ArtikelRahmenThumnail V4 MS365 EntraID

MS365 | Bedingter Zugriff in Microsoft Entra ID

20. Oktober 2023 masterPhin Microsoft, MS365, MS365-EntraID Kommentare deaktiviert für MS365 | Bedingter Zugriff in Microsoft Entra ID
Bedingter Zugriff in Microsoft Entra ID

In einer Zeit, in der Cloud-Dienste zunehmend unverzichtbar werden, ist ein umfassender Schutz vor Cybergefahren für Dich und Deine Organisation unerlässlich. Da Bedrohungen kontinuierlich an Komplexität und Häufigkeit zunehmen, brauchst Du Strategien, die Deine sensiblen Daten und Ressourcen verlässlich absichern.

Microsoft bietet Dir dafür eine vielseitige Palette an Sicherheitsfunktionen in Microsoft Entra ID (früher Azure AD), wobei der bedingte Zugriff (Conditional Access) zu den mächtigsten Werkzeugen zählt. Diese Funktion bildet das Herzstück vieler Zero-Trust-Ansätze, denn sie ermöglicht Dir, Zugriffe auf Deine Ressourcen präzise anhand konkreter Signale und Bedingungen zu steuern.

Zusammenfassung: Bedingter Zugriff

Bedingter Zugriff in Microsoft Entra ID ist eine intelligente Richtlinien-Engine, die in Echtzeit verschiedene Sicherheits-Signale wie Benutzer- und Gruppenmitgliedschaften, IP-Standorte, Gerätezustand, verwendete Anwendungen und Risikobewertungen auswertet. Diese Analyse entscheidet darüber, ob Dir der Zugriff auf bestimmte Anwendungen und Daten gewährt wird oder nicht. Dabei fungiert der bedingte Zugriff wie ein Gatekeeper, der anhand individuell definierter Richtlinien – beispielsweise durch die Erzwingung von Multi-Faktor-Authentifizierung (MFA) oder der Einschränkung auf verwaltete Geräte und vertrauenswürdige Standorte – den Zugang präzise steuert.

Dieses Konzept bildet die Grundlage der Zero-Trust-Strategie, die davon ausgeht, dass weder Nutzer noch Geräte standardmäßig als sicher gelten. Jede Zugriffsanfrage wird daher umfassend geprüft, sodass selbst interne Anfragen zusätzliche Sicherheitsprüfungen durchlaufen müssen. Um sicherzustellen, dass die Richtlinien korrekt wirken, bietet Microsoft Entra ID Tools wie das What-If-Tool zur Simulation verschiedener Szenarien sowie detaillierte Anmeldeprotokolle, die Aufschluss darüber geben, warum ein Zugriff gewährt oder verweigert wurde.

Dennoch gibt es potenzielle Umgehungsmethoden – beispielsweise die Nutzung veralteter Authentifizierungsprotokolle (Legacy-Authentifizierung) oder das Fälschen als vertrauenswürdiger Standort. Deshalb ist es wichtig, diese Bereiche regelmäßig zu überprüfen und gegebenenfalls strengere Sicherheitsmaßnahmen zu implementieren.

Bedingte Zugriffsrichtlinie erstellen

Screenshot des Azure-Portals mit bedingten Zugriffsrichtlinien
Microsoft Azure > Entra ID
Screenshot des Azure-Portals mit bedingten Zugriffsrichtlinien
Microsoft Entra ID

Der Einstieg in den bedingten Zugriff ist denkbar einfach und erfolgt über das Azure-Portal oder direkt über das Entra Admin Center. Hier ein Überblick über die wesentlichen Schritte:

Neue Richtlinie anlegen oder Vorlage verwenden

  • Anmeldung im ENTRA ID Portal:
    Melde Dich mit Deinen Administratorrechten an und navigiere zu „Schutz > Bedingter Zugriff > Richtlinien [1]“.

