Planen von Richtlinien für bedingten Zugriff

8 Minuten

Die Planung Ihrer Bereitstellung für bedingten Zugriff ist wichtig, um sicherzustellen, dass Sie die Zugriffsstrategie Ihrer Organisation für Apps und Ressourcen umsetzen.

In einer von Mobilgeräten und der Cloud geprägten Welt können Ihre Benutzer über verschiedenste Geräte und Apps von überall aus auf Ressourcen Ihrer Organisation zugreifen. Daher reicht es nicht mehr aus, sich darauf zu konzentrieren, wer Zugriff auf eine Ressourcen besitzt. Sie müssen auch berücksichtigen, wo sich die benutzende Person befindet, welches Gerät verwendet wird, auf welche Ressource zugegriffen wird und vieles mehr.

Der bedingte Zugriff von Microsoft Entra analysiert Signale wie Benutzer, Gerät und Standort, um Entscheidungen zu automatisieren und Zugriffsrichtlinien der Organisation für Ressourcen zu erzwingen. Mithilfe von Richtlinien für bedingten Zugriff können Sie Zugriffssteuerungen wie die mehrstufige Authentifizierung (MFA) anwenden. Mit Richtlinien für bedingten Zugriff können Sie Benutzer zur mehrstufigen Authentifizierung auffordern, wenn dies aus Sicherheitsgründen erforderlich ist, und die Aufforderung für Benutzer umgehen, wenn dies nicht erforderlich ist.

Diagramm, das zeigt, wie der bedingte Zugriff funktioniert. Der zentrale Identitätsanbieter überprüft die Regeln, bevor der Zugriff gewährt wird.

Obwohl Sicherheitsstandards ein grundlegendes Maß an Sicherheit gewährleisten, benötigt Ihre Organisation mehr Flexibilität als die Sicherheitsstandards bieten. Sie können CA verwenden, um die Sicherheitsstandardwerte detaillierter anzupassen und neue Richtlinien zu konfigurieren, die Ihren Anforderungen entsprechen.

Vorteile

Die Bereitstellung des bedingten Zugriffs bietet folgende Vorteile:

Steigern Sie die Produktivität – unterbrechen Sie Benutzer nur mit einer Anmeldebedingung wie MFA, wenn ein oder mehrere Signale dies garantieren. Mithilfe von Richtlinien für bedingten Zugriff können Sie steuern, wann Benutzer MFA verwenden müssen, wann der Zugriff blockiert wird und wann ein vertrauenswürdiges Gerät verwendet werden muss.
Risiko verwalten – Die Automatisierung der Risikobewertung mit Richtlinienbedingungen bedeutet, dass riskante Anmeldungen gleichzeitig identifiziert und behoben oder blockiert werden. Die Kopplung von bedingtem Zugriff mit Identity Protection zum Erkennen von Anomalien und verdächtigen Ereignissen ermöglicht Ihnen Zielvorgaben, wann der Zugriff auf Ressourcen blockiert oder eingeschränkt wird.
Adressierung von Compliance und Governance – Mit bedingtem Zugriff können Sie den Zugriff auf Anwendungen überwachen, Nutzungsbedingungen für die Zustimmung darstellen und den Zugriff basierend auf Compliancerichtlinien einschränken.
Kosten Verwalten: Durch das Verschieben von Zugriffsrichtlinien in Microsoft Entra ID werden die Abhängigkeit von benutzerdefinierten oder lokalen Lösungen für bedingten Zugriff und deren Infrastrukturkosten reduziert.
Zero Trust – Bedingter Zugriff hilft Ihnen, zu einer Zero-Trust-Umgebung zu wechseln.

Grundlegendes zu den Komponenten der Richtlinie für bedingten Zugriff

Richtlinien für bedingten Zugriff sind If-Then-Anweisungen: Wenn ein Arbeitsauftrag erfüllt ist, wenden Sie diese Zugriffssteuerungen an. Wenn der Administrator CA-Richtlinien konfiguriert, werden Bedingungen als Zuordnungen bezeichnet. Richtlinien für bedingten Zugriff ermöglichen das Durchsetzen von Zugriffssteuerungen für die Apps Ihrer Organisation auf der Grundlage bestimmter Zuweisungen.

Screenshot des Dialogfelds für bedingten Zugriff mit geöffnetem Fenster zur Erstellung und Konfiguration von Richtlinien.

Mithilfe von Zuweisungen werden die Benutzer und Gruppen definiert, die von der Richtlinie betroffen sind, die Cloud-Apps oder -aktionen, auf die die Richtlinie angewendet wird, sowie die Bedingungen, unter denen die Richtlinie angewendet wird. Zugriffssteuerungseinstellungen können den Zugriff auf verschiedene Cloud-Apps gewähren oder blockieren und eingeschränkte Interaktionsmöglichkeiten innerhalb bestimmter Cloud-Apps bewirken.

Es folgen einige häufig gestellte Fragen zu Zuweisungen, Zugriffssteuerungen und Sitzungssteuerelementen:

Benutzer und Gruppen: Welche Benutzer und Gruppen werden in die Richtlinie eingeschlossen oder aus ihr ausgeschlossen? Umfasst diese Richtlinie alle Benutzenden, bestimmte Benutzergruppen, Verzeichnisrollen oder externe Benutzende?
Cloud-Apps oder -aktionen: Für welche Anwendungen gilt die Richtlinie? Welche Benutzeraktionen werden dieser Richtlinie unterliegen?
Bedingungen: Welche Geräteplattformen werden in die Richtlinie eingeschlossen oder aus ihr ausgeschlossen? Wo sind die vertrauenswürdigen Standorte der Organisation?
Zugriffssteuerungen: Möchten Sie den Zugriff auf Ressourcen gewähren, indem Anforderungen wie MFA, als konform markierte Geräte oder in Hybrid-Microsoft Entra eingebundene Geräte implementiert werden?
Sitzungssteuerelemente: Möchten Sie den Zugriff auf Cloud-Apps steuern, indem Sie Anforderungen wie in der App erzwungene Berechtigungen oder App-Steuerung für bedingten Zugriff implementieren?

Ausstellung von Zugriffstoken

Zugriffstoken bieten Clients die Möglichkeit, auf sichere Weise geschützte Web-APIs aufzurufen, welche die Zugriffstoken zur Authentifizierung und Autorisierung verwenden. Gemäß der OAuth-Spezifikation sind Zugriffstoken nicht transparente Zeichenfolgen ohne ein bestimmtes Format. Einige Identitätsanbieter (IDPs) verwenden GUIDs, andere verschlüsselte Blobs. Je nach Konfiguration der API, die das Token akzeptiert, verwendet Microsoft Identity Platform für Zugriffstoken verschiedene Formate.

Es ist wichtig zu verstehen, wie Zugriffstoken ausgestellt werden.

Diagramm des Ablaufs zur Ausstellung eines Zugriffstokens für bedingten Zugriff und dessen Verwendung.

Hinweis

Wenn keine Zuweisung erforderlich ist und keine Richtlinie für bedingten Zugriff aktiviert ist, besteht das Standardverhalten darin, ein Zugriffstoken auszustellen.

Stellen Sie sich z. B. eine Richtlinie vor, in der Folgendes gilt:

WENN sich der Benutzer in Gruppe 1 befindet, DANN MFA zum Zugriff auf App 1 erzwingen.

WENN ein Benutzer nicht in Gruppe 1 versucht, auf die App zuzugreifen, wird die Bedingung "if" erfüllt und ein Token ausgegeben. Zum Ausschließen von Benutzern außerhalb von Gruppe 1 ist eine separate Richtlinie erforderlich, um alle anderen Benutzer zu blockieren.

Bewährte Methode befolgen

Die Struktur des bedingten Zugriffs bietet große Flexibilität bei der Konfiguration. Mehr Flexibilität bedeutet jedoch auch, dass Sie jede Konfigurationsrichtlinie vor dem Veröffentlichen sorgfältig prüfen sollten, um unerwünschte Ergebnisse zu vermeiden.

Einrichten von Konten für den Notfallzugriff

Wenn Sie eine Richtlinie falsch konfigurieren, kann die Organisationen aus dem Azure-Portal ausgesperrt werden. Entschärfen Sie das versehentliche Aussperren von Administratoren, indem Sie in Ihrer Organisation mindestens zwei Konten für den Notfallzugriff erstellen. Weitere Informationen zu Notfallzugriffskonten finden Sie weiter unten in diesem Kurs.

