Hinzufügen des bedingten Zugriffs auf Benutzerflüsse in Azure Active Directory B2C

Von Bedeutung

Ab dem 1. Mai 2025 steht Azure AD B2C nicht mehr für neue Kunden zur Verfügung. Weitere Informationen finden Sie in unseren HÄUFIG gestellten Fragen.

Bevor Sie beginnen, verwenden Sie die Auswahl eines Richtlinientyps oben auf dieser Seite, um den Typ der Richtlinie auszuwählen, die Sie einrichten. Azure Active Directory B2C bietet zwei Methoden zum Definieren der Benutzerinteraktion mit Ihren Anwendungen: vordefinierte Benutzerflows oder vollständig konfigurierbare benutzerdefinierte Richtlinien. Die Schritte, die in diesem Artikel erforderlich sind, unterscheiden sich für jede Methode.

Bedingter Zugriff kann Zu Ihren Azure Active Directory B2C (Azure AD B2C)-Benutzerflüssen oder benutzerdefinierten Richtlinien hinzugefügt werden, um riskante Anmeldungen bei Ihren Anwendungen zu verwalten. Der bedingte Zugriff in Microsoft Entra ist das Tool, das von Azure AD B2C verwendet wird, um Signale zusammenzuführen, Entscheidungen zu treffen und Organisationsrichtlinien zu erzwingen. Die Automatisierung der Risikobewertung mit Richtlinienbedingungen bedeutet, dass riskante Anmeldungen sofort identifiziert und dann entweder korrigiert oder blockiert werden.

Dienstübersicht

Azure AD B2C wertet jedes Anmeldeereignis aus und stellt sicher, dass alle Richtlinienanforderungen erfüllt sind, bevor der Benutzerzugriff gewährt wird. Während dieser Evaluierungsphase wertet der Dienst für bedingten Zugriff die von Identitätsschutz-Risikoerkennungen gesammelten Signale während Anmeldeereignissen aus. Das Ergebnis dieses Auswertungsprozesses ist eine Reihe von Ansprüchen, die angibt, ob die Anmeldung gewährt oder blockiert werden soll. Die Azure AD B2C-Richtlinie verwendet diese Ansprüche, um innerhalb des Benutzerablaufs zu handeln. Ein Beispiel ist das Blockieren des Zugriffs oder die Herausforderung des Benutzers mit einer bestimmten Korrektur wie der mehrstufigen Authentifizierung (MFA). "Zugriff blockieren" setzt alle anderen Einstellungen außer Kraft.

Das folgende Beispiel zeigt ein technisches Profil für den bedingten Zugriff, das zur Auswertung der Anmeldebedrohung verwendet wird.

<TechnicalProfile Id="ConditionalAccessEvaluation">
  <DisplayName>Conditional Access Provider</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
  <Metadata>
    <Item Key="OperationType">Evaluation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Um sicherzustellen, dass Identitätsschutzsignale ordnungsgemäß ausgewertet werden, müssen Sie das ConditionalAccessEvaluation technische Profil für alle Benutzer aufrufen, einschließlich lokaler und sozialer Konten. Andernfalls weist Der Identitätsschutz auf ein falsches Risiko hin, das benutzern zugeordnet ist.

In der folgenden Behebungsphase wird der Benutzer mit einer MFA-Herausforderung konfrontiert. Nach Abschluss informiert Azure AD B2C den Identitätsschutz, dass die identifizierte Anmeldebedrohung behoben wurde und mit welcher Methode. In diesem Beispiel signalisiert Azure AD B2C, dass der Benutzer die mehrstufige Authentifizierungsabfrage erfolgreich abgeschlossen hat. Die Behebung kann auch über andere Kanäle erfolgen. Wenn beispielsweise das Kennwort des Kontos vom Administrator oder vom Benutzer zurückgesetzt wird. Sie können den Benutzerrisikostatus im Bericht "riskante Benutzer" überprüfen.

