Bedingter Zugriff für Workloadidentitäten

Bisher wurden Richtlinien für bedingten Zugriff nur auf Benutzer angewendet, wenn sie auf Apps und Dienste wie SharePoint Online oder das Azure-Portal zugriffen. Die Unterstützung von Richtlinien für bedingten Zugriff wird jetzt auch auf Dienstprinzipale ausgeweitet, die sich im Besitz des Unternehmens befinden. Diese Funktion wird als bedingter Zugriff für Workloadidentitäten bezeichnet.

Eine Workloadidentität ist eine Identität, die einer Anwendung oder einem Dienstprinzipal den Zugriff auf Ressourcen ermöglicht, manchmal im Kontext eines Benutzers. Diese Workloadidentitäten unterscheiden sich in folgenden Punkten von herkömmlichen Benutzerkonten:

• Die Multi-Faktor-Authentifizierung kann nicht durchgeführt werden.
• Sie verfügen oft über keinen formalen Lebenszyklusprozess.
• Sie müssen ihre Anmeldeinformationen oder Geheimnisse irgendwo speichern.

Diese Unterschiede erschweren die Verwaltung von Workloadidentitäten und stellen ein höheres Gefährdungsrisiko dar.

Wichtig

Premium-Lizenzen für Workloadidentitäten sind erforderlich, um Richtlinien für bedingten Zugriff zu erstellen oder zu ändern, die auf Dienstprinzipale beschränkt sind. In Verzeichnissen ohne entsprechende Lizenzen funktionieren vorhandene Richtlinien für bedingten Zugriff für Workloadidentitäten weiterhin, können aber nicht geändert werden. Weitere Informationen finden Sie unter Microsoft Entra-Workloadidentitäten.  

Hinweis

Die Richtlinie kann auf Dienstprinzipale mit nur einem Mandanten angewendet werden, die in Ihrem Mandanten registriert wurden. SaaS-Apps von Drittanbietern und mehrinstanzenfähige Apps werden nicht unterstützt. Verwaltete Identitäten werden durch die Richtlinie nicht abgedeckt.

Der bedingte Zugriff für Workloadidentitäten ermöglicht das Blockieren von Dienstprinzipalen außerhalb vertrauenswürdiger, öffentlicher IP-Adressbereiche oder basierend auf Risiken, die von Azure AD Identity Protection erkannt wurden.

Implementierung

Festlegen einer standortbasierten Richtlinie für bedingten Zugriff

Erstellen Sie eine standortbasierte Richtlinie für bedingten Zugriff, die für Dienstprinzipale gilt.

1. Melden Sie sich als Administrator für bedingten Zugriff, Sicherheitsadministrator oder globaler Administrator beim Azure-Portal an.
2. Navigieren Sie zu Azure Active Directory>Sicherheit>Bedingter Zugriff.
3. Wählen Sie Neue Richtlinie.
4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
   1. Wählen Sie unter Wofür gilt diese Richtlinie? die Option Workloadidentitäten aus.
   2. Wählen Sie unter Einschließen die Option Dienstprinzipale auswählen und dann in der Liste die entsprechenden Dienstprinzipale aus.
6. Wählen Sie unter Cloud-Apps oder -Aktionen die Option Alle Cloud-Apps aus. Die Richtlinie gilt nur, wenn ein Dienstprinzipal ein Token anfordert.
7. Schließen Sie unter Bedingungen>Standorte die Option Alle Standorte ein, und schließen Sie Ausgewählte Standorte aus, für die Sie den Zugriff zulassen möchten.
8. Unter Gewähren ist Zugriff blockieren die einzige verfügbare Option. Der Zugriff wird blockiert, wenn eine Tokenanforderung außerhalb des zulässigen Bereichs erfolgt.
9. Ihre Richtlinie kann im Modus Nur melden gespeichert werden, damit Administratoren die Auswirkungen einschätzen können, oder die Richtlinie wird erzwungen, indem sie aktiviert wird.
10. Wählen Sie Erstellen aus, um die Richtlinie fertig zu stellen.

Festlegen einer risikobasierten Richtlinie für bedingten Zugriff

Erstellen Sie eine risikobasierte Richtlinie für bedingten Zugriff, die für Dienstprinzipale gilt.

