Verwenden der Standortbedingung in einer Richtlinie für bedingten Zugriff

Wie im Übersichtsartikel erläutert wurde, sind Richtlinien für bedingten Zugang in ihrer grundlegendsten Form eine If-Then-Anweisung, die Signale kombiniert, um Entscheidungen zu treffen und Organisationsrichtlinien zu erzwingen. Eines dieser Signale, das in den Entscheidungsprozess integriert werden kann, ist der Standort.

Konzeptionelles bedingtes Signal plus Entscheidung zum Erzwingen

Organisationen können diesen Standort für gängige Aufgaben wie die folgenden nutzen:

  • Das Vorschreiben von mehrstufiger Authentifizierung für Benutzer beim Zugriff auf einen Dienst, wenn sie sich außerhalb des Unternehmensnetzwerks befinden.
  • Das Blockieren des Zugriffs auf einen Dienst für Benutzer, die sich in bestimmten Ländern oder Regionen aufhalten.

Der Standort wird durch die öffentliche IP-Adresse bestimmt, die ein Client für Azure Active Directory bereitstellt, oder durch die von der Microsoft Authenticator-App gelieferten GPS-Koordinaten. Richtlinien für bedingten Zugriff werden standardmäßig auf alle IPv4- und IPv6-Adressen angewendet.

Benannte Orte

Standorte werden im Azure-Portal unter Azure Active Directory>Sicherheit>Bedingter Zugriff>Benannte Standorte benannt. Diese benannten Netzwerkstandorte können Standorte wie z. B. die Netzwerkbereiche des Hauptsitzes einer Organisation, VPN-Netzwerkbereiche oder Bereiche umfassen, die Sie blockieren möchten. Benannte Standorte können nach IPv4/IPv6-Adressbereichen oder Länder/Regionen definiert werden.

Benannte Standorte im Azure-Portal

IP-Adressbereiche

Zum Definieren eines benannten Standorts nach IPv4-/IPv6-Adressbereichen müssen Sie Folgendes angeben:

  • Name für den Standort
  • Mindestens ein IP-Adressbereich
  • Als vertrauenswürdigen Standort markieren (optional)

Neue IP-Standorte im Azure-Portal

Benannte Speicherorte, die durch IPv4/IPv6-Adressbereiche definiert werden, unterliegen den folgenden Einschränkungen:

  • Konfigurieren von bis zu 195 benannten Standorten
  • Konfigurieren von bis zu 2.000 IP-Adressbereichen pro benanntem Standort
  • IPv4- und IPv6-Adressbereiche werden unterstützt.
  • Private IP-Adressbereiche können nicht konfiguriert werden.
  • Die Anzahl von IP-Adressen innerhalb eines Bereichs ist begrenzt. Beim Konfigurieren eines IP-Adressbereichs sind nur CIDR-Masken größer als /8 zulässig.

Vertrauenswürdige Standorte

Administratoren können Standorte, die über IP-Adressbereiche definiert sind, als vertrauenswürdige benannte Standorte benennen.

Die Anmeldung von vertrauenswürdigen benannten Standorten verbessert die Genauigkeit der Risikoberechnung von Azure AD Identity Protection. Außerdem wird das Anmelderisiko von Benutzern verringert, wenn sie sich von einem als vertrauenswürdig gekennzeichneten Standort authentifizieren. Darüber hinaus können vertrauenswürdige benannte Standorte in Richtlinien für bedingten Zugriff verwendet werden. Sie können beispielsweise die Registrierung für mehrstufige Authentifizierung auf vertrauenswürdige Standorte beschränken.

Länder

Organisationen können den Standort des Landes anhand der IP-Adresse oder GPS-Koordinaten bestimmen.

Zum Definieren eines benannten Standorts nach Land müssen Sie Folgendes angeben:

  • Name für den Standort
  • Auswählen, ob der Standort anhand der IP-Adresse oder GPS-Koordinaten bestimmt werden soll
  • Mindestens ein Land hinzufügen
  • Unbekannte Länder/Regionen einbeziehen auswählen (optional)

Land als Standort im Azure-Portal

Wenn Sie Standort anhand der IP-Adresse bestimmen (nur IPv4) auswählen, erfasst das System die IP-Adresse des Geräts, bei dem sich der Benutzer anmelden möchte. Wenn sich Benutzer anmelden, löst Azure AD ihre IPv4-Adresse in ein Land oder eine Region auf, und die Zuordnung wird regelmäßig aktualisiert. Organisationen können durch Länder definierte benannte Standorte verwenden, um Datenverkehr aus Ländern zu blockieren, in denen sie nicht tätig sind.

