Für die Umsetzung einer Zero Trust Strategie ist Conditional Access in Entra ID eine wichtige Grundlage für die Absicherung gegen Cyberangriffe. Der Beitrag zeigt, was wichtig ist. Conditional Access in Microsoft Entra ID ist eine zentrale Komponente des Zero-Trust-Sicherheitsmodells. Ziel ist es, den Zugriff auf Unternehmensressourcen präzise zu steuern und Risiken zu minimieren. Dabei spielt Conditional Access die entscheidende Rolle, um den Zugang zu sensiblen Daten und Anwendungen abzusichern.
Index
Herausforderungen im modernen IT-Umfeld
Durch die Zunahme von Remote-Arbeit und Cloud-Umgebungen haben Unternehmen einen erweiterten Angriffsvektor. Mitarbeiter greifen häufig von nicht optimierten Netzwerken oder Geräten auf Unternehmensressourcen zu, was die Angriffsfläche vergrößert. Auch der Zugriff aus unsicheren geografischen Standorten birgt Risiken. Angreifer nutzen diese Schwachstellen, um auf sensible Daten zuzugreifen. Hier kommt das Zero-Trust-Modell ins Spiel. Conditional Access in Entra ID bietet zusätzlichen Schutz bei Anmeldungen und hilft, Unternehmensdaten vor unbefugten Zugriffen zu sichern.
Das Zero-Trust-Modell geht davon aus, dass kein Netzwerkverkehr oder keine Zugriffsanfrage grundsätzlich vertrauenswürdig ist. Jeder Zugriff wird verifiziert, unabhängig davon, ob er von innerhalb oder außerhalb des Netzwerks stammt. Drei wesentliche Prinzipien prägen dieses Modell:
- Explizite Verifizierung: Jeder Zugriff wird genau geprüft, etwa durch Multi-Faktor-Authentifizierung (MFA) oder Gerätezertifizierungen.
- Least Privilege Access: Nutzer und Geräte erhalten nur die minimal notwendigen Rechte, um ihre Aufgaben zu erledigen.
- Annahme eines Angriffs: Jede Zugriffsanfrage wird zunächst als potenzielle Bedrohung betrachtet, bis das Gegenteil bewiesen ist.
Conditional Access als Kernkomponente
Conditional Access in Entra ID ermöglicht es Unternehmen, dynamische Richtlinien zu erstellen, die Zugriff basierend auf verschiedenen Bedingungen gewähren oder verweigern. Dabei werden eine Vielzahl von Signalen berücksichtigt, wie der Benutzerstandort, das Gerät, von dem aus auf Ressourcen zugegriffen wird, oder das Benutzerverhalten beim Umgang mit Ressourcen und den Anmeldungen. Beispiele für typische Signale und Bedingungen, die in Conditional Access verwendet werden:
- Benutzer- und Standortinformationen: Es kann geprüft werden, von welchem geografischen Standort oder welchem Netzwerk der Zugriff erfolgt.
- Gerätezustand: Geräte müssen bestimmte Sicherheitsanforderungen erfüllen, um Zugriff zu erhalten, etwa durch Compliance-Status oder Hybrid-Join in Azure AD.
- Anwendungszugriffe: Abhängig von der Anwendung kann der Zugriff durch zusätzliche Sicherheitsmaßnahmen, wie MFA, beschränkt werden.
Mit Conditional Access lassen sich differenzierte Richtlinien durchsetzen. So kann festgelegt werden, dass für Benutzer mit hohem Risiko (basierend auf Anomalien im Anmeldeverhalten) MFA erforderlich ist, während für vertrauenswürdige Geräte oder Benutzerstandorte kein zusätzlicher Authentifizierungsschritt notwendig ist. Ebenso kann der Zugriff auf Unternehmensressourcen auf vertrauenswürdige Standorte und Geräte beschränkt werden.
Microsoft Entra ID Governance nutzen
Microsoft Entra ID Governance ist eine Lösung für die Verwaltung und Kontrolle von Identitäten und Zugriffsrechten in einer Organisation.
