Freigeben über

Tutorial: Anfordern der schrittweisen Authentifizierung (Authentifizierungskontext) bei riskanten Aktionen

  • Artikel

Als IT-Administrator stecken Sie heute zwischen einem steinigen und harten Ort. Sie möchten, dass Ihre Mitarbeiter produktiv sein können. Dies bedeutet, dass Sie Ihren Mitarbeitern den Zugriff auf Apps ermöglichen, damit Sie jederzeit und auf jedem Gerät arbeiten können. Dennoch möchten Sie die Ressourcen des Unternehmens schützen, einschließlich urheberrechtlich geschützter und vertraulicher Daten und Informationen. Wie können Sie den Mitarbeitern den Zugriff auf Ihre Cloud-Apps ermöglichen, während Ihre Daten gleichzeitig geschützt bleiben?

In diesem Tutorial können Sie Microsoft Entra Richtlinien für bedingten Zugriff neu bewerten, wenn Benutzer während einer Sitzung vertrauliche Aktionen ausführen.

Die Bedrohung

Ein Mitarbeiter, der von der Geschäftsstelle aus bei SharePoint Online angemeldet ist. Während derselben Sitzung wird die IP-Adresse außerhalb des Unternehmensnetzwerks registriert. Vielleicht gingen sie in das Café unten, oder ihr Token wurde kompromittiert oder von einem böswilligen Angreifer gestohlen.

Die Lösung

Schützen Sie Ihre organization, indem Sie Microsoft Entra Richtlinien für bedingten Zugriff bei sensiblen Sitzungsaktionen der Defender for Cloud Apps App-Steuerung für bedingten Zugriff neu bewerten müssen.

Voraussetzungen

  • Eine gültige Lizenz für Microsoft Entra ID P1-Lizenz

  • Ihre Cloud-App, in diesem Fall SharePoint Online, als Microsoft Entra ID-App konfiguriert und mit SSO über SAML 2.0 oder OpenID Connect

  • Stellen Sie sicher, dass die App in Defender for Cloud Apps

Erstellen einer Richtlinie zum Erzwingen der schrittweisen Authentifizierung

Defender for Cloud Apps Sitzungsrichtlinien ermöglichen es Ihnen, eine Sitzung basierend auf dem Gerätezustand einzuschränken. Um die Steuerung einer Sitzung mithilfe des zugehörigen Geräts als Bedingung zu erreichen, erstellen Sie sowohl eine Richtlinie für bedingten Zugriff als auch eine Sitzungsrichtlinie.

So erstellen Sie Ihre Richtlinie:

  1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung.

  2. Wählen Sie auf der Seite Richtlinien die Option Richtlinie erstellen gefolgt von Sitzungsrichtlinie aus.

  3. Geben Sie auf der Seite Sitzungsrichtlinie erstellen einen Namen und eine Beschreibung für Ihre Richtlinie ein. Beispiel: Mehrstufige Authentifizierung bei Downloads von SharePoint Online von nicht verwalteten Geräten anfordern.

  4. Weisen Sie einen Richtlinienschweregrad und eine Kategorie zu.

  5. Wählen Sie für den SitzungssteuerungstypAktivitäten blockieren,Dateiuploadsteuern (mit Überprüfung),Dateidownload steuern (mit Überprüfung)aus.

  6. Wählen Sie unter Aktivitätsquelle im Abschnitt Aktivitäten, die mit allen folgenden Übereinstimmungen übereinstimmen, die Filter aus:

    • Gerätetag: Wählen Sie Nicht gleich aus, und wählen Sie dann Intune konform, Microsoft Entra hybrid eingebundenen oder Gültigen Clientzertifikat aus. Ihre Auswahl hängt von der Methode ab, die in Ihrem organization zum Identifizieren verwalteter Geräte verwendet wird.

    • App: Wählen Sie Automatisiertes Azure AD-Onboarding und dann SharePoint Online aus der Liste aus.

    • Benutzer: Wählen Sie die Benutzer aus, die Sie überwachen möchten.

  7. Legen Sie unter Aktivitätsquelle im Abschnitt Dateien, die allen der folgenden Elemente entsprechen , die folgenden Filter fest:

    • Vertraulichkeitsbezeichnungen: Wenn Sie Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection verwenden, filtern Sie die Dateien basierend auf einer bestimmten Microsoft Purview Information Protection Vertraulichkeitsbezeichnung.

    • Wählen Sie Dateiname oder Dateityp aus, um Einschränkungen basierend auf dem Dateinamen oder Typ anzuwenden.

  8. Aktivieren Sie die Inhaltsüberprüfung , damit die interne DLP Ihre Dateien auf vertrauliche Inhalte überprüfen kann.

  9. Wählen Sie unter Aktionen die Option Step-up-Authentifizierung erforderlich aus.

    Hinweis

    Dazu muss der Authentifizierungskontext in Microsoft Entra ID erstellt werden.

  10. Legen Sie die Warnungen fest, die Sie erhalten möchten, wenn die Richtlinie abgeglichen wird. Sie können einen Grenzwert festlegen, damit Sie nicht zu viele Warnungen erhalten. Wählen Sie aus, ob die Warnungen als E-Mail-Nachricht abgerufen werden sollen.

  11. Wählen Sie Erstellen aus.

Überprüfen Ihrer Richtlinie

  1. Um diese Richtlinie zu simulieren, melden Sie sich von einem nicht verwalteten Gerät oder einem nicht unternehmenseigenen Netzwerkspeicherort bei der App an. Versuchen Sie dann, eine Datei herunterzuladen.

  2. Sie müssen die in der Authentifizierungskontextrichtlinie konfigurierte Aktion ausführen.

  3. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Wählen Sie dann die Richtlinie aus, die Sie erstellt haben, um den Richtlinienbericht anzuzeigen. Eine Sitzungsrichtlinien-Übereinstimmung sollte in Kürze angezeigt werden.

  4. Im Richtlinienbericht können Sie sehen, welche Anmeldungen an Microsoft Defender for Cloud Apps für die Sitzungssteuerung umgeleitet wurden und welche Dateien von den überwachten Sitzungen heruntergeladen oder blockiert wurden.

Nächste Schritte

Erstellen einer Zugriffsrichtlinie

Erstellen einer Sitzungsrichtlinie

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.