Tags: Azure, Active Directory, Authentifizierung
Conditional Access ist eine Funktion von Azure Active Directory (AAD), welche besonders die Sicherheit für Remote-Mitarbeiter erhöht. Unternehmen können damit den Zugriff auf Cloud-Ressourcen abhängig von verschiedenen Bedingungen einschränken. Dieser Artikel zeigt, wie man solche Policies definiert.
Um eine Richtlinie zu erstellen, melden Sie sich im Azure-Portal an und geben Sie "Conditional Access" bzw. "Bedingter Zugriff" (je nach Spracheinstellungen) als Suchbegriff ein.
Sobald Sie auf die Seite zur Konfiguration des bedingten Zugriffs gewechselt sind, klicken Sie auf die Schaltfläche New policy.
Nach der Benennung der Policy definiert man im ersten Bereich der Konfiguration die Benutzer oder Gruppen, denen die Richtlinie zugewiesen wird. Sie haben hier die Möglichkeit, Benutzer sowohl einzuschließen als auch auszuschließen.
Beachten Sie die Radio Buttons, die Ihnen eine granulare Auswahl ermöglichen, indem Sie entweder alle Benutzer oder bestimmte User und Gruppen auswählen.
Als Nächstes können Sie den Geltungsbereich der Policy abhängig auf bestimmte Anwendungen einschränken. Ähnlich wie bei der Auswahl der Benutzer lassen sich Applikationen ein- oder ausschließen. Wir wählen in unserem Beispiel Office 365 als die Anwendung aus, für welche die Richtlinie gelten soll.
Der Abschnitt Conditions bzw. Bedingungen bietet zusätzliche Optionen, um die Richtlinie für den bedingten Zugriff weiter einzugrenzen. Hier können Sie wählen, ob die Policy abhängig von folgenden Kriterien angewendet werden soll:
- Geräteplattformen: Richtlinie gilt für ausgewählte Betriebssysteme
- Standorte: Policy greift abhängig von dem IP-Bereich, von dem aus sich der Benutzer anmeldet
- Client-Apps: Gültig für eine bestimmte Software, mit welcher der Benutzer auf die Cloud-App zugreift
- Gerätestatus: Gibt an, ob das Gerät, von dem sich der Benutzer anmeldet, Hybrid Azure AD beigetreten ist oder als konform markiert ist
- Benutzerrisiko: Stufen (hoch, mittel, niedrig), die für die Erzwingung der Richtlinie erforderlich sind
- Anmelderisiko: Die Wahrscheinlichkeit, dass die Anmeldung von einer anderen Person als dem Benutzer stammt
Wir wählen, wie in der nächsten Abbildung ersichtlich, die Geräteplattform als Bedingung für die Anwendung der Richtlinie. Beachten Sie, dass man auch hier Betriebssysteme ein- oder ausschließen kann.
Nach dem Festlegen der Bedingungen, die für die Richtlinie gelten sollen, können Sie auswählen, ob Sie den Benutzerzugriff sperren oder gewähren möchten. Die Option Grant Access lässt sich über mehrere interessante Einstellungen differenzieren. Dazu gehören:
- Erfordert mehrstufige Authentifizierung
- Markieren des Geräts als kompatibel erforderlich
- In Azure AD eingebundenes Hybridgerät erforderlich
- Genehmigte Client-App erforderlich
- App-Schutzrichtlinie erforderlich
Wir gewähren in dieser Richtlinie den Zugriff und verlangen eine Multifaktor-Authentifizierung für Benutzer, die mit einem beliebigen Gerätetyp auf Office 365 zugreifen dürfen.
Der letzte Abschnitt betrifft die Konfiguration der Sitzung. Dort können Sie den Benutzerzugriff innerhalb bestimmter Cloud-Anwendungen einschränken. Die folgenden Einstellungen sind verfügbar:
- Von der App erzwungene Einschränkungen verwenden
- App-Steuerung für bedingten Zugriff verwenden
- Anmeldehäufigkeit
- Beständige Browser-Sitzung
Das Beispiel in der folgenden Anmeldung zeigt, wie man über die Anmeldehäufigkeit eine Zeitspanne festlegt, nach der sich ein Benutzer erneut authentifizieren muss, wenn er auf eine Ressource zuzugreifen möchte.
Nun kann die Richtlinie erstellt werden. Mit dem Schalter Richtlinie aktivieren haben Sie die Möglichkeit, die Policy auf folgende Arten zu betreiben:
- Nur Bericht: Die Richtlinie wird in einem Überwachungsmodus erstellt, in dem Verstöße protokolliert, aber nicht blockiert werden
- Ein: Die Richtlinie wird aktiviert und durchgesetzt
- Aus: Die Richtlinie wird erstellt, aber ausgeschaltet
Falls Sie die Sicherheitsstandards aktiviert haben, die Microsoft als Best Practice empfiehlt, dann wird eine Warnung angezeigt, wonach Sie diese Vorgabewerte erst deaktivieren müssen, bevor Sie Ihre Umgebung mit eigenen Richtlinien steuern können.
Sie können die Sicherheitsstandards ausschalten, indem Sie im Azure-Portal zu den Eigenschaften des Azure Active Directory navigieren. Wählen Sie Sicherheitsstandards verwalten > Sicherheitsstandards aktivieren und ändern Sie die Einstellung auf Nein.
Die Richtlinie für bedingten Zugriff wurde in unserem Beispiel erfolgreich im Nur-Bericht-Modus erstellt.
Zusammenfassung
Richtlinien für Microsofts Conditional Access bieten flexible Möglichkeiten für Unternehmen, die Sicherheit außerhalb der lokalen Active Directory-Umgebung zu erhöhen. Sie sichern die Verbindungen zu Cloud-Anwendungen wie Office 365 zusätzlich ab und vermindern die Risiken für Mitarbeiter, die sich an beliebigen Standorten außerhalb der Firma befinden.
Sie bieten verschiedenste Optionen, die auf Benutzer, Geräte, Standorte und Sitzungen angewendet werden können. Wie gezeigt, ist die Erstellung von Policies für Conditional Access ziemlich einfach und kann mit dem in Azure integrierten Assistenten erfolgen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- MFA, FIDO2, Authenticator App, Hello for Business: Methoden zur Authentifizierung am (hybriden) Azure Active Directory
Weitere Links