Best Practices für den bedingten Zugriff in Azure Active DirectoryBest practices for Conditional Access in Azure Active Directory

Mit dem bedingten Zugriff von Azure Active Directory (Azure AD) können Sie den Zugriff von autorisierten Benutzern auf Ihre Cloud-Apps steuern.With Azure Active Directory (Azure AD) Conditional Access, you can control how authorized users access your cloud apps. Dieser Artikel bietet Folgendes:This article provides you with information about:

  • Wichtige InformationenThings you should know
  • Aktionen, die Sie beim Konfigurieren von Richtlinien für bedingten Zugriff vermeiden sollten.What it is you should avoid doing when configuring Conditional Access policies.

Für diesen Artikel wird davon ausgegangen, dass Sie mit den Konzepten und Begriffen vertraut sind, die in Was ist bedingter Zugriff in Azure Active Directory? beschrieben werden.This article assumes that you are familiar with the concepts and the terminology outlined in What is Conditional Access in Azure Active Directory?

Was ist erforderlich, damit eine Richtlinie funktioniert?What’s required to make a policy work?

Wenn Sie eine neue Richtlinie erstellen, werden keine Benutzer, Gruppen, Apps oder Zugriffssteuerungen ausgewählt.When you create a new policy, there are no users, groups, apps, or access controls selected.

Cloud-Apps

Damit Ihre Richtlinie funktioniert, müssen Sie Folgendes konfigurieren:To make your policy work, you must configure:

WasWhat VorgehensweiseHow WarumWhy
Cloud-AppsCloud apps Wählen Sie mindestens eine App aus.Select one or more apps. Ziel einer Richtlinie für bedingten Zugriff ist es, Ihnen die Steuerung des Zugriffs autorisierter Benutzer auf Cloud-Apps zu ermöglichen.The goal of a Conditional Access policy is to enable you to control how authorized users can access cloud apps.
Benutzer und GruppenUsers and groups Wählen Sie mindestens einen Benutzer oder eine Gruppe aus, der bzw. die dazu autorisiert ist, auf die von Ihnen ausgewählten Cloud-Apps zuzugreifen.Select at least one user or group that is authorized to access your selected cloud apps. Eine Richtlinie für bedingten Zugriff, der keine Benutzer und Gruppen zugewiesen sind, wird niemals ausgelöst.A Conditional Access policy that has no users and groups assigned, is never triggered.
SteuerelementeAccess controls Wählen Sie mindestens eine Zugriffssteuerung aus.Select at least one access control. Ihr Richtlinienprozessor muss wissen, was zu tun ist, wenn die Bedingungen erfüllt sind.If your conditions are satisfied, your policy processor needs to know what to do.

Wichtige InformationenWhat you should know

Wie werden Richtlinien für bedingten Zugriff angewendet?How are Conditional Access policies applied?

Wenn Sie auf eine Cloud-App zugreifen, können mehrere Richtlinien für bedingten Zugriff angewendet werden.More than one Conditional Access policy may apply when you access a cloud app. In diesem Fall müssen alle geltenden Richtlinien erfüllt werden.In this case, all policies that apply must be satisfied. Wenn also beispielsweise eine Richtlinie die Verwendung der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) und eine weitere Richtlinie ein konformes Gerät erfordert, müssen Sie die MFA durchlaufen und ein konformes Gerät verwenden.For example, if one policy requires multi-factor authentication (MFA) and another requires a compliant device, you must complete MFA, and use a compliant device.

Alle Richtlinien werden in zwei Phasen erzwungen:All policies are enforced in two phases:

  • Phase 1:Phase 1:
    • Detailsammlung: Sammeln von Details, um Richtlinien zu ermitteln, die bereits erfüllt sind.Detail collection: Gather details to identify policies that would already be satisfied.
    • In dieser Phase wird von Benutzern unter Umständen ein Zertifikat angefordert, wenn die Gerätekonformität Teil Ihrer Richtlinien für bedingten Zugriff ist.During this phase, users may see a certificate prompt if device compliance is part of your Conditional Access policies. Diese Anforderung kann für Browser-Apps angezeigt werden, wenn das Gerät nicht das Windows 10-Betriebssystem verwendet.This prompt may occur for browser apps when the device operating system is not Windows 10.
    • Die erste Phase der Richtlinienauswertung wird für alle aktivierten Richtlinien sowie für Richtlinien im Modus Nur Bericht durchlaufen.Phase 1 of policy evaluation occurs for all enabled policies and policies in report-only mode.
  • Phase 2:Phase 2:
    • Erzwingung: Sicherstellen, dass der Benutzer sämtliche noch nicht erfüllten Anforderungen erfüllt (unter Berücksichtigung der gesammelten Details aus Phase 1).Enforcement: Taking in to account the details gathered in phase 1, request user to satisfy any additional requirements that have not been met.
    • Anwenden der Ergebnisse auf die Sitzung.Apply results to session.
    • Die zweite Phase der Richtlinienauswertung wird für alle aktivierten Richtlinien durchlaufen.Phase 2 of policy evaluation occurs for all enabled policies.

