Blockieren von Authentifizierungsflows mit einer Richtlinie für bedingten Zugriff

Die folgenden Schritte helfen Ihnen beim Erstellen von Richtlinien für den bedingten Zugriff, um einzuschränken, wie Gerätecodefluss und Authentifizierungsübertragung innerhalb Ihrer Organisation verwendet werden.

Richtlinien für den Gerätecodeflow

Wir empfehlen Organisationen, sich so weit wie möglich einer einseitigen Blockierung des Gerätecodeflows anzunähern. Erwägen Sie die Erstellung einer Richtlinie, um die vorhandene Verwendung des Gerätecodeflusses zu überwachen und festzustellen, ob sie noch erforderlich ist. Lassen Sie den Gerätecodefluss nur in gut dokumentierten und gesicherten Anwendungsfällen zu, z. B. legacy-Tools, die nicht aktualisiert werden können.

Für Organisationen, die keinen Gerätecodefluss verwenden, blockieren Sie ihn mit der folgenden Richtlinie für bedingten Zugriff:

1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens Administrator für bedingten Zugriff an.
2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
3. Wählen Sie "Neue Richtlinie" aus.
4. Wählen Sie unter AufgabenBenutzer oder Workload-Identitäten aus.
   1. Wählen Sie unter "Einschließen" die Benutzer aus, die in der Richtlinie enthalten sein sollen (alle empfohlenen Benutzer ).
   2. Unter "Ausschließen":
      1. Wählen Sie Benutzer und Gruppen aus, sowie die Notfallzugriffs- oder Break-glass-Konten Ihrer Organisation und andere erforderliche Benutzer. Diese Ausschlussliste regelmäßig überwachen.
5. Wählen Sie unter "Zielressourcen">"Ressourcen (ehemals Cloud-Apps)">"einschließen", die Apps aus, die Sie in den Anwendungsbereich der Richtlinie einbeziehen möchten (alle Ressourcen (früher "Alle Cloud-Apps") empfohlen).
6. Legen Sie unter Bedingungen>Authentifizierungsflüsse " Konfigurieren" auf "Ja" fest.
   1. Wählen Sie den Gerätecodefluss aus.
   2. Wählen Sie "Fertig" aus.
7. Unter Zugriffskontrollen>Grant, select Block access.
   1. Wählen Sie Auswählen aus.
8. Bestätigen Sie Ihre Einstellungen, und legen Sie "Richtlinie aktivieren" auf 'Nur Bericht' fest.
9. Wählen Sie Erstellen aus, um die Richtlinie zu aktivieren.

Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".

Richtlinien für die Authentifizierungsübertragung

Verwenden Sie die Bedingung "Authentifizierungsflüsse " im bedingten Zugriff, um das Feature zu verwalten. Blockieren Sie die Authentifizierungsübertragung , wenn Sie nicht möchten, dass Benutzer die Authentifizierung von ihrem PC auf ein mobiles Gerät übertragen. Blockieren Sie beispielsweise die Authentifizierungsübertragung, wenn Sie nicht zulassen, dass Outlook auf persönlichen Geräten von bestimmten Gruppen verwendet wird. Verwenden Sie die folgende Richtlinie für bedingten Zugriff, um die Authentifizierungsübertragung zu blockieren:

1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens Administrator für bedingten Zugriff an.
2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
3. Wählen Sie "Neue Richtlinie" aus.
4. Wählen Sie unter AufgabenBenutzer oder Workload-Identitäten aus.
   1. Wählen Sie unter "Einschließen" "Alle Benutzer oder Benutzergruppen" aus, die Sie für die Authentifizierungsübertragung blockieren möchten.
   2. Unter "Ausschließen":
      1. Wählen Sie Benutzer und Gruppen aus und wählen Sie die Notfallzugriffs- oder Break-Glass-Konten Ihrer Organisation sowie alle anderen erforderlichen Benutzer aus. Diese Ausschlussliste regelmäßig überwachen.
5. Wählen Sie unter Zielressourcen>Ressourcen (vormals Cloud-Apps)>Einbeziehen, Alle Ressourcen (früher 'Alle Cloud-Apps') oder Apps aus, die Sie für die Authentifizierungsübertragung blockieren möchten.
6. Legen Sie unter Bedingungen>Authentifizierungsflüsse "Konfigurieren" auf "Ja" fest.
   1. Wählen Sie die Authentifizierungsübertragung aus.
   2. Wählen Sie "Fertig" aus.
7. Unter Zugriffskontrollen>Grant, select Block access.
   1. Wählen Sie Auswählen aus.
8. Bestätigen Sie Ihre Einstellungen, und legen Sie " Richtlinie aktivieren" auf "Aktiviert" fest.
9. Wählen Sie Erstellen aus, um die Richtlinie zu aktivieren.

Zugehöriger Inhalt

• Bedingter Zugriff: Authentifizierungsflüsse
• Bedingter Zugriff: Authentifizierungsübertragung
• Bedingter Zugriff: Bedingungen