Bedingter Zugriff: Benutzer, Gruppen und Workloadidentitäten

Eine Richtlinie für bedingten Zugriff muss eine Benutzer-, Gruppen- oder Workloadidentitätszuweisung als eines der Signale im Entscheidungsprozess einschließen. Diese Identitäten können in Richtlinien für bedingten Zugriff eingeschlossen oder davon ausgeschlossen werden. Microsoft Entra ID wertet alle Richtlinien aus und stellt sicher, dass alle Anforderungen erfüllt sind, bevor Zugriff gewährt wird.

Einschließen von Benutzern

Diese Liste von Benutzern umfasst in der Regel alle Benutzer, die eine Organisation in einer Richtlinie für bedingten Zugriff berücksichtigt.

Beim Erstellen einer Richtlinie für bedingten Zugriff sind die folgenden Optionen zum Einschließen verfügbar.

• Keine
  • Keine Benutzer ausgewählt
• Alle Benutzer
  • Alle Benutzer, die im Verzeichnis vorhanden sind, einschließlich der B2B-Gäste.
• Auswählen von „Benutzer und Gruppen“
  • Gastbenutzer oder externe Benutzer
    • Diese Auswahl bietet mehrere Optionen, mit denen Sie Richtlinien für bedingten Zugriff auf bestimmte Typen von Gastbenutzern oder externen Benutzern sowie auf bestimmte Mandanten anwenden können, die diese Benutzertypen enthalten. Es können verschiedene Typen von Gastbenutzern oder externen Benutzern ausgewählt werden, und es ist eine Mehrfachauswahl möglich:
      • B2B Collaboration-Gastbenutzer
      • B2B Collaboration-Mitgliederbenutzer
      • B2B Direct Connect-Benutzer
      • Lokale Gastbenutzer, z. B. Benutzer, die zum Basismandanten gehören und deren Benutzertypattribut auf Gast festgelegt ist
      • Dienstanbieterbenutzer, z. B. ein Cloudlösungsanbieter (Cloud Solution Provider, CSP)
      • Andere externe Benutzer oder Benutzer, die nicht durch die Auswahl der anderen Benutzertypen repräsentiert werden
    • Für die ausgewählten Benutzertypen können Sie einen oder mehrere Mandanten angeben, oder Sie können alle Mandanten angeben.
  • Verzeichnisrollen
    • Diese ermöglicht es Administratoren, bestimmte integrierte AD Verzeichnisrollen auszuwählen, die zum Bestimmen der Richtlinienzuweisung verwendet werden. Beispielsweise können Organisationen eine restriktivere Richtlinie für Benutzer erstellen, denen aktiv eine privilegierte Rolle zugewiesen ist. Andere Rollentypen werden nicht unterstützt, einschließlich Rollen und benutzerdefinierte Rollen, die auf den Bereich der Verwaltungseinheit bezogen sind.
      • Mit bedingtem Zugriff können Administratoren einige Rollen auswählen, die als veraltet aufgeführt sind. Diese Rollen werden weiterhin in der zugrunde liegenden API angezeigt und Administratoren können Richtlinien auf sie anwenden.
  • Benutzer und Gruppen
    • Ermöglicht das Einbeziehen bestimmter Gruppen von Benutzern. Beispielsweise können Organisationen eine Gruppe auswählen, die alle Mitglieder der Personalabteilung enthält, wenn eine HR-App als Cloud-App ausgewählt wurde. Als Gruppe gilt eine beliebige Benutzergruppe in Microsoft Entra ID, einschließlich dynamischer oder zugewiesener Sicherheits- und Verteilungsgruppen. Die Richtlinie wird auf geschachtelte Benutzer*innen und Gruppen angewendet.

Ausschließen von Benutzern

Wenn Organisationen Benutzer*innen oder Gruppen sowohl ein- als auch ausschließen, werden die betreffenden Benutzer*innen oder Gruppen von der Richtlinie ausgeschlossen. Eine Ausschlussaktion setzt die Einschlussaktion in der Richtlinie außer Kraft. Ausschlüsse werden häufig für Notfallzugriffskonten verwendet. Weitere Informationen zu Notfallzugriffskonten und warum sie wichtig sind, finden Sie in den folgenden Artikeln:

• Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID
• Erstellen einer resilienten Verwaltungsstrategie für die Zugriffssteuerung in Microsoft Entra ID

Beim Erstellen einer Richtlinie für bedingten Zugriff sind die folgenden Optionen zum Ausschließen verfügbar.

