Bedingter Zugriff: Resilienz-Standardwerte

  • Artikel

Bei einem Ausfall des primären Authentifizierungsdiensts kann der Microsoft Entra-Sicherungsauthentifizierungsdienst automatisch Zugriffstoken für Anwendungen für vorhandene Sitzungen ausstellen. Diese Funktionalität erhöht die Resilienz von Microsoft Entra deutlich, da erneute Authentifizierungen für vorhandene Sitzungen mehr als 90 Prozent der Authentifizierungen für Microsoft Entra ausmachen. Der Sicherungsauthentifizierungsdienst unterstützt keine neuen Sitzungen oder Authentifizierungen von Gastbenutzern.

Für Authentifizierungen, die durch bedingten Zugriff geschützt sind, werden Richtlinien vor der Ausgabe von Zugriffstoken neu bewertet, um Folgendes zu ermitteln:

  1. Welche Richtlinien für bedingten Zugriff werden angewendet?
  2. Wurden die erforderlichen Kontrollen für die angewendeten Richtlinien erfüllt?

Bei einem Ausfall können nicht alle Bedingungen vom Backup-Authentifizierungsdienst in Echtzeit ausgewertet werden, um zu bestimmen, ob eine Richtlinie für bedingten Zugriff angewendet werden soll. Resilienz-Standardwerte für bedingten Zugriff sind eine neue Sitzungssteuerung, mit der Administratoren zwischen Folgendem entscheiden können:

  • Ob Authentifizierungen während eines Ausfalls immer dann blockiert werden sollen, wenn eine Richtlinienbedingung nicht in Echtzeit ausgewertet werden kann.
  • Ob Richtlinien mithilfe von Daten ausgewertet werden dürfen, die zu Beginn der Benutzersitzung gesammelt wurden.

Wichtig

Resilienz-Standardwerte werden automatisch für alle neuen und vorhandenen Richtlinien aktiviert, und Microsoft empfiehlt dringend, diese Standards aktiviert zu lassen, um die Auswirkungen eines Ausfalls zu minimieren. Administratoren können Resilienz-Standardwerte für einzelne Richtlinien für den bedingten Zugriff deaktivieren.

Wie funktioniert dies?

Bei einem Ausfall stellt der Sicherungsauthentifizierungsdienst automatisch Zugriffstoken für bestimmte Sitzungen aus:

Sitzungsbeschreibung Der Zugriff wird gewährt.
Neue Sitzung No
Vorhandene Sitzung – keine Richtlinien für den bedingten Zugriff konfiguriert Yes
Vorhandene Sitzung – Richtlinien für den bedingten Zugriff wurden konfiguriert und die erforderlichen Kontrollen wie MFA wurden zuvor erfüllt. Yes
Vorhandene Sitzung – Richtlinien für den bedingten Zugriff wurden konfiguriert und die erforderlichen Kontrollen wie MFA wurden zuvor nicht erfüllt. Bestimmt durch Resilienz-Standard

Wenn eine vorhandene Sitzung bei einem Microsoft Entra-Ausfalls abläuft, wird die Anforderung eines neuen Zugriffstokens an den Sicherungsauthentifizierungsdienst weitergeleitet, und alle Richtlinien für den bedingten Zugriff werden neu ausgewertet. Wenn keine Richtlinien für den bedingten Zugriff vorhanden sind oder alle erforderlichen Kontrollen wie MFA zuvor zu Beginn der Sitzung erfüllt wurden, gibt der Sicherungsauthentifizierungsdienst ein neues Zugriffstoken aus, um die Sitzung zu verlängern.

Wenn die erforderlichen Kontrollen einer Richtlinie zuvor nicht erfüllt wurden, wird die Richtlinie neu ausgewertet, um zu bestimmen, ob der Zugriff gewährt oder verweigert werden soll. Allerdings können nicht alle Bedingungen während eines Ausfalls in Echtzeit neu ausgewertet werden. Zu diesen Bedingungen zählen

  • Gruppenmitgliedschaft
  • Rollenmitgliedschaft
  • Anmelderisiko
  • Benutzerrisiko
  • Land/Region-Standort (Auflösen neuer IP-Adressen oder GPS-Koordinaten)
  • Authentifizierungsstärken

Wenn der Sicherungsauthentifizierungsdienst aktiv ist, werden die von Authentifizierungsstärken benötigten Authentifizierungsmethoden nicht geprüft. Wenn Sie vor einem Ausfall eine Authentifizierungsmethode verwendet haben, die nicht Phishing-resistent ist, werden Sie während eines Ausfalls nicht zur Multi-Faktor-Authentifizierung aufgefordert. Dies gilt auch dann, wenn Sie auf eine Ressource zugreifen, die durch eine Richtlinie für bedingten Zugriff mit Phishing-resistenter Authentifizierungsstärke geschützt ist.

