Share via

Tutorial: Anfordern einer strengeren Authentifizierung (Authentifizierungskontext) bei riskanten Aktionen

  • Artikel

IT-Administratoren von heute stecken in einer Zwickmühle. Sie möchten es Ihren Mitarbeitern ermöglichen, produktiv zu sein. Das bedeutet, dass sie die Möglichkeit haben müssen, auf Apps zuzugreifen, sodass sie jederzeit von jedem Gerät aus arbeiten können. Andererseits möchten Sie die Ressourcen des Unternehmens schützen, die auch vertrauliche und privilegierte Informationen enthalten. Wie können Sie Mitarbeitern den Zugriff auf Ihre Cloud-Apps gewähren, dabei gleichzeitig aber Ihre Daten schützen?

In diesem Tutorial lernen Sie, wie Sie Microsoft Entra-Richtlinien für bedingten Zugriff neu bewerten, wenn Benutzer während einer Sitzung sensitive Aktionen ausführen.

Die Bedrohung

Ein Mitarbeiter hat sich aus dem Büro bei SharePoint Online angemeldet. Während derselben Sitzung ist seine IP-Adresse außerhalb des Unternehmensnetzwerks registriert. Vielleicht ist er unten ins Café gegangen, oder vielleicht wurde sein Token kompromittiert oder von einem böswilligen Angreifer gestohlen.

Die Lösung

Schützen Sie Ihre Organisation, indem Sie festlegen, dass Microsoft Entra-Richtlinien für bedingten Zugriff während vertraulicher Sitzungsaktionen der App-Steuerung von Defender for Cloud Apps neu bewertet werden.

Voraussetzungen

  • Eine gültige Lizenz für Microsoft Entra ID P1

  • Konfigurieren Sie eine Cloud-App für SSO mithilfe eines der folgenden Authentifizierungsprotokolle:

    IdP Protokolle
    Microsoft Entra ID SAML 2.0- oder OpenID Connect

  • Stellen Sie sicher, dass die App in Defender for Cloud Apps bereitgestellt wird

Erstellen einer Richtlinie zum Erzwingen der strengeren Authentifizierung

Mithilfe von Defender for Cloud Apps-Sitzungsrichtlinien können Sie eine Sitzung basierend auf dem Zustand des Geräts einschränken. Um die Kontrolle über eine Sitzung zu erlangen und das Gerät dabei als Bedingung zu nehmen, erstellen Sie eine Richtlinie für bedingten Zugriff und eine Sitzungsrichtlinie.

Schritt 1: Konfigurieren Sie Ihren IdP für die Zusammenarbeit mit Defender for Cloud Apps

Stellen Sie sicher, dass Sie Ihre IdP-Lösung für die Arbeit mit Defender for Cloud Apps wie folgt konfiguriert haben:

Nachdem Sie diese Aufgabe beendet haben, navigieren Sie zum Defender for Cloud Apps-Portal und erstellen Sie eine Sitzungsrichtlinie zum Überwachen und Kontrollieren von Downloads von Dateien in einer Sitzung.

Schritt 2: Erstellen einer Sitzungsrichtlinie

  1. Gehen Sie im Microsoft Defender Portal unter Cloud Apps zu Richtlinien und wählen Sie dann Richtlinienverwaltung aus.

  2. Klicken Sie auf der Seite Richtlinien auf Richtlinie erstellen und anschließend auf Sitzungsrichtlinie.

  3. Benennen Sie Ihre Richtlinie auf der Seite Sitzungsrichtlinie erstellen, und fügen Sie eine Beschreibung hinzu. Beispielsweise Anfordern eine strengeren Authentifizierung für Downloads von SharePoint Online von nicht verwalteten Geräten.

  4. Legen Sie einen Schweregrad der Richtlinie und eine Kategorie fest.

  5. Wählen Sie für den SitzungssteuerelementtypAktivitäten blockieren,Dateiupload steuern (mit Inspektion),Dateidownload steuern (mit Inspektion) aus.

  6. Wählen Sie unter Aktivitätsquelle im Abschnitt Aktivitäten, die den folgenden Vorgaben entsprechen die folgenden Filter aus:

    • Gerätetag: Wählen Sie Nicht gleich und dann Intune-konform, Microsoft Entra Hybrid beigetreten, oder Gültiges Clientzertifikat aus. Die Auswahl hängt von der in Ihrer Organisation verwendeten Methode zur Identifizierung verwalteter Geräte ab.

    • App: Wählen Sie die App aus, die Sie steuern möchten.

    • Benutzer: Wählen Sie die Benutzer aus, die Sie überwachen möchten.

  7. Legen Sie unter Aktivitätsquelle im Abschnitt Files matching all of the following (Dateien, die den folgenden Vorgaben entsprechen) folgende Filter fest:

    • Sensitivitätskennzeichnungen: Wenn Sie Sensitivitätskennzeichnungen von Microsoft Purview Information Protection verwenden, filtern Sie die Dateien basierend auf einer bestimmten Vertraulichkeitsbezeichnung von Microsoft Purview Information Protection.

    • Wählen Sie Dateiname oder Dateityp aus, um anhand des Dateinamens oder des -typs Einschränkungen anzuwenden.

  8. Aktivieren Sie Inhaltsuntersuchung, um die interne Verhinderung von Datenverlust zu aktivieren, damit Ihre Dateien auf vertrauliche Inhalte überprüft werden.

  9. Wählen Sie unter Aktionen die Option Strengere Authentifizierung erforderlich aus.

    Hinweis

    Dazu muss der Authentifizierungskontext in der Microsoft Entra-ID erstellt werden.

  10. Legen Sie die Warnungen fest, die Sie erhalten möchten, wenn die Richtlinie eine Übereinstimmung findet. Sie können einen Grenzwert festlegen, sodass Sie nicht zu viele Warnungen erhalten. Wählen Sie aus, ob Sie die Warnmeldungen als E-Mail erhalten möchten.

  11. Klicken Sie auf Erstellen.

Überprüfen Ihrer Richtlinie

  1. Melden Sie sich bei der App an, um den blockierten Dateidownload auf einem nicht verwalteten Gerät oder von einem Netzwerkstandort außerhalb des Unternehmens zu simulieren. Versuchen Sie dann, eine Datei herunterzuladen.

  2. Sie sollten aufgefordert werden, die in der Authentifizierungskontextrichtlinie konfigurierte Aktion ausführen.

  3. Gehen Sie im Microsoft Defender Portal unter Cloud Apps zu Richtlinien und wählen Sie dann Richtlinienverwaltung aus. Wählen Sie dann die Richtlinie aus, die Sie erstellt haben, um den Richtlinienbericht anzuzeigen. Eine Übereinstimmung mit der Sitzungsrichtlinie sollte in Kürze angezeigt werden.

  4. Im Richtlinienbericht erfahren Sie, welche Anmeldungen zur Sitzungssteuerung nach Microsoft Defender for Cloud App umgeleitet und welche Dateien während der überwachten Sitzungen heruntergeladen oder blockiert wurden.

Nächste Schritte

Erstellen einer Zugriffsrichtlinie

Erstellen einer Sitzungsrichtlinie

Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.