Tags: Azure, Active Directory, Authentifizierung
Mit Conditional Access (CA), einer Funktion von Azure Active Directory Premium, können Unternehmen den Zugriff auf lokale und Cloud-Anwendungen absichern. Mit Hilfe von Richtlinien können sie bestimmen, unter welchen Bedingungen und auf welche Weise die Benutzer und Geräte auf ihre IT-Ressourcen zugreifen dürfen.
Die Richtlinien eines lokalen Active Directory können keine angemessene Sicherheit für Benutzer bieten, die ohne VPN von zu Hause aus oder in fremden Netzwerken arbeiten. Microsofts AAD Conditional Access setzt Policies für Benutzer durch, basierend auf den Umständen ihres Zugriffs und abhängig von ihrem Standort oder dem Gerät, das sie verwenden.
Microsoft beschreibt Conditional Access (Bedingter Zugriff) als eine Art "Wenn-dann"-Anweisung, die den Kontext des Benutzers sowie andere Merkmale auswertet. Wenn ein User auf eine Ressource zugreifen möchte, dann wird eine bestimmte Aktion ausgeführt. Als Auslöser dafür dienen so genannte Signale des Benutzers.
Signale und davon abhängige Reaktionen
Diese Signale können Folgendes umfassen:
- Zugehörigkeit zu Gruppen: CA-Richtlinien lassen sich an einzelne Konten oder die Mitgliedschaft in Gruppen binden.
- Netzwerk: Admins können unter anderem IP-Adressbereiche verwenden, um Entscheidungen für die Durchsetzung von Richtlinien zu treffen. Außerdem lässt sich der Zugriff durch Benutzer verweigern, die sich aus einer bestimmten geografischen Region anmelden.
- Anwendungen: Unternehmen können für bestimmte Applikationen eigene Richtlinien definieren.
- Geräte: Welche Richtlinien von CA angewandt werden, lässt sich auch abhängig von der Plattform oder dem Zustand des Geräts (zum Beispiel, ob es mit Virendefinitionen auf dem neuesten Stand ist), entscheiden.
- Risiko: Microsoft verwendet künstliche Intelligenz und maschinelles Lernen, um verdächtige Anmeldungen oder auffälliges Verhalten zu erkennen. Sie können Aktionen auslösen, beispielsweise einen Benutzer zum Wechsel des Passworts zwingen.
Abhängig von diesen Signalen trifft Azure Active Directory dann Entscheidungen über den Zugriff. Zu den möglichen Reaktionen gehören:
- Zugriff blockieren: Dies ist die restriktivste Aktion, die CA durchsetzen kann. Microsoft empfiehlt, die Legacy-Authentifizierung mit Protokollen wie POP, SMTP, IMAP und MAPI in Azure AD mit Conditional Access zu unterbinden. Diese können keine Multifaktor-Authentifizierung (MFA) erzwingen, was sie zu Zielen für Angreifer macht.
- Erzwingen einer MFA: Diese Policy wird üblicherweise auf Benutzer mit administrativen Rollen oder zur Durchführung von Verwaltungsaufgaben angewandt.
- Gerät konform mit Sicherheitsvorgaben erforderlich: Zugriff nur, wenn das Endgerät definierte Sicherheitskriterien erfüllt oder mit Hybrid Azure AD verbunden ist
- Erzwingen einer Passwortänderung: Diese Aktion wird normalerweise durch die Risikoerkennung in Echtzeit ausgelöst.
- Nutzungsbedingungen: Vor dem Zugriff auf Cloud-Apps müssen Benutzer eine Unternehmensrichtlinie zu den Nutzungsbedingungen akzeptieren.
Als Beispiel für einen CA-Workflow könnten man eine Richtlinie konfigurieren, die besagt:
- Wenn ein Benutzer aus der Domäne domainx.com auf Office 365 zugreift
- dann ist eine Multi-Faktor-Authentifizierung erforderlich
Im Gegensatz zu Azure AD Identity Protection, die vor der Kompromittierung von Konten schützen und verdächtige Anmeldungen erkennen soll, ist Conditional Access in seinem Anwendungsbereich viel breiter angelegt. Es kann das Logon-Risiko als Signal für die Anwendung von Richtlinien verwenden.
Für eine einfache CA-Richtlinie müssen als Minimum nur drei Einstellungen konfiguriert werden:
- Ein Richtlinienname
- Zuweisung: Auf wen wird die Richtlinie angewandt?
- Zugriffskontrollen: Aktionen für die Gewährung oder Sperrung
Allgemeine Richtlinien für Conditional Access
Einige Richtlinien für den bedingten Zugriff sind für die meisten Unternehmen sinnvoll. Zu diesen gängigen CA-Richtlinien gehören:
- Legacy-Authentifizierung komplett blockieren
- Multifaktor-Authentifizierung für Administratorkonten erzwingen
- für Azure-Verwaltungsaufgaben eine Multifaktor-Authentifizierung vorschreiben
- Multifaktor-Authentifizierung für alle Benutzer durchsetzen (ein zunehmend verbreiteter Ansatz).
Microsoft bietet eine einfache Möglichkeit, solche Standardrichtlinien für den bedingten Zugriff zu nutzen, indem man Security Defaults für Azure Active Directory aktiviert.
Ein einziger Schalter aktiviert somit einen Satz von Standardrichtlinien für den bedingten Zugriff, so dass diese nicht manuell konfiguriert werden müssen.
Verbessern des Azure Identity Secure Score
Für Organisationen, die den Microsoft Azure Identity Secure Score verwenden, kann Conditional Access die Sicherheitsbewertung des Tenants verbessern. Diese spiegelt dann die tatsächlich verbesserte reale Sicherheitslage wider.
Die folgenden Metriken werden durch die entsprechenden Richtlinien von Conditional Access direkt beeinflusst:
- Aktivieren der Richtlinie zum Benutzerrisiko
- Blockieren der Legacy-Methoden für die Authentifizierung
- Sicherstellen, dass alle Benutzer MFA für einen sicheren Zugriff nutzen können
- MFA für Administratorrollen vorschreiben
Komponenten und Voraussetzungen
Conditional Access ist eine Komponente von Azure Active Directory. Organisationen, die die Richtlinien für bedingten Zugriff nutzen möchten, müssen eine Lizenz haben für:
- Microsoft Azure AD Premium P1 und P2
- Enterprise Mobility and Security (EM+S) E3/E5
- Microsoft 365 E3/E5
- Microsoft 365 Business
Darüber hinaus benötigen andere Optionen für Conditional Access zusätzliche Lizenzen. Dazu gehören:
- Azure AD Identity Protection (Teil von Azure AD P2)
- Microsoft Cloud App Security (MCAS) Lizenzierung für Conditional Access mit Cloud Apps
Fazit
Traditionelle Sicherheitslösungen sind bei einer stark verteilten Belegschaft nicht mehr effektiv. Azure Active Directory Conditional Access erlaubt es, Sicherheitsrichtlinien abhängig von den Zugriffsbedingungen der Benutzer anzuwenden. Es verbessert die Sicherheitslage von Unternehmen, die einen Mix aus lokalen und Cloud-Anwendungen nutzen.
Da Conditional Access auf Azure Active Directory beruht, sollten man den Zugriff auf Anwendungen durchgängig über das AAD abwickeln.
Es liegt auf der Hand, dass alle Ressourcen, die man mit CA-Richtlinien schützen möchte, über keine alternative (anwendungsspezifische) Authentifizierung zugänglich sein sollten.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- MFA, FIDO2, Authenticator App, Hello for Business: Methoden zur Authentifizierung am (hybriden) Azure Active Directory
Weitere Links