Automatisierte Zugriffsentscheidungen dank des bedingten Zugriffs
Zuhause »

Automatisierte Zugriffsentscheidungen dank des bedingten Zugriffs

Die Remote-Arbeit hat sich für Organisationen und Mitarbeiter gleichermaßen als vorteilhaft herausgestellt und ist aus der modernen Arbeitswelt nicht mehr wegzudenken. Doch Remote-Benutzer sind anfälliger für Cyberangriffe, weshalb strenge Sicherheitsmaßnahmen wie die Multifaktor-Authentifizierung (MFA) durchgesetzt werden müssen, da sonst Datenlecks drohen. Allerdings können sich strenge, organisationsweite Richtlinien wie die MFA auch negativ auf die Benutzererfahrung auswirken. Während Remote-Anmeldungen durch die Zwei- oder Drei-Faktor-Authentifizierung effektiv geschützt werden kann, macht diese für On-Premise-Benutzer im sicheren Büro nur unnötig Umstände. Ein effizienterer Ansatz ist die Anwendung von Zugriffsrichtlinien nach Kontext. Die bedingte Zugriffssteuerung in ADSelfService Plus hilft Ihnen dabei. Organisationen können damit:

  • Zugriffskontrollen implementieren, bei denen IT-Admins nicht eingreifen müssen.
  • Die Sicherheitsabwehr verbessern, ohne Abstriche bei der Benutzererfahrung zu machen.

Was versteht man unter bedingtem Zugriff?

Der bedingte Zugriff implementiert eine Reihe von Regeln, die verschiedene Risikofaktoren analysieren (wie IP-Adresse, Zugriffszeit, Gerät und Geostandort des Benutzers), um Entscheidungen der automatisierten Zugriffskontrolle durchzusetzen. In Abhängigkeit von Risikofaktoren der Benutzer werden die Entscheidungen in Echtzeit implementiert, damit keine unnötig strengen Sicherheitsmaßnahmen greifen, wenn in einem Szenario kein Risiko besteht. So wird die Benutzererfahrung bei gleichbleibender Sicherheit verbessert.

Hier einige der häufigsten Szenarien und der entsprechenden Sicherheitsmaßnahmen, bei denen Ihnen der bedingte Zugriff zugutekommt:

  • MFA für berechtigte Benutzer vorschreiben.
  • MFA für Off-Site-Zugriff auf geschäftskritische Anwendungen bei allen Mitarbeitern vorschreiben.
  • Zugriff auf Aktionen mit hohem Risiko, wie Passwortzurücksetzungsanfragen, für nicht vertrauenswürdige IPs und unbekannte Geräte sperren.

Wie funktionieren bedingte Zugriffsrichtlinien?

Bevor wir uns mit dem bedingten Zugriff beschäftigen, sehen wir uns zunächst die Grundlagen bei der Erstellung einer bedingten Zugriffsregel an:

  1. Bedingungen

    Schließt die Liste mit allen Faktoren ein, auf denen die Sicherheit Ihrer ganzen Organisation fußt. ADSelfService Plus ermöglicht Ihnen, Bedingungen abhängig von den folgenden Risikofaktoren zu konfigurieren:

    • IP-Adresse (vertrauenswürdig oder nicht)
    • Gerät (Gerätetyp und Plattform)
    • Geschäftszeiten (während der Geschäftszeiten oder außerhalb)
    • Geostandort (des Ursprungs der Anfrage)
  2. Kriterien

    Nach dem Konfigurieren der Bedingungen können Sie Kriterien mit verschiedenen Operatoren entwerfen, wie AND, OR und NOT. Diese Kriterien werden dann mit der Zugriffsrichtlinie verknüpft.

  3. Zugriffsrichtlinie

    Die Kriterien werden mit der zuvor konfigurierten Zugriffsrichtlinie verknüpft, die in ADSelfService Plus als SB-Richtlinie bezeichnet wird. IT-Administratoren können SB-Richtlinien erstellen und dabei Funktionen nur für Benutzer aktivieren, die zu bestimmten Domänen, Organisationseinheiten (OEs) und Gruppen gehören.