Resilienz-Standardwerte aktiviert

Wenn Resilienz-Standardwerte aktiviert sind, wertet der Sicherungsauthentifizierungsdienst, wenn Echtzeitdaten fehlen, mit den zu Beginn der Sitzung gesammelten Daten aus, ob die Richtlinie angewendet werden soll. Standardmäßig sind für alle Richtlinien Resilienz-Standardwerte aktiviert. Die Einstellung kann für einzelne Richtlinien deaktiviert werden, wenn für den Zugriff auf vertrauliche Anwendungen während eines Ausfalls eine Echtzeit-Richtlinienauswertung erforderlich ist.

Beispiel: Eine Richtlinie mit aktivierten Resilienzstandards erfordert, dass allen Benutzern, denen eine privilegierte Rolle zugewiesen wurde und die auf Microsoft-Administratorportale zugreifen, die Multi-Faktor-Authentifizierung verwenden. Wenn ein Benutzer, dem keine globalen Administratorrolle zugewiesen ist, vor einem Ausfall auf das Azure-Portal zugreift, würde die Richtlinie nicht angewandt und dem Benutzer würde der Zugriff ohne MFA-Aufforderung gewährt. Während eines Ausfalls wertet der Sicherungsauthentifizierungsdienst die Richtlinie neu aus, um zu bestimmen, ob der Benutzer zur MFA aufgefordert werden soll. Da der Backup-Authentifizierungsdienst die Rollenzugehörigkeit nicht in Echtzeit bewerten kann, würde er die zu Beginn der Benutzersitzung gesammelten Daten verwenden, um festzustellen, ob die Richtlinie weiterhin nicht gelten soll. Daher erhält der Benutzer Zugriff, ohne zur MFA aufgefordert zu werden.

Resilienz-Standardwerte deaktiviert

Wenn Resilienz-Standardwerte deaktiviert sind, verwendet der Sicherungsauthentifizierungsdienst die zu Beginn der Sitzung gesammelten Daten nicht für die Auswertung der Bedingungen. Wenn eine Richtlinienbedingung während eines Ausfalls nicht in Echtzeit ausgewertet werden kann, wird der Zugriff verweigert.

Beispiel: Eine Richtlinie mit deaktivierten Resilienzstandards erfordert, dass allen Benutzern, denen eine privilegierte Rolle zugewiesen wurde und die auf Microsoft-Administratorportale zugreifen, die Multi-Faktor-Authentifizierung verwenden. Wenn ein Benutzer, dem keine globalen Administratorrolle zugewiesen ist, vor einem Ausfall auf das Azure-Portal zugreift, würde die Richtlinie nicht angewandt und dem Benutzer würde der Zugriff ohne MFA-Aufforderung gewährt. Während eines Ausfalls wertet der Sicherungsauthentifizierungsdienst die Richtlinie neu aus, um zu bestimmen, ob der Benutzer zur MFA aufgefordert werden soll. Da der Sicherungsauthentifizierungsdienst die Rollenmitgliedschaft nicht in Echtzeit auswerten kann, blockiert er den Zugriff auf Azure-Portal für den Benutzer.

Warnung

Das Deaktivieren der Resilienz-Standardwerte für eine Richtlinie, die auf eine Gruppe oder Rolle angewendet wird, verringert die Resilienz für alle Benutzer in Ihrem Mandanten. Da die Gruppen- und Rollenmitgliedschaft bei einem Ausfall nicht in Echtzeit ausgewertet werden kann, wird auch Benutzern, die nicht der Gruppe oder Rolle in der Richtlinienzuweisung angehören, der Zugriff auf die Anwendung im Gültigkeitsbereich der Richtlinie verweigert. Damit die Resilienz nicht für alle Benutzer verringert wird, die nicht zum Gültigkeitsbereich der Richtlinie gehören, sollten Sie die Richtlinie auf einzelne Benutzer anstatt auf Gruppen oder Rollen anwenden.

Testen von Resilienz-Standardwerten

Es ist nicht möglich, mit dem Sicherungsauthentifizierungsdiensts einen Probelauf durchzuführen oder das Ergebnis einer Richtlinie mit aktivierten oder deaktivierten Resilienz-Standardwerten zu simulieren. Microsoft Entra führt monatliche Übungen mit dem Sicherungsauthentifizierungsdienst durch. Die Anmeldeprotokolle werden angezeigt, wenn der Sicherungsauthentifizierungsdienst zum Ausstellen der Zugriffstoken genutzt wurde. Sie können über Identität>Überwachung & Integrität>Anmeldeprotokolle den Filter „Typ des Tokenausstellers == Microsoft Entra-Sicherungsauthentifizierung“ hinzufügen, um die vom Microsoft Entra-Sicherungsauthentifizierungsdienst verarbeiteten Protokolle anzuzeigen.

