Bedingter Zugriff: Cloud-Apps, Aktionen und Authentifizierungskontext

Cloud-Apps, -Aktionen und -Authentifizierungskontext sind wichtige Signale in einer Richtlinie für bedingten Zugriff. Richtlinien für bedingten Zugriff ermöglichen Administratoren das Zuweisen von Steuerelementen zu bestimmten Anwendungen, Aktionen oder Authentifizierungskontext.

  • Administratoren stehen eine Reihe von Anwendungen zur Auswahl. Dazu zählen integrierte Microsoft-Anwendungen und alle in Azure AD integrierten Anwendungen (Katalog- und Nicht-Kataloganwendungen) sowie über den Anwendungsproxy veröffentlichte Anwendungen.
  • Administratoren können sich entscheiden, die Richtlinie nicht basierend auf einer Cloudanwendung zu definieren, sondern basierend auf einer Benutzeraktion wie etwa Sicherheitsinformationen registrieren oder Geräte registrieren oder beitreten, sodass der bedingte Zugriff Kontrollmaßnahmen bezüglich dieser Aktionen durchsetzen kann.
  • Administratoren können den Authentifizierungskontext verwenden, um eine zusätzliche Sicherheitsebene in Anwendungen zu schaffen.

Definieren einer Richtlinie für bedingten Zugriff und Angeben von Cloud-Apps

Microsoft Cloud-Anwendungen

Viele der vorhandenen Microsoft-Cloudanwendungen sind in der Liste der Anwendungen enthalten, die zur Auswahl stehen.

Administratoren können den folgenden Cloud-Apps von Microsoft eine Richtlinie für bedingten Zugriff zuweisen. Zu einigen Apps wie Office 365 und Microsoft Azure Management gehören mehrere untergeordnete Apps oder Dienste. Wir fügen ständig weitere Apps hinzu, sodass die folgende Liste nicht vollständig ist und geändert werden kann.

  • Office 365
  • Azure Analysis Services
  • Azure DevOps
  • Azure Data Explorer
  • Azure Event Hubs
  • Azure Service Bus
  • Azure SQL Database und Azure Synapse Analytics
  • Common Data Service
  • Microsoft Application Insights Analytics
  • Microsoft Azure Information Protection
  • Microsoft Azure Management
  • Microsoft Azure-Abonnementverwaltung
  • Microsoft Defender für Cloud-Apps
  • Portal für die Zugriffssteuerung auf Microsoft Commerce-Tools
  • Authentifizierungsdienst für Microsoft Commerce-Tools
  • Microsoft Forms
  • Microsoft Intune
  • Microsoft Intune-Registrierung
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power Automate
  • Microsoft-Suche in Bing
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Teams
  • Exchange Online
  • SharePoint
  • Yammer
  • Office Delve
  • Office Sway
  • Outlook-Gruppen
  • Power BI-Dienst
  • Project Online
  • Skype for Business Online
  • Virtuelles privates Netzwerk (VPN):
  • Windows Defender ATP

Wichtig

Anwendungen, die für den bedingten Zugriff verfügbar sind, haben einen Onboarding- und Validierungsprozess durchlaufen. Diese Liste schließt nicht alle Microsoft-Apps ein, da viele Back-End-Dienste sind und nicht vorgesehen ist, Richtlinien direkt auf sie anzuwenden. Wenn Sie eine fehlende Anwendung suchen, können Sie sich an das jeweilige Anwendungsteam wenden oder eine Anforderung an UserVoice senden.

Office 365

Microsoft 365 stellt cloudbasierte Dienste für Produktivität und Zusammenarbeit wie Exchange, SharePoint und Microsoft Teams bereit. Microsoft 365-Clouddienste sind umfassend integriert, um nahtlose Funktionen für die Zusammenarbeit zu gewährleisten. Diese Integration kann beim Erstellen von Richtlinien zu Verwirrung führen, da einige Apps wie Microsoft Teams Abhängigkeiten von anderen Apps wie SharePoint oder Exchange aufweisen.

Mit der Office 365-Suite können Sie gleichzeitig auf all diese Dienste abzielen. Wir empfehlen die Verwendung der neuen Office 365-Suite, statt auf einzelne Cloud-Apps abzuzielen, um Probleme mit Dienstabhängigkeiten zu vermeiden.