• Gastbenutzer oder externe Benutzer
  • Diese Auswahl bietet mehrere Optionen, mit denen Sie Richtlinien für bedingten Zugriff auf bestimmte Typen von Gastbenutzern oder externen Benutzern sowie auf bestimmte Mandanten anwenden können, die diese Benutzertypen enthalten. Es können verschiedene Typen von Gastbenutzern oder externen Benutzern ausgewählt werden, und es ist eine Mehrfachauswahl möglich:
    • B2B Collaboration-Gastbenutzer
    • B2B Collaboration-Mitgliederbenutzer
    • B2B Direct Connect-Benutzer
    • Lokale Gastbenutzer, z. B. Benutzer, die zum Basismandanten gehören und deren Benutzertypattribut auf Gast festgelegt ist
    • Dienstanbieterbenutzer, z. B. ein Cloudlösungsanbieter (Cloud Solution Provider, CSP)
    • Andere externe Benutzer oder Benutzer, die nicht durch die Auswahl der anderen Benutzertypen repräsentiert werden
  • Für die ausgewählten Benutzertypen können Sie einen oder mehrere Mandanten angeben, oder Sie können alle Mandanten angeben.
• Verzeichnisrollen
  • Diese Option ermöglicht Administrator*innen das Auswählen bestimmter Microsoft Entra-Verzeichnisrollen zum Festlegen der Zuweisung.
• Benutzer und Gruppen
  • Ermöglicht das Einbeziehen bestimmter Gruppen von Benutzern. Beispielsweise können Organisationen eine Gruppe auswählen, die alle Mitglieder der Personalabteilung enthält, wenn eine HR-App als Cloud-App ausgewählt wurde. Als Gruppe gilt eine beliebige Gruppe in Microsoft Entra ID, einschließlich dynamischer oder zugewiesener Sicherheits- und Verteilungsgruppen. Die Richtlinie wird auf geschachtelte Benutzer*innen und Gruppen angewendet.

Verhindern der Administratorsperre

Um beim Erstellen einer Richtlinie, die auf Alle Benutzer und Alle Apps angewendet wird, eine Administratorsperre zu verhindern, wird die folgende Warnung angezeigt.

Sperren Sie sich nicht aus! Wir empfehlen, die Richtlinie zuerst auf eine kleine Gruppe von Benutzern anzuwenden und zu überprüfen, ob sie sich erwartungsgemäß verhält. Wir empfehlen auch, mindestens einen Administrator von dieser Richtlinie auszuschließen. So wird sichergestellt, dass Sie weiterhin Zugriff haben und die Richtlinie bei Bedarf aktualisieren können. Überprüfen Sie die betroffenen Benutzer und Apps.

Standardmäßig bietet die Richtlinie eine Option, um den aktuellen Benutzer/die aktuelle Benutzerin von der Richtlinie auszuschließen. Diese Standardeinstellung kann jedoch von Administrator*innen außer Kraft gesetzt werden, wie in der folgenden Abbildung dargestellt.

Wenn Sie feststellen, dass Sie ausgesperrt sind, finden Sie weitere Informationen unter Was ist zu tun, wenn Sie ausgesperrt sind?

Zugriff externer Partner

Richtlinien für bedingten Zugriff, die für externe Benutzer vorgesehen sind, können den Zugriff durch Dienstanbieter beeinträchtigen, z. B. für differenzierte delegierte Administratorrechte. Weitere Informationen finden Sie in der Einführung in differenzierte delegierte Administratorrechte (GDAP). Verwenden Sie für Richtlinien, die für Mandanten des Dienstanbieters vorgesehen sind, den externen Benutzertyp Dienstanbieterbenutzer, der in den Auswahloptionen Gastbenutzer oder externe Benutzer verfügbar ist.

Workloadidentitäten

Eine Workloadidentität ist eine Identität, die einer Anwendung oder einem Dienstprinzipal den Zugriff auf Ressourcen ermöglicht, manchmal im Kontext eines Benutzers. Richtlinien für bedingten Zugriff können auf Dienstprinzipale mit nur einem Mandanten angewendet werden, die in Ihrem Mandanten registriert sind. Nicht von Microsoft stammende SaaS- und mehrinstanzenfähige Apps liegen außerhalb des Gültigkeitsbereichs. Verwaltete Identitäten werden durch die Richtlinie nicht abgedeckt.

Organisationen können gezielt bestimmte Workloadidentitäten in die Richtlinie aufnehmen oder davon ausschließen.

Weitere Informationen finden Sie im Artikel Bedingter Zugriff für Workloadidentitäten.

Nächste Schritte

• Bedingter Zugriff: Cloud-Apps oder -aktionen
• Allgemeine Richtlinien für bedingten Zugriff