Planen einer Bereitstellung für bedingten Zugriff

Die Planung Ihrer Bereitstellung für bedingten Zugriff ist wichtig, um sicherzustellen, dass Sie die Zugriffsstrategie Ihrer Organisation für Apps und Ressourcen umsetzen.

Beim bedingten Zugriff von Azure Active Directory (Azure AD) werden Signale wie Benutzer, Gerät und Standort analysiert, um Entscheidungen zu automatisieren und Zugriffsrichtlinien des Unternehmens für Ressourcen zu erzwingen. Mithilfe von Richtlinien für bedingten Zugriff können Sie Bedingungen zur Verwaltung von Sicherheitskontrollen erstellen, die den Zugriff blockieren, eine Multi-Faktor-Authentifizierung erfordern oder bei Bedarf die Sitzung des Benutzers einschränken können.

Mit dieser Auswertung und Erzwingung bildet bedingter Zugriff die Grundlage für die Zero Trust-Sicherheitszustandsverwaltung von Microsoft.

Bedingter Zugriff – Überblick

Microsoft stellt Sicherheitsstandards bereit, die sicherstellen, dass ein grundlegendes Sicherheitsniveau in Mandanten aktiviert ist, die nicht über Azure AD Premium verfügen. Mit bedingtem Zugriff können Sie Richtlinien erstellen, die den gleichen Schutz bieten wie Sicherheitsstandards – aber mit Granularität. Bedingter Zugriff und Sicherheitsstandards sollten nicht kombiniert werden, da das Erstellen von Richtlinien für bedingten Zugriff Sie daran hindert, Sicherheitsstandards zu aktivieren.

Voraussetzungen

Grundlegendes zu den Komponenten der Richtlinie für bedingten Zugriff

Richtlinien beantworten Fragen dazu, wer auf Ihre Ressourcen zugreifen soll, auf welche Ressourcen zugegriffen werden darf und unter welchen Bedingungen. Richtlinien können entworfen werden, um Zugriff zu gewähren, Zugriff mit Sitzungssteuerungen zu beschränken oder den Zugriff zu blockieren. Zum Erstellen einer Richtlinie für bedingten Zugriff werden Wenn-Dann-Anweisungen definiert: Wenn eine Zuweisung zutrifft, dann sollen die Zugriffssteuerungen angewendet werden.

Die richtigen Fragen stellen

Hier finden Sie einige häufig gestellte Fragen zu Zuweisungen und Zugriffssteuerungen. Dokumentieren Sie die Antworten auf die einzelnen Fragen für jede Richtlinie, bevor Sie sie erstellen.

Benutzer oder Workloadidentitäten

  • Welche Benutzer, Gruppen, Verzeichnisrollen und Workloadidentitäten werden in die Richtlinie eingeschlossen oder aus der Richtlinie ausgeschlossen?
  • Welche Konten oder Gruppen für den Notfallzugriff sollen aus der Richtlinie ausgeschlossen werden?

Cloud-Apps oder -Aktionen

Gilt diese Richtlinie für eine Anwendung, eine Benutzeraktion oder einen Authentifizierungskontext? Falls ja:

  • Für welche Anwendung (en) gilt die Richtlinie?
  • Welche Benutzeraktionen werden dieser Richtlinie unterliegen?
  • Für welche Authentifizierungskontexte gilt diese Richtlinie?

Bedingungen

  • Welche Geräteplattformen werden in die Richtlinie eingeschlossen oder aus ihr ausgeschlossen?
  • Wo sind die vertrauenswürdigen Standorte der Organisation?
  • Welche Standorte werden in die Richtlinie eingeschlossen oder aus ihr ausgeschlossen?
  • Welche Client-App-Typen werden in die Richtlinie eingeschlossen oder aus der Richtlinie ausgeschlossen?
  • Verfügen Sie über Richtlinien, die das Ausschließen von in Azure AD oder in Azure AD Hybrid eingebundenen Geräten aus Richtlinien erfordern?
  • Wenn Sie Identity Protection verwenden, sollte Schutz vor Anmelderisiken einbezogen werden?

Gewähren oder Blockieren

Möchten Sie Zugriff auf Ressourcen gewähren, indem Sie mindestens eine der folgenden Maßnahmen für erforderlich erklären?

