Konfiguration des bedingten Zugriffs für die Integration von Microsoft Entra mit IBM MaaS360

Verwenden Sie diese Integration, um nur vertrauenswürdigen Benutzern und Gruppen von kompatiblen und verwalteten Geräten im Microsoft Entra Portal den Zugriff auf von Microsoft genehmigte Anwendungen und Dienste zu ermöglichen.

Die IBM® MaaS360® integration mit Microsoft zur Durchsetzung der Gerätekonformität durch Microsoft Entra ID Conditional Access (CA) ermöglicht die Synchronisierung von Informationen zur Gerätekonformität mit einem Microsoft Entra ID-Mandanten. Diese Integration hilft dabei, dass MaaS360 Device Trust-Informationen nahtlos in den Regeln für den bedingten Zugriff von Microsoft Entra ID verwendet werden können. Die Compliance-Management-Funktion des Microsoft Endpoint Manager Partners ermöglicht diese Integration. Weitere Informationen zu dieser Funktion finden Sie unter https://docs.microsoft.com/mem/intune/protect/device-compliance-partners.

Mit dieser Funktion IBM MaaS360 verwendet die System for Cross-Domain Identity Management (SCIM)-Benutzerverwaltungs-API, um Gerätekonformitätsinformationen mit Microsoft Entra ID zu synchronisieren, sodass die Microsoft Entra ID CA-Regeln den MaaS360 -Gerätestatus verwenden können. Microsoft Entra ID CA ermöglicht es Administratoren, den Zugriff auf persönliche und Unternehmensdaten von BYOD- und unternehmenseigenen Geräten zu kontrollieren und zu verwalten.

Hinweise:

Um die Integration von CA für Microsoft Entra in Ihr IBM MaaS360 Portal zu ermöglichen, wenden Sie sich an IBM Support.
Wenn die IBM MaaS360 infrastruktur aufgerüstet wird und sich die Gateway-IP-Adresse ändert, stellen Sie sicher, dass alle Microsoft Entra Conditional Access-Richtlinien, die Netzwerkzuweisungen verwenden, und die spezifische MaaS360 Instanz-Gateway-IP-Adresse mit der neuen IP-Adresse aktualisiert werden.
IBM MaaS360 fungiert als Compliance-Partner eines Drittanbieters und sendet Daten zur Gerätekonformität an Microsoft Intune. Microsoft Intune synchronisiert diese Informationen und verwendet sie, um den Konformitätsstatus des Geräts zu bestimmen. Im Microsoft Entra ID-Portal wird Microsoft Intune nur zu Integrationszwecken als Mobile Device Management (MDM)-Autorität angezeigt. IBM MaaS360 verwaltet die Registrierung und Konformität von Geräten.

Umgebung

Microsoft Entra ID Conditional Access erfordert ein Microsoft Entra ID Premium Abonnement.
Die Geräteregistrierung und die Teilnahme der Benutzer für die Gerätekonformität erfordern eine Microsoft Intune-Lizenz, die den Benutzern der Zielgeräte zugewiesen werden muss.
Die Microsoft Authenticator-App muss auf iOS und Android-Geräten installiert werden. Verschieben Sie diese App als verwaltete App aus dem MaaS360. Die Microsoft Authenticator-App ist erforderlich, um das Gerät in Microsoft Entra ID zu registrieren.
Ein gültiges Abonnement für Microsoft In tune ist erforderlich. Die Microsoft Intune-Lizenzen müssen den Benutzern zugewiesen werden, die von dieser Integration unterstützt werden.

Konfiguration

Konfigurieren Sie diese Integration mithilfe einer der folgenden Methoden.

Für alle Benutzer konfigurieren: Fordert alle Geräte in der Organisation zur Registrierung auf. Diese Methode funktioniert nur auf Geräten, die den Registrierungsvorgang abschließen.
Konfigurieren Sie bestimmte Gruppen: Bei dieser Konfiguration müssen Sie die Verzeichnissynchronisierung einrichten, die einen Überblick über die Benutzergruppenzuordnungen bietet. Weitere Informationen finden Sie unter Verzeichnissynchronisierung für die Integration von Microsoft Entra mit MaaS360.
Sie können diesen Dienst nur für Microsoft Entra ID-Gruppen konfigurieren, die MaaS360 verwaltet. Siehe Schritt 3 unter „Migrieren vorhandener Benutzer und Gruppen von MaaS360 zur Synchronisierung mit Microsoft Entra ID “.

