Vorheriges Thema Nächstes Thema

Bedingter Zugriff

Bedingter Zugriff (CA) ist der Prozess, der den Zugang zu IT-Ressourcen basierend auf vordefinierten Bedingungen erlaubt. Durch das Erstellen von Zugriffsrichtlinien, die sich nach Gerätetypen der Benutzer, Zugriffszeit, IP-Adressen oder Geostandort richten, können Sie den Zugang zu Ihrem Netzwerk und Ihren Daten strikt kontrollieren. CA bietet zusätzliche Sicherheit und hilft, Angreifer vom Zugriff auf IT-Ressourcen abzuhalten, während es gleichzeitig eine reibungslose Benutzererfahrung gewährleistet, indem vertrauenswürdigen Benutzern ein Zugriff ohne wiederholte Sicherheitsunterbrechungen ermöglicht wird. Mehr erfahren über die Vorteile des bedingten Zugriffs.

ADSelfService Plus ermöglicht es Ihnen, CA auf Arbeitsstationen, verbundene Anwendungen, geschützte Endpunkte und verschiedene weitere Funktionen in ADSelfService Plus anzuwenden, sodass der Zugriff nur für verifizierte und autorisierte Benutzer eingeschränkt wird.

Verständnis, wie bedingter Zugriff in ADSelfService Plus funktioniert

Bedingter Zugriff basiert auf bestimmten Kriterien, die durch eine logische Funktion zu einer Bedingung verarbeitet werden. Benutzer, die diese Bedingung erfüllen, erhalten Zugriff auf ADSelfService Plus unter einer bestimmten Richtlinie – dies wird als CA-Regel bezeichnet. Diese Regel bestimmt, welche Self-Service-Richtlinie auf einen Benutzer angewandt wird, was wiederum die Multi-Faktor-Authentifizierung (MFA) Methoden, Cloud-Anwendungen und Self-Service-Funktionen definiert, die für den Benutzer aktiviert werden.

Bedingungen

Bedingungen sind benutzerbezogene Faktoren, wie Gerätetyp, IP-Adresse oder Geostandort. In diesem Abschnitt können Sie Bedingungen definieren und anschließend auswählen, um Ihre Kriterien bei Bedarf zu definieren. Sie können Ihre Bedingungen basierend auf den folgenden Faktoren definieren und auswählen:

IP-Adresse: Falls konfiguriert, bewertet CA die eingehende Verbindung basierend auf der IP-Adresse des Gerätes, das die Verbindung initiiert. Sie können die Art der IP-Adressen auswählen, für die Sie die Bedingung konfigurieren: statische IPs, Proxy-Server-IP-Adressen oder VPN-IP-Adressen. Außerdem können Sie definieren, ob die angegebenen IP-Adressen vertrauenswürdige oder nicht vertrauenswürdige IPs sind.

Gerät: Sie können diese Bedingung so konfigurieren, dass die eingehende Verbindung basierend auf dem Gerätetyp bewertet wird, von dem sie ausgeht: bestimmte Computerobjekte und/oder die Plattform (Windows, macOS, Linux, mobile Web-App oder native mobile App), auf der diese ausgeführt werden.

Geschäftszeiten: Sie können Geschäfts- und Nicht-Geschäftszeiten definieren und auswählen, ob die eingehende Verbindung basierend darauf bewertet wird, ob sie während der Geschäftszeit (oder außerhalb dieser) erfolgt.

Geostandort: Konfigurieren Sie diese Bedingung, um eingehende Verbindungen basierend auf dem Herkunftsland zu bewerten.

Kriterien

Sobald Sie die Bedingungen gemäß Ihren Anforderungen definiert und aktiviert haben, können Sie die aktivierten Bedingungen mit UND, ODER, und NICHT Operatoren kombinieren, um Kriterien zu formulieren, die bestimmen, wie die verschiedenen Bedingungen ausgewertet werden, um das Ergebnis der Zugriffsanforderung zu ermitteln.

Zum Beispiel nehmen wir an, dass Ihre Benutzer weltweit verteilt sind, außer in einigen Ländern. Sie müssen sicherstellen, dass sie nur während der Geschäftszeiten und ausschließlich von vertrauenswürdigen IP-Adressen auf Ressourcen zugreifen. In diesem Fall müssen Sie Folgendes aktivieren:

1. IP-Adressbedingung (mit den vertrauenswürdigen IPs).
2. Geschäftszeiten-Bedingung (mit erlaubten Zeiten).
3. Geostandort-Bedingung (für die Länder, in denen Sie keine Benutzer haben).

Dann können Sie eine logische Funktion wie die folgende verwenden, um Ihre Kriterien zu formulieren:

Kriterien: 1 UND 2 UND (NICHT 3)

CA-Regel

Durch die Verknüpfung der Kriterien mit einer oder mehreren Self-Service-Richtlinien erstellen Sie eine CA-Regel. Eine Self-Service-Richtlinie ermöglicht es Ihnen, die Produktfunktionen zu aktivieren und zu konfigurieren, wie das Produkt für verschiedene Benutzergruppen auf Basis ihrer OU- und Gruppenmitgliedschaft arbeiten soll.

Wenn Sie mehrere CA-Regeln erstellen, können Sie diese priorisieren. Falls ein Benutzer unter mehrere CA-Regeln fällt, gilt die Regel mit der höchsten Priorität, und die mit dieser Regel verbundenen Self-Service-Richtlinien werden auf den Benutzer angewandt. Fällt ein Benutzer nicht unter eine CA-Regel, gelten die Self-Service-Richtlinien basierend auf der in der Seite zur Richtlinienkonfiguration festgelegten Priorität.

CA konfigurieren

Regelkonfiguration

1. Melden Sie sich als Administrator an bei ADSelfService Plus .
2. Navigieren Sie zu Konfiguration > Self-Service > Bedingter Zugriff > Regelkonfiguration.
3. Klicken Sie + CA-Regel erstellen.
4. Geben Sie einen CA-Regelnamen und Beschreibung.
5. Wählen Sie die Bedingungen basierend auf Ihren Anforderungen: IP-Adresse, Gerätetyp, Geschäftszeiten und Geostandort.

Hinweis: Diese Bedingungen bestimmen, wie CA-Entscheidungen getroffen werden. Verwenden Sie diesen Abschnitt, um Bedingungen zu definieren, zu aktivieren und in Ihren Zugriffskriterien anzuwenden.

• IP-Adressbasiert



• Um diese Bedingung in Ihre Kriterien aufzunehmen, wählen Sie die zu bewertenden IP-Adresstypen durch Ankreuzen der entsprechenden Kästchen:
• Für Benutzer, die direkt über ihre Client-Computer eine Verbindung zu Ihrem Netzwerk herstellen, können Sie Statische IPs.
• aktivieren. Wenn Ihre Benutzer über einen Proxy-Server verbinden, können Sie.
• Proxy-Server-IP-Adressen aktivieren.Wenn Ihre Benutzer über einen VPN-Server verbinden, können Sie VPN-IP-Adressen aktivieren. Damit der IP-basierte bedingte Zugriff für die VPN-MFA-Funktion funktioniert,

Hinweisbeachten Sie diesen Abschnitt

• , um die erforderlichen Änderungen an der NPS-Erweiterung vorzunehmen. : Wenn Sie alle drei IP-Typen aktiviert haben, wird die Priorität nach dieser Regel bestimmt: * (Statische IP UND Proxy-IP) ODER VPN-IP. Wählen Sie aus, ob die eingegebenen IPs Vertrauenswürdig.
• oder Nicht vertrauenswürdig sind. + Für statische IPs geben Sie den IP-Adressbereich in die * IP-Bereich
• Felder ein. Verwenden Sie das



• Symbol, um weitere IP-Bereiche hinzuzufügen. Sie können auch einzelne IPs eingeben und als Platzhalterzeichen verwenden, um eine gesamte IP-Klasse auszuwählen. Gerätbasiert + Nehmen Sie diese Bedingung in Ihre Kriterien auf, indem Sie das Kästchen
• Computer aktivieren und dann auf das Symbol klicken. Wählen Sie im geöffneten Dialogfeld Ausgewählte Computer dieDomäne und dann die.
• Computerobjekte aus. Klicken Sie Speichern
• Aktivieren Sie das Kästchen



• Computerobjekte Plattformen und wählen Sie dann über das Dropdown-Menü die Plattform(en) aus. Sie können aus Windows, macOS, Linux, der ADSelfService Plus mobilen Web-App, der ADSelfService Plus nativen mobilen App und ManageEngine-Anwendungen wählen.
• Geschäftszeitenbasiert
• Aktivieren Sie das Kästchen

HinweisGeschäftszeiten , um Ihre Kriterien mit dieser Bedingung zu konfigurieren..

• Wählen Sie, ob Sie Geschäftszeiten oder Nicht-Geschäftszeiten konfigurieren möchten, indem Sie die entsprechende Option auswählen.



