Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Risikobasierte Zugriffssteuerungsrichtlinien können angewendet werden, um Organisationen zu schützen, wenn ein Risiko bei einer Anmeldung oder einem Benutzer erkannt wird.
Microsoft Entra Conditional Access bietet zwei benutzerspezifische Risikobedingungen, die von Microsoft Entra ID Protection-Signalen unterstützt werden: Anmelderisiko und Benutzerrisiko. Organisationen können diese beiden Risikobedingungen konfigurieren und eine Zugriffssteuerungsmethode auswählen, um risikobasierte Richtlinien für bedingten Zugriff zu erstellen. Bei jeder Anmeldung sendet ID Protection die erkannten Risikostufen an den bedingten Zugriff. Wenn die Richtlinienbedingungen erfüllt sind, werden die risikobasierten Richtlinien angewendet.
Möglicherweise ist eine mehrstufige Authentifizierung erforderlich, wenn das Anmelderisikoniveau mittel- oder hoch ist. Benutzer werden nur auf dieser Ebene aufgefordert.
Im vorherigen Beispiel wird auch ein Hauptvorteil einer risikobasierten Richtlinie veranschaulicht: die automatische Risikobehebung. Wenn ein Benutzer die erforderliche Zugriffssteuerung erfolgreich abgeschlossen hat (z. B. sichere Kennwortänderung), ist damit sein Risiko behoben. Diese Anmeldesitzung und das Benutzerkonto sind nicht mehr gefährdet, und es wird keine Aktion vom Administrator benötigt.
Benutzer können mit diesem Prozess selbst Abhilfe schaffen, was die Risikountersuchung und Behebung von Problemen für Administratoren erheblich verringert, während Ihre Organisation vor Sicherheitskompromittierungen geschützt wird. Weitere Informationen zur Risikobehebung finden Sie im Artikel, Behandeln von Risiken und Aufheben der Blockierung von Benutzern.
Richtlinie für bedingten Zugriff basierend auf Benutzerrisiko
ID Protection analysiert Signale zu Benutzerkonten und berechnet anhand der Wahrscheinlichkeit, dass der Benutzer kompromittiert ist, eine Risikobewertung. Wenn ein Benutzer riskantes Benutzeranmeldungsverhalten hat oder seine Anmeldeinformationen verloren gegangen sind, verwendet ID Protection diese Signale, um die Risikostufe des Benutzers zu berechnen. Administratoren können risikobasierte Richtlinien für bedingten Zugriff konfigurieren, um Zugriffssteuerungen basierend auf Benutzerrisiken zu erzwingen, einschließlich anforderungen wie:
- Risikobehebung erforderlich (Vorschau): ID Protection verwaltet den entsprechenden Wartungsfluss für alle Authentifizierungsmethoden.
- Kennwortänderung erforderlich: DER ID-Schutz blockiert den Zugriff, bis der Benutzer eine sichere Kennwortänderung abgeschlossen hat.
- Zugriff blockieren: DER ID-Schutz blockiert den Benutzer, bis das Risiko behoben ist.
Richtlinien, die entweder #1 oder #2 erfordern, erzwingen Endbenutzern, ihr Benutzerrisiko zu beheben und die Blockierung selbst aufzuheben.
Risikobehebung mit von Microsoft verwalteter Korrektur erforderlich (Vorschau)
Mit der von Microsoft verwalteten Richtlinie für den risikobasierten bedingten Zugriff können Sie eine Risikorichtlinie erstellen, die alle Authentifizierungsmethoden, einschließlich kennwortbasierter und kennwortfreier Authentifizierungsmethoden, umfasst. Dies bedeutet, dass Microsoft Entra ID Protection den entsprechenden Behebungsflow basierend auf der beobachteten Bedrohung und der Authentifizierungsmethode des Benutzers verwaltet, wenn Sie "Risikobehebung erforderlich" in der Gewährungssteuerung Ihrer Richtlinie auswählen. Ausführliche Schritte zum Aktivieren der von Microsoft verwalteten Wartung finden Sie unter Konfigurieren von Risikorichtlinien.
- Kennwortauthentifizierung: Ein riskanter Benutzer verfügt über eine aktive Risikoerkennung, z. B. eine verloren gegangene Anmeldeinformationen, ein Kennwortsprühen oder einen Sitzungsverlauf, der ein kompromittiertes Kennwort umfasst. Der Benutzer wird aufgefordert, eine sichere Kennwortänderung durchzuführen. Sobald diese abgeschlossen ist, werden deren vorherige Sitzungen widerrufen.
- Kennwortlose Authentifizierung: Riskanter Benutzer verfügt über eine aktive Risikoerkennung, umfasst jedoch kein kompromittiertes Kennwort. Mögliche Risikoerkennungen umfassen anomale Token, unmögliche Reisemuster oder unbekannte Anmeldeeigenschaften. Die Sitzungen des Benutzers werden widerrufen, und der Benutzer wird aufgefordert, sich erneut anzumelden.
Besondere Überlegungen
- Microsoft Entra ID P2 ist erforderlich, um die von Microsoft verwaltete Wartungsrichtlinie zu verwenden.
- Die Einstellung "Risikobehebung erforderlich " korrigiert das Benutzerrisiko und nicht das Anmelderisiko.
