Aktivieren der konformen Netzwerküberprüfung mit bedingtem Zugriff

Organisationen, die bedingten Zugriff zusammen mit dem globalen sicheren Zugriff verwenden, können böswillige Zugriffe auf Microsoft-Apps, SaaS-Apps von Drittanbietern und Private Line-of-Business-Apps (LoB) mit mehreren Bedingungen verhindern, um eine umfassende Verteidigung bereitzustellen. Diese Bedingungen können eine starke Faktorauthentifizierung, Gerätekonformität, Standort und andere umfassen. Durch das Aktivieren dieser Bedingungen wird Ihre Organisation vor der Kompromittierung von Benutzeridentitäten oder dem Diebstahl von Token geschützt. Mit „globaler sicherer Zugriff“ wird das Konzept eines konformen Netzwerks innerhalb des bedingten Zugriffs von Microsoft Entra ID eingeführt. Diese kompatible Netzwerküberprüfung stellt sicher, dass Benutzer über den globalen Sicheren Zugriffsdienst für ihren jeweiligen Mandanten eine Verbindung herstellen und die von Administratoren erzwungenen Sicherheitsrichtlinien einhalten.

Mit dem Global Secure Access-Client, der auf Geräten oder im konfigurierten Remotenetzwerk installiert ist, können Administratoren Ressourcen hinter einem konformen Netzwerk mit erweiterten Kontrollen für bedingten Zugriff schützen. Diese konforme Netzwerkfunktion erleichtert es Administratoren, Zugriffsrichtlinien zu verwalten, ohne eine Liste von ausgehenden IP-Adressen führen zu müssen. Sie beseitigt auch die Notwendigkeit, den Datenverkehr über das VPN der Organisation umzuleiten, um die Quell-IP-Ankerung beizubehalten und IP-basierte Richtlinien für bedingten Zugriff anzuwenden. Weitere Informationen zum bedingten Zugriff finden Sie unter Was ist bedingter Zugriff?

Erzwingen der Überprüfung der Netzwerkkonformität

Konforme Netzwerkdurchsetzung reduziert das Risiko von Tokendiebstahl/Replay-Angriffen. Die Erzwingung auf Authentifizierungsebene erfolgt bei der Benutzerauthentifizierung durch Microsoft Entra ID. Wenn durch einen Angriff ein Sitzungstoken gestohlen wurde und versucht wird, diesen von einem Gerät aus abzuspielen, das nicht mit dem kompatiblen Netzwerk Ihrer Organisation verbunden ist (z.B. Anforderung eines Zugriffstokens mit einem gestohlenen Refresh-Token), wird Entra ID die Anforderung sofort verweigern und der weitere Zugriff wird blockiert. Die Durchsetzung auf Datenebene funktioniert mit Diensten, die in Global Secure Access integriert sind und die Continuous Access Evaluation (CAE) unterstützen - aktuell Microsoft Graph. Bei Anwendungen, die CAE unterstützen, werden gestohlene Zugriffstoken, die außerhalb des kompatiblen Netzwerks Ihres Mandanten wiedergegeben werden, von der Anwendung nahezu in Echtzeit zurückgewiesen. Ohne CAE bleibt ein gestohlenes Zugriffstoken während seiner gesamten Lebensdauer gültig (Der Standardwert liegt zwischen 60 und 90 Minuten).

Diese Netzwerk-Compliance-Prüfung ist spezifisch für den Mandanten, in dem sie konfiguriert ist. Wenn Sie beispielsweise eine Richtlinie für bedingten Zugriff definieren, die ein kompatibles Netzwerk in contoso.com erfordert, können nur Benutzer mit dem globalen sicheren Zugriff oder mit der Remotenetzwerkkonfiguration dieses Steuerelements übergeben. Ein Benutzer von fabrikam.com kann die Richtlinie für konforme Netzwerke von contoso.com nicht umgehen.

Das kompatible Netzwerk unterscheidet sich von IPv4, IPv6 oder geografischen Standorten, die Sie möglicherweise in Microsoft Entra konfigurieren. Administratoren müssen konforme IP-Adressen/-Bereiche im Netzwerk nicht überprüfen und pflegen, was die Sicherheit erhöht und den Verwaltungsaufwand minimiert.

Voraussetzungen

• Administratoren, die mit globalen Features für den sicheren Zugriff interagieren, müssen je nach den aufgaben, die sie ausführen, über eine oder mehrere der folgenden Rollenzuweisungen verfügen.
  • Die Rolle "Globaler Administrator für sicheren Zugriff " zum Verwalten der globalen Features für den sicheren Zugriff.
  • Administrator für bedingten Zugriff, um die Signalisierung für Global Secure Access für bedingten Zugriff zu aktivieren sowie Richtlinien für bedingten Zugriff und benannte Speicherorte zu erstellen und mit diesen zu interagieren.
• Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt "Lizenzierung" des globalen sicheren Zugriffs. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.

Bekannte Einschränkungen

Ausführliche Informationen zu bekannten Problemen und Einschränkungen finden Sie unter "Bekannte Einschränkungen für den globalen sicheren Zugriff".

