Update
Wir haben daran gearbeitet, dieses Problem für unsere Kunden zu mildern, und wir haben Änderungen an unserer Plattform eingeführt. Möglicherweise stellen Sie fest, dass Ihre Conditional Access-Richtlinien für iOS jetzt für iPadOS berücksichtigt werden, ähnlich dem Verhalten vor dem iPadOS-Upgrade.
Eine schnelle Möglichkeit, dieses aktualisierte Verhalten zu überprüfen, besteht darin, auf Ressourcen von Safari auf einem iPadOS-Gerät zuzugreifen, das durch Richtlinien für bedingten Zugriff geschützt ist. Wenn sie einen Verhaltensunterschied zwischen Safari- und Apple Native Mail-Zugriff feststellen, bitten Sie Ihre Benutzer, sich bei Apple Native Mail abzumelden und sich dann erneut anzumelden.
Um diesen Prozess zu automatisieren, legen Sie mithilfe des Sitzungssteuerelements "Anmeldehäufigkeit" eine temporäre Richtlinie für bedingten Zugriff fest, und legen Sie dann eine temporäre Richtlinie für bedingten Zugriff fest, die für Client-Apps gilt, die als "Mobile Apps und Desktopclient" gekennzeichnet sind. Legen Sie in dieser Richtlinie die Geräteplattform auf "macOS" und die Anmeldehäufigkeit auf 20 Stunden fest.
Weitere Informationen zum Festlegen dieser Richtlinie finden Sie in der Dokumentation Konfigurieren der Authentifizierungssitzungsverwaltung mit bedingtem Zugriff.
Hinweis Durch Festlegen dieser Richtlinie müssen sich Benutzer von Apple Native Mail auf iPadOS (die zuvor aufgrund des modernen Desktopbrowsers auf iPadOS als Mac-Gerät identifiziert wurden) nach 20 Stunden anmelden. Nachdem sie sich erneut angemeldet haben, wird Apple Native Mail am Zugriff auf Unternehmensressourcen gehindert, wenn Sie die Grant-Steuerelemente "Genehmigte Client-App erforderlich" oder "App-Schutzrichtlinie erforderlich" aktiviert haben. Sie können die temporäre Richtlinie für bedingten Zugriff deaktivieren oder löschen, um zu vermeiden, dass Benutzer alle 20 Stunden anmelden müssen.
Zusammenfassung
Überblick über den bruchden Wandel
Apple hat iPadOS (das neue Betriebssystem für iPad) am 30. September 2019 veröffentlicht. Vor der Veröffentlichung stellten wir fest, dass diese Version eine Änderung einführt, die sich auf Microsoft Azure Active Directory (Azure AD) und Intune-Kunden auswirken könnte, die Conditional Access-Richtlinien in ihrer Organisation verwenden. Diese Benachrichtigung soll Ihnen helfen, die bahnbrechenden Änderungen von Apple zu verstehen und die Auswirkungen auf Ihre Organisation zu bewerten. Diese Mitteilung enthält auch Empfehlungen von Microsoft.
Alle iPads, die auf iOS 13+ aktualisieren, wurden von iOS auf iPadOS aktualisiert. Während sich das iPadOS ähnlich wie iOS verhält, gibt es einige wichtige Apps, die sich anders verhalten. Safari wird sich beispielsweise als macOS präsentieren, um sicherzustellen, dass iPadOS-Benutzer über eine vollständige Desktop-Browser-Erfahrung verfügen.
Vorsicht
Da Richtlinien für bedingten Zugriff häufig auf BETRIEBSSYSTEM- oder App-spezifischer Basis angewendet werden, kann sich diese Änderung auf Ihre Sicherheit und Compliance jedes iPad-Geräts auswirken, das auf iPadOS aktualisiert.
Apps, die von der bahnbrechenden Änderung betroffen sein können
Diese Änderung betrifft Apps, die bedingten Zugriff verwenden und sich als macOS-Apps anstelle von iOS-Apps identifizieren. Bei der Überprüfung Ihrer Conditional Access-Richtlinien sollten Sie sich darauf konzentrieren, ob Sie eine andere App-Erfahrung zwischen macOS und iOS bereitstellen. Darüber hinaus wird empfohlen, die Richtlinien für bedingten Zugriff in Azure Azure AD zu überprüfen, die die betroffenen App-Kategorien verwenden.
Die bahnbrechende Änderung wirkt sich auf die Durchsetzung Ihrer Conditional Access-Richtlinien auf iPad-Geräten aus, auf denen iPadOS in den folgenden Szenarien ausgeführt wird:
-
Webanwendungszugriff mit Safari-Browser
-
Apple Native Mail-Zugriff
-
Nativer Anwendungszugriff, der Safari View Controller verwendet
In diesen Fällen behandelt Azure AD Conditional Access jede Zugriffsanforderung als macOS-Zugriffsanforderung.
