Freigeben über

Legacy-Authentifizierung mit bedingtem Zugriff blockieren

Microsoft empfiehlt, dass Organisationen Authentifizierungsanforderungen mit Legacyprotokollen, die die Multi-Faktor-Authentifizierung nicht unterstützen, blockieren. Laut Microsofts Analyse verwenden mehr als 97 Prozent der Angriffe zum Ausfüllen von Kennwörtern (Credential Stuffing) veraltete Authentifizierungsprotokolle und mehr als 99 Prozent der Angriffe mit Kennwort-Spray veraltete Authentifizierungsprotokolle. Diese Angriffe würden aufhören, wenn die Basisauthentifizierung deaktiviert oder blockiert wäre.

Kunden ohne Lizenzen, die bedingten Zugriff enthalten, können Sicherheitsstandardwerte verwenden, um die Legacyauthentifizierung zu blockieren.

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:

  • Notfallzugriff oder Notfallkonten, um die Sperrung aufgrund von Richtlinienfehlern zu verhindern. In dem unwahrscheinlichen Fall, dass alle Administratoren ausgesperrt sind, können Sie sich mit Ihrem Administratorkonto für den Notfallzugriff anmelden und Maßnahmen ergreifen, um den Zugriff wiederherzustellen.
  • Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
    • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie sie durch verwaltete Identitäten ersetzen.

Vorlagenbereitstellung

Organisationen können diese Richtlinie mithilfe der unten beschriebenen Schritte oder mithilfe der Vorlagen für bedingten Zugriff bereitstellen.

Erstellen Sie eine Richtlinie für bedingten Zugriff

Durch Ausführen der folgenden Schritte können Sie eine Richtlinie für bedingten Zugriff erstellen, um Legacyauthentifizierungsanforderungen zu blockieren. Diese Richtlinie wird zunächst in den Berichtsmodus versetzt, damit Administratoren die Auswirkungen auf vorhandene Benutzer ermitteln können. Wenn Administratoren sicher sind, dass die Richtlinie wie beabsichtigt gilt, können sie zu "Ein" wechseln oder die Bereitstellung schrittweise durchführen, indem sie bestimmte Gruppen hinzufügen und andere ausschließen.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
  3. Wählen Sie "Neue Richtlinie" aus.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter AufgabenBenutzer oder Workload-Identitäten aus.
    1. Wählen Sie unter "Einschließen" "Alle Benutzer" aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen aus und wählen Sie alle Konten aus, die die ältere Authentifizierung beibehalten müssen. Microsoft empfiehlt, dass Sie mindestens ein Konto ausschließen, um zu verhindern, dass Sie aufgrund von Fehlkonfigurationen gesperrt werden.
  6. Wählen Sie unter Zielressourcen>Ressourcen (ehemals Cloud-Apps)>Einschließen die Option Alle Ressourcen (ehemals 'Alle Cloud-Apps') aus.
  7. Legen Sie unter Bedingungen>Client-Apps " Konfigurieren" auf "Ja" fest.
    1. Aktivieren Sie nur die Kontrollkästchen Exchange ActiveSync-Clients und andere Clients.
    2. Wählen Sie "Fertig" aus.
  8. Unter Access controls>Grant wählen Sie Block access aus.
    1. Wählen Sie "Auswählen" aus.
  9. Bestätigen Sie Ihre Einstellungen und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  10. Wählen Sie "Erstellen" aus, um Ihre Richtlinie zu aktivieren.

Nachdem Administratoren die Richtlinieneinstellungen mithilfe des Richtlinieneffekts oder Nur-Bericht-Modus ausgewertet haben, können sie den Schalter "Richtlinie aktivieren" von "Nur Bericht" auf "Ein" umstellen.

Hinweis

Richtlinien für den bedingten Zugriff werden durchgesetzt, wenn die First-Factor-Authentifizierung abgeschlossen ist. Bedingter Zugriff ist nicht als die erste Abwehrmaßnahme einer Organisation für Szenarien wie Denial-of-Service-Angriffe (DoS) gedacht, sondern kann Signale von diesen Ereignissen nutzen, um den Zugriff zu bestimmen.

Identifizieren der Verwendung der Legacy-Authentifizierung

Um zu bestimmen, ob Ihre Benutzer über Client-Apps verfügen, die die Legacyauthentifizierung verwenden, können Administratoren anhand der folgenden Schritte nach entsprechenden Anzeichen in den Anmeldeprotokollen suchen:

  1. Melden Sie sich mindestens als Berichtsleser beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra IDÜberwachung & GesundheitSign-In-Protokollen.
  3. Fügen Sie die Spalte Client-App hinzu, wenn sie nicht angezeigt wird, indem Sie auf Spalten>Client-App klicken.
  4. Wählen Sie Filter hinzufügen>Client-App> aus, wählen Sie alle älteren Authentifizierungsprotokolle aus, und wählen Sie Übernehmen aus.
  5. Führen Sie außerdem diese Schritte auf der Registerkarte " Benutzeranmeldungen ( nicht interaktiv) aus .

Die Filterung zeigt Ihnen Anmeldeversuche an, die mit älteren Authentifizierungsprotokollen unternommen wurden. Wenn Sie auf jeden einzelnen Anmeldeversuch klicken, erhalten Sie weitere Details. Das Feld "Client-App " auf der Registerkarte " Grundlegende Informationen " gibt an, welches Legacyauthentifizierungsprotokoll verwendet wurde. Diese Protokolle zeigen, welche Benutzer Clients verwenden, die auf die Legacyauthentifizierung zurückgreifen.

Um die Legacy-Authentifizierung in Ihrem Mandanten zu verwalten, verwenden Sie außerdem das Bericht für Anmeldungen mit Legacy-Authentifizierung.

Verwandte Inhalte