Conditional Access: Unsicheren Zugriff blockieren und MFA, konforme Geräte oder Passwortwechsel erzwingen


    Tags: , ,

    Azure Active DirectoryMit Conditional Access (CA), einer Funktion von Azure Active Directory Premium, können Unter­nehmen den Zugriff auf lokale und Cloud-Anwendungen absichern. Mit Hilfe von Richtlinien können sie bestimmen, unter welchen Bedingungen und auf welche Weise die Benutzer und Geräte auf ihre IT-Ressourcen zugreifen dürfen.

    Die Richtlinien eines lokalen Active Directory können keine angemessene Sicherheit für Benutzer bieten, die ohne VPN von zu Hause aus oder in fremden Netzwerken arbeiten. Microsofts AAD Conditional Access setzt Policies für Benutzer durch, basierend auf den Umständen ihres Zugriffs und abhängig von ihrem Standort oder dem Gerät, das sie verwenden.

    Microsoft beschreibt Conditional Access (Bedingter Zugriff) als eine Art "Wenn-dann"-Anweisung, die den Kontext des Benutzers sowie andere Merkmale auswertet. Wenn ein User auf eine Ressource zugreifen möchte, dann wird eine bestimmte Aktion ausgeführt. Als Auslöser dafür dienen so genannte Signale des Benutzers.

    Workflow für den bedingten Zugriff in Azure Active Directory

    Signale und davon abhängige Reaktionen

    Diese Signale können Folgendes umfassen:

    • Zugehörigkeit zu Gruppen: CA-Richtlinien lassen sich an einzelne Konten oder die Mitgliedschaft in Gruppen binden.
    • Netzwerk: Admins können unter anderem IP-Adressbereiche verwenden, um Entscheidungen für die Durchsetzung von Richtlinien zu treffen. Außerdem lässt sich der Zugriff durch Benutzer verweigern, die sich aus einer bestimmten geografischen Region anmelden.
    • Anwendungen: Unternehmen können für bestimmte Applikationen eigene Richtlinien definieren.
    • Geräte: Welche Richtlinien von CA angewandt werden, lässt sich auch abhängig von der Plattform oder dem Zustand des Geräts (zum Beispiel, ob es mit Virendefinitionen auf dem neuesten Stand ist), entscheiden.
    • Risiko: Microsoft verwendet künstliche Intelligenz und maschinelles Lernen, um verdächtige Anmeldungen oder auffälliges Verhalten zu erkennen. Sie können Aktionen auslösen, beispielsweise einen Benutzer zum Wechsel des Passworts zwingen.

    Abhängig von diesen Signalen trifft Azure Active Directory dann Entscheidungen über den Zugriff. Zu den möglichen Reaktionen gehören:

    • Zugriff blockieren: Dies ist die restriktivste Aktion, die CA durchsetzen kann. Microsoft empfiehlt, die Legacy-Authentifizierung mit Protokollen wie POP, SMTP, IMAP und MAPI in Azure AD mit Conditional Access zu unterbinden. Diese können keine Multifaktor-Authentifizierung (MFA) erzwingen, was sie zu Zielen für Angreifer macht.
    • Erzwingen einer MFA: Diese Policy wird üblicherweise auf Benutzer mit administrativen Rollen oder zur Durchführung von Verwaltungs­aufgaben angewandt.
    • Gerät konform mit Sicherheits­vorgaben erforderlich: Zugriff nur, wenn das Endgerät definierte Sicherheits­kriterien erfüllt oder mit Hybrid Azure AD verbunden ist
    • Erzwingen einer Passwort­änderung: Diese Aktion wird normalerweise durch die Risiko­erkennung in Echtzeit ausgelöst.
    • Nutzungs­bedingungen: Vor dem Zugriff auf Cloud-Apps müssen Benutzer eine Unternehmens­richtlinie zu den Nutzungs­bedingungen akzeptieren.

