MS365 | ENTRA ID – Bedingter Zugriff

Sicherheit steht heute an oberster Stelle für Organisationen, die auf Cloud-Services setzen. Mit der ständig wachsenden Bedrohungslage müssen Unternehmen ihre Daten und Ressourcen umfassend schützen. Eine der leistungsstärksten Sicherheitsfunktionen, die Microsoft in diesem Kontext bietet, ist der bedingte Zugriff. Dieser sollte die Grundlage jeder Zero-Trust-Strategie sein. Doch Vorsicht: Ohne ein tiefes Verständnis für die Funktionsweise des bedingten Zugriffs könnte er Ihnen ein trügerisches Gefühl der Sicherheit vermitteln.


Was ist der bedingte Zugriff ?

Der bedingte Zugriff ist eine Funktion von Entra ID, die es Ihnen ermöglicht, den Zugriff auf Ihre Cloud-Ressourcen basierend auf verschiedenen Bedingungen zu steuern. Diese Bedingungen können vielfältig sein. Zum Beispiel können Sie festlegen, dass nur Benutzer mit einem bestimmten Gerät, Standort, Netzwerk oder Risikostatus auf Ihre Anwendungen zugreifen können. Sie können sogar zusätzliche Anforderungen wie die Multi-Faktor-Authentifizierung (MFA) oder die Änderung des Passworts erzwingen, wenn eine der festgelegten Bedingungen nicht erfüllt ist.


Wie funktioniert der bedingte Zugriff ?

Der bedingte Zugriff basiert auf dem Konzept von Signalen. Diese Signale enthalten Informationen über den Benutzer, das Gerät, die Anwendung, das Netzwerk und das Risiko. Verschiedene Komponenten von Entra ID sammeln und bewerten diese Signale, um fundierte Zugriffsentscheidungen zu treffen.


testen des bedingten Zugriff ?

Um zu verstehen, wie der bedingte Zugriff funktioniert und sicherzustellen, dass Ihre Sicherheitsstrategie effektiv ist, stehen Ihnen zwei nützliche Werkzeuge zur Verfügung:

  1. What-If-Tool (Was-wäre-wenn-Tool): Dieses Tool in Entra ID ermöglicht es Ihnen, verschiedene Szenarien zu simulieren und zu sehen, wie bedingte Zugriffsrichtlinien angewendet werden. Sie können verschiedene Parameter wie Benutzername, Anwendung oder Standort auswählen und sich das erwartete Ergebnis anzeigen lassen.
  2. Anmeldeprotokolle: Diese Protokolle im Azure AD Portal enthalten alle Anmeldeversuche und deren Ergebnisse. Sie können die Details jeder Anmeldung anzeigen und nachverfolgen, welche bedingten Zugriffsrichtlinien angewendet wurden und warum.

Wie kann ich den bedingte Zugriff umgehen?

Obwohl der bedingte Zugriff eine leistungsstarke Sicherheitsfunktion ist, gibt es dennoch Möglichkeiten, wie Angreifer versuchen könnten, sie zu umgehen oder auszunutzen. Hier sind einige Beispiele:

  1. Legacy Authentication: Legacy Authentication ist eine veraltete Form der Authentifizierung, die nicht mit dem bedingten Zugriff kompatibel ist. Wenn Sie Legacy Authentication für einige Ihrer Anwendungen aktiviert haben, könnten Angreifer diese nutzen, um Ihre Sicherheitsrichtlinien zu umgehen. Um dies zu verhindern, sollten Sie Legacy Authentication deaktivieren oder einschränken.
  2. Benannte Standorte: Der bedingte Zugriff ermöglicht es Ihnen, bestimmte Standorte als vertrauenswürdig zu markieren und den Zugriff von dort aus zu erleichtern. Während dies die Benutzerfreundlichkeit erhöht, sollten Sie den Zugriff von benannten Standorten dennoch sorgfältig überwachen.
  3. Nach Geräten filtern und Gerätekonformität: Der bedingte Zugriff erlaubt es Ihnen, den Zugriff von konformen Geräten zu erlauben oder zu erzwingen. Stellen Sie sicher, dass Ihre Gerätekonformitätsrichtlinien angemessen sind, um den Schutz zu gewährleisten.