  • Übersicht der Richtlinien [1]:
    Auf der Seite „Richtlinien“ erhältst Du einen Überblick über alle vorhandenen Zugriffsrichtlinien sowie deren aktuellen Status. Dies ermöglicht Dir, den Ist-Zustand Deiner Sicherheitsmaßnahmen schnell zu erfassen.
  • Erstellung einer neuen Richtlinie [2]:
    Du hast die Wahl, entweder eine komplett neue Richtlinie zu erstellen oder eine vorhandene Vorlage zu nutzen [2]. Klicke dazu auf „Neue Richtlinie“, um den Prozess zu starten.

  • Richtlinienzustände:
    Beim Erstellen der Richtlinie kannst Du den Modus auswählen – aktiviert, deaktiviert oder Nur melden. Der Modus „Nur melden“ eignet sich hervorragend, um eine Richtlinie zunächst zu testen, ohne den regulären Betrieb Deiner Nutzer zu beeinträchtigen. Hierbei protokolliert das System die Auswirkungen der Richtlinie, ohne diese tatsächlich durchzusetzen.

Benutzer und Gruppen definieren

Ein entscheidender Schritt bei der Erstellung einer bedingten Zugriffsrichtlinie ist die Auswahl der betroffenen Benutzer oder Gruppen. Du hast dabei folgende Optionen:

  • Benutzer einschließen: Lege fest, dass die Richtlinie nur für bestimmte Benutzer oder Gruppen gilt. So kannst Du beispielsweise alle Mitglieder der IT-Abteilung oder nur bestimmte Abteilungen gezielt absichern.
  • Benutzer ausschließen: Falls es Benutzer oder Gruppen gibt, die von der Richtlinie ausgenommen werden sollen (z. B. Gastbenutzer oder bestimmte Administratoren), kannst Du diese explizit ausschließen. Diese Flexibilität ermöglicht Dir, Sicherheitsrichtlinien so anzupassen, dass sie den individuellen Bedürfnissen Deiner Organisation entsprechen.

Anwendungen gezielt absichern

Nachdem Du die Benutzerkonfiguration abgeschlossen hast, definierst Du, auf welche Anwendungen oder Dienste die Richtlinie angewendet werden soll:

  • Anwendungen ausschließen: Solltest Du feststellen, dass für weniger kritische Anwendungen ein zu hoher Sicherheitsaufwand die Benutzerfreundlichkeit beeinträchtigt, kannst Du diese Anwendungen explizit von der Richtlinie ausnehmen.
  • Anwendungen einschließen: Du kannst festlegen, dass bestimmte kritische Anwendungen – wie Exchange Online, Microsoft Teams oder SharePoint – durch die Richtlinie geschützt werden. Dies sorgt dafür, dass der Zugriff auf diese zentralen Ressourcen nur unter den definierten Sicherheitsbedingungen erfolgt.

Bedingungen und Zugriffssteuerung definieren

Im nächsten Schritt legst Du die Bedingungen fest, unter denen die Richtlinie aktiv werden soll:

  • Geräteplattformen: Bestimme, ob die Richtlinie nur auf bestimmte Betriebssysteme wie Windows, macOS, iOS oder Android angewendet werden soll. Dies ist besonders sinnvoll, wenn Du für unterschiedliche Plattformen spezifische Sicherheitsstandards festlegen möchtest.
  • Standorte: Definiere geografische Standorte oder IP-Bereiche, aus denen der Zugriff erlaubt oder blockiert werden soll. Dies hilft Dir, den Zugriff aus unsicheren Netzwerken gezielt zu unterbinden.
  • Client-Apps: Du kannst auch festlegen, dass die Richtlinie nur auf bestimmte Client-Anwendungen angewendet wird – beispielsweise auf Browser oder dedizierte Desktop-Apps.
  • Gerätestatus: Lege fest, dass nur Geräte, die als konform gelten (etwa aufgrund von regelmäßigen Sicherheitsupdates oder einer spezifischen Konfiguration), Zugriff erhalten.

Auf Basis dieser Bedingungen bestimmst Du, welche Aktionen bei Nicht-Erfüllung der Kriterien erfolgen:

  • Zugriff verweigern: Alternativ kannst Du den Zugriff komplett sperren, wenn die definierten Bedingungen nicht erfüllt sind.
  • Zugriff gewähren: Hier kannst Du zusätzliche Maßnahmen wie MFA oder die Nutzung genehmigter Client-Apps erzwingen.