Von Bedeutung

Um das Risiko erfolgreich innerhalb der Reise zu beheben, stellen Sie sicher, dass das technische Profil der Wartung aufgerufen wird, nachdem das technische Profil der Auswertung ausgeführt wurde. Wenn die Auswertung ohne Korrektur aufgerufen wird, gibt der Risikostatus als "Risiko" an. Wenn von der Empfehlung des technischen Profils Auswertung die Antwort Block zurückgegeben wird, muss das technische Profil Auswertung nicht aufgerufen werden. Der Risikostatus ist auf "Gefährdet" festgelegt. Das folgende Beispiel zeigt ein technisches Profil für bedingten Zugriff, das zur Behebung der identifizierten Bedrohung verwendet wird:

<TechnicalProfile Id="ConditionalAccessRemediation">
  <DisplayName>Conditional Access Remediation</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
  <Metadata>
    <Item Key="OperationType">Remediation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Komponenten der Lösung

Dies sind die Komponenten, die bedingten Zugriff in Azure AD B2C aktivieren:

• Benutzerablauf oder benutzerdefinierte Richtlinie , die den Benutzer durch den Anmelde- und Registrierungsvorgang führt.
• Richtlinie für bedingten Zugriff, die Signale zusammenbringt, um Entscheidungen zu treffen und Organisationsrichtlinien durchzusetzen. Wenn sich ein Benutzer über eine Azure AD B2C-Richtlinie bei Ihrer Anwendung anmeldet, verwendet die Richtlinie für bedingten Zugriff Microsoft Entra ID Protection-Signale, um riskante Anmeldungen zu identifizieren und die entsprechende Korrekturaktion anzuzeigen.
• Registrierte Anwendung , die Benutzer an den entsprechenden Azure AD B2C-Benutzerfluss oder eine benutzerdefinierte Richtlinie weitergibt.
• TOR-Browser zum Simulieren einer riskanten Anmeldung.

Beschränkungen des Diensts und Überlegungen

Beachten Sie bei verwendung des bedingten Zugriffs von Microsoft Entra Folgendes:

• Identity Protection ist sowohl für lokale Identitäten als auch für Identitäten in sozialen Netzwerken (z. B. Google oder Facebook) verfügbar. Für soziale Identitäten müssen Sie bedingten Zugriff manuell aktivieren. Die Erkennung ist eingeschränkt, da Anmeldeinformationen für soziale Konten vom externen Identitätsanbieter verwaltet werden.
• In Azure AD B2C-Mandanten sind nur eine Teilmenge der Microsoft Entra-Richtlinien für bedingten Zugriff verfügbar.

Voraussetzungen

• Führen Sie die Schritte in "Erste Schritte mit benutzerdefinierten Richtlinien in Active Directory B2C" aus. In diesem Lernprogramm erfahren Sie, wie Sie benutzerdefinierte Richtliniendateien für die Verwendung Ihrer Azure AD B2C-Mandantenkonfiguration aktualisieren.
• Wenn Sie keine Web-App registriert haben, registrieren Sie sie mithilfe der Schritte zum Registrieren einer Webanwendung.

Preisstufe

Azure AD B2C Premium P2 ist erforderlich, um riskante Anmelderichtlinien zu erstellen, aber sie ist ab dem 1. Mai 2025 veraltet. Premium P1-Mandanten können eine Richtlinie erstellen, die auf Standort-, Anwendungs-, benutzerbasierten oder gruppenbasierten Richtlinien basiert.

Vorbereiten Ihres Azure AD B2C-Mandanten

Um eine Richtlinie für bedingten Zugriff hinzuzufügen, deaktivieren Sie die Sicherheitsvorgaben.

1. Melden Sie sich beim Azure-Portal an.

2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.

3. Wählen Sie unter Azure-Dienstedie Option Microsoft Entra ID aus. Oder verwenden Sie das Suchfeld, um die Microsoft Entra-ID zu suchen und auszuwählen.

4. Wählen Sie "Eigenschaften" und dann " Sicherheitsstandards verwalten" aus.

   

5. Wählen Sie unter "Sicherheit aktivieren" die Option "Nein" aus.

   

Hinzufügen einer Richtlinie für bedingten Zugriff

Bei einer Richtlinie für bedingten Zugriff handelt es sich um eine Wenn-Dann-Anweisung von Zuweisungen und Zugriffssteuerungen. Eine Richtlinie für bedingten Zugriff vereint Signale, um Entscheidungen zu treffen und Organisationsrichtlinien zu erzwingen.

Tipp

In diesem Schritt konfigurieren Sie die Richtlinie für bedingten Zugriff. Es wird empfohlen, eine der folgenden Vorlagen zu verwenden : Vorlage 1: Risikobasierter bedingter Zugriff, Vorlage 2: Risikobasierter bedingter Zugriff durch Benutzer oder Vorlage 3: Blockieren von Speicherorten mit bedingtem Zugriff. Sie können die Richtlinie für bedingten Zugriff über das Azure-Portal oder die MS Graph-API konfigurieren.

