Conditional Access

Pilotphase
Diese Inhalte sind vorläufig nur für Anwender*innen relevant, die an der Pilotphase teilnehmen.
Sie können die folgenden Inhalte ignorieren, wenn Sie nicht per E-Mail oder Ihre Führungskraft explizit informiert wurden.

Conditional Access bezeichnet im Rahmen der Informationssicherheit Sicherheitsmaßnahmen, die den Zugriff auf IT-Dienste und Daten der WU steuern. Dabei müssen Geräte und WU-Accounts vordefinierte Bedingungen erfüllen - z.B. die Zwei-Faktor-Authentifizierung (2FA) oder die Verwendung eines von IT-SERVICES verwalteten Gerätes. Diese managed devices sind typischerweise WU-Arbeitsplatzgeräte und Mobilgeräte (Tablets, WU Diensthandys). Hingegen werden Geräte, die nicht von IT-SERVICES verwaltet werden (=unmanaged devices), als generell unsicher¹⁾ eingestuft und erhalten nur eingeschränkten Zugang zu Daten und IT-Diensten an der WU.

^{1) Fehlende Updates, individuell beschaffte Software oder speziell konfigurierte Berechtigungen können bei Cyberangriffen Vorteile für Angreifer*innen erzeugen, die sich nicht automatisch erkennen lassen.}

Vorteile von Conditional Access

Verbesserte Sicherheit
Durch die Anwendung von Bedingungen wie Standort, Gerätezustand und Benutzeridentität wird der Zugriff auf IT-Ressourcen nur autorisierten und sicheren Verbindungen gewährt. Dies reduziert das Risiko von Datenlecks und unbefugtem Zugriff.
Schutz vor Cyberangriffen
Durch die automatische Prüfung der Zugriffsbedingungen können ungewöhnliche Anmeldeversuche rascher erkannt werden. Dies erschwert Angreifern auf sensible Daten zuzugreifen.
Verbesserte Benutzererfahrung auf zentral verwalteten Geräten
Benutzer*innen müssen nur dann zusätzliche Verifizierungen durchführen, wenn ein erhöhtes Risiko erkannt bzw. angenommen wird. Dies sorgt für eine reibungslose und sichere Nutzung der IT-Dienste.

Übersicht geltender Einschränkungen

IT-Dienst bzw. App	Managed device	Unmanaged device
Authentifizierung WU-Account	Abfrage des 2. Faktors alle 30 Tage	Re-Login & Abfrage des zweiten Faktors alle 12 Stunden
Controlpanel	Abfrage des 2. Faktors bei JEDEM Login	Abfrage des 2. Faktors bei JEDEM Login
OneDrive	Keine Einschränkungen	Dateien können über Webzugriff heruntergeladen werden Keine automatische Synchronisation von Dateien via App
SharePoint online (wu.sharepoint.com)	Keine Einschränkungen	Dateien können über Webzugriff heruntergeladen werden Keine automatische Synchronisation von Dateien via App
Teams (Desktop)	Keine Einschränkungen	Teams kann im Browser verwendet werden
Teams (mobile)	Keine Einschränkungen	Die Teams-App erfordert beim Öffnen einen zusätzlichen PIN (Timeout = 5 Minuten). Sie benötigen eine Session-Broker-App, um den PIN effektiv nutzen zu können (vgl. Absatz Teams-App auf Mobilgeräten) Benachrichtigungen der Teams-App zeigen keinen Inhalt (z.B. am Sperrbildschirm)
E-Mail	Keine Einschränkungen	Re-Login & Abfrage des zweiten Faktors alle 7 Tage

Teams-App auf unmanaged Geräten

Auf unmanaged Tablets und Smartphones muss in der Teams-App ein zusätzlicher PIN gesetzt werden:
1. Sie benötigen den PIN bei jedem Öffnen der App - ausgenommen davon sind jeweils die ersten 5 Minuten nach Eingabe des PINs. Das erlaubt Ihnen z.B. den Wechsel von Teams zu E-Mail oder zum Kalender und wieder zurück in die Teams-App.
Sie benötigen eine zusätzliche App, die das Timeout des PINs sicherstellt (“Session-Broker App”). Das unmanaged Mobilgerät wird damit nicht verwaltet!
1. für Android installieren Sie die Unternehmensportal-App
2. für Apple iOS installieren Sie den Microsoft Authenticator