Richtlinienvorlagen für bedingten Zugriff

Vorlagen für bedingten Zugriff ermöglichen eine praktische Methode zum Bereitstellen neuer Richtlinien, die den Empfehlungen von Microsoft folgen. Diese Vorlagen sind so konzipiert, dass sie unter Berücksichtigung häufig verwendeter Richtlinien für verschiedene Kundentypen und Standorte maximalen Schutz bieten.

Screenshot: Richtlinien für bedingten Zugriff und entsprechende Vorlagen im Microsoft Entra Admin Center.

Vorlagenkategorien

Vorlagen für Richtlinien für bedingten Zugriff sind in die folgenden Kategorien unterteilt:

Microsoft empfiehlt diese Richtlinien als Basis für alle Organisationen. Es wird empfohlen, diese Richtlinien als Gruppe bereitzustellen.

Suchen Sie diese Vorlagen unter Microsoft Entra Admin Center>Schutz>Bedingter Zugriff>Erstellen einer neuen Richtlinie aus Vorlagen. Wählen Sie Mehr anzeigen aus, um alle Richtlinienvorlagen in jeder Kategorie anzuzeigen.

Screenshot: Erstellen einer Richtlinie für bedingten Zugriff aus einer vorkonfigurierten Vorlage im Microsoft Entra Admin Center.

Wichtig

Richtlinien einer Vorlage für bedingten Zugriff schließen nur den Benutzer aus, der die Richtlinie erstellt. Wenn Ihre Organisation andere Konten ausschließen muss, können Sie die Richtlinie nach der Erstellung ändern. Sie finden diese Richtlinien unter Microsoft Entra Admin Center>Schutz>Bedingter Zugriff>Richtlinien. Wählen Sie eine Richtlinie aus, um den Editor zu öffnen, und ändern Sie die ausgeschlossenen Benutzer*innen und Gruppen, um Konten auszuwählen, die Sie ausschließen möchten.

Standardmäßig wird jede Richtlinie im Modus „Nur Bericht“ erstellt. Wir empfehlen Organisationen, die Nutzung zu testen und zu überwachen, um vor dem Aktivieren der einzelnen Richtlinien das beabsichtigte Ergebnis sicherzustellen.

Organisationen können einzelne Richtlinienvorlagen auswählen und folgende Aktionen ausführen:

  • Anzeigen einer Zusammenfassung der Richtlinieneinstellungen
  • Bearbeiten zum Anpassen basierend auf Organisationsanforderungen
  • Exportieren der JSON-Definition zur Verwendung in programmgesteuerten Workflows
    • Diese JSON-Definitionen können bearbeitet und dann auf der Hauptseite der Richtlinien für bedingten Zugriff mithilfe der Option Richtliniendatei hochladen importiert werden.

Andere allgemeine Richtlinien

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:

  • Notfallzugriffs - oder Unterbrechungsglaskonten , um die Sperrung aufgrund von Richtlinienfehlern zu verhindern. Im unwahrscheinlichen Szenario sind alle Administratoren gesperrt, ihr Administratorkonto für den Notfallzugriff kann verwendet werden, um sich anzumelden und Schritte zum Wiederherstellen des Zugriffs auszuführen.
  • Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
    • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie in Betracht ziehen, diese durch verwaltete Identitäten zu ersetzen.

Nächste Schritte