Einrichten eines reinen Berichtsmodus

Es kann schwierig sein, die Anzahl und die Namen von Benutzenden vorherzusagen, die von häufigen Bereitstellungsinitiativen betroffen sind, beispielsweise:

Blockieren von Legacyauthentifizierung
Anfordern von MFA
Implementieren von Anmelderisiko-Richtlinien.

Im Modus „Nur melden“ können Administratoren die Richtlinien für bedingten Zugriff auswerten, bevor sie sie in ihrer Umgebung aktivieren.

Mit Microsoft Entra ID können Sie benannte Speicherorte erstellen. Erstellen Sie einen benannten Standort, der alle Länder enthält, von denen Sie niemals eine Anmeldung erwarten. Erstellen Sie dann eine Richtlinie für alle Apps, die die Anmeldung von diesem benannten Standort blockieren. Stellen Sie sicher, dass Sie Ihre Administratoren von dieser Richtlinie ausgenommen haben.

Allgemeine Richtlinien

Überlegen Sie sich bei der Planung Ihrer Richtlinienlösung für bedingten Zugriff, ob Sie Richtlinien erstellen müssen, um die folgenden Ergebnisse zu erzielen.

Anfordern von MFA. Häufige Anwendungsfälle sind beispielsweise das Anfordern von MFA durch Administratoren, für bestimmte Apps, für alle Benutzer oder von Netzwerkadressen, denen Sie nicht vertrauen.
Reagieren auf potenziell gefährdete Konten. Es können drei Standardrichtlinien aktiviert werden: von allen Benutzern eine Registrierung für MFA anfordern, eine Kennwortänderung für Benutzer mit hohem Risiko anfordern und MFA für Benutzer mit mittlerem oder hohem Anmelderisiko anfordern.
Vorschreiben der Verwendung verwalteter Geräte. Die zunehmende Verbreitung unterstützter Geräte für den Zugriff auf Ihre Cloudressourcen kommt der Produktivität Ihrer Benutzenden zugute. Es gibt wahrscheinlich Ressourcen in Ihrer Umgebung, die nicht für Geräte mit unbekannter Schutzebene zugänglich sein sollen. Für diese betroffenen Ressourcen sollten Sie daher sicherstellen, dass Benutzende nur unter Verwendung eines verwalteten Geräts auf sie zugreifen können.
Vorschreiben der Verwendung genehmigter Client-Apps. Mitarbeitende verwenden ihre mobilen Geräte sowohl für private als auch für berufliche Zwecke. Bei BYOD-Szenarien müssen Sie entscheiden, ob Sie das gesamte Gerät oder nur die darin enthaltenen Daten verwalten möchten. Wenn Sie nur Daten und Zugriff verwalten, können Sie genehmigte Cloud-Apps vorschreiben, die Ihre Unternehmensdaten schützen können.
Zugriff blockieren Beim Blockieren des Zugriffs werden alle anderen Zuweisungen für einen Benutzer außer Kraft gesetzt, und es besteht die Möglichkeit, die Anmeldung bei Ihrem Mandanten für die gesamte Organisation zu blockieren. Dies kann z. B. verwendet werden, wenn Sie eine App zu Microsoft Entra ID migrieren, aber noch nicht bereit sind, dass sich Benutzer bei ihr anmelden. Sie können auch den Zugriff auf Ihre Cloud-Apps von bestimmten Netzwerkadressen blockieren, oder den Zugriff auf Ihre Mandantenressourcen für Apps blockieren, die Legacyauthentifizierung verwenden.

Wichtig

Wenn Sie eine Richtlinie erstellen, mit der der Zugriff für alle Benutzer blockiert wird, schließen Sie unbedingt Konten für den Notfallzugriff aus, und ziehen Sie den Ausschluss aller Administratoren aus der Richtlinie in Betracht.

Kompilieren und Testen von Richtlinien

Stellen Sie in jeder Phase der Bereitstellung sicher, dass ausgewertet wird, ob die Ergebnisse den Erwartungen entsprechen.

