single.php
< Beitrag von Julian Blechschmidt

Conditional Access Intune

Was leistet der Conditional Access? Wie wird er eingerichtet? Und wie lässt er sich nutzen? Jenseits der Grenzen klassischer Netzwerke erfordern die wachsenden Möglichkeiten einer Cloud-Infrastruktur die Definition bedingter Zugriffe.

Die heutigen Möglichkeiten einer Cloud-Infrastruktur lösen die klassischen Grenzen von Netzwerken in einem Unternehmen auf. Früher mussten Administratoren in ihrer On-Premises-Infrastruktur die Netzwerksegmente aufwändig trennen, damit das Client-Netz auch auf die notwendigen Unternehmensressourcen zugreifen durfte. Aber solche physischen Trennungen gibt in der modernen Cloud-Umgebung nicht mehr. Die Betrachtung der jüngsten Entwicklungen in der IT-Branche zeigt:

  • Die Anbindung der Endgeräte wird immer benutzerfreundlicher.
  • Die Arbeitssituationen werden immer flexibler.
  • Unabhängig von dem Ort, an dem es sich befindet, kann jedes Endgerät kann auf sensible Unternehmensressourcen zugreifen.

Um auch bei solchen Szenarien den Überblick zu behalten und die Sicherheit zu gewährleisten, gibt es den sogenannten Conditional Access (bedingten Zugriff) – ein mächtiges Werkzeug, um sensible Daten zu schützen. Mithilfe des Conditional Access können Sie als Administrator den Zugriff auf Unternehmensressourcen kontrollieren, indem Sie Zugriffsregeln und -richtlinien definieren. Kurz gesagt: Mit dem Conditional Access steuern Sie, wer von wo und mit was, worauf zugreifen darf. Zum Einsatz kommt der Conditional Access bei den Produkten von Office 365 und bei Azure Active Directory SaaS Apps.

Richtlinien

Die Richtlinien für den Conditional Access entsprechen dem Schema „wenn das passiert, mache dies“. Es gibt einen bestimmten Grund für das Auslösen der Richtline. Beim Definieren einer neuen Richtlinie wird zwischen der Zuweisung und der Zugriffskontrolle separiert.

Conditional Access 1

Zuweisung

Unter Zuweisungen bestimmen Sie Benutzer und/oder Gruppen, Cloud-Apps und schließlich deren Bedingungen. Bei allen möglichen Zuweisungen entscheiden Sie, ob Sie die zu definierenden Elemente einschließen oder ausschließen wollen. Dies geschieht ganz einfach über die Reiter Einschließen und Ausschließen.

 

Zugriffskontrollen

Nachdem die Zuweisungen definiert sind, müssen Sie die Folgen der Tat beschreiben. Unter Gewähren geben Sie an,  ob der Zugriff geblockt oder zugelassen wird. Entweder Sie erlauben den Zugriff ohne Maßnahme oder nur in Verbindung mit einer Multi Faktor Authentifizierung (MFA).

Der Punkt Sitzung erfasst die Sitzungssteuerungselemente, die für eingeschränkte Interaktionsmöglichkeiten innerhalb einer Cloud-App sorgen. Standardmäßig werden hier vordefinierte Einschränkungen der App verwendet. Natürlich gibt es genügend Spielraum, um eigene Einschränkungen abzugrenzen.

Bedingungen

Hier gibt es weitere Einstellungsmöglichkeiten. Neben einer allgemeinen Anmelde-Risikobewertung definieren Sie die Einschränkung der Plattform (Win 10, iOS Android und Windows Phone) und des Standortes, die Client-Apps (Programme, die der Endanwender benötigt, um auf Cloud-Apps zuzugreifen, z. B. Browser) und zum Schluss den Gerätezustand, der nur unternehmenskonforme Geräte erlaubt.

Beispiel einer Conditional Access Richtlinie

Die Conditional Access Richtlinie wird auf eine Benutzergruppe angewandt: Wenn die Gruppe „IT-Consultants“ auf eine CRM-App zugreifen möchte, wird der Zugriff in Abhängigkeit des aktuellen Gerätestandorts auf 2 verschiedene Arten gesteuert. Dabei ist der Gerätestandort nicht als geografischer Standort zu verstehen; es handelt sich hierbei um einen bestimmten IP-Adressbereich.

Wenn der Benutzer sich nun vom Unternehmen aus am Gerät anmeldet und auf die CRM-App zugreifen will, dann funktioniert dies ohne eine zusätzliche Anmeldeaufforderung. Geräte im Unternehmensnetzwerk bzw. Geräte, die sich in einer vorher definierten IP-Range befinden, benötigen keine weiteren Authentifizierungen und dürfen SSO nutzen. Ob der Zugriff nun blockiert oder wie in diesem Beispiel gewährt wird, bestimmt man unter dem Punkt Zugriffskontrollen.

Wenn sich das Gerät außerhalb dieses Netzwerkes befindet, z. B. im öffentlichen Netz oder in einer nicht akzeptierten IP-Range, dann müssen sich die User per MFA authentifizieren. Diese Authentifizierung erhöht die Sicherheit für externe Zugriffe auf Unternehmensdaten erheblich. Dennoch greift diese Regel nur in notwendigen Situationen ein. Arbeiten die Mitarbeiter im Unternehmen, gibt es für Sie keine Unterbrechungen durch Authentifikationsmeldungen.

Lizenz

Um den Conditional Access in Ihrem Azure AD nutzen zu können, müssen Sie die Premium Features von Azure einkaufen. Mindestens der Premium P1 Plan ist für den Einsatz des bedingten Zugriffs notwendig. Damit erhalten Sie den bedingten Zugriff auf Gruppen, Standorte und den Gerätestatus. Diese Features sind selbstverständlich auch enthalten im größeren Premium P2 Plan.

 

 

 

Folgen
X

Folgen

E-mail : *
Kategorie: Cloud, IT-Security | Schlagwörter: , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.