Schutz | Bedingter Zugriff | Richtlinie erstellen

  • Um eine bedingte Zugriffsrichtlinie zu erstellen, melden Sie sich zunächst im Azure-Portal an. Navigieren Sie zu ENTRA ID > Schutz > Bedingter Zugriff > Richtlinien (1). Hier finden Sie eine Übersicht über alle vorhandenen Richtlinien sowie deren aktuellen Status (3).
  • Sobald Sie sich auf der Seite Richtlinien des bedingten Zugriffs befinden, haben Sie zwei Optionen: Sie können entweder eine ganz neue Richtlinie erstellen oder eine vorhandene Vorlage verwenden (2). Um eine neue Richtlinie zu erstellen, klicken Sie auf die Schaltfläche „Neue Richtlinie“. Wenn Sie lieber eine Vorlage verwenden möchten, wählen Sie eine aus den angebotenen Vorlagen aus.
  • Die Richtlinienzustände (3) sind die verschiedenen Phasen, in denen sich eine Richtlinie befinden kann. Diese Zustände können aktiviert, deaktiviert oder Nur melden sein. Eine interessante Funktion ist der Nur-Melden-Modus. Wenn Sie eine Richtlinie in diesem Modus erstellen oder ändern, wird sie nicht aktiv angewendet, sondern nur protokolliert. Dies ermöglicht es Ihnen, die Auswirkungen der Richtlinie zu überprüfen, bevor Sie sie tatsächlich aktivieren. Dies ist besonders nützlich, um sicherzustellen, dass die Richtlinie wie gewünscht funktioniert, ohne unerwartete Auswirkungen auf die Benutzer zu haben.

Über "Was-wäre-wenn" können Sie die "Nur melden"-Richtlinien vorab prüfen. Das Tool zeigt Ihnen an, welche Richtlinien übereinstimmen und welche Aktionen ausgelöst werden würden.


Bevor wir uns in die Details begeben, erinnern wir uns daran, dass Sie Ihre Richtlinie bereits benannt haben sollten. Die Benennung ist der erste Schritt bei der Erstellung einer Richtlinie und hilft Ihnen, sie später leichter zu identifizieren.

Der nächste Schritt in der Konfiguration ist die Festlegung, welche Benutzer oder Gruppen von dieser bedingten Zugriffsrichtlinie betroffen sein sollen. Hier haben Sie die Möglichkeit, Benutzer sowohl einzuschließen als auch auszuschließen.

Inkludieren:

  • Wenn Sie Benutzer einschließen, bedeutet dies, dass die Richtlinie auf diese spezifischen Benutzer oder Gruppen angewendet wird. Sie haben die Kontrolle darüber, wer die Sicherheitsrichtlinien befolgen muss.

Exkludieren:

  • Inkludieren alle Benutzer oder Gruppen, denen Sie die Richtlinie nicht zuweisen möchten. Dies ist nützlich, um bestimmte Nutzer oder Gruppen von den Einschränkungen der Richtlinie auszunehmen.

Die Fähigkeit, Benutzer sowohl einzuschließen als auch auszuschließen, verleiht Ihnen die Flexibilität, die bedingte Zugriffsrichtlinie präzise auf Ihre spezifischen Anforderungen abzustimmen.


Bevor Sie fortfahren, ist es ratsam, Ihre anwendungsbezogenen Anforderungen zu identifizieren. Welche Anwendungen oder Dienste in Ihrer Organisation sind besonders sensibel oder erfordern zusätzliche Sicherheitsmaßnahmen?

Im Azure-Portal haben Sie die Möglichkeit, Anwendungen sowohl einzuschließen als auch auszuschließen. Dies bedeutet, dass die bedingte Zugriffsrichtlinie entweder nur für die ausgewählten Anwendungen gilt oder für alle Anwendungen, ausgenommen die ausgeschlossenen.

Einbeziehen:

  • Wenn Sie eine Anwendung einschließen, wird die bedingte Zugriffsrichtlinie spezifisch auf diese Anwendung angewendet. Dies ermöglicht es Ihnen, maßgeschneiderte Sicherheitsmaßnahmen für bestimmte Anwendungen zu definieren.

Ausschließen:

  • Das Ausschließen von Anwendungen bedeutet, dass die bedingte Zugriffsrichtlinie auf alle Anwendungen anwendbar ist, außer den ausgeschlossenen. Dies bietet eine Möglichkeit, die Richtlinie für eine breite Palette von Anwendungen gelten zu lassen und nur bestimmte Ausnahmen zu definieren.

Nachdem Sie die Anwendungen für Ihre bedingte Zugriffsrichtlinie ausgewählt haben, können Sie in den weiteren Schritten der Konfiguration die spezifischen Bedingungen und Anforderungen für diese Anwendungen festlegen. Dies kann beispielsweise den Gerätetyp, den Standort oder zusätzliche Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung umfassen.

Die Möglichkeit, den Geltungsbereich Ihrer bedingten Zugriffsrichtlinie auf bestimmte Anwendungen zu beschränken, bietet Ihnen die Flexibilität, Ihre Sicherheitsstrategie präzise an die Anforderungen Ihrer Organisation anzupassen. Auf diese Weise können Sie den Schutz Ihrer sensiblen Anwendungen und Daten verbessern, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

Die Definition von Anwendungen in Ihrer bedingten Zugriffsrichtlinie ist ein weiterer entscheidender Schritt, um eine maßgeschneiderte Sicherheitsstrategie zu erstellen. Durch die gezielte Ausrichtung auf bestimmte Anwendungen gewährleisten Sie, dass Ihre Sicherheitsrichtlinie genau den Anforderungen und Risiken entspricht, die in Ihrer Organisation bestehen.


