Zurück zum Blog

Entra ID Security Split – Tag 4: Device Compliance

Warum die stärkste Identität wertlos ist, wenn das Endgerät kompromittiert ist. Zero Trust auf Geräteebene mit Intune.

EntraIDSecurity
Entra ID Security Split – Tag 4: Device Compliance

Du kannst die perfekte Form haben, die stärksten Muskeln — aber wenn dein Equipment kaputt ist, verletzt du dich trotzdem. Ein gerissenes Seil, eine lockere Hantelscheibe, eine defekte Bank — und alles andere spielt keine Rolle mehr.

Genauso ist es mit deinen Endgeräten. Deine Identität kann perfekt geschützt sein — MFA, PIM, Conditional Access, alles aktiv. Aber wenn das Gerät kompromittiert ist, von dem aus sich jemand anmeldet, hast du ein Problem.

Die Gefahr schmutziger Geräte

Was passiert, wenn sich ein User von einem ungemanagten, ungepatchten Privatgerät anmeldet?

  • Das Gerät könnte Malware haben, die Tastatureingaben mitliest
  • Kein Festplattenverschlüsselung — bei Verlust liegen alle Daten offen
  • Veraltetes Betriebssystem — bekannte Schwachstellen, die längst ausgenutzt werden
  • Kein Endpoint Protection — kein Defender, kein Monitoring, keine Sichtbarkeit

Jedes dieser Geräte ist ein offenes Tor in deinen Tenant. Egal wie gut dein Identity Layer ist.

Compliance Policies via Intune — dein dynamischer TÜV

Stell dir Intune Compliance Policies wie eine laufende TÜV-Prüfung vor. Nicht einmal im Jahr, sondern kontinuierlich. Jedes Gerät wird regelmäßig geprüft:

Plattformintegrität

  • Secure Boot aktiviert?
  • TPM-Chip vorhanden und aktiv?
  • Kein Jailbreak / Root?

Verschlüsselung

  • BitLocker (Windows) oder FileVault (macOS) aktiv?
  • Vollständige Festplattenverschlüsselung als Pflicht

Patch Management

  • OS Build Level auf dem aktuellen Stand?
  • Sicherheitsupdates innerhalb der definierten Frist installiert?

Machine Risk Level

  • Integration mit Microsoft Defender for Endpoint
  • Dynamische Risikobewertung des Geräts
  • Automatische Reaktion bei erhöhtem Risiko

Conditional Access + Device Compliance

Die wahre Stärke entsteht, wenn du Intune Compliance mit Conditional Access verknüpfst:

“Zugriff auf Cloud-Apps nur von Geräten, die als compliant markiert sind.”

Das bedeutet konkret:

  • User meldet sich an → Identität wird geprüft ✅
  • MFA erfolgreich → Zweiter Faktor bestätigt ✅
  • Gerät nicht compliant → Zugriff blockiert

Egal ob CEO oder Praktikant — wer von einem nicht-konformen Gerät kommt, kommt nicht rein. Keine Ausnahmen.

Trainingsplan: Device Compliance einrichten

  • Inventur — welche Geräte greifen aktuell auf deinen Tenant zu? Managed und unmanaged identifizieren
  • Intune Compliance Policies erstellen — für jede Plattform (Windows, macOS, iOS, Android) die Mindestanforderungen definieren
  • Defender for Endpoint anbinden — Machine Risk Level als dynamisches Signal in die Compliance einfließen lassen
  • Conditional Access an Device Status koppeln — Policy erstellen: “Require device to be marked as compliant”
  • Grace Period definieren — wie lange hat ein User Zeit, sein Gerät compliant zu machen, bevor der Zugriff blockiert wird?

Deine Identität ist nur so sicher wie das Gerät, von dem sie genutzt wird. Schütz beides. 💪

Gruß Micha