Hinweis

Anmeldungen von IPv6-Adressen können keinen Ländern oder Regionen zugeordnet werden und gelten als unbekannte Bereiche. Nur IPv4-Adressen können Ländern oder Regionen zugeordnet werden.

Wenn Sie Standort anhand von GPS-Koordinaten bestimmen auswählen, muss die Authentifizerungs-Anwendung von Microsoft auf dem mobilen Gerät des Benutzers installiert sein. Die Microsoft Authenticator-App des Benutzers wird vom System stündlich kontaktiert, um den GPS-Standort des mobilen Geräts des Benutzers zu erfassen.

Wenn der Benutzer seinen Standort zum ersten Mal über die Microsoft Authenticator-App übermitteln muss, erhält er eine Benachrichtigung in der App. Der Benutzer muss die App öffnen und Standortberechtigungen erteilen.

Wenn der Benutzer in den nächsten 24 Stunden immer noch auf die Ressource zugreift und der App die Berechtigung erteilt hat, im Hintergrund ausgeführt zu werden, wird der Standort des Geräts einmal pro Stunde automatisch übermittelt.

  • Nach 24 Stunden muss der Benutzer die App öffnen und die Benachrichtigung genehmigen.
  • Benutzer, die einen Zahlenabgleich oder zusätzlichen Kontext in der Microsoft Authenticator-App aktiviert haben, erhalten automatisch keine Benachrichtigungen und müssen die App öffnen, um Benachrichtigungen zu genehmigen.

Jedes Mal, wenn der Benutzer seinen GPS-Standort übermittelt, führt die App die Jailbreakerkennung durch (mit der gleichen Logik wie das Intune MAM SDK). Wenn das Gerät einen Jailbreak aufweist, wird der Standort nicht als gültig betrachtet, und dem Benutzer wird kein Zugriff gewährt.

Eine Richtlinie für bedingten Zugriff mit GPS-basierten benannten Standorten im Modus „Nur melden“ fordert Benutzer auf, ihren GPS-Standort zu übermitteln, auch wenn sie nicht von der Anmeldung blockiert sind.

Der GPS-Standort funktioniert nicht mit kennwortlosen Authentifizierungsmethoden.

Einige Anwendungen für Richtlinien für bedingten Zugriff fordern Benutzer möglicherweise auf, ihren GPS-Standort anzugeben, bevor alle Richtlinien für bedingten Zugriff angewendet werden. Aufgrund der Art der Anwendung von Richtlinien für bedingten Zugriff kann einem Benutzer der Zugriff verweigert werden, wenn die Standortprüfung bestanden, eine andere Richtlinie aber nicht bestanden wird. Weitere Informationen zur Richtlinienerzwingung finden Sie im Artikel zum Erstellen einer Richtlinie für bedingten Zugriff.

Wichtig

Benutzer erhalten in der Authenticator-App unter Umständen stündlich Aufforderungen mit dem Hinweis, dass ihr Standort von Azure AD überprüft wird. Die Vorschauversion sollte nur verwendet werden, um sehr sensible Apps zu schützen, bei denen dieses Verhalten akzeptabel ist oder der Zugriff auf ein bestimmtes Land oder eine bestimmte Region beschränkt werden muss.

Unbekannte Länder/Regionen einbeziehen

Einige IP-Adressen, z. B. alle IPv6-Adressen, sind weder einem bestimmten Land noch einer bestimmten Region zugeordnet. Aktivieren Sie beim Definieren eines geografischen Standorts das Kontrollkästchen Unbekannte Länder/Regionen einbeziehen, um diese IP-Standorte zu erfassen. Mithilfe dieser Option können Sie auswählen, ob der benannte Standort diese IP-Adressen umfassen soll. Verwenden Sie diese Einstellung, wenn die Richtlinie für den benannten Standort auch für unbekannte Standorte gelten soll.