Aktivieren der Signalisierung des globalen sicheren Zugriffs für bedingten Zugriff

Um die erforderliche Einstellung zum Zulassen der Netzwerkkonformitätsprüfung zu aktivieren, müssen Administratoren die folgenden Schritte ausführen.

1. Melden Sie sich beim Microsoft Entra Admin Center mit einem Konto an, das die Rolle " Globaler Administrator für sicheren Zugriff " und "Administrator für bedingten Zugriff " aktiviert hat.
2. Navigieren Sie zu Global Secure Access>Einstellungen>Sitzungsverwaltung>Adaptiver Zugriff.
3. Wählen Sie den Schalter CA-Signalisierung für Entra ID aktivieren (für alle Apps in der Cloud).
4. Navigieren Sie zu Entra ID>bedingter Zugriff>benannte Standorte.
   1. Vergewissern Sie sich, dass Sie über einen Speicherort mit dem Namen "Alle kompatiblen Netzwerkspeicherorte " mit dem Standorttyp "Netzwerkzugriff" verfügen. Organisationen können diesen Speicherort optional als vertrauenswürdig markieren.

Schützen Sie Ihre Ressourcen hinter dem konformen Netzwerk

Die kompatible Richtlinie für bedingten Netzwerkzugriff kann verwendet werden, um Ihre Microsoft- und Drittanbieteranwendungen zu schützen, die in das einmalige Anmelden mit entra ID integriert sind. Eine typische Richtlinie verfügt über eine Blockzuweisung für alle Netzwerkorte mit Ausnahme des konformen Netzwerks. Das folgende Beispiel veranschaulicht die Schritte zum Konfigurieren dieses Richtlinientyps:

1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein Administrator für bedingten Zugriff an.
2. Navigieren Sie zu Entra ID>Conditional Access.
3. Wählen Sie " Neue Richtlinie erstellen" aus.
4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
5. Wählen Sie unter AufgabenBenutzer oder Workload-Identitäten aus.
   1. Wählen Sie unter "Einschließen" "Alle Benutzer" aus.
   2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihrer Organisation aus.
6. Unter Zielressourcen>einschließen, und wählen Sie alle Ressourcen (ehemals 'Alle Cloud-Apps') aus.
   1. Wenn Ihre Organisation Geräte bei Microsoft Intune registriert, wird empfohlen, die Anwendungen Microsoft Intune-Registrierung und Microsoft Intune aus Ihrer Richtlinie für bedingten Zugriff auszuschließen, um eine Zirkelabhängigkeit zu vermeiden.
7. Unter Netzwerk.
   1. Legen Sie "Konfigurieren" auf "Ja" fest.
   2. Wählen Sie unter Einschließen die Option Alle Standorte aus.
   3. Wählen Sie unter Ausschließen den Ort Alle konformen Netzwerkorte.
8. Unter Zugriffssteuerungen:
   1. Erteilen, Zugriff blockieren auswählen, und Auswählen auswählen.
9. Bestätigen Sie die Einstellungen und legen Sie Richtlinie aktivieren auf Ein fest.
10. Wählen Sie die Schaltfläche " Erstellen " aus, um Ihre Richtlinie zu aktivieren.

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools. Es wird empfohlen, die folgenden Konten aus Ihren Richtlinien auszuschließen:

• Notfallzugriffskonten oder Notfallkonten zum Verhindern einer Sperrung aufgrund von falsch konfigurierten Richtlinien. In dem unwahrscheinlichen Szenario, in dem alle Administratoren gesperrt sind, kann Ihr Administratorkonto für den Notfallzugriff verwendet werden, um sich anzumelden und den Zugriff wiederherzustellen.
  • Weitere Informationen finden Sie im Artikel "Verwalten von Notfallzugriffskonten in Microsoft Entra ID".
• Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nichtinteraktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden in der Regel von Back-End-Diensten verwendet, um programmgesteuerten Zugriff auf Anwendungen zu ermöglichen, aber sie werden auch verwendet, um sich für administrative Zwecke bei Systemen anzumelden. Aufrufe von Dienstprinzipalen werden nicht durch Richtlinien für bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie bedingten Zugriff für Arbeitsauslastungsidentitäten, um Richtlinien zu definieren, die auf Dienstprinzipale abzielen.
  • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, ersetzen Sie sie durch verwaltete Identitäten.

Testen Ihrer konformen Netzwerkrichtlinie

1. Navigieren Sie auf einem Endbenutzergerät mit dem installierten und ausgeführten Global Secure Access-Client zu https://myapps.microsoft.com, oder zu einer anderen Anwendung, die Entra ID Single Sign-On in Ihrem Mandanten verwendet.
2. Klicken Sie mit der rechten Maustaste auf das Global Secure Access-Client-Symbol in der Windows-Taskleiste und wählen Sie „Deaktivieren“.
3. Nachdem Sie den globalen Secure Access-Client deaktiviert haben, greifen Sie auf eine andere Anwendung zu, die mit dem einmaligen Anmelden der Entra-ID integriert ist. Sie können beispielsweise versuchen, sich beim Azure-Portal anzumelden. Ihr Zugriff sollte durch den bedingten Zugriff von Entra ID blockiert werden.

Nächste Schritte

Universelle Mandanteneinschränkungen