Anleitung: Konfigurieren und Aktivieren von Risikorichtlinien

Wie im vorherigen Artikel Identity Protection-Richtlinien beschrieben, verfügen Sie über zwei Risikorichtlinien, die Sie in Ihrem Verzeichnis aktivieren können.

  • Richtlinie zum Anmelderisiko
  • Richtlinie zum Benutzerrisiko

Beide Richtlinien dienen dazu, die Reaktion auf Risikoerkennungen in Ihrer Umgebung zu automatisieren und Benutzern die Eigenwartung erkannter Risiken zu ermöglichen.

Auswählen akzeptabler Risikostufen

Organisationen müssen entscheiden, welche Stufe von Risiken sie zu akzeptieren bereit sind, und dabei zwischen Benutzererfahrung und Sicherheitsstatus abzuwägen.

Die Empfehlung von Microsoft lautet, den Schwellenwert für die Benutzerrisikorichtlinie auf Hoch und für die Anmelderisikorichtlinie auf Mittel und höher festzulegen sowie Selbstwartungsoptionen zuzulassen. Die Entscheidung, den Zugriff zu blockieren, anstatt Selbstwartungsoptionen wie Kennwortänderung und mehrstufige Authentifizierung zuzulassen, wirkt sich auf Ihre Benutzer und Administratoren aus. Wägen Sie diese Auswahl bei der Konfiguration Ihrer Richtlinien ab.

Wenn Sie den Schwellenwert Hoch auswählen, wird die Richtlinie weniger häufig ausgelöst, und die Auswirkungen für Benutzer verringern sich. Hierbei sind aber Risikoerkennungen der Stufen Niedrig und Mittel aus der Richtlinie ausgeschlossen. Für einen Angreifer wird das Ausnutzen einer gefährdeten Identität so ggf. nicht blockiert. Die Auswahl eines niedrigen Schwellenwerts führt zu mehr Unterbrechungen für die Benutzer.

Konfigurierte vertrauenswürdige Netzwerkadressen werden von Identity Protection bei einigen Risikoerkennungen verwendet, um falsch positive Ergebnisse zu reduzieren.

Risikowartung

Organisationen können den Zugriff blockieren, wenn ein Risiko erkannt wird. Das Blockieren hindert berechtigte Benutzer manchmal daran, das zu tun, was sie tun müssen. Eine bessere Lösung besteht darin, Selbstwartung mithilfe von Azure AD Multi-Factor Authentication (MFA) und Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) zuzulassen.

  • Wenn eine Benutzerrisikorichtlinie ausgelöst wird:
    • Administratoren können eine sichere Kennwortzurücksetzung verlangen, die Azure AD MFA erforderlich macht, bevor der Benutzer ein neues Kennwort mit SSPR erstellt, um das Benutzerrisiko zurückzusetzen.
  • Wenn eine Anmelderisiko-Richtlinie ausgelöst wird:
    • Azure AD MFA kann ausgelöst werden, sodass Benutzer mithilfe einer ihrer registrierten Authentifizierungsmethoden ihre Identität nachweisen können, wodurch das Anmelderisiko zurückgesetzt wird.

Warnung

Benutzer müssen sich für Azure AD MFA und SSPR registrieren, bevor sie mit einer wartungsbedürftigen Situation konfrontiert werden. Nicht registrierte Benutzer werden blockiert und erfordern einen Administratoreingriff.

Die Kennwortänderung (die Änderung eines bekannten Kennworts in ein neues) außerhalb des Wartungsflows für riskante Benutzerrichtlinien erfüllt nicht die Anforderung der sicheren Kennwortzurücksetzung.

Ausschlüsse

Richtlinien ermöglichen das Ausschließen von Benutzern, wie Benutzer- oder Administratorkonten für den Notfallzugriff. Organisationen müssen unter Umständen andere Konten basierend auf der Art und Weise, wie die Konten verwendet werden, aus bestimmten Richtlinien ausschließen. Ausschlüsse sollten regelmäßig überprüft werden, um festzustellen, ob sie weiterhin angewendet werden sollen.

Aktivieren von Richtlinien

Es gibt zwei Orte, an denen diese Richtlinien konfiguriert werden können: bedingter Zugriff und Identity Protection. Die Konfiguration mithilfe von Richtlinien für bedingten Zugriff ist die bevorzugte Methode, da sie mehr Kontext bietet, wie:

  • Erweiterte Diagnosedaten
  • Integration des Modus „Nur melden“
  • Graph-API-Unterstützung
  • Verwendung von mehr Attributen für bedingten Zugriff in der Richtlinie

Organisationen können Richtlinien mithilfe der unten beschriebenen Schritte oder mithilfe der Vorlagen für bedingten Zugriff (Vorschau) bereitstellen.

Vor dem Aktivieren von Korrekturrichtlinien sollten Organisationen eventuell alle aktiven Risiken untersuchen und korrigieren.

Benutzerrisiko bei bedingtem Zugriff

  1. Melden Sie sich beim Azure-Portal als globaler Administrator, Sicherheitsadministrator oder Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Azure Active Directory>Sicherheit>Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Klicken Sie unter Zuweisungen auf Benutzer und Gruppen.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
    3. Wählen Sie Fertigaus.
  6. Wählen Sie unter Cloud-Apps oder -aktionen>Einschließen die Option Alle Cloud-Apps aus.
  7. Legen Sie unter Bedingungen>Benutzerrisiko die Option Konfigurieren auf Jafest.
    1. Wählen Sie unter Hiermit konfigurieren Sie die Benutzerrisikostufen, die für die Erzwingung der Richtlinie erforderlich sind die Option Hoch aus.
    2. Wählen Sie Fertigaus.
  8. Unter Zugriffssteuerungen>Erteilen:
    1. Wählen Sie Zugriff gewähren und, Kennwortänderung erforderlich aus.
    2. Wählen Sie Auswählen.
  9. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Ein fest.
  10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Anmelderisiko bei bedingtem Zugriff

  1. Melden Sie sich beim Azure-Portal als globaler Administrator, Sicherheitsadministrator oder Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Azure Active Directory>Sicherheit>Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Klicken Sie unter Zuweisungen auf Benutzer und Gruppen.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
    3. Wählen Sie Fertigaus.
  6. Wählen Sie unter Cloud-Apps oder -aktionen>Einschließen die Option Alle Cloud-Apps aus.
  7. Legen Sie unter Bedingungen>Anmelderisiko die Option Konfigurieren auf Ja fest. Wählen Sie unter Anmelderisikostufe auswählen, auf die diese Richtlinie angewendet werden soll
    1. entweder Hoch oder Mittel aus.
    2. Wählen Sie Fertigaus.
  8. Unter Zugriffssteuerungen>Erteilen:
    1. Wählen Sie Zugriff gewähren, Authentifizierung unter mehreren Gesichtspunkten erforderlich.
    2. Wählen Sie Auswählen.
  9. Bestätigen Sie die Einstellungen und legen Sie Richtlinie aktivieren auf Ein fest.
  10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Nächste Schritte