Ein entscheidender Abschnitt in der Konfiguration einer solchen Richtlinie ist der Bereich „Conditions“ oder „Bedingungen“. Hier können Sie zusätzliche Kriterien festlegen, um die Anwendung der Richtlinie weiter einzugrenzen. In diesem Artikel werden wir die verschiedenen Optionen erkunden, die unter „Bedingungen“ zur Verfügung stehen.

1. Geräteplattformen:

Die Option „Geräteplattformen“ erlaubt es Ihnen, die Anwendung der Richtlinie auf bestimmte Betriebssysteme zu beschränken. Beispielsweise können Sie eine Richtlinie erstellen, die nur für Geräte mit Windows-Betriebssystemen gilt. Dies ist besonders nützlich, wenn Ihre Organisation unterschiedliche Sicherheitsrichtlinien für verschiedene Betriebssystemplattformen hat.

2. Standorte:

Durch die Definition von Standorten können Sie die Anwendung der Richtlinie abhängig vom IP-Bereich steuern, von dem aus sich der Benutzer anmeldet. Dies ist eine effektive Methode, um den Zugriff aus ungesicherten Netzwerken oder geografischen Regionen mit hohen Sicherheitsrisiken zu beschränken.

3. Client-Apps:

Mit dieser Option können Sie festlegen, dass die Richtlinie nur für bestimmte Software-Anwendungen gilt, mit denen der Benutzer auf die Cloud-App zugreift. Dies ermöglicht eine granulare Kontrolle über die Zugriffsbedingungen, abhängig von den Client-Apps, die in Ihrem Unternehmen verwendet werden.

4. Nach Geräten filtern:

Hier können Sie die Anwendung der Richtlinie basierend auf dem Status des Geräts eingrenzen, von dem aus der Benutzer auf die Cloud-Ressourcen zugreift. Sie können beispielsweise festlegen, dass die Richtlinie nur für Geräte gilt, die Hybrid Azure AD beigetreten sind oder als konform markiert sind. Auch die Möglichkeit, nach bestimmten Geräteherstellern zu filtern, stellt eine zusätzliche Ebene der Anpassung bereit.

Durch die konkrete Definition von Bedingungen in Ihrer bedingten Zugriffsrichtlinie können Sie eine maßgeschneiderte Sicherheitsstrategie für Ihre Organisation erstellen. Die Kombination aus der Auswahl von Benutzern, Gruppen, Anwendungen und jetzt zusätzlichen Bedingungen ermöglicht es Ihnen, eine robuste und effektive Sicherheitsrichtlinie zu formulieren, die den spezifischen Anforderungen und Risikoprofilen Ihres Unternehmens gerecht wird.


Nachdem Sie die Bedingungen festgelegt haben, unter denen Ihre Richtlinie gelten soll, ist der nächste Schritt die Entscheidung, ob Sie den Benutzerzugriff sperren oder gewähren möchten. In diesem Artikel werden wir uns auf die Option „Gewähren“ konzentrieren und die verschiedenen Einstellungen untersuchen, die zur Verfügung stehen, um den Zugriff zu differenzieren.

1. Erfordert mehrstufige Authentifizierung (MFA):

Die Mehrstufige Authentifizierung ist eine effektive Methode, um die Identität eines Benutzers zu überprüfen, indem zwei oder mehr Beweise (Faktoren) verlangt werden. Wenn diese Einstellung aktiviert ist, müssen Benutzer neben dem Passwort einen zusätzlichen Authentifizierungsfaktor bereitstellen, wie beispielsweise einen Code, der an ihr Mobiltelefon gesendet wird.

2. Markieren des Geräts als kompatibel erforderlich:

Diese Einstellung stellt sicher, dass nur Geräte, die bestimmte Sicherheitsstandards erfüllen und als kompatibel markiert sind, Zugriff auf die Cloud-Ressourcen erhalten. Dies erhöht die Sicherheit, indem es den Zugriff von nicht konformen oder potenziell unsicheren Geräten verhindert.

3. In ENTRA ID eingebundenes Hybridgerät erforderlich:

Wenn diese Einstellung aktiviert ist, wird der Zugriff nur für Hybridgeräte gewährt, die sowohl in Ihrer lokalen Infrastruktur als auch in ENTRA ID registriert sind. Dies stellt eine weitere Ebene der Vertrauenswürdigkeit und Sicherheit sicher, da die Geräte sowohl lokal als auch in der Cloud authentifiziert sind.

