Aktivieren der konformen Netzwerküberprüfung mit bedingtem Zugriff

  • Artikel

Organisationen, die den bedingten Zugriff zusammen mit dem globalen sicheren Zugriff verwenden, können böswilligen Zugriff auf Microsoft-Apps, SaaS-Apps von Drittanbietern und private Branchen-Apps (LoB) mithilfe mehrerer Bedingungen verhindern, um einen umfassenden Schutz zu ermöglichen. Diese Bedingungen können Gerätekonformität, Speicherort und mehr umfassen, um Schutz vor Benutzeridentitäts- oder Token-Diebstahl zu bieten. Mit „globaler sicherer Zugriff“ wird das Konzept eines konformen Netzwerks innerhalb des bedingten Zugriffs von Microsoft Entra ID eingeführt. Mit dieser konformen Netzwerkprüfung wird sichergestellt, dass Benutzer über ein verifiziertes Netzwerkkonnektivitätsmodell für ihren spezifischen Mandanten eine Verbindung herstellen und die von Administratoren erzwungenen Sicherheitsrichtlinien einhalten.

Mit dem Global Secure Access-Client, der auf Geräten oder im konfigurierten Remotenetzwerk installiert ist, können Administratoren Ressourcen hinter einem konformen Netzwerk mit erweiterten Kontrollen für bedingten Zugriff schützen. Dieses Feature für Netzwerkkonformität erleichtert Administratoren die Verwaltung von Zugriffsrichtlinien, weil keine Liste der ausgehenden IP-Adressen gepflegt werden muss. Dadurch muss der Datenverkehr nicht mehr über das VPN der Organisation laufen.

Erzwingen der Überprüfung der Netzwerkkonformität

Konforme Netzwerkdurchsetzung reduziert das Risiko von Tokendiebstahl/Replay-Angriffen. Die Durchsetzung konformer Netzwerke erfolgt auf der Authentifizierungsebene (allgemein verfügbar) und auf der Datenebene (Vorschau). Die Erzwingung auf Authentifizierungsebene erfolgt bei der Benutzerauthentifizierung durch Microsoft Entra ID. Wenn durch einen Angriff ein Sitzungstoken gestohlen wurde und versucht wird, diesen von einem Gerät aus abzuspielen, das nicht mit dem kompatiblen Netzwerk Ihrer Organisation verbunden ist (z.B. Anforderung eines Zugriffstokens mit einem gestohlenen Refresh-Token), wird Entra ID die Anforderung sofort verweigern und der weitere Zugriff wird blockiert. Die Durchsetzung der Datenebene funktioniert mit Diensten, die fortlaufende Zugriffsevaluierung (CAE) unterstützen – derzeit nur SharePoint Online. Bei Anwendungen, die CAE unterstützen, werden gestohlene Zugriffstoken, die außerhalb des kompatiblen Netzwerks Ihres Mandanten wiedergegeben werden, von der Anwendung nahezu in Echtzeit zurückgewiesen. Ohne CAE bleibt ein gestohlener Zugangstoken bis zu seiner vollen Lebensdauer erhalten (Standard 60–90 Minuten).

Diese konforme Netzwerkprüfung ist für jeden Mandanten spezifisch.

  • Mit dieser Überprüfung können Sie sicherstellen, dass andere Organisationen, welche die Global Secure Access-Dienste von Microsoft verwenden, nicht auf Ihre Ressourcen zugreifen können.
    • Beispiel: Contoso kann seine Dienste wie Exchange Online und SharePoint Online hinter der konformen Netzwerküberprüfung schützen, um sicherzustellen, dass nur Contoso-Benutzer auf diese Ressourcen zugreifen können.
    • Selbst wenn eine andere Organisation wie Fabrikam eine konforme Netzwerküberprüfung verwendet, besteht sie nicht die Überprüfung des konformen Netzwerks von Contoso.

