Implementierung des bedingten Zugriffs in Azure AD zur Stärkung der Sicherheit

Implementierung des bedingten Zugriffs in Azure AD zur Stärkung der Sicherheit

01.05.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Implementierung und Optimierung des bedingten Zugriffs in Microsoft Entra ID (ehemals Azure Active Directory) helfen. Conditional Access ist Microsofts Flaggschiff-Mechanismus zur Durchsetzung von Zero-Trust-Richtlinien, der es Unternehmen ermöglicht, den Zugriff auf Ressourcen basierend auf Echtzeitbedingungen wie Benutzeridentität, Standort, Gerätezustand und Sitzungsrisiko zu kontrollieren [1].

Einführung

In der heutigen Sicherheitslandschaft, in der Cyber-Bedrohungen hochentwickelt sind und Remote-Arbeit weit verbreitet ist, reicht der herkömmliche Netzwerk-Perimeterschutz nicht mehr aus. Mit dem bedingten Zugriff von Azure AD können Unternehmen von einem statischen Sicherheitsansatz zu einem dynamischen, adaptiven Ansatz übergehen, bei dem jeder Zugriffsversuch vor der Gewährung bewertet wird. Dadurch wird sichergestellt, dass der Zugriff nur vertrauenswürdigen Benutzern und Geräten unter bestimmten Bedingungen gewährt wird, wodurch Unternehmensdaten und -anwendungen effektiver geschützt werden [2].

Dieser praktische Leitfaden behandelt das Erstellen und Konfigurieren von Richtlinien für bedingten Zugriff, einschließlich der Anforderung einer Multi-Faktor-Authentifizierung (MFA), unterstützter Geräte, vertrauenswürdiger Speicherorte und der Blockierung älterer Authentifizierungen. Es werden Schritt-für-Schritt-Anleitungen, Konfigurationsbeispiele und Validierungsmethoden bereitgestellt, damit der Leser die Sicherheitslage seiner Organisation implementieren und stärken und so sicherstellen kann, dass der Zugriff auf Ressourcen sicher und konform ist.

Warum ist bedingter Zugriff so wichtig?

  • Zero Trust: Dies ist die Richtlinien-Engine zur Implementierung des Zero Trust-Modells, die jede Zugriffsanfrage explizit überprüft.
  • Adaptive Kontrolle: Ermöglicht die dynamische Anpassung von Zugriffsrichtlinien basierend auf Echtzeit-Risikosignalen.
  • Umfassender Schutz: Schützt Identitäten, Geräte, Daten und Anwendungen in der Cloud und vor Ort.
  • MFA und Gerätekonformität: Erleichtert die Durchsetzung von MFA und die Anforderung kompatibler oder in Azure AD eingebundener Geräte für den Zugriff.
  • Risikominderung: Trägt dazu bei, Risiken wie Diebstahl von Zugangsdaten, Zugriff von nicht autorisierten Geräten und Zugriff von verdächtigen Orten aus zu mindern.

Voraussetzungen

Um den bedingten Zugriff in Azure AD zu implementieren, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Eine Microsoft Enroll ID Premium P1 oder P2 (früher Azure AD Premium P1 oder P2) Lizenz. Der bedingte Zugriff ist ein einzigartiges Merkmal dieser Lizenzen [3].
  2. Administratorzugriff: Ein Konto mit der Rolle „Administrator für bedingten Zugriff“, „Sicherheitsadministrator“ oder „Globaler Administrator“ im Microsoft Entra Admin Center („https://entra.microsoft.com“).
  3. Benutzer und Gruppen: Benutzer und Sicherheitsgruppen in Microsoft Entra ID zum Testen von Richtlinien.
  4. Multi-Faktor-Authentifizierung (MFA) konfiguriert: Für Richtlinien, die MFA erfordern, müssen Benutzer MFA konfiguriert und registriert haben.
  5. Verwaltete Geräte (optional): Für Richtlinien, die unterstützte oder mit Azure AD/Hybrid verbundene Geräte erfordern, müssen die Geräte von Microsoft Intune oder mit Azure AD verwaltet werden.

Schritt für Schritt: Konfigurieren von Richtlinien für bedingten Zugriff

Lassen Sie uns einige wichtige Richtlinien für den bedingten Zugriff erstellen, um die Sicherheit zu erhöhen.

