Freigeben über

Bereitstellungsszenario der Microsoft Entra Suite – Sicherer Internetzugriff auf Grundlage von geschäftlichen Anforderungen

Die Microsoft Entra Suite-Bereitstellungsszenarien bieten Ihnen detaillierte Anleitungen zum Kombinieren und Testen dieser Microsoft Entra Suite-Produkte:

In diesen Leitfäden beschreiben wir Szenarios, die zeigen, wie nützlich Microsoft Entra Suite ist und wie die Funktionen zusammenarbeiten.

Übersicht über das Szenario

In diesem Leitfaden wird beschrieben, wie Sie die Microsoft Entra Suite-Produkte für ein Szenario konfigurieren, in dem die fiktive Organisation Contoso strenge Standardrichtlinien für den Internetzugriff definiert hat und den Internetzugriff gemäß den Geschäftsanforderungen steuern möchte.

In einem Beispielszenario, für das wir die Konfiguration der Lösung beschreiben, benötigt ein Benutzer der Marketingabteilung Zugriff auf soziale Netzwerke, die Contoso für alle Benutzer verbietet. Benutzer können den Zugriff in "Mein Zugriff" anfordern. Nach der Genehmigung werden sie Mitglied einer Gruppe, die ihnen Zugriff auf soziale Netzwerke gewährt.

In einem anderen Beispielszenario und einer entsprechenden Lösung muss ein SOC-Analyst für einen bestimmten Zeitraum auf einige hochgradig risikoreiche Internetziele zugreifen, um einen Incident zu untersuchen. Der SOC-Analyst kann den Zugriff in „Mein Zugriff“ beantragen. Nach der Genehmigung werden sie Mitglied einer Gruppe, die ihnen Zugriff auf diese hochgradig risikoreichen Internetziele gewährt.

Sie können diese allgemeinen Schritte, wie in diesem Szenario beschrieben, für die Contoso-Lösung replizieren.

  1. Registrieren Sie sich für Microsoft Entra Suite. Aktivieren und konfigurieren Sie Microsoft Entra Internet Access für die gewünschten Netzwerk- und Sicherheitseinstellungen.
  2. Stellen Sie Microsoft Global Secure Access-Clients auf den Geräten der Benutzer bereit. Aktivieren Sie Microsoft Entra-Internetzugriff.
  3. Erstellen Sie ein Sicherheitsprofil und Richtlinien für die Webinhaltsfilterung mit einer restriktiven Baselinerichtlinie, die bestimmte Webkategorien und Webziele für alle Benutzer blockiert.
  4. Erstellen Sie ein Sicherheitsprofil und Richtlinien für die Webinhaltsfilterung, die den Zugriff auf soziale Netzwerke zulassen.
  5. Erstellen Sie ein Sicherheitsprofil, das über die Webkategorie „Hacking“ verfügt.
  6. Verwenden Sie Microsoft Entra ID Governance, um Benutzern, die Zugriff anfordern, den Zugang zu Zugangspaketen wie z. B. den folgenden zu ermöglichen:
    • Benutzer aus der Marketingabteilung können Zugriff auf soziale Netzwerke mit einer vierteljährlichen Zugriffsüberprüfung anfordern.
    • Mitglieder des SOC-Teams können für bis zu acht Stunden Zugriff auf hochgradig risikoreiche Internetziele anfordern.
  7. Erstellen und verknüpfen Sie zwei Richtlinien für bedingten Zugriff mithilfe der Sitzungssteuerung des Sicherheitsprofils für Global Secure Access. Legen Sie den Geltungsbereich der Richtlinie fest und wenden Sie diese auf Benutzergruppen an.
  8. Vergewissern Sie sich, dass der Datenverkehr in „Globaler sicherer Zugriff“ ordnungsgemäß mit Datenverkehrsprotokollen zugelassen wird. Stellen Sie sicher, dass Benutzer der Marketingabteilung im Portal „Mein Zugriff“ auf das Zugriffspaket zugreifen können.

Die gemeinsame Verwendung dieser Lösungen bietet folgende Vorteile:

  • Beschränkter Zugriff mit minimalen Berechtigungen auf Internetziele. Sie beschränken den Zugriff auf Internetressourcen auf die Berechtigungen, die Benutzende für ihre Stelle im Joiner-Mover-Leaver-Zyklus benötigen. Dieser Ansatz reduziert das Risiko einer Endbenutzer- und Gerätekompromittierung.
  • Vereinfachte und einheitliche Verwaltung. Sie verwalten Netzwerk- und Sicherheitsfunktionen über eine einzige cloudbasierte Konsole, wodurch die Komplexität und die Kosten für die Wartung mehrerer Lösungen und Appliances reduziert werden.
  • Verbesserte Sicherheit und Sichtbarkeit. Erzwingen Sie granulare und adaptive Zugriffsrichtlinien, die auf der Identität und dem Kontext von Benutzern und Geräten sowie auf der Sensitivität von Anwendungen, der Vertraulichkeit von Daten und der Standortangabe basieren. Angereicherte Protokolle und Analysen bieten Einblicke in das Netzwerk und den Sicherheitsstatus, um Bedrohungen schneller zu erkennen und darauf zu reagieren.
  • Verbesserte Benutzerfreundlichkeit und Produktivität. Sie können schnellen und nahtlosen Zugriff auf erforderliche Apps und Ressourcen bereitstellen, ohne die Sicherheit oder Leistung zu beeinträchtigen.

