Sicherheitsrichtlinien mit Conditional Access in Microsoft Entra für hybride Umgebungen

Conditional Access in Microsoft Entra stellt sicher, dass die Anmeldungen von Nutzern an der Cloud so sicher wie nur möglich erfolgen. Dazu prüft Entra die Anmeldungen und erkennt, ob weiterführende Verifizierungen wie MFA oder das Sperren von Zugriffen notwendig ist. In hybriden Umgebungen können sich Anwender dadurch mit ihren Konten aus Active Directory über die Replikation und Synchronisierung zu Entra ID an der Cloud anmelden.

Das steckt hinter Conditional Access

Bedingter Zugriff auf sensible Daten

Conditional Access (Bedingter Zugriff) in Entra ID bietet Unternehmen, die Entra ID Premium P2 nutzen, umfassende Sicherheitsfunktionen, die sich in die Identity Governance integrieren lassen. Neben der Erkennung und Verwaltung von Schwachstellen sowie risikobehafteten Konten erhalten Unternehmen Zugriff auf risikobasierte Richtlinien für den bedingten Zugriff auf Azure-Ressourcen. Diese Maßnahmen stellen sicher, dass der Zugriff auf sensible Daten und Systeme nur unter streng kontrollierten Bedingungen erfolgt.

Entra ID Protection

Entra ID Identity Protection, das ebenfalls Teil von Entra ID Premium P2 ist, erweitert diese Sicherheitsmechanismen durch eine Kombination aus automatisch generierten, von Experten entwickelten und benutzerdefinierten Signalen, um Risiken frühzeitig zu erkennen.

1. Ein zentrales Element von Entra ID Identity Protection ist die Verwendung maschineller Lernmodelle zur automatischen Generierung von Signalen. Diese Modelle analysieren verschiedene Attribute von Anmeldeversuchen, darunter ungewöhnliche Anmeldezeiten, unbekannte Geräte oder Anmeldungen von nicht vertrauten Standorten. Durch die kontinuierliche Auswertung dieser Attribute erkennt das System automatisch Anomalien, wie etwa neue Geräte, ungewohnte IP-Adressen oder ungewöhnliche Anmeldestandorte, und reagiert entsprechend.
2. Ein weiteres zentrales Merkmal der Bedrohungserkennung von Entra ID ist die Analyse des Token-Nutzungsverhaltens. Entra ID kann Anomalien im Token-Einsatz identifizieren, etwa ungewöhnlich alte Tokens oder Tokens, die in einer untypischen Reihenfolge genutzt werden.

Neben den automatisch generierten Signalen greifen die Sicherheitsmechanismen von Entra ID auch auf von Experten erstellte Signale zurück. Sicherheitsexperten und Forscher verfolgen kontinuierlich Bedrohungsakteure und identifizieren IP-Adressen, die mit bösartigen Aktivitäten in Verbindung stehen. Entra ID stuft IP-Adressen, die von bekannten Cyberkriminellen oder staatlich gesteuerten Akteuren verwendet werden, als hohes Risiko ein. Administratoren haben darüber hinaus die Möglichkeit, manuell Anmeldeversuche als kompromittiert oder sicher zu markieren, was Entra ID dabei unterstützt, die Modelle zur Risikoerkennung weiter zu verbessern.

👉 Mehr Tipps für die optimale Nutzung von Entra ID (vorher Azure AD) finden Sie in unserem Artikel 10 Tipps für den Einsatz von Entra ID.

Conditional Access verwalten

Erstellung von Richtlinien im Entra Admin Center

Die Verwaltung und Konfiguration des Conditional Access erfolgt über das Entra Admin Center im Bereich „Schutz -> Security Center -> Bedingter Zugriff“. Hier können Administratoren Richtlinien erstellen, die den Anmeldeprozess von Benutzern steuern. Diese Richtlinien basieren auf vordefinierten Parametern wie Standort, Zeit und Gerät, von denen sich Benutzer anmelden.