Sitzungskonfiguration

Unter Sitzung hast Du weitere Optionen, um die Interaktionen Deiner Nutzer mit Cloud-Anwendungen genauer zu regulieren. Du kannst etwa festlegen, dass Benutzer sich in regelmäßigen Abständen neu authentifizieren müssen, oder Du verhinderst den Download sensibler Daten durch bestimmte App-Steuerelemente.

  • Beständige Browser-Sitzung: Definiere, ob Browser-Sitzungen über mehrere Anmeldevorgänge hinaus aktiv bleiben sollen.
  • Von der App erzwungene Einschränkungen verwenden: Hier greifst Du auf Sicherheitsmechanismen zurück, die einige Cloud-Anwendungen selbst anbieten.
  • App-Steuerung für bedingten Zugriff: Über diesen Punkt kannst Du den Funktionsumfang Deiner Richtlinien erweitern, etwa um automatische Sperrungen oder das beschränkte Zulassen bestimmter Dateitypen.
  • Anmeldehäufigkeit: Bestimme das Intervall, nach dem sich Benutzer neu anmelden müssen, um ein Gefühl für Sicherheit und Komfort in Einklang zu bringen.
MS365 MS ENTRA Admin Center Benutzer Einstellungen Benutzerfeatures BE1
MS365 EntraID Schutz Bedingter Zugriff Richtlinie erstellen Neu 1
MS365 EntraID Schutz Bedingter Zugriff Richtlinie erstellen Neu 5
MS365 EntraID Schutz Bedingter Zugriff Richtlinie erstellen Neu 4
MS365 EntraID Schutz Bedingter Zugriff Richtlinie erstellen Neu 3
MS365 EntraID Schutz Bedingter Zugriff Richtlinie erstellen Neu 2

Fazit

Bedingter Zugriff in Microsoft Entra ID

Der bedingte Zugriff in Microsoft Entra ID ist weit mehr als nur ein Türsteher für Deine Unternehmensressourcen. Er bildet einen entscheidenden Pfeiler einer modernen Zero-Trust-Strategie, bei der kein Benutzer mehr automatisch als vertrauenswürdig gilt. Durch die Kombination aus Echtzeitanalysen, klar definierten Sicherheitsrichtlinien und flexiblen Konfigurationen hältst Du Cyberkriminelle auf Distanz, ohne die Arbeitsabläufe Deiner Mitarbeiter übermäßig zu erschweren.

Indem Du konsequent alte Authentifizierungsprotokolle reduzierst, Standorte überprüfst und auf konforme Geräte setzt, schließt Du Lücken, die Angreifer ausnutzen könnten. Gleichzeitig sorgen Tools wie das What-If-Tool und die Anmeldeprotokolle dafür, dass Du jederzeit den Überblick über Deine Richtlinien behältst und schnell reagieren kannst, wenn etwas nicht so läuft wie geplant.

Auf diese Weise erhältst Du eine Sicherheitsebene, die weit über einfache Passwortrichtlinien hinausgeht. Du schützt nicht nur Deine Daten, sondern auch das Vertrauen, das Deine Kunden und Mitarbeitenden in Deine Organisation setzen.

Quellen

Ähnliche Artikel

ArtikelRahmenThumnail V4 MS365 EntraID
Microsoft

MS365 | ENTRA ID – Gruppen Einstellungen

13. Dezember 2023 masterPhin Microsoft, MS365-EntraID Kommentare deaktiviert für MS365 | ENTRA ID – Gruppen Einstellungen
Zusätzliche Informationen: Indem die Erstellung von Gruppen auf Administratoren beschränkt wird, kann die Kontrolle über Mitgliedschaft und Zugriff gewährleistet und die Sicherheit erhöht werden. Administratoren sollten sorgfältig überprüfen, wer Mitglied solcher Gruppen werden kann, um den Schutz sensibler […]