1. Melden Sie sich als Administrator für bedingten Zugriff, Sicherheitsadministrator oder globaler Administrator beim Azure-Portal an.
2. Navigieren Sie zu Azure Active Directory>Sicherheit>Bedingter Zugriff.
3. Wählen Sie Neue Richtlinie.
4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
   1. Wählen Sie unter Wofür gilt diese Richtlinie? die Option Workloadidentitäten aus.
   2. Wählen Sie unter Einschließen die Option Dienstprinzipale auswählen und dann in der Liste die entsprechenden Dienstprinzipale aus.
6. Wählen Sie unter Cloud-Apps oder -Aktionen die Option Alle Cloud-Apps aus. Die Richtlinie gilt nur, wenn ein Dienstprinzipal ein Token anfordert.
7. Unter Bedingungen>Dienstprinzipalrisiko
   1. Legen Sie die Umschaltfläche Konfigurieren auf Ja fest.
   2. Wählen Sie die Risikostufen aus, für die diese Richtlinie ausgelöst werden soll.
   3. Klicken Sie auf Fertig.
8. Unter Gewähren ist Zugriff blockieren die einzige verfügbare Option. Der Zugriff wird blockiert, wenn eine Tokenanforderung außerhalb des zulässigen Bereichs erfolgt.
9. Ihre Richtlinie kann im Modus Nur melden gespeichert werden, damit Administratoren die Auswirkungen einschätzen können, oder die Richtlinie wird erzwungen, indem sie aktiviert wird.
10. Wählen Sie Erstellen aus, um die Richtlinie fertig zu stellen.

Rollback

Wenn Sie ein Rollback für dieses Feature ausführen möchten, können Sie alle erstellten Richtlinien löschen oder deaktivieren.

Anmeldeprotokolle

Mithilfe der Anmeldeprotokolle wird überprüft, wie die Richtlinie für Dienstprinzipale erzwungen wird oder welche Auswirkungen die Richtlinie bei Verwendung des Modus „Nur melden“ hat.

1. Navigieren Sie zu Azure Active Directory>Anmeldeprotokolle>Dienstprinzipalanmeldungen.
2. Wählen Sie einen Protokolleintrag aus, und wählen Sie die Registerkarte Bedingter Zugriff aus, um Evaluierungsinformationen anzuzeigen.

Fehlergrund, wenn der Dienstprinzipal durch bedingten Zugriff blockiert wird: „Der Zugriff wurde aufgrund von Richtlinien für bedingten Zugriff blockiert.“

Modus „Nur Bericht“

Informationen zum Anzeigen der Ergebnisse einer standortbasierten Richtlinie finden Sie auf der Registerkarte Nur Bericht von Ereignissen im Anmeldebericht, oder verwenden Sie die Arbeitsmappe mit Erkenntnissen und Berichterstellung zum bedingten Zugriff.

Informationen zum Anzeigen der Ergebnisse einer risikobasierten Richtlinie finden Sie auf der Registerkarte Nur Bericht von Ereignissen im Anmeldebericht.

Verweis

Ermitteln der objectID

Sie können die Objekt-ID (objectID) des Dienstprinzipals aus Azure AD-Unternehmensanwendungen abrufen. Die Objekt-ID in Azure AD-App-Registrierungen kann nicht verwendet werden. Dieser Bezeichner ist die Objekt-ID der App-Registrierung, nicht des Dienstprinzipals.

1. Navigieren Sie im Azure-Portal zu Azure Active Directory>Unternehmensanwendungen, und suchen Sie die registrierte Anwendung.
2. Kopieren Sie auf der Registerkarte Übersicht die Objekt-ID der Anwendung. Dieser Bezeichner ist eindeutig für den Dienstprinzipal und wird von der Richtlinie für bedingten Zugriff verwendet, um die aufrufende App zu ermitteln.

Microsoft Graph

JSON-Beispiel für die standortbasierte Konfiguration mithilfe des Microsoft Graph-Betaendpunkts

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Nächste Schritte

• Verwenden der Standortbedingung in einer Richtlinie für bedingten Zugriff
• Bedingter Zugriff: Programmgesteuerter Zugriff
• Was ist der reine Berichtsmodus des bedingten Zugriffs?