Erstellen einer Richtlinie für bedingten Zugriff
Wie im Artikel Was ist bedingter Zugriff? erläutert, ist eine Richtlinie für bedingten Zugriff eine If-Then-Anweisung mit Zuweisungen und Zugriffssteuerungen. Eine Richtlinie für bedingten Zugriff führt Signale zusammen, um Entscheidungen zu treffen und Organisationsrichtlinien zu erzwingen.
Wie erstellt eine Organisation diese Richtlinien? Was ist erforderlich? Wie werden sie angewendet?
Mehrere Richtlinien für bedingten Zugriff können jederzeit auf einen einzelnen Benutzer angewendet werden. In diesem Fall müssen alle geltenden Richtlinien erfüllt werden. Wenn beispielsweise eine Richtlinie die Multi-Faktor-Authentifizierung und eine weitere Richtlinie ein konformes Gerät erfordert, müssen Sie die MFA durchführen und ein konformes Gerät verwenden. Alle Zuweisungen sind logisch per UND-Operator verbunden. Wenn Sie mehr als eine Zuweisung konfiguriert haben, müssen die Bedingungen aller Zuweisungen erfüllt sein, damit eine Richtlinie ausgelöst wird.
Wenn eine Richtlinie ausgewählt ist, bei der „Eine der ausgewählten Steuerungen anfordern“ ausgewählt ist, wird in der definierten Reihenfolge eine Eingabeaufforderung angezeigt, sobald die Richtlinienanforderungen erfüllt sind. Der Zugriff wird gewährt.
Alle Richtlinien werden in zwei Phasen erzwungen:
- Phase 1: Sammeln von Sitzungsdetails
- Sammeln Sie Sitzungsdetails wie Netzwerkstandort und Geräteidentität, die für die Richtlinienauswertung benötigt werden.
- Phase 1 der Richtlinienauswertung gilt für aktivierte Richtlinien sowie für Richtlinien im Modus Nur Bericht.
- Phase 2: Erzwingung
- Verwenden Sie die in Phase 1 gesammelten Sitzungsdetails, um alle Anforderungen zu identifizieren, die nicht erfüllt wurden.
- Wenn eine Richtlinie zum Blockieren des Zugriffs mit dem Gewährungssteuerelement „Blockieren“ konfiguriert ist, wird die Erzwingung hier angehalten, und der*die Benutzer*in wird blockiert.
- Der*die Benutzer*in wird aufgefordert, weitere Gewährungssteuerungsanforderungen auszuführen, die während Phase 1 nicht in der folgenden Reihenfolge erfüllt wurden, bis die Richtlinie erfüllt ist:
- Sobald alle Anforderungen der Gewährungssteuerelemente erfüllt wurden, wenden Sie Sitzungssteuerelemente an (von der App erzwungene Berechtigungen, Microsoft Defender für Cloud Apps und Tokengültigkeitsdauer).
- Die zweite Phase der Richtlinienauswertung wird für alle aktivierten Richtlinien durchlaufen.
Zuweisungen
Im Teil „Zuweisungen“ wird das „Wer“, „Was“ und „Wo“ der Richtlinie für bedingten Zugriff gesteuert.
Benutzer und Gruppen
Benutzer und Gruppen legen anhand der Zuweisungen fest, welche Personen in die Richtlinie einbezogen oder von der Richtlinie ausgeschlossen werden sollen. Diese Zuweisung kann alle Benutzer, bestimmte Benutzergruppen, Verzeichnisrollen oder externe Gastbenutzer einschließen.
Cloud-Apps oder -aktionen
Cloudanwendungen oder -aktionen können Cloudanwendungen, Benutzeraktionen oder Authentifizierungskontexte, die der Richtlinie unterliegen, beinhalten oder ausschließen.
Bedingungen
Eine Richtlinie kann mehrere Bedingungen enthalten.
Anmelderisiko
Bei Organisationen mit Microsoft Entra ID Protection können die dort generierten Risikoerkennungen Ihre Richtlinien für den bedingten Zugriff beeinflussen.
Geräteplattformen
Organisationen mit mehreren Betriebssystemplattformen für ihre Geräte möchten möglicherweise bestimmte Richtlinien auf unterschiedlichen Plattformen erzwingen.
Die zum Berechnen der Geräteplattform verwendeten Informationen stammen aus nicht überprüften Quellen wie Benutzer-Agent-Zeichenfolgen, die geändert werden können.
Positionen
Standorte verbinden IP-Adressen, geografische Regionen und das mit Global Secure Access kompatible Netzwerk mit Richtlinienentscheidungen für bedingten Zugriff. Administratoren können wahlweise Standorte definieren und einige davon als vertrauenswürdig kennzeichnen, z. B. diejenigen für die primären Netzwerkstandorte ihrer Organisation.