Der logische Operator zwischen den Zuordnungen lautet And. Der Operator in jeder Zuordnung ist Or.

So fügen Sie eine Richtlinie für bedingten Zugriff hinzu:

1. Suchen Sie im Azure-Portal nach Azure AD B2C, und wählen Sie diese Option dann aus.

2. Wählen Sie unter SicherheitBedingter Zugriff aus. Die Seite " Richtlinien für bedingten Zugriff " wird geöffnet.

3. Wählen Sie +Neue Richtlinie aus.

4. Geben Sie einen Namen für die Richtlinie ein, z. B. die riskante Anmeldung blockieren.

5. Wählen Sie unter "Aufgaben"die Option "Benutzer und Gruppen" und dann eine der folgenden unterstützten Konfigurationen aus:

   Einbeziehen	Lizenz	Hinweise
   Alle Benutzer	P1, P2	Diese Richtlinie wirkt sich auf alle Ihre Benutzer aus. Um sich selbst nicht zu sperren, schließen Sie Ihr Administratorkonto aus, indem Sie "Ausschließen", " Verzeichnisrollen" auswählen und dann in der Liste " Globaler Administrator" auswählen. Sie können auch Benutzer und Gruppen auswählen und dann Ihr Konto in der Liste Ausgeschlossene Benutzer auswählen.

6. Wählen Sie Cloud-Apps oder -Aktionen und dann Apps aus. Suchen Sie nach der Anwendung der vertrauenden Seite.

7. Wählen Sie "Bedingungen" und dann eine der folgenden Bedingungen aus. Wählen Sie z. B. Anmelderisiko und Risikostufen "Hoch", "Mittel" und "Niedrig " aus.

   Zustand	Lizenz	Hinweise
   Benutzerrisiko	P2	Ein Benutzerrisiko stellt die Wahrscheinlichkeit dar, dass eine bestimmte Identität oder ein bestimmtes Konto kompromittiert wurde.
   Anmelderisiko	P2	Ein Anmelderisiko ist die Möglichkeit, dass eine bestimmte Authentifizierungsanforderung vom Identitätsbesitzer nicht autorisiert wurde.
   Geräteplattformen	Nicht unterstützt	Gekennzeichnet durch das Betriebssystem, das auf einem Gerät ausgeführt wird. Weitere Informationen finden Sie unter "Geräteplattformen".
   Speicherorte	P1, P2	Benannte Standorte können die öffentlichen IPv4-Netzwerkinformationen, das Land oder die Region oder unbekannte Bereiche enthalten, die nicht bestimmten Ländern oder Regionen zugeordnet sind. Weitere Informationen finden Sie unter Speicherorte.

8. Klicken Sie unter Zugriffskontrollen auf Gewähren. Wählen Sie dann aus, ob Der Zugriff blockiert oder gewährt werden soll:

   Auswahlmöglichkeit	Lizenz	Hinweise
   Zugriff blockieren	P1, P2	Verhindert den Zugriff basierend auf den Bedingungen, die in dieser Bedingten Zugriffsrichtlinie angegeben sind.
   Zugriff gewähren mit Multi-Faktor-Authentifizierung anfordern	P1, P2	Basierend auf den bedingungen, die in dieser Richtlinie für bedingten Zugriff angegeben sind, muss der Benutzer die mehrstufige Azure AD B2C-Authentifizierung durchlaufen.

9. Wählen Sie unter "Richtlinie aktivieren" eine der folgenden Optionen aus:

   Auswahlmöglichkeit	Lizenz	Hinweise
   Nur Bericht	P1, P2	Der Nur-Bericht-Modus ermöglicht Administratoren, die Auswirkungen von Richtlinien für den bedingten Zugriff zu bewerten, bevor sie in ihrer Umgebung aktiviert werden. Es wird empfohlen, die Richtlinie mit diesem Zustand zu überprüfen und die Auswirkungen auf Endbenutzer zu bestimmen, ohne dass eine mehrstufige Authentifizierung erforderlich ist oder Benutzer blockiert werden müssen. Weitere Informationen finden Sie unter "Überprüfen der Ergebnisse des bedingten Zugriffs" im Überwachungsbericht
   Auf	P1, P2	Die Zugriffsrichtlinie wird ausgewertet und nicht erzwungen.
   Deaktiviert	P1, P2	Die Zugriffsrichtlinie ist nicht aktiviert und hat keine Auswirkungen auf die Benutzer.