- Wenn ein Benutzer sowohl einer Richtlinie mit "Risikobehebung erforderlich " als auch einer anderen Richtlinie mit " Kennwortänderung erforderlich " oder " Blockieren" zugewiesen ist, tritt ein Konflikt auf, wodurch der Benutzer durch alle Richtlinien erzwungen oder blockiert wird. Stellen Sie sicher, dass jeder Benutzer jeweils nur einer solchen Richtlinie zugewiesen ist.
-
Authentifizierungsstärke erforderlich und Anmeldehäufigkeit – Jedes Mal werden aus zwei Gründen automatisch auf die Richtlinie angewendet:
- Benutzer müssen aufgefordert werden, sich erneut zu authentifizieren, nachdem ihre Sitzungen widerrufen wurden.
- Durch das Erfordern der Authentifizierungsstärke wird sichergestellt, dass kennwortbasierte und kennwortlose Benutzer von der Richtlinie abgedeckt werden.
- Risikobehaftete Workload-ID wird nicht unterstützt.
- Externe und Gastbenutzer müssen sich weiterhin durch sichere Kennwortzurücksetzung selbst korrigieren, da die Microsoft Entra-ID die Sitzungssperrung für externe und Gastbenutzer nicht unterstützt.
- Die Kontrollfunktion "Risikobehebung erforderlich" steht jetzt in Azure für die US-Regierung zur Verfügung.
Risikobasierte Richtlinie für bedingten Zugriff – Anmelderisiko
Bei jeder Anmeldung analysiert ID Protection Hunderte von Signalen in Echtzeit und berechnet eine Anmelderisikostufe, die der Wahrscheinlichkeit entspricht, dass die jeweilige Authentifizierungsanforderung nicht autorisiert ist. Diese Risikostufe wird dann an den bedingten Zugriff gesendet, wo die konfigurierten Richtlinien der Organisation ausgewertet werden. Administratoren können anhand des Anmelderisikos risikobasierte Richtlinien für bedingten Zugriff konfigurieren und Zugriffssteuerungen erzwingen, zu denen auch folgende Anforderungen zählen:
- Zugriff blockieren
- Zugriff zulassen
- Erzwingen der mehrstufigen Authentifizierung
- Erneute Authentifizierung erforderlich (Anmeldehäufigkeit)
Wenn bei einer Anmeldung Risiken erkannt werden, können Benutzer die erforderliche Zugriffssteuerung wie die Mehrfaktor-Authentifizierung durchführen, um das riskante Anmeldeereignis selbst zu korrigieren und dadurch unnötige Meldungen für Administratoren zu vermeiden.
Hinweis
Benutzer müssen eine Authentifizierungsmethode registriert haben, die die mehrstufige Microsoft Entra-Authentifizierung erfüllen kann, bevor eine Anmelderisikorichtlinie ausgelöst wird.
Migrieren von ID Protection-Risikorichtlinien zu „Bedingter Zugriff“
Wenn Sie über die Legacy-Benutzerrisikorichtlinie oder Anmelderisikorichtlinie verfügen, die in ID Protection (früher Identitätsschutz) aktiviert ist, migrieren Sie sie zu bedingtem Zugriff.
Warnung
Die in Microsoft Entra ID Protection konfigurierten Legacy-Risikorichtlinien werden am 1. Oktober 2026 eingestellt.
Das Konfigurieren von Risikorichtlinien in „Bedingter Zugriff“ bietet folgende Vorteile, wie die Möglichkeit:
- Verwalten von Zugriffsrichtlinien an einem zentralen Ort
- Verwenden Sie den Nur-Berichtsmodus und Graph-APIs.
- Die Anmeldehäufigkeit zu erzwingen, damit jedes Mal eine erneute Authentifizierung erforderlich ist.
- Eine präzise Zugriffssteuerung zu bieten, die Risiken mit anderen Bedingungen wie dem Standort kombiniert.
- Erhöhen Sie die Sicherheit mit mehreren risikobasierten Richtlinien, die auf verschiedene Benutzergruppen oder Risikostufen abzielen.
- Die Diagnoseerfahrung verbessern, indem im Anmeldeprotokoll detailliert angegeben wird, welche risikobasierte Richtlinie angewendet wurde.
- Unterstützen Sie das Authentifizierungssystem für Backups.
Registrierungsrichtlinie für Multi-Faktor-Authentifizierung in Microsoft Entra
ID Protection hilft Organisationen beim Rollout der mehrstufigen Microsoft Entra-Authentifizierung mithilfe einer Richtlinie, die die Registrierung bei der Anmeldung erfordert. Durch aktivieren dieser Richtlinie wird sichergestellt, dass sich neue Benutzer in Ihrer Organisation am ersten Tag für MFA registrieren. Die mehrstufige Authentifizierung ist eine der Methoden zur Selbstbehebung für Risikoereignisse im Identitätsschutz. Eigenwartung ermöglicht Ihren Benutzern, selbst Maßnahmen zu ergreifen, um so das Helpdesk-Telefonaufkommen zu verringern.
Erfahren Sie mehr über die mehrstufige Microsoft Entra-Authentifizierung im Artikel, Wie es funktioniert: Microsoft Entra mehrstufige Authentifizierung.
Zugehöriger Inhalt
- Aktivieren Sie die Registrierungsrichtlinie für die Multifaktor-Authentifizierung von Microsoft Entra.
- Aktivieren von Anmelde- und Benutzerrisikorichtlinien