Conditional Access Policies, die eine "Device Info" wie den Compliance Status oder einen Filter abfragen, funktionieren nicht in allen Browsern native. Da Geräte, die einen Compliance Status haben, aber sowieso meistens verwaltet werden, können wir diese Einstellungen ganz einfach via Intune verteilen.
In diesem Beitrag beschränke ich mich auf die Logins via Windows über die Browser Microsoft Edge, Google Chrome und Mozilla Firefox.
Table of Contents
Verhalten ohne zusätzliche Einstellungen
Ist ein Browser nicht verwaltet und ohne spezifische Einstellungen installiert, können die Gerätedaten wie der Compliance Status oder ob ein Gerät verwaltet ist nicht an Conditional Access übergeben werden.
Das Result im "Conditional Access - Sign-in Log", im Reiter "Device Info" ist dann wie folgt:
Supportete Browser
Conditional Access Policies funktionieren grundsätzlich auf allen Geräten und Browsern. Allerdings können Geräte Richtlinien nur auf supporteten Systemen mit den korrekten Einstellungen validiert werden. Schlägt eine solche Regel fehl oder kann nicht ausgewertet werden, entspricht dies einer Ablehnung.
Die supporteten Browser hat Microsoft hier aufgelistet: Conditions in Conditional Access policy
| Operating Systems | Browsers |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (see the notes) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Safari |
Browser mit Intune konfigurieren
Um nun aber doch bei den drei gewünschten Browsern die Geräte Infos abrufen zu können, muss pro Browser eine Konfiguration gemacht werden. Das funktioniert natürlich am besten via Intune.
Ein weiterer Vorteil dieser Konfiguration ist, dass die drei Browser anschliessen auch Single-Sign-On (SSO) unterstützen.
Microsoft Edge
Hier hast du's einfach, wenn du eine aktuelle Version des Browsers (Version 85+) installiert und den AAD-Signing konfiguriert hast, funktioniert hier bereits alles.
Hast du den automatischen Sign-in noch nicht konfiguriert, kannst du das unter:
Devices > Windows > Configuration profiles ... + Create profile (Windows 10 and later, Settings catalog)
Vergib der Richtlinie einen aussagekräftigen Namen wie z.B. "WIN Edge". Falls du bereits eine Richtlinie für beispielsweise die Suchmaschine oder "First run experience" hast, kannst du dieses Setting auch gut dort reinpacken.
Im Settings Catalog suchst du dann nach "Browser sign-in" und wählst die Geräte basierte Richtlinie unter "Microsoft Edge" aus.
Diese musst du dann nur noch aktivieren und auf "Force users to sign-in to use the browser" setzen.
Sobald die Richtlinie zugewiesen und angewendet ist, werden die Geräte Infos bei einem Conditional Access Login mitgegeben:
Google Chrome
Bei Google Chrome muss für die Übergabe sowie SSO die Extension "Windows Accounts" installiert werden.
Installiert werden kann die Extension manuell pro User Gerät oder viel einfacher via Intune und einem Settings Catalog Profil. Dazu benötigen wir als erstes die Extension ID, welche wir mit dem Öffnen der Extension im "Chrome Web Store" herausfinden. Da ist sie dann in der URL ersichtlich:
Das Profil erstellst du unter:
Devices > Windows > Configuration profiles ... + Create profile (Windows 10 and later, Settings catalog)
Hier vergibst du wieder einen aussagekräftigen Namen und optional eine Beschreibung:
Im nächsten Schritt fügst du das Setting "Configure the list of force-installed apps and extensions" hinzu:
Diese Option aktivierst du und fügst die Extension ID ein: ppnbnpeolgkicgegkbkbjmhlideopiji
Sobald die Extension aktiv ist, wird Google Chrome SSO unterstützen und die Geräte Infos sind im Conditional Access Log ersichtlich:
Mozilla Firefox
Firefox unterstützt den Single Sign On seit der Version 91.
Dazu muss lediglich die Option "Allow Windows single sign-on for Microsoft, work, and school accounts" aktivieren. Dies kannst du entweder manuell unter "Settings > Privacy & Security > Logins and Passwords" machen:
Oder natürlich zentral via Intune. Dort gibt es zwei Wege, entweder via OMA-Uri oder aber auch via ADMX-Import.
Der weg via ADMX-Import ist definitiv visuell schöner und die Richtlinie wird schöner dargestellt.
Firefox Richtlinie mit den ADMX-Templates
Intune erlaubt es uns, klassische ADMX-Templates zu importieren.
Die Vorlagedateien findest du hier: mozilla/policy-templates (github.com)
Und importieren kannst du sie unter:
Devices > Configuration profiles > Import ADMX … + Import
Als erstes laden wir hier das Mozilla ADMX- und ADML-File hoch.
Wichtig ist, dass du bei den ADML-Dateien jeweils die en-US Version verwendest.
Sobald dies hochgeladen ist, kannst du auch das Firefox ADMX und ADML hochladen:
Schlussendlich siehst du dann beide Pakete als Template in der Übersicht.
Falls du Probleme beim Upload hast, findest du hier einen super Troubleshooting Guide von Rudy: Troubleshoot import errors when uloading the ADMX to Intune (call4cloud.nl)
Nun kannst du die Richtline erstellen:
Devices > Windows > Configuration profiles ... + Create profile (Windows 10 and later, Templates, Imported Administrative template profile)
In diesem suchst du am einfachsten nach SSO und wählst "Windows SSO" aus.
Anschliessend weisst du die Richtlinie einer Gruppe zu und nach erfolgreicher Anwendung unterstützt Firefox SSO und gibt die Geräte Infos für Conditional Access weiter.
Firefox Richtlinie via OMA-Uri
Um das Setting via OMA-Uri setzten zu können, musst du, falls noch nicht geschehen, die ADMX-Files (ebenfalls via OMA-Uri) importieren. Dazu hat Peter eine wunderbare Anleitung erstellt: Manage Mozilla Firefox settings with Microsoft Intune | Peter Klapwijk - In The Cloud 24-7 (inthecloud247.com)
Für diese erstellen wir ein "Custom" Profil:
Devices > Windows > Configuration profiles... + Create profile (Windows 10 and later, Custom)
Dem Profil geben wir wie gewohnt einen aussagekräftigen Namen.
Als OMA-Uri fügen wir die nachstehende hinzu:
| Name | Firefox SSO |
| Beschreibung | Windows SSO Support for Firefox |
| ORA-Uri | ./Device/Vendor/MSFT/Policy/Config/Firefox~Policy~firefox/WindowsSSO |
| Data type | String |
| Value | <enabled/> |
Nach der Anwendung sieht das Login identisch aus wie schon bei den ADMX-Templates.
Recap
Mit den richtigen Einstellungen bietest du den Benutzern Single-Sign-On (SSO) und kannst zudem von mehr Funktionen mit Conditional Access profitieren. Diese Einstellungen sind zwar relativ schnell gemacht, dürfen aber nicht vergessen werden, da es sonst bei einigen Conditional Access Regeln, die die "Device Info" abfragen, zu Problemen kommen kann.