Konfigurieren von Resilienz-Standardwerten

Sie können die Resilienz-Standardwerte für den bedingten Zugriff über die Microsoft Entra Admin Center, MS Graph-APIs oder PowerShell konfigurieren.

Microsoft Entra Admin Center

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Browsen Sie zu Schutz>Bedingter Zugriff.
  3. Wählen Sie eine vorhandene Richtlinie aus, oder erstellen Sie eine neue Richtlinie.
  4. Öffnen Sie die Einstellungen der Sitzungssteuerung.
  5. Wählen Sie „Standardwerte für Resilienz deaktivieren“ aus, um die Einstellung für diese Richtlinie zu deaktivieren. Anmeldungen im Gültigkeitsbereich der Richtlinie werden bei einem Microsoft Entra-Ausfall blockiert
  6. Speichern Sie die Änderungen der Richtlinie.

MS Graph-APIs

Sie können die Resilienz-Standardwerte für Ihre Richtlinien für den bedingten Zugriff auch mit der MS Graph-API und dem Microsoft Graph-Explorers verwalten.

URL von Beispielanforderung:

PATCH https://graph.microsoft.com/beta/identity/conditionalAccess/policies/policyId

Text von Beispielanforderung:


{
"sessionControls": {
"disableResilienceDefaults": true
}
}

PowerShell

Dieser Patchvorgang kann nach der Installation des Microsoft.Graph.Authentication-Moduls über die Microsoft PowerShell bereitgestellt werden. Öffnen Sie zum Installieren dieses Moduls eine PowerShell-Eingabeaufforderung mit erhöhten Rechten, und führen Sie den Befehl zum

Install-Module Microsoft.Graph.Authentication

Herstellen einer Verbindung mit Microsoft Graph aus. Fordern Sie dabei die benötigten Bereiche an:

Connect-MgGraph -Scopes Policy.Read.All,Policy.ReadWrite.ConditionalAccess,Application.Read.All -TenantId <TenantID>

Führen Sie die Authentifizierung durch, wenn Sie dazu aufgefordert werden.

Erstellen Sie den JSON-Text für die PATCH-Anforderung:

$patchBody = '{"sessionControls": {"disableResilienceDefaults": true}}'

Führen Sie den Patchvorgang aus:

Invoke-MgGraphRequest -Method PATCH -Uri https://graph.microsoft.com/beta/identity/conditionalAccess/policies/<PolicyID> -Body $patchBody

Empfehlungen

Microsoft empfiehlt, Resilienz-Standardwerte zu aktivieren. Zwar gibt es keine direkten Sicherheitsbedenken. Kunden sollten aber abwägen, ob sie zulassen möchten, dass der Sicherungsauthentifizierungsdienst bei einem Ausfall Richtlinien für den bedingten Zugriff mit den zu Beginn der Sitzung gesammelten Daten auswertet anstatt in Echtzeit.

Die Rollen- oder Gruppenmitgliedschaft eines Benutzers haben sich seit dem Beginn der Sitzung geändert. Bei der fortlaufenden Zugriffsevaluierung sind Zugriffstoken 24 Stunden lang gültig, unterliegen jedoch sofortigen Sperrungsereignissen. Der Sicherungsauthentifizierungsdienst abonniert dieselbe fortlaufende Sperrungsereignis-Zugriffsevaluierung. Wenn das Token eines Benutzers als Teil der fortlaufenden Zugriffsevaluierung widerrufen wird, kann sich der Benutzer bei einem Ausfall nicht anmelden. Wenn Resilienz-Standardwerte aktiviert sind, werden vorhandene Sitzungen, die bei einem Ausfall ablaufen, verlängert. Sitzungen werden auch dann verlängert, wenn die Richtlinie mit einer Sitzungssteuerung für die Erzwingung einer Anmeldehäufigkeit konfiguriert wurde. Beispielsweise kann eine Richtlinie mit aktivierten Resilienz-Standardwerten einfordern, dass sich Benutzer stündlich erneut authentifizieren, um auf eine SharePoint-Website zuzugreifen. Bei einem Ausfall wird die Benutzersitzung verlängert, auch wenn Microsoft Entra ID möglicherweise nicht zur erneuten Authentifizierung des Benutzers verfügbar ist.

Nächste Schritte