Konfigurieren durch MFA bestätigter IP-Adressen

Ferner können Sie in den Einstellungen für den mehrstufigen Authentifizierungsdienst IP-Adressbereiche konfigurieren, die das lokale Intranet Ihrer Organisation darstellen. Mithilfe dieser Funktion können Sie bis zu 50 IP-Adressbereiche konfigurieren. Die IP-Adressbereiche müssen im CIDR-Format angegeben werden. Weitere Informationen finden Sie unter Vertrauenswürdige IP-Adressen.

Wenn Sie vertrauenswürdige IP-Adressen konfiguriert haben, werden diese in der Liste der Standorte für die Standortbedingung als Durch MFA bestätigte IP-Adressen angezeigt.

Überspringen der Multi-Faktor-Authentifizierung

Auf der Einstellungsseite für den mehrstufigen Authentifizierungsdienst können Sie Benutzer aus dem Unternehmensintranet identifizieren, indem Sie Für Anforderungen von Partnerbenutzern in meinem Intranet die mehrstufige Authentifizierung überspringen aktivieren. Diese Einstellung gibt an, dass der Anspruch innerhalb des Unternehmensnetzwerks, der von AD FS ausgestellt wird, als vertrauenswürdig angesehen und dazu verwendet wird, den Benutzer als innerhalb des Unternehmensnetzwerks ansässig zu erkennen. Weitere Informationen finden Sie unter Aktivieren des Features vertrauenswürdige IPs beim bedingten Zugriff.

Nach dem Aktivieren wird diese Option, einschließlich des benannten Standorts Durch MFA bestätigte IP-Adressen, auf alle Richtlinien angewendet, für die diese Option ausgewählt ist.

Für mobile und Desktopanwendungen mit langer Sitzungslebensdauer wird der bedingte Zugriff in regelmäßigen Abständen neu ausgewertet. Die Standardeinstellung ist einmal pro Stunde. Wenn der Anspruch innerhalb des Unternehmensnetzwerks nur zum Zeitpunkt der erstmaligen Authentifizierung ausgegeben wird, verfügt Azure AD möglicherweise nicht über eine Liste der vertrauenswürdigen IP-Bereiche. In diesem Fall ist die Bestimmung, ob sich der Benutzer noch im Unternehmensnetzwerk befindet, schwieriger:

  1. Überprüfen Sie, ob die IP-Adresse des Benutzers in einem der vertrauenswürdigen IP-Bereiche liegt.
  2. Überprüfen Sie, ob die ersten drei Oktette der IP-Adresse des Benutzers mit den ersten drei Oktetten der IP-Adresse der ersten Authentifizierung übereinstimmen. Die IP-Adresse wird mit der ersten Authentifizierung zu dem Zeitpunkt verglichen, zu dem der Anspruch innerhalb des Unternehmensnetzwerks ursprünglich ausgestellt und der Benutzerstandort überprüft wurde.

Wenn bei beiden Schritten ein Fehler auftritt, wird ein Benutzer nicht mehr als vertrauenswürdige IP angesehen.

Standortbedingung in Richtlinie

Beim Konfigurieren der Standortbedingung können Sie zwischen folgenden Elementen unterscheiden:

  • Jeden beliebigen Speicherort
  • Alle vertrauenswürdigen Speicherorte
  • Ausgewählte Speicherorte

Jeden beliebigen Speicherort

Standardmäßig bewirkt das Aktivieren von Alle Standorte, dass eine Richtlinie auf alle IP-Adressen angewendet wird, was jede beliebige Adresse im Internet bedeutet. Diese Einstellung ist nicht auf IP-Adressen beschränkt, die von Ihnen als benannter Standort konfiguriert wurden. Wenn Sie Alle Standorte aktivieren, können Sie bestimmte Standorte trotzdem noch von einer Richtlinie ausschließen. Beispielsweise können Sie eine Richtlinie auf alle Standorte mit Ausnahme vertrauenswürdiger Standorte anwenden, um den Geltungsbereich auf alle Standorte mit Ausnahme des Unternehmensnetzwerks festzulegen.

