Bedingter Zugriff (Conditional Access)
Kontextabhängige Zugriffsrichtlinien helfen Unternehmen, sich besser gegen Zugriffsversuche von Angreifern zu schützen, ohne die Benutzerfreundlichkeit für die eigenen Benutzer zu beeinträchtigen. Dazu werden bei der Anmeldung weitere Faktoren wie Gerät und Standort des Benutzers, IP-Adresse und Zugriffszeit überprüft. Nur wenn diese die in den Zugriffsrichtlinien festgelegten Kriterien erfüllen, wird der Zugriff gewährt. Da die Zugriffsentscheidungen automatisiert getroffen werden, ist ein Eingreifen eines Administrators nicht erforderlich.
Mit der „Conditional Access“-Funktion von ADSelfService Plus können Sie kontextabhängige Zugriffskontrollen festlegen, um sicherzustellen, dass nur autorisierte Benutzer Zugang zu Workstations, Anwendungen oder bestimmten Funktionen von ADSelfService haben.
Was ist bedingter Zugriff? (Conditional Access)
Beim bedingten Zugriff werden eine Reihe von Regeln festgelegt, die verschiedene Risikofaktoren analysieren, wie die IP-Adresse und Zugriffszeit sowie das Gerät und den Standort des Benutzers. Auf Grundlage dieser Risikofaktoren wird dann in Echtzeit eine automatische Entscheidung zur Zugriffskontrolle getroffen. Auf diese Weise lassen sich unnötig strenge Sicherheitsmaßnahmen in Szenarien mit geringem Risiko vermeiden, beispielsweise wenn sich ein Mitarbeiter innerhalb des Bürogebäudes anmeldet. Dies ermöglicht eine hohe Benutzerfreundlichkeit, ohne die Sicherheit zu beeinträchtigen.
Das Konzept des Conditional Access eignet sich vor allem für folgende Szenarien:
- Erzwingen Sie eine Multi-Faktor-Verifizierung für privilegierte Benutzer.
- Schreiben Sie MFA für den externen Zugriff auf geschäftskritische Anwendungen für alle Mitarbeiter vor.
- Blockieren Sie den Zugriff auf risikoreiche Aktionen wie Passwort-Resets von nicht vertrauenswürdigen IPs oder unbekannten Geräten.
Wie funktioniert eine Conditional-Access-Richtlinie?
Der bedingte Zugriff in ADSelfService Plus basiert auf bestimmten Bedingungen und Kriterien, die zur Erstellung einer Regel für den bedingten Zugriff verwendet werden:
- Bedingungen
Mit Bedingung ist in diesem Zusammenhang ein benutzerbezogener Faktor gemeint. Sie können je nach Bedarf eine oder mehrere Bedingungen aktivieren. Mit ADSelfService Plus können Sie Bedingungen auf der Grundlage der folgenden Risikofaktoren konfigurieren:- IP-Adresse (vertrauenswürdig bzw. nicht vertrauenswürdig)
- Gerät (Gerätetyp und Betriebssystem)
- Geschäftszeiten (Geschäftszeiten / Nicht-Geschäftszeiten)
- Geolokalisierung (basierend auf dem Ursprung der Anfrage)
- Kriterien
Sobald Sie die Bedingungen auf Basis Ihrer Anforderungen festgelegt haben, können Siediese mit den Operatoren wie „AND“ („UND“), „OR“ („ODER“) oder „NOT“ („NICHT“) verknüpfen, um ein Kriterium zu formulieren. So bestimmen Sie, wie die verschiedenen Bedingungen bei der Zugriffsanfrage ausgewertet werden. - Zugriffsrichtlinie
Die Kriterien werden dann mit einer vorkonfigurierten Zugriffsrichtlinie verknüpft, die in ADSelfService Plus als Self-Service-Richtlinie bezeichnet wird. IT-Administratoren können Self-Service-Richtlinien erstellen und bestimmte Funktionen für Benutzer aktivieren, die zu bestimmten Domänen, Organisationseinheiten (OUs) und Gruppen gehören.
Sobald eine Regel für bedingten Zugriff erstellt wurde, passiert Folgendes:
- Ein Benutzer versucht, sich an seinem Computer anzumelden, oder versucht nach der Anmeldung, auf eine Anwendung oder eine der Self-Service-Funktionen in ADSelfService Plus zuzugreifen.
- Auf der Grundlage der vordefinierten Bedingungen werden Risikofaktoren wie die IP-Adresse des Benutzers, der Zeitpunkt des Zugriffs und die Geolokalisierung analysiert.
- Wenn die Daten die Bedingungen erfüllen, wird der Benutzer einer Self-Service-Richtlinie zugewiesen, die eine der folgenden Aktionen ermöglicht:
- Vollständiger Zugriff auf den Domänen-Account und dessen Funktionen
- Sicherer Zugriff nach MFA
- Eingeschränkter Zugriff auf bestimmte Funktionen
- Wenn der Benutzer keine der konfigurierten Regeln für den bedingten Zugriff erfüllt, wird der Zugriff blockiert und eine Self-Service-Richtlinie auf der Grundlage der Gruppe oder OU des Benutzers angewendet.
Weitere Details zur Erstellung von Regeln für den bedingten Zugriff finden Sie in den englischen Leitfäden zur Self-Service-Richtlinie und zur Konfiguration des Conditional Access.