Wie werden Zuweisungen ausgewertet?How are assignments evaluated?

Alle Zuweisungen sind logisch per UND-Operator verbunden.All assignments are logically ANDed. Wenn Sie mehr als eine Zuweisung konfiguriert haben, müssen die Bedingungen aller Zuweisungen erfüllt sein, damit eine Richtlinie ausgelöst wird.If you have more than one assignment configured, all assignments must be satisfied to trigger a policy.

Beim Konfigurieren einer Standortbedingung, die für alle Verbindungen von außerhalb des Organisationsnetzwerks gilt, gehen Sie folgendermaßen vor:If you need to configure a location condition that applies to all connections made from outside your organization's network:

  • Schließen Sie Alle Standorte ein.Include All locations
  • Schließen Sie Alle vertrauenswürdigen IPs aus.Exclude All trusted IPs

Was ist zu tun, wenn Ihr Zugriff auf das Azure AD-Verwaltungsportal gesperrt ist?What to do if you are locked out of the Azure AD admin portal?

Wenn Ihr Zugriff auf das Azure AD-Portal aufgrund einer falschen Einstellung in einer Richtlinie für bedingten Zugriff gesperrt wurde, gehen Sie folgendermaßen vor:If you are locked out of the Azure AD portal due to an incorrect setting in a Conditional Access policy:

  • Überprüfen Sie, ob weitere Administratoren in Ihrer Organisation vorhanden sind, die noch nicht gesperrt sind.Check is there are other administrators in your organization that aren't blocked yet. Ein Administrator mit Zugriff auf das Azure-Portal kann die Richtlinie deaktivieren, die Ihre Anmeldung sperrt.An administrator with access to the Azure portal can disable the policy that is impacting your sign in.
  • Wenn keiner der Administratoren in Ihrer Organisation die Richtlinie aktualisieren kann, müssen Sie eine Supportanfrage übermitteln.If none of the administrators in your organization can update the policy, you need to submit a support request. Der Microsoft-Support kann Richtlinien für bedingten Zugriff, die den Zugriff verhindern, überprüfen und aktualisieren.Microsoft support can review and update Conditional Access policies that are preventing access.

Was passiert, wenn Sie im klassischen Azure-Portal und im Azure-Portal Richtlinien konfiguriert haben?What happens if you have policies in the Azure classic portal and Azure portal configured?

Beide Richtlinien werden von Azure Active Directory erzwungen, und ein Benutzer erhält nur dann Zugriff, wenn alle Anforderungen erfüllt sind.Both policies are enforced by Azure Active Directory and the user gets access only when all requirements are met.

Was passiert, wenn Sie im Intune Silverlight-Portal und im Azure-Portal über Richtlinien verfügen?What happens if you have policies in the Intune Silverlight portal and the Azure portal?

Beide Richtlinien werden von Azure Active Directory erzwungen, und ein Benutzer erhält nur dann Zugriff, wenn alle Anforderungen erfüllt sind.Both policies are enforced by Azure Active Directory and the user gets access only when all requirements are met.

Was passiert, wenn ich mehrere Richtlinien für denselben Benutzer konfiguriert habe?What happens if I have multiple policies for the same user configured?

Bei jeder Anmeldung werden von Azure Active Directory alle Richtlinien ausgewertet, und es wird sichergestellt, dass alle Anforderungen erfüllt sind, bevor dem Benutzer der Zugriff gewährt wird.For every sign-in, Azure Active Directory evaluates all policies and ensures that all requirements are met before granted access to the user. Ein Blockieren des Zugriffs sticht alle übrigen Konfigurationseinstellungen aus.Block access trumps all other configuration settings.

Funktioniert der bedingte Zugriff mit Exchange ActiveSync?Does Conditional Access work with Exchange ActiveSync?