Alle vertrauenswürdigen Speicherorte

Diese Option gilt für:

  • Alle Standorte, die als vertrauenswürdiger Standort gekennzeichnet wurden
  • Durch MFA bestätigte IP-Adressen (sofern konfiguriert)

Ausgewählte Speicherorte

Mit dieser Option können Sie einen oder mehrere benannte Speicherorte auswählen. Damit eine Richtlinie mit dieser Einstellung gilt, muss ein Benutzer von einem der ausgewählten Standorte aus eine Verbindung herstellen. Wenn Sie auf Auswählen klicken, wird das Steuerelement für die Auswahl von benannten Netzwerken geöffnet und zeigt die Liste der benannten Netzwerke an. In dieser Liste ist außerdem zu sehen, ob der Netzwerkstandort als vertrauenswürdig gekennzeichnet wurde. Der benannte Standort, der als Für MFA vertrauenswürdige IPs bezeichnet ist, wird zum Einschließen der IP-Einstellungen verwendet, die auf der Einstellungsseite des mehrstufigen Authentifizierungsdiensts konfiguriert werden können.

IPv6-Datenverkehr

Richtlinien für bedingten Zugriff werden standardmäßig auf den gesamten IPv6-Datenverkehr angewendet. Sie können bestimmte IPv6-Adressbereiche aus einer Richtlinie für bedingten Zugriff ausschließen, wenn Sie bei diesen nicht möchten, dass Richtlinien erzwungen werden. Beispiel: Sie möchten eine Richtlinie für Anwendungsfälle in Ihrem Unternehmensnetzwerk nicht erzwingen, und Ihr Unternehmensnetzwerk wird in öffentlichen IPv6-Adressbereichen gehostet.

Identifizieren von IPv6-Datenverkehr in den Azure AD-Anmeldeaktivitätsberichten

Sie können den IPv6-Datenverkehr in Ihrem Mandanten ermitteln, indem Sie die Azure AD-Anmeldeaktivitätsberichte aufrufen. Nachdem Sie den Aktivitätsbericht geöffnet haben, fügen Sie die Spalte „IP-Adresse“ hinzu. Diese Spalte gibt Ihnen die Möglichkeit, den IPv6-Datenverkehr zu ermitteln.

Sie können auch nach der Client-IP-Adresse suchen, indem Sie auf eine Zeile im Bericht klicken und dann in den Details der Anmeldeaktivität zur Registerkarte „Standort“ wechseln.

Wann tritt bei meinem Mandanten IPv6-Datenverkehr auf?

Azure Active Directory (Azure AD) unterstützt derzeit keine direkten Netzwerkverbindungen mit IPv6. Es gibt jedoch einige Fälle, in denen der Authentifizierungsdatenverkehr über einen anderen Proxydienst geleitet wird. In diesen Fällen wird die IPv6-Adresse bei der Richtlinienauswertung verwendet.

Der größte Teil des IPv6-Datenverkehrs, der über einen Proxy an Azure AD geleitet wird, stammt von Microsoft Exchange Online. Exchange bevorzugt IPv6-Verbindungen, wenn sie verfügbar sind. Wenn Sie also eine Richtlinie für bedingten Zugriff für Exchange haben, die für bestimmte IPv4-Adressbereiche konfiguriert wurde, sollten Sie sicherstellen, dass Sie auch die IPv6-Adressbereiche Ihrer Organisation hinzugefügt haben. Wenn Sie IPv6-Adressbereiche nicht einschließen, führt das in den folgenden beiden Fällen zu unerwartetem Verhalten:

  • Wenn für die Verbindung mit Exchange Online ein E-Mail-Client mit Legacyauthentifizierung verwendet wird, empfängt Azure AD möglicherweise eine IPv6-Adresse. Die anfängliche Authentifizierungsanforderung gelangt zu Exchange und wird dann über einen Proxy an Azure AD geleitet.
  • Wenn Sie Outlook Web Access (OWA) im Browser verwenden, wird in regelmäßigen Abständen überprüft, ob alle Richtlinien für bedingten Zugriff weiterhin erfüllt werden. Diese Überprüfung wird zum Erfassen von Fällen verwendet, in denen ein Benutzer möglicherweise von einer zulässigen IP-Adresse an einen neuen Standort gewechselt ist (z. B. ein Cafe, das in der Straße ein paar Häuser weitergezogen ist). Wenn Sie in diesem Fall eine IPv6-Adresse verwenden, die sich nicht in einem konfigurierten Bereich befindet, wird die Sitzung möglicherweise unterbrochen, und der Benutzer wird zur erneuten Authentifizierung zurück zu Azure AD geleitet.

