Azure AD Conditional Access: Zugriff auf Apps und Daten in Microsoft 365 granularer beschränken

Um den Zugriff auf Daten oder Apps in Microsoft 365 zu beschränken, stand bisher die Richtlinie für bedingten Zugriff (Conditional Access Policy) zur Verfügung. Allerdings wirkt das nur als Sperre für komplette Apps. Mit der neuen Funktion Authentication Context bietet Microsoft nun die Möglichkeit, den Zugriff auf Apps sowie auf Daten innerhalb von Apps wie SharePoint oder Exchange granular zu sichern.

Bisher konnte Conditional Access Policy nur Apps komplett sperren

Die Funktionsweise lässt sich mit folgendem Beispiel illustrieren: Gewünscht wird die Einrichtung einer Zugriffsbeschränkung auf SharePoint-Seiten beziehungsweise Daten in SharePoint. Mittels einer Conditional Access Policy soll der Zugriff nur über Geräte möglich sein, die mit Intune verwaltet werden. Außerdem soll der Zugriff auf bestimmte SharePoint-Seiten mit hochsensiblen Daten nur noch aus dem Firmennetzwerk heraus möglich sein.

Eine derart granulare Zugriffsrichtlinie war bislang nicht realisierbar, weil sich eine Conditional Access Policy immer auf eine App als Ganzes bezogen hat, also im Beispiel auf SharePoint. Mit dem neu hinzugekommenen Authentication Context sind solche Szenarien im Rahmen einer Conditional Access Policy nun umsetzbar.

Anleitung: Erstellen eines Authentication Context

Derzeit befindet sich die Funktion noch in der Testphase (Preview), und es gelten noch folgende Einschränkungen:

  • Das Löschen von Authentifizierungskontextdefinitionen (Authentication Context) ist aktuell noch nicht möglich.
  • Aktuell sind nur 25 Authentifizierungskontextdefinitionen möglich.

Das Anlegen eines neuen Authentication Context erfolgt im Menü Conditional Access im Azure Portal, wie hier im Bild zu sehen ist:

Beim Authentication Context handelt es sich um einen Container:

Als Funktion kann die Authentifizierungskontextdefinition dann in einer Richtlinie für bedingten Zugriff im Menüpunkt „Cloud Apps or Actions“ ausgewählt werden:

Aus Anwendersicht handelt es sich lediglich um eine neue Funktion, die zu den bereits vorhandenen Optionen Cloud apps und User actions im Drop-down-Menü hinzugefügt wird.

Zuweisen eines Authentication Contexts über Sensitivity-Label

Wie lässt sich eine Authentifizierungskontextdefinition im oben skizzierten SharePoint-Beispiel verwenden? Dafür wird ein Sensitivity-Label genutzt, in dem der Authentication Context wie folgt konfiguriert wird:

Das so erstellte Label wird anschließend der entsprechenden SharePoint-Seite zugewiesen. Immer wenn diese SharePoint Seite aufgerufen wird, greift zukünftig die Conditional Access Policy, die im Authentication Context hinterlegt wurde.

Der gesamte Ablauf ist in diesem Diagramm dargestellt:

Beispiel: Blockieren eines externen Nutzers in SharePoint

Um die Vorgehensweise aus Sicht eines Benutzer zu illustrieren, meldet sich in unserem Beispiel der User Stan Laurel in Office 365 an, und greift dann auf die App SharePoint zu:

Dort möchte er nun die SharePoint-Seite „SPO Authentication Context DEMO“ öffnen. Dabei erhält er die Meldung, dass der Zugriff nicht möglich ist.

Der Grund für die Abweisung liegt in diesem Fall nicht an fehlenden Berechtigungen, wie man klassischerweise annehmen würde. Stattdessen blockiert hier die beschriebene Conditional Access Policy, den Zugriff. Würde er aus dem Firmennetzwerk heraus erfolgen, wäre er erlaubt.

0 Comments
Inline Feedbacks
View all comments