Mobile-Menu

Sicherheit in der Microsoft Cloud mit Azure AD Conditional Access Authentifizierung mit Richtlinien in Azure AD und Microsoft 365 steuern

Von Thomas Joos

Unternehmen, die sich für Azure AD Premium P2 entscheiden, haben vor allem Zugriff auf mehr Sicherheitsfunktionen. Dazu gehören Erkennung von Schwachstellen und riskanten Konten, Untersuchung von Risikoereignissen und risikobasierte Richtlinien für bedingten Zugriff auf Azure-Ressourcen.

Anbieter zum Thema

Mit Azure Conditional Access lassen sich Benutzerkonten, Gruppen und die Anmeldungen an Azure absichern.
Mit Azure Conditional Access lassen sich Benutzerkonten, Gruppen und die Anmeldungen an Azure absichern.
(Bild: everythingpossible - stock.adobe.com)

Im Fokus von Azure AD Premium P2 stehen vor allem die Sicherheitserweiterungen für Azure AD. Dabei handelt es sich um Funktionen zur Absicherung der Benutzerkonten, Gruppen und die Anmeldungen an Azure. Azure Identity Protection ist ein Feature in Azure AD Premium P2 und auch der bedingte Zugriff (Azure Conditional Access) sind ein Bestandteil von Azure AD Premium P2. Die Technik arbeitet auch mit MDM-Systemen zusammen und kann daher den Sicherheitszustand und die Position der Endgeräte in das Anmeldeverhalten und Berechtigungssystem mit einbeziehen.

Bildergalerie
Bildergalerie mit 11 Bildern

Die Konformitätsregeln des MDM-Systems können im Unternehmen auf dieser Basis auch als Grundlage für Richtlinien zum bedingten Zugriff in Microsoft 365 und für andere Azure-Ressourcen zum Einsatz kommen. Hierüber lassen sich Geräte mit iOS/iPadOS und Android über ein externes MDM an Microsoft Endpoint Manager anbinden und gemeinsam mit Computern auf Basis von Windows 10 und Windows 11 sicher betreiben. Auch macOS lässt sich über diesen Weg steuern. Erfüllt ein Endgerät nicht die Bedingungen für das Anmelden an einer Ressource, verweigert Azure AD den Zugriff auf Basis der Richtlinien, die im MDM-System hinterlegt sind und auf Conditional Access aufbauen.

Conditional Access - Moderne Authentifizierung in Azure AD nutzen

Im Azure-Portal kann bei „Bedingter Zugriff“ im Menüpunkt "Azure Active Directory\Sicherheit“ festgelegt werden, wie die Anmeldung an Clouddiensten von Microsoft erfolgen soll, wenn sich Anwender nicht im internen Netzwerk befinden, sondern sich von außerhalb anmelden. Auch Maßnahmen für die mehrstufige Authentifizierung lassen sich hier festlegen, genauso wie Einstellungen für Computer, die Mitglied in Azure AD sind. Über „Neue Richtlinien“ werden neue Richtlinien erstellt, mit denen das Anmeldeverhalten überprüft und geschützt werden kann. Dazu ist der Zugriff auf Azure AD Premium P2 notwendig.

Über den Menüpunkt „Bedingter Zugriff“ kann daher festgelegt werden, welche Bedingungen ein Rechner erfüllen muss, um Zugriff auf Ressourcen zu erhalten. Dadurch können Administratoren festlegen, von wo Anwender das Recht erhalten sich mit Ressourcen zu verbinden. Auch VPN-Konfigurationen können hier gesteuert werden. Bestimmte IP-Adressen und -bereiche können für den Zugriff als vertrauenswürdig deklariert werden.

Über das Azure AD Admin Center-Portal können Administratoren mit dem Menüpunkt "Anmeldeprotokolle" bei "Benutzer" überprüfen, wann sich Benutzer wo angemeldet haben. Auch die IP-Adresse, von der die Anmeldung gekommen ist, zeigt das Portal an, genauso wie die Verwendung der Multifaktor-Authentifizierung. Der Standort der Anmeldung und die Verwendung des bedingten Zugriffs (Conditional Access) sind an dieser Stelle zu sehen. Hier ist auch zu sehen ob die Anmeldung erfolgreich war. Viele erfolglose Anmeldungen deuten auf einen Angriff auf ein Benutzerkonto hin.

