Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Moderne Sicherheit geht über die Grenzen des Netzwerks einer Organisation hinaus und umfasst auch die Identität von Benutzern und Geräten. Unternehmen verwenden jetzt im Rahmen ihrer Entscheidungen über die Zugriffskontrolle identitätsgesteuerte Signale. Mit dem bedingten Zugriff von Microsoft Entra werden zur Entscheidungsfindung und zum Durchsetzen von Organisationsrichtlinien Signale zusammengeführt. Bedingter Zugriff ist das Zero Trust-Richtlinienmodul von Microsoft, das Signale aus verschiedenen Quellen bei der Durchsetzung von Richtlinienentscheidungen berücksichtigt.
Richtlinien für bedingten Zugriff am einfachsten sind if-then-Anweisungen; wenn ein Benutzer auf eine Ressource zugreifen möchte, muss er eine Aktion ausführen. Beispiel: Wenn ein Benutzer oder eine Benutzerin auf eine Anwendung oder einen Dienst wie Microsoft 365 zugreifen möchte, muss er bzw. sie die Multi-Faktor-Authentifizierung durchführen, um Zugriff zu erhalten.
Administratoren haben zwei primäre Ziele:
- Schaffen von Bedingungen für Benutzer, unter denen sie an jedem Ort und zu jeder Zeit produktiv sein können
- Schützen der Ressourcen einer Organisation
Verwenden Sie Richtlinien für den bedingten Zugriff, um bei Bedarf die richtigen Zugriffskontrollen anzuwenden und die Sicherheit Ihres Unternehmens zu gewährleisten.
Wichtig
Richtlinien für den bedingten Zugriff werden durchgesetzt, wenn die First-Factor-Authentifizierung abgeschlossen ist. Der bedingte Zugriff nicht ist als erste Abwehrmaßnahme einer Organisation für Szenarien wie Denial-of-Service-Angriffe (DoS) gedacht, sondern kann Signale von diesen Ereignissen nutzen, um den Zugriff zu bestimmen.
Häufige Signale
Der bedingte Zugriff berücksichtigt Signale aus verschiedenen Quellen bei Zugriffsentscheidungen.
Zu diesen Signalen zählen:
- Benutzer oder Gruppenmitgliedschaft
- Richtlinien können auf bestimmte Benutzer und Gruppen ausgerichtet werden, sodass Administratoren eine differenzierte Kontrolle über den Zugriff haben.
- IP-Standortinformationen
- Organisationen können vertrauenswürdige IP-Adressbereiche erstellen, die beim Treffen von Richtlinienentscheidungen verwendet werden können.
- Administratoren können ganze Länder oder Regionen-IP-Bereiche angeben, um Datenverkehr zu blockieren oder zuzulassen.
- Sicherungsmedium
- Benutzer mit Geräten bestimmter Plattformen oder mit einer Kennzeichnung zu einem bestimmten Zustand können beim Erzwingen von Richtlinien für den bedingten Zugriff verwendet werden.
- Verwenden Sie Filter für Geräte, um Richtlinien auf bestimmte Geräte wie Arbeitsstationen mit privilegiertem Zugriff anzuwenden.
- Anwendung
- Benutzer, die versuchen, auf bestimmte Anwendungen zuzugreifen, können unterschiedliche Richtlinien für bedingten Zugriff auslösen.
- Erkennung in Echtzeit und kalkulierte Risiken
- Die Signalintegration mit Microsoft Entra ID Protection ermöglicht es Richtlinien für bedingten Zugriff, riskante Benutzer und Anmeldeverhalten zu identifizieren und zu beheben.
-
Microsoft Defender für Cloud-Apps
- Ermöglicht die Überwachung und Steuerung von Benutzeranwendungszugriffen und Sitzungen in Echtzeit. Durch diese Integration erhöht sich die Sichtbarkeit und Kontrolle des Zugriffs auf Ihre Cloudumgebung und die Aktivitäten in dieser Umgebung.