Wenn Sie Azure-VNets verwenden, gibt es Datenverkehr, der von einer IPv6-Adresse eingeht. Wenn der VNet-Datenverkehr durch eine Richtlinie für bedingten Zugriff blockiert wird, überprüfen Sie Ihr Azure AD-Anmeldeprotokoll. Nachdem Sie den Datenverkehr identifiziert haben, können Sie die verwendete IPv6-Adresse von Ihrer Richtlinie ausschließen.

Hinweis

Wenn Sie für eine einzelne Adresse einen IP-CIDR-Bereich angeben möchten, wenden Sie die /128-Bitmaske an. Wenn die IPv6-Adresse „2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a“ angezeigt wird und Sie diese einzelne Adresse als Adressbereich ausschließen möchten, würden Sie „2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128“ verwenden.

Wichtige Informationen

Wann wird ein Standort ausgewertet?

Richtlinien für bedingten Zugriff werden in diesen Situationen ausgewertet:

  • Ein Benutzer meldet sich zum ersten Mal an einer Web-App, mobilen Anwendung oder Desktopanwendung an.
  • Für eine mobile Anwendung oder Desktopanwendung, für die die moderne Authentifizierung verwendet wird, wird ein Aktualisierungstoken zum Beschaffen eines neuen Zugriffstokens genutzt. Standardmäßig erfolgt diese Überprüfung einmal pro Stunde.

Für mobile Anwendungen und Desktopanwendungen mit moderner Authentifizierung bedeutet diese Überprüfung, dass eine Änderung des Netzwerkstandorts innerhalb von einer Stunde erkannt wird. Wenn für mobile Anwendungen und Desktopanwendungen keine moderne Authentifizierung genutzt wird, wird die Richtlinie auf jede Tokenanforderung angewendet. Die Häufigkeit der Anforderung kann basierend auf der Anwendung variieren. Ebenso wird die Richtlinie für Webanwendungen bei der ersten Anmeldung angewendet und gilt für die Lebensdauer der Webanwendungssitzung. Aufgrund der unterschiedlichen Sitzungslebensdauern von Anwendungen variiert auch die Zeit zwischen den Richtlinienauswertungen. Die Richtlinie wird jedes Mal angewendet, wenn die Anwendung ein neues Anmeldetoken anfordert.

Standardmäßig stellt Azure AD stündlich ein Token aus. Nach dem Verlassen des Unternehmensnetzwerks wird die Richtlinie für Anwendungen mit moderner Authentifizierung innerhalb einer Stunde durchgesetzt.

Benutzer-IP-Adresse

Die IP-Adresse, die in der Auswertung der Richtlinie verwendet wird, ist die öffentliche IP-Adresse des Benutzers. Bei Geräten in einem privaten Netzwerk ist diese IP-Adresse nicht die Client-IP des Geräts des Benutzers im Intranet, sondern die vom Netzwerk für das Herstellen der Verbindung mit dem öffentlichen Internet verwendete Adresse.

Massenhoch- und -herunterladen von benannten Standorten

Beim Erstellen oder Aktualisieren benannter Standorte können Sie für eine Massenaktualisierung eine CSV-Datei mit den IP-Adressbereichen hoch- oder herunterladen. Bei einem Upload werden die IP-Adressbereiche in der Liste durch die Bereiche aus der Datei ersetzt. Jede Zeile der Datei enthält einen IP-Adressbereich im CIDR-Format.

Cloud-Proxys und VPNs

Wenn Sie einen in der Cloud gehosteten Proxy oder eine VPN-Lösung verwenden, ist die von Azure AD bei der Auswertung einer Richtlinie verwendete IP-Adresse die IP-Adresse des Proxys. Der XFF-Header (X-Forwarded-For), der die öffentliche IP-Adresse des Benutzers enthält, wird nicht verwendet, da es keine Überprüfung gibt, ob er aus einer vertrauenswürdigen Quelle stammt, sodass er ein Verfahren zum Fälschen einer IP-Adresse darstellen kann.

Wenn ein Cloud-Proxy zum Einsatz kommt, kann eine Richtlinie verwendet werden, mit der die Verwendung von hybriden, eingebundenen Azure AD-Geräten oder des Anspruchs aus dem internen Unternehmensnetzwerk von AD FS vorgeschrieben wird.

API-Unterstützung und PowerShell

Eine Vorschauversion der Graph-API für benannte Standorte ist verfügbar. Weitere Informationen finden Sie unter namedLocation-API.

Nächste Schritte