Beschreiben des bedingten Zugriffs

  • 6 Minuten

Der bedingte Zugriff ist ein Feature von Microsoft Entra ID, das eine zusätzliche Sicherheitsebene bietet, bevor authentifizierten Benutzer*innen der Zugriff auf Daten oder andere Ressourcen gestattet wird. Der bedingte Zugriff wird über Richtlinien implementiert, die in Microsoft Entra ID erstellt und verwaltet werden. Eine Richtlinie für bedingten Zugriff analysiert Signale, z. B. von Benutzer*innen, Standorten, Geräten, Anwendungen und Risiken, um Entscheidungen zum Autorisieren des Zugriffs auf Ressourcen (Apps und Daten) zu automatisieren.

Screenshot: Flow der Richtlinie für bedingten Zugriff. Anhand von Signalen wird entschieden, ob der Zugriff auf Anwendungen und Daten zugelassen oder gesperrt wird.

Richtlinien für bedingten Zugriff sind im einfachsten Fall If-Then-Anweisungen. Eine Richtlinie für bedingten Zugriff kann beispielsweise angeben, dass wenn Benutzer*innen zu einer bestimmten Gruppe gehören, müssen sie eine mehrstufige Authentifizierung durchlaufen, um sich bei einer Anwendung anzumelden.

Wichtig

Richtlinien für den bedingten Zugriff werden durchgesetzt, wenn die First-Factor-Authentifizierung abgeschlossen ist. Der bedingte Zugriff nicht ist als erste Abwehrmaßnahme einer Organisation für Szenarien wie Denial-of-Service-Angriffe (DoS) gedacht, sondern kann Signale von diesen Ereignissen nutzen, um den Zugriff zu bestimmen.

Komponenten der Richtlinie für bedingten Zugriff

Eine Richtlinie für bedingten Zugriff in Microsoft Entra ID besteht aus zwei Komponenten: Zuweisungen und Zugriffssteuerungen.

Bildschirmausschnitt mit den beiden Komponenten einer Richtlinie für bedingten Zugriff, den Zuweisungen und den Zugriffssteuerungen

Zuweisungen

Beim Erstellen einer Richtlinie für bedingten Zugriff können Administratoren über Zuweisungen bestimmen, welche Signale verwendet werden. Im Teil „Zuweisungen“ der Richtlinie wird das „Wer“, „Was“, „Wo“ und „Wann“ der Richtlinie für bedingten Zugriff gesteuert. Alle Zuweisungen sind logisch per UND-Operator verbunden. Wenn Sie mehr als eine Zuweisung konfiguriert haben, müssen die Bedingungen aller Zuweisungen erfüllt sein, damit eine Richtlinie ausgelöst wird. Zu den Zuweisungen zählen unter anderem:

  • Benutzer weisen zu, wer in die Richtlinie eingeschlossen oder aus dieser ausgeschlossen werden soll. Diese Zuweisung kann alle Benutzer im Verzeichnis, bestimmte Benutzer und Gruppen, Verzeichnisrollen, externe Gäste und Workloadidentitäten enthalten.
  • Zielressourcen schließen Anwendungen oder Dienste, Benutzeraktionen, globalen sicheren Zugriff (Vorschau) oder Authentifizierungskontext ein.
    • Cloud-Apps: Admins können aus der Liste der Anwendungen oder Dienste auswählen, die integrierte Microsoft-Anwendungen enthalten, einschließlich Microsoft Cloud-Anwendungen, Office 365, Windows Azure-Service-Verwaltungs-API, Microsoft-Verwaltungsportale und aller registrierten Microsoft Entra-Anwendungen.
    • Benutzeraktionen: Administratoren können eine Richtlinie definieren, die nicht auf einer Cloudanwendung basiert, sondern auf einer Benutzeraktion wie „Sicherheitsinformationen registrieren“ oder „Geräte registrieren oder einbinden“, sodass Conditional Access Steuerungen für diese Aktionen erzwingen kann.
    • Globaler sicherer Zugriff (Vorschau): Administratoren können Richtlinien für bedingten Zugriff verwenden, um den Datenverkehr zu schützen, der über den Dienst für globalen sicheren Zugriff übertragen wird. Dies geschieht durch Definieren von Datenverkehrsprofilen im globalen sicheren Zugriff. Richtlinien für bedingten Zugriff können dann dem Datenverkehrsprofil des globalen sicheren Zugriffs zugewiesen werden.
    • Authentifizierungskontext: Der Authentifizierungskontext kann verwendet werden, um Daten und Aktionen in Anwendungen besser zu schützen. Benutzende, die Zugriff auf bestimmte Inhalte auf einer SharePoint-Website haben, müssen z. B. über ein verwaltetes Gerät auf diese Inhalte zugreifen oder bestimmten Nutzungsbedingungen zustimmen.
  • Netzwerk ermöglicht es Ihnen, den Benutzerzugriff basierend auf dem Netzwerk oder dem physischen Standort der Benutzenden zu steuern. Sie können jedes Netzwerk oder jeden Standort, Standorte, die als vertrauenswürdige Netzwerke oder vertrauenswürdige IP-Adressbereiche markiert sind, oder benannte Standorte einbeziehen. Sie können auch konforme Netzwerke identifizieren, die sich aus Benutzenden und Geräten zusammensetzen, die den Sicherheitsrichtlinien Ihres Unternehmens entsprechen.
  • Bedingungen definieren, wo und wann die Richtlinie angewendet wird. Es können mehrere Bedingungen kombiniert werden, um differenzierte und spezifische Richtlinien für bedingten Zugriff zu erstellen. Einige der Bedingungen umfassen:
    • Anmelderisiko und Benutzerrisiko. Durch die Integration mit Microsoft Entra ID Protection können Richtlinien für bedingten Zugriff verdächtige Aktionen im Zusammenhang mit Benutzerkonten im Verzeichnis identifizieren und eine Richtlinie auslösen. Das Anmelderisiko ist die Wahrscheinlichkeit, dass eine bestimmte Anmeldung oder Authentifizierungsanforderung nicht vom Identitätsbesitzer autorisiert wurde. Das Benutzerrisiko ist die Wahrscheinlichkeit, dass eine bestimmte Identität oder ein Konto kompromittiert wird.
    • Insiderrisiko. Administratoren und Administratorinnen mit Zugriff auf den adaptiven Schutz von Microsoft Purview können Risikosignale von Microsoft Purview in Entscheidungen für Richtlinien für bedingten Zugriff einbeziehen. Beim Insider-Risiko werden Ihre Datengovernance, die Datensicherheit und Ihre Risiko- und Compliancekonfigurationen von Microsoft Purview berücksichtigt.
    • Geräteplattform. Die Geräteplattform, die durch das auf einem Gerät ausgeführte Betriebssystem gekennzeichnet ist, kann bei der Durchsetzung von Richtlinien für den bedingten Zugriff verwendet werden.
    • Client-Apps. Client-Apps, also die Software, mit der Benutzer auf die Cloud-App zugreifen, einschließlich Browser, mobile Apps und Desktop-Clients, können ebenfalls in die Entscheidung über die Zugriffsrichtlinien einbezogen werden.
    • Nach Geräten filtern. Organisationen können Richtlinien basierend auf Geräteeigenschaften durchsetzen, indem sie die Filteroption für Geräte verwenden. Diese Option kann beispielsweise verwendet werden, um Richtlinien auf bestimmte Geräte wie Arbeitsstationen mit privilegiertem Zugriff zu richten.

Im Wesentlichen wird im Teil „Zuweisungen“ das „Wer“, „Was“ und „Wo“ der Richtlinie für bedingten Zugriff gesteuert.

Zugriffssteuerung

Wenn die Richtlinie für bedingten Zugriff angewendet wurde, wird eine fundierte Entscheidung getroffen, ob der Zugriff blockiert, der Zugriff gewährt, der Zugriff mit zusätzlicher Überprüfung gewährt oder eine Sitzungssteuerung angewendet werden soll, um eine eingeschränkte Nutzung zu ermöglichen. Die Entscheidung wird als Zugriffssteuerungsteil der Richtlinie für bedingten Zugriff bezeichnet und definiert, wie eine Richtlinie erzwungen wird. Häufige Entscheidungen:

  • Zugriff blockieren
  • Gewähren des Zugriffs. Administratoren können den Zugriff ohne zusätzliche Kontrolle gewähren, oder sie können eine oder mehrere Kontrollen bei der Zugriffsgewährung erzwingen. Beispiele für Kontrollen, die zur Gewährung des Zugriffs verwendet werden, sind die Anforderung, dass Benutzer*innen eine Multi-Faktor-Authentifizierung durchführen müssen, die Anforderung, dass bestimmte Authentifizierungsmethoden für den Zugriff auf eine Ressource erforderlich sind, die Anforderung, dass Geräte bestimmte Compliancerichtlinien erfüllen müssen, die Anforderung, dass das Passwort geändert werden muss, und vieles mehr. Eine vollständige Liste finden Sie unter Steuerelemente zur Rechteerteilung in der Richtlinie für bedingten Zugriff.
  • Sitzung. In einer Richtlinie für bedingten Zugriff kann ein Administrator Sitzungssteuerelemente verwenden, um die Interaktionsmöglichkeiten innerhalb bestimmter Cloudanwendungen einzuschränken. Beispielsweise verwendet die App-Steuerung für bedingten Zugriff Signale von Microsoft Defender for Cloud Apps, um das Herunterladen, Ausschneiden, Kopieren und Drucken vertraulicher Dokumente zu blockieren oder die Beschriftung vertraulicher Dateien zu erzwingen. Andere Sitzungssteuerelemente umfassen etwa die Anmeldehäufigkeit und von der Anwendung erzwungene Beschränkungen, die für ausgewählte Anwendungen die Geräteinformationen verwenden, um Benutzern je nach Gerätestatus eine eingeschränkte oder vollständige Benutzerumgebung zu bieten. Eine vollständige Liste finden Sie unter Sitzungskontrollen in der Richtlinie für bedingten Zugriff.

Zusammenfassend steuert der Teil „Zuweisungen“ das „Wer“, „Was“ und „Wo“ der Richtlinie für bedingten Zugriff, und der Teil „Zugriffssteuerung“ steuert, wie eine Richtlinie erzwungen wird.