Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Übersicht
Microsoft Entra ID führt ein verbessertes Erzwingungsmodell für Richtlinien zum bedingten Zugriff ein, die auf alle Ressourcen abzielen und einen oder mehrere Ressourcenausschlüsse enthalten. Diese Änderung stellt sicher, dass Anmeldungen, die nur Basisplanbereiche anfordern, dieselben Schutzmechanismen für bedingten Zugriff wie andere Ressourcenzugriffe erhalten.
Zuvor wurden bestimmte Bereiche mit niedriger Berechtigung automatisch von der Richtlinienerzwingung ausgeschlossen, wenn ein Ressourcenausschluss vorhanden ist. Mit dieser Änderung werden diese Bereiche jetzt als Verzeichniszugriff ausgewertet und unterliegen Ihren Richtlinien für bedingten Zugriff.
Ausführliche Informationen zum technischen Hintergrund finden Sie unter "Neues Verhalten bei bedingtem Zugriff", wenn eine ALL-Ressourcen-Richtlinie einen Ressourcenausschluss beinhaltet.
Von Bedeutung
Dieses Erzwingungsupdate steht im Einklang mit der Secure Future Initiative von Microsoft und den Investitionen in die Verteidigungstiefe. Microsoft empfiehlt, das neue Erzwingungsmodell zu übernehmen, um Ihren Sicherheitsstatus zu verbessern.
Wer betroffen ist
Diese Änderung wirkt sich auf Ihren Mandanten aus, wenn alle folgenden Bedingungen erfüllt sind:
- Sie verfügen über eine oder mehrere Richtlinien für den bedingten Zugriff, die auf alle Ressourcen abzielen.
- Diese Richtlinien weisen einen oder mehrere Ressourcenausschlüsse auf.
- Benutzer in Ihrem Mandanten melden sich über Anwendungen an, die nur Basiswerte anfordern.
Wenn Ihre Richtlinien auf "Alle Ressourcen" ohne Ressourcenausschlüsse abzielen, wirkt sich diese Änderung nicht auf Sie aus.
Was sind Basisbereiche?
„Baseline-Bereiche“ ist ein Oberbegriff für die folgenden Bereiche:
-
OpenID Connect (OIDC)-Bereiche:
email,offline_access, ,openidprofile -
Basisverzeichnisbereiche:
User.Read, ,User.Read.All,User.ReadBasic.AllPeople.Read,People.Read.All, , ,GroupMember.Read.AllMember.Read.Hidden
Was ändert sich?
Nach dem Rollout können die folgenden Szenarien jetzt Herausforderungen für den bedingten Zugriff (z. B. MFA oder Gerätecompliance) auslösen, bei denen der Zugriff zuvor ohne Erzwingung gewährt wurde:
-
Öffentliche Clientanwendungen (z. B. Desktop-Apps), die nur Basiswerte anfordern. Beispielsweise meldet sich ein Benutzer bei Visual Studio Code Desktopclient an, der
openidundprofileBereiche anfordert oder Azure CLI, die nurUser.Readanfordert. -
Vertrauliche Clientanwendungen (z. B. Web-Apps), die von einer Richtlinie "Alle Ressourcen" ausgeschlossen sind und nur basisplanbezogene Verzeichnisbereiche anfordern. Beispielsweise eine Webanwendung, die von der Richtlinie ausgeschlossen ist, die nur
User.Readanfordert undPeople.Read.
Die genauen Herausforderungen hängen von den in Ihren Richtlinien konfigurierten Zugriffssteuerungen ab, die auf alle Ressourcen abzielen oder explizit als Ressource auf Windows Azure Active Directory (Microsoft Entra ID Verzeichnis) abzielen.
Was sich nicht ändert
- Wenn eine Anwendung (öffentlich oder vertraulich) einen Umfang anfordert, der über die grundlegenden Bereiche hinausgeht (z. B.
Mail.Read), unterliegt die Anwendung bereits den Bedingungen des bedingten Zugriffs. Dieses Verhalten ändert sich nicht. - Für vertrauliche Clientanwendungen, die von allen Ressourcenrichtlinien ausgeschlossen sind und nur OIDC-Bereiche anfordern, wird keine Änderung erwartet.
Was Sie jetzt tun müssen
Verwenden Sie die folgende Tabelle, um die erforderlichen Aktionen für Ihre Anwendungen zu ermitteln:
| Anwendungstyp | Eigentum | Aktion erforderlich |
|---|---|---|
| Öffentlicher Client, der nur Basiswerte anfordert | Beliebig | Überprüfen Sie, ob diese Anwendungen von der Erzwingung des bedingten Zugriffs ausgenommen bleiben sollen. Wenn es berechtigte geschäftliche Gründe für die Beibehaltung einer Ausnahme gibt, siehe Beibehalten des überkommenen Verhaltens mit Baseline-Bereichseinstellungen. |
| Vertraulicher Client, der nur Basisverzeichnisberechtigungen anfordert und von der Richtlinie "Alle Ressourcen" ausgenommen ist. | Mietereigen | Überprüfen Sie, ob der Ausschluss noch erforderlich ist. Arbeiten Sie mit Ihren Anwendungsentwicklern zusammen, um zu beurteilen, ob die App OIDC-Bereiche (z. B. openid, profile) anstelle von Verzeichnisbereichen wie User.Read für grundlegende Benutzerinformationen anfordern kann. Wenn Updates vor dem Rollout nicht abgeschlossen werden können, lesen Sie "Beibehalten des Legacy-Verhaltens mit den grundlegenden Bereichseinstellungen". |
| Vertraulicher Client, der nur Basisverzeichnisberechtigungen anfordert und von der Richtlinie "Alle Ressourcen" ausgenommen ist. | ISV gehörend | Überprüfen Sie, ob der Ausschluss noch erforderlich ist. Wenden Sie sich an Ihren ISV, um zu bewerten, ob die Anwendung OIDC-Bereiche anstelle von Verzeichnisbereichen anfordern kann. In den meisten Fällen bieten OIDC-Scopes den für diese Szenarien erforderlichen Zugang mit minimalen Rechten. Wenn ISV die Aktualisierungen nicht rechtzeitig vornehmen kann, siehe Beibehalten des überkommenen Verhaltens mit Baseline-Bereichseinstellungen. |
Von Bedeutung
Stellen Sie für öffentliche und vertrauliche Clientanwendungen im Besitz Ihres Mandanten sicher, dass die Anwendung Herausforderungen für bedingten Zugriff (z. B. MFA oder Gerätecompliance) bewältigen kann. Falls nicht, sind möglicherweise Anwendungsupdates erforderlich. In den Entwickleranleitungen für bedingten Zugriff erfahren Sie, wie Sie Ihre Anwendung entsprechend aktualisieren.
Wie man die Auswirkungen bewertet
Vorschau der Durchsetzungsänderung
Sie können eine Vorschau des verbesserten Erzwingungsverhaltens anzeigen, bevor das Rollout beginnt:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Conditional Access-Administrator an.
- Greifen Sie auf die Einstellungen für Baseline-Bereiche im Bedingten Zugriff zu. Dieser direkte Link ist erforderlich, um die Vorschaueinstellungen anzuzeigen.
- Wählen Sie default-Zielressource (Windows Azure Active Directory) aus.
- Wählen Sie "Speichern" aus.
Hinweis
Diese Einstellung aktiviert sofort das aktualisierte Verhalten des bedingten Zugriffs für alle Ressourcenrichtlinien mit Ausschlüssen.
Daher können einige Benutzeranmeldungen, die zuvor nicht der Erzwingung durch die Zertifizierungsstelle unterlagen, nun im Rahmen des bedingten Zugriffs unter Verwendung von Windows Azure Active Directory als Zielressource erzwungen werden.
Um zum überkommenen Verhalten zurückzukehren, wählen Sie Zurücksetzen in den Baseline-Bereichseinstellungen aus.
Wenn keine benutzerdefinierte Zielressource ausgewählt ist, wird das Rollout basierend auf Windows Azure Active Directory als Standardzielressource für Basisplanbereiche in Phasen erzwungen.
Identifizieren betroffener Anwendungen mit einer benutzerdefinierten Zielressource
Sie können die Baseline-Bereichseinstellungen verwenden, um zu ermitteln, welche Anwendungen in Ihrem Mandanten betroffen sind. Sobald die Vorschaueinstellung aktiviert ist, werden Anmeldeereignisse, bei denen die Anwendungen basisplanbezogene Bereiche anfordern, die benutzerdefinierte Anwendung als Benutzergruppe für bedingten Zugriff in Anmeldeprotokollen auflisten. Weitere Informationen finden Sie unter Problembehandlung bei Anmeldeproblemen mit bedingtem Zugriff.
Abfrage für betroffene Anwendungen
Verwenden Sie die folgende Microsoft Graph Abfrage, um Anwendungen auflisten, die nur die Basiswerte anfordern:
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=conditionalAccessAudiences/any(a:a eq '<your-custom-app-id>')&$select=appId,appDisplayName
Ersetzen Sie <your-custom-app-id> durch die App-ID Ihrer benutzerdefinierten Anwendung.
Im Laufe eines mehrtägigen Zeitraums ergibt diese Abfrage eine Liste von Clientanwendungen, die nur grundlegende Bereiche anfordern.
Beibehalten des überkommenen Verhaltens mit Baseline-Bereichseinstellungen
Hinweis
Microsoft empfiehlt, sich am neuen Erzwingungsmodell zu orientieren. Verwenden Sie basisplanbezogene Bereichseinstellungen nur, wenn Sie bestimmte Szenarien haben, für die das Legacyverhalten erforderlich ist.
Baseline-Bereichseinstellungen werden auf Mandantenebene konfiguriert und ermöglichen die Verwendung einer benutzerdefinierten mandanteneigenen Anwendung als Zielressource für Baseline-Bereiche. Indem Sie diese benutzerdefinierte Anwendung aus bestimmten Ressourcenrichtlinien ausschließen, können Sie das Legacyverhalten beibehalten.
Wer sollte diese Einstellung verwenden?
Verwenden Sie diese Einstellung, wenn Sie bestimmte Szenarien haben, für die Sie das Legacyverhalten beibehalten müssen. Beispielszenarios umfassen:
- Alle Ressourcenrichtlinien, für die eine kompatible Geräteerteilungssteuerung erforderlich ist: Anwendungen, die von dieser Richtlinie ausgeschlossen sind, da sie von nicht verwalteten Geräten aus zugänglich sein müssen.
- Alle Ressourcenrichtlinien, für die die Gewährung einer App-Schutzrichtlinie gesteuert werden muss: Clientanwendungen, die nicht in das Intune-SDK integriert sind und die App-Schutzrichtlinie nicht erfüllen können.
- Alle Ressourcenrichtlinien mit Blocksteuerung: Clientanwendungen, die aus der Blockrichtlinie ausgeschlossen werden müssen.
- Öffentliche Clients, die von konformen Geräteanforderungen ausgenommen werden müssen: Aufgrund bestimmter Sicherheits- und Compliancegründe.
Häufig gestellte Fragen
Wie kann ich eine Vorschau der Erzwingungsänderung vor dem Rollout anzeigen?
Wechseln Sie zu https://aka.ms/BaselineScopesSettingsUX, wählen Sie die Zielressource default (Windows Azure Active Directory) aus, und wählen Sie Speichern aus. Diese Einstellung erzwingt sofort das verbesserte Verhalten. Um zurückzusetzen, wählen Sie "Zurücksetzen" aus. Weitere Informationen finden Sie unter Vorschau der Erzwingungsänderung.
Wie kann ich das bestehende Verhalten nach dem Rollout beibehalten?
Verwenden Sie Baseline-Bereichseinstellungen, um eine benutzerdefinierte mandanteneigene Anwendung als Zielressource für Baseline-Bereiche zuzuweisen, und schließen Sie diese Anwendung dann von Ihren Alle-Ressourcen-Richtlinien aus. Weitere Informationen finden Sie unter Beibehalten des Legacy-Verhaltens mit Baseline-Bereichseinstellungen.
Muss ich alle Anwendungen aktualisieren?
Nein. Nur Anwendungen, die ausschließlich Basislinebereiche anfordern und von den Richtlinien für alle Ressourcen mitsamt den Ressourcenausschlüssen betroffen sind, benötigen Aufmerksamkeit. Anwendungen, die Bereiche über das Baseline-Niveau anfordern (z. B. Mail.Read), unterliegen bereits der Erzwingung des bedingten Zugriffs und sind von dieser Änderung nicht betroffen.