Anwenden von Richtlinien für bedingten Zugriff auf das Microsoft 365-Datenverkehrsprofil

Mit einem entsprechenden Profil für die Datenverkehrsweiterleitung für Ihren gesamten Microsoft 365-Datenverkehr können Sie Richtlinien für bedingten Zugriff auf den gesamten Microsoft 365-Datenverkehr anwenden. Mit bedingtem Zugriff können Sie Multi-Faktor-Authentifizierung und Gerätekonformität für den Zugriff auf Microsoft 365-Ressourcen voraussetzen.

In diesem Artikel wird beschrieben, wie Sie Richtlinien für bedingten Zugriff auf Ihr Microsoft 365-Profil für die Datenverkehrsweiterleitung anwenden.

Voraussetzungen

• Administrator*innen, die mit Features des globalen sicheren Zugriffs (Vorschau) arbeiten, müssen je nach Aufgabe über eine oder mehrere der folgenden Rollenzuweisungen verfügen.
  • Rolle „Administrator für globalen sicheren Zugriff“
  • Die Rolle Administrator für bedingten Zugriff oder Sicherheitsadministrator, um Richtlinien für bedingten Zugriff zu erstellen und damit zu interagieren
• Für die Vorschau ist eine Microsoft Entra ID P1-Lizenz erforderlich. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
• Zur Verwendung des Microsoft 365-Profils für die Datenverkehrsweiterleitung wird eine Microsoft 365 E3-Lizenz empfohlen.

Erstellen einer Richtlinie für bedingten Zugriff für das Microsoft 365-Datenverkehrsprofil

Die folgende Beispielrichtlinie gilt für alle Benutzer*innen mit Ausnahme der Notfallkonten und Gastbenutzer*innen/externen Benutzer*innen und setzt für den Zugriff auf Microsoft 365-Datenverkehr Multi-Faktor-Authentifizierung, Gerätekonformität oder ein in Microsoft Entra eingebundenes Hybridgerät voraus.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
2. Navigieren Sie zu Identität>Schutz>Bedingter Zugriff.
3. Wählen Sie Neue Richtlinie erstellen aus.
4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
   1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
   2. Führen Sie unter Ausschließen die folgenden Schritte aus:
      1. Wählen Sie Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
      2. Wählen Sie Gastbenutzer oder externe Benutzer aus, und aktivieren Sie alle Kontrollkästchen.
6. Führen Sie unter Zielressourcen>Netzwerkzugriff (Vorschau)* die folgenden Schritte aus:
   1. Wählen Sie Microsoft 365-Datenverkehr aus.
7. Unter Zugriffssteuerungen>Erteilen:
   1. Wählen Sie Multi-Faktor-Authentifizierung erfordern, Markieren des Geräts als konform erforderlich und In Microsoft Entra eingebundenes Hybridgerät erforderlich aus
   2. Für mehrere Steuerelemente wählen Sie Eines der ausgewählten Steuerelemente verlangen.
   3. Wählen Sie Auswählen.

Nach dem Bestätigen der Richtlinieneinstellungen mit dem reinen Berichtsmodus können Administrator*innen den Schalter Richtlinie aktivieren von Nur melden auf Ein umstellen.

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:

• Notfallzugriffs- oder Break-Glass-Konten, um eine mandantenweite Kontosperrung zu vermeiden. In dem unwahrscheinlichen Fall, dass alle Administrator*innen aus dem Mandanten ausgeschlossen sind, können Sie sich mit Ihrem Administratorkonto für den Notfallzugriff beim Mandanten anmelden und Maßnahmen ergreifen, um den Zugriff wiederherzustellen.
  • Weitere Informationen finden Sie im Artikel Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.
• Dienstkonten und Dienstprinzipale, z. B. das Konto für die Microsoft Entra Connect-Synchronisierung. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Derartige Dienstkonten sollten ausgeschlossen werden, weil die MFA nicht programmgesteuert abgeschlossen werden kann. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
  • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie in Betracht ziehen, diese durch verwaltete Identitäten zu ersetzen. Als vorübergehende Problemumgehung können Sie diese spezifischen Konten aus der Basisrichtlinie ausschließen.

Nächste Schritte

Der nächste Schritt für den Einstieg in Microsoft Entra Internet Access besteht darin, die Protokolle für globalen sicheren Zugriff zu überprüfen.

Weitere Informationen zur Datenverkehrsweiterleitung finden Sie in den folgenden Artikeln:

• Informationen zu Datenverkehrsweiterleitungsprofilen
• Verwalten des Microsoft 365-Datenverkehrsprofils