Bedingter Zugriff: Cloud-Apps, Aktionen und Authentifizierungskontext

Cloud-Apps, -Aktionen und -Authentifizierungskontext sind wichtige Signale in einer Richtlinie für bedingten Zugriff. Richtlinien für bedingten Zugriff ermöglichen Administratoren das Zuweisen von Steuerelementen zu bestimmten Anwendungen, Aktionen oder Authentifizierungskontext.

  • Administratoren stehen eine Reihe von Anwendungen zur Auswahl. Dazu zählen integrierte Microsoft-Anwendungen und alle in Azure AD integrierten Anwendungen (Katalog- und Nicht-Kataloganwendungen) sowie über den Anwendungsproxy veröffentlichte Anwendungen.
  • Administratoren können sich entscheiden, die Richtlinie nicht basierend auf einer Cloudanwendung zu definieren, sondern basierend auf einer Benutzeraktion wie etwa Sicherheitsinformationen registrieren oder Geräte registrieren oder beitreten, sodass der bedingte Zugriff Kontrollmaßnahmen bezüglich dieser Aktionen durchsetzen kann.
  • Administratoren können den Authentifizierungskontext verwenden, um eine zusätzliche Sicherheitsebene in Anwendungen zu schaffen.

Definieren einer Richtlinie für bedingten Zugriff und Angeben von Cloud-Apps

Microsoft Cloud-Anwendungen

Viele der vorhandenen Microsoft-Cloudanwendungen sind in der Liste der Anwendungen enthalten, die zur Auswahl stehen.

Administratoren können den folgenden Cloud-Apps von Microsoft eine Richtlinie für bedingten Zugriff zuweisen. Zu einigen Apps wie Office 365 und Microsoft Azure Management gehören mehrere untergeordnete Apps oder Dienste. Wir fügen ständig weitere Apps hinzu, sodass die folgende Liste nicht vollständig ist und geändert werden kann.

  • Office 365
  • Azure Analysis Services
  • Azure DevOps
  • Azure Event Hubs
  • Azure Service Bus
  • Azure SQL Database und Azure Synapse Analytics
  • Common Data Service
  • Microsoft Application Insights Analytics
  • Microsoft Azure Information Protection
  • Microsoft Azure Management
  • Microsoft Azure-Abonnementverwaltung
  • Microsoft Cloud App Security
  • Portal für die Zugriffssteuerung auf Microsoft Commerce-Tools
  • Authentifizierungsdienst für Microsoft Commerce-Tools
  • Microsoft Forms
  • Microsoft Intune
  • Microsoft Intune-Registrierung
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power Automate
  • Microsoft-Suche in Bing
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Teams
  • Exchange Online
  • SharePoint
  • Yammer
  • Office Delve
  • Office Sway
  • Outlook-Gruppen
  • Power BI-Dienst
  • Project Online
  • Skype for Business Online
  • Virtuelles privates Netzwerk (VPN):
  • Windows Defender ATP

Wichtig

Anwendungen, die für den bedingten Zugriff verfügbar sind, haben einen Onboarding- und Validierungsprozess durchlaufen. Diese Liste schließt nicht alle Microsoft-Apps ein, da viele Back-End-Dienste sind und nicht vorgesehen ist, Richtlinien direkt auf sie anzuwenden. Wenn Sie eine fehlende Anwendung suchen, können Sie sich an das jeweilige Anwendungsteam wenden oder eine Anforderung an UserVoice senden.

Office 365

Microsoft 365 stellt cloudbasierte Dienste für Produktivität und Zusammenarbeit wie Exchange, SharePoint und Microsoft Teams bereit. Microsoft 365-Clouddienste sind umfassend integriert, um nahtlose Funktionen für die Zusammenarbeit zu gewährleisten. Diese Integration kann beim Erstellen von Richtlinien zu Verwirrung führen, da einige Apps wie Microsoft Teams Abhängigkeiten von anderen Apps wie SharePoint oder Exchange aufweisen.

Mit der Office 365-Suite können Sie gleichzeitig auf all diese Dienste abzielen. Wir empfehlen die Verwendung der neuen Office 365-Suite, statt auf einzelne Cloud-Apps abzuzielen, um Probleme mit Dienstabhängigkeiten zu vermeiden.

