Conditional Access Authentication Context

Mit Conditional Access Authentication Context können Sie eine Step-up-Authentication für den Zugriff auf Cloud Apps konfigurieren.

Schützen Sie sensible Daten

Als Teil von Microsofts Zero Trust-Strategie ist Conditional Access der zentrale Kontrollmechanismus in Azure AD, um zu definieren, welche Art von Zugriffskontrollen erfüllt sein müssen, um auf Cloud-Apps zuzugreifen, die mit Azure AD integriert sind. Bislang war es jedoch nicht möglich, granularere Kontrollen zu definieren. Mit Conditional Access Authentication Context ändert sich das. Sie können nun eine Step-up- Authentication verlangen, wenn ein Benutzer eine bestimmte Aktion durchführt oder auf sensible Informationen zugreift.

Welche Aktionen / Cloud-Apps sind im Umfang enthalten?

Derzeit haben Sie die folgenden Optionen, um einen Authentication Context zu verwenden:

  • Microsoft Cloud App Security (MCAS): erfordern eine Step-up- Authentication als Teil einer MCAS-Sitzungssteuerungsrichtlinie.
  • Microsoft Information Protection: erfordert Authentication Context für den Zugriff auf gekennzeichnete Inhalte (Teil der Funktion zur Kennzeichnung von Gruppen und Sites, nicht dateibasiert)
  • SharePoint Online: Authentication Context kann SPO-Sites über PowerShell zugewiesen werden
  • Erstellen Sie Ihre eigenen Anwendungen mit Authentication Context-Unterstützung

 

Beachten Sie, dass es sich hierbei um eine öffentliche Vorschau handelt, so dass die Funktionalität im Laufe der Zeit erweitert werden kann. Unterstützung für Azure AD PIM ist bereits angekündigt.

Definieren eines Authentication Context

Zunächst müssen Sie den Authentication Context konfigurieren. An sich ist der Authentication Context nur ein leerer Container mit einem Namen und einer Beschreibung:

Nach dem Speichern können Sie sehen, dass jeder Authentication Context eine ID hat, die z. B. für die Entwicklung einer benutzerdefinierten Anwendung referenziert werden kann:

Nun müssen Sie eine Richtlinie für den bedingten Zugriff erstellen, die den Authentication Context mit den erforderlichen Zugriffskontrollen verknüpft. Wenn Sie noch granularer vorgehen möchten, können Sie natürlich auch andere Bedingungen wie Geräteplattform oder Client-Anwendungen konfigurieren.

Als Nächstes definieren Sie die Zugriffskontrollen für diesen Authentication Context. In diesem Fall eine der Optionen für vertrauenswürdige Geräte:

Der Authentication Context ist jetzt mit der Zugriffskontrolle „vertrauenswürdiges Gerät“ verknüpft. Immer wenn der Kontext ausgelöst wird, muss ein Benutzer mit einem vertrauenswürdigen Gerät arbeiten, um mit der zu schützenden Aktion fortzufahren.

 

Da eine MFA-Aufforderung für eine Demonstration etwas interaktiver ist, fahren Sie mit dem anderen Authentication Context fort, den ich bereits vorbereitet habe und der MFA erfordert:

Authentication Context und Microsoft Cloud App Security

Schauen Sie sich an, wie Sie den Authentication Context mit Microsoft Cloud App Security integrieren können. In diesem Fall müssen Sie die Sitzungskontrolle verwenden, um von der Step-up- Authentication zu profitieren. Sie benötigen also eine Richtlinie für bedingten Zugriff, die den Benutzer zur Sitzungskontrolle umleitet. Ich habe das für meinen Demo-Benutzer Adele getan:

Jetzt gehen Sie zu Microsoft Cloud App Security, um dort eine Sitzungsrichtlinie zu erstellen:

Für diese Demo habe ich eine Richtlinie erstellt, die für das Herunterladen von „.docx“ Dateien eine Step-up-Authentication erfordert:

Natürlich können Sie die Filter an Ihre Bedürfnisse anpassen. Adele muss nun beim Herunterladen von „.docx“-Dateien die MFA als Teil des Authentication Context erfolgreich abschließen. Schauen wir uns das mal an!

Die Benutzererfahrung (mit MCAS)

Adele wird sich nun beim Office-Portal anmelden:

Sie wechselt zu ihrem persönlichen OneDrive und wird darüber informiert, dass die Sitzung von Microsoft Cloud App Security überwacht wird:

Die Standard-MFA-Eingabeaufforderung wird angezeigt:

Nun versucht sie, eine „.docx“-Datei herunterzuladen. Sie wird darauf hingewiesen, dass eine Sicherheitsüberprüfung erforderlich ist, um fortzufahren:

Die Standard-MFA-Eingabeaufforderung wird angezeigt:

Die Überprüfung ist abgeschlossen:

Der relevante Teil hier ist „Sie können jetzt zusätzliche Aktionen durchführen“. Adele kann den Download nun wieder starten, aber er startet nicht automatisch, nachdem die MFA abgeschlossen wurde. Der Download funktioniert jetzt:

Hinweis

Die Aktion (Herunterladen von „.docx“-Dateien), die wir gesichert haben, wird für Adele so lange zugelassen, wie der MFA-Anspruch im Zugriffstoken verbleibt. Je nach Konfiguration kann diese Lebensdauer unterschiedlich sein.

Zusammenfassende Betrachtung

Conditional Access ist ein elementarer Bestandteil für die Sicherheitskonfiguration eines jeden Tenants. Mit Conditional Access Authentication Context können wir nun den Zugriff auf bestimmte Arten von Informationen viel genauer steuern. Das bedeutet auch, dass wir jetzt eine Vielzahl von technischen Kontrollen haben, um den Zugriff zu beschränken. In der Praxis besteht die größte Herausforderung darin, die für das jeweilige Szenario am besten geeignete auszuwählen.

 

Danke fürs Lesen!

Christian Müller

Senior Security Consultant

Hinweis

Bitte beachten Sie, dass alle Inhalte in diesem Blog ohne jegliche Garantie bereitgestellt werden. 

 

Die englische Version des Artikels finden Sie im Blog unseres Kollegen Christian Müller: https://chrisonsecurity.net/2021/06/09/conditional-access-authentication-context-protect-sensitive-data/