TEIL 13 – Umstellung auf MS 365: Kein Login aus Asien (oder) „Bedingten Zugriff“ für Microsoft-Accounts einrichten – Tipps und Don’ts

Geschrieben am 15.12.2023 von:

Markus Trinh

IT-Coordinator/CRM | E-Learning Manager
zum Profil

Kontaktiere mich:

+49 (0) 7531 – 92177 20
E-Mail senden

Im letzten Beitrag haben wir uns mit der Wichtigkeit von Passwörtern und der zusätzlichen Absicherung mittels Multi-Faktor-Authentifizierung (MFA), auch Zwei-Faktor-Authentifizierung (2FA) genannt, beschäftigt. Denn der Vorteil, dass ein Login in die Browser-Version unseres Microsoft-Outlooks aus der ganzen Welt möglich ist, kann auch von Hackern ausgenutzt werden. Schnell kann ein unsicheres Passwort erraten werden. Wir wissen nun, dass wir die Sicherheit erhöhen und die Wahrscheinlichkeit eines unbefugten Zugriffs minimieren können, indem wir für unsere Accounts die Multi-Faktor-Authentifizierung einrichten. Doch es gibt noch mehr, dass wir tun können.

Bedingter Zugriff

Hinter diesem nüchternen Begriff verbirgt sich eine sehr effektive Methode, die Sicherheit weiter zu erhöhen. Mit eingerichteten bedingten Zugriffsregeln, auch Richtlinien genannt, können bestimmte Bedingungen kategorisch definiert werden, die erfüllt sein müssen, um einen Login zu erlauben oder zu verhindern.

Simples Beispiel: Eine Firma oder Organisation ist in Deutschland ansässig, besteht aber aus mehreren Standorten, wobei sich die meisten dieser Standorte ebenfalls in Deutschland befinden. Zwei der Standorte befinden sich in Österreich und in der Schweiz. Mobiles Arbeiten (Home-Office) wird für die Mitarbeitenden ermöglicht, ist aber über eine Betriebsvereinbarung auf die Länder der Standorte beschränkt.

In diesem Szenario können wir davon ausgehen, dass ein Login in einen Microsoft-Account eines Mitarbeitenden, der außerhalb der sogenannten DACH-Region erfolgt, mindestens als verdächtig einzustufen ist oder gar nicht erst erfolgen dürfte. Mit einer bedingten Zugriffsrichtlinie können wir einen solchen Zugriff einfach unterbinden.

Und der bedingte Zugriff kann noch mehr: Natürlich kann die Länderliste nach Bedarf angepasst werden, es kann definiert werden, für welche Benutzer oder Benutzergruppen diese Richtlinie gelten soll und es können einzelne Anwendungen oder Dienste (Cloud-App) ein- oder ausgeschlossen werden. Auch können über solche Richtlinien bestimmte Benutzeraktionen, wie zum Beispiel die Registrierung eines neuen Gerätes, gesteuert oder bestimmte Geräteplattformen (Betriebssysteme) unterbunden werden. So können zum Beispiel Endgeräte mit den Betriebssystemen Android und Windows Phone ausgeschlossen werden, wenn ohnehin keine Android- und Windows-Phone-Geräte im Einsatz sind.

Durch die Kombination einfacher Richtlinieneigenschaften kann schnell ein gutes Konstrukt gebaut werden, welches die Sicherheit effektiv erhöht. Nachstehend haben wir euch ein paar Tipps und Don‘ts zusammengestellt:

Tipps:

  • Verschaffe dir einen Überblick über die Infrastruktur – Welche Betriebssysteme sind im Einsatz und an welchen Arbeitsorten/Ländern kommt Microsoft 365 zum Einsatz?
  • Erstelle zunächst analog ein Regelwerk.
  • Bringe dabei die IT-Abteilung und die Fachabteilungen an einen Tisch, um alle Szenarien abzudecken und die Möglichkeiten zu besprechen.
  • Berücksichtige gegebenenfalls unterschiedliche Benutzergruppen, zum Beispiel den Innendienst, Mitarbeitende im Home-Office oder auch den Außendienst. Der Außendienst kann z.B. auch regelmäßig im Ausland unterwegs sein. Falls Mitarbeitende die Möglichkeit haben, vom Ausland aus zu arbeiten (Workation), ist dies ebenfalls zu berücksichtigen.
  • Stelle sicher, dass durch das definierte Regelwerk keine Benutzer versehentlich ausgesperrt werden.
  • Testweise können diese Richtlinien temporär auch als „Nur Bericht“ umgesetzt werden. So kann niemand versehentlich ausgesperrt werden, aber der Administrator erhält einen Bericht, wenn die Richtlinie angewendet wurde.
  • Informiere alle Mitarbeitende noch vor der Umsetzung über die Einführung der Richtlinien.
  • Setze das Regelwerk um und überprüfe, ob es wirkungsvoll ist.

Don’ts:

  • Gehe mit Bedacht an die Umsetzung heran und plane diese sorgfältig.
  • Richtlinien, die versehentlich Benutzer oder Benutzergruppen aussperren, behindern den Betrieb und damit das Tagesgeschäft.
  • Benutzer, die im Vorfelde nicht informiert werden, können, wenn etwas nicht funktioniert, schwer herausfinden, woran dies liegen könnte.
  • Beachte, dass Hinweismeldungen von Microsoft an den Benutzer nicht immer eindeutig sind und nicht von allen Benutzern verstanden werden.

Der „Bedingte Zugriff“ ist im „Microsoft Entra Admin Center“ im Bereich „Schutz“ zu finden. Die Konfiguration kann schnell unübersichtlich werden und die Auswirkungen sollten zunächst mit Testbenutzern und anschließend mit einem kleineren Benutzerkreis ausgiebig getestet werden. Der interne IT-Ansprechpartner oder der externe IT-Dienstleister kann hier kompetent unterstützen.

Insgesamt lohnt es sich jedoch, den „Bedingte Zugriff“ zu nutzen, um – in Kombination mit anderen Sicherheitsmaßnahmen – ein hohes Sicherheitsniveau zu gewährleisten.

Du brauchst rechtliche und technische Unterstützung? Wir helfen dir dabei! Erfahre hier, wie wir dich unterstützen können.

Zurück zu den News