Anforderungen

In diesem Abschnitt werden die Anforderungen für die Szenariolösung definiert.

Berechtigungen

Administratoren, die mit globalen Features von „globaler sicherer Zugriff“ interagieren, benötigen die Rollen „globaler sicherer Zugriff: Administrator“ und „Anwendungsadministrator“.

Für die Richtlinienkonfiguration für bedingten Zugriff ist die Rolle "Administrator für bedingten Zugriff" oder "Sicherheitsadministrator" erforderlich. Einige Features erfordern möglicherweise weitere Rollen.

Die Identitätsgovernancekonfiguration erfordert mindestens die Rolle „Identitätsgovernanceadmin“.

Lizenzen

Um alle Schritte in diesem Szenario zu implementieren, benötigen Sie Lizenzen für „globaler sicherer Zugriff“ und Microsoft Entra ID Governance. Sie können Lizenzen erwerben oder Testlizenzen erwerben. Weitere Informationen zur Lizenzierung von Global Secure Access finden Sie im Lizenzierungsbereich von Was ist Global Secure Access.

Anforderungen an Benutzer und Geräte

Um dieses Szenario erfolgreich bereitzustellen und zu testen, beachten Sie bei der Konfiguration diese Anforderungen:

  1. Microsoft Entra-Mandant mit Microsoft Entra ID P1-Lizenz. Erwerben Sie Lizenzen, oder erhalten Sie Testlizenzen.
    • Ein Benutzer, der mindestens über die Rollen „globaler sicherer Zugriff: Administrator“ und „Anwendungsadministrator“ verfügt, um das Security Service Edge von Microsoft zu konfigurieren
    • Mindestens eine Person als Clienttestbenutzer in Ihrem Mandanten
  2. Ein Windows-Clientgerät mit dieser Konfiguration:
    • Windows 10 oder 11, 64-Bit-Version
    • Einbindung oder Hybrideinbindung in Microsoft Entra
    • Internetverbindung
  3. Laden Sie den Client für „globaler sicherer Zugriff“ auf das Clientgerät herunter, und installieren Sie diesen. Im Artikel "Global Secure Access Client für Windows " werden die Voraussetzungen und die Installation beschrieben.

Konfigurieren von „globaler sicherer Zugriff“

In diesem Abschnitt aktivieren wir den „globaler sicherer Zugriff“ über das Microsoft Entra Admin Center. Anschließend richten wir die erforderlichen initialen Konfigurationen für das Szenario ein.

  1. Melden Sie sich beim Microsoft Entra Admin Center als globaler Administrator an.
  2. Navigieren Sie zu Global Secure Access>Erste Schritte>Aktivieren Sie Global Secure Access in Ihrem Mandanten. Wählen Sie "Aktivieren" aus, um SSE-Features zu aktivieren.
  3. Navigieren Sie zu Global Secure Access>Connect>Traffic Forwarding. Aktivieren Sie das Profil für den privaten Zugriff. Mit der Datenverkehrsweiterleitung können Sie den Typ von Netzwerkdatenverkehr konfigurieren, der durch die Dienste der Security Service Edge-Lösung von Microsoft getunnelt werden soll. Richten Sie Datenverkehrsweiterleitungsprofile ein, um Datenverkehrstypen zu verwalten.

    • Das Microsoft 365-Zugriffsprofil ist für Microsoft Entra Internet Access für Microsoft 365 vorgesehen.

    • Das Profil für den privaten Zugriff ist für Microsoft Entra Private Access vorgesehen.

    • Das Internetzugriffsprofil ist für Microsoft Entra Internet Access vorgesehen. Die Security Service Edge-Lösung von Microsoft erfasst nur den Datenverkehr auf Clientgeräten, auf denen der Client für „globaler sicherer Zugriff“ installiert ist.

      Screenshot der Datenverkehrsweiterleitung mit aktivierter Profilsteuerung für den privaten Zugriff.

