Was ist die Geräteidentität in Azure?
In dieser Lerneinheit erfahren Sie mehr über die Geräteidentität sowie die Registrierungsoptionen und deren Anwendung auf verschiedene Geräte. Außerdem lernen Sie, wie Sie den bedingten Zugriff anwenden können, um die Zugriffssteuerung für Ihre Geräte zu verbessern. Abschließend befassen Sie sich mit den Vorteilen und Aspekten der Verwendung von Geräteidentitäten in Azure.
Grundlegendes zur Geräteidentität
Mit der Geräteidentität in Microsoft Entra ID können Sie die Geräte steuern, die Sie der Microsoft Entra-Instanz Ihrer Organisation hinzufügen. Sie hilft Ihnen auch beim Steuern des Zugriffs dieser Geräte auf Daten, Ressourcen und Bestand. Sie stellt ein Framework zur Implementierung des gerätebasierten bedingten Zugriffs bereit. Sie können eine gerätebasierte Richtlinie für bedingten Zugriff verwenden, um den Zugriff auf die Geräte Ihrer Organisation einzuschränken.
Heutzutage erstreckt sich die Arbeitsumgebung über die kontrollierbaren Grenzen Ihres lokalen Arbeitsbereichs hinaus. Ihre Mitarbeiter können nun von verschiedenen Standorten aus arbeiten, nicht nur in ihrem Heimatland, sondern auch im Ausland. Benutzer können auf ein breiteres Spektrum an Technologien zugreifen. Ihre Organisation besitzt einige dieser Technologien, andere jedoch nicht.
IT-Mitarbeiter*innen stehen vor der Herausforderung, Benutzer*innen Flexibilität zu bieten und gleichzeitig die Daten des Unternehmens zu schützen. Sie möchten Ihre Benutzer*innen unterstützen und ihnen ermöglichen, produktiv zu sein, wo und auf welchem Gerät sie auch arbeiten. Sie müssen aber auch die Ressourcen Ihrer Organisation weiterhin schützen.
Die Suche nach einem Gleichgewicht zwischen dem Schutz des Bestands und der größeren Flexibilität für Benutzer der Geräte ist der Kern der Geräteidentität. Alle Geräte, die Sie mit Ihrem Netzwerk verbinden möchten, müssen bekannt sein. Tools wie Microsoft Intune können Ihnen mehr Informationen über Geräte liefern, indem die Einhaltung der Organisationsanforderungen sichergestellt wird.
Die Kombination von Microsoft Entra ID mit der einmaligen Anmeldung bedeutet, dass Benutzer über beliebige Geräte auf Dienste und Apps zugreifen können. Diese Lösung erfüllt die Anforderungen der Organisation zum Schützen der Ressourcen und des Bestands und ermöglicht Benutzer*innen die gewünschte Flexibilität.
Optionen für die Geräteregistrierung
Ihnen stehen drei Geräteregistrierungsoptionen zum Hinzufügen eines Geräts zu Microsoft Entra ID zur Verfügung:
Microsoft Entra registriert: Diese Geräte fallen in die Kategorie BYOD (Bring-Your-Own-Device). Sie befinden sich in der Regel in privatem Besitz oder nutzen ein persönliches Microsoft-Konto oder ein anderes lokales Konto. Diese Methode der Geräteregistrierung ist am wenigsten restriktiv, da sie Geräte mit Windows 10 oder neuer, iOS, iPadOS, Android und macOS unterstützt. Die Gerätesicherheit wird in der Regel über ein Kennwort, eine PIN, ein Muster oder Windows Hello sichergestellt.
Microsoft Entra eingebunden: Ihre Organisation besitzt diese Geräte. Benutzer greifen über ihr Geschäftskonto auf Ihre cloudbasierte Microsoft Entra-Instanz zu. Geräteidentitäten sind nur in der Cloud vorhanden. Diese Option ist nur für Geräte unter Windows 10, Windows 11 oder Windows Server 2019 verfügbar. Die Server Core-Installation von Windows Server 2019 wird nicht unterstützt. Für die Sicherheit wird bei dieser Option entweder ein Kennwort oder Windows Hello verwendet.
