Strictly Enforce Location Policies in Entra ID
Share
Azure AD / Sicherheit

Strictly Enforce Location Policies in Entra ID: Schutz vor Token-Diebstahl

  • 29. December 2023

In der heutigen zunehmend mobilen und dezentralen Arbeitsumgebung stehen Organisationen vor neuen Herausforderungen bei der Sicherung des Zugriffs auf ihre sensiblen Daten und administrativen Portale. Eine dieser Herausforderungen besteht in der Gefahr des Token-Diebstahls. Tokens sind kryptografische Schlüssel, die es Benutzern ermöglichen, auf Anwendungen und Ressourcen zuzugreifen, ohne wiederholt ihre Passwörter eingeben zu müssen. Wenn ein Token gestohlen wird, können Angreifer es verwenden, um autorisierte Benutzer zu imitieren und Zugang zu sensiblen Daten zu erhalten.

Um dieses Risiko zu begegnen, bietet Microsoft Entra ID eine Funktion namens "Strictly Enforce Location Policies" an. Diese Funktion kann dazu beitragen, Token-Diebstahl zu verhindern, indem sie kontinuierlich den Standort von Benutzern und Anwendungen überprüft, um sicherzustellen, dass sie den Zugriffsrichtlinien der Organisation entsprechen.

Zum Zeitpunkt dieses Schreibens befindet sich die Funktion noch in der Vorschau, und ich empfehle, sie nur nach umfangreichen Tests und ausschliesslich für administrativen Zugriff zu implementieren. Weitere Informationen zu dieser Funktion und ihrer Unterstützung findest du hier: Continuous access evaluation strict location enforcement in Microsoft Entra ID - Microsoft Entra ID | Microsoft Learn

Table of Contents

Wie Strictly Enforce Location Policies mit Continuous Access funktionieren

Wenn "Standortrichtlinien konsequent durchsetzen mit kontinuierlicher Zugriffsbewertung" aktiviert ist, verfolgt Microsoft Entra ID kontinuierlich den Standort von Benutzern und Anwendungen. Diese Informationen stammen aus verschiedenen Quellen wie IP-Adressen, Geräte-IDs und Standortdiensten. Wenn ein Benutzer oder eine Anwendung versucht, von einem Ort aus auf Ressourcen zuzugreifen, der nicht von der Zugriffspolitik der Organisation erlaubt ist, blockiert Microsoft Entra ID den Zugriffsversuch.

Vorteile von Standortrichtlinien konsequent durchsetzen mit "Continuous Access Evaluation"

Es gibt mehrere Vorteile bei der Aktivierung von Standortrichtlinien konsequent durchsetzen mit kontinuierlicher Zugriffsbewertung:

  • Geringeres Risiko von Token-Diebstahl: Durch die kontinuierliche Überprüfung des Standorts von Benutzern und Anwendungen kann Microsoft Entra ID dazu beitragen, Token-Diebstahl zu verhindern, indem verhindert wird, dass Angreifer gestohlene Tokens verwenden, um aus nicht autorisierten Standorten auf Ressourcen zuzugreifen.
  • Verbesserte Sicherheitslage: Standortrichtlinien konsequent durchsetzen mit kontinuierlicher Zugriffsbewertung kann dazu beitragen, die allgemeine Sicherheitslage der Organisation zu verbessern, indem unbefugter Zugriff auf sensible Daten verhindert wird.
  • Vereinfachte Einhaltung von Vorschriften: Durch die Durchsetzung von Zugriffspolitiken basierend auf dem Standort können Organisationen ihre Bemühungen um Einhaltung von Vorschriften vereinfachen, indem sichergestellt wird, dass Benutzer nur von erlaubten Standorten aus auf Ressourcen zugreifen.

Empfehlungen zur Implementierung Strictly Enforce Location Policies mit Continuous Access Evaluation

Bevor du "Strictly Enforce Location Policies mit Continuous Access Evaluation" aktivierst, solltest du die Bedürfnisse und Anforderungen deiner Organisation sorgfältig prüfen. Insbesondere solltest du:

  • Die Standorte identifizieren, von denen aus deine Benutzer auf Ressourcen zugreifen werden. Dies umfasst sowohl lokal installierte als auch cloudbasierte Ressourcen.
  • Zugriffspolicen erstellen, die festlegen, welche Benutzer von welchen Standorten aus auf Ressourcen zugreifen dürfen. Diese Richtlinien sollten auf der Risikotoleranz und den Sicherheitsanforderungen deiner Organisation basieren.
  • Sicherstellen, dass alle IP-Adressen, von denen aus deine Benutzer auf Microsoft Entra ID und Ressourcenanbieter zugreifen können, in der IP-basierten benannten Standortrichtlinie enthalten sind. Andernfalls könntest du versehentlich deine Benutzer blockieren.

Überlegungen für Benutzer und Administratoren

"Strictly Enforce Location Policies mit Continuous Access Evaluation" ist eine wertvolle Funktion, die die Sicherheit von Organisationen verbessern kann. Es ist jedoch wichtig, die spezifischen Bedürfnisse deiner Benutzer und Administratoren sorgfältig zu berücksichtigen, bevor du diese Funktion implementierst. Zum Beispiel:

  • Für Benutzer, die häufig reisen oder von zu Hause aus arbeiten, kann es schwieriger sein, alle IP-Adressen hinzuzufügen, von denen aus sie auf Ressourcen zugreifen werden. In diesen Fällen ist es möglicherweise angemessener, eine andere Authentifizierungsmethode wie die Mehrfaktorauthentifizierung (MFA) zu verwenden.
  • Für Administratoren ist es wichtig, die IP-basierte benannte Standortrichtlinie sorgfältig zu verwalten, um sicherzustellen, dass nur autorisierte Benutzer aus nicht autorisierten Standorten auf Ressourcen zugreifen können. Dies hilft, versehentliche Aussperrungen oder unbefugten Zugriff zu verhindern.

