Erste Schritte mit dem bedingten Zugriff in Azure Active DirectoryGet started with conditional access in Azure Active Directory

Beim bedingten Zugriff handelt es sich um eine Funktion von Azure Active Directory, mit der Sie Bedingungen festlegen können, unter denen autorisierte Benutzer auf Ihre Apps zugreifen können.Conditional access is a capability of Azure Active Directory that enables you to define conditions under which authorized users can access your apps.

Dieses Thema enthält Anweisungen zum Testen des bedingten Zugriffs auf Grundlage einer Ortsbedingung in Ihrer Umgebung.This topic provides you with instructions for testing a conditional access based on a location condition in your environment.

Beschreibung des SzenariosScenario description

Eine häufige Anforderung in vielen Organisationen besteht darin, die mehrstufige Authentifizierung für den Zugriff auf Apps nur dann erforderlich zu machen, wenn der Zugriff nicht vom Unternehmensintranet aus erfolgt.One common requirement in many organizations is to only require multi-factor authentication for access to apps that is not performed from the corporate intranet. Mit Azure Active Directory erreichen Sie dies problemlos, indem Sie eine ortsbasierte Richtlinie für bedingten Zugriff konfigurieren.With Azure Active Directory, you can easily accomplish this goal by configuring a location-based conditional access policy. Dieses Thema enthält ausführliche Anweisungen zum Konfigurieren einer entsprechenden Richtlinie.This topic provides you with detailed instructions for configuring a related policy. Die Richtlinie nutzt vertrauenswürdige IPs, um zwischen Zugriffsversuchen vom Unternehmensintranet und Zugriffsversuchen von anderswo zu unterscheiden.The policy leverages Trusted IPs to distinguish between access attempts made from the corporate's intranet and all other locations.

VoraussetzungenPrerequisites

Bei dem in diesem Thema beschriebenen Szenario wird davon ausgegangen, dass Sie mit den Konzepten unter Bedingter Zugriff in Azure Active Directory vertraut sind.The scenario outlined in this topic assumes that you are familiar with the concepts outlined in Azure Active Directory conditional access.

Zum Testen dieses Szenario ist Folgendes erforderlich:To test this scenario, you need to:

  • Erstellen eines TestbenutzersCreate a test user

  • Zuweisen einer Azure AD Premium-Lizenz zum TestbenutzerAssign an Azure AD Premium license to the test user

  • Konfigurieren einer verwalteten App und Zuweisen eines Testbenutzers zu dieser AppConfigure a managed app and assign your test user to it

  • Konfigurieren vertrauenswürdiger IP-AdressenConfigure trusted IPs

Weitere Informationen zu vertrauenswürdigen IP-Adressen finden Sie unter Vertrauenswürdige IPs.If you need more details about Trusted IPs, see Trusted IPs.

Schritte für die RichtlinienkonfigurationPolicy configuration steps

Gehen Sie zum Konfigurieren der Richtlinie für bedingten Zugriff wie folgt vor:To configure your conditional access policy, do:

  1. Klicken Sie im Azure-Portal auf der linken Navigationsleiste auf Azure Active Directory.In the Azure portal, on the left navbar, click Azure Active Directory.

    Bedingter Zugriff

  2. Klicken Sie auf dem Blatt Azure Active Directory im Abschnitt Verwalten auf Bedingter Zugriff.On the Azure Active Directory blade, in the Manage section, click Conditional access.

    Bedingter Zugriff

  3. Klicken Sie zum Öffnen des Blatts Neu auf dem Blatt Bedingter Zugriff oben auf der Symbolleiste auf Hinzufügen.On the Conditional Access blade, to open the New blade, in the toolbar on the top, click Add.

    Bedingter Zugriff

  4. Geben Sie auf dem Blatt Neu im Textfeld Name einen Namen für Ihre Richtlinie ein.On the New blade, in the Name textbox, type a name for your policy.

    Bedingter Zugriff

  5. Klicken Sie im Abschnitt Zuweisung auf Benutzer und Gruppen.In the Assignment section, click Users and groups.

    Bedingter Zugriff

  6. Führen Sie auf dem Blatt Benutzer und Gruppen die folgenden Schritte aus:On the Users and groups blade, perform the following steps:

    Bedingter Zugriff

    a.a. Wählen Sie Benutzer und Gruppen auswählen.Click Select users and groups.

    b.b. Klicken Sie auf Auswählen.Click Select.

    c.c. Wählen Sie auf dem Blatt Auswahl Ihren Testbenutzer aus, und klicken Sie dann auf Auswahl.On the Select blade, select your test user, and then click Select.

    d.d. Klicken Sie auf dem Blatt Benutzer und Gruppen auf Fertig.On the Users and groups blade, click Done.

  7. Klicken Sie zum Öffnen des Blatts Cloud-Apps auf dem Blatt Neu im Abschnitt Zuweisung auf Cloud-Apps.On the New blade, to open the Cloud apps blade, in the Assignment section, click Cloud apps.

    Bedingter Zugriff

  8. Führen Sie auf dem Blatt Cloud-Apps die folgenden Schritte aus:On the Cloud apps blade, perform the following steps:

    Bedingter Zugriff

    a.a. Klicken Sie auf Apps auswählen.Click Select apps.

    b.b. Klicken Sie auf Auswählen.Click Select.

    c.c. Wählen Sie auf dem Blatt Auswahl Ihre Cloud-App aus, und klicken Sie dann auf Auswahl.On the Select blade, select your cloud app, and then click Select.

    d.d. Klicken Sie auf dem Blatt Cloud-Apps auf Fertig.On the Cloud apps blade, click Done.

  9. Klicken Sie zum Öffnen des Blatts Bedingungen auf dem Blatt Neu im Abschnitt Zuweisung auf Bedingungen.On the New blade, to open the Conditions blade, in the Assignment section, click Conditions.

    Bedingter Zugriff

  10. Klicken Sie zum Öffnen des Blatts Standorte auf dem Blatt Bedingungen auf Standorte.On the Conditions blade, to open the Locations blade, click Locations.

    Bedingter Zugriff

  11. Führen Sie auf dem Blatt Standorte die folgenden Schritte aus:On the Locations blade, perform the following steps:

    Bedingter Zugriff

    a.a. Klicken Sie unter Konfigurieren auf Ja.Under Configure, click Yes.

    b.b. Klicken Sie unter Include (Einschließen) auf All locations (Alle Standorte).Under Include, click All locations.

    c.c. Klicken Sie auf Exclude (Ausschließen) und anschließend auf All trusted IPs (Alle vertrauenswürdigen IPs).Click Exclude, and then click All trusted IPs.

    Bedingter Zugriff

    d.d. Klicken Sie auf Done.Click Done.

  12. Klicken Sie auf dem Blatt Bedingungen auf Fertig.On the Conditions blade, click Done.

  13. Klicken Sie zum Öffnen des Blatts Gewährung auf dem Blatt Neu im Abschnitt Steuerelemente auf Gewährung.On the New blade, to open the Grant blade, in the Controls section, click Grant.

    Bedingter Zugriff

  14. Führen Sie auf dem Blatt Gewährung die folgenden Schritte aus:On the Grant blade, perform the following steps:

    Bedingter Zugriff

    a.a. Wählen Sie Erfordern von Multi-Factor Authentication.Select Require multi-factor authentication.

    b.b. Klicken Sie auf Auswählen.Click Select.

  15. Klicken Sie auf dem Blatt Neu unter Richtlinie aktivieren auf Ein.On the New blade, under Enable policy, click On.

    Bedingter Zugriff

  16. Klicken Sie auf dem Blatt Neu auf Erstellen.On the New blade, click Create.

Testen der RichtlinieTesting the policy

Greifen Sie zum Testen der Richtlinie auf die App von einem Gerät zu, das:To test your policy, you should access your app from a device that:

  1. eine IP-Adresse besitzt, die in den konfigurierten vertrauenswürdigen IPs enthalten ist.Has an IP address that is within your configured Trusted IPs

  2. eine IP-Adresse besitzt, die nicht in den konfigurierten vertrauenswürdigen IPs enthalten ist.Has an IP address that is not within your configured Trusted IPs

Die mehrstufige Authentifizierung sollte nur bei einem Verbindungsversuch erforderlich sein, der von einem Gerät erfolgte, das nicht in Ihren konfigurierten vertrauenswürdigen IPs enthalten ist.Multi-factor authentication should only be required during a connection attempt that was made from a device that is not within your configured Trusted IPs.

Nächste SchritteNext steps

Weitere Informationen zum bedingten Zugriff finden Sie unter Conditional access in Azure Active Directory - preview (Bedingter Zugriff in Azure Active Directory – Vorschau).If you would like to learn more about conditional access, see Azure Active Directory conditional access.