Dabei bietet Microsoft Entra ID Governance umfassende Funktionen zur Verwaltung und Kontrolle von Identitäten und Zugriffsrechten in Unternehmen. Die Lösung unterstützt Organisationen dabei, den gesamten Lebenszyklus von Identitäten zu steuern, insbesondere in Bezug auf Azure und Entra ID. Prozesse zur Erstellung, Aktualisierung und Löschung von Benutzerkonten können automatisiert werden, was die Effizienz und Sicherheit in der Verwaltung deutlich erhöht. In diesem Beitrag beleuchten wir die vielseitigen Einsatzmöglichkeiten und den Mehrwert, den die Lösung bietet. Ein Schwerpunkt liegt auf der effektiven Verwaltung von Berechtigungen und Gruppenmitgliedschaften.
Ein Kernelement von Entra ID Governance ist die Durchsetzung von Richtlinien, die gewährleisten, dass nur autorisierte Personen Zugriff auf spezifische Ressourcen erhalten. Dies wird unter anderem durch rollenbasierte Zugriffskontrollen (RBAC) erreicht oder durch Conditional Access. Dabei werden die Berechtigungen entsprechend den Aufgaben und Verantwortlichkeiten der Benutzer zugewiesen. Ergänzt wird dies durch Monitoring- und Reporting-Funktionen, die eine kontinuierliche Überwachung der Zugriffsaktivitäten ermöglichen. Unternehmen können so verdächtige Zugriffsmuster schnell identifizieren und darauf reagieren. Sämtliche Konfigurationen werden im Entra Admin Center vorgenommen.
Lizenzoptionen und erweiterte Funktionen
Microsoft Entra ID Governance ist in verschiedenen Lizenzmodellen erhältlich, darunter eine kostenlose Version sowie die kostenpflichtigen P1- und P2-Lizenzen. Die Basisversion umfasst grundlegende Funktionen wie die Erstellung von Objekten und einfache Sicherheitsmaßnahmen. Die P1-Lizenz erweitert dies um zusätzliche Features wie die Verwaltung von bedingtem Zugriff und kontinuierliche Zugriffsüberprüfungen. Für viele Unternehmen ist dies der ideale Einstieg, da auch Passwortschutzrichtlinien und Möglichkeiten zur Passwortzurücksetzung enthalten sind.
Die P2-Lizenz baut auf diesen Funktionen auf und bietet erweiterte Optionen wie den Identitätsschutz für Benutzer und Sitzungen sowie fortschrittliche Governance-Funktionen wie das Privileged Identity Management (PIM) und Zugriffsüberprüfungen. Diese erweiterten Features ermöglichen es Unternehmen, den Zugriff auf kritische Ressourcen streng zu kontrollieren und regelmäßige Überprüfungen der Zugriffsrechte durchzuführen. Über das Entra Admin Center können sämtliche Funktionen verwaltet werden. Microsoft stellt die Lizenzunterschiede auf einer eigenen Website dar.
Lifecycle-Workflows und maschinelles Lernen
Mit Entra ID Governance haben Unternehmen auch Zugang zu Funktionen wie Lifecycle-Workflows, die Onboarding- und Offboarding-Prozesse automatisieren. Diese Workflows umfassen unter anderem die Bereitstellung temporärer Zugangspässe und die Benachrichtigung von Verantwortlichen zu bestimmten Zeitpunkten. Zudem ermöglicht die Integration von maschinellem Lernen in Zugriffsüberprüfungen die Identifikation unnötiger Berechtigungen. Durch diese Technologien können Zugriffsrechte optimiert und Sicherheitsrisiken reduziert werden.
Ein weiteres Feature von Entra ID Governance ist die Verwendung von verifizierten Identitäten. Diese ermöglichen eine gezielte Verwaltung von Zugriffsrechten für interne und externe Nutzer, basierend auf überprüfbaren Identitätsnachweisen. Durch das Sponsor-Konzept können Verantwortliche für externe Benutzer festgelegt werden, die deren Verwaltung und Genehmigungen übernehmen.
