Blockieren von Authentifizierungsflows mit einer Richtlinie für bedingten Zugriff

Übersicht

Die folgenden Schritte helfen Ihnen beim Erstellen von Richtlinien für den bedingten Zugriff, um einzuschränken, wie Gerätecodefluss und Authentifizierungsübertragung innerhalb Ihrer Organisation verwendet werden.

Richtlinien für den Gerätecodeflow

Wir empfehlen Organisationen, sich so weit wie möglich einer einseitigen Blockierung des Gerätecodeflows anzunähern. Erwägen Sie die Erstellung einer Richtlinie, um die vorhandene Verwendung des Gerätecodeflusses zu überwachen und festzustellen, ob sie noch erforderlich ist. Lassen Sie den Gerätecodefluss nur in gut dokumentierten und gesicherten Anwendungsfällen zu, z. B. legacy-Tools, die nicht aktualisiert werden können.

Für Organisationen, die keinen Gerätecodefluss verwenden, blockieren Sie ihn mit der folgenden Richtlinie für bedingten Zugriff:

1. Melden Sie sich im Microsoft Entra Admin Center als mindestens Conditional Access Administrator an.
2. Navigieren Sie zu Entra ID>Richtlinien für bedingten Zugriff>.
3. Wählen Sie "Neue Richtlinie" aus.
4. Wählen Sie unter AufgabenBenutzer oder Workload-Identitäten aus.
   1. Wählen Sie unter "Einschließen" die Benutzer aus, die in der Richtlinie enthalten sein sollen (alle empfohlenen Benutzer ).
   2. Unter "Ausschließen":
      1. Wählen Sie Benutzer und Gruppen aus, sowie die Notfallzugriffs- oder Break-glass-Konten Ihrer Organisation und andere erforderliche Benutzer. Diese Ausschlussliste regelmäßig überwachen.
5. Wählen Sie unter "Zielressourcen">"Ressourcen (ehemals Cloud-Apps)">"einschließen", die Apps aus, die Sie in den Anwendungsbereich der Richtlinie einbeziehen möchten (alle Ressourcen (früher "Alle Cloud-Apps") empfohlen).
6. Legen Sie unter Bedingungen>Authentifizierungsflüsse " Konfigurieren" auf "Ja" fest.
   1. Wählen Sie den Gerätecodefluss aus.
   2. Wählen Sie "Fertig" aus.
7. Unter Zugriffskontrollen>Grant, select Block access.
   1. Wählen Sie Auswählen aus.
8. Bestätigen Sie Ihre Einstellungen, und legen Sie "Richtlinie aktivieren" auf 'Nur Bericht' fest.
9. Wählen Sie Erstellen aus, um die Richtlinie zu aktivieren.

Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder Nur-Berichtsmodus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren" von "Nur-Bericht" auf "Ein".

Richtlinien für die Authentifizierungsübertragung

Verwenden Sie die Bedingung "Authentifizierungsflüsse " im bedingten Zugriff, um das Feature zu verwalten. Blockieren Sie die Authentifizierungsübertragung , wenn Sie nicht möchten, dass Benutzer die Authentifizierung von ihrem PC auf ein mobiles Gerät übertragen. Blockieren Sie beispielsweise die Authentifizierungsübertragung, wenn Sie nicht zulassen, dass Outlook auf persönlichen Geräten von bestimmten Gruppen verwendet werden. Verwenden Sie die folgende Richtlinie für bedingten Zugriff, um die Authentifizierungsübertragung zu blockieren:

1. Melden Sie sich im Microsoft Entra Admin Center als mindestens Conditional Access Administrator an.
2. Navigieren Sie zu Entra ID>Richtlinien für bedingten Zugriff>.
3. Wählen Sie "Neue Richtlinie" aus.
4. Wählen Sie unter AufgabenBenutzer oder Workload-Identitäten aus.
   1. Wählen Sie unter "Einschließen" "Alle Benutzer oder Benutzergruppen" aus, die Sie für die Authentifizierungsübertragung blockieren möchten.
   2. Unter "Ausschließen":
      1. Wählen Sie Benutzer und Gruppen aus, sowie die Notfallzugriffs- oder Break-glass-Konten Ihrer Organisation und andere erforderliche Benutzer. Diese Ausschlussliste regelmäßig überwachen.
5. Wählen Sie unter Zielressourcen>Ressourcen (vormals Cloud-Apps)>Einbeziehen, Alle Ressourcen (früher 'Alle Cloud-Apps') oder Apps aus, die Sie für die Authentifizierungsübertragung blockieren möchten.
6. Legen Sie unter Bedingungen>Authentifizierungsflüsse "Konfigurieren" auf "Ja" fest.
   1. Wählen Sie die Authentifizierungsübertragung aus.
   2. Wählen Sie "Fertig" aus.
7. Unter Zugriffskontrollen>Grant, select Block access.
   1. Wählen Sie Auswählen aus.
8. Bestätigen Sie Ihre Einstellungen, und legen Sie " Richtlinie aktivieren" auf "Aktiviert" fest.
9. Wählen Sie Erstellen aus, um die Richtlinie zu aktivieren.

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools. Es wird empfohlen, die folgenden Konten aus Ihren Richtlinien auszuschließen:

• Notfallzugriffskonten oder Notfallkonten zum Verhindern einer Sperrung aufgrund von falsch konfigurierten Richtlinien. In dem unwahrscheinlichen Szenario, in dem alle Administratoren gesperrt sind, kann Ihr Administratorkonto für den Notfallzugriff verwendet werden, um sich anzumelden und den Zugriff wiederherzustellen.
  • Weitere Informationen finden Sie im Artikel Manage-Notfallzugriffskonten in Microsoft Entra ID.
• Service-Konten und Diensteprinzipale, wie das Synchronisierungskonto von Microsoft Entra Connect. Dienstkonten sind nichtinteraktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden in der Regel von Back-End-Diensten verwendet, um programmgesteuerten Zugriff auf Anwendungen zu ermöglichen, aber sie werden auch verwendet, um sich für administrative Zwecke bei Systemen anzumelden. Anrufe von Dienstprinzipalen werden nicht durch Richtlinien für bedingten Zugriff blockiert, die auf Benutzer angewendet werden. Verwenden Sie bedingten Zugriff für Arbeitsauslastungsidentitäten, um Richtlinien zu definieren, die auf Dienstprinzipale abzielen.
  • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, ersetzen Sie sie durch verwaltete Identitäten.

Zugehöriger Inhalt

• Bedingter Zugriff: Authentifizierungsflüsse
• Bedingter Zugriff: Authentifizierungsübertragung
• Bedingter Zugriff: Bedingungen