​​​​​​​​​​​​​​​Wie Sie Ihre Systeme mit Conditional Access vor unberechtigten Zugriffen schützen​

30.11.2021 | Christian Schuller

​​Conditional Access

Am 30. November ist der internationale „Computer Security Day“. Heute möchten wir Ihnen ganz praktische Tipps geben, wie Sie Ihre IT-Systeme sicherer machen und vor unbefugtem Zugriff schützen können. Unser Security Experte Christian Schuller zeigt, was man bei der Einrichtung des Conditional Access in Microsoft Azure Active Directory beachten sollte.​​

Conditional Access (bedingter Zugriff) wird für unsere modernen Arbeitsplätze immer wichtiger. Aufgrund von Homeoffice erfolgt der Zugriff auf wichtige Unternehmensdaten und Applikationen mittlerweile immer öfter außerhalb des Firmennetzwerks.

In derartigen Szenarien müssen die Firmendaten trotzdem geschützt sein. Conditional Access bietet einen Schutz vor unberechtigten Zugriffen. Einmal richtig eingerichtet, wird anhand verschiedener Signale entschieden, ob und unter welchen Bedingungen die Daten für einen Mitarbeiter freigeben werden. Greift beispielsweise ein Mitarbeiter aus dem Homeoffice auf seine Daten zu, kann durch Multifaktor Authentication abgefragt werden, ob dieser Mitarbeiter sein Mobiltelefon besitzt und somit einen zweiten Faktor bereitstellen kann. Conditional Access wird in diesen Fällen genutzt, um Zugriffsentscheidungen zu treffen und durchzusetzen.

 

Typische Einsatzszenarien:         

  • Sie möchten den Zugriff aus bestimmten Standorten erlauben oder blockieren
  • Sie möchten eine Multi-Faktor-Authentifizierung für alle Nutzer außerhalb der vertrauenswürdigen Standorte einsetzen
  • Sie möchten Multi-Faktor-Authentifizierung für Administratoren zwingend vorschreiben
  • Sie möchten den Zugriff auf bestimmte Anwendungen von privaten Geräten blockieren

 

Voraussetzungen:

Sie benötigen eine Azure AD Premium Lizenz sowie Rechte als Conditional Access Administrator.

 ​Conditional Access Overview

Quelle: https://docs.microsoft.com/de-de/azure/active-directory/conditional-access/overview

 

Conditional Access Richtlinien sind "Wenn-dann"-Anweisungen. Wenn ein Benutzer auf eine bestimmte Quelle zugreifen möchte, dann wird eine bestimmte Aktion ausgeführt. Als Auslöser dafür dienen so genannte Signale des Benutzers. Das können Standort, Anwendungen, Geräte oder Risiko (zum Beispiel riskantes Anmeldeverhalten) sein.

 

Tipps & Tricks:

  • Richten Sie mehrere Konten für den Notfallzugriff ohne Multi-Faktor-Authentifizierung ein. Diese Konten werden nur im Notfall benutzt und genau überwacht.​
  • Planen Sie zunächst ein Pilotprojekt.
  • Simulieren Sie das Anmeldeverhalten mit dem What If-Tool für bedingten Zugriffzu finden im Azure-Portal > Azure Active Directory > Bedingter Zugriff > What If. 
  • Testen Sie die Auswirkungen des bedingten Zugriffs vor Aktivierung der Richtlinien, indem Sie einen Status mit einem reinen Berichtsmodus (Report Only Mode) erstellen. Damit können Sie zum Beispiel das Blockieren der Legacyauthentifizierung, das Erzwingen der MFA für eine Gruppe von Benutzern oder das Implementieren von Anmelderisikorichtlinien überprüfen. 
  • Minimieren Sie die Anzahl der Richtlinien für den bedingten Zugriff. 
  • Analysieren Sie Ihre Anwendungen und gruppieren Sie sie in Richtlinien, die die gleichen Zugriffsanforderungen haben. 
  • Vertrauen Sie nicht auf nur eine Zugriffskontrolle wie MFA, Standort, Domain-Joined Device

​ 

So richten Sie Conditional Access Richtlinien ein

Wir schauen uns nun exemplarisch die Erstellung einer Richtlinie an, bei der MFA für Administratoren vorgeschrieben wird.