Weitere Details zum Erstellen bedingter finden Sie in unseren Leitfäden zur Konfiguration von SB-Richtlinien und bedingtem Zugriff.

Nachdem die bedingte Zugriffsregel erstellt wird, geschieht folgendes:

conditional-access-policy

  1. Ein Benutzer versucht, sich bei seinem Gerät anzumelden, oder versucht nach der Anmeldung auf eine Anwendung oder eine der SB-Funktionen von ADSelfService Plus zuzugreifen.
  2. Abhängig von den vordefinierten Bedingungen werden verschiedene Risikofaktoren analysiert, wie IP-Adresse des Benutzers, Zugriffszeit und Geostandort.
  3. Wenn die Daten die Bedingungen erfüllen, wird der Benutzer einer SB-Richtlinie zugewiesen und erhält:
    • Vollständigen Zugriff auf Domänenkonto und Funktionen
    • Sicheren Zugriff per MFA
    • Beschränkten Zugriff auf bestimmte Funktionen
    • Keinen Zugriff auf bestimmte Funktionen
  4. Wenn der Benutzer keine der bedingten Zugriffsregeln erfüllt, wird eine SB-Richtlinie gemäß der Gruppe oder OE des Benutzers angewendet.

Anwendungsfälle zur Erläuterung, wie bedingte Zugriffsrichtlinien funktionieren

Anwendungsfall 1: Wenn Remote-Anmeldungen an der Active-Directory-Domäne (AD) einer Organisation per MFA gesichert werden müssen

In unserem Beispiel stellen On-Premise-Benutzer 50 % der Belegschaft Ihres Unternehmens dar. Weitere 20 % sind Remote-Benutzer. Die übrigen 30 % arbeiten zwar im Home-Office, kommen aber dennoch häufig ins Büro. Für die Benutzer, die sich aus der Ferne anmelden, müssen wir die MFA durchsetzen. In diesem Szenario umfasst die Implementierung des bedingten Zugriffs das Folgende:

  1. Eine SB-Passwortrichtlinie durchsetzen, die Endpunkt-MFA ermöglicht.
  2. Zwei Bedingungen konfigurieren:
    • IP-Adresse: Eine Liste von vertrauenswürdigen IP-Adressen bereitstellen.
    • Standort: Standorte außerhalb des Organisationsgeländes auswählen.
  3. Folgende Kriterien erstellen:
    • (NOT vertrauenswürdige IP-Adressen) AND ausgewählte Standorte
  4. Die Kriterien werden dann mit einer SB-Richtlinie verknüpft.

So funktioniert diese bedingte Zugriffsrichtlinie:

Wenn ein Benutzer versucht, sich bei einem Gerät anzumelden, werden IP-Adresse und Geostandort des Benutzers analysiert. Wenn es sich um eine nicht vertrauenswürdige IP-Adresse und um den ausgewählten Geostandort handelt, dann sind die Kriterien erfüllt, und dem Benutzer wird eine SB-Richtlinie zugewiesen, welche die Endpunk-MFA durchsetzt. Werden die Bedingungen hingegen nicht erfüllt, werden andere SB-Richtlinien zugewiesen, die für den Benutzer gelten.

Anwendungsfall 2: Benutzern soll gestattet werden, Geräte in der Domäne zu verwenden, um per SSO auf Unternehmensanwendungen zuzugreifen

Häufig kommen Unternehmensanwendungen zum Einsatz, um sensible Benutzerdaten zu verarbeiten und zu speichern. Da die meisten dieser Anwendungen heute in der Cloud und damit außerhalb des Sicherheitsperimeters Ihres Netzwerks bereitgestellt werden, sind sie für Cyberangriffe zum beliebten Ziel geworden. Sie verwenden Phishing und andere Angriffsmethoden, um Zugriff auf die Anwendungen zu erhalten und Daten aus der Ferne abzuschöpfen. Mit bedingtem Zugriff können Sie nur Benutzern mit Computern in der Domäne gestatten, auf wichtige Anwendungen mit sensiblen Daten zuzugreifen. Außerdem können Sie einen Schritt weitergehen und nur einer Liste vertrauenswürdiger IP-Adressen den Zugriff auf kritische Anwendungen gestatten. So erhalten Angreifer keinen Zugriff auf diese Anwendungen, selbst wenn sie die Zugangsdaten ihrer Benutzer stehlen. Hier ein Beispiel für die Konfiguration bedingter Zugriffsregeln in diesem Szenario:

  1. Konfigurieren einer SB-Richtlinie, die SSO für die erforderlichen Anwendungen aktiviert.
  2. Zwei Bedingungen konfigurieren:
    • IP-Adresse-basiert: Eine Liste von vertrauenswürdigen IP-Adressen bereitstellen.
    • Gerätebasiert: Alle Computerobjekte in der Domäne werden ausgewählt.
  3. Folgende Kriterien erstellen:
    • VerVertrauenswürdige IP-Adressen AND Ausgewählte Computerobjekte
  4. Verknüpfen der Kriterien mit der erstellten SB-Richtlinie.

So funktioniert diese bedingte Zugriffsregel:

Wenn ein Benutzer versucht, sich per SSO bei einer Unternehmensanwendung anzumelden, werden IP-Adresse und Typ des Geräts analysiert. Wenn es sich um eine vertrauenswürdige IP-Adresse handelt und das Computerobjekt zur AD-Domäne gehört, sind die erstellten Kriterien erfüllt. Dann wird die mit den Kriterien verknüpfte SB-Richtlinie dem Benutzer zugewiesen. Dies ermöglicht es Benutzern, per SSO auf Unternehmensanwendungen zuzugreifen.

Vorteile beim Einsatz von ADSelfService Plus für bedingten Zugriff

  • Mehr als 20 erweiterte Authentifizierungsfaktoren für die Implementierung von MFA
  • Moderieren Sie den Zugriff auf Geräte, VPNs, RDP, OWA und das Exchange-Admin-Center über eine einzelne Konsole
  • Aktivieren Sie feinkörnige Zugriffsrichtlinien für verschiedene Abteilungen in der Organisation
 
 
Höhepunkte

Kennwort-SB-Service

Befreit Active Directory-Nutzer von langatmigen Helpdesk-Anrufen, da Kennwörter und Konten auch ohne fremde Unterstützung rückgesetzt oder freigeschaltet werden können. Problemlose Kennwortänderung für Active Directory-Nutzer mit der „Kennwort ändern“-Konsole von ADSelfService Plus.

Eine Identität mit Einmalanmeldung

Genießen Sie in nahtlosen Ein-Klick-Zugriff auf mehr als 100 Cloud-Applikationen. Mit Einmalanmeldung für Unternehmen können Nutzer all ihre Cloud-Applikationen mit ihren Active Directory-Anmeldeinformationen abrufen. Dank ADSelfService Plus!

Kennwort-/Konto-Ablaufbenachrichtigung

Benachrichtigen Sie Active Directory-Nutzer über bevorstehenden Kennwort-/Kontoablauf durch Zustellung solcher Kennwort-/Kontoablaufbenachrichtigungen per E-Mail.

Kennwortsynchronisierung

Synchronisieren Sie Änderungen von Windows Active Directory-Nutzerkennwörtern/-konten automatisch über mehrere Systeme hinweg, einschließlich Office 365, G Suite, IBM iSeries und mehr.

Erzwingung von Kennwortrichtlinien

Sorgen Sie mit ADSelfService Plus für starke Kennwörter, die zahlreichen Hackerangriffen standhalten – zwingen Sie Active Directory-Nutzer durch Anzeigen von Kennwortkomplexitätsanforderungen, richtlinienkonforme Kennwörter zu verwenden.

Verzeichnis-Selbstaktualisierung und Unternehmensweite Suche

Ein Portal, über das Active Directory-Nutzer ihre Daten auf den neuesten Stand bringen können, das eine Schnellsuche zum Einholen von Informationen über Kollegen mit Suchschlüsseln wie der Telefonnummer des Kollegen bietet.

« Startseite
Wissensdatenbank »