1. Zugriff auf das Microsoft Portal Enter Admin Center

  1. Öffnen Sie Ihren Browser und navigieren Sie zu „https://entra.microsoft.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
  3. Wählen Sie im linken Navigationsbereich Schutz > Bedingter Zugriff.

2. Erstellen einer Richtlinie zur Anforderung von MFA für alle Benutzer (mit Ausnahme von Notfallkonten)

Dies ist eine grundlegende Richtlinie für die meisten Organisationen, die sicherstellt, dass MFA für alle Zugriffsversuche erforderlich ist, mit Ausnahme von Notfall-/Glasbruch-Zugriffskonten.

  1. Klicken Sie auf der Seite „Bedingter Zugriff“ auf Neue Richtlinie > Neue Richtlinie erstellen.
  2. Name: „01 – MFA für alle Benutzer erforderlich“.

  3. Zuweisungen > Identität von Benutzern oder Workloads:

    • Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    • Wählen Sie unter Löschen Benutzer und Gruppen aus und fügen Sie Ihre EMER-Zugriffskonten hinzuAgency/Break-Glass (hochgeschützte Konten, die im Falle eines MFA-Fehlers oder der Nichtverfügbarkeit des Verzeichnisses für den Zugriff auf den Mandanten verwendet werden können).

  4. Cloud-Ressourcen oder -Aktionen:

    • Wählen Sie unter Einschließen die Option Alle Cloud-Apps aus.

  5. Gewährung:

    • Wählen Sie Zugriff gewähren.
    • Aktivieren Sie Mehrfaktor-Authentifizierung erforderlich.
    • Klicken Sie auf Auswählen.

  6. Richtlinie aktivieren: Wählen Sie „Nur melden“ (um die Auswirkungen vor der Anwendung zu testen) oder „Aktiviert“.

    • Tipp: Beginnen Sie immer mit „Nur melden“, um die Auswirkungen der Richtlinie zu überwachen, ohne sie anzuwenden, und überprüfen Sie die Eingabeprotokolle auf mögliche unerwünschte Blöcke.
  7. Klicken Sie auf Erstellen.

3. Erstellen einer Richtlinie zum Blockieren der Legacy-Authentifizierung

Ältere Authentifizierungen (z. B. POP, IMAP, SMTP, Standardauthentifizierung) unterstützen MFA nicht und sind ein häufiger Vektor für Angriffe. Es ist wichtig, es zu blockieren.

  1. Klicken Sie auf der Seite „Bedingter Zugriff“ auf Neue Richtlinie > Neue Richtlinie erstellen.
  2. Name: „02 – Legacy-Authentifizierung blockieren“.
  3. Zuweisungen > Identitätsbenutzer oder Workloads: Wählen Sie Alle Benutzer (mit Ausnahme Ihrer Notfallkonten).
  4. Cloud-Ressourcen oder -Aktionen: Wählen Sie Alle Cloud-Anwendungen.

  5. Bedingungen > Client-Anwendungen:

    • Setzen Sie „Client-Anwendungen“ auf „Ja“.
    • Aktivieren Sie „Exchange ActiveSync-Clients“ und „Andere Clients“.

  6. Zugriffskontrollen > Gewähren:

    • Wählen Sie Zugriff blockieren.
    • Klicken Sie auf Auswählen.

  7. Richtlinie aktivieren: Wählen Sie „Nur melden“ oder „Aktiviert“.

  8. Klicken Sie auf Erstellen.

4. Erstellen einer Richtlinie, die ein kompatibles Gerät für den Zugriff auf kritische Anwendungen erfordert

Diese Richtlinie stellt sicher, dass nur Geräte, die Sicherheitsstandards erfüllen (z. B. von Intune verwaltet), auf vertrauliche Apps zugreifen können.

  1. Klicken Sie auf der Seite „Bedingter Zugriff“ auf Neue Richtlinie > Neue Richtlinie erstellen.
  2. Name: „03 – Kompatibles Gerät für kritische Anwendungen erforderlich“.
  3. Zuweisungen > Identitätsbenutzer oder Workloads: Wählen Sie Alle Benutzer (oder eine bestimmte Gruppe).

  4. Cloud-Ressourcen oder -Aktionen:

    • Wählen Sie unter Einschließen die Option Anwendungen auswählen und wählen Sie kritische Anwendungen aus (z. B. SharePoint Online, Dynamics 365, Branchenanwendungen).

