Erstellen einer Richtlinie für bedingten Zugriff
Wie im Artikel Was ist bedingter Zugriff? erläutert, ist eine Richtlinie für bedingten Zugriff eine If-Then-Anweisung mit Zuweisungen und Zugriffssteuerungen. Eine Richtlinie für bedingten Zugriff führt Signale zusammen, um Entscheidungen zu treffen und Organisationsrichtlinien zu erzwingen.
Wie erstellt eine Organisation diese Richtlinien? Was ist erforderlich? Wie werden sie angewendet?
Auf einzelne Benutzende können jederzeit mehrere Richtlinien für bedingten Zugriff angewandt werden. In diesem Fall müssen alle geltenden Richtlinien erfüllt werden. Wenn beispielsweise eine Richtlinie die Multi-Faktor-Authentifizierung und eine weitere Richtlinie ein konformes Gerät erfordert, müssen Sie die MFA durchführen und ein konformes Gerät verwenden. Alle Zuweisungen sind logisch per UND-Operator verbunden. Wenn Sie mehr als eine Zuweisung konfiguriert haben, müssen die Bedingungen aller Zuweisungen erfüllt sein, damit eine Richtlinie ausgelöst wird.
Wenn eine Richtlinie ausgewählt ist, bei der „Eine der ausgewählten Steuerungen anfordern“ ausgewählt ist, wird in der definierten Reihenfolge eine Eingabeaufforderung angezeigt, sobald die Richtlinienanforderungen erfüllt sind. Der Zugriff wird gewährt.
Alle Richtlinien werden in zwei Phasen erzwungen:
- Phase 1: Sammeln von Sitzungsdetails
- Sammeln Sie Sitzungsdetails wie Netzwerkstandort und Geräteidentität, die für die Richtlinienauswertung benötigt werden.
- Phase 1 der Richtlinienauswertung gilt für aktivierte Richtlinien sowie für Richtlinien im Modus Nur Bericht.
- Phase 2: Erzwingung
- Verwenden Sie die in Phase 1 gesammelten Sitzungsdetails, um alle Anforderungen zu identifizieren, die nicht erfüllt wurden.
- Wenn eine Richtlinie vorhanden ist, die mit dem Gewährungssteuerelement Blockieren konfiguriert ist, wird die Erzwingung hier angehalten, und die Benutzenden werden blockiert.
- Die Benutzenden werden aufgefordert, weitere Gewährungssteuerungsanforderungen auszuführen, die während Phase 1 nicht in der folgenden Reihenfolge erfüllt wurden, bis die Richtlinie erfüllt ist:
- Wenn alle Anforderungen der Gewährungssteuerelemente erfüllt sind, wenden Sie Sitzungssteuerelemente an (von der App erzwungene Berechtigungen, Microsoft Defender for Cloud-Apps und Tokengültigkeitsdauer).
- Die zweite Phase der Richtlinienauswertung wird für alle aktivierten Richtlinien durchlaufen.
Zuweisungen
Im Teil „Zuweisungen“ wird das „Wer“, „Was“ und „Wo“ der Richtlinie für bedingten Zugriff gesteuert.
Benutzer und Gruppen
Mit Benutzer und Gruppen legen Sie fest, welche Personen bei Anwendung der Richtlinie einbezogen oder ausgeschlossen werden. Diese Zuweisung kann alle Benutzer, bestimmte Benutzergruppen, Verzeichnisrollen oder externe Gastbenutzer einschließen.
Zielressourcen
Zielressourcen können Cloudanwendungen, Benutzeraktionen oder Authentifizierungskontexte, die der Richtlinie unterliegen, ein- oder ausschließen.
Network
Unter Netzwerk finden Sie IP-Adressen, geografische Regionen und das mit Global Secure Access kompatible Netzwerk mit Richtlinienentscheidungen für bedingten Zugriff. Administratoren können wahlweise Standorte definieren und einige davon als vertrauenswürdig kennzeichnen, z. B. diejenigen für die primären Netzwerkstandorte ihrer Organisation.
Bedingungen
Eine Richtlinie kann mehrere Bedingungen enthalten.
Anmelderisiko
Bei Organisationen mit Microsoft Entra ID Protection können die dort generierten Risikoerkennungen Ihre Richtlinien für den bedingten Zugriff beeinflussen.
