Freigeben über

Multi-Faktor-Authentifizierung für erhöhtes Anmelderisiko erforderlich

Die meisten Benutzer haben ein normales Verhalten, das nachverfolgt werden kann. Wenn ihr Verhalten außerhalb dieser Norm liegt, kann es riskant sein, sie anmelden zu lassen. Möglicherweise möchten Sie den Benutzer blockieren oder ihn bitten, die mehrstufige Authentifizierung abzuschließen, um seine Identität zu bestätigen.

Das Anmelderisiko stellt die Wahrscheinlichkeit dar, dass eine Authentifizierungsanforderung nicht vom Identitätsbesitzer stammt. Organisationen mit Microsoft Entra ID P2-Lizenzen können Richtlinien für bedingten Zugriff erstellen, die Microsoft Entra ID Protection-Anmelderisikoerkennungen enthalten.

Die risikobasierte Anmelderichtlinie verhindert, dass Benutzer während riskanten Sitzungen MFA registrieren. Wenn Benutzer nicht für MFA registriert sind, werden ihre riskanten Anmeldungen blockiert und erhalten einen AADSTS53004 Fehler.

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools. Es wird empfohlen, die folgenden Konten aus Ihren Richtlinien auszuschließen:

  • Notfall- oder Break-Glass-Konten, um die Sperrung aufgrund von Richtlinienfehlern zu verhindern. In dem unwahrscheinlichen Szenario, in dem alle Administratoren gesperrt sind, kann Ihr Administratorkonto für den Notfallzugriff verwendet werden, um sich anzumelden und den Zugriff wiederherzustellen.
  • Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nichtinteraktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden in der Regel von Back-End-Diensten verwendet, um programmgesteuerten Zugriff auf Anwendungen zu ermöglichen, aber sie werden auch verwendet, um sich für administrative Zwecke bei Systemen anzumelden. Aufrufe von Dienstprinzipalen werden nicht durch Richtlinien für bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie bedingten Zugriff für Arbeitsauslastungsidentitäten, um Richtlinien zu definieren, die auf Dienstprinzipale abzielen.
    • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, ersetzen Sie sie durch verwaltete Identitäten.

Vorlagenbereitstellung

Organisationen können diese Richtlinie bereitstellen, indem Sie die unten beschriebenen Schritte ausführen oder die Vorlagen für bedingten Zugriff verwenden.

Aktivieren mit einer Richtlinie für bedingten Zugriff

  1. Melden Sie sich beim Microsoft Entra Admin-Center als mindestens Bedingter Zugriff-Administrator an.
  2. Navigieren Sie zu Entra ID>bedingter Zugriff.
  3. Wählen Sie "Neue Richtlinie" aus.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Optionen Benutzer oder Workload-Identitäten aus.
    1. Wählen Sie unter "Einschließen" "Alle Benutzer" aus.
    2. Wählen Sie unter "Ausschließen" die Option "Benutzer und Gruppen" aus, und wählen Sie die Notfallzugriffs- oder Break-Glass-Konten Ihrer Organisation aus.
    3. Wählen Sie "Fertig" aus.
  6. Wählen Sie unter "Cloud-Apps oder -Aktionen>Einschließen" die Option "Alle Ressourcen" (ehemals "Alle Cloud-Apps") aus.
  7. Legen Sie unter Bedingungen>AnmelderisikoKonfigurieren auf Ja fest.
    1. Wählen Sie unter "Anmelderisikostufe auswählen" "Hoch" und "Mittel" aus, auf das diese Richtlinie angewendet wird. Diese Anleitung basiert auf Microsoft-Empfehlungen und kann für jede Organisation unterschiedlich sein.
    2. Wählen Sie "Fertig" aus.
  8. Wählen Sie unter Zugriffssteuerung>gewähren, die Option Zugriff gewähren aus.
    1. Wählen Sie "Authentifizierungsstärke erforderlich" aus, und wählen Sie dann die integrierte Authentifizierungsstärke für die mehrstufige Authentifizierung aus der Liste aus.
    2. Wählen Sie "Auswählen" aus.
  9. Unter Sitzung.
    1. Wählen Sie die Anmeldehäufigkeit aus.
    2. Stellen Sie sicher, dass jedes Mal ausgewählt ist.
    3. Wählen Sie "Auswählen" aus.
  10. Bestätigen Sie Ihre Einstellungen und legen Sie Richtlinie aktivieren auf Nur Berichten fest.
  11. Wählen Sie "Erstellen" aus, um Ihre Richtlinie zu aktivieren.

Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".

Kennwortlose Szenarien

Für Organisationen, die kennwortlose Authentifizierungsmethoden einführen, nehmen die folgenden Änderungen vor:

Aktualisieren Ihrer kennwortlosen Anmelderisikorichtlinie

  1. Unter "Benutzer":
    1. Wählen Sie"Benutzer und Gruppen" aus und zielen Sie auf Ihre benutzer ohne Passwort ab.
    2. Wählen Sie unter "Ausschließen" die Option "Benutzer und Gruppen" aus, und wählen Sie die Notfallzugriffs- oder Break-Glass-Konten Ihrer Organisation aus.
    3. Wählen Sie "Fertig" aus.
  2. Wählen Sie unter "Cloud-Apps oder -Aktionen>einschließen" die Option "Alle Ressourcen " (früher "Alle Cloud-Apps") aus.
  3. Legen Sie unter Bedingungen>AnmelderisikoKonfigurieren auf Ja fest.
    1. Wählen Sie unter "Anmelderisikostufe auswählen" "Hoch" und "Mittel" aus, auf das diese Richtlinie angewendet wird. Weitere Informationen zu Risikostufen finden Sie unter Auswählen akzeptabler Risikostufen.
    2. Wählen Sie "Fertig" aus.
  4. Wählen Sie unter Zugriffssteuerung>gewähren, die Option Zugriff gewähren aus.
    1. Wählen Sie "Authentifizierungsstärke erforderlich" aus, und wählen Sie dann die integrierte kennwortlose MFA oder Phishing-beständige MFA basierend auf der Methode aus, die die Benutzer verwenden.
    2. Wählen Sie "Auswählen" aus.
  5. Unter Session:
    1. Wählen Sie die Anmeldehäufigkeit aus.
    2. Stellen Sie sicher, dass jedes Mal ausgewählt ist.
    3. Wählen Sie "Auswählen" aus.

Zugehöriger Inhalt