  5. Gewährung:

    • Wählen Sie Zugriff gewähren.
    • Markieren Sie Gerät muss als unterstützt markiert werden.
    • Klicken Sie auf Auswählen.

  6. Richtlinie aktivieren: Wählen Sie „Nur melden“ oder „Aktiviert“.

  7. Klicken Sie auf Erstellen.

5. Erstellen einer Richtlinie zum Blockieren des Zugriffs von nicht vertrauenswürdigen Standorten

Diese Richtlinie trägt zum Schutz vor Zugriffen aus geografischen Regionen oder IP-Adressen bei, von denen bekannt ist, dass sie Angriffsquellen darstellen.

  1. Zunächst müssen Sie in Azure AD Benannte Standorte (Benannte Standorte) erstellen, um vertrauenswürdige Standorte (z. B. Firmenbüros, VPN) zu definieren.

    • Gehen Sie im Microsoft Login Admin Center zu Schutz > Bedingter Zugriff > Benannte Standorte.
    • Klicken Sie auf Neuer Standort für Länder/Regionen oder Neuer IP-Bereichsstandort, um Ihre vertrauenswürdigen Standorte festzulegen.

  2. Klicken Sie auf der Seite „Bedingter Zugriff“ auf Neue Richtlinie > Neue Richtlinie erstellen.

  3. Name: „04 – Zugriff von nicht vertrauenswürdigen Standorten blockieren“.
  4. Zuweisungen > Identitätsbenutzer oder Workloads: Wählen Sie Alle Benutzer aus.
  5. Cloud-Ressourcen oder -Aktionen: Wählen Sie Alle Cloud-Anwendungen.

  6. Bedingungen > Standorte:

    • Setzen Sie „Standorte“ auf „Ja“.
    • Wählen Sie unter Einschließen die Option Beliebiger Standort aus.
    • Wählen Sie unter Ausschließen die Option Ausgewählte Standorte und wählen Sie die „Benannten Standorte“, die Sie als vertrauenswürdig definiert haben.

  7. Zugriffskontrollen > Gewähren:

    • Wählen Sie Zugriff blockieren.
    • Klicken Sie auf Auswählen.
  8. Richtlinie aktivieren: Wählen Sie „Nur melden“ oder „Aktiviert“.
  9. Klicken Sie auf Erstellen.

Validierung und Tests

Die Validierung von Richtlinien für bedingten Zugriff ist von entscheidender Bedeutung, um sicherzustellen, dass sie wie erwartet funktionieren und keine unerwünschten Blockaden verursachen.

1. Verwendung des „Was wäre wenn“-Tools

Mit dem „Was-wäre-wenn“-Tool können Sie die Auswirkungen Ihrer Richtlinien für bedingten Zugriff auf einen bestimmten Benutzer oder ein bestimmtes Szenario simulieren.

  1. Klicken Sie auf der Seite „Bedingter Zugriff“ aufUnd wenn.
  2. Konfigurieren Sie das Testszenario (Benutzer, Anwendung, IP-Adresse, Gerät usw.).
  3. Klicken Sie auf Was wäre, wenn, um zu sehen, welche Richtlinien angewendet würden und was das Ergebnis ist (Zugriff gewähren oder blockieren).

2. Eingabeprotokolle prüfen

Eingehende Protokolle liefern detaillierte Informationen zu jedem Zugriffsversuch, einschließlich der ausgewerteten Richtlinien für bedingten Zugriff und des Ergebnisses.

  1. Gehen Sie im Microsoft Login Admin Center zu Überwachung und Integrität > Eingehende Protokolle.
  2. Filtern Sie Protokolle nach Benutzer, Anwendung oder Status (z. B. „Fehlgeschlagen“), um Zugriffsversuche zu untersuchen.
  3. Klicken Sie auf einen Protokolleintrag, um Details anzuzeigen, einschließlich der Registerkarte Bedingter Zugriff, auf der die angewendeten Richtlinien und das Ergebnis angezeigt werden.

3. Echte Tests mit Testbenutzern

Führen Sie Tests mit Testbenutzern in verschiedenen Szenarien durch (z. B. Zugriff von einem nicht vertrauenswürdigen Ort, mit einem nicht unterstützten Gerät, ohne MFA), um das erwartete Verhalten der Richtlinien zu bestätigen.

