Conditional Access, Device Info
Share

Conditional Access Device Info / State

  • 18. January 2023

Conditional Access Policies, die eine "Device Info" wie den Compliance Status oder einen Filter abfragen, funktionieren nicht in allen Browsern native. Da Geräte, die einen Compliance Status haben, aber sowieso meistens verwaltet werden, können wir diese Einstellungen ganz einfach via Intune verteilen.
In diesem Beitrag beschränke ich mich auf die Logins via Windows über die Browser Microsoft Edge, Google Chrome und Mozilla Firefox.

Table of Contents

Verhalten ohne zusätzliche Einstellungen

Ist ein Browser nicht verwaltet und ohne spezifische Einstellungen installiert, können die Gerätedaten wie der Compliance Status oder ob ein Gerät verwaltet ist nicht an Conditional Access übergeben werden.

Das Result im "Conditional Access - Sign-in Log", im Reiter "Device Info" ist dann wie folgt:

Sign-in, Microsoft Edge, no SSO
Microsoft Edge
Sign-in, Google Chrome, no SSO
Google Chrome
Sign-in, Mozilla Firefox, no SSO
Mozilla Firefox

Supportete Browser

Conditional Access Policies funktionieren grundsätzlich auf allen Geräten und Browsern. Allerdings können Geräte Richtlinien nur auf supporteten Systemen mit den korrekten Einstellungen validiert werden. Schlägt eine solche Regel fehl oder kann nicht ausgewertet werden, entspricht dies einer Ablehnung.

Die supporteten Browser hat Microsoft hier aufgelistet: Conditions in Conditional Access policy

Operating SystemsBrowsers
Windows 10 +Microsoft Edge, Chrome, Firefox 91+
Windows Server 2022Microsoft Edge, Chrome
Windows Server 2019Microsoft Edge, Chrome
iOSMicrosoft Edge, Safari (see the notes)
AndroidMicrosoft Edge, Chrome
macOSMicrosoft Edge, Chrome, Safari
Stand, Januar 2023

Browser mit Intune konfigurieren

Um nun aber doch bei den drei gewünschten Browsern die Geräte Infos abrufen zu können, muss pro Browser eine Konfiguration gemacht werden. Das funktioniert natürlich am besten via Intune.
Ein weiterer Vorteil dieser Konfiguration ist, dass die drei Browser anschliessen auch Single-Sign-On (SSO) unterstützen.

Microsoft Edge

Hier hast du's einfach, wenn du eine aktuelle Version des Browsers (Version 85+) installiert und den AAD-Signing konfiguriert hast, funktioniert hier bereits alles.

Hast du den automatischen Sign-in noch nicht konfiguriert, kannst du das unter:
Devices > Windows > Configuration profiles ... + Create profile (Windows 10 and later, Settings catalog)

Vergib der Richtlinie einen aussagekräftigen Namen wie z.B. "WIN Edge". Falls du bereits eine Richtlinie für beispielsweise die Suchmaschine oder "First run experience" hast, kannst du dieses Setting auch gut dort reinpacken.

Im Settings Catalog suchst du dann nach "Browser sign-in" und wählst die Geräte basierte Richtlinie unter "Microsoft Edge" aus.
Diese musst du dann nur noch aktivieren und auf "Force users to sign-in to use the browser" setzen.

Sobald die Richtlinie zugewiesen und angewendet ist, werden die Geräte Infos bei einem Conditional Access Login mitgegeben:

Google Chrome

Bei Google Chrome muss für die Übergabe sowie SSO die Extension "Windows Accounts" installiert werden.
Installiert werden kann die Extension manuell pro User Gerät oder viel einfacher via Intune und einem Settings Catalog Profil. Dazu benötigen wir als erstes die Extension ID, welche wir mit dem Öffnen der Extension im "Chrome Web Store" herausfinden. Da ist sie dann in der URL ersichtlich:

Windows Accounts Extension ID
Extension ID: ppnbnpeolgkicgegkbkbjmhlideopiji

Das Profil erstellst du unter:
Devices > Windows > Configuration profiles ... + Create profile (Windows 10 and later, Settings catalog)

