Bedingter Zugriff: Benutzer, Gruppen und Workloadidentitäten

Eine Richtlinie für bedingten Zugriff muss eine Benutzer-, Gruppen- oder Workloadidentitätszuweisung als eines der Signale im Entscheidungsprozess einschließen. Diese Identitäten können in Richtlinien für bedingten Zugriff eingeschlossen oder davon ausgeschlossen werden. Microsoft Entra ID wertet alle Richtlinien aus und stellt sicher, dass alle Anforderungen erfüllt sind, bevor Zugriff gewährt wird.

Einschließen von Benutzern

Diese Liste von Benutzern umfasst in der Regel alle Benutzer, die eine Organisation in einer Richtlinie für bedingten Zugriff berücksichtigt.

Beim Erstellen einer Richtlinie für bedingten Zugriff sind die folgenden Optionen zum Einschließen verfügbar.

• Keine
  • Keine Benutzer ausgewählt
• Alle Benutzer
  • Alle Benutzer, die im Verzeichnis vorhanden sind, einschließlich der B2B-Gäste.
• Auswählen von „Benutzer und Gruppen“
  • Gastbenutzer oder externe Benutzer
    • Diese Auswahl bietet mehrere Optionen, mit denen Sie Richtlinien für bedingten Zugriff auf bestimmte Typen von Gastbenutzern oder externen Benutzern sowie auf bestimmte Mandanten anwenden können, die diese Benutzertypen enthalten. Es können verschiedene Typen von Gastbenutzern oder externen Benutzern ausgewählt werden, und es ist eine Mehrfachauswahl möglich:
      • B2B Collaboration-Gastbenutzer
      • B2B Collaboration-Mitgliederbenutzer
      • B2B Direct Connect-Benutzer
      • Lokale Gastbenutzer, z. B. Benutzer, die zum Basismandanten gehören und deren Benutzertypattribut auf Gast festgelegt ist
      • Dienstanbieterbenutzer, z. B. ein Cloudlösungsanbieter (Cloud Solution Provider, CSP)
      • Andere externe Benutzer oder Benutzer, die nicht durch die Auswahl der anderen Benutzertypen repräsentiert werden
    • Für den/die ausgewählten Benutzertyp(en) können Sie einen oder mehrere Mandanten angeben, oder Sie können alle Mandanten angeben.
  • Verzeichnisrollen
    • Diese ermöglicht es Administratoren, bestimmte integrierte AD Verzeichnisrollen auszuwählen, die zum Bestimmen der Richtlinienzuweisung verwendet werden. Beispielsweise können Organisationen eine restriktivere Richtlinie für Benutzer erstellen, denen aktiv eine privilegierte Rolle zugewiesen ist. Andere Rollentypen werden nicht unterstützt, einschließlich Rollen und benutzerdefinierte Rollen, die auf den Bereich der Verwaltungseinheit bezogen sind.
      • Mit bedingtem Zugriff können Administratoren einige Rollen auswählen, die als veraltet aufgeführt sind. Diese Rollen werden weiterhin in der zugrunde liegenden API angezeigt und Administratoren können Richtlinien auf sie anwenden.
  • Benutzer und Gruppen
    • Ermöglicht das Einbeziehen bestimmter Gruppen von Benutzern. Beispielsweise können Organisationen eine Gruppe auswählen, die alle Mitglieder der Personalabteilung enthält, wenn eine HR-App als Cloud-App ausgewählt wurde. Als Gruppe gilt eine beliebige Benutzergruppe in Microsoft Entra ID, einschließlich dynamischer oder zugewiesener Sicherheits- und Verteilungsgruppen. Die Richtlinie wird auf geschachtelte Benutzer*innen und Gruppen angewendet.

Wichtig

Bei der Auswahl der Benutzer und Gruppen, die Sie einer Richtlinie für bedingten Zugriff hinzufügen, gilt eine Beschränkung für die Anzahl einzelner Benutzer, die einer Richtlinie für bedingten Zugriff direkt hinzugefügt werden können. Wenn Sie einer Richtlinie für bedingten Zugriff eine sehr hohe Anzahl von Benutzern direkt hinzufügen möchten, sollten Sie diese Benutzer einer Gruppe hinzufügen und dann der Richtlinie für den bedingten Zugriff stattdessen die Gruppe zuweisen.

Wenn Benutzer oder Gruppen zu mehr als 2048 Gruppen gehören, kann ihr Zugriff blockiert werden. Diese Begrenzung gilt sowohl für die direkte als auch für die geschachtelte Gruppenmitgliedschaft.

Warnung

Richtlinien für bedingten Zugriff unterstützen keine Benutzer, die einer auf eine Verwaltungseinheit beschränkten Verzeichnisrolle zugewiesen sind. Das gleiche gilt für Benutzer, die Verzeichnisrollen zugewiesen sind, die sich direkt auf ein Objekt beziehen (z.B. über benutzerdefinierte Rollen).

Hinweis

Beim Ausrichten von Richtlinien auf externer Benutzer mit direkter B2B-Verbindung werden diese Richtlinien auch auf B2B-Zusammenarbeitsbenutzer angewendet, die auf Teams oder SharePoint Online zugreifen, die ebenfalls für die direkte B2B-Verbindung berechtigt sind. Gleiches gilt für Richtlinien, die auf externe B2B-Zusammenarbeitsbenutzer ausgerichtet sind, was bedeutet, dass für Benutzer, die auf freigegebene Teams-Kanäle zugreifen, B2B-Zusammenarbeitsrichtlinien gelten, wenn sie auch über eine Gastbenutzerpräsenz im Mandanten verfügen.

Ausschließen von Benutzern

Wenn Organisationen Benutzer*innen oder Gruppen sowohl ein- als auch ausschließen, werden die betreffenden Benutzer*innen oder Gruppen von der Richtlinie ausgeschlossen. Eine Ausschlussaktion setzt die Einschlussaktion in der Richtlinie außer Kraft. Ausschlüsse werden häufig für Notfallzugriffskonten verwendet. Weitere Informationen zu Notfallzugriffskonten und warum sie wichtig sind, finden Sie in den folgenden Artikeln:

• Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID
• Erstellen einer resilienten Verwaltungsstrategie für die Zugriffssteuerung in Microsoft Entra ID

Beim Erstellen einer Richtlinie für bedingten Zugriff sind die folgenden Optionen zum Ausschließen verfügbar.

• Gastbenutzer oder externe Benutzer
  • Diese Auswahl bietet mehrere Optionen, mit denen Sie Richtlinien für bedingten Zugriff auf bestimmte Typen von Gastbenutzern oder externen Benutzern sowie auf bestimmte Mandanten anwenden können, die diese Benutzertypen enthalten. Es können verschiedene Typen von Gastbenutzern oder externen Benutzern ausgewählt werden, und es ist eine Mehrfachauswahl möglich:
    • B2B Collaboration-Gastbenutzer
    • B2B Collaboration-Mitgliederbenutzer
    • B2B Direct Connect-Benutzer
    • Lokale Gastbenutzer, z. B. Benutzer, die zum Basismandanten gehören und deren Benutzertypattribut auf Gast festgelegt ist
    • Dienstanbieterbenutzer, z. B. ein Cloudlösungsanbieter (Cloud Solution Provider, CSP)
    • Andere externe Benutzer oder Benutzer, die nicht durch die Auswahl der anderen Benutzertypen repräsentiert werden
  • Für den/die ausgewählten Benutzertyp(en) können Sie einen oder mehrere Mandanten angeben, oder Sie können alle Mandanten angeben.
• Verzeichnisrollen
  • Diese Option ermöglicht Administrator*innen das Auswählen bestimmter Microsoft Entra-Verzeichnisrollen zum Festlegen der Zuweisung. Beispielsweise können Organisationen eine restriktivere Richtlinie für Benutzer erstellen, denen die Rolle Globaler Administrator zugewiesen ist.
• Benutzer und Gruppen
  • Ermöglicht das Einbeziehen bestimmter Gruppen von Benutzern. Beispielsweise können Organisationen eine Gruppe auswählen, die alle Mitglieder der Personalabteilung enthält, wenn eine HR-App als Cloud-App ausgewählt wurde. Als Gruppe gilt eine beliebige Gruppe in Microsoft Entra ID, einschließlich dynamischer oder zugewiesener Sicherheits- und Verteilungsgruppen. Die Richtlinie wird auf geschachtelte Benutzer*innen und Gruppen angewendet.

Verhindern der Administratorsperre

Um beim Erstellen einer Richtlinie, die auf Alle Benutzer und Alle Apps angewendet wird, eine Administratorsperre zu verhindern, wird die folgende Warnung angezeigt.

Sperren Sie sich nicht aus! Wir empfehlen, die Richtlinie zuerst auf eine kleine Gruppe von Benutzern anzuwenden und zu überprüfen, ob sie sich erwartungsgemäß verhält. Wir empfehlen auch, mindestens einen Administrator von dieser Richtlinie auszuschließen. So wird sichergestellt, dass Sie weiterhin Zugriff haben und die Richtlinie bei Bedarf aktualisieren können. Überprüfen Sie die betroffenen Benutzer und Apps.

Standardmäßig bietet die Richtlinie eine Option, um den aktuellen Benutzer/die aktuelle Benutzerin von der Richtlinie auszuschließen. Diese Standardeinstellung kann jedoch von Administrator*innen außer Kraft gesetzt werden, wie in der folgenden Abbildung dargestellt.

Wenn Sie feststellen, dass Sie ausgesperrt sind, finden Sie weitere Informationen unter Was ist zu tun, wenn Sie ausgesperrt sind?

Zugriff externer Partner

Richtlinien für bedingten Zugriff, die für externe Benutzer vorgesehen sind, können den Zugriff durch Dienstanbieter beeinträchtigen, z. B. für differenzierte delegierte Administratorrechte. Weitere Informationen finden Sie in der Einführung in differenzierte delegierte Administratorrechte (GDAP). Verwenden Sie für Richtlinien, die für Mandanten des Dienstanbieters vorgesehen sind, den externen Benutzertyp Dienstanbieterbenutzer, der in den Auswahloptionen Gastbenutzer oder externe Benutzer verfügbar ist.

Workloadidentitäten

Eine Workloadidentität ist eine Identität, die einer Anwendung oder einem Dienstprinzipal den Zugriff auf Ressourcen ermöglicht, manchmal im Kontext eines Benutzers. Richtlinien für bedingten Zugriff können auf Dienstprinzipale mit nur einem Mandanten angewendet werden, die in Ihrem Mandanten registriert sind. SaaS-Apps von Drittanbietern und mehrinstanzenfähige Apps werden nicht unterstützt. Verwaltete Identitäten werden durch die Richtlinie nicht abgedeckt.

Organisationen können gezielt bestimmte Workloadidentitäten in die Richtlinie aufnehmen oder davon ausschließen.

Weitere Informationen finden Sie im Artikel Bedingter Zugriff für Workloadidentitäten.

Nächste Schritte

• Bedingter Zugriff: Cloud-Apps oder -aktionen
• Allgemeine Richtlinien für bedingten Zugriff