Onboarding-Workflow

Gehen Sie zu https://endpoint.microsoft.com und melden Sie sich mit gültigen Anmeldedaten bei Ihrem Microsoft Entra -Konto an.
Wählen Sie im Microsoft Endpoint Manager-Verwaltungscenter „Mandantenverwaltung“ > „Konnektoren und Tokens “ > „Partner-Compliance-Verwaltung“ aus.
Klicken Sie auf Konformitätspartner hinzufügen.
1. Gehen Sie auf dem Bildschirm "Compliance-Partner erstellen " zur Registerkarte "Grundlagen " und wählen Sie IBM MaaS360 aus der Liste der Compliance-Partner aus.
2. Wählen Sie Android aus der Plattformliste aus und klicken Sie auf Weiter.
3. Wählen Sie auf der Registerkarte „Zuweisungen “ die Option „Enthaltene Gruppen “ > „Zuweisen an “ > „Alle Benutzer “ aus und klicken Sie auf „Weiter “.
4. Überprüfen Sie auf der Registerkarte "Überprüfen + erstellen " die Einstellungen und klicken Sie auf "Erstellen ".
  
  Sie können eine Meldung sehen, die anzeigt, dass der Compliance-Partner erfolgreich erstellt wurde (Tenant-Metadaten werden auf Intune erstellt). Die Vorschau des Partner-Compliance-Managements zeigt nun die vom Partner verwalteten Android-Geräte für IBM MaaS360 an.
Um partnerverwaltete iOS -Geräte zu konfigurieren, wiederholen Sie Schritt 3, wählen jedoch iOS in Schritt 3.a. Klicken Sie auf der Vorschauseite für das Compliance-Management von Partnern auf Aktualisieren und fahren Sie mit Schritt 5 fort.
Melden Sie sich mit Ihrem Administrator-Benutzernamen und Ihrem Passwort beim IBM MaaS360 Portal an.
Gehen Sie auf der Startseite des Portals „ IBM “ ( MaaS360 ) zu „Setup“ > „Microsoft Entra -Integration “ > „Bedingter Zugriff “.
Konfigurieren Sie die Tenant ID (die eindeutige Kennung für die Microsoft Entra ID-Instanz ) und die Client ID für das Microsoft Entra-Konto, das mit der Intune-Lizenz aktiviert ist.
Ausführliche Schritte zum Registrieren der App „ MaaS360 “ im Microsoft Entra ID -Mandanten und zum Generieren der Client-ID (Anwendungs-ID) finden Sie unter Registrieren der App „ MaaS360 “ im Microsoft Entra ID-Mandanten. Weitere Informationen finden Sie unter https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate.
Klicken Sie auf Konfigurieren. Sie werden aufgefordert, sich beim Microsoft Entra Portal anzumelden.
Wählen Sie Ihr Microsoft Entra-Konto aus der Liste aus. Die Meldung Berechtigungen angefordert für das nicht verifizierte MaaS360 Microsoft Entra Device Compliance Data Update wird angezeigt.
Überprüfen Sie die Nachricht und klicken Sie auf Akzeptieren , um der MaaS360 -App Berechtigungen für bestimmte Ressourcen von allen Benutzern in Ihrer Organisation zu erteilen.
- Wenn die Authentifizierung erfolgreich ist, wird die folgende Meldung angezeigt und Sie werden zum MaaS360 weitergeleitet.
  Registration is successful. Window will automatically close in 5 seconds
- Wenn die Authentifizierung fehlschlägt, wird die folgende Meldung angezeigt und Sie müssen die Einstellungen überprüfen, die Sie in den vorherigen Schritten konfiguriert haben.
  Registration has failed. Window will automatically close in 5 seconds
Gehen Sie zu „Einstellungen “ > „Microsoft Entra -Integration “. Standardmäßig wird der Bildschirm Benutzergruppen auswählen angezeigt.
Wählen Sie auf dem Bildschirm Benutzergruppen auswählen die Benutzergruppen aus, die Sie konfigurieren möchten.
- Um den Dienst für alle Benutzer zu konfigurieren, wählen Sie Alle Benutzer.
  Um die Benachrichtigung zur Einrichtung von Microsoft Authenticator auf Geräten zu unterdrücken, wenn Conditional Access für alle Benutzer aktiviert ist, aktivieren Sie das Kontrollkästchen Benachrichtigung zur Einrichtung von Microsoft Authenticator unterdrücken.
- Um bestimmte Microsoft Entra-Benutzergruppen zu konfigurieren, wählen Sie Spezifische Gruppen.
  Folgen Sie den Schritten, um die erforderlichen Gruppen für die Synchronisierung auszuwählen.
  1. Klicken Sie auf Bearbeiten.
  2. Klicken Sie auf "Gruppen verwalten ", um die Seite "Gruppen verwalten" zu öffnen.
  3. Durchsuchen Sie die Gruppen und wählen Sie die Gruppennamen im Abschnitt "Aktivierte Gruppen" aus, um sie zur Liste hinzuzufügen.
  4. Klicken Sie auf Bestätigen.