Conditional Access: Unsicheren Zugriff blockieren und MFA, konforme Geräte oder Passwortwechsel erzwingen

Microsoft beschreibt Conditional Access (Bedingter Zugriff) als eine Art "Wenn-dann"-Anweisung, die den Kontext des Benutzers sowie andere Merkmale auswertet. Wenn ein User auf eine Ressource zugreifen möchte, dann wird eine bestimmte Aktion ausgeführt. Als Auslöser dafür dienen so genannte Signale des Benutzers.

Signale und davon abhängige Reaktionen

Diese Signale können Folgendes umfassen:

• Zugehörigkeit zu Gruppen: CA-Richtlinien lassen sich an einzelne Konten oder die Mitgliedschaft in Gruppen binden.
• Netzwerk: Admins können unter anderem IP-Adressbereiche verwenden, um Entscheidungen für die Durchsetzung von Richtlinien zu treffen. Außerdem lässt sich der Zugriff durch Benutzer verweigern, die sich aus einer bestimmten geografischen Region anmelden.
• Anwendungen: Unternehmen können für bestimmte Applikationen eigene Richtlinien definieren.
• Geräte: Welche Richtlinien von CA angewandt werden, lässt sich auch abhängig von der Plattform oder dem Zustand des Geräts (zum Beispiel, ob es mit Virendefinitionen auf dem neuesten Stand ist), entscheiden.
• Risiko: Microsoft verwendet künstliche Intelligenz und maschinelles Lernen, um verdächtige Anmeldungen oder auffälliges Verhalten zu erkennen. Sie können Aktionen auslösen, beispielsweise einen Benutzer zum Wechsel des Passworts zwingen.

Abhängig von diesen Signalen trifft Azure Active Directory dann Entscheidungen über den Zugriff. Zu den möglichen Reaktionen gehören:

• Zugriff blockieren: Dies ist die restriktivste Aktion, die CA durchsetzen kann. Microsoft empfiehlt, die Legacy-Authentifizierung mit Protokollen wie POP, SMTP, IMAP und MAPI in Azure AD mit Conditional Access zu unterbinden. Diese können keine Multifaktor-Authentifizierung (MFA) erzwingen, was sie zu Zielen für Angreifer macht.
• Erzwingen einer MFA: Diese Policy wird üblicherweise auf Benutzer mit administrativen Rollen oder zur Durchführung von Verwaltungs­aufgaben angewandt.
• Gerät konform mit Sicherheits­vorgaben erforderlich: Zugriff nur, wenn das Endgerät definierte Sicherheits­kriterien erfüllt oder mit Hybrid Azure AD verbunden ist
• Erzwingen einer Passwort­änderung: Diese Aktion wird normalerweise durch die Risiko­erkennung in Echtzeit ausgelöst.
• Nutzungs­bedingungen: Vor dem Zugriff auf Cloud-Apps müssen Benutzer eine Unternehmens­richtlinie zu den Nutzungs­bedingungen akzeptieren.

Als Beispiel für einen CA-Workflow könnten man eine Richtlinie konfigurieren, die besagt:

• Wenn ein Benutzer aus der Domäne domainx.com auf Office 365 zugreift
  • dann ist eine Multi-Faktor-Authentifizierung erforderlich

Im Gegensatz zu Azure AD Identity Protection, die vor der Kompromittierung von Konten schützen und verdächtige Anmeldungen erkennen soll, ist Conditional Access in seinem Anwendungs­bereich viel breiter angelegt. Es kann das Logon-Risiko als Signal für die Anwendung von Richtlinien verwenden.

Für eine einfache CA-Richtlinie müssen als Minimum nur drei Einstellungen konfiguriert werden:

• Ein Richtlinienname
• Zuweisung: Auf wen wird die Richtlinie angewandt?
• Zugriffskontrollen: Aktionen für die Gewährung oder Sperrung

Allgemeine Richtlinien für Conditional Access

Einige Richtlinien für den bedingten Zugriff sind für die meisten Unternehmen sinnvoll. Zu diesen gängigen CA-Richtlinien gehören:

• Legacy-Authentifizierung komplett blockieren
• Multifaktor-Authentifizierung für Administratorkonten erzwingen
• für Azure-Verwaltungsaufgaben eine Multifaktor-Authentifizierung vor­schreiben
• Multifaktor-Authentifizierung für alle Benutzer durchsetzen (ein zunehmend verbreiteter Ansatz).

Microsoft bietet eine einfache Möglichkeit, solche Standard­richtlinien für den bedingten Zugriff zu nutzen, indem man Security Defaults für Azure Active Directory aktiviert.

Ein einziger Schalter aktiviert somit einen Satz von Standard­richtlinien für den bedingten Zugriff, so dass diese nicht manuell konfiguriert werden müssen.

Verbessern des Azure Identity Secure Score

Für Organisationen, die den Microsoft Azure Identity Secure Score verwenden, kann Conditional Access die Sicherheits­bewertung des Tenants verbessern. Diese spiegelt dann die tatsächlich verbesserte reale Sicherheitslage wider.

Die folgenden Metriken werden durch die entsprechenden Richtlinien von Conditional Access direkt beeinflusst:

• Aktivieren der Richtlinie zum Benutzerrisiko
• Blockieren der Legacy-Methoden für die Authentifizierung
• Sicherstellen, dass alle Benutzer MFA für einen sicheren Zugriff nutzen können
• MFA für Administratorrollen vorschreiben

Komponenten und Voraussetzungen

Conditional Access ist eine Komponente von Azure Active Directory. Organisationen, die die Richtlinien für bedingten Zugriff nutzen möchten, müssen eine Lizenz haben für:

• Microsoft Azure AD Premium P1 und P2
• Enterprise Mobility and Security (EM+S) E3/E5
• Microsoft 365 E3/E5
• Microsoft 365 Business

Darüber hinaus benötigen andere Optionen für Conditional Access zusätzliche Lizenzen. Dazu gehören:

• Azure AD Identity Protection (Teil von Azure AD P2)
• Microsoft Cloud App Security (MCAS) Lizenzierung für Conditional Access mit Cloud Apps

Fazit

Traditionelle Sicherheits­lösungen sind bei einer stark verteilten Belegschaft nicht mehr effektiv. Azure Active Directory Conditional Access erlaubt es, Sicherheits­richtlinien abhängig von den Zugriffs­bedingungen der Benutzer anzuwenden. Es verbessert die Sicherheitslage von Unternehmen, die einen Mix aus lokalen und Cloud-Anwendungen nutzen.

Da Conditional Access auf Azure Active Directory beruht, sollten man den Zugriff auf Anwendungen durchgängig über das AAD abwickeln.

Es liegt auf der Hand, dass alle Ressourcen, die man mit CA-Richtlinien schützen möchte, über keine alternative (anwendungs­spezifische) Authen­tifizierung zugänglich sein sollten.