Installieren des Clients für „globaler sicherer Zugriff“

Microsoft Entra Internetzugriff für Microsoft 365 und Microsoft Entra Privatzugriff verwenden den Global Secure Access-Client auf Windows-Geräten. Dieser Client erfasst den Netzwerkdatenverkehr und leitet ihn an die Security Service Edge-Lösung von Microsoft weiter. So installieren und konfigurieren Sie den Client:

  1. Stellen Sie sicher, dass das Windows-Gerät mit Microsoft Entra verbunden oder hybrid verbunden ist.

  2. Melden Sie sich mit einem Microsoft Entra-Benutzer mit lokalen Administratorrechten auf dem Windows-Gerät an.

  3. Melden Sie sich beim Microsoft Entra Verwaltungszentrum als mindestens Globaler Administrator für sicheren Zugriff an.

  4. Navigieren Sie zu Global Secure Access>Connect>Client-Download. Wählen Sie "Client herunterladen" aus. Schließen Sie die Installation ab.

    Screenshot des Clientdownloads, das die Windows-Download-Client-Komponente zeigt.

  5. In der Windows-Taskleiste wird der Global Secure Access-Client zunächst als nicht verbunden angezeigt. Wenn Sie nach einigen Sekunden zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie die Anmeldeinformationen des Testbenutzerkontos ein.

  6. Fahren Sie mit der Maus über das Symbol des Global Secure Access Client in der Windows-Taskleiste und überprüfen Sie den Status Verbunden.

Sicherheitsgruppen erstellen

In diesem Szenario verwenden wir zwei Sicherheitsgruppen, um Sicherheitsprofile mithilfe von Richtlinien für bedingten Zugriff zuzuweisen. Erstellen Sie im Microsoft Entra Admin Center Sicherheitsgruppen mit den folgenden Namen:

  • Internetzugriff – Zulassen von Websites für soziale Netzwerke
  • Internetzugriff - Hacking-Websites zulassen

Fügen Sie diesen Gruppen keine Mitglieder hinzu. Später in diesem Artikel konfigurieren wir die Identitätsverwaltung, um Mitglieder auf Anfrage hinzuzufügen.

Blockieren des Zugriffs mit einem Baselineprofil

In diesem Abschnitt blockieren wir den Zugriff auf unangemessene Websites für alle Benutzer in der Organisation mit einem Baselineprofil.

Erstellen einer Baselinerichtlinie für die Webfilterung

  1. Melden Sie sich beim Microsoft Entra Verwaltungszentrum als mindestens Globaler Administrator für sicheren Zugriff an.

  2. Navigieren Sie zu Global Secure Access>Secure>Web Content Filtering Policies>Create policy>Configure Global Secure Access content filtering.

    Screenshot der Webinhaltsfilterrichtlinien mit einem roten Feld, in dem das Steuerelement

  3. Führen Sie unter "Erstellen einer Webinhaltsfilterrichtlinie>– Grundlagen" die folgenden Felder aus:

    • Name: Grundlegende Regel zur Blockierung des Internetzugangs

    • Beschreibung: Hinzufügen einer Beschreibung

    • Aktion: Blockieren

      Screenshot von Unternehmensanwendungen, Erstellen einer globalen Anwendung für den sicheren Zugriff, Richtlinien zum Filtern von Webinhalten, Erstellen einer Webinhaltsfilterrichtlinie.

  4. Wählen Sie "Weiter" aus.

  5. Unter Erstellen Sie eine Webinhaltsfilterrichtlinie>Richtlinienregeln wählen Sie die Option "Regel hinzufügen" aus.

    Screenshot der Webinhaltsfilterrichtlinien, Erstellen einer Webinhaltsfilterrichtlinie, Richtlinienregeln mit einem roten Feld, in dem das Steuerelement

  6. Füllen Sie in Regel hinzufügen die folgenden Felder aus:

    • Name: Basis blockierter Webkategorien
    • Zieltyp: webCategory

  7. Suchen: Wählen Sie die folgenden Kategorien aus. Vergewissern Sie sich, dass sie sich in ausgewählten Elementen befinden.

    • Alkohol und Tabak

    • Kriminelle Aktivitäten

    • Glücksspiel

    • Hacken

    • Illegale Software

    • Soziale Netzwerke

      Screenshot der Aktualisierungsregel, Hinzufügen einer Regel zu Ihrer Richtlinie mit blockierten Basiswebkategorien im Textfeld

  8. Wählen Sie "Hinzufügen" aus.

  9. Bestätigen Sie auf "Webinhaltsfilterrichtlinie erstellen>, Richtlinienregeln" Ihre Auswahl.

    Screenshot von Unternehmensanwendungen, Erstellen einer globalen Anwendung für den sicheren Zugriff, Richtlinien zum Filtern von Webinhalten, Erstellen einer Webinhaltsfilterrichtlinie, Richtlinienregeln.