10. Aktivieren Sie ihre Testrichtlinie für bedingten Zugriff, indem Sie "Erstellen" auswählen.

Vorlage 1: Risikobasierter bedingter Zugriff beim Anmelden

Die meisten Benutzer weisen ein normales Verhalten auf, das nachverfolgt werden kann. Wenn sie sich aber außerhalb dieser Norm bewegen, ist es ggf. riskant, ihnen das Anmelden ohne Weiteres zu erlauben. Es kann ratsam sein, den entsprechenden Benutzer zu blockieren oder ggf. einfach um die Durchführung der Multi-Faktor-Authentifizierung zu bitten. So kann bewiesen werden, ob es sich auch wirklich um die vorgegebene Person handelt. Ein Anmelderisiko stellt die Wahrscheinlichkeit dar, dass eine bestimmte Authentifizierungsanforderung vom Identitätsbesitzer nicht autorisiert wurde. Azure AD B2C-Mandanten mit P2-Lizenzen können Richtlinien für bedingten Zugriff erstellen, die Microsoft Entra ID Protection-Anmelderisikoerkennungen enthalten.

Beachten Sie die Einschränkungen der Identitätsschutzerkennungen für B2C. Wenn das Risiko erkannt wird, können Benutzer eine mehrstufige Authentifizierung durchführen, um das riskante Anmeldeereignis selbst zu beheben und zu schließen, um unnötiges Rauschen für Administratoren zu verhindern.

Konfigurieren Sie bedingten Zugriff über das Azure-Portal oder microsoft Graph-APIs, um eine risikobasierte Richtlinie für bedingten Zugriff zu aktivieren, die MFA erfordert, wenn das Anmelderisiko mittel- oder hoch ist.

1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Notfallzugriffs- oder "Break-Glass"-Konten Ihres Unternehmens aus.
3. Wählen Sie Fertig aus.
4. Wählen Sie unter Cloud-Apps oder -aktionen>Einschließen die Option Alle Cloud-Apps aus.
5. Legen Sie unter Bedingungen>Anmelderisiko die Option Konfigurieren auf Ja fest. Wählen Sie unter Anmelderisikostufe auswählen, auf die diese Richtlinie angewendet werden soll
   1. entweder Hoch oder Mittel aus.
   2. Wählen Sie Fertig aus.
6. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff erteilen, dann Multi-Faktor-Authentifizierung erforderlich und anschließend Auswählen aus.
7. Bestätigen Sie Ihre Einstellungen, und legen Sie „Richtlinie aktivieren” auf „Ein” fest.
8. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Aktivieren von Vorlage 1 mit APIs für bedingten Zugriff (optional)

Erstellen Sie eine auf Anmelderisiken basierende Richtlinie für bedingten Zugriff mit MS Graph-APIs. Weitere Informationen finden Sie unter APIs für bedingten Zugriff. Die folgende Vorlage kann verwendet werden, um eine Richtlinie für Bedingten Zugriff mit dem Anzeigenamen "Vorlage 1: MFA für mittleres Anmelderisiko erforderlich" im Modus "Nur Berichte" zu erstellen.

{
    "displayName": "Template 1: Require MFA for medium+ sign-in risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "signInRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "mfa"
        ]
    }
}

Vorlage 2: Benutzerrisikobasierter bedingter Zugriff

Identity Protection kann das erwartete „normale“ Verhalten eines Benutzers berechnen, und Entscheidungen bezüglich des Risikos darauf basieren. Das Benutzerrisiko ist eine Berechnung der Wahrscheinlichkeit, dass eine Identität kompromittiert wurde. B2C-Mandanten mit P2-Lizenzen können Richtlinien für bedingten Zugriff mit Benutzerrisiko erstellen. Wenn ein Benutzer als gefährdet erkannt wird, können Sie verlangen, dass er sein Kennwort sicher ändert, um das Risiko zu beheben und Zugriff auf sein Konto zu erhalten. Es wird dringend empfohlen, eine Benutzerrisikorichtlinie einzurichten, um eine sichere Kennwortänderung zu erfordern, damit Benutzer sich selbst korrigieren können.

