Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In einer Richtlinie für bedingten Zugriff kann ein Administrator Sitzungssteuerelemente verwenden, um eingeschränkte Erfahrungen in bestimmten Cloudanwendungen zu ermöglichen.
Durch die Anwendung erzwungene Einschränkungen
Organisationen können dieses Steuerelement verwenden, um zu erzwingen, dass Microsoft Entra die Geräteinformationen an die ausgewählten Cloud-Apps übergibt. Mithilfe der Geräteinformationen können Cloud-Apps herausfinden, ob eine Verbindung von einem kompatiblen oder einem in die Domäne eingebundenen Gerät gestartet wurde, und die Sitzungserfahrung aktualisieren. Wenn es ausgewählt wurde, nutzt die Cloud-App die Geräteinformationen, um Benutzern eine eingeschränkte oder vollständige Benutzeroberfläche zur Verfügung zu stellen. Begrenzt, wenn das Gerät nicht verwaltet oder kompatibel ist und voll ist, wenn das Gerät verwaltet und kompatibel ist.
Eine Liste der unterstützten Anwendungen und Schritte zum Konfigurieren von Richtlinien finden Sie in den folgenden Artikeln:
- Abmelden von inaktiven Benutzern in Microsoft 365
- Erfahren Sie, wie Sie eingeschränkten Zugriff mit SharePoint Online aktivieren.
- Erfahren Sie, wie Sie eingeschränkten Zugriff mit Exchange Online aktivieren.
Anwendungssteuerung für bedingten Zugriff
Die App-Steuerung für bedingten Zugriff verwendet eine Reverseproxyarchitektur und ist auf einzigartige Weise in den bedingten Zugriff von Microsoft Entra integriert. Mit dem bedingten Zugriff von Microsoft Entra können Sie Zugriffssteuerungen für die Apps Ihrer Organisation basierend auf bestimmten Bedingungen erzwingen. Die Bedingungen definieren, für welche Benutzer, Gruppen, Cloud-Apps, Speicherorte und Netzwerke eine Richtlinie für bedingten Zugriff gilt. Nachdem Sie die Bedingungen ermittelt haben, leiten Sie Benutzer an Microsoft Defender für Cloud-Apps weiter, um Daten mit app-Steuerung für bedingten Zugriff zu schützen, indem Sie Zugriffs- und Sitzungssteuerelemente anwenden.
Mit der App-Steuerung für bedingten Zugriff können Benutzerzugriffe auf Apps und Sitzungen auf der Grundlage von Zugriffs- und Sitzungsrichtlinien in Echtzeit überwacht und gesteuert werden. Verwenden Sie Zugriffs- und Sitzungsrichtlinien im Defender for Cloud Apps-Portal, um Filter zu verfeinern und Aktionen festzulegen.
Erzwingen Sie dieses Steuerelement mit Microsoft Defender für Cloud-Apps, in dem Administratoren die App-Steuerung für bedingten Zugriff für empfohlene Apps bereitstellen und Microsoft Defender für Cloud Apps-Sitzungsrichtlinien verwenden können.
Für Microsoft Edge for Business erzwingen Sie dieses Steuerelement mit Microsoft Purview Data Loss Prevention, in dem Administratoren verhindern können, dass Benutzer vertrauliche Informationen mit Cloud-Apps in Edge for Business freigeben. Die Benutzerdefinierte Einstellung für die App-Steuerung für bedingten Zugriff ist für Apps erforderlich, die in diesen Richtlinien enthalten sind.
Anmeldehäufigkeit
Die Anmeldehäufigkeit gibt an, wie lange ein Benutzer angemeldet bleiben kann, bevor er aufgefordert wird, sich erneut anzumelden, wenn er auf eine Ressource zugreift. Administratoren können einen Zeitraum (Stunden oder Tage) festlegen oder jedes Mal erneut authentifizieren.
