Zero-Trust-Richtlinien werden üblicherweise für Cloud-Anwendungen durchgesetzt, bei denen Identitäts- und Gerätekonformitätsprüfungen stattfinden, bevor der Zugriff gewährt wird. Doch wenn es um den Zugriff per Wi-Fi und VPN geht, spielen diese Signale bei der Entscheidung oft keine Rolle.
Das schafft eine Lücke. Ein Gerät kann Compliance-Prüfungen in einem MDM wie Microsoft Intune nicht bestehen, etwa aufgrund eines veralteten Betriebssystems oder deaktivierter Verschlüsselung, sich aber dennoch erfolgreich über RADIUS im Netzwerk authentifizieren.
Die neuesten Cloud-RADIUS-Verbesserungen von Foxpass helfen, diese Lücke zu schließen, indem sie Gerätezustandssignale in Entscheidungen zur Netzwerkauthentifizierung einbeziehen. So können Unternehmen Zero-Trust-Prinzipien auf den Zugriff über Wi‑Fi und VPN ausweiten.
Die Lücke zwischen Gerätekonformität und Netzwerkzugriff
Viele Unternehmen bewerten den Gerätestatus bereits mithilfe von Microsoft Intune-Compliance-Richtlinien. Diese Richtlinien überprüfen vor der Gewährung des Zugriffs auf Unternehmensressourcen beispielsweise Betriebssystemversionen, den Verschlüsselungsstatus und andere Sicherheitsanforderungen.
Diese Compliance-Signale beeinflussen jedoch nicht immer den Netzwerkzugriff selbst.
Gleichzeitig ist Microsoft Entra Conditional Access für Cloud-Authentifizierungsabläufe und die Ausgabe von Tokens konzipiert. Es ist kein Teil des Authentifizierungspfads für RADIUS-basierte Dienste wie Wi‑Fi oder VPN.
Das Ergebnis ist eine häufige Diskrepanz:
Geräte werden vom MDM auf Compliance geprüft
Benutzer authentifizieren sich über RADIUS im Netzwerk
Die Gerätesicherheit wird bei der Gewährung von Netzwerkzugriff oft nicht berücksichtigt
Das bedeutet, dass Geräte, die die Compliance-Anforderungen nicht mehr erfüllen, sich weiterhin mit dem Unternehmens-WLAN oder VPN verbinden können, sofern keine zusätzlichen Kontrollen implementiert werden.
Einführung der gerätezustandsbasierten Zugriffskontrolle in Foxpass
Foxpass ermöglicht es Administratoren jetzt, den Gerätezustand zusammen mit Identitäts- und Zertifikatsauthentifizierung in Entscheidungen zum Netzwerkzugriff einzubeziehen.
Die Gerätekonformität wird weiterhin von Microsoft Intune bewertet und über Microsoft Entra ID angezeigt. Foxpass ruft diese Posture-Signale ab, speichert sie im Cache und verwendet sie während der RADIUS-Authentifizierung, um zu bestimmen, ob einem Gerät Netzwerkzugriff gewährt werden soll.
Je nach Konfiguration können Administratoren:
Zugriff nur für konforme Geräte zulassen
Zugriff für nicht konforme Geräte verweigern
Verschieben Sie nicht verwaltete oder nicht konforme Geräte in ein Quarantänenetzwerk
Dieser Ansatz ermöglicht es Unternehmen, eine Anforderung an den Gerätezustand direkt auf der Netzwerkebene durchzusetzen und dabei weiterhin ihre bestehenden Identitäts- und Gerätemanagementsysteme zu nutzen.
Zustandsbewusster Zugriff ohne die volle Komplexität einer Network Access Control (NAC)
Herkömmliche NAC-Lösungen basieren häufig auf Endpoint-Agents, Inline-Enforcement-Appliances und einer kontinuierlichen Geräteüberprüfung im gesamten Netzwerk. Diese Systeme bieten zwar tiefgehende Transparenz und Kontrolle, können aber auch betriebliche Komplexität und zusätzlichen Infrastrukturaufwand mit sich bringen.
Foxpass verfolgt einen schlankeren Ansatz. Die Gerätestatusbewertung wird weiterhin von der vorhandenen MDM-Plattform des Unternehmens durchgeführt, und Foxpass nutzt diese Signale während des Authentifizierungsprozesses. Da die Durchsetzung während der RADIUS-Authentifizierung erfolgt, können Unternehmen zustandsabhängige Entscheidungen für den Netzwerkzugriff umsetzen, ohne zusätzliche Agents, Inline-Appliances oder eine vollständige NAC-Infrastruktur bereitzustellen.
Für viele Teams, insbesondere solche, die in Cloud-First- oder verteilten Umgebungen arbeiten, bietet dies eine praktische Möglichkeit, die Gerätekonformität am Netzwerkrand durchzusetzen.
So funktioniert die Durchsetzung von Sicherheitsrichtlinien
Die gerätezustandsbasierte Zugriffskontrolle in Foxpass ist konfigurierbar und standardmäßig nicht aktiviert.
Sobald die Integration mit Intune und Entra ID eingerichtet ist, stehen Posture-Signale zur Verfügung, aber Administratoren können wählen, wie und wann sie Richtlinien durchsetzen. Einige Unternehmen beginnen möglicherweise damit, Posture-Signale zu beobachten, bevor sie Richtlinien durchsetzen, während andere den Zugriff für Geräte, die Compliance-Prüfungen nicht bestehen, sofort einschränken.
Abhängig von den Richtlinienanforderungen können Administratoren:
Verweigern Sie den Zugriff vollständig für nicht konforme Geräte
Verschieben Sie diese Geräte zur Behebung in ein Quarantänenetzwerk
Überwachen Sie weiterhin die Posture-Signale, bevor Sie die Durchsetzung aktivieren
Es ist auch wichtig zu verstehen, an welcher Stelle im Authentifizierungsablauf diese Entscheidungen getroffen werden.
Microsoft Intune bewertet die Gerätekonformität. Microsoft Entra ID zeigt Informationen zum Gerätestatus an. Foxpass verwendet diese Signale, um die Zugriffsentscheidung des Netzwerks während der RADIUS-Authentifizierung zu steuern.
Da sich die Authentifizierung für Wi‑Fi und VPN auf RADIUS stützt, erfolgen diese Durchsetzungsentscheidungen außerhalb des Microsoft Entra Conditional Access-Modells, das für Cloud-Anwendungen verwendet wird.
Zero Trust an den Netzwerkrand bringen
Durch die Einbeziehung des Gerätezustands in Entscheidungen zur Netzwerkauthentifizierung erweitert Foxpass Zero-Trust-Richtlinien über Cloud-Anwendungen hinaus auf das Netzwerk selbst. Jede Verbindung kann anhand mehrerer Signale bewertet werden, darunter Identität, Zertifikate und Gerätekonformität, bevor der Netzwerkzugriff gewährt wird.
Für Unternehmen, die bereits Microsoft Intune und Entra ID nutzen, bietet dies eine unkomplizierte Möglichkeit, Wi‑Fi- und VPN-Zugriffsrichtlinien an bestehende Anforderungen an die Gerätekonformität anzupassen.
