Tutorial: Anfordern einer strengeren Authentifizierung (Authentifizierungskontext) bei riskanten Aktionen
IT-Administratoren von heute stecken in einer Zwickmühle. Sie möchten es Ihren Mitarbeitern ermöglichen, produktiv zu sein. Das bedeutet, dass sie die Möglichkeit haben müssen, auf Apps zuzugreifen, sodass sie jederzeit von jedem Gerät aus arbeiten können. Andererseits möchten Sie die Ressourcen des Unternehmens schützen, die auch vertrauliche und privilegierte Informationen enthalten. Wie können Sie Mitarbeitern den Zugriff auf Ihre Cloud-Apps gewähren, dabei gleichzeitig aber Ihre Daten schützen?
In diesem Tutorial lernen Sie, wie Sie Microsoft Entra-Richtlinien für bedingten Zugriff neu bewerten, wenn Benutzer während einer Sitzung sensitive Aktionen ausführen.
Die Bedrohung
Ein Mitarbeiter hat sich aus dem Büro bei SharePoint Online angemeldet. Während derselben Sitzung ist seine IP-Adresse außerhalb des Unternehmensnetzwerks registriert. Vielleicht ist er unten ins Café gegangen, oder vielleicht wurde sein Token kompromittiert oder von einem böswilligen Angreifer gestohlen.
Die Lösung
Schützen Sie Ihre Organisation, indem Sie festlegen, dass Microsoft Entra-Richtlinien für bedingten Zugriff während vertraulicher Sitzungsaktionen der App-Steuerung von Defender for Cloud Apps neu bewertet werden.
Voraussetzungen
Eine gültige Lizenz für Microsoft Entra ID P1
Ihre Cloud-App, in diesem Fall SharePoint Online, als Microsoft Entra ID-App konfiguriert und mit Verwendung von SSO über SAML 2.0 oder OpenID Connect
Stellen Sie sicher, dass die App in Defender for Cloud Apps bereitgestellt wird
Erstellen einer Richtlinie zum Erzwingen der strengeren Authentifizierung
Mithilfe von Defender for Cloud Apps-Sitzungsrichtlinien können Sie eine Sitzung basierend auf dem Zustand des Geräts einschränken. Um die Kontrolle über eine Sitzung zu erlangen und das Gerät dabei als Bedingung zu nehmen, erstellen Sie eine Richtlinie für bedingten Zugriff und eine Sitzungsrichtlinie.
So erstellen Sie Ihre Richtlinie:
Gehen Sie im Microsoft Defender Portal unter Cloud Apps zu Richtlinien und wählen Sie dann Richtlinienverwaltung aus.
Klicken Sie auf der Seite Richtlinien auf Richtlinie erstellen und anschließend auf Sitzungsrichtlinie.
Benennen Sie Ihre Richtlinie auf der Seite Sitzungsrichtlinie erstellen, und fügen Sie eine Beschreibung hinzu. Beispielsweise Anfordern eine strengeren Authentifizierung für Downloads von SharePoint Online von nicht verwalteten Geräten.
Legen Sie einen Schweregrad der Richtlinie und eine Kategorie fest.
Wählen Sie für den Sitzungssteuerelementtyp Aktivitäten blockieren Dateiupload steuern (mit Inspektion), Dateidownload steuern (mit Inspektion) aus.
Wählen Sie unter Aktivitätsquelle im Abschnitt Aktivitäten, die den folgenden Vorgaben entsprechen die folgenden Filter aus:
Gerätetag: Wählen Sie Nicht gleich und dann Intune-konform, Microsoft Entra Hybrid beigetreten, oder Gültiges Clientzertifikat aus. Die Auswahl hängt von der in Ihrer Organisation verwendeten Methode zur Identifizierung verwalteter Geräte ab.
App: Wählen Sie Automatisiertes Azure AD-Onboarding und dann SharePoint Online aus der Liste.
Benutzer: Wählen Sie die Benutzer aus, die Sie überwachen möchten.
Legen Sie unter Aktivitätsquelle im Abschnitt Files matching all of the following (Dateien, die den folgenden Vorgaben entsprechen) folgende Filter fest:
Sensitivitätskennzeichnungen: Wenn Sie Sensitivitätskennzeichnungen von Microsoft Purview Information Protection verwenden, filtern Sie die Dateien basierend auf einer bestimmten Vertraulichkeitsbezeichnung von Microsoft Purview Information Protection.
Wählen Sie Dateiname oder Dateityp aus, um anhand des Dateinamens oder des -typs Einschränkungen anzuwenden.
Aktivieren Sie Inhaltsuntersuchung, um die interne Verhinderung von Datenverlust zu aktivieren, damit Ihre Dateien auf vertrauliche Inhalte überprüft werden.
Wählen Sie unter Aktionen die Option Strengere Authentifizierung erforderlich aus.
Hinweis
Dazu muss der Authentifizierungskontext in der Microsoft Entra-ID erstellt werden.
Legen Sie die Warnungen fest, die Sie erhalten möchten, wenn die Richtlinie eine Übereinstimmung findet. Sie können einen Grenzwert festlegen, sodass Sie nicht zu viele Warnungen erhalten. Wählen Sie aus, ob Sie die Warnmeldungen als E-Mail erhalten möchten.
Klicken Sie auf Erstellen.
Überprüfen Ihrer Richtlinie
Melden Sie sich bei der App an, um den blockierten Dateidownload auf einem nicht verwalteten Gerät oder von einem Netzwerkstandort außerhalb des Unternehmens zu simulieren. Versuchen Sie dann, eine Datei herunterzuladen.
Sie sollten aufgefordert werden, die in der Authentifizierungskontextrichtlinie konfigurierte Aktion ausführen.
Gehen Sie im Microsoft Defender Portal unter Cloud Apps zu Richtlinien und wählen Sie dann Richtlinienverwaltung aus. Wählen Sie dann die Richtlinie aus, die Sie erstellt haben, um den Richtlinienbericht anzuzeigen. Eine Übereinstimmung mit der Sitzungsrichtlinie sollte in Kürze angezeigt werden.
Im Richtlinienbericht erfahren Sie, welche Anmeldungen zur Sitzungssteuerung nach Microsoft Defender for Cloud App umgeleitet und welche Dateien während der überwachten Sitzungen heruntergeladen oder blockiert wurden.
Nächste Schritte
Erstellen einer Zugriffsrichtlinie
Erstellen einer Sitzungsrichtlinie
Wenn Probleme auftreten, helfen wir Ihnen. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.