Risikobasierte Zugriffsrichtlinien
Zugriffssteuerungsrichtlinien können zum Schutz von Organisationen angewendet werden, wenn bei einer Anmeldung oder einem Benutzer ein Risiko erkannt wird. Derartige Richtlinien werden als risikobasierte Richtlinien bezeichnet.
Beim bedingten Zugriff von Azure AD gibt es zwei Risikobedingungen: Anmelderisiko und Benutzerrisiko. Organisationen können diese beiden Risikobedingungen konfigurieren und eine Zugriffssteuerungsmethode auswählen, um risikobasierte Richtlinien für bedingten Zugriff zu erstellen. Bei jeder Anmeldung sendet Identity Protection die erkannten Risikostufen an den bedingten Zugriff. Wenn die Richtlinienbedingungen erfüllt sind, werden die risikobasierten Richtlinien angewendet.
Wenn eine Organisation beispielsweise, wie im folgenden Diagramm gezeigt, eine Anmelderisikorichtlinie festgelegt hat, die eine Multi-Faktor-Authentifizierung erfordert, wenn die Anmelderisikostufe mittel oder hoch ist, müssen ihre Benutzer bei mittlerem oder hohem Anmelderisiko die Multi-Faktor-Authentifizierung abschließen.
Im obigen Beispiel wird auch ein Hauptvorteil einer risikobasierten Richtlinie veranschaulicht: die automatische Risikobehebung. Wenn ein Benutzer die erforderliche Zugriffssteuerung erfolgreich abgeschlossen hat (z. B. sichere Kennwortänderung), ist damit sein Risiko behoben. Diese Anmeldesitzung und das Benutzerkonto sind nicht mehr gefährdet, und es ist keine Aktion des Administrators erforderlich.
Wenn Sie Ihren Benutzern erlauben, das Risiko mithilfe dieses Prozesses selbst zu beheben, reduziert sich der Risikountersuchungs- und Korrekturaufwand für die Administratoren erheblich, und Ihre Organisationen werden gleichzeitig vor Sicherheitskompromittierungen geschützt. Weitere Informationen zur Risikobehebung finden Sie im Artikel, Behandeln von Risiken und Aufheben der Blockierung von Benutzern.
Risikobasierte Richtlinie für bedingten Zugriff – Anmelderisiko
Bei jeder Anmeldung analysiert Identity Protection Hunderte von Signalen in Echtzeit und berechnet eine Anmelderisikostufe, die der Wahrscheinlichkeit entspricht, dass die jeweilige Authentifizierungsanforderung nicht autorisiert ist. Diese Risikostufe wird dann an den bedingten Zugriff gesendet, wo die konfigurierten Richtlinien der Organisation ausgewertet werden. Administratoren können anhand des Anmelderisikos risikobasierte Richtlinien für bedingten Zugriff konfigurieren und Zugriffssteuerungen erzwingen, zu denen auch folgende Anforderungen zählen:
- Zugriff blockieren
- Zugriff zulassen
- Erzwingen der mehrstufigen Authentifizierung
Wenn bei einer Anmeldung Risiken erkannt werden, können Benutzer per Selbstkorrektur die erforderliche Zugriffssteuerung (z. B. Multi-Faktor-Authentifizierung) ausführen und das riskante Anmeldeereignis schließen, ohne die Administratoren belästigen zu müssen.
Hinweis
Benutzer müssen sich vor dem Auslösen der Anmelderisikorichtlinie für die Multi-Faktor-Authentifizierung von Azure AD registriert haben.
Risikobasierte Richtlinie für bedingten Zugriff – Benutzerrisiko
Identity Protection analysiert Signale zu Benutzerkonten und berechnet anhand der Wahrscheinlichkeit, dass der Benutzer kompromittiert wurde, eine Risikobewertung. Wenn ein Benutzer ein riskantes Anmeldeverhalten aufweist oder seine Anmeldeinformationen kompromittiert wurden, verwendet Identity Protection diese Signale zum Berechnen der Benutzerrisikostufe. Administratoren können anhand des Benutzerrisikos risikobasierte Richtlinien für bedingten Zugriff konfigurieren und Zugriffssteuerungen erzwingen, zu denen auch folgende Anforderungen zählen:
- Zugriff blockieren
- Lassen Sie den Zugriff zu, aber fordern Sie eine Änderung in ein sicheres Kennwort an.
Durch eine sichere Kennwortänderung wird das Benutzerrisiko behoben und das riskante Benutzerereignis geschlossen, ohne die Administratoren belästigen zu müssen.
Richtlinien für den Identitätsschutz
Auch wenn Identity Protection eine Benutzeroberfläche zum Erstellen von Benutzer- und Anmelderisikorichtlinien bietet, empfehlen wir dringend, zum Erstellen risikobasierter Richtlinien den bedingten Zugriff von Azure AD zu verwenden. Dieser bietet folgende Vorteile:
- Vielfältige Bedingungen für die Zugriffssteuerung: Der bedingte Zugriff stellt diverse Bedingungen wie Anwendungen und Speicherorte für die Konfiguration bereit. Sie können die Risikobedingungen in Kombination mit anderen Bedingungen verwenden und Richtlinien erstellen, die Ihre Organisationsanforderungen am besten durchsetzen.
- Sie können mehrere risikobasierte Richtlinien für unterschiedliche Benutzergruppen einrichten oder unterschiedliche Zugriffssteuerungen auf unterschiedliche Risikostufen anwenden.
- Richtlinien für bedingten Zugriff können über die Microsoft Graph-API erstellt und zuerst im Berichtsmodus getestet werden.
- Verwalten Sie alle Zugriffsrichtlinien an zentraler Stelle im bedingten Zugriff.
Wenn Sie bereits Identity Protection-Risikorichtlinien eingerichtet haben, empfehlen wir Ihnen, diese zum bedingten Zugriff zu migrieren.
Azure AD MFA-Registrierungsrichtlinie
Identity Protection kann Organisationen beim Rollout der Multi-Faktor-Authentifizierung (MFA) von Azure AD durch eine Richtlinie unterstützen, die bei der Anmeldung eine Registrierung anfordert. Wenn Sie diese Richtlinie aktivieren, können Sie sicherstellen, dass neue Benutzer in Ihrer Organisation sich am ersten Tag für MFA registrieren. Die mehrstufige Authentifizierung (MFA) ist eine der Methoden zur Eigenwartung für Risikoereignisse in Identity Protection. Eigenwartung ermöglicht Ihren Benutzern, selbst Maßnahmen zu ergreifen, um so das Helpdesk-Telefonaufkommen zu verringern.
Weitere Informationen zur Multi-Faktor-Authentifizierung von Azure AD finden Sie im Artikel So funktioniert‘s: Multi-Faktor-Authentifizierung von Azure AD.