So konfigurierst du Strict Locations für Admin Portale

Die strikte Durchsetzung von Standortrichtlinien verbessert die Sicherheit, indem der Zugang zu Admin-Portalen sofort gestoppt wird. Wenn die IP-Adresse, die vom Ressourcenanbieter erkannt wird, nicht von deiner bedingten Zugriffspolitik erlaubt ist, wird der Zugriff blockiert. Denk daran, es als eine virtuelle Begrenzungslinie zu betrachten, die deine administrativen Daten vor unerwünschten Eindringlingen schützt.

Location Enforcement Mode: Dieser neue Durchsetzungsmodus ist die sicherste Option zur Steuerung des Zugriffs auf Admin-Portale, er erfordert jedoch ein tiefes Verständnis der Netzwerkrouting. Er wird für diejenigen empfohlen, die den höchsten Schutz für ihre administrativen Ressourcen wünschen.

Nun konfigurieren wir eine bedingte Zugriffspolitik, die den Zugang zu unseren Admin-Portalen sichert:

Schritt 1 - Definiere und implementiere deine IP-Adressen

  • Definiere zunächst, von welchen IP-Adressen aus du den Zugang zu deinen Admin-Portalen zulassen möchtest. Dies kann eine Reihe von Kombinationen von IP-Adressen, Subnetzen und Ländern sein.
  • Sobald du deine Adressen zusammen hast, füge sie unter Entra > Identität > Bedingter Zugriff > Benannte Standorte hinzu:
Add Conditional Access named locations
  • Für dieses Beispiel habe ich nur die Schweiz als Land hinzugefügt und den Standort "CH" genannt. Natürlich solltest du für eine produktive Konfiguration den Standort so genau wie möglich eingrenzen.

Schritt 2 - Konfiguriere eine bedingte Richtlinie für den Zugang zu Admin-Portalen

  • Füge deinen Conditional Acess Richtlinie hinzu.
    Meine sieht so aus:
Conditional Access Strictly enforce location policies
  • Für Testzwecke habe ich nur einen Benutzer hinzugefügt. Das Endziel sollte "Alle Benutzer" sein.
    • Und sehr wichtig, schliesse IMMER deine "Break Glas-Konten" aus.
  • Als Zielressourcen habe ich "Microsoft Admin Portale" ausgewählt.
  • Und in der Bedingung habe ich IP-Adressen ausgeschlossen, die ich im Schritt 1 hinzugefügt habe.
  • Für die Zugriffskontrolle habe ich "Zugriff blockieren" ausgewählt, damit jeder Zugriff und jede Änderung an einem nicht vordefinierten Standort sofort blockiert wird.
  • Und schliesslich aktiviere ich die Sitzungssteuerung unter "Customize continuous access evaluation": Strictly enforce location policies

Bevor du diese Richtlinie produktiv aktivierst, testen Sie sie mit einer Untergruppe von Administratoren, um Diskrepanzen zwischen erlaubten und tatsächlichen IP-Adressen zu vermeiden.

Demo des Verhaltens bei Standort Änderungen

In dem folgenden kurzen Video zeige ich, wie eine Standortänderung die Richtlinie sofort auslöst und nicht nur, wenn ein Token abläuft.

Problembehandlung mit Anmeldeprotokollen

Um Probleme im Zusammenhang mit IP-Adressen-Unstimmigkeiten für den Zugang zu Admin-Portalen zu untersuchen, können Administratoren die Anmeldeprotokolle verwenden:

  1. Melde dich im Microsoft Entra Admin Center an.
  2. Gehe zu Identität > Überwachung & Gesundheit > Anmeldeprotokolle.
  3. Verwende Filter und Spalten, um deine Suche einzuschränken.
  4. Achte besonders auf die Spalte "IP-Adresse (vom Ressourcenanbieter gesehen)", besonders wenn sie sich von der IP unterscheidet, die von Microsoft Entra ID gesehen wird.

Denke daran, das Ziel ist sicherzustellen, dass alle IP-Adressen, von denen aus deine Administratoren auf Entra ID und Admin-Portale zugreifen können, in ihren IP-basierten benannten Standorten enthalten sind. Andernfalls kann die strikte Standortdurchsetzung einen negativen Einfluss auf den Admin-Zugriff haben.

Fazit

Standortrichtlinien konsequent durchsetzen mit kontinuierlicher Zugriffsbewertung ist eine leistungsstarke Funktion, die Organisationen dabei helfen kann, Token-Diebstahl zu verhindern und ihre allgemeine Sicherheitslage zu verbessern. Es ist jedoch wichtig, die spezifischen Bedürfnisse deiner Organisation sorgfältig zu berücksichtigen, bevor du diese Funktion implementierst. Auf diese Weise kannst du sicherstellen, dass du die Vorteile dieser Funktion maximierst, während du potenzielle Risiken minimierst.

Leave a Reply

Your email address will not be published. Required fields are marked *

Florian Salzmann
Senior Workplace Consultant @UMB AG

Stay in the Loop with My Monthly Newsletter!