Eine Ausrichtung auf diese Gruppe von Anwendungen trägt dazu bei, Probleme zu vermeiden, die aufgrund inkonsistenter Richtlinien und Abhängigkeiten auftreten können. Beispiel: Die Exchange Online-App ist an herkömmliche Exchange Online-Daten wie E-Mail-, Kalender- und Kontaktinformationen gebunden. Zugehörige Metadaten können über verschiedene Ressourcen wie die Suche verfügbar gemacht werden. Administratoren sollten der Office 365-Suite Richtlinien zuweisen, um sicherzustellen, dass alle Metadaten wie beabsichtigt durch geschützt werden.

Administratoren können bestimmte Apps von der Richtlinie ausschließen, indem sie die Office 365-Suite einbeziehen und bestimmte Apps in der Richtlinie ausschließen.

Die Client-App von Office 365 enthält u. a. die folgenden wichtigen Anwendungen:

  • Microsoft Forms
  • Microsoft Stream
  • Microsoft To-Do
  • Microsoft Teams
  • Exchange Online
  • SharePoint Online
  • Microsoft 365-Suchdienst
  • Yammer
  • Office Delve
  • Office Online
  • Office.com
  • OneDrive
  • Power Automate
  • Power Apps
  • Skype for Business Online
  • Sway

Microsoft Azure Management

Die Microsoft Azure Management-Anwendung enthält mehrere Dienste.

  • Azure-Portal
  • Azure Resource Manager-Anbieter
  • APIs für das klassische Bereitstellungsmodell
  • Azure PowerShell
  • Azure CLI
  • Administratorportal für Visual Studio-Abonnements
  • Azure DevOps
  • Azure Data Factory-Portal

Hinweis

Die Microsoft Azure Management-Anwendung gilt für Azure PowerShell, die die Azure Resource Manager-API aufruft. Sie gilt nicht für Azure AD PowerShell, die Microsoft Graph aufruft.

Andere Anwendungen

Administratoren können jede für Azure AD registrierte Anwendung zu Richtlinien für bedingten Zugriff hinzufügen. Dazu zählen u.a. die folgenden Anwendungen:

Hinweis

Da die Richtlinie für bedingten Zugriff die Anforderungen für den Zugriff auf einen Dienst festlegt, können Sie sie nicht auf eine (öffentliche/native) Clientanwendung anwenden. Anders ausgedrückt: Die Richtlinie wird nicht direkt in einer Clientanwendung (öffentlichen/nativen Anwendung) festgelegt, sondern angewendet, wenn ein Client einen Dienst aufruft. Eine Richtlinie, die für den SharePoint-Dienst festgelegt wurde, gilt beispielsweise für die Clients, die SharePoint aufrufen. Eine Richtlinie, die für Exchange festgelegt wurde, gilt für den Zugriffsversuch auf E-Mail mithilfe des Outlook-Clients. Aus diesem Grund stehen Clientanwendungen (öffentliche/native Anwendungen) in der Cloud-Apps-Auswahl nicht zur Auswahl zur Verfügung, und die Option „Bedingter Zugriff“ ist in den Anwendungseinstellungen für die in Ihrem Mandanten registrierte Clientanwendung (öffentliche/native Anwendung) nicht verfügbar.

Benutzeraktionen

Benutzeraktionen sind Aufgaben, die von einem Benutzer ausgeführt werden können. Der bedingte Zugriff unterstützt derzeit zwei Benutzeraktionen:

  • Sicherheitsinformationen registrieren: Mit dieser Benutzeraktion kann eine Richtlinie für bedingten Zugriff erzwungen werden, wenn Benutzer, für die die kombinierte Registrierung aktiviert ist, versuchen, ihre Sicherheitsinformationen zu registrieren. Weitere Informationen finden Sie im Artikel Kombinierte Registrierung von Sicherheitsinformationen.

  • Geräte registrieren oder verknüpfen: Mit dieser Benutzeraktion können Administratoren eine Richtlinie für bedingten Zugriff erzwingen, wenn Benutzer Geräte in Azure AD registrieren oder mit Azure AD verknüpfen. Sie bietet Granularität bei der Konfiguration der Multi-Factor Authentication für das Registrieren oder Einbinden von Geräten anstelle einer derzeit vorhandenen mandantenweiten Richtlinie. Bei dieser Benutzeraktion sind drei wichtige Punkte zu beachten:

    • Require multi-factor authentication ist die einzige Zugriffssteuerung, die bei dieser Benutzeraktion verfügbar ist. Alle anderen Zugriffssteuerungen sind deaktiviert. Durch diese Einschränkung werden Konflikte mit Zugriffssteuerungen verhindert, die entweder von der Azure AD-Geräteregistrierung abhängig sind oder nicht für die Azure AD-Geräteregistrierung gelten.
    • Die Bedingungen Client apps, Filters for devices und Device state sind bei dieser Benutzeraktion nicht verfügbar, da sie zum Erzwingen von Richtlinien für den bedingten Zugriff von der Azure AD-Geräteregistrierung abhängig sind.
    • Wenn bei dieser Benutzeraktion eine Richtlinie für bedingten Zugriff aktiviert ist, muss Azure Active Directory > Geräte > Geräteeinstellungen - Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication auf Nein festgelegt werden. Anderenfalls wird die Richtlinie für den bedingten Zugriff bei dieser Benutzeraktion nicht ordnungsgemäß erzwungen. Weitere Informationen zu dieser Geräteeinstellung finden Sie unter Konfigurieren von Geräteeinstellungen.

Authentifizierungskontext (Vorschau)

Der Authentifizierungskontext kann verwendet werden, um Daten und Aktionen in Anwendungen besser zu schützen. Bei diesen Anwendungen kann es sich um Ihre eigenen benutzerdefinierten Anwendungen, um benutzerdefinierte Branchenanwendungen, um Anwendungen wie SharePoint oder um durch Microsoft Cloud App Security (MCAS) geschützte Anwendungen handeln.

Eine Organisation kann z. B. Dateien auf SharePoint-Websites speichern, z. B. eine Speisekarte oder die geheime Rezeptur ihrer BBQ-Soße. Möglicherweise haben alle Zugriff auf die Speisekartenwebsite, aber Benutzer mit Zugriff auf die geheime Soßenrezepturwebsite müssen möglicherweise von einem verwalteten Gerät aus darauf zugreifen und bestimmten Nutzungsbedingungen zustimmen.

Authentifizierungskontexte konfigurieren

Authentifizierungskontexte werden im Azure-Portal unter Azure Active Directory > Sicherheit > Bedingter Zugriff > Authentifizierungskontext verwaltet.

Verwalten von Authentifizierungskontext im Azure-Portal

Warnung

  • Das Löschen von Authentifizierungskontextdefinitionen ist während der Vorschau nicht möglich.
  • Die Vorschau ist auf insgesamt 25 Authentifizierungskontextdefinitionen im Azure-Portal beschränkt.

Erstellen Sie neue Authentifizierungskontextdefinitionen, indem Sie im Azure-Portal Neuer Authentifizierungskontext auswählen. Konfigurieren Sie folgende Attribute:

  • Anzeigename ist der Name, der verwendet wird, um den Authentifizierungskontext in Azure AD und anwendungsübergreifend in Authentifizierungskontext nutzenden Anwendungen zu identifizieren. Wir empfehlen Namen, die ressourcenübergreifend verwendet werden können, z. B. „vertrauenswürdige Geräte“, um die Anzahl der erforderlichen Authentifizierungskontexte zu reduzieren. Durch einen reduzierten Satz an Namen wird die Anzahl der Umleitungen eingeschränkt, und die Endbenutzererfahrung wird verbessert.
  • Die Beschreibung enthält weitere Informationen zu Richtlinien, die von Azure AD-Administratoren verwendet werden, und solchen, die Authentifizierungskontexte auf Ressourcen anwenden.
  • Wenn das Kontrollkästchen In Apps veröffentlichen aktiviert ist, wird der Authentifizierungskontext für Apps ankündigen und zur Zuweisung zur Verfügung gestellt. Wenn es nicht aktiviert ist, ist der Authentifizierungskontext für Downstream-Ressourcen nicht verfügbar.
  • Die ID ist schreibgeschützt und wird in Token und Apps für anforderungsspezifische Authentifizierungskontextdefinitionen verwendet. Sie ist hier zu Zwecken der Problembehandlung und für die Entwicklung aufgeführt.

Hinzufügen zur Richtlinie für bedingten Zugriff

Administratoren können veröffentlichte Authentifizierungskontexte in ihren Richtlinien für bedingten Zugriff unter Zuweisungen > Cloud-Apps oder -Aktionen Authentifizierungskontext im Menü Auswählen, wofür diese Richtlinie gilt auswählen.

Hinzufügen eines Authentifizierungskontexts für bedingten Zugriff zu einer Richtlinie

Ressourcen mit Authentifizierungskontexten markieren

Weitere Informationen zur Verwendung des Authentifizierungskontexts in Anwendungen finden Sie in den folgenden Artikeln.

Nächste Schritte