Grundlegendes zum bedingten Zugriff in Azure

  • 3 Minuten

Bedingter Zugriff ist ein Tool, das Microsoft Entra ID verwendet, um Zugriff auf Ressourcen auf der Grundlage von Identitätssignalen zuzulassen (oder zu verweigern). Diese Signale beinhalten, wer der Benutzer ist, wo sich der Benutzer befindet und von welchem Gerät der Benutzer Zugriff anfordert.

Bedingter Zugriff unterstützt IT-Administratoren bei den folgenden Aufgaben:

  • Befähigen von Benutzern, überall und jederzeit produktiv zu sein.
  • Schützen der Ressourcen der Organisation.

Der bedingte Zugriff bietet auch eine präzisere Erfahrung mehrstufiger Authentifizierung für Endbenutzer. Beispielsweise wird von Benutzern möglicherweise nicht der zweite Authentifizierungsfaktor angefordert, wenn sie sich an einem bekannten Ort befinden. Allerdings kann ein zweiter Authentifizierungsfaktor angefordert werden, wenn ihre Anmeldesignale ungewöhnlich sind oder der Benutzer sich an einem unerwarteten Ort befindet.

Während der Anmeldung erfasst der bedingte Zugriff Signale vom Benutzer, trifft Entscheidungen auf Grundlage dieser Signale und erzwingt diese Entscheidung dann durch das Zulassen oder Verweigern der Zugriffsanforderung oder verlangt eine Antwort von der mehrstufigen Authentifizierung.

Dieser Flow wird im folgenden Diagramm veranschaulicht:

Diagramm: Ablauf des bedingten Zugriff eines Signals, das zu einer Entscheidung und somit zu einer Erzwingung führt

Hier kann das Signal der Standort oder das Gerät des Benutzers sein bzw. die Anwendung, auf die er zugreifen möchte.

Basierend auf diesen Signalen kann die Entscheidung darin bestehen, Vollzugriff zuzulassen, wenn sich der Benutzer von seinem normalen Standort aus anmeldet. Wenn sich der Benutzer von einem ungewöhnlichen Ort oder einem Standort anmeldet, der als hohes Risiko eingestuft wird, wird der Zugriff möglicherweise vollständig blockiert oder ggf. erst dann erteilt, nachdem der Benutzer eine zweite Form der Authentifizierung bereitgestellt hat.

Erzwingung ist die Aktion, die die Entscheidung ausführt. Die Aktion besteht beispielsweise darin, den Zugriff zu erlauben oder vom Benutzer eine zweite Form der Authentifizierung zu verlangen.

Wann kann ich bedingten Zugriff verwenden?

Bedingter Zugriff ist nützlich, wenn Folgendes erforderlich ist:

  • Die Multi-Faktor-Authentifizierung (MFA) ist erforderlich, um je nach Rolle, Standort oder Netzwerk des Anforderers auf eine Anwendung zuzugreifen. Beispielsweise könnten Sie MFA von Administrator*innen, aber nicht von normalen Benutzer*innen oder Personen anfordern, die von außerhalb Ihres Unternehmensnetzwerks eine Verbindung herstellen.
  • Erfordern des Zugriffs auf Dienste nur über genehmigte Clientanwendungen. Sie können beispielsweise einschränken, welche E-Mail-Anwendungen eine Verbindung mit Ihrem E-Mail-Dienst herstellen können.
  • Erfordern, dass Benutzer nur von verwalteten Geräten aus auf Ihre Anwendung zugreifen können. Ein verwaltetes Gerät ist ein Gerät, das Ihre Standards bezüglich Sicherheit und Konformität erfüllt.
  • Blockieren des Zugriffs von nicht vertrauenswürdigen Quellen, z. B. Zugriff von unbekannten oder unerwarteten Orten.