4. Genehmigte Client-App erforderlich:

Durch diese Einstellung können Sie den Zugriff auf Cloud-Ressourcen auf genehmigte Client-Anwendungen beschränken. Dies stellt sicher, dass Benutzer nur über vertrauenswürdige und sichere Anwendungen auf Ihre Ressourcen zugreifen können.

5. App-Schutzrichtlinie erforderlich:

Die Aktivierung dieser Einstellung erfordert, dass Benutzer eine App-Schutzrichtlinie befolgen, die zusätzliche Sicherheitsmaßnahmen wie Datenverschlüsselung und -isolierung vorschreibt. Dies erhöht die Sicherheit Ihrer Cloud-Ressourcen, insbesondere wenn Benutzer von mobilen Geräten aus auf sie zugreifen.

Die Option „Gewähren“ in bedingten Zugriffsrichtlinien ermöglicht es Ihnen, den Zugriff auf Ihre Cloud-Ressourcen sorgfältig zu steuern und dabei ein hohes Maß an Sicherheit zu gewährleisten.


Die Sitzungskonfiguration ist der letzte Abschnitt in der Erstellung einer bedingten Zugriffsrichtlinie im Azure-Portal, aber keineswegs der unwichtigste. Hier können Sie den Benutzerzugriff innerhalb bestimmter Cloud-Anwendungen weiter einschränken, um eine fein abgestimmte Kontrolle über die Interaktionen der Benutzer mit Ihren Cloud-Ressourcen zu gewährleisten. In diesem Artikel werfen wir einen Blick auf die verschiedenen Einstellungen, die im Abschnitt Sitzungskonfiguration verfügbar sind.

1. Von der App erzwungene Einschränkungen verwenden:

Diese Einstellung ermöglicht es Ihnen, die von der Cloud-Anwendung selbst festgelegten Sicherheits- und Zugriffseinschränkungen zu nutzen. Beispielsweise können bestimmte Apps Einschränkungen hinsichtlich der Datenfreigabe oder des Datenzugriffs haben, die durch diese Einstellung durchgesetzt werden.

2. App-Steuerung für bedingten Zugriff verwenden:

Mit der App-Steuerung für bedingten Zugriff können Sie spezielle Richtlinien festlegen, die während der Sitzung einer Cloud-Anwendung angewendet werden. Dies kann beispielsweise die Beschränkung des Downloads sensibler Daten auf lokale Geräte umfassen.

3. Anmeldehäufigkeit:

Die Einstellung der Anmeldehäufigkeit ermöglicht es Ihnen, die Häufigkeit zu bestimmen, mit der Benutzer ihre Anmeldeinformationen erneut eingeben müssen. Eine niedrigere Anmeldehäufigkeit kann die Sicherheit erhöhen, kann aber auch die Benutzerfreundlichkeit beeinträchtigen.

4. Beständige Browser-Sitzung:

Mit dieser Einstellung können Sie steuern, ob Benutzer ihre Browser-Sitzungen zwischen den Anmeldungen beibehalten können oder nicht. Eine beständige Sitzung kann die Benutzererfahrung verbessern, aber auch bestimmte Sicherheitsrisiken bergen, wenn sie auf unsicheren Geräten oder Netzwerken verwendet wird.

Die Sitzungskonfiguration in bedingten Zugriffsrichtlinien ermöglicht es Ihnen, eine nuancierte Kontrolle über den Benutzerzugriff und die Benutzerinteraktion mit Ihren Cloud-Anwendungen zu haben. Durch die kluge Nutzung dieser Einstellungen können Sie eine effektive Balance zwischen Sicherheit und Benutzerfreundlichkeit schaffen, die es Ihren Benutzern ermöglicht, produktiv zu arbeiten, während Ihre Unternehmensdaten geschützt bleiben.


In einer Welt, in der Cloud-Technologien immer mehr an Bedeutung gewinnen, ist die Fähigkeit, den Zugriff und die Interaktionen in Cloud-Anwendungen präzise zu steuern, von unschätzbarem Wert. Mit den bedingten Zugriffsrichtlinien von Azure haben Sie ein robustes Werkzeugset zur Hand, um die Cloud-Sicherheit Ihrer Organisation zu stärken.


weiterführende Links:

Microsoft Learn | Was ist bedingter Zugriff? …. https://learn.microsoft.com/de-de/azure/active-directory/conditional-access/overview

Vergleich: MS Azure EntraID vs. On-Premise AD
Übersicht, Einstellungen, Empfehlungen
Effektive Benutzereinstellungen
Gruppen Einstellungen
Bedingter Zugriff
Hybridverwaltung
Benutzererfahrung / Unternehmensbranding
Authentifizierung – Kennwortschutz
Authentifizierungsmethoden – Richtlinien & Einstellungen
Microsoft Authenticator Einstellungen
Datenschutz in Microsoft Entra

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*