  • Anfordern von MFA
  • Markieren des Geräts als kompatibel erforderlich
  • Gerät mit Hybrid-Azure AD-Einbindung erforderlich
  • Genehmigte Client-App erforderlich
  • App-Schutzrichtlinie erforderlich
  • Kennwortänderung anfordern
  • Verwenden der Nutzungsbedingungen

Sitzungssteuerung

Möchten Sie eine der folgenden Zugriffssteuerungen für Cloud-Apps erzwingen?

  • Verwenden von App-erzwungenen Einschränkungen
  • Verwenden der App-Steuerung für bedingten Zugriff
  • Anmeldehäufigkeit erzwingen
  • Persistente Browsersitzungen verwenden
  • Fortlaufende Zugriffsevaluierung anpassen

Ausstellung von Zugriffstoken

Zugriffstoken gewähren oder verweigern den Zugriff abhängig vom Autorisierungs- und Authentifizierungsstatus des Benutzers, von dem eine Anforderung übermittelt wird. Wenn der Anforderer nachweisen kann, dass er die vorgegebene Entität ist, kann er auf die geschützten Ressourcen oder Funktionen zugreifen.

Abbildung zur Ausstellung von Zugriffstoken

Zugriffstoken werden standardmäßig ausgestellt, wenn eine Bedingung der Richtlinie für bedingten Zugriff keine Zugriffssteuerung auslöst.

Die App kann jedoch auch über eine separate Autorisierung zum Blockieren des Zugriffs verfügen. Stellen Sie sich z. B. eine Richtlinie vor. in der Folgendes gilt:

  • WENN der Benutzer dem Finanzteam angehört, DANN soll MFA für den Zugriff auf seine Gehaltsabrechnungs-App erzwungen werden.
  • WENN ein Benutzer, der nicht dem Finanzteam angehört, versucht, auf die Gehaltsabrechnungs-App zu zuzugreifen, wird für den Benutzer ein Zugriffstoken ausgegeben.
  • Um sicherzustellen, dass Benutzer außerhalb der Finanzgruppe nicht auf die Gehaltsabrechnungs-App zugreifen können, sollte eine separate Richtlinie erstellt werden, um alle anderen Benutzer zu blockieren. Wenn Benutzer, die nicht dem Finanzteam oder der Gruppe der Konten für den Notfallzugriff angehören, auf die Gehaltsabrechnungs-App zugreifen, soll der Zugriff blockiert werden.

Bewährte Methode befolgen

Der bedingte Zugriff bietet hohe Flexibilität bei der Konfiguration. Mehr Flexibilität bedeutet jedoch auch, dass Sie jede Konfigurationsrichtlinie vor dem Veröffentlichen sorgfältig prüfen sollten, um unerwünschte Ergebnisse zu vermeiden.

Einrichten von Konten für den Notfallzugriff

Eine falsch konfigurierte Richtlinie kann dazu führen, dass Organisationen aus dem Azure-Portal ausgesperrt werden.

Mindern Sie die Auswirkungen einer versehentlichen Administratorsperrung, indem Sie zwei oder mehr Notfallzugriffskonten in Ihrer Organisation erstellen. Erstellen Sie ein Benutzerkonto, das für die Richtlinienverwaltung reserviert ist und von allen Richtlinien ausgeschlossen wird.

Anwenden von Richtlinien für bedingten Zugriff auf alle Apps

Stellen Sie sicher, dass auf jede App mindestens eine Richtlinie für bedingten Zugriff angewendet wird. Aus Sicherheitsgründen ist es besser, eine Richtlinie zu erstellen, die alle Cloud-Apps umfasst, und dann Anwendungen auszuschließen, für die die Richtlinie nicht gelten soll. Dadurch wird sichergestellt, dass Sie die Richtlinien für den bedingten Zugriff nicht jedes Mal aktualisieren müssen, wenn Sie eine neue Anwendung integrieren.

Wichtig

Gehen Sie bei der Verwendung von Blockieren und allen Apps in einer einzigen Richtlinie sehr vorsichtig vor. Dadurch können Administratoren aus dem Azure-Verwaltungsportal ausgesperrt werden, und Ausschlüsse können nicht für wichtige Endpunkte wie Microsoft Graph konfiguriert werden.

Minimieren der Anzahl von Richtlinien für bedingten Zugriff

Das Erstellen einer Richtlinie für jede App ist nicht effizient und führt zu einer schwierigen Verwaltung. Der bedingte Zugriff hat ein Limit von 195 Richtlinien pro Mandant. Unsere Empfehlung: Analysieren Sie Ihre Apps, und gruppieren Sie sie zu Anwendungen mit den gleichen Ressourcenanforderungen für die gleichen Benutzer. Wenn beispielsweise alle Microsoft 365-Apps oder alle HR-Apps die gleichen Anforderungen für die gleichen Benutzer haben, erstellen Sie eine einzelne Richtlinie, und schließen Sie alle Apps ein, für die sie gilt.

Einrichten eines reinen Berichtsmodus

Es kann schwierig sein, die Anzahl und die Namen von Benutzern vorherzusagen, die von häufigen Bereitstellungsinitiativen betroffen sind, beispielsweise:

  • Blockieren der Legacyauthentifizierung
  • Benötigt MFA
  • Implementieren von Richtlinien für Risiken bei der Anmeldung

Ein reiner Berichtsmodus ermöglicht Administratoren das Auswerten der Auswirkungen von Richtlinien für bedingten Zugriff, bevor sie diese in ihrer Umgebung aktivieren. Konfigurieren Sie Ihre Richtlinien zunächst im Modus „Nur melden“, und verwenden Sie ihn ein Intervall lang, bevor Sie ihn in Ihrer Umgebung erzwingen.

Planen von Unterbrechungen

Wenn Sie sich auf eine einzelne Zugriffskontrolle wie MFA oder einen Netzwerkstandort verlassen, um Ihre IT-Systeme zu sichern, sind Sie anfällig für Zugriffsfehler, wenn diese einzelne Zugriffskontrolle nicht verfügbar oder falsch konfiguriert ist.

Um das Risiko einer Sperrung bei unvorhergesehenen Unterbrechungen zu verringern, sollten Sie Strategien planen, die dann in Ihrer Organisation angewendet werden können.

Festlegen von Benennungsstandards für Ihre Richtlinien

Ein Benennungsstandard erleichtert die Suche nach Richtlinien und gibt Aufschluss über ihren Zweck, ohne sie im Azure-Verwaltungsportal öffnen zu müssen. Es wird empfohlen, beim Benennen von Richtlinien die folgendem Angaben u berücksichtigen:

  • Eine laufende Nummer
  • Die Cloud-App(s), für die sie gilt
  • Die Antwort
  • Für wen sie gilt
  • Wann sie gilt (falls zutreffend)

Screenshot: Benennungsstandards für Richtlinien

Beispiel: Eine Richtlinie, die erfordert, dass MFA für Marketingbenutzer, die auf die Dynamics CRP-App von externen Netzwerken aus zugreifen, verwendet wird:

Benennungsstandard

Ein beschreibender Name hilft Ihnen dabei, einen Überblick über die Implementierung von bedingtem Zugriff zu behalten. Die Sequenznummer ist hilfreich, wenn Sie auf eine Richtlinie in einer Konversation verweisen müssen. Wenn Sie beispielsweise mit einem anderen Administrator telefonieren, können Sie ihn auffordern, die Richtlinie CA01 zu öffnen, um ein Problem zu lösen.

Benennungsstandards für Notfallzugriffssteuerungen

Neben Ihren aktiven Richtlinien sollten Sie auch deaktivierte Richtlinien implementieren, die als sekundäre resiliente Zugriffssteuerungen für Ausfall-/Notfallszenarien fungieren. Ihr Benennungsstandard für die Notfallplan-Richtlinien sollte Folgendes enthalten:

  • IM NOTFALL AKTIVIEREN am Anfang, damit sich der Name von denen anderer Richtlinien unterscheidet.
  • Der Name der Störungen, auf die sie angewandt werden soll.
  • Mithilfe einer Sequenznummer für die Sortierung wissen Administratoren sofort, in welcher Reihenfolge die Richtlinien aktiviert werden sollen.

Beispiel

Der folgende Name gibt an, dass diese Richtlinie die erste von vier Richtlinien ist, die im Fall von MFA-Unterbrechungen aktivieren soll:

  • EM01 – ENABLE IN EMERGENCY: MFA Disruption [1/4] – Exchange SharePoint: Require hybrid Azure AD join For VIP users.

