Konfigurieren und Aktivieren von Risikorichtlinien

Wie wir im vorherigen Artikel Risikobasierte Zugriffsrichtlinien erfahren haben, gibt es zwei Arten von Risikorichtlinien für den bedingten Zugriff in Azure Active Directory (Azure AD), die Sie einrichten können, um die Reaktion auf Risiken zu automatisieren und Benutzern die eigenständige Behebung zu ermöglichen, wenn ein Risiko erkannt wird:

  • Richtlinie zum Anmelderisiko
  • Richtlinie zum Benutzerrisiko

Screenshot: eine Richtlinie für bedingten Zugriff, die Risiken als Bedingungen aufweist.

Auswählen akzeptabler Risikostufen

Organisationen müssen entscheiden, bei welcher Risikostufe eine Zugriffsteuerung erfolgen soll, und dabei Benutzererfahrung und Sicherheitsstatus abwägen.

Wenn die Zugriffssteuerung bei der Risikostufe Hoch angewendet wird, wird die Richtlinie weniger häufig ausgelöst und Benutzer nur minimal beeinträchtigt. Hierbei sind aber Risiken der Stufen Niedrig und Mittel aus der Richtlinie ausgeschlossen, sodass Angreifer möglicherweise nicht blockiert werden, wenn sie eine kompromittierte Identität ausnutzen. Wenn Sie festlegen, dass die Zugriffsteuerung bei der die Risikostufe Niedrig erforderlich sein soll, werden weitere Benutzerunterbrechungen eingeführt.

Konfigurierte vertrauenswürdige Netzwerkadressen werden von Identity Protection bei einigen Risikoerkennungen verwendet, um falsch positive Ergebnisse zu reduzieren.

Risikowartung

Organisationen können den Zugriff blockieren, wenn ein Risiko erkannt wird. Das Blockieren hindert berechtigte Benutzer manchmal daran, das zu tun, was sie tun müssen. Eine bessere Lösung besteht darin, die eigenständige Behebung mithilfe von Azure AD Multi-Factor Authentication (MFA) und Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) zuzulassen.

Warnung

Benutzer müssen sich für Azure AD MFA und SSPR registrieren, bevor sie mit einer wartungsbedürftigen Situation konfrontiert werden. Nicht registrierte Benutzer werden blockiert und erfordern einen Administratoreingriff.

Die Kennwortänderung (die Änderung eines bekannten Kennworts in ein neues) außerhalb des Wartungsflows für riskante Benutzerrichtlinien erfüllt nicht die Anforderung der sicheren Kennwortzurücksetzung.

Empfehlung von Microsoft

Microsoft empfiehlt die folgenden Risikorichtlinienkonfigurationen, um Ihre Organisation zu schützen:

  • Richtlinie zum Benutzerrisiko
    • Erfordert eine sichere Kennwortzurücksetzung, wenn die Risikostufe des Benutzers Hoch ist. Azure AD MFA ist erforderlich, damit der Benutzer ein neues Kennwort mit SSPR erstellen kann, um sein Risiko zu beheben.
  • Richtlinie zum Anmelderisiko
    • Erfordern Sie Azure AD MFA, wenn die Anmelderisikostufe Mittel oder Hoch ist, sodass Benutzer Ihre Identität nachweisen können, indem Sie eine ihrer registrierten Authentifizierungsmethoden verwenden und so das Anmelderisiko beheben.

Wenn bei niedriger Risikostufe die Zugriffssteuerung erfordert wird, werden mehr Benutzerunterbrechungen eingeführt. Die Entscheidung, den Zugriff zu sperren, anstatt Selbstbehebungsoptionen wie sichere Kennwortzurücksetzung und mehrstufige Authentifizierung zuzulassen, wirkt sich auf Ihre Benutzer und Administratoren aus. Wägen Sie diese Kriterien bei der Konfiguration Ihrer Richtlinien ab.

Ausschlüsse

Richtlinien ermöglichen das Ausschließen von Benutzern, wie Benutzer- oder Administratorkonten für den Notfallzugriff. Organisationen müssen unter Umständen andere Konten basierend auf der Art und Weise, wie die Konten verwendet werden, aus bestimmten Richtlinien ausschließen. Ausschlüsse sollten regelmäßig überprüft werden, um festzustellen, ob sie weiterhin angewendet werden sollen.

Aktivieren von Richtlinien

Organisationen können risikobasierte Richtlinien für den bedingten Zugriff mithilfe der unten beschriebenen Schritte oder mithilfe der Vorlagen für bedingten Zugriff (Vorschau) bereitstellen.

Vor dem Aktivieren von Korrekturrichtlinien sollten Organisationen eventuell alle aktiven Risiken untersuchen und korrigieren.

