Wenn die Gerätekonfiguration mit Windows Autopilot und Intune abgeschlossen ist, kann mithilfe von Conditional Access die Zugriffsregelung auf die Office-Konten der Lehrenden und Lernenden festgelegt werden. In diesem Beitrag wollen wir die sichere Verwaltung von Devices und Konten erklären.

Was bedeutet Conditional Access?

Conditional Access bezeichnet die Kontrolle darüber, welche Nutzenden auf die Daten von Office 365 zugreifen können. Identität und Zugriffsrechte sind die wichtigsten Sicherheitskriterien, wenn es um die Verwaltung von Cloudressourcen geht. Auf die Cloud können die Lehrenden und Lernenden mit einer Vielzahl von (mobilen) Endgeräten zugreifen. Es ist daher nicht ausreichend nur zu wissen, wer Zugriff auf das Netzwerk hat, sondern auch mit welchem Device. Genau diesen Zugriff kann jede Bildungseinrichtung mittels Conditional Access individuell verwalten.

Wenn die Lernenden Office 365 Lizenzen besitzen, können sie sich über jeden Browser, jedes Endgerät und von jedem Ort aus im Portal anmelden und auf das Office-Paket zugreifen. Von vielen Schulen ist dieser uneingeschränkte Zugriff nicht gewünscht und soll nur aus dem Netzwerk der Bildungseinrichtungen erfolgen können. Diese Möglichkeit kann individuell für jedes Endgerät der Lernenden festgelegt werden. Allerdings kann diese Maßnahme auch den modernen Arbeitsplatz der Lehrenden und Lernenden einschränken.

Mit Conditional Accesss kann man bestimmte Richtlinien für alle Nutzer, alle Office Apps sowie Azure Apps festlegen. Anhand des Standorts können beispielsweise verschiedene Zugriffsrechte bestimmt werden, sodass die Lehrenden und Lernenden nicht in ihrer Arbeit eingeschränkt sind. Außerdem können Zugriffe mit dem privaten Device anders eingeschränkt werden als mit dem Schulgerät. Auch die Anwendungen bestimmter Office-Programme können reguliert werden, z.B. kann der Zugriff von OneDrive außerhalb des Schulnetzwerkes blockiert werden, Outlook hingegen erlaubt sein. Letztendlich hat jede Bildungseinrichtung verschiedene Möglichkeiten, die Zugriffe unter bestimmten „Conditions“ wie dem Ort oder ausgewählten Zugriffsrichtlinien festzulegen. Jedoch sollten die Zugriffe auch nicht zu detailliert eingestellt werden, um die Möglichkeiten nicht zu stark einzuschränken – eine gute Balance zu finden, ist hier wichtig.

Lernende arbeite in verschiedenen Bereichen einer Hochschule mit dem Surface Pro
Zugriffe sicher verwalten – mit Microsoft Surface und Conditional Access

Wie können Zugriffe sicher verwaltet werden?

Conditional Access bietet Sicherheit und den Lehrenden sowie Lernenden dennoch einen stetigen Zugriff auf die Office-Konten. Denn auch Bildungseinrichtungen haben dadurch die Möglichkeit, die Zugriffe mittels einer Multifaktorauthentifizierung außerhalb des Schulnetzwerk zu verwalten. Alle Geräte, mit denen Lernende außerhalb der Bildungseinrichtung auf die Cloud zugreifen wollen, müssen dabei durch eine Authentifizierung ihre Zugehörigkeit zur Bildungseinrichtung bestätigen, um ungewollte Logins zu vermeiden.

Zur Multifaktorauthentifizierung kann beispielsweise die Möglichkeit der Handybenachrichtigung genutzt werden. Dabei bekommen die Lehrenden und Lernenden, sobald sie sich in ihren Office-Anwendungen anmelden wollen, eine Benachrichtigung auf ihr Mobiltelefon. Die Benachrichtigung kann z.B. durch eine SMS erfolgen, die einen Code beinhaltet, der zum Login im Konto angeben werden muss.

Die Zugriffe können auch gruppenspezifisch festgelegt werden: Die sechste Klasse eines Gymnasiums, die ihr Surface Go nur in der Schule nutzen soll, kann somit beispielsweise andere Zugriffsrechte haben als die zwölfte Klasse, die mit dem Surface Pro 6 auch von zu Hause aus digitale Schulaufgaben erledigen muss.  

Wenn die Surface-Geräte der Lernenden aufgrund eines Versicherungs- oder Garantiefalls einem Austausch unterliegen, muss dies den IT-Beauftragten gemeldet werden. Bei einem Gerätewechsel werden die neuen Seriennummern der Geräte benötigt, um die Multifaktorauthentifizierung für das Nutzerprofil erneut einrichten zu können.

Lehrende und Lernende arbeiten mit den Surface Geräten und Microsoft 365.
Zugriffsberechtigungen festlegen und managen

Die Lernenden schützen

Doch nicht nur Zugriffe können gesichert werden – mit der Gerätekonfiguration gibt es außerdem die Möglichkeit, bestimmte Apps, Websites oder Anwendungen generell nutzer- oder gruppenspezifisch zu blockieren.

Zusätzlich zu diesem Schutz bekommen die Lernenden eine Benachrichtigung, sollte sich jemand unter ihrem Tennant anmelden. Auch unter dem persönlichen Microsoft-Profil können nur Einstellung geändert werden, wenn der zweite Faktor vorhanden ist.

Die Nutzung von digitalen Devices im Schulalltag wird dadurch sicherer – sollte ein Surface verloren gehen oder durch Diebstahl abhanden kommen, kann niemand anders außer der jeweilige Lehrende oder Lernende sowie die IT der Schule/des Cloud-Anbieters auf das Surface-Device zugreifen.

Der sichere Zugriff der Lernenden auf die Office-Konten muss also nicht nur an das Schulnetzwerk gebunden sein, sondern kann mit der Multifaktorauthentifizierung an jedem beliebigen Ort erfolgen.

Haben Sie Fragen zum Thema digitale Schule oder würden Sie gerne mehr über das Thema Conditional Access erfahren? Kontaktiere Sie uns gerne direkt: education.de@surface.love oder unter 0800-SURFACE.