In meinen Projekten (Office 365 / 100% Cloud) ist Conditional Access (CA) nicht mehr wegzudenken. Für uns “SharePoint“ Leute hat CA eine spezielle Geschmacksrichtung. Eine der ersten Session-Based CA Policies arbeitet mit SharePoint und ermöglicht so zusätzliche Kontrollen beim Zugriff auf SharePoint. Microsoft hat das ganze in einem Blogpost beschrieben. Jetzt wurde angekündigt, dass es in die nächste Runde geht und die Konfiguration nicht mehr auf den ganzen Tenant zieht, sondern einzelne Site Collections adressiert. In diesem Zuge wollte ich mal wieder meine AAD + SPO Konfiguration gerade ziehen, aber siehe da… es fehlt was! So sieht es im SharePoint Admin Center unter dem Punkt “Device Access” aus:
Eigentlich sollte der Dialog so aussehen:
Es fehlt der entscheidende Teil:
“Control access from devices that aren’t compliant or joined to a domain”
oder auf deutsch:
_“Zugriff von Geräten steuern, die nicht konform oder einer Domäne beigetreten sind”
_Jetzt stellt sich die Frage warum? Mein Tenant ist auf “First Release”, also sollte es doch funktionieren. Eine kurze Recherche hat mich zum überraschenden Ergebnis geführt:
Quelle: Microsoft Support - Control access from unmanaged devices
Mein Tenant war tatsächlich für einen Test auf die Option “First release for selected users” eingestellt:
Lösung
Wie im Support Dokument beschrieben habe ich das Setting geändert auf die Option “First release for everyone”:
Kurze Zeit später (es zieht nicht sofort), konnte ich über das SharePoint Admin Center die gewünschte “Device Access” Konfiguration abschließen.
Ich habe in der Vergangenheit immer nach den Unterschieden der beiden “First Release” Einstellungen gesucht. Dieser Fall ist der erste mir bekannte.