Erfahren Sie mehr über das Benutzerrisiko in Identity Protection unter Berücksichtigung der Einschränkungen der Identitätsschutzerkennungen für B2C.

Konfigurieren Sie bedingten Zugriff über das Azure-Portal oder Microsoft Graph-APIs, um eine risikobasierte Richtlinie für bedingten Zugriff zu ermöglichen, die eine mehrstufige Authentifizierung (MFA) und eine Kennwortänderung erfordert, wenn das Benutzerrisiko mittel ODER hoch ist.

So konfigurieren Sie den benutzerbasierten bedingten Zugriff:

1. Melden Sie sich beim Azure-Portal an.
2. Navigieren Sie zu Azure AD B2C>Security>Conditional Access.
3. Wählen Sie Neue Richtlinie.
4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
5. Wählen Sie unter Zuweisungen die Option Benutzer und Gruppen aus.
   1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
   2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Notfallzugriffs- oder "Break-Glass"-Konten Ihres Unternehmens aus.
   3. Wählen Sie Fertig aus.
6. Wählen Sie unter Cloud-Apps oder -aktionen>Einschließen die Option Alle Cloud-Apps aus.
7. Legen Sie unter Bedingungen>Benutzerrisiko die Option Konfigurieren auf Ja fest. Unter „Konfigurieren der erforderlichen Benutzerrisikostufen für die Durchsetzung der Richtlinie“
   1. entweder Hoch oder Mittel aus.
   2. Wählen Sie Fertig aus.
8. Wählen Sie unter Zugriffssteuerungen>Erteilen die Option Zugriff erteilen, dann Kennwortänderung erforderlich und anschließend Auswählen aus. Die Multi-Faktor-Authentifizierung ist standardmäßig erforderlich.
9. Bestätigen Sie Ihre Einstellungen, und legen Sie „Richtlinie aktivieren” auf „Ein” fest.
10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Aktivieren von Vorlage 2 mit APIs für bedingten Zugriff (optional)

Informationen zum Erstellen einer risikobasierten Richtlinie für bedingten Zugriff mit APIs für bedingten Zugriff finden Sie in der Dokumentation zu APIs für bedingten Zugriff.

Die folgende Vorlage kann verwendet werden, um eine Richtlinie für bedingten Zugriff mit dem Anzeigenamen "Vorlage 2: Sichere Kennwortänderung für mittleres+ Benutzerrisiko erforderlich" im Modus "Nur Bericht" zu erstellen.

{
    "displayName": "Template 2: Require secure password change for medium+ user risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "userRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "AND",
        "builtInControls": [
            "mfa",
            "passwordChange"
        ]
    }
}

Vorlage 3: Blockieren von Speicherorten mit bedingtem Zugriff

Mithilfe der Standortbedingung in Conditional Access können Sie den Zugriff auf Ihre Cloud-Apps auf der Grundlage des Netzwerkstandorts eines Benutzers steuern. Konfigurieren Sie bedingten Zugriff über das Azure-Portal oder microsoft Graph-APIs, um eine Richtlinie für bedingten Zugriff zu aktivieren, die den Zugriff auf bestimmte Speicherorte blockiert. Weitere Informationen finden Sie unter Verwenden der Standortbedingung in einer Richtlinie für bedingten Zugriff

Definieren von Standorten

1. Melden Sie sich beim Azure-Portal an.
2. Navigieren Sie zu Azure AD B2C>Sicherheit>Conditional Access>Benannte Standorte.
3. Standort für Länder oder IP-Bereiche auswählen
4. Benennen Sie den Standort.
5. Geben Sie die IP-Bereiche an, oder wählen Sie die Länder/Regionen für den von Ihnen angegebenen Standort aus. Wenn Sie „Länder/Regionen“ auswählen, können Sie optional auch unbekannte Gebiete einbeziehen.
6. Wählen Sie Speichern aus.