Häufige Entscheidungen
- Zugriff blockieren
- Stark restriktive Entscheidung
- Gewähren von Zugriff
- Weniger restriktive Entscheidung, die eine oder mehrere der folgenden Optionen erfordern kann:
- Erzwingen der mehrstufigen Authentifizierung
- Authentifizierungsstärke erforderlich
- Markieren des Geräts als kompatibel erforderlich
- Microsoft Entra hybrid eingebundenen Gerät erforderlich
- Genehmigte Client-App erforderlich
- App-Schutzrichtlinie erforderlich
- Kennwortänderung anfordern
- Vorschreiben der Verwendung von Nutzungsbedingungen
Häufig verwendete Richtlinien
Viele Organisationen haben allgemeine Zugriffsbedenken, bei denen Richtlinien für bedingten Zugriff hilfreich sein können, z. B.:
- Erzwingen der Multi-Faktor-Authentifizierung für Benutzer mit Administratorrollen
- Erzwingen der Multi-Faktor-Authentifizierung für Azure-Verwaltungsaufgaben
- Blockieren von Anmeldungen für Benutzer, die ältere Authentifizierungsprotokolle verwenden
- Anfordern vertrauenswürdiger Speicherorte für die Registrierung von Sicherheitsinformationen
- Blockieren oder Gewähren von Zugriff von bestimmten Standorten aus
- Blockieren riskanter Anmeldeverhalten
- Erzwingen von durch die Organisation verwaltete Geräte für bestimmte Anwendungen
Administratoren können Richtlinien ganz neu erstellen oder mit einer Vorlagenrichtlinie im Portal beginnen oder die Microsoft Graph-API verwenden.
Administratorfunktionalität
Administratoren mit der Rolle " Administrator für bedingten Zugriff " können Richtlinien verwalten.
Bedingter Zugriff befindet sich im Microsoft Entra Admin Center unter entra ID>Conditional Access.
- Auf der Seite "Übersicht " finden Sie eine Zusammenfassung des Richtlinienstatus, der Benutzer, Geräte und Anwendungen sowie allgemeine und Sicherheitswarnungen mit Vorschlägen.
- Die Seite "Abdeckung " bietet eine Übersicht über Anwendungen mit und ohne Richtlinienabdeckung für bedingten Zugriff in den letzten sieben Tagen.
- Auf der Seite "Überwachung " können Administratoren ein Diagramm mit Anmeldedaten anzeigen, die gefiltert werden können, um potenzielle Lücken in der Richtlinienabdeckung anzuzeigen.
Richtlinien für bedingten Zugriff auf der Seite "Richtlinien " können von Administratoren basierend auf Elementen wie dem Akteur, der Zielressource, der Bedingung, dem angewendeten Steuerelement, dem Status oder dem Datum gefiltert werden. Mit dieser Filterfunktion können Administratoren bestimmte Richtlinien basierend auf ihrer Konfiguration schnell finden.
Agent zur Optimierung des bedingten Zugriffs
Der Optimierungs-Agent für bedingten Zugriff (Vorschau) mit Microsoft Security Copilot empfiehlt neue Richtlinien und Änderungen an vorhandenen Richtlinien basierend auf Zero Trust-Prinzipien und bewährten Microsoft-Methoden. Mit einem Klick können Sie den Vorschlag anwenden, um eine Richtlinie für bedingten Zugriff automatisch zu aktualisieren oder zu erstellen. Der Agent erfordert mindestens die Microsoft Entra ID P1-Lizenz- und Sicherheitsberechnungseinheiten (SCU).
Lizenzanforderungen
Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zum Ermitteln der richtigen Lizenz für Ihre Anforderungen finden Sie unter Vergleichen allgemein verfügbarer Features von Microsoft Entra ID.
Kunden mit Microsoft 365 Business Premium-Lizenzen haben auch Zugriff auf Features für bedingten Zugriff.
Risikobasierte Richtlinien erfordern Zugriff auf Microsoft Entra ID Protection, für den P2-Lizenzen erforderlich sind.
Andere Produkte und Funktionen, die unter Umständen mit Richtlinien für bedingten Zugriff interagieren, erfordern eine entsprechende Lizenzierung für die betreffenden Produkte und Funktionen.
Wenn die für den bedingten Zugriff erforderlichen Lizenzen ablaufen, werden Richtlinien nicht automatisch deaktiviert oder gelöscht. Auf diese Weise können Kunden von Richtlinien für bedingten Zugriff weg migrieren, ohne dass sich plötzlich der Sicherheitsstatus ändert. Die übrigen Richtlinien können angezeigt und gelöscht, aber nicht mehr aktualisiert werden.
Sicherheitsstandardwerte helfen beim Schutz vor identitätsbezogenen Angriffen und sind für alle Kunden verfügbar.
Zero-Trust
Dieses Feature hilft Organisationen, ihre Identitäten mit den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Von einer Sicherheitsverletzung ausgehen
Weitere Informationen zu Zero Trust und anderen Methoden zum Ausrichten Ihrer Organisation an die Leitprinzipien finden Sie im Zero Trust Guidance Center.