Freigeben über

Bedingter Zugriff: Netzwerkzuweisung

Admins können Richtlinien erstellen, die bestimmte Netzwerkstandorte als Signal zusammen mit anderen Bedingungen in ihrem Entscheidungsprozess ansprechen. Sie können diese Netzwerkstandorte als Teil ihrer Richtlinienkonfiguration einschließen oder ausschließen. Zu diesen Netzwerkspeicherorten können öffentliche IPv4- oder IPv6-Netzwerkinformationen, Länder/Regionen, unbekannte Bereiche gehören, die nicht bestimmten Ländern/Regionen zugeordnet sind, oder das kompatible Netzwerk des globalen sicheren Zugriffs.

Diagramm, das das Konzept von Signalen für bedingten Zugriff und die Entscheidung zur Durchsetzung der Organisationsrichtlinie zeigt.

Hinweis

Richtlinien für bedingten Zugriff werden erzwungen, nachdem die erststufige Authentifizierung abgeschlossen wurde. Bedingter Zugriff ist nicht für die Frontline der Verteidigung einer Organisation für Szenarien wie Denial-of-Service -Angriffe (DoS) vorgesehen, kann jedoch Signale von diesen Ereignissen verwenden, um den Zugriff zu bestimmen.

Organisationen können diese Speicherorte für allgemeine Aufgaben verwenden, z. B.:

  • Das Vorschreiben von mehrstufiger Authentifizierung für Benutzer beim Zugriff auf einen Dienst, wenn sie sich außerhalb des Unternehmensnetzwerks befinden.
  • Blockieren des Zugriffs aus bestimmten Ländern, in denen Ihre Organisation nicht tätig ist.

Der Standort einer Person wird anhand ihrer öffentlichen IP-Adresse oder der GPS-Koordinaten ermittelt, die von der Microsoft Authenticator-App bereitgestellt werden. Die Richtlinien für den bedingten Zugriff gelten standardmäßig für alle Standorte.

Tipp

Die Standortbedingung wurde verschoben und in Netzwerk umbenannt. Zunächst wird diese Bedingung sowohl auf der Ebene " Zuordnung" als auch unter "Bedingungen" angezeigt.

Aktualisierungen oder Änderungen werden an beiden Speicherorten angezeigt. Die Funktionalität bleibt unverändert, und vorhandene Richtlinien, die "Standort " verwenden, funktionieren weiterhin ohne Änderungen.

Screenshot der Netzwerkzuweisungsbedingung in einer Richtlinie für bedingten Zugriff.

Bei der Konfiguration in der Richtlinie

Beim Konfigurieren der Standortbedingung können Sie zwischen folgenden Elementen unterscheiden:

  • Beliebiges Netzwerk oder beliebiger Standort
  • Alle vertrauenswürdigen Netzwerke und Speicherorte
  • Alle kompatiblen Netzwerkadressen
  • Ausgewählte Netzwerke und Standorte

Beliebiges Netzwerk oder beliebiger Standort

Wenn Sie "Beliebiger Speicherort " auswählen, wird eine Richtlinie auf alle IP-Adressen angewendet, einschließlich aller Adressen im Internet. Diese Einstellung ist nicht auf IP-Adressen beschränkt, die von Ihnen als benannter Standort konfiguriert wurden. Wenn Sie "Beliebiger Speicherort" auswählen, können Sie bestimmte Speicherorte aus einer Richtlinie ausschließen. Wenden Sie beispielsweise eine Richtlinie auf alle Speicherorte mit Ausnahme vertrauenswürdiger Speicherorte an, um den Bereich auf alle Speicherorte außer dem Unternehmensnetzwerk festzulegen.

Alle vertrauenswürdigen Netzwerke und Speicherorte

Diese Option gilt für:

  • Alle als vertrauenswürdig markierten Standorte
  • Vertrauenswürdige IP-Adressen für die Multi-Faktor-Authentifizierung, falls diese konfiguriert sind.

Vertrauenswürdige IP-Adressen für Multi-Faktor-Authentifizierung

Die Verwendung des Abschnitts "vertrauenswürdige IPs" der Diensteinstellungen der mehrstufigen Authentifizierung wird nicht empfohlen. Dieses Steuerelement akzeptiert nur IPv4-Adressen und ist für bestimmte Szenarien vorgesehen, die im Artikel "Konfigurieren der mehrstufigen Authentifizierungseinstellungen von Microsoft Entra" behandelt werden.

Wenn Sie diese vertrauenswürdigen IPs konfiguriert haben, werden diese als MFA-vertrauenswürdige IPs in der Liste der Standorte für die Ortsbedingung angezeigt.

