Blockieren von Authentifizierungsflows mit einer Richtlinie für bedingten Zugriff
Mit den folgenden Schritten können sie Richtlinien für bedingten Zugriff erstellen, um einzuschränken, wie Gerätecodeflow und Authentifizierungsübertragung innerhalb Ihrer Organisation verwendet werden.
Richtlinien für den Gerätecodeflow
Hinweis
Um die Sicherheit zu erhöhen, empfiehlt Microsoft, den Gerätecodeflow nach Möglichkeit zu blockieren oder einzuschränken.
Sie sollten immer zunächst eine Richtlinie im Modus „Nur melden“ konfigurieren, um die potenzielle Auswirkung auf Ihre Organisation zu ermitteln.
Wir empfehlen Organisationen, sich so weit wie möglich einer einseitigen Blockierung des Gerätecodeflows anzunähern. Organisationen sollten ggf. eine Richtlinie erstellen, um die vorhandene Verwendung des Gerätecodeflows zu überwachen und zu ermitteln, ob sie noch erforderlich ist.
Für Organisationen, in denen die Verwendung des Gerätecodeflows nicht eingerichtet wurde, kann die Blockierung mit der folgenden Richtlinie für bedingten Zugriff erfolgen:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
- Wählen Sie Neue Richtlinie.
- Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
- Wählen Sie unter Einschließen die Benutzer aus, die in den Gültigkeitsbereich der Richtlinie fallen sollen (empfohlener Bereich: alle Benutzer).
- Führen Sie unter Ausschließen die folgenden Schritte aus:
- Wählen Sie unter Benutzer und Gruppen und dann die Notfallzugriffs- oder Break-Glass-Konten Ihrer Organisation und alle anderen erforderlichen Benutzer aus. Diese Ausschlussliste sollte regelmäßig überprüft werden.
- Wählen Sie unter Zielressourcen>Ressourcen (früher Cloud-Apps)>Einschließen die Apps aus, die in der Richtlinie (Alle Ressourcen (früher „Alle Cloud-Apps") wird empfohlen) eingeschlossen sein sollen.
- Legen Sie unter Bedingungen>Authentifizierungsflows die Option Konfigurieren auf Ja fest.
- Wählen Sie Gerätecodeflow aus.
- Wählen Sie Fertig aus.
- Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff blockieren aus.
- Wählen Sie Auswählen.
- Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
- Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.
Wenn ein Administrator die Einstellungen mit dem reinen Berichtsmodus bestätigt hat, kann er den Schalter Richtlinie aktivieren von Nur Bericht auf Ein festlegen.
Richtlinien für die Authentifizierungsübertragung
Die Funktion zum Steuern der Authentifizierungsübertragung befindet sich in der Vorschau. Verwenden Sie die Bedingung Authentifizierungsflows unter „Bedingter Zugriff“, um die Funktion zu verwalten. Möglicherweise möchten Sie die Authentifizierungsübertragung blockieren, wenn Sie nicht möchten, dass Benutzer die Authentifizierung von ihrem PC auf ein mobiles Gerät übertragen. Beispiel: Sie lassen nicht zu, dass Outlook von bestimmten Gruppen auf persönlichen Geräten verwendet wird. Das Blockieren der Authentifizierungsübertragung kann mit der folgenden Richtlinie für bedingten Zugriff erfolgen:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Browsen Sie zu Schutz>Bedingter Zugriff.
- Wählen Sie Neue Richtlinie erstellen aus.
- Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
- Wählen Sie unter Einschließen die Option Alle Benutzer oder Benutzergruppen aus, für die Sie die Authentifizierungsübertragung blockieren möchten.
- Führen Sie unter Ausschließen die folgenden Schritte aus:
- Wählen Sie unter Benutzer und Gruppen und dann die Notfallzugriffs- oder Break-Glass-Konten Ihrer Organisation und alle anderen erforderlichen Benutzer aus. Diese Ausschlussliste sollte regelmäßig überprüft werden.
- Wählen Sie unter Zielressourcen>Ressourcen (früher Cloud-Apps)>Einschließen die Option Alle Ressourcen (früher „Alle Cloud-Apps“) aus, oder Apps, die Sie für die Authentifizierungsübertragung blockieren möchten.
- Legen Sie unter Bedingungen>Authentifizierungsflows die Option Konfigurieren auf Ja fest.
- Wählen Sie Authentifizierungsübertragung aus.
- Wählen Sie Fertig aus.
- Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff blockieren aus.
- Wählen Sie Auswählen.
- Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Aktiviert fest.
- Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.