Der bedingte Zugriff reagiert flexibel auf ungewöhnliche Anmeldemuster. Meldet sich ein Benutzer beispielsweise das erste Mal aus einem anderen Land an, das nicht seinem gewohnten Standort entspricht, kann Entra

• die Anmeldung blockieren,
• zusätzliche Maßnahmen wie eine Multi-Faktor-Authentifizierung (MFA) verlangen oder
• den Zugriff auf bestimmte Ressourcen einschränken.

Diese Maßnahmen bieten einen hohen Schutz für Unternehmensressourcen, indem sie sicherstellen, dass nur vertrauenswürdige und authentifizierte Zugriffe stattfinden.

Conditional Access Richtlinien – Alle Kategorien im Überblick

Die Conditional Access Richtlinien in Entra ID umfassen drei Hauptkategorien:

• Benutzerrisiko-Richtlinie
• Anmelderisiko-Richtlinie
• MFA-Registrierungsrichtlinie

Jede dieser Richtlinien erfüllt einen spezifischen Zweck und ermöglicht es Administratoren, Sicherheitsrichtlinien basierend auf den Anforderungen des Unternehmens anzupassen.

Benutzerrisiko-Richtlinie

Die Benutzerrisiko-Richtlinie bewertet das kumulative Risiko eines Benutzerkontos. Dieses Risiko basiert auf dem Verhalten des Benutzers und den Anmeldebedingungen, die durch Anomalien wie unübliche Standorte, neue Geräte oder ungewöhnliche Anmeldezeiten definiert werden. Basierend auf diesen Bedingungen ordnet das System einem Benutzer eine bestimmte Risikostufe zu, die als „Hoch“, „Mittel und höher“ oder „Niedrig und höher“ klassifiziert wird. Die Administratoren können festlegen, welche Maßnahmen für Benutzer mit den verschiedenen Risikostufen gelten. Dies kann das Blockieren des Zugriffs, die Anforderung einer Passwortänderung oder die Einleitung anderer sicherheitsrelevanter Maßnahmen umfassen.

Anmelderisiko-Richtlinie

Im Gegensatz zur Benutzerrisiko-Richtlinie fokussiert sich die Anmelderisiko-Richtlinie auf die Bewertung einzelner Anmeldevorgänge. Diese Richtlinie analysiert spezifische Faktoren wie die IP-Adresse, das verwendete Gerät oder den Standort und stuft die Sicherheit jeder Anmeldung entsprechend ein. Auch hier können zusätzliche Sicherheitsmaßnahmen wie MFA oder eine Passwortänderung erzwungen werden, um den Schutz des Systems zu gewährleisten. Diese Maßnahme hilft, verdächtige oder unautorisierte Anmeldungen sofort zu erkennen und darauf zu reagieren.

MFA-Registrierungsrichtlinie

Die MFA-Registrierungsrichtlinie zielt darauf ab, die Registrierung und Nutzung der Multi-Faktor-Authentifizierung in einer Organisation zu steuern und zu erzwingen. Administratoren können Anforderungen definieren, unter welchen Bedingungen Benutzer sich für MFA registrieren müssen. Dies trägt dazu bei, die Sicherheit der Benutzerkonten erheblich zu verbessern, indem verhindert wird, dass kompromittierte Anmeldeinformationen allein ausreichen, um auf sensible Ressourcen zuzugreifen. Diese Richtlinie ist besonders effektiv, um sicherzustellen, dass sich Benutzer, die ein erhöhtes Risiko aufweisen, wie etwa die Anmeldung von einem unbekannten Gerät oder Standort, zwingend für MFA registrieren müssen.

Die einzelnen Einstellungen der Richtlinien sollten allerdings nicht mehr über „Benutzerrisiko-Richtlinie“, „Anmelderisiko-Richtlinie“ und „MFA-Registrierungsrichtlinie“ erfolgen, sondern direkt innerhalb einer neuen Richtlinie bei „Bedingter Zugriff“ (Conditional Access).