Die Anmeldehäufigkeitseinstellung funktioniert mit Apps, die OAuth 2.0- oder OIDC-Protokolle verwenden. Die meisten nativen Microsoft-Apps für Windows, Mac und Mobile, einschließlich der folgenden Webanwendungen, folgen dieser Einstellung.
- Startseiten für Word, Excel und PowerPoint Online
- OneNote Online
- Office.com
- Microsoft 365-Verwaltungsportal
- Exchange Online:
- SharePoint und OneDrive
- Teams-Webclient
- Dynamics CRM Online
- Azure-Portal
Weitere Informationen finden Sie unter Konfigurieren der Authentifizierungssitzungsverwaltung mit bedingtem Zugriff.
Persistente Browsersitzung
Mit einer beständigen Browsersitzung können Benutzer nach dem Schließen und erneuten Öffnen des Browserfensters angemeldet bleiben.
Weitere Informationen finden Sie unter Konfigurieren der Authentifizierungssitzungsverwaltung mit bedingtem Zugriff.
Fortlaufende Zugriffsevaluierung anpassen
Die fortlaufende Zugriffsevaluierung wird automatisch als Teil der Richtlinien für bedingten Zugriff einer Organisation aktiviert. Für Organisationen, die die fortlaufende Zugriffsevaluierung deaktivieren möchten, ist diese Konfiguration jetzt eine Option innerhalb der Sitzungssteuerung im bedingten Zugriff. Kontinuierliche Zugriffsauswertungsrichtlinien gelten für alle Benutzer oder bestimmte Benutzer und Gruppen. Administratoren können beim Erstellen einer neuen Richtlinie oder Bearbeiten einer vorhandenen Richtlinie für bedingten Zugriff die folgende Auswahl treffen.
- "Deaktivieren" funktioniert nur, wenn alle Ressourcen (vormals "Alle Cloud-Apps") ausgewählt sind, keine Bedingungen ausgewählt sind und "Deaktivieren" unter "Fortlaufende> der Sitzung anpassen" in einer Richtlinie für bedingten Zugriff ausgewählt ist. Sie können alle Benutzer oder bestimmte Benutzer und Gruppen deaktivieren.
Standardwerte für Resilienz deaktivieren
Während eines Ausfalls erweitert Microsoft Entra ID den Zugriff auf vorhandene Sitzungen und erzwingt gleichzeitig Richtlinien für bedingten Zugriff.
Wenn Resilienz-Standardwerte deaktiviert sind, wird der Zugriff verweigert, wenn vorhandene Sitzungen ablaufen. Weitere Informationen finden Sie unter "Bedingter Zugriff: Standardwerte für Resilienz".
Tokenschutz für Anmeldesitzungen erforderlich
Tokenschutz, manchmal als Tokenbindung in der Branche bezeichnet, versucht, Angriffe mithilfe von Tokendiebstahl zu reduzieren, indem sichergestellt wird, dass ein Token nur vom beabsichtigten Gerät verwendet werden kann. Wenn ein Angreifer ein Token durch Übernahme oder Wiedereinspielung stiehlt, kann er sich als das Opfer ausgeben, bis das Token abläuft oder widerrufen wird. Tokendiebstahl ist selten, aber ihre Auswirkungen können erheblich sein. Weitere Informationen finden Sie unter "Bedingter Zugriff: Tokenschutz".
Verwenden des Sicherheitsprofils für den globalen sicheren Zugriff
Die Verwendung eines Sicherheitsprofils mit bedingtem Zugriff kombiniert Identitätskontrollen mit Netzwerksicherheit im Microsoft Security Service Edge (SSE)-Produkt , Microsoft Entra Internet Access. Wenn Sie dieses Sitzungssteuerelement auswählen, können Sie identitäts- und kontextbezogene Sensibilisierung für Sicherheitsprofile bereitstellen, die Gruppierungen verschiedener Richtlinien sind, die in globalem sicheren Zugriff erstellt und verwaltet werden.