Das konforme Netzwerk unterscheidet sich von IPv4-, IPv6- oder geografischen Standorten, die Sie in Microsoft Entra ID konfigurieren können. Administratoren müssen die IP-Adressen oder IP-Adressbereiche des konformen Netzwerks nicht überprüfen und verwalten, was den Sicherheitsstatus stärkt und den laufenden Verwaltungsaufwand minimiert.

Voraussetzungen

  • Administratoren, die Features des globalen sicheren Zugriffs verwenden, müssen abhängig von den durch sie ausgeführten Aufgaben über die folgenden Rollenzuweisungen verfügen.
  • Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
  • Zum Verwenden des Microsoft-Profils für die Datenverkehrsweiterleitung wird eine Microsoft 365 E3-Lizenz empfohlen.

Bekannte Einschränkungen

  • Die Erzwingung der Überprüfung der Netzwerkkonformität auf Datenebene (Vorschau) mithilfe des Features „fortlaufende Zugriffsevaluierung“ wird für SharePoint Online und Exchange Online unterstützt.
  • Das Aktivieren der Signale für den bedingten Zugriff von „globaler sicherer Zugriff“ aktiviert Signale sowohl auf Authentifizierungs- (Microsoft Entra ID) als auch auf Datenebene (Vorschau). Es ist derzeit nicht möglich, diese Einstellungen unabhängig voneinander zu aktivieren.
  • Die Überprüfung auf Netzwerkkonformität wird derzeit nicht für Anwendungen mit Microsoft Entra-Privatzugriff unterstützt.

Aktivieren der Signalisierung des globalen sicheren Zugriffs für bedingten Zugriff

Um die erforderliche Einstellung zum Zulassen der Netzwerkkonformitätsprüfung zu aktivieren, müssen Administratoren die folgenden Schritte ausführen.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
  2. Wechseln Sie zu Globaler sicherer Zugriff>Einstellungen>Sitzungsverwaltung>Adaptiver Zugriff.
  3. Klicken Sie auf den Umschalter Bedingte Zugriffssignale für Entra ID aktivieren (für alle Cloud-Apps). Dadurch werden automatisch Signale von „fortlaufende Zugriffsevaluierung“ für Office 365 (Vorschau) aktiviert.
  4. Browsen Sie zuSchutz>Bedingter Zugriff>Benannte Standorte.
    1. Stellen Sie sicher, dass Sie einen Speicherort namens Alle konformen Netzwerkadressen mit dem Speicherorttyp Netzwerkzugriff haben. Organisationen können diesen Speicherort optional als vertrauenswürdig markieren.

Screenshot der Umschaltfläche zur Aktivierung der Signalisierung im bedingten Zugriff

Achtung

Wenn Ihre Organisation über aktive Richtlinien für bedingten Zugriff verfügt, die auf konformen Netzwerküberprüfungen basieren, und Sie die Global Secure Access-Signalisierung im bedingten Zugriff deaktivieren, verhindern Sie möglicherweise unbeabsichtigt den Zugriff der Zielendbenutzer auf die Ressourcen. Wenn Sie dieses Feature deaktivieren müssen, löschen Sie zuerst alle entsprechenden Richtlinien für bedingten Zugriff.

Schützen Ihrer Ressourcen hinter dem kompatiblen Netzwerk

Die Richtlinie für bedingten Zugriff auf das konforme Netzwerk kann verwendet werden, um Ihre Microsoft- und Drittanbieteranwendungen zu schützen. Eine typische Richtlinie verfügt über eine Blockzuweisung für alle Netzwerkorte mit Ausnahme des konformen Netzwerks. Das folgende Beispiel veranschaulicht die Schritte zum Konfigurieren dieses Richtlinientyps:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
  2. Browsen Sie zu Schutz>Bedingter Zugriff.
  3. Wählen Sie Neue Richtlinie erstellen aus.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihrer Organisation aus.
  6. Wählen Sie unter Zielressourcen>Einschließen die Option Alle Cloud-Apps.
    1. Wenn Ihre Organisation Geräte bei Microsoft Intune registriert, sollten Sie die Anwendungen Microsoft Intune-Registrierung und Microsoft Intune aus Ihrer Richtlinie für bedingten Zugriff ausschließen, um eine zirkuläre Abhängigkeit zu vermeiden.
  7. Unter Netzwerk.
    1. Legen Sie Konfigurieren auf Ja fest.
    2. Wählen Sie unter Einschließen die Option Alle Standorte aus.
    3. Wählen Sie unter Ausschließen den Ort Alle konformen Netzwerkstandorte aus.
  8. Unter Zugriffssteuerungen:
    1. Erteilen, Zugriff blockieren auswählen, und Auswählen auswählen.
  9. Bestätigen Sie die Einstellungen und legen Sie Richtlinie aktivieren auf Ein fest.
  10. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Hinweis

