Verwalten des externen Zugriffs auf Ressourcen mit Richtlinien für bedingten Zugriff

2025-04-30

Der bedingte Zugriff interpretiert Signale, erzwingt Richtlinien und bestimmt, ob einem Benutzer Zugriff auf Ressourcen gewährt wird. In diesem Artikel erfahren Sie, wie Sie Richtlinien für bedingten Zugriff auf externe Benutzer anwenden. In diesem Artikel wird davon ausgegangen, dass Sie möglicherweise keinen Zugriff auf die Berechtigungsverwaltung haben, ein Feature, das Sie mit bedingtem Zugriff verwenden können.

Weitere Informationen:

Das folgende Diagramm veranschaulicht Signale an den bedingten Zugriff, die Zugriffsprozesse auslösen.

Diagramm der Signaleingabe für bedingten Zugriff und resultierender Zugriffsprozesse.

Voraussetzungen

Dieser Artikel ist der siebte in einer Serie von zehn Artikeln. Es empfiehlt sich, die Artikel der Reihe nach zu lesen. Wechseln Sie zum Abschnitt "Nächste Schritte ", um die gesamte Datenreihe anzuzeigen.

Ausrichten eines Sicherheitsplans an Richtlinien für bedingten Zugriff

Der dritte Artikel des Satzes von 10 Artikeln enthält eine Anleitung zum Erstellen eines Sicherheitsplans. Verwenden Sie diesen Plan zum Erstellen Ihrer Richtlinien für bedingten Zugriff, um den externen Zugriff zu steuern. Der Teil des Sicherheitsplans umfasst:

Gruppierte Anwendungen und Ressourcen für vereinfachten Zugriff
Anmeldeanforderungen für externe Benutzer

Wichtig

Erstellen Sie interne und externe Benutzertestkonten, um Richtlinien zu testen, bevor Sie sie anwenden.

Siehe Artikel 3, Erstellen eines Sicherheitsplans für den externen Zugriff auf Ressourcen

Richtlinien für bedingten Zugriff zum Steuern des externen Zugriffs

In den folgenden Abschnitten sind die bewährten Methoden für das Steuern des externen Zugriffs mit Richtlinien für bedingten Zugriff aufgeführt.

Berechtigungsverwaltung oder Gruppen

Erstellen Sie eine Microsoft Entra-Sicherheitsgruppe oder Microsoft 365-Gruppe für Organisationen von Partnern, falls die Verwendung von verbundenen Organisationen im Rahmen der Berechtigungsverwaltung für Sie nicht möglich ist. Weisen Sie der Gruppe Benutzer dieses Partners zu. Sie können die Gruppen in Richtlinien für bedingten Zugriff verwenden.

Weitere Informationen:

Einstellung einer Richtlinie für bedingten Zugriff

Erstellen Sie möglichst wenig Richtlinien für bedingten Zugriff. Falls für mehrere Anwendungen die gleichen Zugriffsanforderungen gelten, sollten Sie sie derselben Richtlinie hinzufügen.

Richtlinien für bedingten Zugriff werden auf maximal 250 Anwendungen angewendet. Erstellen Sie doppelte Richtlinien, falls mehr als 250 Anwendungen über die gleichen Zugriffsanforderungen verfügen. Beispielsweise gilt Richtlinie A für Apps 1-250, Richtlinie B für Apps 251-500 usw.

Benennungskonvention

Verwenden Sie eine Namenskonvention, die den Richtlinienzweck zu erkennen gibt. Beispiele für externen Zugriff sind:

ExternerZugriff_AktionDurchgeführt_AppGruppe
ExternerZugang_Blockieren_FinanzApps

Zulassen des externen Zugriffs für bestimmte externe Benutzer

In manchen Szenarien ist es erforderlich, den Zugriff für eine kleine, bestimmte Gruppe zuzulassen.

Bevor Sie beginnen, sollten Sie eine Sicherheitsgruppe erstellen, die externe Benutzer enthält, die auf Ressourcen zugreifen. Siehe Schnellstart: Erstellen einer Gruppe mit Mitgliedern und Anzeigen aller Gruppen und Mitglieder in der Microsoft Entra-ID.

Melden Sie sich im Microsoft Entra Admin Center als Administrator für bedingten Zugriff an.
Navigieren Sie zu Entra ID>bedingten Zugriff.
Wählen Sie " Neue Richtlinie erstellen" aus.
Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
Wählen Sie unter AufgabenBenutzer oder Workload-Identitäten aus.
1. Wählen Sie unter "Einschließen" die Option "Alle Gäste" und "Externe Benutzer" aus.
2. Unter Ausschließen wählen Sie Benutzer und Gruppen und anschließend die Notfallzugriffs- oder Break-Glas-Konten Ihrer Organisation sowie die Sicherheitsgruppe für externe Benutzer aus.
Wählen Sie unter Zielressourcen>Ressourcen (früher Cloud-Apps) die folgenden Optionen aus:
1. Wählen Sie unter "Einschließen" die Option "Alle Ressourcen" (früher "Alle Cloud-Apps") aus.
2. Wählen Sie unter "Ausschließen" die Anwendungen aus, die Sie ausschließen möchten.
Wählen Sie unter Access controls>Grant die Option Zugriff blockieren aus und klicken Sie dann auf Auswählen.
Wählen Sie "Erstellen" aus, um Ihre Richtlinie zu aktivieren.

Hinweis

Nachdem Administratoren die Einstellungen im Nur-Bericht-Modus bestätigen, können sie den Schalter "Richtlinie aktivieren" von "Nur Bericht" auf "Ein" umstellen.

Weitere Informationen: Verwalten von Notfallzugriffskonten in Microsoft Entra ID

Dienstanbieterzugriff

Richtlinien für bedingten Zugriff für externe Benutzer könnten den Dienstanbieterzugriff beeinträchtigen, z. B. präzise delegierte Administratorrechte.

Weitere Informationen: Einführung in granulare delegierte Administratorrechte (GDAP)

Vorlagen für bedingten Zugriff

Vorlagen für bedingten Zugriff sind eine praktische Methode zum Bereitstellen neuer Richtlinien gemäß der Empfehlungen von Microsoft. Diese Vorlagen bieten Schutz unter Berücksichtigung häufig verwendeter Richtlinien für verschiedene Kundentypen und Standorte.

Weitere Informationen: Vorlagen für bedingten Zugriff (Vorschau)

Nächste Schritte

In der folgenden Artikelserie erfahren Sie, wie Sie den externen Zugriff auf Ressourcen sichern können. Wir empfehlen Ihnen, die Artikel in der angegebenen Reihenfolge zu lesen.

Freigeben über