Client-Apps
Die Software, die der Benutzer verwendet, um auf die Cloud-App zuzugreifen, beispielsweise „Browser“ und „Mobile Apps und Desktopclients“. Standardmäßig gelten alle neu erstellten Richtlinien für bedingten Zugriff auch dann für alle Client-App-Typen, wenn die Client-Apps-Bedingung nicht konfiguriert ist.
Das Verhalten der Client-Apps-Bedingung wurde im August 2020 aktualisiert. Wenn Sie über Richtlinien für bedingten Zugriff verfügen, bleiben sie unverändert. Wenn Sie jedoch eine vorhandene Richtlinie auswählen, wurde die Umschaltfläche „Konfigurieren“ entfernt, und die Client-Apps, für die die Richtlinie gilt, werden ausgewählt.
Filtern nach Geräten
Mit diesem Steuerelement können bestimmte Geräte anhand ihrer Attribute in einer Richtlinie adressiert werden.
Zugriffssteuerung
Die Zugriffssteuerung der Richtlinie für bedingten Zugriff ist der Teil, der steuert, wie eine Richtlinie erzwungen wird.
Erteilen
Erteilen bietet Administratoren eine Möglichkeit zur Richtlinienerzwingung, bei der sie den Zugriff blockieren oder gewähren können.
Zugriff blockieren
„Zugriff blockieren“ bewirkt genau dies. Der Zugriff wird unter den angegebenen Zuweisungen blockiert. Das Blockieren des Zugriffs ist ein leistungsstarkes Steuerelement, das nur mit entsprechenden Kenntnissen eingesetzt werden sollte.
Gewähren von Zugriff
Das Steuerelement zum Gewähren des Zugriffs kann die Erzwingung von mindestens einem weiteren Steuerelementen auslösen.
- Erzwingen der mehrstufigen Authentifizierung
- Als kompatibel markierte Geräte (Intune) erforderlich
- Microsoft Entra hybrid eingebundenen Gerät erforderlich
- Genehmigte Client-App erforderlich
- App-Schutzrichtlinie erforderlich
- Kennwortänderung anfordern
- Vorschreiben der Verwendung von Nutzungsbedingungen
Administratoren können mithilfe der folgenden Optionen auswählen, ob eins der obigen Steuerelemente oder alle ausgewählten Steuerelemente erforderlich sind. Als Standardwert für mehrere Steuerelemente werden alle als erforderlich ausgewählt.
- Alle ausgewählten Steuerelemente erforderlich (Steuerelement UND Steuerelement)
- Eins der ausgewählten Steuerelemente erforderlich (Steuerelement ODER Steuerelement)
Sitzung
Sitzungssteuerelemente können die Umgebung einschränken.
- Verwenden von App-erzwungenen Einschränkungen
- Funktioniert derzeit nur mit Exchange Online und SharePoint Online.
- Übergibt Geräteinformationen, um das Gewähren von vollständigem oder eingeschränktem Zugriff auf die Umgebung zu steuern.
- App-Steuerung für bedingten Zugriff verwenden
- Verwendet Signale von Microsoft Defender für Cloud Apps, um beispielsweise:
- Blockiert das Herunterladen, Ausschneiden, Kopieren und Drucken von sensiblen Dokumenten.
- Überwacht das Verhalten riskanter Sitzungen.
- Erzwingt das Bezeichnen von sensiblen Dateien.
- Verwendet Signale von Microsoft Defender für Cloud Apps, um beispielsweise:
- Anmeldehäufigkeit
- Möglichkeit zum Ändern der standardmäßigen Anmeldehäufigkeit für die moderne Authentifizierung.
- Persistente Browsersitzung
- Benutzer können angemeldet bleiben, nachdem sie ihr Browserfenster geschlossen und erneut geöffnet haben.
- Fortlaufende Zugriffsevaluierung anpassen
- Standardwerte für Resilienz deaktivieren
Einfache Richtlinien
Eine Richtlinie für bedingten Zugriff muss mindestens Folgendes enthalten, um erzwungen werden zu können:
- Name der Richtlinie.
- Zuweisungen
- Benutzer und/oder Gruppen, auf die die Richtlinie angewendet werden soll.
- Cloud-Apps oder Aktionen, auf die die Richtlinie angewendet werden soll.
- Steuerelemente
- Steuerelemente für Gewähren oder Blockieren
Der Artikel Allgemeine Richtlinien für bedingten Zugriff enthält einige Richtlinien, die für die meisten Organisationen nützlich sein könnten.
Nächste Schritte
Erstellen der Richtlinie für bedingten Zugriff
Planen einer cloudbasierten Bereitstellung von Microsoft Entra Multi-Faktor-Authentifizierung