Was ist bedingter Zugriff?What is Conditional Access?

Der moderne Sicherheitsperimeter erstreckt sich jetzt über das Netzwerk einer Organisation hinaus und bezieht auch die Benutzer- und Geräteidentität mit ein.The modern security perimeter now extends beyond an organization's network to include user and device identity. Organisationen können diese Identitätssignale als Teil ihrer Entscheidungen in Bezug auf die Zugriffssteuerung nutzen.Organizations can utilize these identity signals as part of their access control decisions.

Der bedingte Zugriff ist das Tool, das von Azure Active Directory verwendet wird, um Signale zusammenzuführen, Entscheidungen zu treffen und Organisationsrichtlinien zu erzwingen.Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational policies. Der bedingte Zugriff ist der Kern der neuen identitätsbasierten Steuerungsebene.Conditional Access is at the heart of the new identity driven control plane.

Konzeptionelles bedingtes Signal plus Entscheidung zum Erzwingen

Die einfachsten Richtlinien für den bedingten Zugriff sind if-Anweisungen: Wenn ein Benutzer auf eine Ressource zugreifen möchte, muss er eine Aktion ausführen.Conditional Access policies at their simplest are if-then statements, if a user wants to access a resource, then they must complete an action. Beispiel: Der Leiter der Lohnbuchhaltung möchte auf die Gehaltsabrechnungsanwendung zugreifen und muss für den Zugriff auf die Anwendung eine mehrstufige Authentifizierung durchführen.Example: A payroll manager wants to access the payroll application and is required to perform multi-factor authentication to access it.

Administratoren haben zwei primäre Ziele:Administrators are faced with two primary goals:

  • Schaffen von Bedingungen für Benutzer, unter denen sie an jedem Ort und zu jeder Zeit produktiv sein könnenEmpower users to be productive wherever and whenever
  • Schützen der Ressourcen einer OrganisationProtect the organization's assets

Mithilfe von Richtlinien für den bedingten Zugriff können Sie bei Bedarf die richtigen Zugriffssteuerungen anwenden, um die Sicherheit Ihrer Organisation zu gewährleisten, und behindern die Benutzer nicht unnötig.By using Conditional Access policies, you can apply the right access controls when needed to keep your organization secure and stay out of your user’s way when not needed.

Prozessfluss für den konzeptionellen bedingten Zugriff

Richtlinien für den bedingten Zugriff werden durchgesetzt, nachdem die First-Factor-Authentifizierung abgeschlossen ist.Conditional Access policies are enforced after the first-factor authentication has been completed. Der bedingte Zugriff nicht ist als erste Abwehrmaßnahme einer Organisation für Szenarien wie Denial-of-Service-Angriffe (DoS) gedacht, sondern kann Signale von diesen Ereignissen nutzen, um den Zugriff zu bestimmen.Conditional Access is not intended as an organization's first line of defense for scenarios like denial-of-service (DoS) attacks, but can use signals from these events to determine access.

Häufige SignaleCommon signals

Häufige Signale, die der bedingte Zugriff bei der Entscheidungsfindung in Bezug auf eine Richtlinie berücksichtigen kann, sind unter anderem folgende:Common signals that Conditional Access can take in to account when making a policy decision include the following signals:

  • Benutzer oder GruppenmitgliedschaftUser or group membership
    • Richtlinien können auf bestimmte Benutzer und Gruppen ausgerichtet werden, sodass Administratoren eine differenzierte Kontrolle über den Zugriff haben.Policies can be targeted to specific users and groups giving administrators fine-grained control over access.
  • IP-StandortinformationenIP Location information
    • Organisationen können vertrauenswürdige IP-Adressbereiche erstellen, die beim Treffen von Richtlinienentscheidungen verwendet werden können.Organizations can create trusted IP address ranges that can be used when making policy decisions.
    • Administratoren können IP-Bereiche ganzer Länder angeben, um den Datenverkehr zu blockieren oder zuzulassen.Administrators can specify entire countries IP ranges to block or allow traffic from.
  • GerätDevice
    • Benutzer mit Geräten bestimmter Plattformen oder mit einer Kennzeichnung zu einem bestimmten Zustand können beim Erzwingen von Richtlinien für den bedingten Zugriff verwendet werden.Users with devices of specific platforms or marked with a specific state can be used when enforcing Conditional Access policies.
  • AnwendungApplication
    • Benutzer, die auf bestimmte Anwendungen zugreifen, können unterschiedliche Richtlinien für den bedingten Zugriff auslösen.Users attempting to access specific applications can trigger different Conditional Access policies.
  • Erkennung in Echtzeit und kalkulierte RisikenReal-time and calculated risk detection
    • Die Signalintegration in Azure AD Identity Protection ermöglicht bedingte Zugriffsrichtlinien, um riskantes Anmeldeverhalten zu erkennen.Signals integration with Azure AD Identity Protection allows Conditional Access policies to identify risky sign-in behavior. Richtlinien können dann erzwingen, dass Benutzer Kennwortänderungen vornehmen oder die mehrstufige Authentifizierung durchführen, um ihr Risiko zu verringern oder den Zugriff zu blockieren, bis ein Administrator manuelle Maßnahmen ergreift.Policies can then force users to perform password changes or multi-factor authentication to reduce their risk level or be blocked from access until an administrator takes manual action.
  • Microsoft Cloud App Security (MCAS)Microsoft Cloud App Security (MCAS)
    • Ermöglicht es, den Benutzerzugriff auf Anwendungen und Sitzungen zu kontrollieren und in Echtzeit zu überwachen, was die Transparenz und die Kontrolle über den Zugriff auf Ihre Cloudumgebung sowie über darin ausgeführte Aktivitäten ermöglicht.Enables user application access and sessions to be monitored and controlled in real time, increasing visibility and control over access to and activities performed within your cloud environment.

