Intune Conditional Access – sicher zugreifen auf Office 365

Beitrag teilen

Ist Office 365 denn nicht ohnehin abgesichert? Wozu zusätzlich Conditional Access und MFA?

Früher wurden richtige Festungen gebaut, mit VPN und Firewalls gesichert, aber in Zeiten der Cloud bringen diese klassischen Sicherheitsmechnismen nicht mehr die nötige Absicherung, da ja auch die Daten und Apps nicht mehr vor Ort liegen.

Jedes Unternehmen, das seine Mails oder andere Daten in die Office 365 Cloud bringt, sollte diese auch mit Enterprise Mobility + Security schützen.

Der Conditional Access, zu Deutsch „bedingter Zugriff“, ist eine Maßnahme zum Schutz unternehmensinterner Dienste oder Ressourcen durch die Steuerung des Zugriffs auf diese. Die Authentifizierung wird abhängig vom Dienst, der erreicht werden soll, um zusätzliche Schritte erweitert. So lassen sich Conditional Access-Richtlinien vereinfacht als „wenn, dann…“-Aussagen beschreiben. 

Folgende Kriterien könnten in eine solche Bedingung einfließen:

  • Die Identität, mit der man sich anmelden möchte.
  • Der Standort, von dem die Anmeldung durchgeführt wird.
  • Das Gerät und dessen Zustand.
  • Die Anwendung, durch die man sich anmeldet.

Eine Richtlinie mit Bedingung könnte so aussehen: „Wenn ein Nutzer auf SharePoint Online zugreifen möchte, dann muss dieser eine Multi-Faktor-Authentifizierung durchführen, falls die Anmeldung nicht vom Firmenstandort (also von der eigenen öffentlichen IP-Adresse) durchgeführt wird.“

Diese Konfiguration würde bewirken, dass Benutzern, welche den Internetanschluss im Unternehmen nutzen, keine MFA-Aufforderung gesendet wird. Lediglich Anmeldungen von anderen öffentlichen IP-Adressen benötigen einen zweiten Faktor zur erfolgreichen Authentifizierung.

Azure Premium Plan 1 wird benötigt, um alle Conditional Access Features verwenden zu können.

Mit Azure Premium Plan 2 kann man zusätzlich noch Risk-Based Conditional Access verwenden. Das bedeutet, dass das aktuelle Anmelderisiko des jeweiligen Nutzers bewertet wird. 

Das Anmelderisiko wird für jeden Nutzer bei jeder Anmeldung berechnet – gestützt durch Machine Learning als Teil von Azure Identity Protection. Das System lernt bei jeder Authentifizierung dazu. „Von wo agiert der Nutzer normalerweise?“ oder „welche Dienste nutzt er normalerweise?“ – aus diesem Nutzungsverhalten wird ein typisches Muster erstellt. Weicht eine Anmeldung von dieser gelernten Norm ab, ist das Risiko für diese Anmeldung dementsprechend höher.

  •   verdächtige IP-Adressen, von denen wiederholt fehlgeschlagene Anmeldungen durchgeführt wurden 
  • unbekannte Standorte, von denen normalerweise keine Anmeldung erfolgt 
  • „Impossible Travel“, also mehrere Anmeldungen von verschiedenen Orten, die aufgrund der Entfernung zwischen den Orten nicht möglich sind

Führt man all das zusammen, könnte so eine beispielhafte Richtlinie aussehen: „Wennsich ein Nutzer innerhalb kurzer Zeit von zwei weit entfernten Standorten anmeldet, dann blockiere den Zugriff und gib diesen erst frei, sobald eine Anmeldung von einem bekannten Standort inklusive MFA durchgeführt wird.

Um den Einstieg in Conditional Access zu erleichtern und die Anwender mit den Auswirkungen vertraut zu machen, ist es natürlich möglich, den bedingten Zugriff ohne Risikobasierung einzuführen und im Anschluss auf Risk-based Access Control aufzustocken, sollten diese Features gewünscht sein. Ein weiterer Vorteil: Conditional Access ist bereits in Azure AD Premium P1 enthalten, während die Risikobewertung eine P2-Lizenz voraussetzt.

Um auf das Bild vom Anfang zurückzukommen: Conditional Access ist also keine starre Mauer um die schützenswerten Daten, sondern das Security-Team, das immer und überall die Personen und deren Ausweise kontrolliert.

Ich möchte mehr Infos

Nehmen Sie hier Kontakt zu uns auf

Weitere Beiträge

IT zum Fixpreis? So geht´s

Lernen Sie unsere Managed Services kennen und sparen Sie Geld und Nerven...

Intune Conditional Access – sicher zugreifen auf Office 365