Freigeben über


Bedingter Zugriff für Workloadidentitäten

Bisher wurden Richtlinien für bedingten Zugriff nur auf Benutzer angewendet, wenn sie auf Apps und Dienste wie SharePoint Online zugreifen. Die Unterstützung von Richtlinien für bedingten Zugriff wird jetzt auch auf Dienstprinzipale ausgeweitet, die sich im Besitz des Unternehmens befinden. Diese Funktion wird als bedingter Zugriff für Workloadidentitäten bezeichnet.

Eine Workloadidentität ist eine Identität, die einer Anwendung oder einem Dienstprinzipal den Zugriff auf Ressourcen ermöglicht, manchmal im Kontext eines Benutzers. Diese Workloadidentitäten unterscheiden sich in folgenden Punkten von herkömmlichen Benutzerkonten:

  • Die Multi-Faktor-Authentifizierung kann nicht durchgeführt werden.
  • Sie verfügen oft über keinen formalen Lebenszyklusprozess.
  • Sie müssen ihre Anmeldeinformationen oder Geheimnisse irgendwo speichern.

Diese Unterschiede erschweren die Verwaltung von Workloadidentitäten und stellen ein höheres Gefährdungsrisiko dar.

Wichtig

Premium-Lizenzen für Workloadidentitäten sind erforderlich, um Richtlinien für bedingten Zugriff zu erstellen oder zu ändern, die auf Dienstprinzipale beschränkt sind. In Verzeichnissen ohne entsprechende Lizenzen funktionieren vorhandene Richtlinien für bedingten Zugriff für Workloadidentitäten weiterhin, können aber nicht geändert werden. Weitere Informationen finden Sie unter Microsoft Entra Workload ID.  

Hinweis

Die Richtlinie kann auf Dienstprinzipale mit nur einem Mandanten angewendet werden, die in Ihrem Mandanten registriert wurden. SaaS-Apps von Drittanbietern und mehrinstanzenfähige Apps werden nicht unterstützt. Verwaltete Identitäten werden durch die Richtlinie nicht abgedeckt.

Bedingter Zugriff für Workload-Identitäten ermöglicht die Sperrung von Dienstprinzipalen:

  • Außerhalb bekannter öffentlicher IP-Bereiche.
  • Basierend auf dem von Microsoft Entra ID Protection erkannten Risiko.
  • In Kombination mit Authentifizierungskontexten.

Implementierung

Festlegen einer standortbasierten Richtlinie für bedingten Zugriff

Erstellen Sie eine standortbasierte Richtlinie für bedingten Zugriff, die für Dienstprinzipale gilt.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Wofür gilt diese Richtlinie? die Option Workloadidentitäten aus.
    2. Wählen Sie unter Einschließen die Option Dienstprinzipale auswählen und dann in der Liste die entsprechenden Dienstprinzipale aus.
  6. Wählen Sie unter "Zielressourcenressourcen>" (ehemals Cloud-Apps)> "Alle Ressourcen" (ehemals "Alle Cloud-Apps") aus. Die Richtlinie gilt nur, wenn ein Dienstprinzipal ein Token anfordert.
  7. Schließen Sie unter Bedingungen>Standorte die Option Alle Standorte ein, und schließen Sie Ausgewählte Standorte aus, für die Sie den Zugriff zulassen möchten.
  8. Unter Gewähren ist Zugriff blockieren die einzige verfügbare Option. Der Zugriff wird blockiert, wenn eine Tokenanforderung außerhalb des zulässigen Bereichs erfolgt.
  9. Ihre Richtlinie kann im Modus Nur melden gespeichert werden, damit Administratoren die Auswirkungen einschätzen können, oder die Richtlinie wird erzwungen, indem sie aktiviert wird.
  10. Wählen Sie Erstellen aus, um die Richtlinie fertig zu stellen.

Festlegen einer risikobasierten Richtlinie für bedingten Zugriff

Erstellen Sie eine risikobasierte Richtlinie für bedingten Zugriff, die für Dienstprinzipale gilt.

