Informationen zu bedingtem Zugriff

  • 3 Minuten

Das Feature „Bedingter Zugriff“ in Microsoft Entra ID ist eine von mehreren Optionen, mit denen Sie Ihre App sichern und Ihren Dienst schützen können. Der bedingte Zugriff ermöglicht Entwicklern und Unternehmenskunden den Schutz von Diensten auf unterschiedliche Weise, einschließlich:

  • Mehrstufige Authentifizierung
  • Ermöglicht nur bei Intune registrierten Geräten den Zugriff auf bestimmte Dienste
  • Einschränken von Benutzerstandorten und IP-Adressbereichen

Welche Auswirkungen hat der bedingte Zugriff auf eine App?

In den meisten Fällen hat der bedingte Zugriff keine Auswirkungen auf das Verhalten einer App und erfordert in der Regel auch keine Änderungen durch den Entwickler. Nur in bestimmten Fällen, in denen eine App indirekt oder im Hintergrund ein Token für einen Dienst anfordert, sind Codeänderungen erforderlich, um Herausforderungen im Zusammenhang mit bedingtem Zugriff zu bewältigen. Dafür kann manchmal nur das Ausführen einer Anforderung für die interaktive Anmeldung erforderlich sein.

Insbesondere die folgenden Szenarien erfordern Code zum Behandeln der speziellen Anforderungen des bedingten Zugriffs:

  • Apps für den „Im Auftrag von“-Ablauf
  • Apps mit Zugriff auf mehrere Dienste/Ressourcen
  • Single-Page-Apps, die MSAL.js verwenden
  • Web-Apps, die eine Ressource aufrufen

Richtlinien für bedingten Zugriff können auf die App sowie auf eine Web-API angewendet werden, auf die Ihre App zugreift. Abhängig vom jeweiligen Szenario können Unternehmenskunden jederzeit Richtlinien für den bedingten Zugriff anwenden und entfernen. Damit Ihre App beim Anwenden einer neuen Richtlinie weiterhin funktioniert, implementieren Sie die Behandlung der speziellen Anforderungen.

Beispiele für den bedingten Zugriff

Einige Szenarien erfordern Änderungen am Code, um den bedingten Zugriff nutzen zu können, während andere ohne Änderungen funktionieren. Im Anschluss finden Sie einige Szenarien, in denen bedingter Zugriff für die mehrstufige Authentifizierung verwendet wird und die Aufschluss über den Unterschied geben.

  • Sie erstellen eine iOS-App mit nur einem Mandanten und wenden eine Richtlinie für den bedingten Zugriff an. Die App meldet einen Benutzer an, aber fordert keinen Zugriff auf eine API an. Wenn sich der Benutzer anmeldet, wird die Richtlinie automatisch aufgerufen, und der Benutzer muss eine mehrstufige Authentifizierung durchführen.

  • Sie erstellen eine App, die einen Dienst auf mittlerer Ebene für den Zugriff auf eine Downstream-API verwendet. Ein Unternehmenskunde, der diese App verwendet, wendet eine Richtlinie für die Downstream-API an. Wenn sich ein Endbenutzer anmeldet, fordert die App Zugriff auf die mittlere Ebene an und sendet das Token. Die mittlere Ebene führt den „Im Auftrag von“-Ablauf aus, um Zugriff auf die Downstream-API anzufordern. An diesem Punkt wird der mittleren Ebene eine Anspruchanforderung übermittelt. Die mittlere Ebene sendet die Anforderung wieder an die App, die ihrerseits die Richtlinie für bedingten Zugriff erfüllen muss.