Bearbeiten

Freigeben über

Entwurfsprinzipien und Abhängigkeiten für bedingten Zugriff

Microsoft Entra ID
Microsoft Endpoint Manager

In diesem Artikel erfahren Sie mehr über Entwurfsprinzipien und Abhängigkeiten für ein Szenario mit bedingtem Zugriff, das auf Zero Trust basiert.

Entwurfsprinzipien

Zunächst werden einige Entwurfsprinzipien erläutert.

Bedingter Zugriff als Zero Trust-Richtlinien-Engine

Der Microsoft-Ansatz für Zero Trust umfasst den bedingten Zugriff als wichtigste Richtlinien-Engine. Im Folgenden finden Sie eine Übersicht über diesen Ansatz:

Diagram that provides an overview of the Zero Trust model.

Laden Sie eine SVG-Datei dieser Architektur herunter.

Der bedingte Zugriff wird als Richtlinien-Engine für eine Zero Trust-Architektur verwendet, die sowohl die Richtliniendefinition als auch die Richtlinienerzwingung abdeckt. Basierend auf verschiedenen Signalen oder Bedingungen kann der bedingte Zugriff wie hier gezeigt den Zugriff auf Ressourcen blockieren oder beschränken:

Diagram that provides an overview of the Conditional Access signal, decision, enforcement path.

Im Folgenden finden Sie eine ausführlichere Ansicht der Elemente des bedingten Zugriffs und der damit verbundenen Aspekte:

Diagram that shows a more detailed view of Conditional Access.

Diese Abbildung veranschaulicht den bedingten Zugriff und zugehörige Elemente, die den Benutzerzugriff auf Ressourcen im Gegensatz zum nicht interaktiven oder nicht menschlichen Zugriff schützen können. Im folgenden Diagramm werden die beiden Arten von Identitäten beschrieben.

Diagram that describes Conditional Access identity types.

Bedingter Zugriff hat sich hauptsächlich auf den Schutz des Zugriffs von interaktiven Menschen auf Ressourcen konzentriert. Da die Zahl der nicht-menschlichen Identitäten zunimmt, muss auch der Zugriff durch diese berücksichtigt werden. Microsoft bietet zwei Features im Zusammenhang mit dem Schutz des Zugriffs auf und von Workload-Identitäten.

  • Der Schutz des Zugriffs auf Anwendungen, die durch eine Workload-Identität repräsentiert werden, die im Microsoft Entra-Portal für bedingten Zugriff nicht auswählbar ist. Diese Option wird durch die Verwendung von Sicherheitsattributen unterstützt. Die Zuweisung eines Sicherheitsattributs zu Workloadidentitäten und deren Auswahl im Microsoft Entra-Portal für bedingten Zugriff ist Teil der Microsoft Entra ID P1-Lizenz.
  • Der Schutz des Zugriffs auf Ressourcen, die von Workload-Identitäten (Dienstprinzipalen) initiiert werden. Das neue Feature „Microsoft Entra Workload Identities“ wird in einer separaten Lizenz angeboten, die dieses Szenario unterstützt. Es umfasst die Lebenszyklusverwaltung von Workload-Identitäten, einschließlich des Schutzes des Zugriffs auf Ressourcen mit bedingtem Zugriff.

Unternehmenszugriffsmodell

Microsoft hat zuvor basierend auf einem Ebenenmodell Anleitungen und Prinzipien für den Zugriff auf lokale Ressourcen bereitgestellt:

  • Ebene 0: Domänencontroller, Public Key-Infrastruktur (PKI), Active Directory-Verbunddienste-Server (AD FS) und Verwaltungslösungen, die diese Server verwalten
  • Ebene 1: Server, die Anwendungen hosten
  • Ebene 2: Clientgeräte

Dieses Modell ist weiterhin für lokale Ressourcen relevant. Um den Zugriff auf Ressourcen in der Cloud zu schützen, empfiehlt Microsoft eine Zugriffssteuerungsstrategie, die die folgenden Anforderungen erfüllt:

  • Sie ist umfassend und konsistent.
  • Sie wendet Sicherheitsprinzipien im gesamten Technologiestapel streng an.
  • Sie ist flexibel genug, um die Anforderungen Ihrer Organisation zu erfüllen.

Basierend auf diesen Prinzipien hat Microsoft das folgende Unternehmenszugriffsmodell erstellt:

Diagram that outlines the enterprise access model.

Das Unternehmenszugriffsmodell ersetzt das Legacyebenenmodell, das sich darauf konzentrierte, die unbefugte Eskalation von Berechtigungen in einer lokalen Windows Server Active Directory-Umgebung einzuschränken. Im neuen Modell wird Ebene 0 erweitert und wird zur Steuerungsebene, Ebene 1 besteht aus der Verwaltungs- und Datenebene, und Ebene 2 deckt den Benutzerzugriff und App-Zugriff ab.

Microsoft empfiehlt, die Steuerung und Verwaltung in Clouddienste zu verschieben, die den bedingten Zugriff als Hauptsteuerungsebene und Richtlinien-Engine verwenden, um den Zugriff zu definieren und zu erzwingen.

Sie können die Microsoft Entra-Richtlinien-Engine für bedingten Zugriff auf andere Richtlinienerzwingungspunkte erweitern, einschließlich:

  • Moderne Anwendungen: Anwendungen, die moderne Authentifizierungsprotokolle verwenden.
  • Legacy-Anwendungen: Über Microsoft Entra-Anwendungsproxy.
  • VPNs und Remotezugriffslösungen: Lösungen wie das Microsoft Always On-VPN, Cisco AnyConnect, Palo Alto Networks, F5, Fortinet, Citrix und Zscaler
  • Dokumente, E-Mails und andere Dateien: Über Microsoft Information Protection.
  • SaaS-Anwendungen
  • Anwendungen, die in anderen Clouds ausgeführt werden, z. B. AWS oder Google Cloud (auf Verbund basierend).

