This information is available in German and English.

🇦🇹 Deutsche Version | 🇬🇧 English Version

🇦🇹 Deutsch

Conditional Access bezeichnet im Rahmen der Informationssicherheit Sicherheitsmaßnahmen, die den Zugriff auf IT-Dienste und Daten der WU steuern. Dabei müssen Geräte und WU-Accounts vordefinierte Bedingungen erfüllen - z.B. die Zwei-Faktor-Authentifizierung (2FA) oder die Verwendung eines von IT-SERVICES verwalteten Gerätes. Diese managed devices sind typischerweise WU-Arbeitsplatzgeräte und WU-Mobilgeräte (Tablets, Smartphones). Hingegen werden Geräte, die nicht von IT-SERVICES verwaltet werden (=unmanaged devices), als generell unsicher¹⁾ eingestuft und erhalten nur eingeschränkten Zugang zu Daten und IT-Diensten an der WU.

^{1) Fehlende Updates, individuell beschaffte Software oder speziell konfigurierte Berechtigungen können bei Cyberangriffen Vorteile für Angreifer*innen erzeugen.}

Vorteile von Conditional Access

Verbesserte Sicherheit
Durch die Anwendung von Bedingungen wie Standort, Gerätezustand und Benutzeridentität wird der Zugriff auf IT-Ressourcen nur autorisierten und sicheren Verbindungen gewährt. Dies reduziert das Risiko von Datenlecks und unbefugtem Zugriff.
Schutz vor Cyberangriffen
Durch die automatische Prüfung der Zugriffsbedingungen können ungewöhnliche Anmeldeversuche rascher erkannt werden. Dies erschwert Angreifern auf sensible Daten zuzugreifen.
Verbesserte Benutzererfahrung auf zentral verwalteten Geräten
Benutzer*innen müssen nur dann zusätzliche Verifizierungen durchführen, wenn ein erhöhtes Risiko erkannt bzw. angenommen wird. Dies sorgt für eine reibungslose und sichere Nutzung der IT-Dienste.

Umsetzung von Conditional Access an der WU

Grundsätzlich entscheidet das verwendete Gerät über die Einschränkungen (managed vs. unmanaged device - siehe Zugriffsregeln für Geräte-Typen).

Für mobile unmanaged devices werden ergänzend noch zwei Nutzungsszenarien unterschieden

Das Szenario MS Teams nutzen können Sie erst ab Herbst 2025 auswählen/nutzen. Bis dahin ist einheitlich das Szenario Nur E-Mail abrufen verfügbar.

Nur E-Mail abrufen (Standard-Szenario ohne weitere Erfordernisse)
Die App für E-Mail kann frei gewählt werden. Sie müssen keine weitere App installieren, können aber keine Microsoft-Apps (z.B. Teams) verwenden.
MS Teams nutzen (mit Biometrie und Broker-App)
Wenn Sie MS Teams für die WU-interne Kollaboration und Kommunikation auch am privaten Mobilgerät nutzen wollen, ist die Installation einer Broker-App (vgl. Kasten unten) sowie die Einrichtung einer biometrischen Anmeldung (Fingerprint, Face-ID) erforderlich. Diese benötigen Sie beim Öffnen von Microsoft-Apps (z.B. Teams, Outlook).

Broker-App

Die sogenannte “Broker-App” schützt auf unmanaged Smartphones und Tablets den Zugriff auf Microsoft 365-Apps (z.B. Teams, Outlook, SharePoint, OneDrive, …) und wird zwingend benötigt, um die Apps mit einem WU-Account nutzen können.
Vorgeschriebene Broker-Apps:
- Apple iOS: Microsoft Authenticator (Download aus dem Apple App-Store)
- Android: Microsoft Untern.-Portal (Download aus dem Google Play-Store)
Sie müssen keine Konfiguration oder Anmeldung bei der Broker-App durchführen, die bloße Installation der App genügt!

Zugriffsregeln für Geräte-Typen

Beachten Sie
Das Nutzungsszenario MS Teams-App nutzen hat zum Ziel, dass Sie mit Ihrem - meist privaten - Smartphone oder Tablet weiterhin die zentralen Kollaborations- und Kommunikationsdienste der WU nutzen können, insbesondere Microsoft Teams.

IT-Dienst bzw. App	Managed device	Privates Gerät oder privates Mobilgerät mit Nutzungsszenario: Nur E-Mail abrufen (keine Biometrie, keine Broker-App)	Privates Mobilgerät mit Nutzungsszenario: MS Teams nutzen (Biometrie und Broker-App)