Sie können Datenverkehrsprofile für den globalen sichern Zugriff zusammen mit einer Richtlinie für bedingten Zugriff verwenden. Dies erfordert ein konformes Netzwerk für Alle Cloud-Apps. Es ist kein Ausschluss erforderlich, wenn Sie eine Richtlinie mit dem Speicherort Alle konformen Netzwerkadressen und der Option Alle Cloud-Apps einrichten.

Die Authentifizierung der Datenverkehrsprofile von „globaler sicherer Zugriff“ wird automatisch von der Erzwingung des bedingten Zugriffs ausgeschlossen, wenn ein konformes Netzwerk erforderlich ist. Dieser Ausschluss ermöglicht es dem Client von „globaler sicherer Zugriff“, auf die erforderlichen Ressourcen zuzugreifen, um zu starten und den Benutzer zu authentifizieren.

Anmeldeereignisse zur Authentifizierung von ausgeschlossenen Datenverkehrsprofilen von „globaler sicherer Zugriff“ werden in den Anmeldeprotokollen von Microsoft Entra ID als „ZTNA-Netzwerkzugriffdatenverkehrsprofil“ angezeigt.

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:

  • Notfallzugriffs- oder Break-Glass-Konten, um eine mandantenweite Kontosperrung zu vermeiden. In dem unwahrscheinlichen Fall, dass alle Administrator*innen aus dem Mandanten ausgeschlossen sind, können Sie sich mit Ihrem Administratorkonto für den Notfallzugriff beim Mandanten anmelden und Maßnahmen ergreifen, um den Zugriff wiederherzustellen.
  • Dienstkonten und Dienstprinzipale, z. B. das Konto für die Microsoft Entra Connect-Synchronisierung. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Derartige Dienstkonten sollten ausgeschlossen werden, weil die MFA nicht programmgesteuert abgeschlossen werden kann. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
    • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie in Betracht ziehen, diese durch verwaltete Identitäten zu ersetzen. Als vorübergehende Problemumgehung können Sie diese spezifischen Konten aus der Basisrichtlinie ausschließen.

Testen Ihrer konformen Netzwerkrichtlinie

  1. Auf einem Endbenutzergerät, auf dem der Global Secure Access-Client installiert und ausgeführt wird, browsen Sie zu https://outlook.office.com/mail/ oder https://yourcompanyname.sharepoint.com/, und haben Sie Zugriff auf Ressourcen.
  2. Halten Sie den Global Secure Access-Client an, indem Sie in der Windows-Taskleiste mit der rechten Maustaste auf die Anwendung klicken und Pause auswählen.
  3. Navigieren Sie zu https://outlook.office.com/mail/ oder https://yourcompanyname.sharepoint.com/. Der Zugriff auf Ressourcen wird mit einer Fehlermeldung blockiert, die Folgendes sagt: Sie können im Moment nicht darauf zugreifen.

Screenshot der Fehlermeldung, die im Browser-Fenster erscheint: Sie können im Moment nicht darauf zugreifen.

Problembehandlung

Überprüfen Sie, ob der neue benannte Speicherort automatisch mit Microsoft Graph erstellt wurde.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Screenshot von den Ergebnissen der Abfrage in Graph Explorer

Nächste Schritte

Universelle Mandanteneinschränkungen