Was ist bedingter Zugriff?

Der moderne Sicherheitsperimeter erstreckt sich jetzt über das Netzwerk einer Organisation hinaus und bezieht auch die Benutzer- und Geräteidentität mit ein. Unternehmen können identitätsgesteuerte Signale als Teil ihrer Zugangskontrollentscheidungen verwenden.

Ein bedingter Zugriff führt Signale zusammen, um Entscheidungen zu treffen und Unternehmensrichtlinien durchzusetzen. Der Azure AD bedingte Zugriff ist der Kern der neuen identitätsbasierten Steuerungsebene.

Konzeptionelles bedingtes Signal plus Entscheidung zum Erzwingen

Die einfachsten Richtlinien für den bedingten Zugriff sind if-Anweisungen: Wenn ein Benutzer auf eine Ressource zugreifen möchte, muss er eine Aktion ausführen. Beispiel: Ein Gehaltsabrechnungsleiter möchte auf die Gehaltsabrechnungsanwendung zugreifen und muss sich dazu mehrstufig authentifizieren.

Administratoren haben zwei primäre Ziele:

  • Schaffen von Bedingungen für Benutzer, unter denen sie an jedem Ort und zu jeder Zeit produktiv sein können
  • Schützen der Ressourcen einer Organisation

Verwenden Sie Richtlinien für den bedingten Zugriff, um bei Bedarf die richtigen Zugriffskontrollen anzuwenden und die Sicherheit Ihres Unternehmens zu gewährleisten.

Prozessfluss für den konzeptionellen bedingten Zugriff

Wichtig

Richtlinien für den bedingten Zugriff werden durchgesetzt, wenn die First-Factor-Authentifizierung abgeschlossen ist. Der bedingte Zugriff nicht ist als erste Abwehrmaßnahme einer Organisation für Szenarien wie Denial-of-Service-Angriffe (DoS) gedacht, sondern kann Signale von diesen Ereignissen nutzen, um den Zugriff zu bestimmen.

Häufige Signale

Häufige Signale, die der bedingte Zugriff bei der Entscheidungsfindung in Bezug auf eine Richtlinie berücksichtigen kann, sind unter anderem folgende:

  • Benutzer oder Gruppenmitgliedschaft
    • Richtlinien können auf bestimmte Benutzer und Gruppen ausgerichtet werden, sodass Administratoren eine differenzierte Kontrolle über den Zugriff haben.
  • IP-Standortinformationen
    • Organisationen können vertrauenswürdige IP-Adressbereiche erstellen, die beim Treffen von Richtlinienentscheidungen verwendet werden können.
    • Administratoren können IP-Bereiche ganzer Länder/Regionen angeben, um den Datenverkehr zu blockieren oder zuzulassen.
  • Sicherungsmedium
    • Benutzer mit Geräten bestimmter Plattformen oder mit einer Kennzeichnung zu einem bestimmten Zustand können beim Erzwingen von Richtlinien für den bedingten Zugriff verwendet werden.
    • Verwenden Sie Filter für Geräte, um Richtlinien auf bestimmte Geräte wie Arbeitsstationen mit privilegiertem Zugriff anzuwenden.
  • Application
    • Benutzer, die auf bestimmte Anwendungen zugreifen, können unterschiedliche Richtlinien für den bedingten Zugriff auslösen.
  • Erkennung in Echtzeit und kalkulierte Risiken
    • Durch die Signalintegration in Azure AD Identity Protection können bedingte Zugriffsrichtlinien riskantes Anmeldeverhalten erkennen. Richtlinien können dann erzwingen, dass Benutzer Kennwortänderungen vornehmen oder die mehrstufige Authentifizierung durchführen, um ihr Risiko zu verringern oder den Zugriff zu blockieren, bis ein Administrator manuelle Maßnahmen ergreift.
  • Microsoft Defender für Cloud-Apps
    • Ermöglicht die Überwachung und Kontrolle von Benutzeranwendungszugriffen und -Sitzungen in Echtzeit und verbessert so die Transparenz und Kontrolle über den Zugriff auf und die Aktivitäten in Ihrer Cloud-Umgebung.

Häufige Entscheidungen

  • Zugriff blockieren
    • Stark restriktive Entscheidung
  • Gewähren von Zugriff
    • Kaum restriktive Entscheidungen, unter Umständen ist weiterhin mindestens eine der folgenden Optionen erforderlich:
      • Mehrstufige Authentifizierung erforderlich
      • Markieren des Geräts als kompatibel erforderlich
      • Geräte mit Hybrid-Azure AD-Einbindung erforderlich
      • Genehmigte Client-App erforderlich
      • App-Schutzrichtlinie erforderlich (Vorschau)

Häufig verwendete Richtlinien

Viele Organisationen haben allgemeine Bedenken in Bezug auf den Zugriff, bei denen Richtlinien für den bedingten Zugriff wie etwa die folgenden hilfreich sein können:

  • Erzwingen der mehrstufigen Authentifizierung für Benutzer mit Administratorrollen
  • Erzwingen der mehrstufigen Authentifizierung für Azure-Verwaltungsaufgaben
  • Blockieren von Anmeldungen für Benutzer, die ältere Authentifizierungsprotokolle verwenden
  • Erzwingen vertrauenswürdiger Speicherorte für die Azure AD Multi-Factor Authentication-Registrierung
  • Blockieren oder Gewähren von Zugriff von bestimmten Standorten aus
  • Blockieren riskanter Anmeldeverhalten
  • Erzwingen von durch die Organisation verwaltete Geräte für bestimmte Anwendungen

Lizenzanforderungen

Für die Verwendung dieses Features sind Azure AD Premium P1-Lizenzen erforderlich. Um die richtige Lizenz für Ihre Anforderungen zu finden, siehe Vergleich der allgemein verfügbaren Funktionen von Azure AD.

Kunden mit Microsoft 365 Business Premium-Lizenzen haben auch Zugriff auf Funktionen für bedingten Zugriff.

Risikobasierte Richtlinien erfordern Zugriff auf Identity Protection, ein Azure AD P2-Feature.

Andere Produkte und Features, die unter Umständen mit Richtlinien für bedingten Zugriff interagieren, erfordern eine entsprechende Lizenzierung für diese Produkte und Features.

Nächste Schritte