So aktivieren Sie eine Richtlinie für bedingten Zugriff:

1. Melden Sie sich beim Azure-Portal an.
2. Navigieren Sie zu Azure AD B2C>Security>Conditional Access.
3. Wählen Sie Neue Richtlinie.
4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
5. Wählen Sie unter Zuweisungen die Option Benutzer und Gruppen aus.
   1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
   2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Notfallzugriffs- oder "Break-Glass"-Konten Ihres Unternehmens aus.
   3. Wählen Sie Fertig aus.
6. Wählen Sie unter Cloud-Apps oder -aktionen>Einschließen die Option Alle Cloud-Apps aus.
7. Unter Bedingungen>Standort
   1. Legen Sie Konfigurieren auf Ja fest.
   2. Wählen Sie unter Einschließen die Option Ausgewählte Standorte aus.
   3. Wählen Sie den benannten Speicherort aus, den Sie erstellt haben.
   4. Klicken Sie auf "Auswählen"
8. Wählen Sie unter Zugriffssteuerungen>"Zugriff blockieren" und dann "Auswählen" aus.
9. Bestätigen Sie Ihre Einstellungen, und legen Sie „Richtlinie aktivieren” auf „Ein” fest.
10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Aktivieren von Vorlage 3 mit APIs für bedingten Zugriff (optional)

Informationen zum Erstellen einer standortbasierten Richtlinie für bedingten Zugriff mit APIs für bedingten Zugriff finden Sie in der Dokumentation zu APIs für bedingten Zugriff. Informationen zum Einrichten von benannten Speicherorten finden Sie in den Dokumentationen für benannte Speicherorte.

Die folgende Vorlage kann verwendet werden, um eine Richtlinie für bedingten Zugriff mit dem Anzeigenamen "Vorlage 3: Blockieren nicht erlaubter Orte" im Nur-Bericht-Modus zu erstellen.

{
    "displayName": "Template 3: Block unallowed locations",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        },
        "locations": {
            "includeLocations": [
                "b5c47916-b835-4c77-bd91-807ec08bf2a3"
          ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "block"
        ]
    }
}

Hinzufügen des bedingten Zugriffs zu einem Benutzerablauf

Nachdem Sie die Richtlinie für bedingten Zugriff von Microsoft Entra hinzugefügt haben, aktivieren Sie den bedingten Zugriff in Ihrem Benutzerablauf oder Ihrer benutzerdefinierten Richtlinie. Wenn Sie bedingten Zugriff aktivieren, müssen Sie keinen Richtliniennamen angeben. Mehrere Richtlinien für bedingten Zugriff können jederzeit für einen einzelnen Benutzer gelten. In diesem Fall hat die strengste Zugriffssteuerungsrichtlinie Vorrang. Wenn beispielsweise eine Richtlinie MFA erfordert, während der andere Zugriff blockiert, wird der Benutzer blockiert.

Aktivieren der mehrstufigen Authentifizierung (optional)

Wenn Sie bedingten Zugriff zu einem Benutzerablauf hinzufügen, sollten Sie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verwenden. Benutzer können einen einmaligen Code per SMS oder Sprache, ein einmaliges Kennwort per E-Mail oder einen zeitbasierten ToTP-Code (Einmaliges Kennwort) über eine Authentifikator-App für die mehrstufige Authentifizierung verwenden. MFA-Einstellungen werden getrennt von den Einstellungen für bedingten Zugriff konfiguriert. Sie können aus diesen MFA-Optionen wählen:

• Deaktiviert – MFA wird während der Anmeldung nie erzwungen, und Benutzer werden während der Registrierung oder Anmeldung nicht aufgefordert, sich bei der MFA zu registrieren.
• Always On – MFA ist immer erforderlich, unabhängig von Ihrer Einrichtung für bedingten Zugriff. Während der Registrierung werden Benutzer aufgefordert, sich bei der MFA zu registrieren. Wenn Benutzer während der Anmeldung noch nicht bei der MFA registriert sind, werden sie zur Registrierung aufgefordert.
• Bedingt – Während der Registrierung und Anmeldung werden Benutzer aufgefordert, sich für MFA anzumelden (sowohl neue Benutzer als auch bestehende Benutzer, die nicht für MFA angemeldet sind). Während der Anmeldung wird die MFA nur dann erzwungen, wenn die Auswertung einer aktiven Richtlinie für bedingten Zugriff dies erfordert:
  • Wenn das Ergebnis einer MFA-Abfrage ohne Risiko ist, wird MFA erzwungen. Wenn der Benutzer noch nicht bei der MFA registriert ist, wird er aufgefordert, sich zu registrieren.
  • Wenn es sich bei dem Ergebnis um eine MFA-Herausforderung handelt, die aufgrund des Risikos besteht und der Benutzer nicht bei der MFA registriert ist, wird die Anmeldung blockiert.

  Hinweis

  Mit der allgemeinen Verfügbarkeit des bedingten Zugriffs in Azure AD B2C werden Benutzer jetzt aufgefordert, sich während der Registrierung bei einer MFA-Methode zu registrieren. Alle Registrierungsbenutzerflüsse, die Sie vor der allgemeinen Verfügbarkeit erstellt haben, spiegeln dieses neue Verhalten nicht automatisch wider, aber Sie können das Verhalten einschließen, indem Sie neue Benutzerflüsse erstellen.

Um bedingten Zugriff für einen Benutzerablauf zu aktivieren, stellen Sie sicher, dass die Version bedingten Zugriff unterstützt. Diese Benutzerflussversionen werden als empfohlen bezeichnet.

1. Melden Sie sich beim Azure-Portal an.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
3. Wählen Sie unter Azure-DiensteAzure AD B2C aus. Oder verwenden Sie das Suchfeld, um Azure AD B2C zu suchen und auszuwählen.
4. Wählen Sie unter Richtlinien die Option Benutzerflows aus. Wählen Sie dann den Benutzerablauf aus.
5. Wählen Sie "Eigenschaften" aus, und stellen Sie sicher, dass der Benutzerfluss bedingten Zugriff unterstützt, indem Sie nach der Einstellung mit der Bezeichnung "Bedingter Zugriff" suchen.
6. Wählen Sie im Abschnitt " Mehrstufige Authentifizierung " den gewünschten Methodentyp aus, und wählen Sie dann unter der MFA-Erzwingung " Bedingt" aus.
7. Aktivieren Sie im Abschnitt "Bedingter Zugriff " das Kontrollkästchen "Richtlinien für bedingten Zugriff erzwingen ".
8. Wählen Sie Speichern aus.

Fügen Sie den bedingten Zugriff zu Ihrer Richtlinie hinzu

1. Rufen Sie das Beispiel einer Richtlinie für bedingten Zugriff auf GitHub ab.
2. Ersetzen Sie in jeder Datei die Zeichenfolge yourtenant durch den Namen Ihres Azure AD B2C-Mandanten. Wenn der Name Ihres B2C-Mandanten beispielsweise contosob2c lautet, werden alle Instanzen von yourtenant.onmicrosoft.com zu contosob2c.onmicrosoft.com.
3. Laden Sie die Richtliniendateien hoch.

Konfigurieren eines anderen Anspruchs als die für die MFA bestimmte Telefonnummer

In der obigen Richtlinie für bedingten Zugriff überprüft die DoesClaimExist Anspruchstransformationsmethode, ob ein Anspruch einen Wert enthält, z. B. wenn der strongAuthenticationPhoneNumber Anspruch eine Telefonnummer enthält. Die Anspruchstransformation ist nicht auf den strongAuthenticationPhoneNumber Anspruch beschränkt. Je nach Szenario können Sie jeden anderen Anspruch verwenden. Im folgenden XML-Codeausschnitt wird der strongAuthenticationEmailAddress Anspruch stattdessen überprüft. Der von Ihnen gewählte Anspruch muss einen gültigen Wert haben, sonst wird der IsMfaRegistered Anspruch auf False gesetzt. Bei Festlegung auf False, gibt die Richtlinienauswertung für bedingten Zugriff einen Block Genehmigungstyp zurück und verhindert, dass der Benutzer den Benutzerablauf abschließt.

 <ClaimsTransformation Id="IsMfaRegisteredCT" TransformationMethod="DoesClaimExist">
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="strongAuthenticationEmailAddress" TransformationClaimType="inputClaim" />
  </InputClaims>
  <OutputClaims>
    <OutputClaim ClaimTypeReferenceId="IsMfaRegistered" TransformationClaimType="outputClaim" />
  </OutputClaims>
 </ClaimsTransformation>

Teste deine benutzerdefinierte Richtlinie

1. Wählen Sie die B2C_1A_signup_signin_with_ca Oder B2C_1A_signup_signin_with_ca_whatif Richtlinie aus, um die Zugehörige Übersichtsseite zu öffnen. Wählen Sie dann "Benutzerablauf ausführen" aus. Wählen Sie unter "Anwendung" "webapp1" aus. Als Antwort-URL sollte https://jwt.ms angezeigt werden.
2. Kopieren Sie die URL unter Benutzerflow-Endpunkt ausführen.
3. Um eine riskante Anmeldung zu simulieren, öffnen Sie den Tor-Browser , und verwenden Sie die URL, die Sie im vorherigen Schritt kopiert haben, um sich bei der registrierten App anzumelden.
4. Geben Sie die angeforderten Informationen auf der Anmeldeseite ein, und versuchen Sie dann, sich anzumelden. Das Token wird an https://jwt.ms zurückgegeben und sollte Ihnen angezeigt werden. Im jwt.ms decodierten Token sollten Sie sehen, dass die Anmeldung blockiert wurde.

Testen des Benutzerablaufs

1. Wählen Sie den von Ihnen erstellten Benutzerfluss aus, um seine Übersichtsseite zu öffnen, und wählen Sie dann " Benutzerablauf ausführen" aus. Wählen Sie unter "Anwendung" "webapp1" aus. Als Antwort-URL sollte https://jwt.ms angezeigt werden.
2. Kopieren Sie die URL unter Benutzerflow-Endpunkt ausführen.
3. Um eine riskante Anmeldung zu simulieren, öffnen Sie den Tor-Browser , und verwenden Sie die URL, die Sie im vorherigen Schritt kopiert haben, um sich bei der registrierten App anzumelden.
4. Geben Sie die angeforderten Informationen auf der Anmeldeseite ein, und versuchen Sie dann, sich anzumelden. Das Token wird an https://jwt.ms zurückgegeben und sollte Ihnen angezeigt werden. Im jwt.ms decodierten Token sollten Sie sehen, dass die Anmeldung blockiert wurde.

Überprüfen der Ergebnisse des bedingten Zugriffs im Überwachungsbericht

So überprüfen Sie das Ergebnis eines Ereignisses für bedingten Zugriff:

1. Melden Sie sich beim Azure-Portal an.
2. Wenn Sie Zugriff auf mehrere Mandanten haben, wählen Sie das Symbol Einstellungen im Menü oben aus, um über das Menü Verzeichnisse + Abonnements zu Ihrem Azure AD B2C-Mandanten zu wechseln.
3. Wählen Sie unter Azure-DiensteAzure AD B2C aus. Oder verwenden Sie das Suchfeld, um Azure AD B2C zu suchen und auszuwählen.
4. Wählen Sie unter "Aktivitäten" die Option "Überwachungsprotokolle" aus.
5. Filtern Sie das Überwachungsprotokoll, indem Sie " Kategorie " auf "B2C " festlegen und den Aktivitätsressourcentyp auf "IdentityProtection" festlegen. Wählen Sie dann Anwenden aus.
6. Überprüfen Sie die Überwachungsaktivität bis zu den letzten sieben Tagen. Die folgenden Arten von Aktivitäten sind enthalten:
   • Auswerten von Richtlinien für bedingten Zugriff: Dieser Überwachungsprotokolleintrag gibt an, dass während einer Authentifizierung eine Auswertung des bedingten Zugriffs durchgeführt wurde.
   • Benutzende Person korrigieren: Dieser Eintrag gibt an, dass die Gewährung oder die Anforderungen einer Richtlinie für bedingten Zugriff durch die benutzende Endperson erfüllt wurde bzw. wurden und dass diese Aktivität an das Risikomodul gemeldet wurde, um das Risiko der benutzenden Person zu verringern.
7. Wählen Sie einen Eintrag aus dem Evaluierungsprotokoll für bedingten Zugriff in der Liste aus, um die Seite Aktivitätsdetails: Überwachungsprotokoll zu öffnen. Diese zeigt die Kennungen des Überwachungsprotokolls zusammen mit diesen Informationen im Abschnitt Weitere Details an:
   • ConditionalAccessResult: Die für die Auswertung der bedingten Richtlinie erforderliche Gewährung.
   • AppliedPolicies: Eine Liste aller Richtlinien für den bedingten Zugriff, in denen die Bedingungen erfüllt wurden und die Richtlinien aktiviert sind.
   • ReportingPolicies: Eine Liste der Richtlinien für den bedingten Zugriff, die auf den Nur-Bericht-Modus festgelegt wurden und bei denen die Bedingungen erfüllt wurden.

Verwandte Inhalte

Anpassen der Benutzeroberfläche in einem Azure AD B2C-Benutzerablauf