock

  • liviarainsberger
  • 12. Aug.
  • 4 Min. Lesezeit

Als CIO oder auch als IAM Service Owner ist es die wesentliche Aufgabe, die digitale Transformation des Unternehmens voranzutreiben, ohne dabei die Sicherheit aus den Augen zu verlieren. Eine der größten Herausforderungen sind die sogenannten Frontline Worker – die Mitarbeiterinnen und Mitarbeiter, die nicht an einem Schreibtisch im Büro sitzen, sondern im Lager, im Außendienst, in der Produktion oder im Einzelhandel. Sie nutzen oft robuste, dedizierte, gemeinsam genutzte Geräte, deren Verwaltung und Absicherung mit herkömmlichen Methoden unpraktisch ist.


Die Kernfrage lautet: Wie ermöglichen wir diesen Teams einen nahtlosen und gleichzeitig hochsicheren Zugriff auf kritische Unternehmensanwendungen wie Microsoft 365, ohne jedem Gerät ein permanentes Benutzerprofil oder eine komplexe Anmeldung zuzuweisen? Die Antwort liegt in einer intelligenten Kombination aus drei strategischen Säulen:

Conditional Access, Intune Co-existence und Shared Devices.


Shared Devices: Das Dilemma zwischen Produktivität und Sicherheit

Stellen Sie sich ein Logistikzentrum vor. Ein Mitarbeiter beginnt seine Schicht, greift zu einem robusten Handheld-Scanner und muss sich sofort bei der Warenwirtschafts-App, der Teams-App für die Kommunikation und der Outlook-App für den Schichtkalender anmelden. Nach acht Stunden übergibt er das Gerät an einen Kollegen. Wenn jedes Gerät ein vollwertiges Benutzerprofil und eine komplexe Authentifizierung erfordern würde, wäre der Zeitverlust enorm und die Geräteverwaltung ein Albtraum. Die Mitarbeiter sind Logistiker und keine IT-Experten und wollen mit dem mobilen Scanner einfach nur die Arbeit erledigen.


Gleichzeitig dürfen wir keine Abstriche bei der Sicherheit machen. Das Gerät muss vor Manipulation geschützt sein, darf nur die notwendigen Apps für genau den User ausführen und muss den Zugriff auf Unternehmensdaten unter allen Umständen verweigern, wenn es nicht unseren Sicherheitsstandards entspricht. Wir können uns nicht darauf verlassen, dass jeder Mitarbeiter die Gerätesicherheit aktiv aufrechterhält. Die Sicherheit muss automatisch und zentral durchgesetzt werden.

Conditional Access: Der Türsteher im Zero-Trust-Modell


Conditional Access ist in der heutigen IT-Sicherheit mehr als nur eine Funktion – es ist ein grundlegendes Prinzip. Als zentraler Kontrollpunkt in Microsoft Entra ID (ehemals Azure AD) bewertet er in Echtzeit eine Vielzahl von Signalen, bevor er den Zugriff auf Unternehmensressourcen gewährt. Diese Signale können sein:


  • Wer greift zu? (Benutzeridentität und Risikoprofil)

  • Woher kommt der Zugriff? (Standort und Netzwerk)

  • Womit wird zugegriffen? (Gerätetyp und vor allem dessen Compliance-Status)


Für unsere Shared-Device-Strategie sind das die entscheidenden Signale. Wir definieren eine Richtlinie, die besagt: "Der Zugriff auf die Microsoft 365-Suite ist nur von Geräten erlaubt, die als 'compliant' gelten." Die Magie liegt darin, wie dieser Compliance-Status definiert und übermittelt wird.


Wir setzen Usergruppen fest und vergeben dort die Rechte für das Anzeigen oder Verbergen von Apps. Dabei wird dem Enduser keine komplexe Anmeldeprozedur abverlangt, denn SureLock (folgt unten) kann den Multi-User-Mode verwalten und vereinfachen.


Und die technischen Eigenschaften des Shared-Device werden mCloud (auch das folgt gleich) übersichere MDM Kanäle an die Domäne nahtlos übermittelt und Entra/Intune kann damit gegen hinterlegte Profile prüfen.



Die strategische Partnerschaft: Intune Co-Existenz mit mCloud UEM


Viele Unternehmen setzen bereits auf Microsoft Intune, um ihre personenbezogenen Geräte wie Laptops und Smartphones zu verwalten. Intune ist eine leistungsstarke Lösung für das klassische BYOD- oder Corporate-Owned-Szenario. Doch für spezialisierte Shared Devices, die oft eine tiefgreifende Kiosk-Funktionalität und Hardware-spezifische Konfigurationen benötigen, stößt Intune an seine Grenzen.


