Freigeben über


Bedingter Zugriff: Filter für Anwendungen

Derzeit können Richtlinien für bedingten Zugriff auf alle Apps oder auf einzelne Apps angewendet werden. Für Unternehmen mit einer großen Anzahl von Anwendungen kann es schwierig sein, diesen Prozess über mehrere Richtlinien für bedingten Zugriff hinweg zu verwalten.

Mit Anwendungsfiltern für bedingten Zugriff können Organisationen Dienstprinzipale mit benutzerdefinierten Attributen markieren. Diese benutzerdefinierten Attribute werden dann zu ihren Richtlinien für bedingten Zugriff hinzugefügt. Filter für Anwendungen werden zur Tokenausstellungslaufzeit ausgewertet. Eine häufige Frage ist, ob Apps zur Laufzeit oder Konfigurationszeit zugewiesen werden.

In diesem Dokument erstellen Sie einen benutzerdefinierten Attributsatz, weisen Ihrer Anwendung ein benutzerdefiniertes Sicherheitsattribut zu und erstellen eine Richtlinie für bedingten Zugriff, um die Anwendung zu schützen.

Zuweisen von Rollen

Benutzerdefinierte Sicherheitsattribute sind sicherheitsrelevant und können nur von delegierten Benutzern verwaltet werden. Benutzern, die diese Attribute verwalten oder Berichte darüber erstellen, muss mindestens eine der folgenden Rollen zugewiesen sein:

Rollenname BESCHREIBUNG
Administrator für Attributzuweisungen Zuweisen von benutzerdefinierten Sicherheitsattributschlüsseln und -werten zu unterstützten Microsoft Entra-Objekten.
Leser für Attributzuweisungen Lesen benutzerdefinierter Sicherheitsattributschlüssel und -werte für unterstützte Microsoft Entra-Objekte.
Administrator für Attributdefinitionen Definieren und Verwalten der Definition von benutzerdefinierten Sicherheitsattributen.
Leser für Attributdefinitionen Lesen der Definition von benutzerdefinierten Sicherheitsattributen.

Weisen Sie die entsprechende Rolle im Verzeichnisbereich den Benutzern zu, die diese Attribute verwalten oder Berichte darüber erstellen. Ausführliche Schritte finden Sie unter Zuweisen einer Rolle.

Wichtig

Standardmäßig verfügen globale Administratoren und andere Administratorrollen nicht über Berechtigungen zum Lesen, Definieren oder Zuweisen von benutzerdefinierten Sicherheitsattributen.

Benutzerdefinierte Sicherheitsattribute erstellen

Befolgen Sie die Anweisungen im Artikel Hinzufügen oder Deaktivieren von benutzerdefinierten Sicherheitsattributen in Microsoft Entra ID, um den folgenden Attributsatz und neue Attribute hinzuzufügen.

  • Erstellen Sie einen Attributsatz namens ConditionalAccessTest.
  • Erstellen Sie ein neues Attribut mit dem Namen policyRequirement, und aktivieren Sie dafür die Optionen Zuweisen mehrerer Werte zulassen und Nur die Zuweisung vordefinierter Werte zulassen. Wir fügen die folgenden vordefinierten Werte hinzu:
    • legacyAuthAllowed
    • blockGuestUsers
    • requireMFA
    • requireCompliantDevice
    • requireHybridJoinedDevice
    • requireCompliantApp

Screenshot: Benutzerdefiniertes Sicherheitsattribut und vordefinierte Werte in Microsoft Entra ID.

Hinweis

Filter für den bedingten Zugriff auf Anwendungen funktionieren nur mit benutzerdefinierten Sicherheitsattributen vom Typ „string“. Benutzerdefinierte Sicherheitsattribute unterstützen die Erstellung eines booleschen Datentyps, aber die Richtlinie für bedingten Zugriff unterstützt nur „Zeichenfolge“.

Erstellen der Richtlinie für bedingten Zugriff

Screenshot: Richtlinie für bedingten Zugriff mit dem Fenster „Filter bearbeiten“ und dem Attribut „requireMFA“

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für bedingten Zugriff oder Leser für Attributdefinitionen an.
  2. Browsen Sie zu Schutz>Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
    3. Wählen Sie Fertigaus.
  6. Wählen Sie unter Zielressourcen die folgenden Optionen aus:
    1. Legen Sie „Wählen Sie aus, worauf diese Richtlinie angewendet werden soll.“ auf Cloud-Apps fest.
    2. Einschließen von "Ressourcen auswählen".
    3. Klicken Sie auf Filter bearbeiten.
    4. Legen Sie Konfigurieren auf Ja fest.
    5. Wählen Sie das zuvor erstellte Attribut mit dem Namen policyRequirement aus.
    6. Legen Sie Operator auf Enthält fest.
    7. Legen Sie Wert auf requireMFA fest.
    8. Wählen Sie Fertigaus.
  7. Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff erteilen, dann Multi-Faktor-Authentifizierung erfordern und anschließend Auswählen aus.
  8. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  9. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Wenn ein Administrator die Einstellungen mit dem reinen Berichtsmodus bestätigt hat, kann er den Schalter Richtlinie aktivieren von Nur Bericht auf Ein festlegen.

Konfigurieren von benutzerdefinierten Attributen

Schritt 1: Einrichten einer Beispielanwendung

Wenn Sie bereits über eine Testanwendung verfügen, die einen Dienstprinzipal verwendet, können Sie diesen Schritt überspringen.

Richten Sie eine Beispielanwendung ein, die veranschaulicht, wie ein Auftrag oder ein Windows-Dienst mit einer Anwendungsidentität anstelle der Identität eines Benutzers ausgeführt werden kann. Befolgen Sie die Anweisungen im Artikel Schnellstart: Abrufen eines Tokens und Aufrufen der Microsoft Graph-API über die Identität einer Konsolen-App, um diese Anwendung zu erstellen.

Schritt 2: Zuweisen eines benutzerdefinierten Sicherheitsattributs zu einer Anwendung

Wenn in Ihrem Mandanten kein Dienstprinzipal aufgeführt ist, kann er nicht als Ziel festgelegt werden. Die Office 365-Suite ist ein Beispiel für einen solchen Dienstprinzipal.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff~/identity/role-based-access-control/permissions-reference.md#conditional-access-administrator) und Attributzuweisungsadministrator an.
  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.
  3. Wählen Sie den Dienstprinzipal aus, auf den Sie ein benutzerdefiniertes Sicherheitsattribut anwenden möchten.
  4. Wählen Sie unter Verwalten>Benutzerdefinierte Sicherheitsattribute die Option Zuweisung hinzufügen aus.
  5. Wählen Sie unter Attributsatz die Option ConditionalAccessTest aus.
  6. Wählen Sie unter Attributname die Option policyRequirement aus.
  7. Wählen Sie unter Zugewiesene Werte die Option Werte hinzufügen und in der Liste requireMFA aus. Wählen Sie anschließend Fertig aus.
  8. Wählen Sie Speichern aus.

Schritt 3: Testen der Richtlinie

Melden Sie sich als ein Benutzer an, auf den die Richtlinie angewendet werden soll, und ermitteln Sie mit einem Test, ob MFA beim Zugriff auf die Anwendung erforderlich ist.

Andere Szenarien

  • Blockieren der Legacyauthentifizierung
  • Blockieren des externen Zugriffs auf Anwendungen
  • Erfordern von Richtlinien für konforme Geräte oder Intune-App-Schutzrichtlinien
  • Erzwingen von Steuerungen für die Anmeldehäufigkeit für bestimmte Anwendungen
  • Erfordern einer Arbeitsstation mit privilegiertem Zugriff für bestimmte Anwendungen
  • Erfordern von Sitzungssteuerungen für Benutzer mit hohem Risiko und bestimmte Anwendungen

Vorlagen für bedingten Zugriff

Bestimmen der Auswirkung mit dem reinen Berichtsmodus des bedingten Zugriffs

Verwenden des Modus „Nur Bericht“ für bedingten Zugriff zum Ermitteln der Ergebnisse neuer Richtlinienentscheidungen