Sicherheitstipps und Best Practices

  • Sorgfältige Planung: Planen Sie Ihre Richtlinien für bedingten Zugriff basierend auf den Anforderungen Ihres Unternehmens und den Zero-Trust-Prinzipien. Beginnen Sie mit einer kleinen Reihe von Richtlinien und erweitern Sie diese schrittweise.
  • **Nur-Bericht-Modus: Stellen Sie neue Richtlinien immer zuerst im Nur-Bericht-Modus bereit, um ihre Auswirkungen zu bewerten und anzupassen, bevor Sie sie im aktivierten Modus anwenden.
  • Notfallkonten: Schließen Sie Notfall-/Glasbruchkonten immer von allen Richtlinien für bedingten Zugriff aus, um versehentliche Sperrungen zu vermeiden.
  • Legacy-Authentifizierung blockieren: Dies ist eine der effektivsten Richtlinien zur Reduzierung der Angriffsfläche.
  • MFA für alle Benutzer erforderlich: Eine wesentliche Richtlinie zum Schutz von Identitäten.
  • Verwaltete Geräte: Für den Zugriff auf vertrauliche Ressourcen müssen Geräte verwaltet werden (Azure AD-Beitritt oder Intune-fähig).
  • Benannte Standorte: Verwenden Sie benannte Standorte, um vertrauenswürdige Netzwerke zu definieren und den Zugriff von nicht vertrauenswürdigen Standorten zu blockieren.
  • Kontinuierliche Überprüfung und Anpassung: Überprüfen und passen Sie Ihre Richtlinien für bedingten Zugriff regelmäßig an, um sie an Änderungen in der Bedrohungsumgebung und den Geschäftsanforderungen anzupassen.
  • Dokumentation: Sorgen Sie für eine klare Dokumentation Ihrer Richtlinien für bedingten Zugriff, einschließlich deren Zweck, Umfang und etwaiger Ausschlüsse.

Allgemeine Fehlerbehebung

  • Unerwartet blockierte Benutzer: Verwenden Sie das „Was-wäre-wenn“-Tool und die Anmeldeprotokolle, um zu ermitteln, welche Richtlinie die Blockierung verursacht. Überprüfen Sie die Ein- und Ausschlüsse der Police.
  • Richtlinien nicht angewendet: Überprüfen Sie, ob sich die Richtlinie im Modus „Aktiviert“ befindet und dass sich der Benutzer und die Anwendung im Geltungsbereich der Richtlinie befinden. Überprüfen Sie die Eingabeprotokolle, um festzustellen, ob die Richtlinie ausgewertet wurde.
  • MFA-Probleme: Stellen Sie sicher, dass Benutzer MFA-Methoden registriert haben. Suchen Sie nach Verbindungsproblemen mit MFA-Anbietern.
  • Probleme mit kompatiblen Geräten: Überprüfen Sie den Konformitätsstatus Ihres Geräts in Intune. Stellen Sie sicher, dass das Gerät Azure AD beigetreten oder bei Intune registriert ist.
  • Richtlinienkonflikte: Der bedingte Zugriff wertet alle Richtlinien aus und wendet die restriktivste an. Wenn es widersprüchliche Richtlinien gibt, passen Sie diese an, um das gewünschte Verhalten sicherzustellen.

Fazit

Die Implementierung des bedingten Zugriffs in Azure AD ist eine grundlegende Säule für den Aufbau einer robusten und anpassungsfähigen Sicherheitsarchitektur basierend auf dem Zero-Trust-Modell. Indem es Organisationen ermöglicht, granulare Zugriffsrichtlinien basierend auf einer Vielzahl von Bedingungen festzulegen, stärkt Conditional Access den Schutz von Identitäten und Ressourcen vor Cyber-Bedrohungen erheblich. Durch die strategische Richtlinienkonfiguration in Kombination mit strengen Tests und einem kontinuierlichen Überprüfungs- und Optimierungszyklus können Sicherheitsteams sicherstellen, dass der Zugriff stets überprüft, mit minimalen Privilegien versehen und an den Risikokontext angepasst wird. Mit Conditional Access können Unternehmen ihre wertvollsten Vermögenswerte schützen und gleichzeitig ihren Benutzern ermöglichen, von überall und auf jedem Gerät sicher und produktiv zu arbeiten.

Referenzen:

[1] Microsoft Learn. Was ist bedingter Zugriff?. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [2] Microsoft Learn. Planen Sie die Implementierung von Conditional Access. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3] Microsoft Learn. Lizenzanforderungen für Conditional Access. Verfügbar unter: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements