Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Moderne Sicherheit geht über die Grenzen des Netzwerks einer Organisation hinaus und umfasst auch die Identität von Benutzern und Geräten. Unternehmen verwenden jetzt im Rahmen ihrer Entscheidungen über die Zugriffskontrolle identitätsgesteuerte Signale. Mit dem bedingten Zugriff von Microsoft Entra werden zur Entscheidungsfindung und zum Durchsetzen von Organisationsrichtlinien Signale zusammengeführt. Bedingter Zugriff ist das Zero Trust-Richtlinienmodul von Microsoft, das Signale aus verschiedenen Quellen bei der Durchsetzung von Richtlinienentscheidungen berücksichtigt.
Richtlinien für bedingten Zugriff am einfachsten sind if-then-Anweisungen; wenn ein Benutzer auf eine Ressource zugreifen möchte, muss er eine Aktion ausführen. Beispiel: Wenn ein Benutzer oder eine Benutzerin auf eine Anwendung oder einen Dienst wie Microsoft 365 zugreifen möchte, muss er bzw. sie die Multi-Faktor-Authentifizierung durchführen, um Zugriff zu erhalten.
Administratoren stehen vor zwei primären Zielen:
- Schaffen von Bedingungen für Benutzer, unter denen sie an jedem Ort und zu jeder Zeit produktiv sein können
- Schützen der Ressourcen einer Organisation
Verwenden Sie Richtlinien für den bedingten Zugriff, um bei Bedarf die richtigen Zugriffskontrollen anzuwenden und die Sicherheit Ihres Unternehmens zu gewährleisten.
Wichtig
Richtlinien für den bedingten Zugriff werden durchgesetzt, wenn die First-Factor-Authentifizierung abgeschlossen ist. Bedingter Zugriff ist nicht für die Frontline der Verteidigung einer Organisation für Szenarien wie Denial-of-Service -Angriffe (DoS) vorgesehen, kann jedoch Signale von diesen Ereignissen verwenden, um den Zugriff zu bestimmen.
Häufige Signale
Bedingter Zugriff verwendet Signale aus verschiedenen Quellen, um Zugriffsentscheidungen zu treffen.
Zu diesen Signalen zählen:
- Benutzer oder Gruppenmitgliedschaft
- Richtlinien können auf bestimmte Benutzer und Gruppen ausgerichtet werden, die Administratoren eine differenzierte Kontrolle über den Zugriff gewähren.
- IP-Standortinformationen
- Organisationen können vertrauenswürdige IP-Adressbereiche erstellen, die beim Treffen von Richtlinienentscheidungen verwendet werden können.
- Administratoren können IP-Adressbereiche gesamter Länder oder Regionen angeben, aus denen der Datenverkehr blockiert oder zugelassen wird.
- Sicherungsmedium
- Benutzer mit Geräten bestimmter Plattformen oder mit einer Kennzeichnung zu einem bestimmten Zustand können beim Erzwingen von Richtlinien für den bedingten Zugriff verwendet werden.
- Verwenden Sie Filter für Geräte, um Richtlinien auf bestimmte Geräte wie Arbeitsstationen mit privilegiertem Zugriff anzuwenden.
- Anwendung
- Lösen Sie unterschiedliche bedingte Zugriffsrichtlinien aus, wenn Benutzer versuchen, auf bestimmte Anwendungen zuzugreifen.
- Erkennung in Echtzeit und kalkulierte Risiken
- Integrieren Sie Signale von Microsoft Entra ID Protection , um riskante Benutzer und Anmeldeverhalten zu identifizieren und zu beheben.
-
Microsoft Defender für Cloud-Apps
- Überwachen und Steuern des Benutzeranwendungszugriffs und der Sitzungen in Echtzeit. Diese Integration verbessert die Sichtbarkeit und Kontrolle über den Zugriff und die Aktivitäten in Ihrer Cloudumgebung.
Häufige Entscheidungen
- Der Zugriff blockieren ist die restriktivste Entscheidung.
- Gewähren des Zugriffs.
- Eine weniger restriktive Entscheidung, die eine oder mehrere der folgenden Optionen erfordern kann:
- Multifaktor-Authentifizierung erforderlich.
- Authentifizierungsstärke erforderlich.
- Fordern Sie an, dass das Gerät als kompatibel gekennzeichnet wird.
- Erfordert ein in Microsoft Entra Hybrid eingebundenes Gerät.
- Erfordert eine genehmigte Client-App.
- Erfordert eine App-Schutzrichtlinie.