  10. Wählen Sie "Weiter" aus.

  11. Bestätigen Sie auf Überprüfung der Webinhaltsfilterrichtlinie>, dass Ihre Richtlinienkonfiguration korrekt ist.

  12. Wählen Sie "Richtlinie erstellen" aus.

    Screenshot der Registerkarte

  13. Um die Richtlinienerstellung zu bestätigen, zeigen Sie sie unter "Verwalten von Webinhaltsfilterrichtlinien" an.

Konfigurieren des Baselinesicherheitsprofils

  1. Melden Sie sich beim Microsoft Entra Verwaltungszentrum als mindestens Globaler Administrator für sicheren Zugriff an.
  2. Navigieren Sie zu globalenSicherheitsprofilen für>>.
  3. Wählen Sie Basisplanprofil aus.
  4. Legen Sie unter "Grundlagen" "Status" auf "Aktiviert" fest.
  5. Wählen Sie "Speichern" aus.
  6. Wählen Sie unter "Basisplanprofil bearbeiten" die Option "Verknüpfungsrichtlinien" aus. Wählen Sie "Richtlinie verknüpfen" aus. Wählen Sie "Vorhandene Richtlinie" aus. Füllen Sie die folgenden Felder aus:
    • Verknüpfen einer Richtlinie:Richtlinienname und Baseline Internet Access Block Rule auswählen
    • Priorität: 100
    • Status: Aktiviert
  7. Wählen Sie "Hinzufügen" aus.
  8. Bestätigen Sie bei "Erstellen Sie ein Profil>Linkrichtlinien", dass die Baseline Internet Access Block Rule aufgeführt ist.
  9. Schließen Sie das Baselinesicherheitsprofil.

Zulassen des Zugriffs auf soziale Netzwerke

In diesem Abschnitt erstellen wir ein Sicherheitsprofil, das Benutzern den Zugriff auf soziale Netzwerke ermöglicht, wenn sie diesen anfordern.

Erstellen einer Webfilterungsrichtlinie für soziale Netzwerke

  1. Melden Sie sich beim Microsoft Entra Verwaltungszentrum als mindestens Globaler Administrator für sicheren Zugriff an.

  2. Navigieren Sie zu Global Secure Access>Secure>Web Content Filtering Policies>Create policy>Configure Global Secure Access content filtering.

    Screenshot von Unternehmensanwendungen, Erstellen einer globalen Anwendung für den sicheren Zugriff, Richtlinien zum Filtern von Webinhalten, Erstellen einer Webinhaltsfilterrichtlinie.

  3. Führen Sie unter "Erstellen einer Webinhaltsfilterrichtlinie>– Grundlagen" die folgenden Felder aus:

    • Name: Zulassen von Websites für soziale Netzwerke
    • Beschreibung: Hinzufügen einer Beschreibung
    • Aktion: Zulassen

  4. Wählen Sie "Weiter" aus.

  5. Unter Erstellen Sie eine Webinhaltsfilterrichtlinie>Richtlinienregeln wählen Sie die Option "Regel hinzufügen" aus.

  6. Füllen Sie in Regel hinzufügen die folgenden Felder aus:

    • Name: Soziale Netzwerke
    • Zieltyp: Webkategorie
    • Suche: Soziale Netzwerke

  7. Auswählen von sozialen Netzwerken

  8. Wählen Sie "Hinzufügen" aus.

  9. Wählen Sie auf Webinhaltsfilterungsrichtlinie erstellen> unter Richtlinienregeln die Option Weiter aus.

  10. Bestätigen Sie auf Überprüfung der Webinhaltsfilterrichtlinie>, dass Ihre Richtlinienkonfiguration korrekt ist.

    Screenshot von Sicherheitsprofilen, Blockierung bei Risiko bearbeiten, Grundlagen, Sicherheitsprofile, Basisprofil bearbeiten, Erstellung einer Richtlinie zur Webinhaltsfilterung.

  11. Wählen Sie "Richtlinie erstellen" aus.

  12. Um die Richtlinienerstellung zu bestätigen, zeigen Sie sie unter "Verwalten von Webinhaltsfilterrichtlinien" an.

Erstellen eines Sicherheitsrichtlinienprofils für soziale Netzwerke

  1. Melden Sie sich beim Microsoft Entra Verwaltungszentrum als mindestens Globaler Administrator für sicheren Zugriff an.

  2. Navigieren Sie zu globalenSicherheitsprofilen für>>. Wählen Sie "Profil erstellen" aus.

    Screenshot von Sicherheitsprofilen mit einem roten Feld, in dem das Steuerelement

  3. Vervollständigen Sie unter Erstellen eines Profils>Grundlagen die folgenden Felder:

    • Profilname: Zulassen von Websites für soziale Netzwerke
    • Beschreibung: Hinzufügen einer Beschreibung
    • Status: Aktiviert
    • Priorität: 1000

  4. Wählen Sie "Weiter" aus.

  5. Wählen Sie unter Profil erstellen>Richtlinien verknüpfen die Option "Richtlinie verknüpfen" aus.

  6. Wählen Sie "Vorhandene Richtlinie" aus.

  7. Führen Sie in "Verknüpfen einer Richtlinie" die folgenden Felder aus:

    • Richtlinienname: Zulassen von sozialen Netzwerken
    • Priorität: 1000
    • Status: Aktiviert

  8. Wählen Sie "Hinzufügen" aus.

  9. Bestätigen Sie bei Erstellen einer Richtlinie für Profilverknüpfungen>, dass "Soziale Netzwerke zulassen" aufgeführt ist.

  10. Wählen Sie "Weiter" aus.

  11. Beim Überprüfen des Profils auf Profil erstellen> bestätigen Sie Ihre Profilkonfiguration.

    Screenshot von Sicherheitsprofilen, Bearbeiten Block bei Risiko, Grundlagen, Sicherheitsprofile, Bearbeiten Basiskonfigurationsprofil, Profil erstellen.

  12. Wählen Sie "Profil erstellen" aus.

Erstellen einer Richtlinie für bedingten Zugriff auf soziale Netzwerke

In diesem Abschnitt erstellen wir eine Richtlinie für den bedingten Zugriff, die das Sicherheitsprofil " Soziale Netzwerke zulassen " für Benutzer erzwingt, die Zugriff anfordern.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für "Bedingter Zugriff" an.
  2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
  3. Wählen Sie "Neue Richtlinie" aus.
  4. Führen Sie in der Neuen Richtlinie für bedingten Zugriff die folgenden Felder aus:
    • Name: Internetzugriff - Zulassen von Websites für soziale Netzwerke
    • Benutzer- oder Workloadidentitäten: Einschließlich bestimmter Benutzer
    • Wofür gilt diese Richtlinie? Benutzer und Gruppen
    • Einschließen>Auswählen von Benutzern und Gruppen> Benutzer und Gruppen
  5. Wählen Sie Ihre Testgruppe (z. B. Internetzugriff – Websites für soziale Netzwerke zulassen) aus. Wählen Sie "Auswählen" aus.
  6. Zielressourcen
    • Wählen Sie aus, für welche Richtlinie diese Richtlinie gilt.> Globaler sicherer Zugriff
    • Wählen Sie die Datenverkehrsprofile aus, für> die diese Richtlinie gilt Internetdatenverkehr
  7. Belassen Sie "Grant" bei den Standardeinstellungen, um den Zugriff zu gewähren, sodass Ihr definiertes Sicherheitsprofil die Blockierungsfunktionalität bestimmt.
  8. Wählen Sie in "Sitzung" das Sicherheitsprofil für den globalen sicheren Zugriff verwenden aus.
  9. Wählen Sie "Soziale Netzwerke zulassen" aus.
  10. Wählen Sie in der Übersicht über> bedingten Zugriff dieOption "Richtlinie aktivieren" aus.
  11. Wählen Sie "Erstellen" aus.

Zulassen des Zugriffs auf Hackingwebsites

In diesem Abschnitt erstellen wir ein Sicherheitsprofil, das Benutzern den Zugriff auf Hackingwebsites ermöglicht, wenn sie diesen anfordern. Benutzer erhalten acht Stunden lang Zugriff. Anschließend wird der Zugriff automatisch wieder entzogen.

Erstellen einer Richtlinie zur Webfilterung für Inhalte im Zusammenhang mit Hacking

  1. Melden Sie sich beim Microsoft Entra Verwaltungszentrum als mindestens Globaler Administrator für sicheren Zugriff an.

  2. Navigieren Sie zu Global Secure Access>Secure>Web Content Filtering Policies>Create policy>Configure Global Secure Access content filtering.

    Screenshot von Sicherheitsprofilen mit einem roten Feld, in dem das Steuerelement

  3. Führen Sie unter "Erstellen einer Webinhaltsfilterrichtlinie>– Grundlagen" die folgenden Felder aus:

    • Name: Hacking-Seiten zulassen
    • Beschreibung: Hinzufügen einer Beschreibung
    • Aktion: Zulassen

  4. Wählen Sie "Weiter" aus.

  5. Unter Erstellen Sie eine Webinhaltsfilterrichtlinie>Richtlinienregeln wählen Sie die Option "Regel hinzufügen" aus.

  6. Füllen Sie in Regel hinzufügen die folgenden Felder aus:

    • Name: Hacker
    • Zieltyp: Webkategorie
    • Suche: Hacking, Hacking auswählen

  7. Wählen Sie "Hinzufügen" aus.

  8. Wählen Sie auf Webinhaltsfilterungsrichtlinie erstellen> unter Richtlinienregeln die Option Weiter aus.

  9. Bestätigen Sie auf Überprüfung der Webinhaltsfilterrichtlinie>, dass Ihre Richtlinienkonfiguration korrekt ist.

    Screenshot des Hinzufügens einer Regel mit Hacking in ausgewählten Elementen.

  10. Wählen Sie "Richtlinie erstellen" aus.

  11. Um die Richtlinienerstellung zu bestätigen, zeigen Sie sie unter "Verwalten von Webinhaltsfilterrichtlinien" an.

    Screenshot von Sicherheitsprofilen, Webinhaltsfilterrichtlinien.

Erstellen eines Sicherheitsrichtlinienprofils für Hackingwebsites

  1. Melden Sie sich beim Microsoft Entra Admin Center als globaler Administrator für den sicheren Zugriff an.

  2. Navigieren Sie zu globalenSicherheitsprofilen für>>. Wählen Sie "Profil erstellen" aus.

    Screenshot von Sicherheitsprofilen mit einem roten Feld, in dem das Steuerelement

  3. Vervollständigen Sie unter Erstellen eines Profils>Grundlagen die folgenden Felder:

    • Profilname: Hacking-Websites zulassen
    • Beschreibung: Hinzufügen einer Beschreibung
    • Status: Aktiviert
    • Priorität: 2000

  4. Wählen Sie "Weiter" aus.

  5. Wählen Sie unter Profil erstellen>Richtlinien verknüpfen die Option "Richtlinie verknüpfen" aus.

  6. Wählen Sie "Vorhandene Richtlinie" aus.

  7. Füllen Sie im Dialogfeld "Richtlinie verknüpfen " die folgenden Felder aus:

    • Richtlinienname: Hacking zulassen
    • Priorität: 2000
    • Status: Aktiviert

  8. Wählen Sie "Hinzufügen" aus.

  9. Bestätigen Sie bei Profil erstellen>Richtlinien verknüpfen, dass "Hacking zulassen" aufgeführt ist.

  10. Wählen Sie "Weiter" aus.

  11. Beim Überprüfen des Profils auf Profil erstellen> bestätigen Sie Ihre Profilkonfiguration.

    Screenshot von Sicherheitsprofilen, Bearbeiten Block bei Risiko, Grundlagen, Sicherheitsprofile, Bearbeiten Basiskonfigurationsprofil, Profil erstellen.

  12. Wählen Sie "Profil erstellen" aus.

Erstellen einer Richtlinie für bedingten Zugriff auf Hackingwebsites

In diesem Abschnitt erstellen wir eine Richtlinie für den bedingten Zugriff, die das Sicherheitsprofil "Hacking-Websites zulassen " für die Benutzer erzwingt, die Zugriff anfordern.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für "Bedingter Zugriff" an.
  2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
  3. Wählen Sie "Neue Richtlinie" aus.
  4. Füllen Sie im Dialogfeld "Neue Richtlinie für bedingten Zugriff" die folgenden Felder aus:
    • Name: Internetzugriff -- Hacking-Websites zulassen
    • Benutzer- oder Workloadidentitäten: Einschließlich bestimmter Benutzer
    • Wofür gilt diese Richtlinie? Benutzer und Gruppen
  5. Einschließen>Auswählen von Benutzern und Gruppen> Benutzer und Gruppen
  6. Wählen Sie Ihre Testgruppe aus (z. B. Internetzugriff –- Hacking-Websites zulassen) >Wählen Sie 'Auswählen'.
  7. Zielressourcen
    • Wählen Sie aus, für welche Richtlinie diese Richtlinie gilt.> Globaler sicherer Zugriff
    • Wählen Sie die Datenverkehrsprofile aus, für> die diese Richtlinie gilt Internetdatenverkehr
  8. Belassen Sie "Grant" bei den Standardeinstellungen, um den Zugriff zu gewähren, sodass Ihr definiertes Sicherheitsprofil die Blockierungsfunktionalität bestimmt.
  9. Wählen Sie im Dialogfeld "Sitzung " die Option "Sicherheitsprofil für globalen sicheren Zugriff verwenden" aus.
  10. Wählen Sie "Hacking-Websites zulassen" aus.
  11. Wählen Sie in der Übersicht über> bedingten Zugriff dieOption "Richtlinie aktivieren" aus.
  12. Wählen Sie "Erstellen" aus.

Konfigurieren Sie die Zugriffssteuerung

Führen Sie die folgenden Schritte aus, um einen Berechtigungsverwaltungskatalog zu erstellen:

  1. Melden Sie sich mindestens als Administrator für Identitätsgovernance im Microsoft Entra Admin Center an.

  2. Navigieren Sie zu Identitätsgovernance > Berechtigungsverwaltung > Kataloge.

  3. Neuen Katalog auswählen

    Screenshot der Überprüfung des neuen Zugriffs, Unternehmensanwendungen, Alle Anwendungen, Identity Governance, Neuer Katalog.

  4. Geben Sie einen eindeutigen Namen sowie eine Beschreibung für den Katalog ein. Anforderer sehen diese Informationen in den Details eines Zugriffspakets (z. B. InternetZugriff).

  5. Für dieses Szenario erstellen wir Zugriffspakete im Katalog für interne Benutzer. Legen Sie "Aktiviert" für externe Benutzer auf "Nein" fest.