Microsoft Entra hybrid eingebunden: Diese Option ähnelt Microsoft Entra (eingebunden). Die Geräte befinden sich im Besitz der Organisation und werden mit einem Microsoft Entra-Konto signiert, das zu dieser Organisation gehört. Geräteidentitäten sind in der Cloud und lokal vorhanden. Die Hybridoption eignet sich besser für Organisationen, die lokalen Zugriff und Cloudzugriff benötigen. Diese Option unterstützt Windows 8.1, Windows 10, Windows 11 und Windows Server 2012 oder höher.
Bedingter Zugriff
Der bedingte Zugriff in Microsoft Entra ID nutzt Daten aus Quellen, die als Signale bezeichnet werden. Diese werden anhand benutzerdefinierbarer Regeln überprüft. Anschließend wird das beste Ergebnis zum Erzwingen der Sicherheitsrichtlinien Ihrer Organisation ausgewählt. Der bedingte Zugriff ermöglicht die Verwaltung der Geräteidentität. Richtlinien für bedingten Zugriff können jedoch recht komplex sein.
Am einfachsten können Sie sich diese Richtlinien als „Wenn-Dann“-Anweisungen vorstellen. Wenn ein Benutzer auf eine Ressource zugreifen möchte, dann muss er die Bedingungen zum Durchführen der Anforderung erfüllen. Beispiel: Ein Lohnbuchhalter möchte auf die Lohnabrechnungsanwendung zugreifen. Die Richtlinie für bedingten Zugriff erfordert, dass er ein konformes Gerät verwendet und eine mehrstufige Authentifizierung für den Zugriff auf die Anwendung durchführt.
Die Richtlinien für bedingten Zugriff werden angewendet, nachdem ein Benutzer die erste Authentifizierungsstufe erfolgreich durchgeführt hat, in der Regel mit einem Benutzernamen und einem Kennwort. Diese Richtlinien sind kein Ersatz für die erste Authentifizierungsstufe. Sie werden verwendet, um Faktoren wie Gerät, Standort und Anwendung sowie das Risiko in Echtzeit zu bewerten.
Gängige Signaltypen
Für den bedingten Zugriff werden viele gängige Signaltypen verwendet, um eine Entscheidung dazu zu treffen, welches Ergebnis empfohlen wird.
Signale umfassen die folgenden Typen:
- Die Benutzer- oder Gruppenmitgliedschaft bietet präzisen Zugriff auf Ressourcen.
- Bei IP-Standortinformationen werden eine Positivliste vertrauenswürdiger IP-Adressen und eine Sperrliste blockierter bzw. gesperrter IP-Adressen verwendet.
- Über Gerät können Sie den Typ und Zustand des Geräts angeben.
- Über Anwendung können Sie den Zugriff auf eine Anwendung für ein bestimmtes Gerät steuern.
- Mithilfe der Echtzeit- und berechneten Risikoerkennung kann Microsoft Entra ID Verhaltensweisen nicht nur während der Anmeldung, sondern auch während der Benutzersitzung identifizieren.
- Microsoft Defender für Cloud stellt Echtzeitüberwachung der Benutzersitzung und des Anwendungszugriffs bereit. Microsoft Defender für Cloud unterstützt Sie auch bei der Steuerung Ihrer Cloudumgebung.
Allgemeine Entscheidungen
Der bedingte Zugriff wertet die Signale aus und trifft eine Entscheidung:
- Zugriff blockieren: Diese Option ist am restriktivsten.
- Zugriff gewähren: Diese Option ist am wenigsten restriktiv, erfordert jedoch möglicherweise zusätzliche Kriterien, bevor der Zugriff gewährt wird.
