Blockieren von Authentifizierungsflows mit einer Richtlinie für bedingten Zugriff

Mit den folgenden Schritten können sie Richtlinien für bedingten Zugriff erstellen, um einzuschränken, wie Gerätecodeflow und Authentifizierungsübertragung innerhalb Ihrer Organisation verwendet werden.

Richtlinien für den Gerätecodeflow

Hinweis

Um die Sicherheit zu erhöhen, empfiehlt Microsoft, den Gerätecodeflow nach Möglichkeit zu blockieren oder einzuschränken.

Sie sollten immer zunächst eine Richtlinie im Modus „Nur melden“ konfigurieren, um die potenzielle Auswirkung auf Ihre Organisation zu ermitteln.

Wir empfehlen Organisationen, sich so weit wie möglich einer einseitigen Blockierung des Gerätecodeflows anzunähern. Organisationen sollten ggf. eine Richtlinie erstellen, um die vorhandene Verwendung des Gerätecodeflows zu überwachen und zu ermitteln, ob sie noch erforderlich ist.

Für Organisationen, in denen die Verwendung des Gerätecodeflows nicht eingerichtet wurde, kann die Blockierung mit der folgenden Richtlinie für bedingten Zugriff erfolgen:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
2. Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
3. Wählen Sie Neue Richtlinie.
4. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
   1. Wählen Sie unter Einschließen die Benutzer aus, die in den Gültigkeitsbereich der Richtlinie fallen sollen (empfohlener Bereich: alle Benutzer).
   2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen aus. Sie sollten nur die erforderlichen Benutzer ausschließen, und diese Ausschlussliste sollte regelmäßig überprüft werden.
5. Wählen Sie unter Zielressourcen>Cloud-Apps>Einschließen die Apps aus, die in der Richtlinie enthalten sein sollen (empfohlener Bereich: alle Cloud-Apps).
6. Legen Sie unter Bedingungen>Authentifizierungsflows die Option Konfigurieren auf Ja fest.
   1. Wählen Sie Gerätecodeflow aus.
   2. Wählen Sie Fertig aus.
7. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff blockieren aus.
   1. Wählen Sie Auswählen.
8. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
9. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Wenn ein Administrator die Einstellungen mit dem reinen Berichtsmodus bestätigt hat, kann er den Schalter Richtlinie aktivieren von Nur Bericht auf Ein festlegen.

Richtlinien für die Authentifizierungsübertragung

Die Funktion zum Steuern der Authentifizierungsübertragung befindet sich in der Vorschau. Verwenden Sie die Bedingung Authentifizierungsflows unter „Bedingter Zugriff“, um die Funktion zu verwalten. Möglicherweise möchten Sie die Authentifizierungsübertragung blockieren, wenn Sie nicht möchten, dass Benutzer die Authentifizierung von ihrem PC auf ein mobiles Gerät übertragen. Beispiel: Sie lassen nicht zu, dass Outlook von bestimmten Gruppen auf persönlichen Geräten verwendet wird. Das Blockieren der Authentifizierungsübertragung kann mit der folgenden Richtlinie für bedingten Zugriff erfolgen:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
2. Browsen Sie zu Schutz>Bedingter Zugriff.
3. Wählen Sie Neue Richtlinie erstellen aus.
4. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
   1. Wählen Sie unter Einschließen die Option Alle Benutzer oder Benutzergruppen aus, für die Sie die Authentifizierungsübertragung blockieren möchten.
   2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen aus. Sie sollten nur die erforderlichen Benutzer ausschließen, und diese Ausschlussliste sollte regelmäßig überprüft werden.
5. Wählen Sie unter Zielressourcen>Cloud-Apps>Einschließen die Option Alle Cloud-Apps oder die Apps aus, für die Sie die Authentifizierungsübertragung blockieren möchten.
6. Legen Sie unter Bedingungen>Authentifizierungsflows die Option Konfigurieren auf Ja fest.
   1. Wählen Sie Authentifizierungsübertragung aus.
   2. Wählen Sie Fertig aus.
7. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff blockieren aus.
   1. Wählen Sie Auswählen.
8. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Aktiviert fest.
9. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Zugehöriger Inhalt

• Bedingter Zugriff: Authentifizierungsflows
• Bedingter Zugriff: Authentifizierungsübertragung
• Bedingter Zugriff: Bedingungen