Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Übersicht
Vorlagen für bedingten Zugriff ermöglichen eine praktische Methode zum Bereitstellen neuer Richtlinien, die den Empfehlungen von Microsoft folgen. Diese Vorlagen sind so konzipiert, dass sie unter Berücksichtigung häufig verwendeter Richtlinien für verschiedene Kundentypen und Standorte maximalen Schutz bieten.
Vorlagenkategorien
Vorlagen für Richtlinien für bedingten Zugriff sind in die folgenden Kategorien unterteilt:
Microsoft empfiehlt diese Richtlinien als Basis für alle Organisationen. Stellen Sie diese Richtlinien als Gruppe bereit.
- Mehrstufige Authentifizierung für Administratoren erforderlich
- Registrierung von Sicherheitsinformationen sichern
- Block legacy Authentifizierung
- Erfordern der mehrstufigen Authentifizierung für Administratoren, die auf Microsoft-Administratorportale zugreifen
- Mehrstufige Authentifizierung für alle Benutzer erforderlich
- Mehrstufige Authentifizierung für Azure-Verwaltung erforderlich
- Erfordern ein kompatibles oder mit Microsoft Entra hybrid verbundenes Gerät oder Mehrfaktor-Authentifizierung für alle Benutzer
- Erfordern eines kompatiblen Geräts
Suchen Sie diese Vorlagen im Microsoft Entra Admin Center>Entra ID>Conditional Access>Neue Richtlinie aus Vorlagen erstellen. Wählen Sie "Mehr anzeigen " aus, um alle Richtlinienvorlagen in jeder Kategorie anzuzeigen.
Wichtig
Vorlagenrichtlinien für bedingten Zugriff, die auf Benutzer abzielen, schließen nur den Benutzer aus, der die Richtlinie aus der Vorlage erstellt. Wenn Ihre Organisation andere Konten ausschließen muss, ändern Sie die Richtlinie nach der Erstellung. Sie finden diese Richtlinien im Microsoft Entra Admin Center>Entra ID>Richtlinien für>. Wählen Sie eine Richtlinie aus, um den Editor zu öffnen, und ändern Sie die ausgeschlossenen Benutzer*innen und Gruppen, um Konten auszuwählen, die Sie ausschließen möchten.
Standardmäßig wird jede Richtlinie im reinen Berichtsmodus erstellt. Testen und überwachen Sie die Verwendung, um das beabsichtigte Ergebnis sicherzustellen, bevor Sie jede Richtlinie aktivieren.
Organisationen können einzelne Richtlinienvorlagen auswählen und folgende Aktionen ausführen:
- Anzeigen einer Zusammenfassung der Richtlinieneinstellungen
- Bearbeiten zum Anpassen basierend auf Organisationsanforderungen
- Exportieren der JSON-Definition zur Verwendung in programmgesteuerten Workflows
- Diese JSON-Definitionen können bearbeitet und dann auf der Hauptseite für den bedingten Zugriff mithilfe der Option "Richtlinie hochladen" importiert werden.
Andere allgemeine Richtlinien
- Mehrstufige Authentifizierung für die Geräteregistrierung erforderlich
- Zugriff nach Standort blockieren
- Zugriff mit Ausnahme bestimmter Apps blockieren
Ausschluss von Benutzern
Richtlinien für bedingten Zugriff sind leistungsstarke Tools. Es wird empfohlen, die folgenden Konten aus Ihren Richtlinien auszuschließen:
-
Notfallzugriffskonten oder Notfallkonten zum Verhindern einer Sperrung aufgrund von falsch konfigurierten Richtlinien. In dem unwahrscheinlichen Szenario, in dem alle Administratoren gesperrt sind, kann Ihr Administratorkonto für den Notfallzugriff verwendet werden, um sich anzumelden und den Zugriff wiederherzustellen.
- Weitere Informationen finden Sie im Artikel "Verwalten von Notfallzugriffskonten in Microsoft Entra ID".
-
Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nichtinteraktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden in der Regel von Back-End-Diensten verwendet, um programmgesteuerten Zugriff auf Anwendungen zu ermöglichen, aber sie werden auch verwendet, um sich für administrative Zwecke bei Systemen anzumelden. Anrufe von Dienstprinzipalen werden nicht durch Richtlinien für bedingten Zugriff blockiert, die auf Benutzer angewendet werden. Verwenden Sie bedingten Zugriff für Arbeitsauslastungsidentitäten, um Richtlinien zu definieren, die auf Dienstprinzipale abzielen.
- Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, ersetzen Sie sie durch verwaltete Identitäten.
Migrieren von klassischen Richtlinien
Klassische Richtlinien für bedingten Zugriff sind veraltet und werden nach dem 10. Juli 2024 nicht mehr erzwungen. Sie hängen vom eingestellten Azure AD Graph-Dienst ab und können Ihre Ressourcen nicht schützen. Wenn Ihr Mandant weiterhin über klassische Richtlinien verfügt, migrieren Sie ihre Einstellungen zu modernen Richtlinien für bedingten Zugriff.
Warning
Nachdem Sie eine klassische Richtlinie deaktiviert haben, können Sie sie nicht erneut aktivieren. Dokumentieren Sie die Einstellungen der Richtlinie, bevor Sie sie deaktivieren.
So migrieren Sie eine klassische Richtlinie
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Wechseln Sie zu Entra ID>Bedingter Zugriff>Klassische Richtlinien.
- Wählen Sie eine klassische Richtlinie aus, und dokumentieren Sie deren Konfigurationseinstellungen.
- Erstellen Sie die Einstellungen mithilfe einer Vorlage oder einer benutzerdefinierten Richtlinie, die weiter oben in diesem Artikel beschrieben wurde, neu. Testen Sie die neue Richtlinie im Modus "Nur Bericht" , bevor Sie sie aktivieren.
- Kehren Sie zur klassischen Richtlinie zurück, und wählen Sie "Deaktivieren" aus.
Das Tool What If gibt an, ob klassische Richtlinien weiterhin in Ihrer Umgebung vorhanden sind.