M365 Conditional Access
Ein Microsoft Security Feature
Michael Kasper / 15. März 2021In Zeiten von Homeoffice, Cloud und Mobile Work erstrecken sich Sicherheitsanforderungen von hybriden Umgebungen nicht nur im lokalen Netzwerk. Anmeldungen bzw. Zugriffe auf Cloud Services können von jedem Ort und jedem Gerät aus stattfinden, was zu Herausforderungen in der Absicherung dieser Zugriffe führt. Eine klassische Firewall, NAC, Virenschutz, Zutrittskontrolle usw. können uns im Umgang mit der Cloud nicht mehr zuverlässig schützen.
Hier setzt Microsoft mit verschiedensten Security Features in M365 an. Eines davon ist Conditional Access bzw. der bedingte Zugriff. Dieses Azure Active Directory Tool führt Benutzer- und Gerätebasiert verschiedenste Signale zusammen. Anhand dieser Signale können dann Entscheidungen getroffen werden, welche Organisationsrichtlinien erzwingen. Dies ist der Kern der identitätsbasierten Zugriffssteuerung. Lizenziert werden kann der bedingte Zugriff über Azure AD Premium P1.
Einfache Conditional Access Policies sind klassische if-Anweisungen. Das bedeutet: Greift ein Benutzer aus dem Homeoffice auf eine Ressource zu, muss er sich zuerst mit seinen Anmeldedaten bestehend aus Benutzername und Kennwort authentifizieren. Danach greift dann die Conditional Access Policy und fordert vor dem Zugriff z.B. die mehrstufige Authentifizierung an.
Signale, welche für Conditional Access herangezogen werden können, sind unter anderem:
-
Benutzer oder Gruppenmitgliedschaft
-
IP-Standortinformationen
-
Betriebssystem des zugreifenden Clients
-
Anwendung mit welcher der Zugriff erfolgt
-
Anmelderisiko des Benutzers zum Zeitpunkt der Anmeldung
Dabei kann für die Zugriffsgewährung eine oder mehrere der folgenden Faktoren angefordert werden:
-
MFA ist zwingend erforderlich
-
Markieren des Gerätes als kompatibel erforderlich (Status aus dem Endpoint Manager)
-
Hybrid Azure AD-Einbindung erforderlich
-
Genehmigte Client-App erforderliche (Outlook usw.)
-
App-Protection Policy erforderlich (aus Endpoint Manager/Intune)
Typische Szenarien für den Einsatz von Conditional Access sind:
-
Blockieren oder Gewähren des Zugriffes aus bestimmten Standorten
-
Anfordern der Multi Factor Authentifizierung für alle User außerhalb der vertrauenswürdigen Standorte
-
Erzwingen der Multi Factor Authentifizierung für Administratoren
-
Blockieren des Zugriffes auf bestimmte Anwendungen von nicht verwalteten (privaten) Geräten
In folgenden Screenshots sehen Sie eine Beispiel Richtlinie für die MFA Erzwingung (Alle User mit allen Apps, jedem Betriebssystem außerhalb der vertrauenswürdigen Standorte, jeder Cloud Dienst):
Sie interessieren sich für M365 Azure Active Directory oder haben Fragen dazu?
Dann setzen Sie sich gerne mit uns in Verbindung unter vertrieb@abtis.de oder +49 7231 4431 100