Anwendung in der Praxis
Herausforderungen bei Steuerung von Ressourcenzugriff
In der Praxis bietet Entra ID Governance zahlreiche Funktionen, um den Zugriff auf Ressourcen effektiv zu steuern. Ein Beispiel dafür ist die Verwaltung von Gruppenmitgliedschaften. In vielen Unternehmen müssen Administratoren nicht nur verwalten, wer in einer Gruppe ist, sondern auch entscheiden, welche Mitglieder auf bestimmte Ressourcen zugreifen dürfen. In komplexen Umgebungen kann dies zu Herausforderungen führen, insbesondere wenn unklar ist, welche Benutzer zu einer Gruppe gehören sollten. Hier kann Entra ID Governance unterstützen, indem es Verantwortlichen ermöglicht, Zugriffspakete zu erstellen, die den Zugang zu mehreren Ressourcen bündeln.
Zugriffspakete in Entra ID
Zugriffspakete (Access Packages) in Entra ID bieten eine effiziente Möglichkeit, den Zugang zu Ressourcen wie Gruppen, Anwendungen und SharePoint-Sites zu steuern.
Administratoren können:
- Detaillierte Richtlinien festlegen, die sicherstellen, dass nur berechtigte Benutzer Zugriff erhalten.
- Genehmigungsprozesse einrichten, um den Zugang zu überwachen und zu kontrollieren.
- Regelmäßige Überprüfungen durchführen, um sicherzustellen, dass die Berechtigungen weiterhin erforderlich sind.
Zusätzlich können erweiterte Funktionen wie verifizierte Identitäten und Sponsoren den Zugriff noch präziser und sicherer verwalten.
Verwaltung von Zugriffspaketen
Microsoft Entra ID Governance bietet zahlreiche Funktionen, die Organisationen helfen, den Zugriff auf ihre Ressourcen zu steuern und zu sichern. Über die Schaltfläche „Erstellen eines Zugriffspaketes“ im Identity Governance-Dashboard öffnet sich die Seite zur Erstellung und Verwaltung solcher Pakete. Mit „Neues Zugriffspaket“ erstellen Sie ein solches Paket.
Im weiteren Verlauf des Assistenten wird der Name festgelegt und der Katalog ausgewählt, in dem das Zugriffspaket verwaltet wird, typischerweise „General“. Bei der Zuweisung von Ressourcenrollen können Sie festlegen, welche Benutzerrolle ein Anwender erhalten soll, wenn ihm das Zugriffspaket zugewiesen wird, wie beispielsweise „Owner“ oder „Member“. Es ist auch möglich, „Keine“ automatische Zuweisung auszuwählen, was bedeutet, dass ein Administrator das Zugriffspaket manuell zuweisen muss.
Ein weiterer wichtiger Aspekt ist die Möglichkeit, Zugriffsrechte über „Anforderungen“ zu steuern. Hierbei kann der Genehmigungsprozess durch Aktivierung von „Genehmigung“ festgelegt werden. Sie bestimmen, wer als „Erste genehmigende Person“ fungiert und bei „Begründung des Antragstellers erforderlich“ können Sie festlegen, dass der Benutzer seine Anfrage begründen muss. Ebenso können Sie mit „Wenn keine Aktion ausgeführt wird, an alternativ genehmigende Person weiterleiten?“ sicherstellen, dass der Antrag nicht unbeantwortet bleibt.
Lebenszyklus und Zugriffskontrolle
In Bezug auf den Lebenszyklus von Berechtigungen erlaubt es die Funktion Lebenszyklus, festzulegen, wann die Rechte, die im Zugriffspaket definiert sind, ablaufen. Auch „Zugriffskontrolle“ ermöglicht es, regelmäßig zu überprüfen, ob ein Benutzer seine Zugriffsrechte noch benötigt. Weitere benutzerdefinierte Anpassungen können über „Benutzerdefinierte Erweiterungen“ vorgenommen werden.
