Heutzutage bevorzugen Unternehmen cloudbasierte Modelle gegenüber traditionellen, infrastrukturintensiven Modellen, die hohe Wartungskosten verursachen. Mit Cloud Computing ist es schwierig geworden, den Zugriff auf Unternehmensdokumente und -daten, die für ein Unternehmen von entscheidender Bedeutung sind, zu kontrollieren. Früher reservierten IT-Teams den gesamten Zugriff auf Unternehmensdaten und -dokumente hinter einer Unternehmens-Firewall und gewährten den Zugriff nur autorisierten Quellen und Geräten im Netzwerk. Da Unternehmen derzeit BYOD-Richtlinien (Bring Your Own Device) anwenden, funktioniert der bedingte Zugriff am besten, um zu entscheiden, ob einem Benutzergerät Zugriff gewährt werden muss oder nicht.
Was ist bedingter Zugriff?
Beim bedingten Zugriff handelt es sich um eine Reihe von IT-Administratorrichtlinien, die steuern, welche Geräte Zugriff auf Unternehmensdaten, geschäftliche E-Mails und andere Ressourcen haben. Dabei handelt es sich um eine Funktion von Microsoft Azure AD, die nur Geräten oder Benutzern Zugriff gewährt, die für die festgelegten Richtlinien konfiguriert sind. Es funktioniert gut mit der Office 365-Anwendungssuite und auch mit SaaS-Produkten wie MDM-Lösungen (Mobile Device Management), die in Azure Active Directory (AD) integriert sind.
Das System des bedingten Zugriffs ermöglicht es, Bedingungen für die Verwaltung von Sicherheitskontrollen zu schaffen. Es eignet sich am besten für BYOD-Bereitstellungen. In einem BYOD-EinrichtungUnternehmensdaten bleiben den persönlichen Geräten der Mitarbeiter zugänglich und können gefährdet werden, wenn sie nicht in einem MDM registriert sind. Eine in Azure AD integrierte MDM-Lösung hilft IT-Administratoren dabei, Richtlinien für bedingten Zugriff zu definieren, um Unternehmensdaten zu schützen und unbefugten Zugriff zu verhindern Verwendung von Identitätsschutz zu geschäftlichen E-Mails. Der blockierte E-Mail-Zugriff für Exchange Online blockiert zusätzlich den Zugriff auf Unternehmenslaufwerke, Dateien und Ordner.
Bedarf und Vorteile des bedingten Zugriffs
Derzeit sind Geräte, die für die Unternehmensarbeit verwendet werden, entweder Eigentum des Unternehmen (COPE) oder Mitarbeiter (BYOD). Für IT-Administratoren ist es sehr umständlich und manuell aufwändig, Geräte einzeln zu steuern, um Unternehmensdaten zu schützen. Ein in Office 365 integriertes MDM für bedingten Zugriff erleichtert IT-Administratoren die Aufgabe, indem es Benutzer dazu zwingt, ihre Geräte bei der MDM-Software des Unternehmens zu registrieren. Geschieht dies nicht, qualifiziert der bedingte Zugriff die nicht registrierten Geräte nicht und schränkt den Zugriff der Benutzer ein geschäftliche E-Mails und Daten.
Passwörter reichen nicht mehr aus, um vor unbefugtem Zugriff und den Hacking-Mechanismen zu schützen, die das größte Risiko für digitale Daten darstellen. Laut Recherche ca 81 % der Cyberangriffe passieren aufgrund schwacher oder gestohlener Passwörter. Solchen Geräten fehlt eine zusätzliche Sicherheitsebene, und der bedingte Zugriff ist die zusätzliche Sicherheit, die die Cybersicherheit des gesamten Unternehmens erhöht.