Zu diesen Kriterien können eine oder mehrere der folgenden gehören:
- Mehrstufige Authentifizierung
- Gerät als konform markiert
- Gerät, das mit Microsoft Entra hybrid verbunden ist
- Genehmigte Anwendung
- Erfordert eine App-Schutzrichtlinie
Wenn Ihre Organisation Microsoft Entra Multi-Faktor-Authentifizierung verwendet, müssen Benutzer keine mehrstufige Authentifizierung durchführen, wenn sie ein Gerät verwenden, das MDM-konform (mobile Geräteverwaltung) und in Microsoft Entra eingebunden ist. Sie können die Option Eine der ausgewählten Steuerungen anfordern mit Ihren ausgewählten Steuerelementen zur Rechteerteilung verwenden. Wenn Sie zusätzliche Sicherheit für etwas wie eine Lohnabrechnungsanwendung benötigen, können Sie Alle ausgewählten Steuerungen anfordern auswählen, um die Multi-Faktor-Authentifizierung und ein konformes Gerät zu erzwingen.
Häufig verwendete Richtlinien
Viele Organisationen haben dieselben Zugriffsbedenken, bei denen Richtlinien für bedingten Zugriff helfen können. Hier einige Beispiele:
- Erfordern der mehrstufigen Authentifizierung für Benutzer mit administrativen Rollen
- Erfordern der mehrstufige Authentifizierung für Azure-Verwaltungsaufgaben
- Blockieren von Anmeldungen für Benutzer, die ältere Authentifizierungsprotokolle verwenden
- Erfordern von vertrauenswürdigen Speicherorten für die mehrstufige Authentifizierung von Microsoft Entra.
- Blockieren oder Sperren des Zugriffs von bestimmten Standorten
- Blockieren riskanter Anmeldeverhalten
- Erfordern von der Organisation verwalteter Geräte für bestimmte Anwendungen
Schritte zum Erstellen einer Richtlinie für bedingten Zugriff
Um eine Richtlinie für bedingten Zugriff zu erstellen, gehen Sie zu Microsoft Entra ID>Sicherheit>Bedingter Zugriff>Neue Richtlinie im Azure-Portal.
Damit Ihre Richtlinie funktioniert, müssen Sie Folgendes konfigurieren:
| Was | Wie? | Warum? |
|---|---|---|
| Cloud-Apps | Wählen Sie mindestens eine App aus. | Ziel einer Richtlinie für bedingten Zugriff ist es, Ihnen die Steuerung des Zugriffs autorisierter Benutzer auf Cloud-Apps zu ermöglichen. |
| Benutzer und Gruppen | Wählen Sie mindestens einen Benutzer oder eine Gruppe aus, der bzw. die für den Zugriff auf Ihre ausgewählten Cloud-Apps autorisiert ist. | Eine Richtlinie für bedingten Zugriff, der keine Benutzer*innen oder Gruppen zugewiesen sind, wird nie ausgelöst. |
| Zugriffssteuerungen | Wählen Sie mindestens eine Zugriffssteuerung aus. | Wenn Ihre Bedingungen erfüllt sind, muss Ihre Richtlinienverarbeitung wissen, was zu tun ist. |
Vorteile der Geräteidentitätsverwaltung
Dies sind einige der Vorteile, die eine Kombination der Geräteidentität mit dem bedingtem Zugriff in Microsoft Entra ID bietet:
- Durch die Kombination wird das Verfahren zum Hinzufügen und Verwalten von Geräten in Microsoft Entra ID vereinfacht.
- Durch die Kombination wird der Aufwand für Benutzer beim Wechseln zwischen Geräten verringert.
- Microsoft Entra-ID unterstützt MDM-Tools wie Microsoft Intune.
- Sie können die einmalige Anmeldung mit allen registrierten oder eingebundenen Geräten nutzen.
Überlegungen zur Verwendung der Geräteidentitätsverwaltung
Beim Auswerten der Geräteidentität sind die folgende Faktoren zu berücksichtigen:
- Wenn Sie die Option „Microsoft Entra eingebunden oder hybrid“ verwenden, können Sie auf dem Gerät nur ein Windows- oder Windows Server-basiertes Betriebssystem verwenden.
- Bedingter Zugriff erfordert eine Microsoft Entra ID P1-Lizenz oder eine Microsoft 365 Business-Lizenz.