IT-Dienst bzw. App	Managed device	Privates Gerät oder privates Mobilgerät mit Nutzungsszenario: Nur E-Mail abrufen (keine Biometrie, keine Broker-App)	Privates Mobilgerät mit Nutzungsszenario: MS Teams nutzen (Biometrie und Broker-App)
Authentifizierung WU-Account	Abfrage des 2. Faktors alle 30 Tage	Re-Login & Abfrage des zweiten Faktors alle 12 Stunden Keine Broker-App notwendig Keine Einschränkung bei der Verwendung der Mail-App nach Wahl	Re-Login & Abfrage des zweiten Faktors alle 12 Stunden Installation der passenden Broker-App für Ihr Betriebssystem Biometrische Anmeldung beim Öffnen von Microsoft Apps (wird mit einer neu zu wählenden PIN verknüpft) Zugriff auf Mails via Outlook App bevorzugt
OneDrive	Keine Einschränkungen	Dateien können über Webzugriff heruntergeladen werden Keine automatische Synchronisation von Dateien via App	Keine Einschränkungen
SharePoint online (wu.sharepoint.com)	Keine Einschränkungen	Dateien können über Webzugriff heruntergeladen werden Keine automatische Synchronisation von Dateien via App	Keine Einschränkungen
Teams (Desktop)	Keine Einschränkungen	MS Teams kann im Browser verwendet werden	---
Teams-App (mobile)	Keine Einschränkungen	Die MS Teams App kann mit Ihrem WU Account auf Mobilgeräten nicht verwendet werden.	Keine Einschränkungen (vgl. Zeile “Authentifizierung WU-Account” für Erfordernisse)
E-Mail	Keine Einschränkungen	Re-Login & Abfrage des zweiten Faktors alle 7 Tage	Re-Login & Abfrage des zweiten Faktors alle 7 Tage

🇬🇧 English

Conditional Access

In the context of information security, conditional access refers to security measures that control access to IT services and WU data. Devices and WU accounts must fulfill predefined conditions - e.g. two-factor authentication (2FA) or the use of a device managed by IT-SERVICES. These managed devices are typically WU workstation devices and WU mobile devices (tablets, employee smartphones). In contrast, devices that are not managed by IT-SERVICES (=unmanaged devices) are generally categorized as insecure¹⁾ and are only granted restricted access to data and IT services at WU.

^{1) Missing updates, individually procured software or specially configured authorizations can create advantages for attackers in the event of cyberattacks.}

Advantages of Conditional Access

Improved security
By applying conditions such as location, device status and user identity, access to IT resources is only granted to authorized and secure connections. This reduces the risk of data leaks and unauthorized access.
Protection against cyber attacks
By automatically checking the access conditions, unusual login attempts can be recognized more quickly. This makes it more difficult for attackers to access sensitive data.
Improved user experience on centrally managed devices
Users only have to perform additional verifications if an increased risk is recognized or assumed. This ensures smooth and secure use of IT services.

Implementation of Conditional Access at WU

In general, the device you use determines which access restrictions apply (managed vs. unmanaged device – see Access rules for device types).

For mobile unmanaged devices, the following two distinct usage scenarios apply

Szenario Use MS Teams is available from autumn 2025 onward. Until then, only the scenario access email only is useable.

Access email only (default scenario, no additional setup required)
You can use any email app of your choice. No additional apps need to be installed. However, Microsoft apps (such as Teams) cannot be used.
Use MS Teams (requires biometrics and broker app)
If you want to use Microsoft Teams for WU internal collaboration and communication on your private mobile device, you must install a broker app (see box below) and set up biometric authentication (e.g. fingerprint, Face ID). Biometric authentication is required each time you open a Microsoft app (e.g. Teams, Outlook).

Broker-App

The so-called “broker app” protects access to Microsoft 365 apps (e.g., Teams, Outlook, SharePoint, OneDrive, …) on unmanaged smartphones and tablets and is mandatory to use these apps with a WU account.
Required broker apps by platform:
- Apple iOS: Microsoft Authenticator (Download via the Apple App Store).
- Android: Microsoft Intune Company Portal (Download via the Google Play Store).
You do not need to configure or sign in to the broker app, installation alone is sufficient!

Access Rules for Device Types

Please Note
The Use MS Teams app scenario is designed to ensure that you can continue using WU’s core collaboration and communication tools - especially Microsoft Teams - on your (usually private) smartphone or tablet.

IT Service / App	Managed Device	Unmanaged Devices or unmanaged mobile Devices with usage scenario: Access email only (No biometrics, no broker app)	Unmanaged mobile Device with usage scenario: Use MS Teams (Biometrics + Broker App)

IT Service / App	Managed Device	Unmanaged Devices or unmanaged mobile Devices with usage scenario: Access email only (No biometrics, no broker app)	Unmanaged mobile Device with usage scenario: Use MS Teams (Biometrics + Broker App)
Authentication WU Account	2FA required every 30 days	Re-login & 2FA every 12 hours	Re-login & 2FA every 12 hours Install the required broker app for your operating system Biometric login required when opening Microsoft apps (linked to a new PIN of your choice) Access email preferably via the Outlook app
OneDrive	No restrictions	Files can be downloaded via web access No automatic file sync via app	No restrictions
SharePoint Online (wu.sharepoint.com)	No restrictions	Files can be downloaded via web access No automatic file sync via app	No restrictions
Teams (Desktop)	No restrictions	MS Teams can be used in the web browser	---
Teams App (Mobile App)	No restrictions	MS Teams app cannot be used with your WU account	No restrictions (see row "Authentication WU Account" for requirements)
Email	No restrictions	Re-login & 2FA every 7 days	Re-login & 2FA every 7 days