Benutzerrisiko-Richtlinie beim bedingten Zugriff

  1. Melden Sie sich als Administrator für bedingten Zugriff, Sicherheitsadministrator oder globaler Administrator beim Azure-Portal an.
  2. Navigieren Sie zu Azure Active Directory>Sicherheit>Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
    3. Wählen Sie Fertigaus.
  6. Wählen Sie unter Cloud-Apps oder -aktionen>Einschließen die Option Alle Cloud-Apps aus.
  7. Legen Sie unter Bedingungen>Benutzerrisiko die Option Konfigurieren auf Jafest.
    1. Wählen Sie unter Hiermit konfigurieren Sie die Benutzerrisikostufen, die für die Erzwingung der Richtlinie erforderlich sind die Option Hoch aus. (Diese Anleitung basiert auf Microsoft-Empfehlungen. Die Ausführung kann je nach Organisation abweichen.)
    2. Wählen Sie Fertigaus.
  8. Unter Zugriffssteuerungen>Erteilen:
    1. Wählen Sie Zugriff gewähren und, Kennwortänderung erforderlich aus.
    2. Wählen Sie Auswählen.
  9. Unter Sitzung.
    1. Wählen Sie die Anmeldehäufigkeit .
    2. Vergewissern Sie sich, dass Jedes Mal ausgewählt ist.
    3. Wählen Sie Auswählen.
  10. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  11. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Nachdem Sie Ihre Einstellungen mit dem Modus Nur Bericht bestätigt haben, kann ein Administrator den Schalter Richtlinie aktivieren von Nur Bericht auf Ein setzen.

Anmelderisiko-Richtlinie beim bedingten Zugriff

  1. Melden Sie sich als Administrator für bedingten Zugriff, Sicherheitsadministrator oder globaler Administrator beim Azure-Portal an.
  2. Navigieren Sie zu Azure Active Directory>Sicherheit>Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
    3. Wählen Sie Fertigaus.
  6. Wählen Sie unter Cloud-Apps oder -aktionen>Einschließen die Option Alle Cloud-Apps aus.
  7. Legen Sie unter Bedingungen>Anmelderisiko die Option Konfigurieren auf Ja fest. Wählen Sie unter Anmelderisikostufe auswählen, auf die diese Richtlinie angewendet werden soll (Diese Anleitung basiert auf Microsoft-Empfehlungen. Die Ausführung kann je nach Organisation abweichen.)
    1. entweder Hoch oder Mittel aus.
    2. Wählen Sie Fertigaus.
  8. Unter Zugriffssteuerungen>Erteilen:
    1. Wählen Sie Zugriff gewähren > Multi-Faktor-Authentifizierung erfordern aus.
    2. Wählen Sie Auswählen.
  9. Unter Sitzung.
    1. Wählen Sie die Anmeldehäufigkeit .
    2. Vergewissern Sie sich, dass Jedes Mal ausgewählt ist.
    3. Wählen Sie Auswählen.
  10. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  11. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Nachdem Sie Ihre Einstellungen mit dem Modus Nur Bericht bestätigt haben, kann ein Administrator den Schalter Richtlinie aktivieren von Nur Bericht auf Ein setzen.

Migrieren von Risikorichtlinien von Identity Protection zu bedingtem Zugriff

Während Identity Protection auch zwei Risikorichtlinien mit eingeschränkten Bedingungen bereitstellt, empfehlen wir dringend, risikobasierte Richtlinien im bedingten Zugriff einzurichten, um folgende Vorteile zu nutzen:

  • Erweiterte Diagnosedaten
  • Integration des Modus „Nur melden“
  • Graph-API-Unterstützung
  • Verwenden weiterer Attribute für bedingten Zugriff wie z. B. der Anmeldefrequenz in der Richtlinie

Wenn Sie bereits Risikorichtlinien für Identity Protection aktiviert haben, empfehlen wir dringend, sie zu bedingtem Zugriff zu migrieren:

Screenshots: Migration einer Anmelderisiko-Richtlinie zu bedingtem Zugriff.

Migrieren zum bedingten Zugriff

  1. Erstellen Sie eine entsprechendebenutzerrisikobasierte und anmelderisikobasierte Richtlinie für bedingten Zugriff im Nur-melden-Modus. Sie können eine Richtlinie mit den oben genannten Schritten erstellen oder Vorlagen für bedingten Zugriff basierend auf den Empfehlungen von Microsoft und Ihren Organisationsanforderungen verwenden.
    1. Stellen Sie sicher, dass die neue Risikorichtlinie für den bedingten Zugriff wie erwartet funktioniert, indem Sie sie im Nur-melden-Modus testen.
  2. Aktivieren Sie die neue Risikorichtlinie für den bedingten Zugriff. Sie können beide Richtlinien parallel ausführen, um zu bestätigen, dass die neuen Richtlinien wie erwartet funktionieren, bevor Sie die Identity Protection-Risikorichtlinien deaktivieren.
    1. Navigieren Sie zurück zu Azure Active Directory>Sicherheit>Bedingter Zugriff.
    2. Wählen Sie diese neue Richtlinie aus, um sie zu bearbeiten.
    3. Stellen Sie Richtlinie aktivieren auf Ein, um die Richtlinie zu aktivieren.
  3. Deaktivieren Sie die alten Risikorichtlinien in Identity Protection.
    1. Navigieren Sie zu Azure Active Directory>Identity Protection>. Wählen Sie die Benutzerrisiko- oder Anmelderisiko-Richtlinie aus.
    2. Stellen Sie Richtlinie erzwingen auf Ein.
  4. Erstellen Sie bei Bedarf weitere Risikorichtlinien in Bedingter Zugriff.

Nächste Schritte