Angreifer fokussieren sich häufig auf Konten, denen Administratorrechte zugewiesen sind, deshalb ist die Einrichtung einer mehrstufigen Authentifizierung (MFA) ein einfacher Weg, um das Risiko zu minimieren.

 

Erzwingen der MFA für Administratoren

1.     Melden Sie sich beim Azure-Portal als globaler Administrator, Sicherheitsadministrator oder Administrator für                       bedingten Zugriff an.

2.      Navigieren Sie zu Azure Active Directory > Sicherheit > Bedingter Zugriff.

3.      Erstellen Sie eine neue Richtlinie.

4.      Benennen Sie Ihre Richtlinie mit einem aussagekräftigen Namen.

 

Wählen Sie + “Neue Richtlinie" erstellen

Conditional Access Policies


Lassen Sie uns zunächst die Richtlinie "MFA für Administratoren erzwingen" erstellen. Wählen Sie einen Namen nach der von Ihrer Organisation erstellten Namenskonvention. In diesem Beispiel haben wir die Namenskonvention <Response>-<Principal>-<Condition> gewählt.

Klicken Sie im Bereich Zuordnungen für Benutzer oder Workload-Identitäten auf "0 ausgewählte Benutzer oder Workload-Identitäten". Schließen Sie kritische Administratoren ein, indem Sie "Verzeichnisrollen" auswählen und alle kritischen Rollen einschließen.

Entfernen Sie die Notfallzugriffskonten aus der Auswahl, indem Sie "Ausschließen" wählen. Die Notfallzugriffskonten werden in Notfallsituationen verwendet. Ein Beispiel:


- Die Administratoren sind über Azure AD Multi-Faktor-Authentifizierung registriert und alle ihre individuellen Geräte sind nicht verfügbar oder der Dienst ist nicht verfügbar.

- Die Person mit dem letzten globalen Administratorenzugang hat die Organisation verlassen. Azure AD verhindert, dass das letzte globale Administratorkonto gelöscht wird, aber es verhindert nicht, dass das Konto vor Ort gelöscht oder deaktiviert wird. In beiden Fällen könnte die Organisation nicht in der Lage sein, das Konto wiederherzustellen.

- Unvorhergesehene Umstände wie z. B. eine Naturkatastrophe, bei der ein Mobiltelefon oder andere Netzwerke möglicherweise nicht verfügbar sind.

 

 Conditional Access Useres and Groups


(5)   Wählen Sie als nächstes unter Cloud-Apps oder -aktionen > Einschließen die Option Alle Cloud-Apps und dann fertig aus.

 

 New... Conditional Access Policy

(6)   Klicken Sie im Bereich Zugriffskontrollen auf "0 Kontrollen ausgewählt". Wählen Sie "Zugriff gewähren" und aktivieren Sie "Mehrstufige Authentifizierung erforderlich".

(7)   Wählen Sie unter Zugriffssteuerung > Erteilen die Option Zugriff erteilen, dann Mehrstufige Authentifizierung erforderlich und anschließend auswählen aus.

 
Multi Factor - Conditional Access


(8)   Optional können Sie die konfigurierte Richtlinie testen, indem Sie die Option "Report Only" verwenden. Um die Richtlinie für bedingten Zugriff zu aktivieren (und durchzusetzen), wählen Sie "Ein" für die Option "Richtlinie aktivieren". Erstellen Sie die Richtlinie, indem Sie "Erstellen" wählen.

 

 EnforceMFA-Administrators-Always

 

Die neue Richtlinie ist nun aktiv.

 

Active Conditional Access

 

Mehr zu Conditional Access und wie Sie den Arbeitsplatz sicher gestalten, lernen Sie auch in unserem Seminar AD481 Cyber Security für den modernen Enterprise Cloud Managed Workpla​ce - Deep Dive​

 

Sie haben noch weitere Fragen oder benötigen Unterstützung? Kontaktieren Sie uns – wir beraten Sie gerne zu Microsoft und Security-Themen.


Lassen Sie uns über Ihre Zukunft reden

E-Mail wurde versendet.
TAGS
Active Directory; Azure; Security
Ja
Microsoft