Microsoft Entra Private Access BYOD: Zugriff auf interne Ressourcen mit Entra Registered Geräten

Bis anhin war der Zugriff auf interne Ressourcen über Microsoft Entra Private Access auf verwaltete Geräte beschränkt, die Microsoft Entra joined oder Microsoft Entra hybrid joined sein mussten. Mit der nun verfügbaren Bring Your Own Device (BYOD) Unterstützung in Microsoft Entra Private Access entfällt diese Einschränkung. Neu sind auch Microsoft Entra registered Geräte für den Zugriff auf interne Ressourcen über Microsoft Entra Private Access zugelassen.

Bei der ersten Anmeldung über den Global Secure Access Client wird das Gerät im Tenant als Microsoft Entra registered registriert und als Geräteobjekt angelegt. Microsoft Entra registered Geräte unterstützen Microsoft Entra Private Access, jedoch nicht Microsoft Entra Internet Access.

Bring Your Own Device (BYOD) in Microsoft Entra Private Access befindet sich aktuell in Public Preview.

Inhaltsverzeichnis verbergen

1 Voraussetzungen und Lizenzierung

1.1 Profil für privaten Zugriff

1.2 Global Secure Access Client

1.3 Lizenzen

1.4 Rollen

2 Microsoft Entra Private Access BYOD konfigurieren

2.1 Konfiguration Datenverkehrsweiterleitung

2.2 Installation Global Secure Access Client

2.3 Verbindung mit Entra Private Access herstellen

3 Verbindungskontrolle

3.1 Global Secure Access Client

3.2 Geräteregistrierung

4 Fazit

Voraussetzungen und Lizenzierung

Profil für privaten Zugriff

Für den Zugriff auf interne Ressourcen mit Bring Your Own Device (BYOD) ist Microsoft Entra Private Access erforderlich. Eine vollständige Anleitung zur Einrichtung von Microsoft Entra Private Access ist hier zu finden: Microsoft Entra Private Access: sicherer Zugriff auf interne Ressourcen und Cloud-Dienste ohne VPN – cloudkaffee.ch

Global Secure Access Client

Der Global Secure Access Client wird ab Version 2.26.108 benötigt.
Die Clientsoftware steht im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Global Secure Access > Verbinden > Client Download zum Herunterladen zur Verfügung.

Microsoft Entra Private Access BYOD client download page in the Entra admin center showing Windows 10/11 download option

Lizenzen

Für BYOD in Microsoft Entra Private Access ist keine zusätzliche Lizenz erforderlich. Das Feature ist Bestandteil von Microsoft Entra Private Access und wird innerhalb dieser Lizenz genutzt.

Rollen

Für die Konfiguration der Datenverkehrsweiterleitungen sind folgende Rollen nach dem Prinzip der geringsten Berechtigungen geeignet:

Rolle	Berechtigung
Global Secure Access-Administrator	Einrichten und Verwalten von Global Secure Access
Anwendungsadministrator	Hinzufügen und Entfernen von Benutzern der Datenverkehrsweiterleitungsprofilen

Microsoft Entra Private Access BYOD konfigurieren

Konfiguration Datenverkehrsweiterleitung

Für den Zugriff mit einem Bring Your Own Device (BYOD) Gerät auf interne Ressourcen ist die Zuweisung des Benutzers zum Profil für privaten Zugriff erforderlich.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Global Secure Access > Verbinden > Datenverkehrsweiterleitung > Profil für privaten Zugriff > Benutzer- und Gruppenzuweisungen

Installation Global Secure Access Client

Das Gerät benötigt den Global Secure Access Client ab Version 2.26.108 oder neuer. Die Clientsoftware steht im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Global Secure Access > Verbinden > Client Download zum Herunterladen bereit.

Microsoft Entra Private Access BYOD client download page for Windows in the Entra admin center

Die heruntergeladene Datei GlobalSecureAccessClient.exe auf dem Gerät per Doppelklick starten und installieren. Der Installationsvorgang ist selbsterklärend.

Microsoft Entra Private Access BYOD Global Secure Access Client installation successfully completed on Windows

Verbindung mit Entra Private Access herstellen

Beim ersten Start des Global Secure Access Clients erscheint die Aufforderung zur Anmeldung.
Sign in auswählen.

Microsoft Entra Private Access BYOD Global Secure Access client notification requesting sign in on Windows device

Anmeldedaten eingeben

Microsoft Entra Private Access BYOD user sign in window displayed during Global Secure Access authentication

Wenn die Meldung „Anmelden bei allen Apps, Websites und Diensten auf diesem Gerät?“ erscheint, Ja auswählen. Dadurch wird das Gerät im Tenant registriert (1).

Microsoft Entra Private Access BYOD device registration prompt asking to sign in to all apps and services

Das Gerät ist registriert und nach einem Neustart ist Microsoft Entra Global Secure Access verbunden.

Verbindungskontrolle

Global Secure Access Client

In der Übersicht des Global Secure Access Clients wird der Verbindungstyp Entra registered (1), die aktive Verbindung zu Microsoft Entra Private Access (2) sowie die aktuell genutzte Organisation (3) angezeigt.

Microsoft Entra Private Access BYOD connection status showing Entra registered device and private channel connected

Geräteregistrierung

Bei der erstmaligen Anmeldung mit einem Bring Your Own Device (BYOD) wird das Gerät im Tenant unter dem Benutzer als Microsoft Entra registered angelegt.

Microsoft Entra Admin Center (https://admin.microsoft.com) > Entra ID > Benutzer > Benutzer auswählen > Geräte

Microsoft Entra Private Access BYOD Entra registered device listed in Entra ID user device overview

Fazit

Microsoft Entra Private Access BYOD ermöglicht den Zugriff auf interne Ressourcen mit Microsoft Entra registered Geräten. Dadurch lassen sich BYOD Szenarien in eine bestehende Zero Trust Architektur integrieren, ohne separate VPN Lösungen betreiben zu müssen. Global Secure Access gewinnt dadurch an zusätzlicher Flexibilität und unterstützt moderne Arbeitsmodelle für einen sicheren Zugriff auf interne Ressourcen.