Bedingter Zugriff: Risikobasierter bedingter Zugriff beim Anmelden

Die meisten Benutzer weisen ein normales Verhalten auf, das nachverfolgt werden kann. Wenn sie sich aber außerhalb dieser Norm bewegen, ist es ggf. riskant, ihnen das Anmelden ohne Weiteres zu erlauben. Es kann ratsam sein, den entsprechenden Benutzer zu blockieren oder ggf. einfach um die Durchführung einer mehrstufigen Authentifizierung zu bitten. So kann bewiesen werden, ob es sich auch wirklich um die Person handelt, die vorgegeben wird.

Ein Anmelderisiko stellt die Wahrscheinlichkeit dar, dass eine bestimmte Authentifizierungsanforderung vom Identitätsbesitzer nicht autorisiert wurde. Organisationen mit Azure AD Premium P2-Lizenzen können Richtlinien für bedingten Zugriff erstellen, die Azure AD Identity Protection-Risikoerkennungen enthalten.

Es gibt zwei Orte, an denen diese Richtlinie konfiguriert werden kann: bedingter Zugriff und Identity Protection. Die Konfiguration mithilfe einer Richtlinie für bedingten Zugriff ist die bevorzugte Methode, da sie mehr Kontext bietet, z. B. erweiterte Diagnosedaten, die Integration nur im Berichtsmodus, Graph-API-Unterstützung und die Möglichkeit, andere Attribute für bedingten Zugriff in der Richtlinie zu verwenden.

Aktivieren mit einer Richtlinie für bedingten Zugriff

  1. Melden Sie sich beim Azure-Portal als globaler Administrator, Sicherheitsadministrator oder Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Azure Active Directory > Sicherheit > Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Klicken Sie unter Zuweisungen auf Benutzer und Gruppen.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
    3. Wählen Sie Fertig aus.
  6. Wählen Sie unter Cloud-Apps oder -aktionen > Einschließen die Option Alle Cloud-Apps aus.
  7. Legen Sie unter Bedingungen > Anmelderisiko die Option Konfigurieren auf Ja fest. Wählen Sie unter Anmelderisikostufe auswählen, auf die diese Richtlinie angewendet werden soll
    1. entweder Hoch oder Mittel aus.
    2. Wählen Sie Fertig aus.
  8. Wählen Sie unter Zugriffssteuerung > Erteilen die Option Zugriff erteilen, dann Mehrstufige Authentifizierung erforderlich und anschließend Auswählen aus.
  9. Bestätigen Sie die Einstellungen und legen Sie Richtlinie aktivieren auf Ein fest.
  10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Aktivieren über Identity Protection

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie Alle Dienste aus, und navigieren Sie zu Azure AD Identity Protection.
  3. Wählen Sie Anmelderisiko-Richtlinie aus.
  4. Wählen Sie unter Zuweisungen die Option Benutzer aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Ausgeschlossene Benutzer auswählen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus. Abschließend wählen Sie Auswählen aus.
    3. Wählen Sie Fertig aus.
  5. Wählen Sie unter Bedingungen die Option Anmelderisiko und dann Mittel und darüber.
    1. Wählen Sie Auswählen und anschließend Fertig aus.
  6. Wählen Sie unter Kontrollen > Zugriff die Option Zugriff zulassen und dann Multi-Factor Authentication erforderlich aus.
    1. Wählen Sie Auswählen.
  7. Legen Sie Richtlinie erzwingen auf Ein fest.
  8. Wählen Sie Speichern aus.

Nächste Schritte

Allgemeine Richtlinien für bedingten Zugriff

Bedingter Zugriff anhand des Benutzerrisikos

Bestimmen der Auswirkung durch Verwendung des reinen Berichtsmodus des bedingten Zugriffs

Simulieren des Anmeldeverhaltens mit dem Was-wäre-wenn-Tool für den bedingten Zugriff

Was ist Azure Active Directory Identity Protection?