    Als Beispiel für einen CA-Workflow könnten man eine Richtlinie konfigurieren, die besagt:

    • Wenn ein Benutzer aus der Domäne domainx.com auf Office 365 zugreift
      • dann ist eine Multi-Faktor-Authentifizierung erforderlich

    Im Gegensatz zu Azure AD Identity Protection, die vor der Kompromittierung von Konten schützen und verdächtige Anmeldungen erkennen soll, ist Conditional Access in seinem Anwendungs­bereich viel breiter angelegt. Es kann das Logon-Risiko als Signal für die Anwendung von Richtlinien verwenden.

    Für eine einfache CA-Richtlinie müssen als Minimum nur drei Einstellungen konfiguriert werden:

    • Ein Richtlinienname
    • Zuweisung: Auf wen wird die Richtlinie angewandt?
    • Zugriffskontrollen: Aktionen für die Gewährung oder Sperrung

    Minimale Angaben für eine neue CA-Richtlinie

    Allgemeine Richtlinien für Conditional Access

    Einige Richtlinien für den bedingten Zugriff sind für die meisten Unternehmen sinnvoll. Zu diesen gängigen CA-Richtlinien gehören:

    • Legacy-Authentifizierung komplett blockieren
    • Multifaktor-Authentifizierung für Administratorkonten erzwingen
    • für Azure-Verwaltungsaufgaben eine Multifaktor-Authentifizierung vor­schreiben
    • Multifaktor-Authentifizierung für alle Benutzer durchsetzen (ein zunehmend verbreiteter Ansatz).

    Beispiele für Richtlinien beim bedingten Zugriff in Azure Active Directory

    Microsoft bietet eine einfache Möglichkeit, solche Standard­richtlinien für den bedingten Zugriff zu nutzen, indem man Security Defaults für Azure Active Directory aktiviert.

    Aktivieren von Sicherheitsvorgaben in Azure Active Directory

    Ein einziger Schalter aktiviert somit einen Satz von Standard­richtlinien für den bedingten Zugriff, so dass diese nicht manuell konfiguriert werden müssen.

    Verbessern des Azure Identity Secure Score

    Für Organisationen, die den Microsoft Azure Identity Secure Score verwenden, kann Conditional Access die Sicherheits­bewertung des Tenants verbessern. Diese spiegelt dann die tatsächlich verbesserte reale Sicherheitslage wider.

    Die folgenden Metriken werden durch die entsprechenden Richtlinien von Conditional Access direkt beeinflusst:

    • Aktivieren der Richtlinie zum Benutzerrisiko
    • Blockieren der Legacy-Methoden für die Authentifizierung
    • Sicherstellen, dass alle Benutzer MFA für einen sicheren Zugriff nutzen können
    • MFA für Administratorrollen vorschreiben

    Microsoft Identity Secure Score

    Komponenten und Voraussetzungen

    Conditional Access ist eine Komponente von Azure Active Directory. Organisationen, die die Richtlinien für bedingten Zugriff nutzen möchten, müssen eine Lizenz haben für:

    • Microsoft Azure AD Premium P1 und P2
    • Enterprise Mobility and Security (EM+S) E3/E5
    • Microsoft 365 E3/E5
    • Microsoft 365 Business

    Darüber hinaus benötigen andere Optionen für Conditional Access zusätzliche Lizenzen. Dazu gehören:

    • Azure AD Identity Protection (Teil von Azure AD P2)
    • Microsoft Cloud App Security (MCAS) Lizenzierung für Conditional Access mit Cloud Apps

    Fazit

    Traditionelle Sicherheits­lösungen sind bei einer stark verteilten Belegschaft nicht mehr effektiv. Azure Active Directory Conditional Access erlaubt es, Sicherheits­richtlinien abhängig von den Zugriffs­bedingungen der Benutzer anzuwenden. Es verbessert die Sicherheitslage von Unternehmen, die einen Mix aus lokalen und Cloud-Anwendungen nutzen.

    Da Conditional Access auf Azure Active Directory beruht, sollten man den Zugriff auf Anwendungen durchgängig über das AAD abwickeln.

    Es liegt auf der Hand, dass alle Ressourcen, die man mit CA-Richtlinien schützen möchte, über keine alternative (anwendungs­spezifische) Authen­tifizierung zugänglich sein sollten.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.

    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links