Eine Ausrichtung auf diese Gruppe von Anwendungen trägt dazu bei, Probleme zu vermeiden, die aufgrund inkonsistenter Richtlinien und Abhängigkeiten auftreten können. Beispiel: Die Exchange Online-App ist an herkömmliche Exchange Online-Daten wie E-Mail-, Kalender- und Kontaktinformationen gebunden. Zugehörige Metadaten können über verschiedene Ressourcen wie die Suche verfügbar gemacht werden. Administratoren sollten der Office 365-Suite Richtlinien zuweisen, um sicherzustellen, dass alle Metadaten wie beabsichtigt durch geschützt werden.

Administratoren können die gesamte Office 365-Suite oder bestimmte Office 365-Cloud-Apps aus der Richtlinie für bedingten Zugriff ausschließen.

Die Office 365-Cloud-App wirkt sich auf die folgenden wichtigen Anwendungen aus:

  • Exchange Online
  • Microsoft 365-Suchdienst
  • Microsoft Forms
  • Microsoft Planner (ProjectWorkManagement)
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Flow
  • Microsoft Office 365-Portal
  • Microsoft Office-Clientanwendung
  • Microsoft Stream
  • Microsoft To-Do WebApp
  • Microsoft Whiteboard Services
  • Office Delve
  • Office Online
  • OneDrive
  • Power Apps
  • Power Automate
  • Security & Compliance Center
  • SharePoint Online
  • Skype for Business Online
  • Skype- und Teams-Mandantenadministrator-API
  • Sway
  • Yammer

Eine vollständige Liste aller enthaltenen Dienste finden Sie im Artikel Apps, die in der Office 365-App-Suite für bedingten Zugriff enthalten sind.

Microsoft Azure Management

Wenn die Richtlinie für bedingten Zugriff auf die Microsoft Azure Management-Anwendung ausgerichtet ist, wird die Richtlinie in der App-Auswahl für die Richtlinie für bedingten Zugriff für Token durchgesetzt, die an Anwendungs-IDs einer Reihe von eng mit dem Portal verbundenen Diensten ausgegeben werden.

  • Azure Resource Manager
  • Azure-Portal, das auch das Microsoft Entra Admin Center abdeckt.
  • Azure Data Lake
  • Application Insights API
  • Log Analytics-API

Da die Richtlinie auf das Azure-Verwaltungsportal und die API angewendet wird, können Dienste oder Clients mit einer Azure-API-Dienstabhängigkeit indirekt betroffen sein. Beispiel:

  • APIs für das klassische Bereitstellungsmodell
  • Azure PowerShell
  • Azure CLI
  • Azure DevOps
  • Azure Data Factory-Portal
  • Azure Event Hubs
  • Azure Service Bus
  • Azure SQL-Datenbank
  • Verwaltete SQL-Instanz
  • Azure Synapse
  • Administratorportal für Visual Studio-Abonnements
  • Microsoft IoT Central

Hinweis

Die Microsoft Azure-Verwaltungsanwendung gilt für Azure PowerShell, die Azure Resource Manager-API aufruft. Sie gilt nicht für Azure AD PowerShell, die Microsoft Graph-API aufruft.

Weitere Informationen darüber, wie Sie eine Beispielrichtlinie für die Microsoft Azure-Verwaltung einrichten, finden Sie unter Bedingter Zugriff: Anfordern von MFA für die Azure-Verwaltung.

Tipp

Für Azure Government sollten Sie die Anwendung „Azure Government Cloud Management API“ auswählen.

Andere Anwendungen

Administratoren können jede für Azure AD registrierte Anwendung zu Richtlinien für bedingten Zugriff hinzufügen. Dazu zählen u.a. die folgenden Anwendungen:

Hinweis

Da die Richtlinie für bedingten Zugriff die Anforderungen für den Zugriff auf einen Dienst festlegt, können Sie sie nicht auf eine (öffentliche/native) Clientanwendung anwenden. Anders ausgedrückt: Die Richtlinie wird nicht direkt in einer Clientanwendung (öffentlichen/nativen Anwendung) festgelegt, sondern angewendet, wenn ein Client einen Dienst aufruft. Eine Richtlinie, die für den SharePoint-Dienst festgelegt wurde, gilt beispielsweise für die Clients, die SharePoint aufrufen. Eine Richtlinie, die für Exchange festgelegt wurde, gilt für den Zugriffsversuch auf E-Mail mithilfe des Outlook-Clients. Aus diesem Grund stehen Clientanwendungen (öffentliche/native Anwendungen) in der Cloud-Apps-Auswahl nicht zur Auswahl zur Verfügung, und die Option „Bedingter Zugriff“ ist in den Anwendungseinstellungen für die in Ihrem Mandanten registrierte Clientanwendung (öffentliche/native Anwendung) nicht verfügbar.