Hier vergibst du wieder einen aussagekräftigen Namen und optional eine Beschreibung:

Settings catalog, Google Chrome

Im nächsten Schritt fügst du das Setting "Configure the list of force-installed apps and extensions" hinzu:

Configure the list of force-installed apps and extensions

Diese Option aktivierst du und fügst die Extension ID ein: ppnbnpeolgkicgegkbkbjmhlideopiji

Chrome Extension, Microsoft SSO

Sobald die Extension aktiv ist, wird Google Chrome SSO unterstützen und die Geräte Infos sind im Conditional Access Log ersichtlich:

Mozilla Firefox

Firefox unterstützt den Single Sign On seit der Version 91.
Dazu muss lediglich die Option "Allow Windows single sign-on for Microsoft, work, and school accounts" aktivieren. Dies kannst du entweder manuell unter "Settings > Privacy & Security > Logins and Passwords" machen:

Firefox, Allow Windows single sign-on for Microsoft, work, and school accounts

Oder natürlich zentral via Intune. Dort gibt es zwei Wege, entweder via OMA-Uri oder aber auch via ADMX-Import.
Der weg via ADMX-Import ist definitiv visuell schöner und die Richtlinie wird schöner dargestellt.

Firefox Richtlinie mit den ADMX-Templates

Intune erlaubt es uns, klassische ADMX-Templates zu importieren.
Die Vorlagedateien findest du hier: mozilla/policy-templates (github.com)

Und importieren kannst du sie unter:
Devices > Configuration profiles > Import ADMX … + Import

Als erstes laden wir hier das Mozilla ADMX- und ADML-File hoch.
Wichtig ist, dass du bei den ADML-Dateien jeweils die en-US Version verwendest.

Sobald dies hochgeladen ist, kannst du auch das Firefox ADMX und ADML hochladen:

Schlussendlich siehst du dann beide Pakete als Template in der Übersicht.

Mozilla Firefox ADMX Templates Intune

Falls du Probleme beim Upload hast, findest du hier einen super Troubleshooting Guide von Rudy: Troubleshoot import errors when uloading the ADMX to Intune (call4cloud.nl)

Nun kannst du die Richtline erstellen:
Devices > Windows > Configuration profiles ... + Create profile (Windows 10 and later, Templates, Imported Administrative template profile)

In diesem suchst du am einfachsten nach SSO und wählst "Windows SSO" aus.

Intune, Firefox SSO

Anschliessend weisst du die Richtlinie einer Gruppe zu und nach erfolgreicher Anwendung unterstützt Firefox SSO und gibt die Geräte Infos für Conditional Access weiter.

Firefox Richtlinie via OMA-Uri

Um das Setting via OMA-Uri setzten zu können, musst du, falls noch nicht geschehen, die ADMX-Files (ebenfalls via OMA-Uri) importieren. Dazu hat Peter eine wunderbare Anleitung erstellt: Manage Mozilla Firefox settings with Microsoft Intune | Peter Klapwijk - In The Cloud 24-7 (inthecloud247.com)

Für diese erstellen wir ein "Custom" Profil:
Devices > Windows > Configuration profiles... + Create profile (Windows 10 and later, Custom)

Dem Profil geben wir wie gewohnt einen aussagekräftigen Namen.
Als OMA-Uri fügen wir die nachstehende hinzu:

NameFirefox SSO
BeschreibungWindows SSO Support for Firefox
ORA-Uri./Device/Vendor/MSFT/Policy/Config/Firefox~Policy~firefox/WindowsSSO
Data typeString
Value<enabled/>

Nach der Anwendung sieht das Login identisch aus wie schon bei den ADMX-Templates.

Recap

Mit den richtigen Einstellungen bietest du den Benutzern Single-Sign-On (SSO) und kannst zudem von mehr Funktionen mit Conditional Access profitieren. Diese Einstellungen sind zwar relativ schnell gemacht, dürfen aber nicht vergessen werden, da es sonst bei einigen Conditional Access Regeln, die die "Device Info" abfragen, zu Problemen kommen kann.