Mehr Sicherheit im (Home-)Office 365 mit Conditional Access und Cloud App Security

Zu den Lehren des ereignisreichen Jahres 2020 gehört auch, dass sich Büroarbeitsplätze erstaunlich schnell in weit verteilte Home-Offices auslagern lassen. Sogar in Unternehmen, die zuvor wenig Ambitionen für das Arbeiten aus der Ferne zeigten. Allerdings bringen derart großflächig vernetzte Arbeitsplatzumgebungen auch ganz neue Herausforderungen für die IT – speziell in Sachen  Sicherheit. Microsoft 365 bietet inzwischen etliche Funktionen, mit denen Administratoren viele Erfordernisse bei Sicherheit und Compliance in den Griff bekommen – vor allem mit Microsoft Cloud App Security und Conditional Access.

Eingeschränkter Zugriff und App-Überwachung

Conditional Access gehört zum Azure AD-Portfolio und bietet wichtige Grundfunktionen zur Zugriffskontrolle. Mittels regelbasierender Funktionen, die durch Signale oder Verhaltensweisen auf Nutzerseite gesteuert werden, kann der Zugriff auf Cloud-Dienste zugelassen oder blockiert werden. Vieles beruht dabei auf simplen Wenn-Dann-Entscheidungen. Möchte beispielsweise ein Mitarbeiter aus der Buchhaltung auf seine Finanzapplikation zugreifen, wird er aufgefordert, sich per Multifaktor-Authentifizierung anzumelden.

Funktionsweise von Conditional Access: Das Signal einer Nutzeraktion wird verifiziert und führt zu einer Freigabe oder Ablehnung.

Über die Use Conditional Access App Control aus dem Bereich Session Controls können auch folgende Szenarien behandelt werden:

  • Datenableitung verhindern
  • Schutz beim Herunterladen
  • Uploads von nicht gekennzeichneten Dateien unterbinden
  • Potenzielle Malware blockieren
  • Sitzungen nach Compliance-Anforderungen überwachen
  • Zugriff blockieren
  • Benutzerdefinierte Aktivitäten blockieren

Beispiel für Conditional Access App Control:

  • Eine Vertraulichkeitsbezeichnung (Sensitivity Label) kann automatisch vergeben werden, wenn eine Datei heruntergeladen wird
  • Filter lassen sich mittels regulärer Ausdrücke (Regular Expressions) anwenden, so etwa “Dateien einschließen, die einem bestimmten Ausdruck entsprechen”
  • Uploads lassen sich blockieren, falls Maleware entdeckt wird

Die Basis für diese Sicherheitsfunktionen bildet der Dienst Cloud App Security, der als Proxy für den Zugriff auf die Anwendung agiert. So sieht das schematisch aus:

Cloud App Security

So richten Sie Conditional Access App Control ein:

Um die oben gelisteten Funktionen zu aktivieren, müssen die entsprechenden Apps im Cloud-Security-Center registriert werden. Erreichbar ist die Liste über diesen Link: https://portal.cloudappsecurity.com/#/connected-apps?tab=proxy (Lizenz erforderlich). In der ursprünglichen Einstellung ist die Liste leer:

App registrieren – Weg 1:

Um nun eine neue App hier zu registrieren, gibt es zwei Vorgehensweisen. So können Sie etwa den Wizard in Cloud App Security Wizard aufrufen, über Investigate > Connected Apps > Conditional Access App Control Apps.

App registrieren – Weg 2:

Noch einfacher geht es, indem Sie eine Conditional Access Policy als Einstieg verwenden:

  • Rufen Sie im Azure AD Security Conditional Access auf
  • Richten Sie eine neue Richtlinie (Policy) ein
  • Wählen Sie bei Access controls die Funktion Session aus
  • Wählen Sie die Option Use Conditional Access App Control
  • Setzen Sie die Einstellung Use custom policy to set and advanced policy in Cloud App Security

Vereinfachung: Alle Apps automatisch registrieren lassen

Konfigurieren Sie nun in den Menüs Users and Groups die Richtlinie so, dass sie in jedem Fall beim nächsten Aufruf einer zu registrierenden App greift. Damit erreichen Sie, dass alle Apps, die über das Azure AD authentifiziert werden, in Cloud App Security unter Conditional Access App Control automatisch registriert werden:

Der beschriebene Weg funktioniert zunächst nur für die Featured Apps. Damit diese Option auch für die Office 365 Featured Apps funktioniert, muss Office 365 unter Connected Apps in Cloud App Security registriert sein:

Sobald eine App registriert ist können Session Policies erstellt werden, die sich dann auswirken, wenn mit der App zugegriffen wird.

Beispiel: So blockieren Sie bestimmte Downloads

Ein Beispielfall für eine regelbasierende Richtlinie wäre das Blockieren von Downloads, in denen der Begriff „confidential“ enthalten ist. Das Einrichten erfolgt nach diesem Muster:

Blockieren von Downloads, die den Begriff „confidential“ enthalten.

So werden Anwender über die App-Überwachung informiert:

Wie verhält sich eine solche Absicherung von Apps aus Sicht der Anwender? Immer wenn sie eine App öffnen, bekommen sie die Information, dass der Zugriff durch Cloud App Security überwacht wird. Dass hier nun ein Proxy beteiligt ist, erkennt man auch an der URL. Diese hat nun den Zusatz access-control.cas.ms:

Monitoring-Hinweis für die Benutzer, hier beim Starten von SharePoint Online.

Versucht ein Benutzer nun, ein geblocktes Dokument herunterzuladen, erhält er folgende Meldung:

„Herunterladen nicht erlaubt.“

 

Weitere Einsatzmöglichkeiten

  • Überwachen / Blockieren von Aktivitäten basierend auf Dateibedingungen wie Klassifizierungsetikett, Dateiname, Dateigröße oder Dateierweiterung
  • Überwachen / Blockieren von Aktivitäten wie Ausschneiden/Kopieren, Einfügen, Drucken, Senden
  • Blockieren von Downloads auf Basis von Bedingungen
  • Klassifizierungslabel auf Downloads anwenden
  • Anwenden von Regeln basierend auf Maleware-Erkennung
Subscribe
Benachrichtige mich zu:
0 Comments
Inline Feedbacks
View all comments