Wichtig
Es ist wichtig, dass Ihre Organisation über eine Conditional Access-Richtlinie für macOS verfügt. Wenn Sie keine Richtlinie für macOS haben, kann dies zu einer Bedingung für den offenen Zugriff in den Ressourcen Ihrer Organisation für die zuvor identifizierten Szenarien führen.
Die folgenden Zugriffsszenarien haben keine Auswirkungen:
-
Alle systemeigenen Microsoft-Anwendungen (z. B. Outlook, Word oder Edge)
-
Webanwendungszugriff mithilfe eines anderen Browsers als Safari (z. B. Chrome)
-
Apps, die Intune App SDK/App Wrapping Tool für iOS/Microsoft Identity Platform v2.0-Authentifizierungsbibliotheken oder v1.0-Authentifizierungsbibliotheken verwenden
Bevor Sie die Empfehlungen von Microsoft untersuchen, sollten Sie die folgenden Szenarien berücksichtigen, die betroffen sein könnten.
|
Szenario |
Ergebnisse |
|---|---|
|
Sie haben eine Richtlinie für bedingten Zugriff eingerichtet, die "eine genehmigte Client-App" für den E-Mail-Zugriff auf einem iOS-Gerät erfordert, und Sie haben keine Richtlinie für macOS konfiguriert. |
Nachdem ein iPad auf iPadOS aktualisiert wurde, wird die Richtlinie für genehmigte Client-Apps nicht für die betroffenen App-Kategorien erzwungen, wie zuvor beschrieben. |
|
Sie haben eine Richtlinie für bedingten Zugriff eingerichtet, die "ein kompatibles Gerät erfordert", um ein iOS-Gerät für den Zugriff auf Unternehmensressourcen verwenden zu können. Sie haben jedoch keine macOS-Richtlinie konfiguriert. |
Nach dem iPad-Update auf iPadOS können Benutzer mithilfe von Apps in den betroffenen App-Kategorien von nicht konformen iPads auf Unternehmensressourcen zugreifen. |
|
Sie haben eine Richtlinie für bedingten Zugriff eingerichtet, die "MFA" auf einem iOS-Gerät erfordert, um auf Office365-Websites wie Outlook Web Access zugreifen zu können. Sie haben jedoch keine entsprechende macOS-Richtlinie konfiguriert. |
Nach dem iPad-Update auf iPadOS können Benutzer mithilfe von Apps aus den betroffenen App-Kategorien auf solche Office365-Websites zugreifen, ohne zur Multi-Factor Authentication (MFA) aufgefordert zu werden. |
|
Sie haben eine Richtlinie für bedingten Zugriff eingerichtet, die "ein kompatibles Gerät" für iOS-Geräte und "erfordert MFA" für macOS-Geräte. |
Nach dem iPad-Update auf iPadOS können Benutzer mithilfe von Apps in den betroffenen App-Kategorien von nicht konformen iPads auf Unternehmensressourcen zugreifen. |
Dies sind nur einige Beispiele für Fälle, in denen die Richtlinie für bedingten Zugriff für iOS von der Richtlinie für bedingten Zugriff für macOS abweichen kann. Sie sollten alle derartigen Fälle in Ihrer Richtlinie identifizieren.
Microsoft-Empfehlungen
Es wird empfohlen, die folgenden Aktionen auszuführen:
-
Bewerten Sie, ob Sie über browserbasierte Azure AD CA-Richtlinien für iOS verfügen, die den Zugriff von iPad-Geräten steuern. Führen Sie in diesem Schritt die folgenden Schritte aus:
-
Erstellen Sie eine entsprechende macOS Azure AD-Browserzugriffsrichtlinie. Es wird empfohlen, die Richtlinie "Ein kompatibles Gerät erforderlich" zu verwenden. Diese Richtlinie registriert Ihr iPad und Mac-Geräte bei Microsoft Intune (oder JAMF Pro, wenn Sie dies als macOS-Verwaltungstool ausgewählt haben). Diese Richtlinie stellt auch sicher, dass Browser-Apps nur von kompatiblen Geräten (sicherste Option) zugreifen können. Sie müssen auch eine Intune-Gerätekonformitätsrichtlinie für macOS erstellen.
-
Falls Sie für macOS und iPadOS keinen "kompatiblen Gerät" für den Browserzugriff benötigen, stellen Sie sicher, dass Sie für einen solchen Zugriff "MFA" benötigen.
-
-
Bestimmen Sie, ob eine Nutzungsbedingungen (Zustimmung pro Gerät)-basierte Azure AD Conditional Access-Richtlinie für iOS konfiguriert ist. Wenn dies der Fall ist, erstellen Sie eine entsprechende Richtlinie für macOS.
Weitere Informationen erhalten Sie vom Microsoft Support.