Zero Trust-Grundprinzipien

Die drei wichtigsten Zero Trust-Prinzipien, die Microsoft definiert, scheinen verstanden zu werden, insbesondere von Sicherheitsabteilungen. Manchmal wird jedoch die Wichtigkeit der Benutzerfreundlichkeit beim Entwurf von Zero Trust-Lösungen vernachlässigt.

Die Benutzerfreundlichkeit sollte immer als implizites Prinzip betrachtet werden.

Prinzipien des bedingten Zugriffs

Basierend auf den obigen Informationen finden Sie hier eine Zusammenfassung der vorgeschlagenen Prinzipien. Microsoft empfiehlt, ein Zugriffsmodell basierend auf dem bedingten Zugriff zu erstellen, das den drei wichtigsten Zero Trust-Prinzipien von Microsoft entspricht:

Explizit verifizieren

  • Verschieben Sie die Steuerungsebene in die Cloud. Integrieren Sie Apps mit Microsoft Entra ID, und schützen Sie sie mithilfe des bedingten Zugriffs.
  • Betrachten Sie alle Clients als extern.

Geringstmögliche Zugriffsberechtigungen verwenden

  • Bewerten Sie den Zugriff basierend auf Compliance und Risiko, einschließlich Benutzerrisiko, Anmelderisiko und Geräterisiko.
  • Verwenden Sie diese Zugriffsprioritäten:
    • Greifen Sie direkt auf die Ressource zu, indem Sie den bedingten Zugriff für den Schutz verwenden.
    • Veröffentlichen Sie den Zugriff auf die Ressource mithilfe des Microsoft Entra-Anwendungsproxys unter Verwendung des bedingten Zugriffs für den Schutz.
    • Verwenden Sie das auf bedingtem Zugriff basierende VPN, um auf die Ressource zuzugreifen. Beschränken Sie den Zugriff auf die Ebene des App- oder DNS-Namens.

Vermuten von Sicherheitsverletzungen

  • Segmentieren Sie die Netzwerkinfrastruktur.
  • Minimieren Sie die Verwendung der Unternehmens-PKI.
  • Migrieren Sie das einmalige Anmelden (SSO) von AD FS zur Kennwort-Hashsynchronisierung (PHS).
  • Minimieren Sie Abhängigkeiten von Domänencontrollern, indem Sie Kerberos KDC in Microsoft Entra ID verwenden.
  • Verschieben Sie die Verwaltungsebene in die Cloud. Verwalten Sie Geräte mithilfe des Microsoft Endpoint Manager.

Im Folgenden finden Sie einige ausführlichere Prinzipien und empfohlene Vorgehensweisen für den bedingten Zugriff:

  • Wenden Sie Zero Trust-Prinzipien auf den bedingten Zugriff an.
  • Verwenden Sie den reinen Berichtsmodus, bevor Sie eine Richtlinie in die Produktion integrieren.
  • Testen Sie sowohl positive als auch negative Szenarios.
  • Verwenden Sie die Änderungs- und Revisionssteuerung für Richtlinien für bedingten Zugriff.
  • Automatisieren Sie die Verwaltung von Richtlinien für bedingten Zugriff mithilfe von Tools wie Azure DevOps/GitHub oder Azure Logic Apps.
  • Verwenden Sie den Blockmodus nur für den allgemeinen Zugriff, wenn dies erforderlich ist.
  • Stellen Sie sicher, dass alle Anwendungen und Ihre Plattform geschützt sind. Der bedingte Zugriff hat keine implizite Funktion im Sinne von „Alle ablehnen“.
  • Schützen Sie privilegierte Benutzer*innen in allen Microsoft 365-Systemen mit rollenbasierter Zugriffssteuerung (RBAC).
  • Fordern Sie eine Kennwortänderung und Multi-Faktor-Authentifizierung für Benutzer und Anmeldedaten mit hohem Risiko (erzwungen durch die Häufigkeit der Anmeldung).
  • Beschränken Sie den Zugriff von Geräten mit hohem Risiko. Verwenden Sie eine Intune-Konformitätsrichtlinie mit einer Konformitätsprüfung für bedingten Zugriff.
  • – Schützen Sie privilegierte Systeme, z. B. den Zugriff auf die Administratorportale für Office 365, Azure, AWS und Google Cloud.
  • Verhindern sie persistente Browsersitzungen für Administrator*innen und auf nicht vertrauenswürdigen Geräten.
  • Blockieren Sie die Legacyauthentifizierung.
  • Beschränken Sie den Zugriff von unbekannten oder nicht unterstützten Geräteplattformen.
  • Fordern Sie, wenn möglich, ein konformes Gerät für den Zugriff auf Ressourcen.
  • Beschränken Sie die Registrierung mit starken Anmeldeinformationen.
  • Erwägen Sie die Verwendung einer Standardsitzungsrichtlinie, mit der Sitzungen bei einem Ausfall fortgesetzt werden können, wenn die entsprechenden Bedingungen vor dem Ausfall erfüllt wurden.

Die folgende Abbildung zeigt Abhängigkeiten und zugehörige Technologien. Einige der Technologien sind Voraussetzungen für den bedingten Zugriff. Andere sind vom bedingten Zugriff abhängig. Der in diesem Dokument beschriebene Entwurf konzentriert sich hauptsächlich auf den bedingten Zugriff und nicht auf die zugehörigen Technologien.

Diagram that shows Conditional Access dependencies.

Leitfaden für bedingten Zugriff

Weitere Informationen finden Sie unter Entwurf für bedingten Zugriff basierend auf Zero Trust und Rollen.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte