Mehr Sicherheit im (Home-)Office 365 mit Conditional Access und Cloud App Security
Zu den Lehren des ereignisreichen Jahres 2020 gehört auch, dass sich Büroarbeitsplätze erstaunlich schnell in weit verteilte Home-Offices auslagern lassen. Sogar in Unternehmen, die zuvor wenig Ambitionen für das Arbeiten aus der Ferne zeigten. Allerdings bringen derart großflächig vernetzte Arbeitsplatzumgebungen auch ganz neue Herausforderungen für die IT – speziell in Sachen Sicherheit. Microsoft 365 bietet inzwischen etliche Funktionen, mit denen Administratoren viele Erfordernisse bei Sicherheit und Compliance in den Griff bekommen – vor allem mit Microsoft Cloud App Security und Conditional Access.
Eingeschränkter Zugriff und App-Überwachung
Conditional Access gehört zum Azure AD-Portfolio und bietet wichtige Grundfunktionen zur Zugriffskontrolle. Mittels regelbasierender Funktionen, die durch Signale oder Verhaltensweisen auf Nutzerseite gesteuert werden, kann der Zugriff auf Cloud-Dienste zugelassen oder blockiert werden. Vieles beruht dabei auf simplen Wenn-Dann-Entscheidungen. Möchte beispielsweise ein Mitarbeiter aus der Buchhaltung auf seine Finanzapplikation zugreifen, wird er aufgefordert, sich per Multifaktor-Authentifizierung anzumelden.
Über die Use Conditional Access App Control aus dem Bereich Session Controls können auch folgende Szenarien behandelt werden:
- Datenableitung verhindern
- Schutz beim Herunterladen
- Uploads von nicht gekennzeichneten Dateien unterbinden
- Potenzielle Malware blockieren
- Sitzungen nach Compliance-Anforderungen überwachen
- Zugriff blockieren
- Benutzerdefinierte Aktivitäten blockieren
Beispiel für Conditional Access App Control:
- Eine Vertraulichkeitsbezeichnung (Sensitivity Label) kann automatisch vergeben werden, wenn eine Datei heruntergeladen wird
- Filter lassen sich mittels regulärer Ausdrücke (Regular Expressions) anwenden, so etwa “Dateien einschließen, die einem bestimmten Ausdruck entsprechen”
- Uploads lassen sich blockieren, falls Maleware entdeckt wird
Die Basis für diese Sicherheitsfunktionen bildet der Dienst Cloud App Security, der als Proxy für den Zugriff auf die Anwendung agiert. So sieht das schematisch aus:
So richten Sie Conditional Access App Control ein:
Um die oben gelisteten Funktionen zu aktivieren, müssen die entsprechenden Apps im Cloud-Security-Center registriert werden. Erreichbar ist die Liste über diesen Link: https://portal.cloudappsecurity.com/#/connected-apps?tab=proxy (Lizenz erforderlich). In der ursprünglichen Einstellung ist die Liste leer:
App registrieren – Weg 1:
Um nun eine neue App hier zu registrieren, gibt es zwei Vorgehensweisen. So können Sie etwa den Wizard in Cloud App Security Wizard aufrufen, über Investigate > Connected Apps > Conditional Access App Control Apps.
App registrieren – Weg 2:
Noch einfacher geht es, indem Sie eine Conditional Access Policy als Einstieg verwenden:
- Rufen Sie im Azure AD Security Conditional Access auf
- Richten Sie eine neue Richtlinie (Policy) ein
- Wählen Sie bei Access controls die Funktion Session aus
- Wählen Sie die Option Use Conditional Access App Control
- Setzen Sie die Einstellung Use custom policy to set and advanced policy in Cloud App Security
Vereinfachung: Alle Apps automatisch registrieren lassen
Konfigurieren Sie nun in den Menüs Users and Groups die Richtlinie so, dass sie in jedem Fall beim nächsten Aufruf einer zu registrierenden App greift. Damit erreichen Sie, dass alle Apps, die über das Azure AD authentifiziert werden, in Cloud App Security unter Conditional Access App Control automatisch registriert werden:
Der beschriebene Weg funktioniert zunächst nur für die Featured Apps. Damit diese Option auch für die Office 365 Featured Apps funktioniert, muss Office 365 unter Connected Apps in Cloud App Security registriert sein:
Sobald eine App registriert ist können Session Policies erstellt werden, die sich dann auswirken, wenn mit der App zugegriffen wird.
Beispiel: So blockieren Sie bestimmte Downloads
Ein Beispielfall für eine regelbasierende Richtlinie wäre das Blockieren von Downloads, in denen der Begriff „confidential“ enthalten ist. Das Einrichten erfolgt nach diesem Muster:
So werden Anwender über die App-Überwachung informiert:
Wie verhält sich eine solche Absicherung von Apps aus Sicht der Anwender? Immer wenn sie eine App öffnen, bekommen sie die Information, dass der Zugriff durch Cloud App Security überwacht wird. Dass hier nun ein Proxy beteiligt ist, erkennt man auch an der URL. Diese hat nun den Zusatz access-control.cas.ms:
Versucht ein Benutzer nun, ein geblocktes Dokument herunterzuladen, erhält er folgende Meldung:
Weitere Einsatzmöglichkeiten
- Überwachen / Blockieren von Aktivitäten basierend auf Dateibedingungen wie Klassifizierungsetikett, Dateiname, Dateigröße oder Dateierweiterung
- Überwachen / Blockieren von Aktivitäten wie Ausschneiden/Kopieren, Einfügen, Drucken, Senden
- Blockieren von Downloads auf Basis von Bedingungen
- Klassifizierungslabel auf Downloads anwenden
- Anwenden von Regeln basierend auf Maleware-Erkennung
- Gefährliche Microsoft 365-Lücke: Wie Sie illegale Zugriffe über Power-Platform-Gastkonten verhindern - 11. September 2023
- Eigene Daten im ChatGPT-Stil erforschen: So nutzen Sie Azure OpenAI und Azure Cognitiv Search für interne KI-Lösungen - 17. Juli 2023
- Mit dem Security Copilot führt Microsoft einen KI-Assistenten für IT-Sicherheit ein - 30. März 2023