Die Verwaltung der Pakete und Anträge erfolgt über die Webseite „myaccess.microsoft.com“. Hier können Benutzer auf die entsprechenden Pakete zugreifen und über die Schaltfläche „Anfrage“ Zugriffsanträge stellen.
Conditional Access in Entra ID
Entra ID Premium P2 und erweiterte Sicherheitsfunktionen
Unternehmen, die sich für Entra ID Premium P2 entscheiden, haben parallel zu Identity Governance Zugriff auf weitere Sicherheitsfunktionen, die optimal mit Entra ID Identity Governance zusammenarbeiten. Das System erkennt automatisch, wenn ein Anmeldeversuch Anomalien aufweist, wie:
- neue Geräte,
- IP-Adressen oder
- Standorte.
Außerdem erkennt Entra ID durch Anomalien im Token-Nutzungsmuster, wie
- ungewöhnlich alte Tokens oder
- Tokens, die in einer unerwarteten Reihenfolge verwendet werden.
Conditional Access und Richtlinienverwaltung
Conditional Access ist in Entra ID Protection bei „Schutz -> Security Center -> Bedingter Zugriff“ verfügbar. Hier lassen sich Richtlinien erstellen, die das Anmelden von Benutzern steuern. An dieser Stelle kann die Richtlinie auch auf die Ergebnisse der Benutzerrisiko-Richtlinie und der Anmelderisiko-Richtlinie zurückgreifen. Diese beiden Richtlinien sollten aber nicht mehr genutzt werden. Besser ist es direkt auf den Conditional Access zu setzen.
Nach dem Erstellen einer neuen Richtlinie wird zunächst ausgewählt, ob diese für alle Nutzer gelten soll, oder nur für bestimmte Benutzerkonten. Sinnvoll ist es an dieser Stelle den Break-Glas-Account nicht mit einzuschließen. Beim Erstellen einer Richtlinie
- für Conditional Access kann auch festgelegt werden,
- für welche Ziel-Ressourcen die Richtlinie gelten soll.
Sinnvoll ist an dieser Stelle alle Apps einzubinden, also im Grunde genommen alle Ressourcen, die in Azure und Microsoft 365 zur Verfügung stehen. Innerhalb der Richtlinie kann noch festgelegt werden, welche Bedingungen (Conditions) gelten müssen, damit ein Benutzer sich zusätzlich mit MFA authentifizieren muss. Hier ist es sinnvoll bei „User risk/Benutzerrisiko“ die gewünschte Risiko-Stufe auszuwählen.
Bei der Benutzerrisiko-Richtlinie erfolgt das Definieren des erkannten Risikos. Dieses kann „Hoch“, „Mittel und höher“ oder „Niedrig und höher“ sein. Welche Risikostufe ein Benutzer erhält, hängt von seinen Anmeldebedingungen ab, die zum Beispiel über den bedingten Zugriff definiert werden. Bei der Anmeldung erhält ein Benutzer daher eine Benutzerrisiko-Zuweisung. In der Benutzerrisiko-Richtlinie lässt sich danach festlegen, welchen Zugriff Benutzer mit den einzelnen Risiken erhalten sollen. Hier lassen sich Zugriffe blockieren, zulassen oder Kennwortänderungen festlegen.
Bedingter Zugriff und Identity Protection
Mit der P2-Lizenz erhalten Unternehmen auch Zugang zu Entra ID Identity Protection und Conditional Access. Diese Sicherheitsfunktionen ermöglichen eine risikobasierte Verwaltung von Azure-Ressourcen. Entra ID verwendet maschinelles Lernen und von Experten entwickelte Sicherheitsmechanismen, um Anmelderisiken zu erkennen und darauf zu reagieren. Die Regeln für den bedingten Zugriff lassen sich so konfigurieren, dass zusätzliche Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung (MFA) erforderlich sind, wenn ein erhöhtes Risiko festgestellt wird.
Unterstützung benötigt?
Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor. Wir freuen uns über Ihre Kontaktaufnahme!
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>