Aktivieren der konformen Netzwerküberprüfung mit bedingtem Zugriff

  • Artikel

Organisationen, die den bedingten Zugriff zusammen mit der Vorschauversion für Global Secure Access verwenden, können böswilligen Zugriff auf Microsoft-Apps, SaaS-Apps von Drittanbietern und private Branchen-Apps (LoB) mithilfe mehrerer Bedingungen verhindern, um einen umfassenden Schutz zu ermöglichen. Diese Bedingungen können Gerätekonformität, Speicherort und mehr umfassen, um Schutz vor Benutzeridentitäts- oder Token-Diebstahl zu bieten. Global Secure Access führt das Konzept eines konformen Netzwerks innerhalb des bedingten Zugriffs und der kontinuierlichen Zugriffsauswertung ein. Mit dieser konformen Netzwerkprüfung wird sichergestellt, dass Benutzer über ein verifiziertes Netzwerkkonnektivitätsmodell für ihren spezifischen Mandanten eine Verbindung herstellen und die von Administratoren erzwungenen Sicherheitsrichtlinien einhalten.

Mit dem Global Secure Access-Client, der auf Geräten oder im konfigurierten Remotenetzwerk installiert ist, können Administratoren Ressourcen hinter einem konformen Netzwerk mit erweiterten Kontrollen für bedingten Zugriff schützen. Dieses konforme Netzwerk erleichtert Administratoren die Pflege und Verwaltung, ohne eine Liste aller IP-Adressen eines Organisationsstandorts führen zu müssen. Administratoren müssen den Datenverkehr nicht über die VPN-Ausgangspunkte ihrer Organisation anheften, um die Sicherheit zu gewährleisten.

Die fortlaufende Zugriffsevaluierung (Continuous Access Evaluation, CAE) mit dem kompatiblen Netzwerkfeature wird derzeit für SharePoint Online unterstützt. Mit CAE können Sie die Verteidigung im Detail durch den Schutz des Tokendiebstahls erzwingen.

Diese konforme Netzwerkprüfung ist für jeden Mandanten spezifisch.

  • Mit dieser Überprüfung können Sie sicherstellen, dass andere Organisationen, welche die Global Secure Access-Dienste von Microsoft verwenden, nicht auf Ihre Ressourcen zugreifen können.
    • Beispiel: Contoso kann seine Dienste wie Exchange Online und SharePoint Online hinter der konformen Netzwerküberprüfung schützen, um sicherzustellen, dass nur Contoso-Benutzer auf diese Ressourcen zugreifen können.
    • Selbst wenn eine andere Organisation wie Fabrikam eine konforme Netzwerküberprüfung verwendet, besteht sie nicht die Überprüfung des konformen Netzwerks von Contoso.

Das konforme Netzwerk unterscheidet sich von IPv4-, IPv6- oder geografischen Standorten, die Sie in Microsoft Entra ID konfigurieren können. Es ist keine Wartung durch einen Administrator erforderlich.

Voraussetzungen

  • Administrator*innen, die mit Features des globalen sicheren Zugriffs (Vorschau) arbeiten, müssen je nach Aufgabe über eine oder mehrere der folgenden Rollenzuweisungen verfügen.
    • Die Rolle Global Secure Access-Administrator zum Verwalten der Global Secure Access-Vorschaufunktionen.
    • Die Rolle Administrator für bedingten Zugriff oder Sicherheitsadministrator ist erforderlich, um Richtlinien für bedingten Zugriff und benannte Speicherorte zu erstellen und damit zu interagieren.
  • Für die Vorschau ist eine Microsoft Entra ID P1-Lizenz erforderlich. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
  • Zur Verwendung des Microsoft 365-Profils für die Datenverkehrsweiterleitung wird eine Microsoft 365 E3-Lizenz empfohlen.

Bekannte Einschränkungen

  • Die Netzwerkprüfung mit fortlaufende Zugriffsevaluierung wird derzeit für SharePoint Online unterstützt.
  • Die fortlaufende Zugriffsauswertung wird derzeit für die Konformitätsprüfung des Netzwerks nicht unterstützt.
  • Die konforme Netzwerkspeicherortbedingung wird für Geräte, die nicht bei der Verwaltung mobiler Geräte (MDM) registriert sind, nicht unterstützt. Wenn Sie eine Richtlinie für bedingten Zugriff mithilfe der konformen Netzwerkspeicherortbedingung konfigurieren, können Benutzer mit Geräten, die noch nicht MDM-registriert sind, betroffen sein. Benutzer auf diesen Geräten können die Richtlinienüberprüfung für bedingten Zugriff nicht bestehen und blockiert werden.
    • Stellen Sie sicher, dass Sie die betroffenen Benutzer oder Geräte ausschließen, wenn Sie die konforme Netzwerkadressenbedingung verwenden.

Aktivieren der Signalisierung des globalen sicheren Zugriffs für bedingten Zugriff

Um die erforderliche Einstellung zum Zulassen der Netzwerkkonformitätsprüfung zu aktivieren, müssen Administratoren die folgenden Schritte ausführen.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
  2. Navigieren Sie zu Global Secure Access (Vorschau)>Globale Einstellungen>SitzungsverwaltungAdaptiver Zugriff.
  3. Stellen Sie die Umschaltfläche auf Global Secure Access-Signalisierung im bedingten Zugriff aktivieren.
  4. Browsen Sie zuSchutz>Bedingter Zugriff>Benannte Standorte.
    1. Stellen Sie sicher, dass Sie einen Speicherort namens Alle konformen Netzwerkadressen mit dem Speicherorttyp Netzwerkzugriff haben. Organisationen können diesen Speicherort optional als vertrauenswürdig markieren.

Screenshot der Umschaltfläche zur Aktivierung der Signalisierung im bedingten Zugriff

Achtung

Wenn Ihre Organisation über aktive Richtlinien für bedingten Zugriff verfügt, die auf konformen Netzwerküberprüfungen basieren, und Sie die Global Secure Access-Signalisierung im bedingten Zugriff deaktivieren, verhindern Sie möglicherweise unbeabsichtigt den Zugriff der Zielendbenutzer auf die Ressourcen. Wenn Sie dieses Feature deaktivieren müssen, löschen Sie zuerst alle entsprechenden Richtlinien für bedingten Zugriff.

Schützen Ihrer Ressourcen hinter dem kompatiblen Netzwerk

Die kompatible Richtlinie für bedingten Zugriff im Netzwerk kann verwendet werden, um Ihre Microsoft 365- und Drittanbieterressourcen zu schützen.

Im folgenden Code wird ein Beispiel hierfür dargestellt. Darüber hinaus können Sie den Schutz der Tokendiebstahlwiedergabe mithilfe von CAE für SharePoint Online erzwingen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Browsen Sie zu Schutz>Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie erstellen aus.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihrer Organisation aus.
  6. Wählen Sie unter Zielressourcen>Einschließen und die Option Apps auswählen aus.
    1. Wählen Sie Office 365 Exchange Online und/oder Office 365 SharePoint Online und/oder eine Ihrer SaaS-Apps von Drittanbietern aus.
    2. Die spezifische Office 365-Cloud-App in der App-Auswahl wird derzeit NICHT unterstützt. Wählen Sie daher diese Cloud-App nicht aus.
  7. Unter Bedingungen>Standort.
    1. Legen Sie Konfigurieren auf Ja fest.
    2. Wählen Sie unter Einschließen die Option Alle Standorte aus.
    3. Wählen Sie unter Ausschließen die Option Ausgewählte Speicherorte aus.
      1. Wählen Sie den Standort Alle konformen Netzwerkstandorte aus.
    4. Wählen Sie Auswählen aus.
  8. Unter Zugriffssteuerungen:
    1. Erteilen, Zugriff blockieren auswählen, und Auswählen auswählen.
  9. Bestätigen Sie die Einstellungen und legen Sie Richtlinie aktivieren auf Ein fest.
  10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Hinweis

Sie können Datenverkehrsprofile für den globalen sichern Zugriff zusammen mit einer Richtlinie für bedingten Zugriff verwenden. Dies erfordert ein konformes Netzwerk für Alle Cloud-Apps. Es ist kein Ausschluss erforderlich, wenn Sie eine Richtlinie mit dem Speicherort Alle konformen Netzwerkadressen und der Option Alle Cloud-Apps einrichten.