Ja, Sie können Exchange ActiveSync in einer Richtlinie für bedingten Zugriff verwenden.Yes, you can use Exchange ActiveSync in a Conditional Access policy.

Einige Cloud-Apps wie SharePoint Online und Exchange Online unterstützen auch ältere Authentifizierungsprotokolle.Some cloud apps like SharePoint Online and Exchange Online also support legacy authentication protocols. Wenn eine Client-App mit einem Legacyauthentifizierungsprotokoll auf eine Cloud-App zugreifen kann, ist es Azure AD nicht möglich, eine Richtlinie für bedingten Zugriff für diesen Zugriffsversuch zu erzwingen.When a client app can use a legacy authentication protocol to access a cloud app, Azure AD cannot enforce a Conditional Access policy on this access attempt. Um zu verhindern, dass eine Client-App die Erzwingung von Richtlinien umgeht, sollten Sie überprüfen, ob es möglich ist, für die betroffenen Cloud-Apps nur die moderne Authentifizierung zu aktivieren.To prevent a client app from bypassing the enforcement of policies, you should check whether it is possible to only enable modern authentication on the affected cloud apps.

Wie sollten Sie den bedingten Zugriff für Office 365-Apps konfigurieren?How should you configure Conditional Access with Office 365 apps?

Da Office 365-Apps miteinander verbunden sind, empfiehlt es sich, häufig verwendete Apps beim Erstellen von Richtlinien gemeinsam zuzuweisen.Because Office 365 apps are interconnected, we recommend assigning commonly used apps together when creating policies.

Zu den gängigen miteinander verbundenen Anwendungen gehören Microsoft Flow, Microsoft Planner, Microsoft Teams, Office 365 Exchange Online, Office 365 SharePoint Online und Office 365 Yammer.Common interconnected applications include Microsoft Flow, Microsoft Planner, Microsoft Teams, Office 365 Exchange Online, Office 365 SharePoint Online, and Office 365 Yammer.

Bei Richtlinien, die Benutzerinteraktionen erfordern, wie z. B. die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA), ist dies wichtig, wenn der Zugriff am Anfang einer Sitzung oder Aufgabe gesteuert wird.It is important for policies that require user interactions, like multi-factor authentication, when access is controlled at the beginning of a session or task. Wenn Sie dies nicht tun, können Benutzer einige Aufgaben in einer App nicht ausführen.If you don’t, users won’t be able to complete some tasks within an app. Wenn beispielsweise auf nicht verwalteten Geräten die mehrstufige Authentifizierung für den Zugriff auf SharePoint, aber nicht für den Zugriff auf die E-Mail-App erforderlich ist, können Benutzer, die in ihrer E-Mail-App arbeiten, keine SharePoint-Dateien an eine Nachricht anfügen.For example, if you require multi-factor authentication on unmanaged devices to access SharePoint but not to email, users working in their email won’t be able to attach SharePoint files to a message. Weitere Informationen finden Sie im Artikel Was sind Dienstabhängigkeiten beim bedingten Azure Active Directory-Zugriff?More information can be found in the article, What are service dependencies in Azure Active Directory Conditional Access?.

Das sollten Sie vermeidenWhat you should avoid doing

Das Framework für bedingten Zugriff bietet Ihnen mehr Flexibilität bei der Konfiguration.The Conditional Access framework provides you with a great configuration flexibility. Mehr Flexibilität bedeutet jedoch auch, dass Sie jede Konfigurationsrichtlinie vor dem Veröffentlichen sorgfältig prüfen sollten, um unerwünschte Ergebnisse zu vermeiden.However, great flexibility also means that you should carefully review each configuration policy before releasing it to avoid undesirable results. Achten Sie in diesem Fall besonders auf Zuweisungen, die sich auf komplette Sätze auswirken, z.B. alle Benutzer/Gruppen/Cloud-Apps.In this context, you should pay special attention to assignments affecting complete sets such as all users / groups / cloud apps.