Alle kompatiblen Netzwerkadressen

Organisationen mit Zugriff auf die Funktionen des globalen sicheren Zugriffs sehen eine andere Ortseintragung, die aus Benutzern und Geräten besteht, die den Sicherheitsrichtlinien Ihrer Organisation entsprechen. Weitere Informationen finden Sie unter Aktivieren des Global Secure Access-Signalings für bedingten Zugriff. Sie kann bei Richtlinien für bedingten Zugriff verwendet werden, um eine konforme Netzwerküberprüfung für den Zugriff auf Ressourcen durchzuführen.

Ausgewählte Netzwerke und Standorte

Wählen Sie mit dieser Option einen oder mehrere benannte Speicherorte aus. Damit eine Richtlinie mit dieser Einstellung angewendet werden kann, muss ein Benutzer eine Verbindung von einem der ausgewählten Standorte aus herstellen. Wenn Sie "Auswählen" auswählen, wird eine Liste der definierten Speicherorte geöffnet. Diese Liste enthält den Namen, den Typ und die Angabe, ob der Netzwerkspeicherort als vertrauenswürdig gekennzeichnet ist.

Wie werden diese Adressen definiert?

Standorte existieren im Microsoft Entra Admin Center unter Entra ID>Conditional Access>benannte Standorte. Administratoren mit mindestens der Rolle " Administrator für bedingten Zugriff " können benannte Speicherorte erstellen und aktualisieren.

Screenshot von benannten Standorten im Microsoft Entra Admin Center.

Benannte Standorte können die Netzwerkbereiche einer Organisation, VPN-Netzwerkbereiche oder Bereiche umfassen, die Sie blockieren möchten. Benannte Standorte enthalten IPv4-Adressbereiche, IPv6-Adressbereiche oder Länder.

IPv4- und IPv6-Adressbereiche

Um einen benannten Speicherort durch öffentliche IPv4- oder IPv6-Adressbereiche zu definieren, geben Sie Folgendes an:

  • Ein Name für den Speicherort.
  • Mindestens einen öffentlichen IP-Bereich.
  • Optional als vertrauenswürdiger Speicherort markieren.

Benannte Speicherorte, die durch IPv4- oder IPv6-Adressbereiche definiert sind, weisen folgende Einschränkungen auf:

  • Nicht mehr als 195 benannte Standorte.
  • Nicht mehr als 2000 IP-Bereiche pro benanntem Standort.
  • Beim Konfigurieren eines IP-Adressbereichs sind nur CIDR-Masken größer als /8 zulässig.

Bei Geräten in einem privaten Netzwerk ist diese IP-Adresse nicht die Client-IP des Geräts des Benutzerkontos im Intranet (wie 10.55.99.3), sondern die vom Netzwerk für das Herstellen der Verbindung mit dem öffentlichen Internet verwendete Adresse (wie 198.51.100.3).

Vertrauenswürdige Standorte

Administratoren können optional IP-basierte Speicherorte wie die öffentlichen Netzwerkbereiche Ihrer Organisation als vertrauenswürdig markieren. Diese Markierung wird von Features auf verschiedene Arten verwendet.

  • Richtlinien für bedingten Zugriff können diese Standorte einschließen oder ausschließen.
  • Anmeldungen von vertrauenswürdigen benannten Standorten verbessern die Genauigkeit der Risikoberechnung von Microsoft Entra ID Protection.

Als vertrauenswürdig markierte Standorte können nicht gelöscht werden bevor die Bezeichnug „vertrauenswürdig“ entfernt wird.

Länder

Organisationen können ein geografisches Land oder einen Geografischen Standort anhand der IP-Adresse oder GPS-Koordinaten ermitteln.

Gehen Sie wie folgt vor, um einen benannten Standort nach Land oder Region zu definieren:

  • Geben Sie einen Namen für den Speicherort an.
  • Auswählen, ob der Standort anhand der IP-Adresse oder GPS-Koordinaten bestimmt werden soll
  • Fügen Sie mindestens ein Land oder mindestens eine Region hinzu.
  • Wählen Sie optional die Option " Unbekannte Länder/Regionen einschließen" aus.

Screenshot des Erstellens eines neuen Standorts mithilfe von Ländern.

Wenn Sie "Standort nach IP-Adresse ermitteln" auswählen, löst Die Microsoft Entra-ID die IPv4- oder IPv6-Adresse des Benutzers basierend auf einer regelmäßig aktualisierten Zuordnungstabelle in ein Land oder eine Region auf.

Wenn Sie "Standort anhand von GPS-Koordinaten ermitteln" auswählen, müssen Benutzer die Microsoft Authenticator-App auf ihrem mobilen Gerät installiert haben. Die Microsoft Authenticator-App der Benutzerin bzw. des Benutzers wird vom System stündlich kontaktiert, um den GPS-Standort des mobilen Geräts zu erfassen.

  • Wenn die Benutzerin oder der Benutzer den Standort zum ersten Mal über die Microsoft Authenticator-App übermitteln muss, erscheint eine Benachrichtigung in der App. Die Benutzerin bzw. der Benutzer muss die App öffnen und Standortberechtigungen erteilen. Wenn der Benutzer in den nächsten 24 Stunden immer noch auf die Ressource zugreift und der App die Berechtigung erteilt hat, im Hintergrund ausgeführt zu werden, wird der Standort des Geräts einmal pro Stunde automatisch übermittelt.
  • Nach 24 Stunden muss der Benutzer die App öffnen und die Benachrichtigung genehmigen.
  • Jedes Mal, wenn die Benutzerin oder der Benutzer einen GPS-Standort übermittelt, führt die App die Jailbreakerkennung mit der gleichen Logik wie das Microsoft Intune MAM SDK durch. Wenn das Gerät einen Jailbreak aufweist, wird der Standort nicht als gültig betrachtet, und dem Benutzer wird kein Zugriff gewährt.
    • Die Microsoft Authenticator-App für Android verwendet die Google Play Integrity API, um Jailbreaks zu erkennen. Wenn die Google Play Integrity API nicht verfügbar ist, wird die Anforderung abgelehnt, und der Benutzer kann nicht auf die angeforderte Ressource zugreifen, es sei denn, die Richtlinie für bedingten Zugriff ist deaktiviert. Weitere Informationen zur Microsoft Authenticator-App finden Sie im Artikel Allgemeine Fragen zur Microsoft Authenticator-App.
  • Benutzer können den GPS-Standort ändern, wie von iOS- und Android-Geräten gemeldet. Infolgedessen verweigert die Microsoft Authenticator-App Authentifizierungen, bei denen die Benutzerin bzw. der Benutzer möglicherweise einen anderen Ort als die tatsächliche GPS-Position des mobilen Geräts verwendet, auf dem die App installiert ist. Benutzerinnen und Benutzer, die den Standort ihres Geräts ändern, erhalten eine Ablehnungsmeldung für standortbasierte GPS-Richtlinien.
  • Der zurückgegebene Ländercode hängt von der Geräteplattform-API ab: Beispielsweise kann eine Plattform US für Puerto Rico melden, während eine andere PR meldet.

Hinweis

Eine Richtlinie für bedingten Zugriff mit GPS-basierten benannten Standorten im Modus „Nur melden“ fordert Benutzer auf, ihren GPS-Standort zu übermitteln, auch wenn sie nicht von der Anmeldung blockiert sind.

GPS-Standort kann nur mit kennwortloser Telefonanmeldung verwendet werden, wenn auch MFA-Pushbenachrichtigungen aktiviert sind. Benutzer können sich mit Microsoft Authenticator anmelden, müssen aber auch nachfolgende MFA-Pushbenachrichtigungen genehmigen, um ihren GPS-Standort freizugeben.

Die GPS-Position funktioniert nicht, wenn nur kennwortlose Authentifizierungsmethoden festgelegt sind.

Benutzer*innen werden möglicherweise von mehreren Richtlinien für bedingten Zugriff zur Mitteilung des GPS-Standorts aufgefordert, bevor alle Richtlinien angewendet werden. Aufgrund der Art der Anwendung von Richtlinien für bedingten Zugriff kann einem bzw. einer Benutzer*in der Zugriff verweigert werden, wenn die Standortprüfung bestanden, eine andere Richtlinie aber nicht bestanden wird. Weitere Informationen zur Richtlinienerzwingung finden Sie im Artikel Erstellen einer Richtlinie für bedingten Zugriff.

Wichtig

Benutzer erhalten möglicherweise jede Stunde Aufforderungen, die sie darüber informieren, dass die Microsoft Entra-ID ihren Standort in der Authenticator-App überprüft. Dieses Feature sollte nur verwendet werden, um sehr vertrauliche Apps zu schützen, bei denen dieses Verhalten akzeptabel ist oder der Zugriff auf ein bestimmtes Land oder eine bestimmte Region beschränkt werden muss.

Unbekannte Länder/Regionen einbeziehen

Einige IP-Adressen können keinem bestimmten Land oder einer bestimmten Region zugeordnet werden. Um diese IP-Standorte zu erfassen, aktivieren Sie das Kontrollkästchen "Unbekannte Länder/Regionen einschließen " beim Definieren eines geografischen Standorts. Mithilfe dieser Option können Sie auswählen, ob der benannte Standort diese IP-Adressen umfassen soll. Verwenden Sie diese Einstellung, wenn die Richtlinie für den benannten Standort auch für unbekannte Standorte gelten soll.

Häufig gestellte Fragen

Gibt es Graph-API-Unterstützung?

Die Graph-API-Unterstützung für benannte Speicherorte ist verfügbar. Weitere Informationen finden Sie in der namedLocation-API.

Was geschieht, wenn ich einen Cloudproxy oder ein VPN verwende?

Wenn Sie einen in der Cloud gehosteten Proxy oder eine VPN-Lösung verwenden, ist die von Microsoft Entra ID bei der Auswertung einer Richtlinie verwendete IP-Adresse die IP-Adresse des Proxys. Der X-Forwarded-For-Header (XFF), der die öffentliche IP-Adresse des Benutzers enthält, wird nicht verwendet, weil nicht validiert wird, ob er von einer vertrauenswürdigen Quelle stammt. Dieser Mangel an Überprüfung könnte das Fälschen einer IP-Adresse ermöglichen.

Wenn ein Cloudproxy eingerichtet ist, kann eine Richtlinie, die ein mit Microsoft Entra verbundenes oder kompatibles Gerät erfordert, einfacher verwaltet werden. Die Beibehaltung einer up-to-Datumsliste von IP-Adressen, die von Ihrem in der Cloud gehosteten Proxy oder VPN-Lösung verwendet werden, ist nahezu unmöglich.

Wir empfehlen Organisationen, globalen sicheren Zugriff zu nutzen, um die Quell-IP-Wiederherstellung zu aktivieren, um diese Änderung der Adressänderung zu vermeiden und die Verwaltung zu vereinfachen.

Wann wird ein Standort ausgewertet?

Bedingte Zugriffrichtlinien werden ausgewertet, wenn:

  • Ein Benutzer meldet sich zum ersten Mal an einer Web-App, mobilen Anwendung oder Desktopanwendung an.
  • Für eine mobile Anwendung oder Desktopanwendung, für die die moderne Authentifizierung verwendet wird, wird ein Aktualisierungstoken zum Beschaffen eines neuen Zugriffstokens genutzt. Diese Überprüfung erfolgt standardmäßig einmal pro Stunde.

Für mobile Anwendungen und Desktopanwendungen mit moderner Authentifizierung bedeutet diese Überprüfung, dass eine Änderung des Netzwerkstandorts innerhalb von einer Stunde erkannt wird. Wenn für mobile Anwendungen und Desktopanwendungen keine moderne Authentifizierung genutzt wird, wird die Richtlinie bei jeder Tokenanforderung angewendet. Die Häufigkeit der Anforderung kann basierend auf der Anwendung variieren. Ebenso wird die Richtlinie für Webanwendungen bei der ersten Anmeldung angewendet und gilt für die Lebensdauer der Webanwendungssitzung. Aufgrund der unterschiedlichen Sitzungslebensdauern von Anwendungen variiert der Zeitraum zwischen den Richtlinienauswertungen. Die Richtlinie wird jedes Mal angewendet, wenn die Anwendung ein neues Anmeldetoken anfordert.

Standardmäßig stellt Microsoft Entra ID stündlich ein Token aus. Nachdem Benutzer das Unternehmensnetzwerk verlassen haben, wird die Richtlinie für Anwendungen mit moderner Authentifizierung innerhalb einer Stunde erzwungen.

Wann sollten Sie Standorte blockieren?

Eine Richtlinie, die die Standortbedingung verwendet, um den Zugriff zu blockieren, gilt als restriktiv und sollte nach gründlichen Tests mit Sorgfalt durchgeführt werden. Beispiele für die Verwendung der Standortbedingung zum Blockieren der Authentifizierung:

  • Blockieren von Ländern/Regionen, in denen Ihr Unternehmen nie tätigt ist.
  • Blockieren bestimmter IP-Bereiche, z. B.:
    • Bekannte schädliche IP-Adressen, bevor eine Firewallrichtlinie geändert werden kann.
    • Hochsensible oder privilegierte Aktionen und Cloudanwendungen.
    • Basierend auf dem benutzerspezifischen IP-Bereich wie dem Zugriff auf Buchhaltungs- oder Gehaltsabrechnungsanwendungen.

Zugehöriger Inhalt