Erstellen einer Richtlinie für bedingten Zugriff mit einer Workload-Identität und Risiko als eine Bedingung.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Wofür gilt diese Richtlinie? die Option Workloadidentitäten aus.
    2. Wählen Sie unter Einschließen die Option Dienstprinzipale auswählen und dann in der Liste die entsprechenden Dienstprinzipale aus.
  6. Wählen Sie unter "Zielressourcenressourcen>" (ehemals Cloud-Apps)> "Alle Ressourcen" (ehemals "Alle Cloud-Apps") aus. Die Richtlinie gilt nur, wenn ein Dienstprinzipal ein Token anfordert.
  7. Unter Bedingungen>Dienstprinzipalrisiko
    1. Legen Sie die Umschaltfläche Konfigurieren auf Ja fest.
    2. Wählen Sie die Risikostufen aus, für die diese Richtlinie ausgelöst werden soll.
    3. Klicken Sie auf Fertig.
  8. Unter Gewähren ist Zugriff blockieren die einzige verfügbare Option. Der Zugriff wird blockiert, wenn die angegebenen Risikostufen erkannt werden.
  9. Ihre Richtlinie kann im Modus Nur melden gespeichert werden, damit Administratoren die Auswirkungen einschätzen können, oder die Richtlinie wird erzwungen, indem sie aktiviert wird.
  10. Wählen Sie Erstellen aus, um die Richtlinie fertig zu stellen.

Rollback

Wenn Sie ein Rollback für dieses Feature ausführen möchten, können Sie alle erstellten Richtlinien löschen oder deaktivieren.

Anmeldeprotokolle

Mithilfe der Anmeldeprotokolle wird überprüft, wie die Richtlinie für Dienstprinzipale erzwungen wird oder welche Auswirkungen die Richtlinie bei Verwendung des Modus „Nur melden“ hat.

  1. Browsen Sie zu Identität>Überwachung & Integrität>Anmeldeprotokolle>Dienstprinzipalanmeldungen.
  2. Wählen Sie einen Protokolleintrag aus, und wählen Sie die Registerkarte Bedingter Zugriff aus, um Evaluierungsinformationen anzuzeigen.

Fehlerursache, wenn der Dienstprinzipal durch bedingten Zugriff blockiert wird: „Der Zugriff wurde aufgrund von Richtlinien für bedingten Zugriff blockiert.“

Modus „Nur Bericht“

Informationen zum Anzeigen der Ergebnisse einer standortbasierten Richtlinie finden Sie auf der Registerkarte Nur Bericht von Ereignissen im Anmeldebericht, oder verwenden Sie die Arbeitsmappe mit Erkenntnissen und Berichterstellung zum bedingten Zugriff.

Informationen zum Anzeigen der Ergebnisse einer risikobasierten Richtlinie finden Sie auf der Registerkarte Nur Bericht von Ereignissen im Anmeldebericht.

Verweis

Ermitteln der objectID

Sie können die Objekt-ID des Dienstprinzipals aus Microsoft Entra-Unternehmensanwendungen abrufen. Die Objekt-ID in Microsoft Entra-App-Registrierungen kann nicht verwendet werden. Dieser Bezeichner ist die Objekt-ID der App-Registrierung, nicht des Dienstprinzipals.

  1. Navigieren Sie zu Identität>Anwendungen>Enterprise-Anwendungen, und suchen Sie die von Ihnen registrierte Anwendung.
  2. Kopieren Sie auf der Registerkarte Übersicht die Objekt-ID der Anwendung. Dieser Bezeichner ist eindeutig für den Dienstprinzipal und wird von der Richtlinie für bedingten Zugriff verwendet, um die aufrufende App zu ermitteln.

Microsoft Graph

JSON-Beispiel für die standortbasierte Konfiguration mithilfe des Microsoft Graph-Betaendpunkts

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Nächste Schritte