Der bedingte Zugriff ist für Unternehmen die beste Möglichkeit, ihre Sicherheitskontrollen einfach zu verwalten Durchsetzung von Richtlinien mithilfe eines MDM. Es vereinfacht die Arbeit des IT-Teams, indem es den Zugriff automatisiert und so die Sicherheitsmechanismen der Organisation stärkt. Im Folgenden sind einige seiner Vorteile aufgeführt:
A. Der bedingte Zugriff erhöht die Systemsicherheit, indem er Faktoren wie die Verfolgung des Anmeldeorts oder die Überprüfung der Geräteidentität einbezieht.
B. Es schützt Daten auf Geräten, indem es den Zugriff auf Daten einschränkt, wenn bestimmte Bedingungen nicht erfüllt sind. Beispielsweise würde der Benutzerzugriff blockiert, wenn das Gerät versucht, auf Informationen von außerhalb des vom IT-Administrator vordefinierten und als Sicherheitsparameter festgelegten geografischen Bereichs zuzugreifen.
C. IT-Administratoren können eine Verteidigungslinie für den Zugriff auf bestimmte Daten einrichten. Beispielsweise können nur rollenspezifische Mitarbeiter auf Daten zugreifen, die sich auf eine bestimmte Rolle beziehen. IT-Administratoren können außerdem Beschränkungen für den Download von Apps und Dokumenten auf ausschließlich autorisierte Quellen festlegen.
D. Schutzrichtlinien wie Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung können festgelegt werden, um ein höheres Maß an Sichtbarkeit und Zugriffskontrolle zu ermöglichen.
E. Benachrichtigungen über Richtlinien für den bedingten Zugang können bei der Beobachtung ungewöhnlicher Aktivitätsmuster helfen und zur Risikominderung beitragen.
F. Die Zugriffskontrolle verbessert auch die Gerätekonformität mit den festgelegten Sicherheitsrichtlinien der Organisation.
G. Es fügt einen zusätzlichen Sicherheitspuffer für Unternehmensinformationen hinzu und stellt sicher, dass nur autorisierte Geräte auf Daten und Apps zugreifen können.
Wichtige Must-haves in Richtlinien für bedingten Zugriff
Drei entscheidende Elemente stehen hinter der Aktivierung des bedingten Zugriffs: Zuweisungen, Zugriffskontrollen und Richtlinienaktivierung.
Zuordnungen:
In diesem Teil wird definiert, was zutreffen muss, damit die Richtlinieneinstellungen wirksam werden. Er kann in die folgenden drei Bereiche unterteilt werden:
- Benutzer und Gruppen: In diesem Bereich wird angegeben, wen die Richtlinie einschließt oder ausschließt. Die Richtlinie kann für alle einzelnen Benutzer oder Benutzergruppen gelten.
- Cloud-Apps oder -Aktionen: Sie können angeben, welche Apps in Ihrer Cloud-Umgebung oder Aktionen die Richtlinie einschließen oder ausschließen soll. Beispielsweise können für diejenigen, die auf Office 365 zugreifen, und für diejenigen, die auf andere Apps zugreifen, unterschiedliche Richtlinien gelten.
- Bedingungen – Für die Gewährung des Zugriffs können Bedingungen festgelegt werden, die auch als „Signale“ bezeichnet werden. Dazu können bestimmte Gerätestandorte, Netzwerke, Gerätebetriebssystem und Identitätsauthentifizierung gehören, um die Sichtbarkeit und Kontrolle zu erhöhen.
Zugangskontrollen:
Sie benötigen weiterhin Kontrolle, selbst wenn Aufgaben erfüllt werden. Eine Möglichkeit wäre, den Zugriff einfach zu sperren, wenn es sich um den Zugriff auf hochsensible Apps und Daten von verdächtigen Orten handelt. Darüber hinaus möchten Sie manchmal riskantes Anmeldeverhalten identifizieren und mithilfe der Multi-Faktor-Authentifizierung (MFA) den richtigen Zugriff gewähren, um das Auftreten von nicht konformen Geräten zu reduzieren.
Richtlinienaktivierung:
Es ist wichtig, sich über die gewünschten Maßnahmen im Klaren zu sein, bevor die Richtlinien in die Tat umgesetzt werden. Richtlinien können bei differenzierter Kontrolle komplex sein. Ihre Ergebnisse auf einem einzelnen Gerät können von Ihren Erwartungen abweichen. Es ist wichtig, die Richtlinien vor der Bereitstellung zu testen, um zu verstehen, ob sie die erwarteten Ergebnisse liefern würden. Mithilfe der Richtlinienaktivierung können Sie zugriffsbezogene Einblicke und Berichte testen und erhalten, um die Auswirkungen neuer Richtlinien abzuschätzen. Sobald der Test bestanden wurde, ergreift der Administrator manuelle Maßnahmen, um die Richtlinien zu aktivieren und zu aktivieren oder sie auf andere Weise zu deaktivieren.
Bereitstellen des bedingten Zugriffs für Azure AD auf Scalefusion
Scalefusion bietet die folgenden Konfigurationen zum Einrichten des bedingten Zugriffs für Azure AD (Office 365):
Schritt 1: Standardmäßige globale Zugriffsrichtlinie
IT-Administratoren können alle neuen Benutzer standardmäßig unter Quarantäne stellen und den Zugriff auf E-Mails über Office 365 einschränken, es sei denn, der Benutzer registriert das Gerät bei Scalefusion. Sobald der Benutzer das Gerät bei Scalefusion registriert, müssen die vom IT-Administrator festgelegten Bedingungen erfüllt sein, bevor er Zugriff auf das Gerät gewährt.
Schritt 2: Kulanzfrist
Scalefusion gewährt allen bestehenden und neuen Benutzern eine Kulanzfrist von 15 bis 30 Tagen, um ihre Geräte zu registrieren und sich für die Zugriffsverwaltung und Freigabe aus dem Quarantänemodus zu qualifizieren.
Schritt 3: Zielgruppe ansprechen
IT-Administratoren können die gesamte Mitarbeiterliste aus Azure AD für das Richtlinienziel für bedingten Zugriff importieren und diese Benutzer können erst dann auf Unternehmens-E-Mails und -Daten zugreifen, wenn sie sich bei Scalefusion registrieren.
Schritt 4: Erinnerungs-E-Mail-Vorlagen
IT-Administratoren können den E-Mail-Inhalt anpassen und die Häufigkeit des Versands von Erinnerungen für die Registrierung von Geräten über das Scalefusion-Dashboard festlegen.
Schritt 5: Richtlinien überprüfen und senden
Richtlinien können kompliziert sein, und man kann nicht sicher sein, welche Maßnahmen die Richtlinien ergreifen, wenn sie nicht getestet wurden und ein Bericht verfügbar ist. Scalefusion bietet eine konsolidierte Zusammenfassung der konfigurierten Richtlinien, die IT-Administratoren einsehen können, bevor sie sie an Geräte senden, die für bedingten Zugriff qualifiziert sind.
Zusammenfassung
Der bedingte Scalefusion-Zugriff mit Azure AD ist für Unternehmen wertvoll, da er durch strenge Einschränkungen eine zusätzliche Sicherheitsebene erzwingt. Jedes Unternehmen muss die richtigen Richtlinien implementieren, um sicherzustellen, dass Geschäftsdaten jederzeit und automatisiert geschützt sind, ohne dass viel manuelle Informationsverarbeitung erforderlich ist. Wenn in Organisationen wirksame Sicherheitspraktiken eingeführt werden, verringert dies deren Risiko durch Cyberangriffe und stellt sicher, dass die Systeme des Unternehmens reibungslos funktionieren.
| Sie können noch heute die Scalefusion Azure AD-Richtlinie für bedingten Zugriff implementieren und den autorisierten Zugriff auf Ihre geschäftlichen E-Mails und Daten sicherstellen. Probieren Sie die Scalefusion aus Testversion verfügbar mehr wissen. |