Das sind die Quellen die Conditional Access nutzen kann

Standardmäßig kann Conditional Access verschiedene Signale auslesen, um auf Basis dieser Informationen die Anmeldung zu steuern. Dabei gibt es im Grunde genommen drei Möglichkeiten. Die Richtlinien können die Anmeldung an Azure AD und die Verwendung bestimmter Apps erlauben, blockieren, oder Multifaktor-Authentifizierung erzwingen. Als Grundlage dazu dienen folgende Informationen:

  • Richtlinien können an Benutzer und Gruppen zugewiesen sein.
  • Organisationen können IP-Adressbereiche definieren, die bei Richtlinienentscheidungen eine Rolle spielen.
  • Administratoren können IP-Bereiche für ganze Länder/Regionen festlegen, um den Datenverkehr zu blockieren oder zuzulassen.
  • Benutzer mit Geräten bestimmter Plattformen oder mit einem bestimmten Status können bei der Durchsetzung von Richtlinien für bedingten Zugriff verwendet werden.
  • Benutzer, die versuchen, auf bestimmte Anwendungen zuzugreifen, können verschiedene Richtlinien für bedingten Zugriff auslösen.
Bildergalerie
Bildergalerie mit 11 Bildern

Diese Signale lassen sich auch in Azure AD Identity Protection nutzen, um riskante Benutzeranmeldungen zu steuern. Azure AD Identity Protection ist ein Feature, das Microsoft ab der P2-Lizenz von Azure AD integriert hat. Im Fokus des Features steht das Erkennen von Angriffsversuchen auf Benutzerkonten in Azure AD.

Dabei spielt es keine Rolle, ob die Benutzerkonten direkt in Azure AD angelegt wurde, oder durch Azure AD von lokalen AD-Umgebungen zu Azure AD synchronisiert wurden. Mit Azure AD Identity Protection können Unternehmen die Benutzerkonten ihrer Anwender ein Stück weit vor Angriffe von Hackern und Malware schützen, zusammen mit Conditional Access.

Bedintger Zugriff einrichten: Conditional Access in der Praxis

Mit dem bedingten Zugriff, auch Conditional Access genannt, können Admins also festlegen, welche Bedingungen Anwender und deren Geräte erfüllen müssen, damit sie sich anmelden dürfen und Zugriff auf Ressourcen in der Cloud haben, zum Beispiel in Microsoft 365 oder Microsoft Azure. Den Zustand der Endgeräte prüfen Lösungen wie Microsoft Endpoint Manager oder MDM-Systeme. Es ist auch möglich MDM-Systeme von anderen Herstellern an Microsoft Endpoint Manager anzubinden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Die Konfiguration des bedingten Zugriffs erfolgt danach über das Azure-Portal bei „Bedingter Zugriff“ im Menüpunkt "Azure Active Directory\Sicherheit“. Für die Einrichtung brauchen Sie ein Abonnement von Azure AD Premium P2, ein P1-Abonnement reicht für die Verwendung des bedingten Zugriffs (Conditional Access) nicht aus. Haben Sie noch kein Abonnement im Einsatz können Sie im Azure-Portal aber ein Test-Abonnement auf Basis Ihrer Umgebung abschließen. Sobald ein Abonnement für Azure AD Premium P2 vorliegt, können Sie mit "Neue Richtlinien" die Richtlinien für Ihre Umgebung erstellen und den Benutzern zuweisen.

Basis der Richtlinien sind If- und Then-Regeln. In die Entscheidungsfindung wird dabei auch Position und Sicherheitszustand des Endgerätes mit einbezogen, das wiederum über ein MDM-System abgebunden ist. Das kann ein internes System wie Microsoft Endpoint Manager sein oder ein externes, wie ein MDM-System. Hier sollte aber eine Anbindung an Microsoft Endpoint Manager erfolgen.

Bildergalerie
Bildergalerie mit 11 Bildern

(ID:48220119)