Häufige EntscheidungenCommon decisions

  • Zugriff blockierenBlock access
    • Stark restriktive EntscheidungMost restrictive decision
  • Gewähren von ZugriffGrant access
    • Kaum restriktive Entscheidungen, unter Umständen ist weiterhin mindestens eine der folgenden Optionen erforderlich:Least restrictive decision, can still require one or more of the following options:
      • Mehrstufige Authentifizierung erforderlichRequire multi-factor authentication
      • Markieren des Geräts als kompatibel erforderlichRequire device to be marked as compliant
      • In Azure AD eingebundenes Hybridgerät erforderlichRequire Hybrid Azure AD joined device
      • Genehmigte Client-App erforderlichRequire approved client app
      • App-Schutzrichtlinie erforderlich (Vorschau)Require app protection policy (preview)

Häufig verwendete RichtlinienCommonly applied policies

Viele Organisationen haben allgemeine Bedenken in Bezug auf den Zugriff, bei denen Richtlinien für den bedingten Zugriff wie etwa die folgenden hilfreich sein können:Many organizations have common access concerns that Conditional Access policies can help with such as:

  • Erzwingen der mehrstufigen Authentifizierung für Benutzer mit AdministratorrollenRequiring multi-factor authentication for users with administrative roles
  • Erzwingen der mehrstufigen Authentifizierung für Azure-VerwaltungsaufgabenRequiring multi-factor authentication for Azure management tasks
  • Blockieren von Anmeldungen für Benutzer, die ältere Authentifizierungsprotokolle verwendenBlocking sign-ins for users attempting to use legacy authentication protocols
  • Erzwingen vertrauenswürdiger Speicherorte für die Azure Multi-Factor Authentication-RegistrierungRequiring trusted locations for Azure Multi-Factor Authentication registration
  • Blockieren oder Gewähren von Zugriff von bestimmten Standorten ausBlocking or granting access from specific locations
  • Blockieren riskanter AnmeldeverhaltenBlocking risky sign-in behaviors
  • Erzwingen von durch die Organisation verwaltete Geräte für bestimmte AnwendungenRequiring organization-managed devices for specific applications

LizenzanforderungenLicense requirements

Für die Verwendung dieses Features ist eine Azure AD Premium P1-Lizenz erforderlich.Using this feature requires an Azure AD Premium P1 license. Um die richtige Lizenz für Ihre Anforderungen zu ermitteln, lesen Sie  Vergleich: Allgemein verfügbare Features der Editionen Free, Basic und Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Kunden mit Microsoft 365 Business-Lizenzen haben auch Zugriff auf Funktionen für bedingten Zugriff.Customers with Microsoft 365 Business licenses also have access to Conditional Access features.

Nächste SchritteNext steps

Erstellen einer Richtlinie für bedingten ZugriffBuilding a Conditional Access policy piece by piece

Unter Anleitung: Planen der Bereitstellung von bedingtem Zugriff in Azure Active Directory erfahren Sie, wie Sie bedingten Zugriff in Ihrer Umgebung implementieren.To learn how to implement Conditional Access in your environment, see Plan your Conditional Access deployment in Azure Active Directory.

Informationen zu Identity ProtectionLearn about Identity Protection

Informationen zu Microsoft Cloud App SecurityLearn about Microsoft Cloud App Security

Informationen zu Microsoft IntuneLearn about Microsoft Intune