Microsoft Azure AD – Bedingter Zugriff mit Hilfe von AD Richtlinien

Wenn Benutzer aus fernen Ländern, von unsicheren Geräten oder Netzwerken, über seltsame Browser wie TOR usw. arbeiten, können / sollten wir durch Azure AD Richtlinien Regeln des Zugriffs konfigurieren.

Voraussetzungen

Es gibt Azure AD BASIS Richtlinien und STANDARD Richtlinien

BASIS –> kaum anpassbar und benötigt keine weitere Azure AD Lizenz

STANDARD –> Anpassbare Richtlinien, die eine Azure AD Prem I Lizenz benötigen

Bei selbsterstellten Richtlinien (STANDARD) benötigen wir eine Azure AD Prem I Lizenz. Sollten wir in einer Richtlinie ein Feature für Azure AD PIM Verwaltung aktivieren, benötigen wir eine Azure AD Prem II Lizenz.

Ziel der Azure AD Richtlinien

If this happens Then do this

Die Formel

Unsere Bedingungen

WER (Benutzer und Gruppen) versucht WAS (Zugriff auf das Portal/App) WIE (also von wo und mit was).

Unser auszuführendes Ereignis

Blocken oder mit oder ohne Auflagen (MFA) Zugriff gewähren.

Der Ablauf

  1. Prem Lizenzen aktivieren und warten bis das AD den Premium Status erkannt hat
  2. Benutzer mit einem Nutzungsstandort konfigurieren und eine Lizenz (Prem I) zuweisen
    • Optional: Eine Testgruppe erstellen und den / die Benutzer dort ablegen
    • PW Änderung auf der Seite https://MyApps.Microsoft.com durchführen
    • Wieder abmelden aber den Browser nicht schließen
  1. Bedingte Richtlinien öffnen und eine neue Richtlinie erstellen

Beispiel:

Eine Gruppe / Benutzer öffnet eine Cloud App und Azure AD verlangt MFA.
Für unseren Test nutzen wir den Benutzer / eine Gruppe mit dem Benutzer und verlangen bei einer Cloud App die MFA Authentifizierung.
Einfach dem Assistenten in der GUI folgen, es ist keine schwierige Aufgabe.

  1. Den Benutzer an https://MyApps.Microsoft.com erneut anmelden lassen.

Nach der Authentifizierung sollte der MFA Setup Prozess starten
Hier hoffe ich, dass ihr den bereits kennt 😊

  1. Optional: Weitere Richtlinien überlegen bzw. die Azure AD Objekte in einer möglichen Richtlinie konfigurieren.

Zum Beispiel: Standorte, Geräte …

Viel Erfolg

Andre Büddemann (ADN Azure MCT)
Bei Fragen: Andre.Bueddemann@ADN.de

www.adn.de/akademie

Links zum Thema

Doku https://docs.microsoft.com/de-de/azure/active-directory/conditional-access/plan-conditional-access

Schnellstart https://docs.microsoft.com/de-de/azure/active-directory/conditional-access/app-based-mfa

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.