• Computerobjekte Konfigurieren Sie anhand der bereitgestellten Tage und Zeiträume Ihre Geschäfts- oder Nicht-Geschäftszeiten. : Die Zeit wird basierend auf der Zeitzone angewendet, die Sie unter
• Admin > Personalisieren > Zeitzone ausgewählt haben. Geostandortbasiert
• Aktivieren Sie das Kästchen

Geostandort , um diese Bedingung zu aktivieren. Wählen Sie die zutreffenden

Länder

6. A Kriterien über das Dropdown-Menü aus. Wie geostandortbasierter CA in ADSelfService Plus funktioniert, ADSelfService Plus verbindet sich mit dem Geostandort-Server über Zoho Creator. Bitte stellen Sie sicher, dasshttps://creator.zoho.com NICHT in Ihren Firewall-Einstellungen für geostandortbasierten bedingten Zugriff ausgeschlossen ist.
7. Klicken Sie Geostandortbasierter bedingter Zugriff verlässt sich auf die IP-Adresse des Benutzers, um den Standort zu bestimmen. Das bedeutet, dass nur Zugriffe von öffentlichen IP-Adressen bewertet werden. Benutzer mit privaten IP-Adressen sind in dieser Bedingung nicht enthalten. wird automatisch mit den aktivierten Bedingungen erstellt. Wenn die erstellten Kriterien Ihren Anforderungen entsprechen, müssen Sie keine Änderungen vornehmen. Ändern Sie sie nur, wenn Sie sicher sind, dass sie Ihre Anforderungen nicht erfüllen. Sie können

UND

ODER

1. und
2. Operatoren verwenden, um die Logik zu formulieren. Konfigurieren Sie.



3. Wählen Sie die , um die neue CA-Regel zu erstellen. Regelzuweisung
4. Nachdem die CA-Regel eingerichtet wurde, muss sie den Benutzern zugewiesen werden, die auf CA bewertet werden sollen. Gehen Sie dazu wie folgt vor:
Melden Sie sich als Administrator bei ADSelfService Plus an. Navigieren Sie zu Konfiguration > Self-Service > Bedingter Zugriff > Regelzuweisung Wählen Sie die Regel Wählen Sie die aus dem Dropdown-Menü aus, die Sie zuweisen möchten.. Mehr erfahren hier.

Wenn ein Benutzer Teil mehrerer Richtlinien ist und mindestens eine CA aktiviert hat, kann er nur Aktionen ausführen, die unter der Richtlinie erlaubt sind, bei der der Benutzer die CA-Regel erfüllt.

Beispiel: Betrachten Sie drei Self-Service-Richtlinien, A, B und C, und zwei CA-Regeln, 1 und 2. Angenommen, ein Benutzer gehört zu den Richtlinien A und B. Nehmen wir an, dass sowohl Richtlinie A als auch C Regel 1 zugewiesen sind. Wenn ein Benutzer Regel 1 erfüllt, wird nur Richtlinie A dem Benutzer zugewiesen, da er die der Richtlinie A zugewiesene CA-Regel erfüllt hat.
5. Sie können auch auswählen, ob NTLM Single Sign-On und der Zugriff auf das ADSelfService Plus-Portal erlaubt oder blockiert werden sollen. Diese Einstellungen gelten überall dort, wo die ausgewählte Regel erfüllt ist.
Melden Sie sich als Administrator bei ADSelfService Plus an. Die Option zum Zulassen oder Blockieren von NTLM Single Sign-On wird nur aktiviert, wenn NTLM-Authentifizierung in den Anmeldeeinstellungen konfiguriert ist.

Priorisierung der CA-Regeln

Wenn Sie mehrere Conditional Access Regeln erstellt haben, können Sie für jede Regel eine Priorität festlegen, sodass die Regel mit der höchsten Priorität auf Benutzer angewendet wird, die unter mehrere Regeln fallen.

Um die Conditional Access Regeln zu priorisieren:

1. Klicken Sie auf der Konfigurationsseite für Conditional Access auf das Priorität ändern Symbol oben rechts (neben dem + Create CA Rule Button).



2. Ziehen Sie die Regeln und ordnen Sie sie entsprechend Ihren Anforderungen. Die Regel ganz oben hat die höchste Priorität.

Ändern, Kopieren, Deaktivieren und Löschen von Conditional Access Regeln

Eine Regel kann geändert werden, um die Bedingungen oder die Bedingungenlogik zu ändern, kopiert werden, um eine neue Regel zu erstellen, deaktiviert oder gelöscht werden.

1. Gehen Sie zur Konfigurationsseite für Conditional Access (Konfiguration > Self-Service > Conditional Access).
2. Dort sehen Sie eine Tabelle mit allen erstellten Conditional Access Regeln.
3. Klicken Sie in der Spalte Aktionen auf ein Symbol, je nachdem, welche Aktion Sie ausführen möchten.
4. Wechseln Sie die und Symbole, um eine Regel zu aktivieren oder zu deaktivieren. Ein angekreuztes ☑-Symbol bedeutet, dass die Regel aktiviert ist, und ein durchgestrichenes ☒-Symbol bedeutet, dass die Regel deaktiviert ist.
5. Klicken Sie auf das Bearbeiten- Symbol, um die Regel zu ändern.
6. Klicken Sie auf das Kopieren- Symbol, um die Regel zu kopieren und daraus eine neue Regel zu erstellen.
7. Klicken Sie auf das Löschen- Symbol, um eine Regel zu löschen.

Vorheriges Thema Nächstes Thema