Blockieren von Ländern, aus denen nie eine Anmeldung erwartet wird

Mit Azure Active Directory können Sie benannte Standorte erstellen. Erstellen Sie die Liste der zulässigen Länder und anschließend eine Netzwerkblockierungsrichtlinie, aus der Sie diese zulässigen Länder ausschließen. Dies ist weniger Overhead für Kunden, die an kleineren geografischen Standorten ansässig sind. Stellen Sie sicher, dass Ihre Konten für den Notfallzugriff von dieser Richtlinie ausgenommen sind.

Bereitstellen der Richtlinie für bedingten Zugriff

Wenn neue Richtlinien fertig sind, stellen Sie Ihre Richtlinien für den bedingten Zugriff in Phasen bereit.

Erstellen Ihrer Richtlinie für bedingten Zugriff

Informationen zum Einstieg finden Sie unter Allgemeine Richtlinien für bedingten Zugriff. Eine praktische Möglichkeit ist die Verwendung der Vorlage für bedingten Zugriff mit Empfehlungen von Microsoft. Achten Sie darauf, dass Sie Ihre Konten für den Notfallzugriff ausschließen.

Auswerten der Auswirkungen der Richtlinie

Bevor sich die Auswirkungen der Richtlinie für bedingten Zugriff in Ihrer Produktionsumgebung zeigen, empfiehlt es sich, sie mithilfe der beiden folgenden Tools zunächst zu simulieren.

Einrichten eines reinen Berichtsmodus

Standardmäßig wird jede Richtlinie im Nur-Bericht-Modus erstellt. Wir empfehlen Organisationen, die Nutzung zu testen und zu überwachen, um das beabsichtigte Ergebnis sicherzustellen, bevor sie jede Richtlinie aktivieren.

Aktivieren Sie die Richtlinie im Modus „Nur melden“. Nachdem Sie die Richtlinie im reinen Berichtsmodus gespeichert haben, können Sie die Auswirkung auf Echtzeitanmeldungen in den Anmeldeprotokollen erkennen. Wählen Sie aus den Anmeldeprotokollen ein Ereignis aus, und navigieren Sie zu der Registerkarte, die nur für Berichte vorgesehen ist, um das Ergebnis jeder reinen Berichtsrichtlinie anzuzeigen.

Sie können die aggregierten Auswirkungen Ihrer Richtlinien für bedingten Zugriff in der Arbeitsmappe „Insights und Berichte“ anzeigen. Für den Zugriff auf die Arbeitsmappe benötigen Sie ein Azure Monitor-Abonnement und müssen Ihre Anmeldeprotokolle in einen Log Analytics-Arbeitsbereich streamen.

Simulieren von Anmeldungen mit dem Tool „What If“

Eine weitere Möglichkeit zum Überprüfen Ihrer Richtlinie für den bedingten Zugriff ist die Verwendung des Tools „What If“, das simuliert, welche Richtlinien für einen Benutzer gelten würden, der sich unter hypothetischen Umständen anmeldet. Wählen Sie die Anmeldeattribute aus, die Sie testen möchten (z. B. Benutzer, Anwendung, Geräteplattform und Speicherort), und sehen Sie sich an, welche Richtlinien angewendet würden.

Hinweis

Eine simulierte Ausführung vermittelt zwar einen Eindruck von den Auswirkungen einer Richtlinie für bedingten Zugriff, ist aber kein Ersatz für einen echten Testlauf.

Testen Ihrer Richtlinie

Testen Sie unbedingt die Ausschlusskriterien einer Richtlinie. Sie können beispielsweise einen Benutzer oder eine Gruppe aus einer Richtlinie ausschließen, die eine mehrstufige Authentifizierung (MFA) erfordert. Testen Sie, ob ausgeschlossene Benutzer zur Verwendung der MFA aufgefordert werden, weil die Kombination anderer Richtlinien möglicherweise die Verwendung der MFA für diese Benutzer vorschreibt.

Führen Sie jeden Test im Testplan mit Testbenutzern aus. Der Testplan ist wichtig, um die erwarteten Ergebnisse mit den tatsächlichen Ergebnissen vergleichen zu können. Die folgende Tabelle enthält einige Beispiele für Testfälle. Passen Sie die Szenarien und die erwarteten Ergebnisse auf der Grundlage der Konfiguration Ihrer Richtlinien für bedingten Zugriff an.

Richtlinie Szenario Erwartetes Ergebnis
Riskante Anmeldungen Ein Benutzer meldet sich bei der App über einen nicht genehmigten Browser an. Berechnet eine Risikobewertung basierend auf der Wahrscheinlichkeit, dass die Anmeldung nicht vom Benutzer durchgeführt wurde. Der Benutzer muss das Problem selbstständig mittels MFA beheben.
Geräteverwaltung Ein autorisierter Benutzer versucht, sich über ein autorisiertes Gerät anzumelden. Der Zugriff wird gewährt.
Geräteverwaltung Ein autorisierter Benutzer versucht, sich über ein nicht autorisiertes Gerät anzumelden. Der Zugriff wird blockiert.
Kennwortänderung für riskante Benutzer Ein autorisierter Benutzer versucht, sich mit gefährdeten Anmeldeinformationen anzumelden (Anmeldung mit hohem Risiko). Der Benutzer wird aufgefordert, das Kennwort zu ändern, oder der Zugriff wird blockiert (auf der Grundlage Ihrer Richtlinie).

Bereitstellen in der Produktion

Nachdem Sie Ihre Einstellungen mithilfe des Modus „Nur melden“ überprüft haben, kann ein Administrator den Umschalter Richtlinie aktivieren von Nur melden auf Ein festlegen.

Rollback von Richtlinien

Sollte für Ihre neu implementierten Richtlinien ein Rollback erforderlich sein, verwenden Sie mindestens eine der folgenden Optionen:

  • Deaktivieren der Richtlinie Durch das Deaktivieren einer Richtlinie wird sichergestellt, dass sie nicht angewendet wird, wenn ein Benutzer versucht, sich anzumelden. Die Richtlinie kann bei Bedarf jederzeit erneut aktiviert werden.

Abbildung zum Aktivieren einer Richtlinie

  • Ausschließen eines Benutzers oder einer Gruppe aus einer Richtlinie. Falls ein Benutzer nicht auf die App zugreifen kann, können Sie ihn aus der Richtlinie ausschließen.

Ausschließen von Benutzern und Gruppen

Hinweis

Diese Option sollte nur für vertrauenswürdige Benutzer verwendet werden. Der Benutzer sollte der Richtlinie oder Gruppe baldmöglichst wieder hinzugefügt werden.

  • Löschen der Richtlinie. Löschen Sie die Richtlinie, wenn Sie sie nicht mehr benötigen.

Behandeln von Problemen mit Richtlinien für bedingten Zugriff

Wenn ein Benutzer ein Problem mit einer Richtlinie für bedingten Zugriff hat, erfassen Sie die folgenden Informationen, um die Problembehandlung zu vereinfachen.

  • Benutzerprinzipalname
  • Anzeigename des Benutzers
  • Betriebssystemname
  • Zeitstempel (ungefähre Angabe ist OK)
  • Zielanwendung
  • Clientanwendungstyp (Browser oder Client)
  • Korrelations-ID (diese ist für die Anmeldung eindeutig)

Wenn der Benutzer eine Nachricht mit einem Link zu weiteren Details erhalten hat, kann er die meisten dieser Informationen für Sie erfassen.

App-Fehlermeldung kann nicht abgerufen werden

Sobald Sie die Informationen gesammelt haben, sehen Sie sich die folgenden Ressourcen an:

  • Anmeldeprobleme bei bedingtem Zugriff: Mithilfe von Fehlermeldungen und dem Azure AD-Anmeldeprotokoll können Sie Probleme bei unerwarteten Anmeldeergebnissen im Zusammenhang mit bedingtem Zugriff beheben.
  • Verwenden des Was-wäre-wenn-Tools: Verstehen Sie, warum eine Richtlinie in einem bestimmten Szenario auf einen Benutzer angewendet oder nicht angewendet wurde oder ob eine Richtlinie in einem bekannten Zustand angewendet würde.

Nächste Schritte

Erfahren Sie mehr über Multifaktor-Authentifizierung

Erfahren Sie mehr über Identity Protection

Verwalten von Richtlinien für bedingten Zugriff mit der Microsoft Graph-API