Einige Anwendungen werden in der Auswahl überhaupt nicht angezeigt. Die einzige Möglichkeit, diese Anwendungen in eine Richtlinie für bedingten Zugriff aufzunehmen, besteht darin, Alle Cloud-Apps einzuschließen.

Alle Cloud-Apps

Die Anwendung einer Richtlinie für bedingten Zugriff auf Alle Cloud-Apps führt dazu, dass die Richtlinie für alle an Websites und Dienste ausgegebenen Token erzwungen wird. Diese Option schließt Anwendungen ein, die in der Richtlinie für bedingten Zugriff nicht individuell als Ziel festgelegt werden können, wie z. B. Azure Active Directory.

In einigen Fällen könnte eine Richtlinie für Alle Cloud-Apps versehentlich den Benutzerzugriff blockieren. Diese Fälle sind von der Durchsetzung der Richtlinie ausgeschlossen und betreffen unter anderem:

  • Dienste, die zur Erreichung des gewünschten Sicherheitsstatus benötigt werden. So sind beispielsweise Aufrufe zur Geräteregistrierung von der Richtlinie für konforme Geräte ausgeschlossen, die für „Alle Cloud-Apps“ gilt.

  • Azure AD Graph- und MS Graph-Aufrufe, um auf Benutzerprofile, Gruppenmitgliedschaften und Beziehungsinformationen zuzugreifen, die üblicherweise von Anwendungen verwendet werden, die von der Richtlinie ausgeschlossen sind. Die ausgeschlossenen Bereiche werden unten aufgeführt. Für die Nutzung dieser Berechtigungen durch Apps ist nach wie vor eine Zustimmung erforderlich.

    • Für native Clients:
      • Azure AD Graph: email, offline_access, openid, profile, User.read
      • MS Graph: User.read, People.read, UserProfile.read
    • Für vertrauliche/authentifizierte Clients:
      • Azure AD Graph: email, offline_access, openid, profile, User.read, User.read.all und User.readbasic.all
      • MS Graph: User.read,User.read.all, User.read.All, People.read, People.read.all, GroupMember.Read.All, Member.Read.Hidden, UserProfile.read

Benutzeraktionen

Benutzeraktionen sind Aufgaben, die von einem Benutzer ausgeführt werden können. Der bedingte Zugriff unterstützt derzeit zwei Benutzeraktionen:

  • Sicherheitsinformationen registrieren: Mit dieser Benutzeraktion kann eine Richtlinie für bedingten Zugriff erzwungen werden, wenn Benutzer, für die die kombinierte Registrierung aktiviert ist, versuchen, ihre Sicherheitsinformationen zu registrieren. Weitere Informationen finden Sie im Artikel Kombinierte Registrierung von Sicherheitsinformationen.

  • Geräte registrieren oder verknüpfen: Mit dieser Benutzeraktion können Administratoren eine Richtlinie für bedingten Zugriff erzwingen, wenn Benutzer Geräte in Azure AD registrieren oder mit Azure AD verknüpfen. Sie bietet Granularität bei der Konfiguration der Multi-Factor Authentication für das Registrieren oder Einbinden von Geräten anstelle einer derzeit vorhandenen mandantenweiten Richtlinie. Bei dieser Benutzeraktion sind drei wichtige Punkte zu beachten:

    • Require multi-factor authentication ist die einzige Zugriffssteuerung, die bei dieser Benutzeraktion verfügbar ist. Alle anderen Zugriffssteuerungen sind deaktiviert. Durch diese Einschränkung werden Konflikte mit Zugriffssteuerungen verhindert, die entweder von der Azure AD-Geräteregistrierung abhängig sind oder nicht für die Azure AD-Geräteregistrierung gelten.
    • Die Bedingungen Client apps, Filters for devices und Device state sind bei dieser Benutzeraktion nicht verfügbar, da sie zum Erzwingen von Richtlinien für den bedingten Zugriff von der Azure AD-Geräteregistrierung abhängig sind.
    • Wenn bei dieser Benutzeraktion eine Richtlinie für bedingten Zugriff aktiviert ist, muss Azure Active Directory>Geräte>Geräteeinstellungen - Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication auf Nein festgelegt werden. Anderenfalls wird die Richtlinie für den bedingten Zugriff bei dieser Benutzeraktion nicht ordnungsgemäß erzwungen. Weitere Informationen zu dieser Geräteeinstellung finden Sie unter Konfigurieren von Geräteeinstellungen.

