Bedingter Zugriff als Zugriffskontrollmechanismus

    In dem vorherigen Artikel habe ich die Umstellung auf Intune Standalone erwähnt, mit der wir die Funktionen von Azure Active Directory stärker nutzen können, nämlich mit Conditional Access arbeiten. In diesem werde ich Ihnen mehr darüber erzählen, wie dies möglich ist.

    Was ist das?



    Conditional Access (CA) ist ein Mechanismus zum Überprüfen jedes Verbindungsvorgangs zum System, basierend auf dem konfigurierten Skript und der Entscheidung, mit der festgelegt wird, was mit dieser Verbindung geschehen soll. Es kann deaktiviert, ohne Bedingungen oder mit Bedingungen zugelassen werden. Es ist eine Komponente von Azure AD.

    Dieses Szenario wird durch die folgenden Einstellungen beschrieben:

    Zuweisungen - in welchen Fällen das Skript funktionieren sollte.
    Zugriffskontrollen - was zu tun ist.


    Der Abschnitt Zuweisungen enthält:

    - Benutzer und Gruppen - welche Benutzer unterliegen der Richtlinie. Dies können alle Benutzer in Azure AD oder bestimmte Gruppen / Benutzer sein. Separat können Sie Ausnahmen angeben. Sie können die Richtlinie auf alle Benutzer mit Ausnahme einer bestimmten Gruppe anwenden.


    - Cloud-Apps - Skripts können auf jede in Azure AD registrierte Anwendung angewendet werden. Sie können also nicht nur mit Office 365-Anwendungen arbeiten.


    - Bedingungen - zusätzliche Bedingungen.
    - Anmeldungsrisiko - die Möglichkeit, den Mechanismus zur Bewertung der Autorisierungsrisiken zu verwenden. Geschätzt von wo, zu welcher Zeit, mit welchem ​​Kunden, wie stark dieses Verhalten normalerweise ist usw. Azure AD Premium 2-Lizenz erforderlich.


    - Geräteplattformen - Es kann angegeben werden, auf welche Plattform die Richtlinie angewendet wird. Beispiel: Erstellen einer Richtlinie nur für mobile Clients oder nur für Windows-Computer.


    - Standorte - Netzwerkstandorte. Sie können die Liste der vertrauenswürdigen IP-Adressen verwenden.


    - Client-Apps (Vorschau) - wertet den Client-Typ aus. Es ist möglich, eine Richtlinie nur für den Browser oder EAS (Exchange Active Sync) zu erstellen. Für diejenigen, die die Verwendung von OWA auf mobilen Geräten beenden möchten, aber die Option für Desktop-Computer belassen.


    - Gerätestatus (Vorschau) - Mit dieser Option können Sie Geräte mit einem bestimmten Status ausschließen.


    Als Nächstes müssen Sie konfigurieren, was genau die Richtlinie tun soll oder erfordert.


    Dafür gibt es zwei Bereiche:

    Grant - Hier wird das Skript konfiguriert: Zugriff blockieren oder zusätzliche Sicherheitsmaßnahmen erfordern.


    Session - Kontrolle in der Session selbst. Es ist zwar nur mit Exchange Online und Sharepoint Online möglich. Weitere Informationen hier .

    Betrachten wir nun einige Anwendungsszenarien.

    Szenario 1: Zugriff auf Azure AD-Anwendungen nur auf von Intune verwalteten Mobilgeräten.

    Angenommen, wir müssen den Zugriff auf in Azure AD registrierte Anwendungen einschränken und ihn nur Geräten zuweisen, die von Intune gesteuert werden. Und es sollte für alle Geräte gelten.


    Die Richtlinie wird auf alle Benutzer angewendet.


    Wählen Sie anschließend alle Anwendungen aus.

    WICHTIG: Das Azure Management Portal (portal.azure.com) wird auch als Anwendung betrachtet. Seien Sie also vorsichtig. Es gibt ein Fahrrad: Wenn Sie eine Richtlinie für alle Benutzer und alle Anwendungen erstellen, die Verbindungen blockieren, fällt niemals jemand in Ihren Mandanten, und selbst der Microsoft-Support hilft Ihnen nicht.

    Jetzt müssen wir die Richtlinie so konfigurieren, dass sie nur für mobile Geräte gilt. Wechseln Sie dazu zu Geräteplattformen und wählen Sie das mobile Betriebssystem (iOS, Android, Windows Phone) aus.


    Wir haben alle für die Anwendung der Richtlinie erforderlichen Bedingungen ausgewählt. Jetzt wählen wir die Bedingungen für die Zulassung der Verbindung aus. In diesem Fall muss das Gerät die Sicherheitsrichtlinien in der Intune-Richtlinie (Compliance-Richtlinie) einhalten. Der Gerätestatus wird von Intune übernommen.


    Nach dem Erstellen und Anwenden der Richtlinie verwenden Benutzer mit von Intune verwalteten Geräten die Anwendungen weiterhin. Wenn Sie Geräte verwenden, die nicht mit Intune verbunden sind, werden Sie in einer Meldung aufgefordert, das Gerät zu registrieren.

    Szenario 2. Zugriff auf das Unternehmensportal nur von Firmencomputern aus.

    Sie müssen die Synchronisierung zwischen Active Directory und Azure Active Directory konfigurieren. Daher werden Computer von AD als Hybrid Azure AD vorhanden sein. Das interne Portal muss bei Azure AD registriert sein. Sie können sogar SSO konfigurieren.

    Nun liegt es an der Richtlinie, die auf die richtigen Benutzer angewendet wird und nur eine Verbindung mit Hybrid Joined-Geräten erfordert, wenn eine Verbindung mit dem angegebenen Portal / der angegebenen Anwendung hergestellt wird. Es funktioniert nur mit IE und Edge. Chrome erfordert eine Erweiterung.

    Und wenn etwas kaputt geht?

    Zu einem bestimmten Zeitpunkt können Sie Situationen finden, in denen sich der Benutzer nicht bei der Anwendung anmelden kann und Sie nicht genau wissen, welche Richtlinie die Schuld hat.

    In diesem Fall helfen Anmeldeprotokolle in Azure AD beim Filtern nach dem Richtliniendurchsetzungsstatus.


    In den Details zu den einzelnen Ereignissen können Sie sehen, welche Richtlinie warum funktioniert.

    Schlussfolgerungen Der

    bedingte Zugriff ermöglicht die Flexibilität, den Zugriff auf Anwendungen und Dienste zu unterscheiden. Die Bedingungen und Nutzungsszenarien können unendlich sein. Am besten ist dieser Dienst mit Microsoft-Diensten. Es kann beispielsweise in den Azure Application Proxy integriert werden, um den Zugriff auf interne Ressourcen zu beschränken oder den Endpunktschutz beim Schließen des Zugriffs auf ein Unternehmensnetzwerk zu integrieren.

    Jetzt auch beliebt: