Mit Conditional Access lassen sich Zugriffsregeln definieren, die genau steuern, wann und wie Nutzer auf Unternehmensressourcen zugreifen dürfen. Dabei spielen Faktoren wie der Standort, das genutzte Gerät oder die Multi-Faktor-Authentifizierung eine zentrale Rolle. Microsoft Entra erweitert diese Möglichkeiten stetig mit neuen Funktionen und Signalen, um die Sicherheit weiter zu erhöhen. In diesem Blogbeitrag stellen wir aktuelle Entwicklungen vor – darunter die neuen Authentication Flow Policies – und geben praktische Tipps, wie Sie Ihre Zugriffsregeln auf dem neuesten Stand halten.
Mit Conditional Access können diverse Regeln erstellt werden, die steuern, ob und unter welchen Bedingungen User auf Ressourcen zugreifen können, die über Microsoft Entra authentisiert werden. So kann etwa die Verwendung von MFA verlangt oder der Zugriff von bestimmten Standorten oder Endgeräten blockiert werden. Diese Regeln basieren auf Signalen, die bei der Authentisierung vom Client bzw. User an Entra übermittelt werden.
Conditional Access Policy Engine (Quelle: Microsoft)
Die Möglichkeiten von Conditional Access werden laufend erweitert – entweder durch neue Signale oder durch zusätzliche Funktionen in Microsoft Entra. Die dazugehörenden Security Empfehlungen und Best Practices von Microsoft werden laufen aktualisiert. Daher sollten auch die Conditional-Access-Regeln im eigenen Tenant regelmässig überprüft und bei Bedarf angepasst werden.
Eine der neuesten Funktionen sind die Authentication Flow Policies. Damit kann gesteuert werden, welche Authentication Flows ein Benutzer verwenden darf. Aktuell betrifft dies die Device Code Authentication sowie Authentication Transfer.
Microsoft hat hierzu neue empfohlene Richtlinien veröffentlicht, in denen empfohlen wird, beide Authentication Flows zu blockieren (Block authentication flows with Conditional Access policy - Microsoft Entra ID | Microsoft Learn).
Bithawk teilt diese Empfehlung, jedoch sollte bei der Umsetzung sorgfältig geprüft werden, dass bestehende Use Cases nicht unbeabsichtigt blockiert werden.
Device Code Flows erlauben die Anmeldung auf einem Gerät, indem der eigentliche Login-Vorgang auf einem anderen Gerät durchgeführt und anschliessend übertragen wird. Dabei wird ein Device Code generiert, mit dem sich der Benutzer auf einer speziellen Anmeldeseite authentifizieren kann. Das Login auf dem ursprünglichen Gerät wird dann automatisch übernommen. Diese Methode wird vor allem bei Geräten ohne Eingabemöglichkeit oder ohne grafische Oberfläche (GUI) eingesetzt, da dort keine direkten Login-Daten oder MFA-Eingaben möglich sind.
Solche Logins gelten jedoch als High-Risk, weil der Ort der Authentisierung vom Gerät, auf dem der Zugriff erfolgt, entkoppelt wird. Sie werden daher häufig in Phishing-Angriffen missbraucht und sollten – wenn nicht benötigt – grundsätzlich blockiert werden.
In bestimmten Fällen, etwa beim Zugriff auf Microsoft Graph von einer Linux-Appliance ohne GUI, benötigen Administratoren dennoch gelegentlich den Device Code Flow. In solchen Fällen muss der betreffende Admin-Account temporär in die Exclusions aufgenommen werden. Falls es weitere Szenarien für solche Logons gibt (z.B. User Authentication an Konferenzgeräten), müssen entsprechende Exklusionen gezielt definiert werden.
Der Authentication Transfer Flow erlaubt es Benutzern, eine bestehende Authentisierung auf ein anderes Gerät zu übertragen. So kann beispielsweise ein Login vom Outlook auf einem Desktop-Client per QR-Code-Scan an die Outlook Mobile App auf einem Smartphone übertragen werden. Dies erleichtert das mobile Anmelden, eröffnet aber auch neue Angriffsmöglichkeiten.
Wird der Authentication Transfer Flow nicht aktiv genutzt, sollte er entsprechend blockiert werden. Wird er hingegen verwendet (um den Usern das Login auf Mobile Devices zu erleichtern), sollte eine flankierende Conditional Access Policy eingesetzt werden, die den Transfer nur in bestimmten Szenarien oder von bestimmten Orten erlaubt.
Möchten Sie eine Demo erhalten oder benötigen Sie weitere Informationen? Zögern Sie nicht und kontaktieren Sie uns. Sie erreichen uns unter marketing@bithawk.ch oder 058 226 01 01. Unsere Experten stehen Ihnen gerne zur Verfügung.
Zukunftsbeständige IT: Trends für 2025 – Teil 1
Open Source & Effizienz: Wie DeepSeek die KI-Welt in Aufruhr versetzt
Cybersecurity Risikomanagement mit dem BitHawk Framework