Datenverkehrsprofile werden intern von der Erzwingung des bedingten Zugriffs ausgeschlossen, wenn ein konformes Netzwerk erforderlich ist. Dieser Ausschluss ermöglicht es dem Client für globalen sicheren Zugriff, auf die erforderlichen Ressourcen zuzugreifen.

Das ausgeschlossene Datenverkehrsprofil wird in den Anmeldeprotokollen als das folgende Anwendungsdatenverkehrsprofil für ZTNA-Netzwerkzugriff angezeigt.

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:

  • Notfallzugriffs- oder Break-Glass-Konten, um eine mandantenweite Kontosperrung zu vermeiden. In dem unwahrscheinlichen Fall, dass alle Administrator*innen aus dem Mandanten ausgeschlossen sind, können Sie sich mit Ihrem Administratorkonto für den Notfallzugriff beim Mandanten anmelden und Maßnahmen ergreifen, um den Zugriff wiederherzustellen.
  • Dienstkonten und Dienstprinzipale, z. B. das Konto für die Microsoft Entra Connect-Synchronisierung. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Derartige Dienstkonten sollten ausgeschlossen werden, weil die MFA nicht programmgesteuert abgeschlossen werden kann. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
    • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie in Betracht ziehen, diese durch verwaltete Identitäten zu ersetzen. Als vorübergehende Problemumgehung können Sie diese spezifischen Konten aus der Basisrichtlinie ausschließen.

Testen Ihrer konformen Netzwerkrichtlinie

  1. Auf einem Endbenutzergerät, auf dem der Global Secure Access-Client installiert und ausgeführt wird, browsen Sie zu https://outlook.office.com/mail/ oder https://yourcompanyname.sharepoint.com/, und haben Sie Zugriff auf Ressourcen.
  2. Halten Sie den Global Secure Access-Client an, indem Sie in der Windows-Taskleiste mit der rechten Maustaste auf die Anwendung klicken und Pause auswählen.
  3. Navigieren Sie zu https://outlook.office.com/mail/ oder https://yourcompanyname.sharepoint.com/. Der Zugriff auf Ressourcen wird mit einer Fehlermeldung blockiert, die Folgendes sagt: Sie können im Moment nicht darauf zugreifen.

Screenshot der Fehlermeldung, die im Browser-Fenster erscheint: Sie können im Moment nicht darauf zugreifen.

Problembehandlung

Überprüfen Sie, ob der neue benannte Speicherort automatisch mit Microsoft Graph erstellt wurde.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Screenshot von den Ergebnissen der Abfrage in Graph Explorer

Nutzungsbedingungen

Ihre Verwendung der Vorschauumgebungen und Features von Microsoft Entra-Privatzugriff und Microsoft Entra-Internetzugriff unterliegt den Bestimmungen für Onlinedienste (Vorschau), unter denen Sie die Dienste erworben haben. Vorschauversionen unterliegen möglicherweise eingeschränkten oder abweichenden Sicherheits-, Compliance- und Datenschutzverpflichtungen, wie in Allgemeine Lizenzbedingungen für Onlinedienste und im Nachtrag zum Datenschutz in Verbindung mit Produkten und Diensten von Microsoft sowie allen anderen mit der Vorschau bereitgestellten Hinweisen näher erläutert.

Nächste Schritte

Der Global Secure Access-Client für Windows (Vorschau)