    Screenshot des neuen Katalogs mit der Einstellung

  6. Um die Ressourcen hinzuzufügen, wechseln Sie zu Katalogen , und öffnen Sie den Katalog, dem Sie Ressourcen hinzufügen möchten. Wählen Sie "Ressourcen" aus. Wählen Sie "Ressourcen hinzufügen" aus.

  7. Fügen Sie die beiden Sicherheitsgruppen hinzu, die Sie zuvor erstellt haben (z. B. Internetzugriff - Zulassen von Websites für soziale Netzwerke und Internetzugriff - Zulassen von Hacking-Websites).

    Screenshot der Identitätsverwaltung, Internet-Zugriff, Ressourcen.

Zugriffspakete erstellen

In diesem Abschnitt erstellen wir Zugriffspakete, mit denen Benutzer den Zugriff auf die Internetwebsitekategorien anfordern können, die in den einzelnen Sicherheitsprofilen definiert werden. Führen Sie die folgenden Schritte aus, um unter „Berechtigungsverwaltung“ ein Zugriffspaket zu erstellen:

  1. Melden Sie sich mindestens als Administrator für Identitätsgovernance im Microsoft Entra Admin Center an.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Wählen Sie "Neues Zugriffspaket" aus.

  4. Geben Sie für "Grundlagen" dem Zugriffspaket einen Namen (z. B. Internetzugriff –- Websites für soziale Netzwerke zulassen). Geben Sie den zuvor erstellten Katalog an.

  5. Wählen Sie für Ressourcenrollen die Sicherheit aus, die Sie zuvor hinzugefügt haben (z. B. Internetzugriff – Websites für soziale Netzwerke zulassen).

  6. Wählen Sie in "Rolle""Mitglied" aus.

  7. Wählen Sie für Anforderungendie Option "Für Benutzer in Ihrem Verzeichnis" aus.

  8. Wählen Sie " Bestimmte Benutzer und Gruppen" aus , um den Zugriff auf soziale Netzwerke anzufordern, und fügen Sie eine entsprechende Gruppe von Benutzern hinzu. Wählen Sie andernfalls "Alle Mitglieder" aus.

  9. Wählen Sie unter "Anforderungen" "Ja " aus, um neue Anforderungen zu aktivieren.

  10. Wahlfrei: Geben Sie in der Genehmigung an, ob eine Genehmigung erforderlich ist, wenn Benutzer dieses Zugriffspaket anfordern.

  11. Geben Sie für den Lebenszyklus an, wann die Zuweisung eines Benutzers zum Zugriffspaket abläuft. Sie können auch angeben, ob Benutzer ihre Zuweisungen verlängern können. Legen Sie für Ablauf den Ablauf von Access-Paketzuweisungen auf Am Datum, Anzahl der Tage, Anzahl der Stunden oder Nie fest.

    Screenshot des neuen Zugriffspakets, Anforderungen.

  12. Wiederholen Sie die Schritte zum Erstellen eines neuen Zugriffspakets, das den Zugriff auf Hackingwebsites ermöglicht. Konfigurieren Sie diese Einstellungen:

    • Ressource: Internetzugriff -- Hacking-Websites zulassen
    • Wer kann Folgendes anfordern: SOC-Teammitglieder
    • Lebenszyklus:Festlegen der Anzahl von Stunden auf 8 Stunden

Testbenutzerzugriff

In diesem Abschnitt überprüfen wir, dass der Benutzer nicht auf Websites zugreifen kann, die das Baselineprofil blockiert.

  1. Melden Sie sich an dem Gerät an, auf dem Sie den Global Secure Access-Client installiert haben.
  2. Navigieren Sie in einem Browser zu Websites, die das Baselineprofil blockiert, und überprüfen Sie, ob der Zugriff wirklich blockiert wird. Beispiel:

    1. hackthissite.org ist eine kostenlose, sichere und legale Trainingswebsite für Sicherheitsexperten, um ihre Fähigkeiten im Bereich des ethischen Hackings zu testen und zu erweitern. Diese Website wird als Hackingwebsite klassifiziert.

    2. YouTube.com ist eine kostenlose Videoplattform. Diese Website wird als soziales Netzwerk klassifiziert.

      Screenshot von zwei Browserfenstern mit blockierten Zugriff auf Testwebsites.

Anfordern des Zugriffs auf soziale Netzwerke

In diesem Abschnitt überprüfen wir, ob ein Benutzer der Marketingabteilung Zugriff auf soziale Netzwerke anfordern kann.

  1. Melden Sie sich auf dem Gerät an, auf dem Sie den Global Secure Access-Client installiert haben, mit einem Benutzer, der Mitglied des Marketingteams ist (oder mit einem Benutzer, der die Berechtigung hat, den Zugriff auf das Beispiel-Zugriffspaket "Internetzugriff -- Zugang zu sozialen Netzwerken erlauben" anzufordern).

