Conditional Access: Richtlinien zur Sicherung von Cloud-Ressourcen in Azure AD erstellen


    Tags: , ,

    Azure Active DirectoryConditional Access ist eine Funk­tion von Azure Active Directory (AAD), welche besonders die Sicherheit für Remote-Mitarbeiter erhöht. Unter­nehmen können damit den Zugriff auf Cloud-Ressourcen abhängig von ver­schiedenen Bedin­gungen ein­schränken. Dieser Artikel zeigt, wie man solche Policies definiert.

    Um eine Richtlinie zu erstellen, melden Sie sich im Azure-Portal an und geben Sie "Conditional Access" bzw. "Bedingter Zugriff" (je nach Sprach­ein­stellungen) als Suchbegriff ein.

    Zugriff auf Conditional Access im Azure-Portal

    Sobald Sie auf die Seite zur Konfiguration des bedingten Zugriffs gewechselt sind, klicken Sie auf die Schaltfläche New policy.

    Erstellen einer neuen Richtlinie für Conditional Access

    Nach der Benennung der Policy definiert man im ersten Bereich der Konfiguration die Benutzer oder Gruppen, denen die Richtlinie zugewiesen wird. Sie haben hier die Möglichkeit, Benutzer sowohl einzuschließen als auch auszuschließen.

    Beachten Sie die Radio Buttons, die Ihnen eine granulare Auswahl ermöglichen, indem Sie entweder alle Benutzer oder bestimmte User und Gruppen auswählen.

    Auswahl der Benutzer und Gruppen aus, für welche die Richtlinie gelten soll

    Als Nächstes können Sie den Geltungs­bereich der Policy abhängig auf bestimmte Anwen­dungen einschränken. Ähnlich wie bei der Auswahl der Benutzer lassen sich Applikationen ein- oder ausschließen. Wir wählen in unserem Beispiel Office 365 als die Anwendung aus, für welche die Richtlinie gelten soll.

    Auswahl der Anwendung, die mit der Richtlinie für bedingten Zugriff geschützt werden soll

    Der Abschnitt Conditions bzw. Bedingungen bietet zusätzliche Optionen, um die Richtlinie für den bedingten Zugriff weiter einzugrenzen. Hier können Sie wählen, ob die Policy abhängig von folgenden Kriterien angewendet werden soll:

    • Geräteplattformen: Richtlinie gilt für ausgewählte Betriebssysteme
    • Standorte: Policy greift abhängig von dem IP-Bereich, von dem aus sich der Benutzer anmeldet
    • Client-Apps: Gültig für eine bestimmte Software, mit welcher der Benutzer auf die Cloud-App zugreift
    • Gerätestatus: Gibt an, ob das Gerät, von dem sich der Benutzer anmeldet, Hybrid Azure AD beigetreten ist oder als konform markiert ist
    • Benutzerrisiko: Stufen (hoch, mittel, niedrig), die für die Erzwingung der Richtlinie erforderlich sind
    • Anmelderisiko: Die Wahrscheinlichkeit, dass die Anmeldung von einer anderen Person als dem Benutzer stammt

    Wir wählen, wie in der nächsten Abbildung ersichtlich, die Geräte­plattform als Bedingung für die Anwendung der Richtlinie. Beachten Sie, dass man auch hier Betriebssysteme ein- oder ausschließen kann.

    Auswahl der Bedingungen, unter denen die Richtlinie angewendet werden soll

    Nach dem Festlegen der Bedingungen, die für die Richtlinie gelten sollen, können Sie auswählen, ob Sie den Benutzerzugriff sperren oder gewähren möchten. Die Option Grant Access lässt sich über mehrere interessante Einstellungen differenzieren. Dazu gehören:

    • Erfordert mehrstufige Authentifizierung
    • Markieren des Geräts als kompatibel erforderlich
    • In Azure AD eingebundenes Hybridgerät erforderlich
    • Genehmigte Client-App erforderlich
    • App-Schutzrichtlinie erforderlich

    Wir gewähren in dieser Richtlinie den Zugriff und verlangen eine Multifaktor-Authentifizierung für Benutzer, die mit einem beliebigen Gerätetyp auf Office 365 zugreifen dürfen.

    Die Policy erlaubt den Zugriff bei Einsatz von Multifaktor-Authentifizierung

    Der letzte Abschnitt betrifft die Konfiguration der Sitzung. Dort können Sie den Benutzerzugriff innerhalb bestimmter Cloud-Anwendungen einschränken. Die folgenden Einstellungen sind verfügbar:

    • Von der App erzwungene Einschränkungen verwenden
    • App-Steuerung für bedingten Zugriff verwenden
    • Anmeldehäufigkeit
    • Beständige Browser-Sitzung

    Das Beispiel in der folgenden Anmeldung zeigt, wie man über die Anmeldehäufigkeit eine Zeitspanne festlegt, nach der sich ein Benutzer erneut authentifizieren muss, wenn er auf eine Ressource zuzugreifen möchte.

    Benutzerzugriff basierend auf Sitzungsoptionen kontrollieren

    Nun kann die Richtlinie erstellt werden. Mit dem Schalter Richtlinie aktivieren haben Sie die Möglichkeit, die Policy auf folgende Arten zu betreiben:

    • Nur Bericht: Die Richtlinie wird in einem Überwachungs­modus erstellt, in dem Verstöße protokolliert, aber nicht blockiert werden
    • Ein: Die Richtlinie wird aktiviert und durchgesetzt
    • Aus: Die Richtlinie wird erstellt, aber ausgeschaltet

    Falls Sie die Sicherheits­standards aktiviert haben, die Microsoft als Best Practice empfiehlt, dann wird eine Warnung angezeigt, wonach Sie diese Vorgabewerte erst deaktivieren müssen, bevor Sie Ihre Umgebung mit eigenen Richtlinien steuern können.

    Aktivierungsmodus der Richtlinie festlegen

    Sie können die Sicherheits­standards ausschalten, indem Sie im Azure-Portal zu den Eigenschaften des Azure Active Directory navigieren. Wählen Sie Sicherheits­standards verwalten > Sicherheits­standards aktivieren und ändern Sie die Einstellung auf Nein.

    Deaktivieren der Sicherheitsstandards für Azure Active Directory

    Die Richtlinie für bedingten Zugriff wurde in unserem Beispiel erfolgreich im Nur-Bericht-Modus erstellt.

    Die Richtlinie für bedingten Zugriff wurde im Nur-Bericht-Modus erstellt.

    Zusammenfassung

    Richtlinien für Microsofts Conditional Access bieten flexible Möglichkeiten für Unternehmen, die Sicherheit außerhalb der lokalen Active Directory-Umgebung zu erhöhen. Sie sichern die Verbindungen zu Cloud-Anwendungen wie Office 365 zusätzlich ab und vermindern die Risiken für Mitarbeiter, die sich an beliebigen Standorten außerhalb der Firma befinden.

    Sie bieten verschiedenste Optionen, die auf Benutzer, Geräte, Standorte und Sitzungen angewendet werden können. Wie gezeigt, ist die Erstellung von Policies für Conditional Access ziemlich einfach und kann mit dem in Azure integrierten Assistenten erfolgen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.
    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links