Wenn neue Richtlinien bereit sind, stellen Sie sie in Phasen in der Produktionsumgebung bereit:

Informieren Sie die Endbenutzenden intern über die Änderung.
Beginnen Sie mit einer kleinen Gruppe von Benutzern, und vergewissern Sie sich, dass das Verhalten der Richtlinie den Erwartungen entspricht.
Wenn Sie eine Richtlinie auf einen größeren Benutzerkreis erweitern, schließen Sie dabei weiterhin alle Admins aus. Durch den Ausschluss der Admins ist gewährleistet, dass weiterhin jemand auf die Richtlinie zugreifen kann, sollte eine Änderung erforderlich sein.
Wenden Sie eine Richtlinie erst dann auf alle Benutzenden an, nachdem sie gründlich getestet wurde. Stellen Sie sicher, dass Sie über mindestens ein Administratorkonto verfügen, für das eine Richtlinie nicht gilt.

Erstellen von Testbenutzenden

Erstellen Sie eine Reihe von Testbenutzenden, die die Benutzer in Ihrer Produktionsumgebung widerspiegeln. Durch Erstellen von Testbenutzern können Sie sich vergewissern, dass die Richtlinien erwartungsgemäß funktionieren, bevor Sie sie auf echte Benutzer anwenden und dadurch möglicherweise deren Zugriff auf Apps und Ressourcen unterbrechen.

Einige Organisationen nutzen hierzu Testmandanten. Es kann sich jedoch als schwierig erweisen, sämtliche Bedingungen und Apps in einem Testmandanten nachzustellen, um das Ergebnis einer Richtlinie umfassend testen zu können.

Erstellen eines Testplans

Der Testplan ist wichtig, um die erwarteten Ergebnisse mit den tatsächlichen Ergebnissen vergleichen zu können. Sie sollten immer eine Erwartung haben, bevor Sie etwas testen. Die folgende Tabelle enthält einige Beispiele für Testfälle. Passen Sie die Szenarien und die erwarteten Ergebnisse auf der Grundlage der Konfiguration Ihrer Richtlinien für bedingten Zugriff an.

Name der Richtlinie	Szenario	Erwartetes Ergebnis
Vorschreiben der MFA bei der Arbeit	Ein autorisierter Benutzer meldet sich bei der App an, während er sich an einem vertrauenswürdigen Ort/bei der Arbeit befindet.	Der Benutzer wird nicht zur Multi-Faktor-Authentifizierung aufgefordert. Der Zugriff des Benutzers wird autorisiert. Der Benutzer stellt eine Verbindung von einem vertrauenswürdigen Standort aus her. In diesem Fall können Sie die Verwendung der MFA erforderlich machen.
Vorschreiben der MFA bei der Arbeit	Ein autorisierter Benutzer meldet sich bei der App an, während er sich nicht an einem vertrauenswürdigen Ort/bei der Arbeit befindet.	Die benutzenden Person wird zur Verwendung der MFA aufgefordert und kann sich erfolgreich anmelden.
Anfordern der MFA (für administrierende Personen)	Ein globaler Administrator meldet sich bei der App an.	Die administrierende Person wird zur Verwendung der MFA aufgefordert.
Risikoanmeldungen	Ein Benutzer meldet sich bei der App über einen nicht genehmigten Browser an.	Der Benutzer wird zur Verwendung der mehrstufigen Authentifizierung aufgefordert.
Geräteverwaltung	Eine autorisierte benutzenden Person versucht, sich über ein autorisiertes Gerät anzumelden.	Der Zugriff wird gewährt.
Geräteverwaltung	Eine autorisierte benutzenden Person versucht, sich über ein nicht autorisiertes Gerät anzumelden.	Zugriff blockiert
Kennwortänderung für riskante Benutzende	Ein autorisierter Benutzer versucht, sich mit kompromittierten Anmeldeinformationen anzumelden (Anmeldung mit hohem Risiko).	Die benutzenden Person wird aufgefordert, das Kennwort zu ändern, oder der Zugriff wird blockiert (auf der Grundlage Ihrer Richtlinie).

Lizenzanforderungen

Kostenloses Microsoft Entra ID – Kein bedingter Zugriff
Kostenloses Office 365-Abonnement – Kein bedingter Zugriff
Microsoft Entra ID Premium 1 (oder Microsoft 365 E3 und höher) – Bedingter Zugriff basierend auf Standardregeln
Microsoft Entra ID Premium 2 – Bedingter Zugriff mit der Möglichkeit, Risikoanmeldungen, Risikobenutzer*innen und risikobasierte Anmeldeoptionen (aus Identity Protection) zu verwenden

Feedback

War diese Seite hilfreich?