Aktivieren des bedingten Zugriffs zum besseren Schutz von Benutzern, Geräten und Daten

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Der bedingte Zugriff ist eine Funktion, mit der Sie Ihre Benutzer und Unternehmensinformationen besser schützen können, indem sichergestellt wird, dass nur sichere Geräte Zugriff auf Anwendungen haben.

Mit dem bedingten Zugriff können Sie den Zugriff auf Unternehmensinformationen basierend auf der Risikostufe eines Geräts steuern. Dies trägt dazu bei, dass vertrauenswürdige Benutzer mithilfe vertrauenswürdiger Anwendungen auf vertrauenswürdigen Geräten bleiben.

Sie können Sicherheitsbedingungen definieren, unter denen Geräte und Anwendungen ausgeführt und auf Informationen aus Ihrem Netzwerk zugreifen können, indem Sie Richtlinien erzwingen, die die Ausführung von Anwendungen verhindern, bis ein Gerät in einen konformen Zustand zurückkehrt.

Die Implementierung des bedingten Zugriffs in Defender für Endpunkt basiert auf Microsoft Intune (Intune)-Gerätekonformitätsrichtlinien und Microsoft Entra Richtlinien für bedingten Zugriff.

Die Konformitätsrichtlinie wird mit bedingtem Zugriff verwendet, um nur Geräten, die eine oder mehrere Gerätekonformitätsrichtlinienregeln erfüllen, den Zugriff auf Anwendungen zu erlauben.

Grundlegendes zum Ablauf für bedingten Zugriff

Der bedingte Zugriff wird eingerichtet, sodass der Zugriff auf vertrauliche Inhalte blockiert wird, wenn eine Bedrohung auf einem Gerät erkannt wird, bis die Bedrohung behoben ist.

Der Flow beginnt damit, dass Geräte ein niedriges, mittleres oder hohes Risiko aufweisen. Diese Risikoermittlungen werden dann an Intune gesendet.

Je nachdem, wie Sie Richtlinien in Intune konfigurieren, kann der bedingte Zugriff so eingerichtet werden, dass die Richtlinie angewendet wird, wenn bestimmte Bedingungen erfüllt sind.

Beispielsweise können Sie Intune so konfigurieren, dass der bedingte Zugriff auf Geräte mit hohem Risiko angewendet wird.

In Intune wird eine Gerätekonformitätsrichtlinie mit Microsoft Entra bedingten Zugriff verwendet, um den Zugriff auf Anwendungen zu blockieren. Parallel dazu wird ein automatisierter Untersuchungs- und Korrekturprozess gestartet.

Ein Benutzer kann das Gerät weiterhin verwenden, während die automatisierte Untersuchung und Wartung stattfindet, aber der Zugriff auf Unternehmensdaten wird blockiert, bis die Bedrohung vollständig behoben ist.

Um das auf einem Gerät gefundene Risiko zu beheben, müssen Sie das Gerät in einen konformen Zustand versetzen. Ein Gerät kehrt in einen konformen Zustand zurück, wenn kein Risiko besteht.

Es gibt drei Möglichkeiten, ein Risiko zu beheben:

  1. Verwenden Sie manuelle oder automatisierte Wartung.
  2. Auflösen aktiver Warnungen auf dem Gerät. Dadurch wird das Risiko für das Gerät entfernt.
  3. Sie können das Gerät aus den aktiven Richtlinien entfernen, sodass der bedingte Zugriff nicht auf das Gerät angewendet wird.

Für manuelle Korrekturen muss ein Administrator von secops eine Warnung untersuchen und das risikobehaftete Gerät beheben. Die automatisierte Korrektur wird über Konfigurationseinstellungen konfiguriert, die im folgenden Abschnitt Konfigurieren des bedingten Zugriffs bereitgestellt werden.

Wenn das Risiko entweder durch manuelle oder automatisierte Korrektur entfernt wird, kehrt das Gerät in einen konformen Zustand zurück, und der Zugriff auf Anwendungen wird gewährt.

In der folgenden Beispielsequenz von Ereignissen wird der bedingte Zugriff in Aktion erläutert:

  1. Ein Benutzer öffnet eine schädliche Datei, und Defender für Endpunkt kennzeichnet das Gerät als hohes Risiko.
  2. Die Bewertung mit hohem Risiko wird an Intune übergeben. Parallel dazu wird eine automatisierte Untersuchung eingeleitet, um die identifizierte Bedrohung zu beheben. Eine manuelle Korrektur kann auch durchgeführt werden, um die identifizierte Bedrohung zu beheben.
  3. Basierend auf der in Intune erstellten Richtlinie wird das Gerät als nicht konform markiert. Die Bewertung wird dann von der Intune-Richtlinie für bedingten Zugriff an Microsoft Entra ID übermittelt. In Microsoft Entra ID wird die entsprechende Richtlinie angewendet, um den Zugriff auf Anwendungen zu blockieren.
  4. Die manuelle oder automatisierte Untersuchung und Behebung ist abgeschlossen, und die Bedrohung wird entfernt. Defender für Endpunkt erkennt, dass auf dem Gerät kein Risiko besteht, und Intune bewertet das Gerät als konform. Microsoft Entra ID wendet die Richtlinie an, die den Zugriff auf Anwendungen ermöglicht.
  5. Benutzer können jetzt auf Anwendungen zugreifen.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.