Richtlinienvorlagen für bedingten Zugriff

Vorlagen für bedingten Zugriff ermöglichen eine praktische Methode zum Bereitstellen neuer Richtlinien, die den Empfehlungen von Microsoft folgen. Diese Vorlagen sind so konzipiert, dass sie unter Berücksichtigung häufig verwendeter Richtlinien für verschiedene Kundentypen und Standorte maximalen Schutz bieten.

Vorlagenkategorien

Vorlagen für Richtlinien für bedingten Zugriff sind in die folgenden Kategorien unterteilt:

Sichere Grundlage

Microsoft empfiehlt diese Richtlinien als Basis für alle Organisationen. Es wird empfohlen, diese Richtlinien als Gruppe bereitzustellen.

• Multi-Faktor-Authentifizierung für Administratoren erfordern
• Sichere Registrierung von Sicherheitsinformationen
• Blockieren älterer Authentifizierungsmethoden
• Multi-Faktor-Authentifizierung für Administratoren anfordern, die auf Microsoft-Verwaltungsportale zugreifen
• Multi-Faktor-Authentifizierung für alle Benutzer erfordern
• Multi-Faktor-Authentifizierung für die Azure-Verwaltung erfordern
• Konformes oder hybrides, in Microsoft Entra eingebundenes Gerät oder Multi-Faktor-Authentifizierung für alle Benutzer*innen erforderlich
• Erzwingen eines kompatiblen Geräts

Zero-Trust

Als Gruppe unterstützen diese Richtlinien eine Zero Trust-Architektur.

• Multi-Faktor-Authentifizierung für Administratoren erfordern
• Sichere Registrierung von Sicherheitsinformationen
• Blockieren älterer Authentifizierungsmethoden
• Multi-Faktor-Authentifizierung für alle Benutzer erfordern
• Multi-Faktor-Authentifizierung für Gastzugriff erfordern
• Multi-Faktor-Authentifizierung für die Azure-Verwaltung erfordern
• Erzwingen der Multi-Faktor-Authentifizierung für Risikoanmeldungen Erfordert Microsoft Entra ID P2
• Kennwortänderung für Benutzer mit hohem Risiko erforderlich Erfordert Microsoft Entra ID P2
• Zugriff für unbekannte oder nicht unterstützte Geräteplattform blockieren
• Keine persistente Browsersitzung
• Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich
• Konformes oder hybrides, in Microsoft Entra eingebundenes Gerät oder Multi-Faktor-Authentifizierung für alle Benutzer*innen erforderlich
• Multi-Faktor-Authentifizierung für Administratoren anfordern, die auf Microsoft-Verwaltungsportale zugreifen
• Blockieren des Zugriffs für Benutzer mit Insider-Risiko Erfordert Microsoft Purview

Remotearbeit

Mithilfe dieser Richtlinien können Organisationen mit Remotemitarbeitern geschützt werden.

• Sichere Registrierung von Sicherheitsinformationen
• Blockieren älterer Authentifizierungsmethoden
• Multi-Faktor-Authentifizierung für alle Benutzer erfordern
• Multi-Faktor-Authentifizierung für Gastzugriff erfordern
• Erzwingen der Multi-Faktor-Authentifizierung für Risikoanmeldungen Erfordert Microsoft Entra ID P2
• Kennwortänderung für Benutzer mit hohem Risiko erforderlich Erfordert Microsoft Entra ID P2
• Konformes oder hybrides Microsoft Entra-Gerät für Administrator*innen erforderlich
• Zugriff für unbekannte oder nicht unterstützte Geräteplattform blockieren
• Keine persistente Browsersitzung
• Erzwingen eines kompatiblen Geräts
• Genehmigte Client-Apps oder App-Schutzrichtlinie erforderlich
• Von der Anwendung erzwungene Einschränkungen für nicht verwaltete Geräte verwenden

Administrator schützen

Diese Richtlinien sind für Administratoren mit hohen Berechtigungen in Ihrer Umgebung gedacht, deren Kompromittierung den größten Schaden verursachen kann.

• Multi-Faktor-Authentifizierung für Administratoren erfordern
• Blockieren älterer Authentifizierungsmethoden
• Multi-Faktor-Authentifizierung für die Azure-Verwaltung erfordern
• Konformes oder hybrides Microsoft Entra-Gerät für Administrator*innen erforderlich
• Erzwingen eines kompatiblen Geräts
• Phishingresistente Multi-Faktor-Authentifizierung für Administratoren erforderlich

Neu auftretende Bedrohungen

Richtlinien in dieser Kategorie bieten neue Möglichkeiten zum Schutz vor Kompromittierung.

• Phishingresistente Multi-Faktor-Authentifizierung für Administratoren erforderlich

Suchen Sie diese Vorlagen unter Microsoft Entra Admin Center>Schutz>Bedingter Zugriff>Erstellen einer neuen Richtlinie aus Vorlagen. Wählen Sie Mehr anzeigen aus, um alle Richtlinienvorlagen in jeder Kategorie anzuzeigen.

Wichtig

Richtlinien einer Vorlage für bedingten Zugriff schließen nur den Benutzer aus, der die Richtlinie erstellt. Wenn Ihre Organisation andere Konten ausschließen muss, können Sie die Richtlinie nach der Erstellung ändern. Sie finden diese Richtlinien unter Microsoft Entra Admin Center>Schutz>Bedingter Zugriff>Richtlinien. Wählen Sie eine Richtlinie aus, um den Editor zu öffnen, und ändern Sie die ausgeschlossenen Benutzer*innen und Gruppen, um Konten auszuwählen, die Sie ausschließen möchten.

Standardmäßig wird jede Richtlinie im Modus „Nur Bericht“ erstellt. Wir empfehlen Organisationen, die Nutzung zu testen und zu überwachen, um vor dem Aktivieren der einzelnen Richtlinien das beabsichtigte Ergebnis sicherzustellen.

Organisationen können einzelne Richtlinienvorlagen auswählen und folgende Aktionen ausführen:

• Anzeigen einer Zusammenfassung der Richtlinieneinstellungen
• Bearbeiten zum Anpassen basierend auf Organisationsanforderungen
• Exportieren der JSON-Definition zur Verwendung in programmgesteuerten Workflows
  • Diese JSON-Definitionen können bearbeitet und dann auf der Hauptseite der Richtlinien für bedingten Zugriff mithilfe der Option Richtliniendatei hochladen importiert werden.

Andere allgemeine Richtlinien

• Erfordert die Multi-Faktor-Authentifizierung für die Geräteregistrierung
• Blockieren des Zugriffs nach Standort
• Blockieren des Zugriffs mit Ausnahme bestimmter Apps

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:

• Notfallzugriffs - oder Unterbrechungsglaskonten , um die Sperrung aufgrund von Richtlinienfehlern zu verhindern. Im unwahrscheinlichen Szenario sind alle Administratoren gesperrt, ihr Administratorkonto für den Notfallzugriff kann verwendet werden, um sich anzumelden und Schritte zum Wiederherstellen des Zugriffs auszuführen.
  • Weitere Informationen finden Sie im Artikel Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.
• Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
  • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie in Betracht ziehen, diese durch verwaltete Identitäten zu ersetzen.

Nächste Schritte

• Simulieren des Anmeldeverhaltens mit dem What If-Tool für bedingten Zugriff
• Verwenden des Modus „Nur Bericht“ für bedingten Zugriff zum Ermitteln der Ergebnisse neuer Richtlinienentscheidungen