Arbeitsmappe „Lückenanalyse für bedingten Zugriff“

  • Artikel

In Microsoft Entra ID können Sie den Zugriff auf Ihre Ressourcen schützen, indem Sie Richtlinien für bedingten Zugriff konfigurieren. Als IT-Administrator möchten Sie sicherstellen, dass Ihre Richtlinien für bedingten Zugriff wie erwartet funktionieren, um sicherzustellen, dass Ihre Ressourcen ordnungsgemäß geschützt sind. Mit der Arbeitsmappe „Lückenanalyse für bedingten Zugriff“ können Sie Lücken in Ihrer Implementierung des bedingten Zugriffs erkennen.

Dieser Artikel bietet eine Übersicht über die Arbeitsmappe Lückenanalyse für bedingten Zugriff.

Voraussetzungen

Um Azure Workbooks für Microsoft Entra ID zu verwenden, benötigen Sie Folgendes:

  • Ein Microsoft Entra-Mandant mit einer Premium P1-Lizenz
  • Log Analytics-Arbeitsbereich und Zugriff auf diesen Arbeitsbereich
  • Die geeigneten Rollen für Azure Monitor und Microsoft Entra ID

Log Analytics-Arbeitsbereich

Sie müssen einen Log Analytics-Arbeitsbereich erstellen, bevor Sie Microsoft Entra-Arbeitsmappen verwenden können. Mehrere Faktoren bestimmen den Zugriff auf Log Analytics-Arbeitsbereiche. Sie benötigen die richtigen Rollen für den Arbeitsbereich und die Ressourcen, die die Daten senden.

Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche.

Azure Monitor-Rollen

Azure Monitor bietet zwei integrierte Rollen zum Anzeigen von Überwachungsdaten und zum Bearbeiten von Überwachungseinstellungen. Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure bietet außerdem zwei integrierte Log Analytics-Rollen, die ähnlichen Zugriff gewähren.

  • Anzeigen:

    • Überwachungsleser
    • Log Analytics-Leser

  • Anzeigen und Ändern von Einstellungen:

    • Überwachungsmitwirkender
    • Log Analytics-Mitwirkender

Microsoft Entra-Rollen

Mit dem schreibgeschützten Zugriff können Sie Microsoft Entra ID-Protokolldaten in einer Arbeitsmappe anzeigen, Daten aus Log Analytics abfragen oder Protokolle im Microsoft Entra Admin Center lesen. Der Updatezugriff bietet die Möglichkeit, Diagnoseeinstellungen zu erstellen und zu bearbeiten, um Microsoft Entra-Daten an einen Log Analytics-Arbeitsbereich zu senden.

  • Read (Lesen):

    • Berichtleseberechtigter
    • Sicherheitsleseberechtigter
    • Globaler Leser

  • Update (Aktualisieren):

    • Sicherheitsadministrator

Weitere Informationen zu in Microsoft Entra integrierten Rollen finden Sie unter integrierte Rollen in Microsoft Entra.

Weitere Informationen zu den RBAC-Rollen für Log Analytics finden Sie unter Integrierte Azure-Rollen.

Beschreibung

Workbook category

Als IT-Administrator möchten Sie sicherstellen, dass nur die richtigen Personen auf Ihre Ressourcen zugreifen können. Der bedingte Zugriff von Microsoft Entra hilft Ihnen dabei, dieses Ziel zu erreichen.

Mithilfe der Arbeitsmappe „Lückenanalyse für bedingten Zugriff“ können Sie überprüfen, ob Ihre Richtlinien für bedingten Zugriff wie erwartet funktionieren.

Diese Arbeitsmappe bietet folgende Möglichkeiten:

  • Hebt Benutzeranmeldungen hervor, auf die keine Richtlinien für bedingten Zugriff angewendet wurden.
  • Hiermit stellen Sie sicher, dass keine Benutzer, Anwendungen oder Standorte unbeabsichtigt von Richtlinien für bedingten Zugriff ausgeschlossen wurden.

So greifen Sie auf die Arbeitsmappe zu

  1. Melden Sie sich mit einer geeigneten Kombination von Rollen beim Microsoft Entra Admin Center an.

  2. Browsen Sie zu Identität>Überwachung und Integrität>Workbooks.

  3. Wählen Sie die Arbeitsmappe Lückenanalyse für bedingten Zugriff im Abschnitt Bedingter Zugriff aus.

Arbeitsmappenabschnitte

Die Arbeitsmappe enthält vier Abschnitte:

  • Benutzeranmeldungen mit Legacyauthentifizierung

  • Anzahl der Anmeldungen von Anwendungen, für die keine Richtlinien für bedingten Zugriff gelten

  • Anmeldeereignisse mit hohem Risiko, bei denen Richtlinien für bedingten Zugriff umgangen werden

  • Anzahl der Anmeldungen nach Standort, die nicht von Richtlinien für bedingten Zugriff betroffen sind

Conditional Access coverage by location

Jeder dieser Trends stellt eine Aufschlüsselung der Anmeldungen auf Benutzerebene bereit, sodass Sie sehen können, welche Benutzer im jeweiligen Szenario den bedingten Zugriff umgehen.

Filter

Diese Arbeitsmappe unterstützt das Festlegen eines Zeitbereichsfilters.

Time range filter

Bewährte Methoden

Stellen Sie mit dieser Arbeitsmappe sicher, dass für die Konfiguration Ihres Mandanten die folgenden bewährten Methoden für bedingten Zugriff verwendet wurden:

  • Blockieren aller Anmeldungen mit Legacyauthentifizierung

  • Anwenden von mindestens einer Richtlinie für bedingten Zugriff auf jede Anwendung

  • Blockieren aller Anmeldungen mit hohem Risiko

  • Blockieren von Anmeldungen von nicht vertrauenswürdigen Standorten