 Entra ID Protection nutzen

Risiken für Benutzerkonten in Microsoft Entra ID erkennen

Im Dashboard von Entra ID Protection lassen sich alle entdeckten Angriffe sowie die Benutzerkonten anzeigen, die durch diese Maßnahmen geschützt werden. Über eine eigene Schaltfläche können Administratoren Benutzer mit erhöhtem Risiko anzeigen und bei Bedarf manuell eingreifen. Mit der Schaltfläche „Benutzer als sicher bestätigen“ lässt sich festlegen, dass ein Benutzerkonto als sicher gilt. Alternativ kann die Risikoanalyse zurückgesetzt werden, um eine erneute Bewertung durch Entra ID Protection auszulösen. Zusätzlich bietet das Dashboard umfassende Berichte zu den Sicherheitsereignissen, die durch die Richtlinien erfasst werden.

Integration von Richtlinien zum bedingten Zugriff

Ein weiteres zentrales Element der Sicherheitsarchitektur von Entra ID ist die Integration von Richtlinien zum bedingten Zugriff in Microsoft 365 und andere Entra-Ressourcen. Diese Richtlinien lassen sich mit externen MDM-Systemen wie Microsoft Intune kombinieren, um eine umfassende Sicherheitsstrategie zu implementieren. Geräte, die nicht den vorgegebenen Sicherheitsanforderungen entsprechen, können automatisch den Zugriff auf bestimmte Ressourcen verweigern. Dies gilt nicht nur für Windows-Geräte, sondern auch für Geräte mit iOS/iPadOS, Android, macOS und Linux. Durch die enge Verzahnung von Conditional Access mit Entra ID Identity Governance und den verschiedenen Zugriffspaketen stellen Unternehmen sicher, dass nur konforme Geräte und Benutzer auf Unternehmensressourcen zugreifen.

Die Richtlinienerstellung erfolgt über das Entra Admin Center. Über die Funktion „Neue Richtlinien“ definieren Administratoren spezifische Regeln, die das Anmeldeverhalten von Benutzern kontrollieren. Sie haben dabei die Möglichkeit, festzulegen, welche Bedingungen erfüllt sein müssen, damit ein Benutzer Zugriff auf Ressourcen erhält. Dies umfasst die Definition vertrauenswürdiger IP-Adressen und -Bereiche, die als sichere Standorte für Anmeldungen gelten. Außerdem können Administratoren festlegen, welche Geräteplattformen oder Benutzergruppen von den Richtlinien betroffen sind.

Über den Menüpunkt „Anmeldeprotokolle“ überwachen Administratoren das Anmeldeverhalten von Benutzern. Hier lassen sich genaue Informationen über

• Anmeldezeitpunkte,
• genutzte IP-Adressen,
• den Anmeldestandort und
• die Verwendung von MFA abrufen.

Auch fehlgeschlagene Anmeldeversuche, die auf potenzielle Cyberangriffe hindeuten könnten, werden hier sichtbar.

Entra ID nutzt eine Vielzahl von Signalen, um den Zugriff zu steuern. Conditional Access-Richtlinien lassen sich auf Benutzer, Geräte und Anwendungen anwenden. Unternehmen können IP-Bereiche festlegen, um bestimmte geografische Regionen zu blockieren oder den Zugriff zuzulassen. Außerdem lassen sich Anmeldungen von nicht konformen Geräten blockieren, die die Anforderungen an Sicherheit und Konformität nicht erfüllen. Diese umfassenden Mechanismen ermöglichen es Unternehmen, die Sicherheit ihrer Ressourcen zu gewährleisten und Angriffe proaktiv zu verhindern.

Fazit

Zusammengefasst bietet Conditional Access in Entra ID Premium P2 eine leistungsfähige und flexible Möglichkeit, Anmeldeversuche und Zugriffe zu kontrollieren. Durch die Integration von maschinellem Lernen, Expertenwissen und benutzerdefinierten Signalen ermöglicht es Unternehmen, auf Bedrohungen gezielt zu reagieren und den Zugriff auf Ressourcen optimal abzusichern. Die enge Verzahnung mit Entra ID Identity Protection und Microsoft 365 sorgt dafür, dass Sicherheitsrisiken frühzeitig erkannt und adressiert werden.