Geräteplattformen
Organisationen mit mehreren Betriebssystemplattformen für ihre Geräte möchten möglicherweise bestimmte Richtlinien auf unterschiedlichen Plattformen erzwingen.
Die zum Berechnen der Geräteplattform verwendeten Informationen stammen aus nicht überprüften Quellen wie Benutzer-Agent-Zeichenfolgen, die geändert werden können.
Client-Apps
Die Software, die der Benutzer verwendet, um auf die Cloud-App zuzugreifen, Beispielsweise „Browser“ und „Mobile Apps und Desktopclients“. Standardmäßig gelten alle neu erstellten Richtlinien für bedingten Zugriff für alle Client-App-Typen, auch wenn die Client-Apps-Bedingung nicht konfiguriert ist.
Filtern nach Geräten
Mit diesem Steuerelement können bestimmte Geräte anhand ihrer Attribute in einer Richtlinie adressiert werden.
Zugriffssteuerung
Die Zugriffssteuerung der Richtlinie für bedingten Zugriff ist der Teil, der steuert, wie eine Richtlinie erzwungen wird.
Erteilen
Erteilen bietet Administratoren eine Möglichkeit zur Richtlinienerzwingung, bei der sie den Zugriff blockieren oder gewähren können.
Zugriff blockieren
„Zugriff blockieren“ bewirkt genau dies. Der Zugriff wird unter den angegebenen Zuweisungen blockiert. Das Blockieren des Zugriffs ist ein leistungsstarkes Steuerelement, das nur mit entsprechenden Kenntnissen eingesetzt werden sollte.
Gewähren von Zugriff
Das Steuerelement zum Gewähren des Zugriffs kann die Erzwingung von mindestens einem weiteren Steuerelementen auslösen.
- Erzwingen der mehrstufigen Authentifizierung
- Als kompatibel markierte Geräte (Intune) erforderlich
- Microsoft Entra hybrid eingebundenen Gerät erforderlich
- Genehmigte Client-App erforderlich
- App-Schutzrichtlinie erforderlich
- Kennwortänderung anfordern
- Vorschreiben der Verwendung von Nutzungsbedingungen
Administratoren können mithilfe der folgenden Optionen auswählen, ob eins der obigen Steuerelemente oder alle ausgewählten Steuerelemente erforderlich sind. Als Standardwert für mehrere Steuerelemente werden alle als erforderlich ausgewählt.
- Alle ausgewählten Steuerelemente erforderlich (Steuerelement UND Steuerelement)
- Eins der ausgewählten Steuerelemente erforderlich (Steuerelement ODER Steuerelement)
Sitzung
Sitzungssteuerelemente können die Benutzererfahrung einschränken.
- Von der App erzwungene Einschränkungen verwenden:
- Funktioniert derzeit nur mit Exchange Online und SharePoint Online.
- Übergibt Geräteinformationen, um das Gewähren von vollständigem oder eingeschränktem Zugriff auf die Umgebung zu steuern.
- App-Steuerung für bedingten Zugriff verwenden:
- Verwendet Signale von Microsoft Defender für Cloud Apps, um beispielsweise:
- Blockiert das Herunterladen, Ausschneiden, Kopieren und Drucken von sensiblen Dokumenten.
- Überwacht das Verhalten riskanter Sitzungen.
- Erzwingt das Bezeichnen von sensiblen Dateien.
- Verwendet Signale von Microsoft Defender für Cloud Apps, um beispielsweise:
- Anmeldehäufigkeit:
- Möglichkeit zum Ändern der standardmäßigen Anmeldehäufigkeit für die moderne Authentifizierung.
- Persistente Browsersitzung:
- Benutzer können angemeldet bleiben, nachdem sie ihr Browserfenster geschlossen und erneut geöffnet haben.
- Fortlaufende Zugriffsevaluierung anpassen
- Standardwerte für Resilienz deaktivieren
Einfache Richtlinien
Eine Richtlinie für bedingten Zugriff muss mindestens Folgendes enthalten, um erzwungen werden zu können:
- Name der Richtlinie.
- Zuweisungen
- Benutzer und/oder Gruppen, auf die die Richtlinie angewendet werden soll.
- Cloud-Apps oder Aktionen, auf die die Richtlinie angewendet werden soll.
- Steuerelemente
- Steuerelemente für Gewähren oder Blockieren
Der Artikel Allgemeine Richtlinien für bedingten Zugriff enthält einige Richtlinien, die für die meisten Organisationen nützlich sein könnten.