  2. Überprüfen Sie in einem Browser, ob der Zugriff auf eine Website blockiert wird, die der Kategorie „Soziale Netzwerke“ angehört, die das Baselinesicherheitsprofil blockiert. Versuchen Sie beispielsweise auf youtube.com zuzugreifen.

    Screenshot des Browsers mit blockiertem Zugriff auf eine Testwebsite.

  3. Navigieren Sie zu myaccess.microsoft.com. Wählen Sie Access-Pakete aus. Wählen Sie Anfrage für das Zugriffspaket Internetzugriff – Soziale Netzwerke zulassen.

    Screenshot von

  4. Wählen Sie "Weiter" aus. Wählen Sie "Anforderung" aus.

  5. Wenn Sie die Genehmigung für das Zugriffspaket konfiguriert haben, melden Sie sich als genehmigende Person an. Navigieren Sie zu myaccess.microsoft.com. Genehmigen Sie die Anforderung.

  6. Melden Sie sich als Benutzer der Marketingabteilung an. Navigieren Sie zu myaccess.microsoft.com. Wählen Sie "Anforderungsverlauf" aus. Überprüfen Sie Ihren Anforderungsstatus für den Internetzugriff – Zulassen, dass Websites für soziale Netzwerkeübermittelt werden.

  7. Es dauert möglicherweise einige Minuten, bis neue Einstellungen angewendet werden. Um den Vorgang zu beschleunigen, klicken Sie in der Taskleiste mit der rechten Maustaste auf das Symbol für „globaler sicherer Zugriff“. Wählen Sie "Anmelden" als anderer Benutzer aus. Melden Sie sich erneut an.

  8. Versuchen Sie, auf Websites in der Kategorie „Soziale Netzwerke“ zuzugreifen, die das Baselinesicherheitsprofil blockiert. Überprüfen Sie, ob Sie erfolgreich darauf zugreifen können. Versuchen Sie beispielsweise, youtube.com zu durchsuchen.

    Screenshot eines Browsers mit Zugriff auf eine Testwebsite.

Zugriff auf Hacker-Websites anfordern

In diesem Abschnitt überprüfen wir, ob ein Benutzer des SOC-Teams Zugriff auf Hackingwebsites anfordern kann.

  1. Melden Sie sich an dem Gerät an, auf dem Sie den Global Secure Access-Client mit einem Benutzer installiert haben, der Mitglied des SOC-Teams ist (oder einem Benutzer, der die Berechtigung hat, Zugang zu dem Beispiel Internetzugriff -- Erlaube Hacking-Seiten-Zugriffspaket anzufordern).

  2. Überprüfen Sie in einem Browser, ob der Zugriff auf eine Website blockiert wird, die der Kategorie „Hacking“ angehört, die das Baselinesicherheitsprofil blockiert. Beispiel: hackthissite.org.

    Screenshot des Browsers mit blockiertem Zugriff auf eine Testwebsite.

  3. Navigieren Sie zu myaccess.microsoft.com. Wählen Sie Access-Pakete aus. Wählen Sie Anfrage für das Internetzugriffspaket – Hacking-Websites zulassen aus.

  4. Wählen Sie "Weiter" aus. Wählen Sie "Anforderung" aus.

  5. Wenn Sie die Genehmigung für das Zugriffspaket konfiguriert haben, melden Sie sich als genehmigende Person an. Navigieren Sie zu myaccess.microsoft.com. Genehmigen Sie die Anforderung.

  6. Melden Sie sich als ein Benutzer des SOC-Teams an. Navigieren Sie zu myaccess.microsoft.com. Wählen Sie "Anforderungsverlauf" aus. Überprüfen Sie Ihren Anforderungsstatus für den Internetzugriff – Zulassen, dass Hacking-Websitesübermittelt werden.

  7. Es dauert möglicherweise einige Minuten, bis neue Einstellungen angewendet werden. Um den Vorgang zu beschleunigen, klicken Sie in der Taskleiste mit der rechten Maustaste auf das Symbol für „globaler sicherer Zugriff“. Wählen Sie "Anmelden" als anderer Benutzer aus. Melden Sie sich erneut an.

  8. Versuchen Sie, auf Websites in der Hacking-Kategorie zuzugreifen, die das Baselinesicherheitsprofil blockiert. Überprüfen Sie, ob Sie erfolgreich darauf zugreifen können. Versuchen Sie beispielsweise, hackthissite.org zu durchsuchen.

    Screenshot des Browserfensters mit Zugriff auf die Testwebsite.

  9. Wenn Sie den Zugriff auf Hacking-Websites mit der Lifecycle-Anzahl>von Stunden konfiguriert haben, die in vorherigen Schritten auf 8 festgelegt sind, überprüfen Sie nach acht Stunden den blockierten Zugriff auf Hacking-Websites.

Zugehöriger Inhalt