Tutorial: Anfordern der schrittweisen Authentifizierung (Authentifizierungskontext) bei riskanten Aktionen

Als IT-Administrator stecken Sie heute in der Zwickmühle. Sie möchten, dass Ihre Mitarbeiter produktiv sein können. Dies bedeutet, dass Sie Ihren Mitarbeitern den Zugriff auf Apps ermöglichen, damit Sie jederzeit und auf jedem Gerät arbeiten können. Dennoch möchten Sie die Ressourcen des Unternehmens schützen, einschließlich urheberrechtlich geschützter und vertraulicher Daten und Informationen. Wie können Sie den Mitarbeitern den Zugriff auf Ihre Cloud-Apps ermöglichen, während Ihre Daten gleichzeitig geschützt bleiben?

In diesem Tutorial können Sie Microsoft Entra Richtlinien für bedingten Zugriff neu bewerten, wenn Benutzer während einer Sitzung vertrauliche Aktionen ausführen.

Die Bedrohung

Ein Mitarbeiter, der von der Geschäftsstelle aus bei SharePoint Online angemeldet ist. Während derselben Sitzung wurde ihre IP-Adresse außerhalb des Unternehmensnetzwerks registriert. Vielleicht gingen sie in das Café unten, oder ihr Token wurde kompromittiert oder von einem böswilligen Angreifer gestohlen.

Die Lösung

Schützen Sie Ihre Organisation, indem Sie Microsoft Entra-Richtlinien für bedingten Zugriff während sensibler Sitzungsaktionen durch die App-Steuerung für bedingten Zugriff in Defender for Cloud Apps neu bewerten lassen.

Voraussetzungen

  • Eine gültige Lizenz für Microsoft Entra ID P1-Lizenz

  • Ihre Cloud-App, in diesem Fall SharePoint Online, konfiguriert als Microsoft Entra ID-App und verwendung von SSO über SAML 2.0 oder OpenID Connect

  • Stellen Sie sicher, dass die App für Defender for Cloud Apps bereitgestellt ist

Erstellen einer Richtlinie zum Erzwingen der schrittweisen Authentifizierung

Defender for Cloud Apps Sitzungsrichtlinien ermöglichen es Ihnen, eine Sitzung basierend auf dem Gerätezustand einzuschränken. Um die Steuerung einer Sitzung mithilfe des zugehörigen Geräts als Bedingung zu erreichen, erstellen Sie sowohl eine Richtlinie für bedingten Zugriff als auch eine Sitzungsrichtlinie.

So erstellen Sie Ihre Richtlinie:

  1. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung.

  2. Wählen Sie auf der Seite Richtlinien die Option Richtlinie erstellen gefolgt von Sitzungsrichtlinie aus.

  3. Geben Sie auf der Seite Sitzungsrichtlinie erstellen einen Namen und eine Beschreibung für Ihre Richtlinie ein. Beispiel: Mehrstufige Authentifizierung bei Downloads von SharePoint Online von nicht verwalteten Geräten anfordern.

  4. Weisen Sie einen Richtlinienschweregrad und eine Kategorie zu.

  5. Wählen Sie für den SitzungssteuerungstypAktivitäten blockieren, Datei-Upload steuern (mit Überprüfung), Datei-Download steuern (mit Überprüfung) aus.

  6. Wählen Sie unter Aktivitätsquelle im Abschnitt Aktivitäten, die mit allen folgenden Übereinstimmungen übereinstimmen, die Filter aus:

    • Gerätetag: Wählen Sie Ungleich aus, und wählen Sie dann Intune-kompatibel, Microsoft Entra hybrid-verbunden oder Gültiges Clientzertifikat aus. Ihre Auswahl hängt von der Methode ab, die in Ihrem organization zum Identifizieren verwalteter Geräte verwendet wird.

    • App: Wählen Sie Automatisiertes Azure AD-Onboarding und dann SharePoint Online aus der Liste aus.

    • Benutzer: Wählen Sie die Benutzer aus, die Sie überwachen möchten.

  7. Legen Sie unter Aktivitätsquelle im Abschnitt Dateien, die allen der folgenden Elemente entsprechen , die folgenden Filter fest:

    • Vertraulichkeitsbezeichnungen: Wenn Sie Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection verwenden, filtern Sie die Dateien basierend auf einer bestimmten Microsoft Purview Information Protection Vertraulichkeitsbezeichnung.

    • Wählen Sie Dateiname oder Dateityp aus, um Einschränkungen basierend auf dem Dateinamen oder Typ anzuwenden.

  8. Aktivieren Sie die Inhaltsüberprüfung , damit die interne DLP Ihre Dateien auf vertrauliche Inhalte überprüfen kann.

  9. Wählen Sie unter Aktionen die Option Step-up-Authentifizierung erforderlich aus.

  10. Legen Sie die Warnungen fest, die Sie erhalten möchten, wenn die Richtlinie zutrifft. Sie können einen Grenzwert festlegen, damit Sie nicht zu viele Warnungen erhalten. Wählen Sie aus, ob die Warnungen als E-Mail-Nachricht abgerufen werden sollen.

  11. Wählen Sie Erstellen aus.

Überprüfen Sie Ihre Richtlinie

  1. Um diese Richtlinie zu simulieren, melden Sie sich bei der App über ein nicht verwaltetes Gerät oder von einem Netzwerkstandort außerhalb des Unternehmensnetzwerks an. Versuchen Sie dann, eine Datei herunterzuladen.

  2. Sie müssen die in der Authentifizierungskontextrichtlinie konfigurierte Aktion ausführen.

  3. Navigieren Sie im Microsoft Defender-Portal unter Cloud-Apps zu Richtlinien ->Richtlinienverwaltung. Wählen Sie dann die Richtlinie aus, die Sie erstellt haben, um den Richtlinienbericht anzuzeigen. Eine Sitzungsrichtlinien-Übereinstimmung sollte in Kürze angezeigt werden.

  4. Im Richtlinienbericht können Sie sehen, welche Anmeldungen an Microsoft Defender for Cloud Apps für die Sitzungssteuerung umgeleitet wurden und welche Dateien von den überwachten Sitzungen heruntergeladen oder blockiert wurden.

Nächste Schritte

Erstellen einer Zugriffsrichtlinie

Erstellen einer Sitzungsrichtlinie

Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie ein Supportticket.