Hier kommt die Intune co-existence mit einer dedizierten, spezialisierten UEM-Lösung wie mCloud ins Spiel. Dabei handelt es sich nicht um eine Ablösung, sondern um eine bewusste, architektonische Entscheidung als Kombination für eine "Best-of-Breed"-Strategie:

  • Microsoft Intune bleibt die primäre Verwaltungsplattform für alle personenbezogenen Standardgeräte im Unternehmen und sichert die Rollenverwaltung ab.

  • mCloud UEM übernimmt die spezialisierte und tiefgehende Verwaltung der Frontline-Worker-Geräte und der sich lokal anmeldenden non-office User. Durch die tiefe Einbettung von „Enterprise-Agents“ und die zugrunde liegende 42Gears-Technologie bietet mCloud UEM Funktionen eine weitaus bessere Unterstützung für spezifische Rugged-Hardware-Modelle.


Der Schlüssel zur Koexistenz ist die nahtlose Integration in das Microsoft-Ökosystem. mCloud UEM übermittelt den Compliance-Status der von ihr verwalteten Shared Devices direkt an Microsoft Entra ID. Das ermöglicht es uns, eine einzige, zentrale Conditional-Access-Richtlinie für alle Endgeräte-Szenarien zu nutzen, egal ob das Compliance-Signal von Intune oder von mCloud kommt.


conditional access

Der technische Workflow: So funktioniert die Absicherung mit SureLock


Die technische Implementierung dieser Strategie ist ebenso elegant wie effektiv.

  1. Geräte-Ausrollung: Die Shared Devices werden in mCloud UEM ausgerollt (zB via Enterprise- oder QR-Code-Enrollment) und nicht in Intune. mCloud übernimmt damit die volle Kontrolle über das Gerät.


  2. Kiosk-Modus-Konfiguration mit SureLock: Über mCloud UEM wird die Kiosk-Modus-App SureLock auf dem Gerät aktiviert. Diese Anwendung ersetzt den normalen Startbildschirm des Betriebssystems. Sie blockiert den Zugriff auf alle unautorisierten Apps, Einstellungen und Funktionen des Geräts. Wir definieren genau, welche Apps erlaubt sind (z. B. Teams, die Lager-App) und welche nicht. Ein vereinfachter Anmeldschirm mit einer Vielzahl von hinterlegbaren, zweiten Faktoren (MS Authenticator, Face-QR Code, Biometrie, Barcode-Scan, andere IdP Systeme) macht es dem Frontline-Worker einfach, sich im Unternehmensnetzwerk anzumelden.


  3. Compliance-Messaging: mCloud UEM ist die „Source of Truth“ für die Sicherheit des Geräts. Die Compliance-Richtlinie in mCloud ist so definiert, dass das Gerät nur als "compliant" eingestuft wird, wenn zB SureLock korrekt läuft und das Gerät den vordefinierten Sicherheitsstandards entspricht (z. B. keine Root-Rechte, aktuelle OS-Version, keine manipulierten Android Settings, falsches WiFi,..).


  4. Dynamische Zugriffsentscheidung: Wenn ein Frontline Worker eine App wie Microsoft Teams auf dem Shared Device öffnet, überprüft Conditional Access in Microsoft Entra ID den Gerätestatus. Es erhält von mCloud UEM die Information, dass das Gerät "compliant" ist, da SureLock aktiv ist. Daraufhin gewährt die Policy den Zugriff.


Sollte das Gerät manipuliert werden oder der Kiosk-Modus deaktiviert sein, meldet mCloud das Gerät sofort als "non-compliant". Bei der nächsten Zugriffsanfrage verweigert Conditional Access den Zugriff umgehend, bis der Sicherheitsverstoß behoben ist.


Strategische Sicherheit mit mCloud

Diese detaillierte Strategie ermöglicht es, die Herausforderungen der Shared Devices und Frontline Worker zu meistern. Mit Conditional Access als zentraler Sicherheitsinstanz, der Intune Co-Existenz mit einer spezialisierten Lösung wie mCloud für die Shared Devices und der leistungsstarken Kiosk-Modus-Funktion SureLock haben wir ein robustes, flexibles und zukunftssicheres Modell geschaffen. Es ermöglicht uns, die Produktivität unserer Frontline Worker zu steigern und gleichzeitig unser Zero-Trust-Modell konsequent auf das gesamte Unternehmen auszuweiten.




MCloud MDM


Enterprise MDM Mobile Device Management


any platform

any device

anywhere



 
 

Nichts verpassen.

Jetzt unseren Blog und Newsletter abonnieren.

bottom of page