Vermeiden Sie in Ihrer Umgebung die folgenden Konfigurationen:In your environment, you should avoid the following configurations:

Für alle Benutzer, alle Cloud-Apps:For all users, all cloud apps:

  • Zugriff blockieren: Diese Konfiguration blockiert Ihre gesamte Organisation, was in keinem Fall wünschenswert ist.Block access - This configuration blocks your entire organization, which is definitely not a good idea.
  • Erfordert kompatibles Gerät: Für Benutzer, die ihre Geräte noch nicht registriert haben, blockiert diese Richtlinie den gesamten Zugriff, einschließlich des Zugriffs auf das Intune-Portal.Require compliant device - For users that have not enrolled their devices yet, this policy blocks all access including access to the Intune portal. Wenn Sie ein Administrator ohne registriertes Gerät sind, verhindert diese Richtlinie auch, dass Sie in das Azure-Portal zurückkehren und die Richtlinie ändern können.If you are an administrator without an enrolled device, this policy blocks you from getting back into the Azure portal to change the policy.
  • Erfordert Domänenbeitritt: Diese Richtlinie blockiert potenziell den Zugriff für alle Benutzer in Ihrer Organisation, wenn Sie noch nicht über in die Domäne eingebundene Geräte verfügen.Require domain join - This policy block access has also the potential to block access for all users in your organization if you don't have a domain-joined device yet.
  • App-Schutzrichtlinie erforderlich: Diese Richtlinie zum Blockieren des Zugriffs kann potenziell auch den Zugriff für alle Benutzer in Ihrer Organisation blockieren, wenn Sie nicht über eine Intune-Richtlinie verfügen.Require app protection policy - This policy block access has also the potential to block access for all users in your organization if you don't have an Intune policy. Wenn Sie als Administrator nicht über eine Clientanwendung mit einer Intune-App-Schutzrichtlinie verfügen, verhindert diese Richtlinie, dass Sie wieder in Portale wie Intune und Azure gelangen.If you are an administrator without a client application that has an Intune app protection policy, this policy blocks you from getting back into portals such as Intune and Azure.

Für alle Benutzer, alle Cloud-Apps, alle Geräteplattformen:For all users, all cloud apps, all device platforms:

  • Zugriff blockieren: Diese Konfiguration blockiert Ihre gesamte Organisation, was in keinem Fall wünschenswert ist.Block access - This configuration blocks your entire organization, which is definitely not a good idea.

Wie stellen Sie eine neue Richtlinie bereit?How should you deploy a new policy?

Im ersten Schritt sollten Sie Ihre Richtlinie mit dem Was-wäre-wenn-Tool bewerten.As a first step, you should evaluate your policy using the what if tool.

Wenn neue Richtlinien für Ihre Umgebung bereit sind, stellen Sie sie phasenweise bereit:When new policies are ready for your environment, deploy them in phases:

  1. Wenden Sie die Richtlinie auf eine kleine Gruppe von Benutzern an, und überprüfen Sie, ob sie sich erwartungsgemäß verhält.Apply a policy to a small set of users and verify it behaves as expected.
  2. Wenn Sie eine Richtlinie auf einen größeren Benutzerkreis erweitern,When you expand a policy to include more users. schließen Sie dabei weiterhin alle Administratoren von der Richtlinie aus, um zu gewährleisten, dass sie weiterhin Zugriff haben und die Richtlinie bei Bedarf aktualisieren können.Continue to exclude all administrators from the policy to ensure that they still have access and can update a policy if a change is required.
  3. Wenden Sie eine Richtlinie nur dann auf alle Benutzer an, wenn dies erforderlich ist.Apply a policy to all users only if necessary.

Es wird empfohlen, ein Benutzerkonto zu erstellen, für das Folgendes gilt:As a best practice, create a user account that is:

  • Nur zur Richtlinienverwaltung gedachtDedicated to policy administration
  • Von allen Richtlinien ausgeschlossenExcluded from all your policies

RichtlinienmigrationPolicy migration

Aus den folgenden Gründen sollten Sie eine Migration der Richtlinien in Erwägung ziehen, die Sie nicht im Azure-Portal erstellt haben:Consider migrating the policies you have not created in the Azure portal because:

  • Sie können jetzt Szenarien berücksichtigen, die bisher nicht behandelt werden konnten.You can now address scenarios you could not handle before.
  • Sie können die Anzahl der zu verwaltenden Richtlinien reduzieren, indem Sie diese zusammenführen.You can reduce the number of policies you have to manage by consolidating them.
  • Sie können alle Richtlinien für bedingten Zugriff zentral verwalten.You can manage all your Conditional Access policies in one central location.
  • Das klassische Azure-Portal wurde eingestellt.The Azure classic portal has been retired.

Weitere Informationen finden Sie unter Migrieren klassischer Richtlinien in das Azure-Portal.For more information, see Migrate classic policies in the Azure portal.

Nächste SchritteNext steps

Weitere Informationen finden Sie in den folgenden Artikeln:If you want to know: