Bedingter Zugriff: Risikobasierter bedingter Zugriff beim Anmelden

Die meisten Benutzer weisen ein normales Verhalten auf, das nachverfolgt werden kann. Wenn sie sich aber außerhalb dieser Norm bewegen, ist es ggf. riskant, ihnen das Anmelden ohne Weiteres zu erlauben. Es kann ratsam sein, den entsprechenden Benutzer zu blockieren oder ggf. einfach um die Durchführung der Multi-Faktor-Authentifizierung zu bitten. So kann bewiesen werden, ob es sich auch wirklich um die vorgegebene Person handelt.

Ein Anmelderisiko stellt die Wahrscheinlichkeit dar, dass eine bestimmte Authentifizierungsanforderung vom Identitätsbesitzer nicht autorisiert wurde. Organisationen mit Azure AD Premium P2-Lizenzen können Richtlinien für bedingten Zugriff erstellen, die Azure AD Identity Protection-Risikoerkennungen enthalten.

Es gibt zwei Orte, an denen diese Richtlinie konfiguriert werden kann: bedingter Zugriff und Identity Protection. Die Konfiguration mithilfe einer Richtlinie für bedingten Zugriff ist die bevorzugte Methode, da sie mehr Kontext bietet, z. B. erweiterte Diagnosedaten, die Integration nur im Berichtsmodus, Graph-API-Unterstützung und die Möglichkeit, andere Attribute für bedingten Zugriff (etwa Anmeldehäufigkeit) in der Richtlinie zu verwenden.

Die risikobasierte Anmelderichtlinie schützt Benutzer vor der Registrierung von MFA in riskanten Sitzungen. Wenn die Benutzer nicht für MFA registriert sind, werden ihre Risikoanmeldung blockiert, und ein Fehler vom Typ „AADSTS53004“ wird angezeigt.

Bereitstellung von Vorlagen

Organisationen können diese Richtlinie mithilfe der unten beschriebenen Schritte oder mithilfe der Vorlagen für bedingten Zugriff (Vorschau) bereitstellen.

Aktivieren mit einer Richtlinie für bedingten Zugriff

  1. Melden Sie sich beim Azure-Portal als globaler Administrator, Sicherheitsadministrator oder Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Azure Active DirectorySicherheitBedingter Zugriff.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
  6. Wählen Sie unter Cloud-Apps oder -aktionen>Einschließen die Option Alle Cloud-Apps aus.
  7. Legen Sie unter Bedingungen>Anmelderisiko die Option Konfigurieren auf Ja fest. Wählen Sie unter Anmelderisikostufe auswählen, auf die diese Richtlinie angewendet werden soll
    1. entweder Hoch oder Mittel aus.
    2. Wählen Sie Fertigaus.
  8. Unter Zugriffssteuerungen>Erteilen:
    1. Wählen Sie Zugriff gewähren > Multi-Faktor-Authentifizierung erfordern aus.
    2. Wählen Sie Auswählen.
  9. Unter Sitzung.
    1. Wählen Sie die Anmeldehäufigkeit .
    2. Vergewissern Sie sich, dass Jedes Mal ausgewählt ist.
    3. Wählen Sie Auswählen.
  10. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  11. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Wenn ein Administrator die Einstellungen mit dem reinen Berichtsmodus bestätigt hat, kann er den Schalter Richtlinie aktivieren von Nur Bericht auf Ein festlegen.

Nächste Schritte