- Kennwortänderung erforderlich.
- Nutzungsbedingungen erforderlich.
Häufig verwendete Richtlinien
Viele Organisationen haben allgemeine Zugriffsbedenken, bei denen Richtlinien für bedingten Zugriff hilfreich sein können, z. B.:
- Erzwingen der Multi-Faktor-Authentifizierung für Benutzer mit Administratorrollen
- Erzwingen der Multi-Faktor-Authentifizierung für Azure-Verwaltungsaufgaben
- Blockieren von Anmeldungen für Benutzer, die ältere Authentifizierungsprotokolle verwenden
- Anfordern vertrauenswürdiger Speicherorte für die Registrierung von Sicherheitsinformationen
- Blockieren oder Gewähren von Zugriff von bestimmten Standorten aus
- Blockieren riskanter Anmeldeverhalten
- Erzwingen von durch die Organisation verwaltete Geräte für bestimmte Anwendungen
Administratoren können Richtlinien ganz neu erstellen oder mit einer Vorlagenrichtlinie im Portal oder mithilfe der Microsoft Graph-API beginnen.
Admin Erfahrung
Administratoren mit der Rolle " Administrator für bedingten Zugriff " können Richtlinien verwalten.
Den bedingten Zugriff finden Sie im Microsoft Entra Admin Center unter entra ID>Conditional Access.
- Auf der Seite "Übersicht " finden Sie eine Zusammenfassung des Richtlinienzustands, der Benutzer, Geräte und Anwendungen sowie allgemeine und Sicherheitswarnungen mit Vorschlägen.
- Auf der Seite " Abdeckung " wird eine Zusammenfassung der Anwendungen mit und ohne Richtlinienabdeckung für bedingten Zugriff in den letzten sieben Tagen angezeigt.
- Auf der Seite "Überwachung " können Administratoren ein Diagramm mit Anmeldungen anzeigen, die gefiltert werden können, um potenzielle Lücken in der Richtlinienabdeckung anzuzeigen.
Richtlinien für bedingten Zugriff auf der Seite "Richtlinien " können von Administratoren basierend auf Elementen wie Akteur, Zielressource, Bedingung, angewendetes Steuerelement, Status oder Datum gefiltert werden. Mit dieser Filterfunktion können Administratoren bestimmte Richtlinien basierend auf ihrer Konfiguration schnell finden.
Agent zur Optimierung des bedingten Zugriffs
Der Optimierungs-Agent für bedingten Zugriff (Vorschau) mit Microsoft Security Copilot schlägt neue Richtlinien und Änderungen an vorhandenen Richtlinien basierend auf Zero Trust-Prinzipien und bewährten Microsoft-Methoden vor. Wenden Sie mit einem Klick den Vorschlag an, um eine Richtlinie für bedingten Zugriff automatisch zu aktualisieren oder zu erstellen. Der Agent benötigt mindestens die Microsoft Entra ID P1-Lizenz und Sicherheits-Computeeinheiten (SCU).
Lizenzanforderungen
Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zum Ermitteln der richtigen Lizenz für Ihre Anforderungen finden Sie unter Vergleichen allgemein verfügbarer Features von Microsoft Entra ID.
Kunden mit Microsoft 365 Business Premium-Lizenzen können auch Features für bedingten Zugriff verwenden.
Andere Produkte und Funktionen, die unter Umständen mit Richtlinien für bedingten Zugriff interagieren, erfordern eine entsprechende Lizenzierung für die betreffenden Produkte und Funktionen. Dazu gehören microsoft Entra Workload ID, Microsoft Entra ID Protection und Microsoft Purview.
Wenn die für bedingten Zugriff erforderlichen Lizenzen ablaufen, werden Richtlinien nicht automatisch deaktiviert oder gelöscht. Mit diesem gleitenden Übergang können Kunden von Richtlinien für bedingten Zugriff abwandern, ohne dass sich unerwartet der Sicherheitsstatus ändert. Sie können verbleibende Richtlinien anzeigen und löschen, aber sie können sie nicht aktualisieren.
Sicherheitsstandardwerte helfen beim Schutz vor identitätsbezogenen Angriffen und sind für alle Kunden verfügbar.
Zero-Trust
Dieses Feature hilft Organisationen, ihre Identitäten mit den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Von einer Sicherheitsverletzung ausgehen
Weitere Informationen zu Zero Trust und anderen Methoden zum Ausrichten Ihrer Organisation an die Leitprinzipien finden Sie im Zero Trust Guidance Center.