Authentifizierungskontext

Der Authentifizierungskontext kann verwendet werden, um Daten und Aktionen in Anwendungen besser zu schützen. Bei diesen Anwendungen kann es sich um Ihre eigenen benutzerdefinierten Anwendungen, benutzerdefinierte Geschäftsbereichsanwendungen (LOB), Anwendungen wie SharePoint oder Anwendungen handeln, die durch Microsoft Defender für Cloud Apps geschützt sind.

Eine Organisation kann z. B. Dateien auf SharePoint-Websites speichern, z. B. eine Speisekarte oder die geheime Rezeptur ihrer BBQ-Soße. Möglicherweise haben alle Zugriff auf die Speisekartenwebsite, aber Benutzer mit Zugriff auf die geheime Soßenrezepturwebsite müssen möglicherweise von einem verwalteten Gerät aus darauf zugreifen und bestimmten Nutzungsbedingungen zustimmen.

Authentifizierungskontexte konfigurieren

Authentifizierungskontexte werden im Azure-Portal unter Azure Active Directory>Sicherheit>Bedingter Zugriff>Authentifizierungskontext verwaltet.

Verwalten von Authentifizierungskontext im Azure-Portal

Erstellen Sie neue Authentifizierungskontextdefinitionen, indem Sie im Azure-Portal Neuer Authentifizierungskontext auswählen. Organisationen sind auf insgesamt 25 Authentifizierungskontextdefinitionen beschränkt. Konfigurieren Sie folgende Attribute:

  • Anzeigename ist der Name, der verwendet wird, um den Authentifizierungskontext in Azure AD und anwendungsübergreifend in Authentifizierungskontext nutzenden Anwendungen zu identifizieren. Wir empfehlen Namen, die ressourcenübergreifend verwendet werden können, z. B. „vertrauenswürdige Geräte“, um die Anzahl der erforderlichen Authentifizierungskontexte zu reduzieren. Durch einen reduzierten Satz an Namen wird die Anzahl der Umleitungen eingeschränkt, und die Endbenutzererfahrung wird verbessert.
  • Die Beschreibung enthält weitere Informationen zu Richtlinien, die von Azure AD-Administratoren verwendet werden, und solchen, die Authentifizierungskontexte auf Ressourcen anwenden.
  • Wenn das Kontrollkästchen In Apps veröffentlichen aktiviert ist, wird der Authentifizierungskontext für Apps ankündigen und zur Zuweisung zur Verfügung gestellt. Wenn es nicht aktiviert ist, ist der Authentifizierungskontext für Downstream-Ressourcen nicht verfügbar.
  • Die ID ist schreibgeschützt und wird in Token und Apps für anforderungsspezifische Authentifizierungskontextdefinitionen verwendet. Sie ist hier zu Zwecken der Problembehandlung und für die Entwicklung aufgeführt.

Hinzufügen zur Richtlinie für bedingten Zugriff

Administratoren können veröffentlichte Authentifizierungskontexte in ihren Richtlinien für bedingten Zugriff unter Zuweisungen>Cloud-Apps oder -AktionenAuthentifizierungskontext im Menü Auswählen, wofür diese Richtlinie gilt auswählen.

Hinzufügen eines Authentifizierungskontexts für bedingten Zugriff zu einer Richtlinie

Löschen eines Authentifizierungskontexts

Wenn Sie einen Authentifizierungskontext löschen, stellen Sie sicher, dass er nicht mehr von Anwendungen verwendet wird. Andernfalls wird der Zugriff auf App-Daten nicht mehr geschützt. Sie können diese Voraussetzung bestätigen, indem Sie Anmeldeprotokolle für Fälle überprüfen, in denen die Richtlinien für bedingten Zugriff im Authentifizierungskontext angewendet werden.

Um einen Authentifizierungskontext zu löschen, dürfen ihm keine Richtlinien für bedingten Zugriff zugewiesen sein, und er darf nicht in Apps veröffentlicht werden. Diese Anforderung hilft, das versehentliche Löschen eines Authentifizierungskontexts zu verhindern, der noch verwendet wird.

Ressourcen mit Authentifizierungskontexten markieren

Weitere Informationen zur Verwendung des Authentifizierungskontexts in Anwendungen finden Sie in den folgenden Artikeln.

Nächste Schritte