Microsoft 365 sicher zugänglich machen: Microsoft Entra Global Secure Access bietet mit dem Microsoft-Datenverkehrsprofil einen verschlüsselten Zugriff auf Microsoft 365-Dienste wie Exchange Online und SharePoint Online. Der gesamte Datenverkehr wird über geschützte Netzwerkpfade geleitet und dadurch zuverlässig gegen unautorisierte Zugriffe abgesichert.
Durch die Kombination aus Zugriffsrichtlinien und netzwerkbasierten Schutzmechanismen reduziert Global Secure Access effektiv Angriffsvektoren wie Token-Diebstahl oder Replay-Angriffe. Gleichzeitig unterstützt diese Architektur die Einhaltung regulatorischer Vorgaben und unternehmensspezifischer Sicherheitsanforderungen.
Dieser Beitrag zeigt, wie das Microsoft-Datenverkehrsprofil konfiguriert wird, um den Zugriff auf Microsoft 365-Dienste ausschliesslich über Global Secure Access zu steuern.
Voraussetzungen und Lizenzierung
Lizenzen
Das Microsoft-Datenverkehrsprofil in Microsoft Entra Global Secure Access erfordert die folgende Lizenz:
- Microsoft Entra ID P1 oder höher
Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.
Geräte
Folgende Voraussetzungen gelten für die Geräte:
- Betriebssystem Windows 10, Windows 11 oder Android
- iOS und MacOS als Preview verfügbar
- Windows Geräte müssen Microsoft Entra joined oder Microsoft Entra hybrid joined sein, Microsoft Entra registered wird nicht unterstützt
Rollen nach dem Prinzip der geringsten Rechte
Microsoft Entra Global Secure Access lässt sich mit den folgenden Microsoft Entra Rollen konfigurieren und verwalten.
| Rolle | Berechtigung |
| Global Secure Access Administrator | Einrichten und Verwalten von Microsoft Entra Global Secure Access |
| Administrator für bedingten Zugriff | Einrichten und Verwalten von bedingtem Microsoft Entra-Zugriff |
| Anwendungsadministrator | Hinzufügen oder Entfernen von Benutzern zu Datenverkehrsprofilen (in Kombination mit der Rolle Global Secure Access Administrator) |
Microsoft Entra Global Secure Access: Datenverkehrsprofil konfigurieren
Profil für Microsoft-Datenverkehr aktivieren
Microsoft Entra Global Secure Access wird im Microsoft Entra Admin Center (https://entra.microsoft.com) aktiviert.
Profil für Microsoft-Datenverkehr unter Globaler sicherer Zugriff > Verbinden > Datenverkehrsweiterleitung aktivieren.
Microsoft-Datenverkehrsrichtlinien aktivieren oder deaktivieren.
Standardmässig wird der Datenverkehr der folgenden Applikationen berücksichtigt:
- Exchange Online
- Skype for Business und Microsoft Teams
- Sharepoint Online und OneDrive for Business
- Microsoft 365 Common und Office Online
Bei Bedarf lässt sich der Datenverkehr für jede Applikation granular steuern. Dazu die gewünschte Applikation aufklappen:
Benutzer- und Gruppenzuweisungen vornehmen.
Es können alle Benutzer (1), einzelne Benutzer oder Gruppen (2) ausgewählt werden. Die Aktion setzt die Rolle Global Secure Access Administrator und Anwendungsadministrator gleichzeitig voraus.
Das Profil für Microsoft-Datenverkehr ist konfiguriert.
Adaptiver Zugriff aktivieren
Mit aktiviertem adaptivem Zugriff können ZS-Signale (Zero Trust Signals) aus dem Datenverkehr von Global Secure Access im bedingten Microsoft Entra Zugriff verarbeitet werden.
Globaler sicherer Zugriff > Einstellungen > Sitzungsverwaltung > Adaptiver Zugriff aufrufen und Aktivieren der ZS-Signalisierung für Entra ID (für alle Cloud-Apps) aktivieren.
Bedingter Microsoft Entra-Zugriff für Microsoft 365 mit Entra Global Secure Access konfigurieren
Durch den bedingten Microsoft Entra-Zugriff wird der Zugriff auf Microsoft 365-Dienste wie Exchange Online, SharePoint Online oder Microsoft Teams ausschliesslich über Global Secure Access möglich sein.
Microsoft Entra Admin Center (https://entra.microsoft.com) > Schutz > Bedingter Zugriff > Neue Richtlinie erstellen
Name für den bedingten Microsoft Entra-Zugriff vergeben.
Die Benennungskonventionen sind hier beschrieben: Planen einer Microsoft Entra-Bereitstellung für bedingten Zugriff – Microsoft Entra ID | Microsoft Learn
Benutzer für diese Richtlinie auswählen.
Notfallzugriffskonten (Emergency Accounts) ausschliessen.
Alle Zielressourcen auswählen, welche im Microsoft 365 Datenverkehrsprofil zu Global Secure Access geroutet werden, z.B. Exchange Online und Sharepoint Online.
Netzwerk auswählen und alle Netzwerke mit Beliebiges Netzwerk oder beliebiger Standort einschliessen.
Ebenfalls unter Netzwerk Alle konformen Netzewerkstandorte ausschliessen. Datenverkehr über das Global Secure Access Netzwerk wird als konform eingestuft.
Wenn nur bestimmte Geräteplattformen, z.B. Windows oder Android in die Richtlinie einbezogen werden sollen, kann dies unter Bedingungen > Geräteplattformen konfigurieren werden.
Unter Gewähren die Option Blockzugriff aktivieren.
Richtlinie mit Ein aktivieren und Erstellen speichern.
Die Richtlinie tritt sofort in Kraft und erlaubt den Zugriff auf die ausgewählten Ressourcen ausschliesslich über Global Secure Access.
Global Secure Access Client für Microsoft 365 bereitstellen
Der Global Secure Access Client für die Verwendung des Microsoft Datenverkehrsprofil ist für verschiedene Betriebssysteme veröffentlicht. Die Bereitstellung des Software Clients unter Windows ist im Beitrag Microsoft Entra Private Access: Onboard Clientsoftware beschrieben.
Nach erfolgreicher Installation des Global Secure Access Clients ist das Microsoft Datenverkehrsprofil verbunden.
Funktionskontrolle
Erfolgt der Zugriff, in diesem Beispiel auf https://outlook.com, von einem Gerät, das nicht über Global Secure Access verbunden ist, wird der Authentifizierungsvorgang mit Fehlercode 53003 abgebrochen und folgende Meldung angzeigt:
Hierauf können Sie zurzeit nicht zugreifen
Ihre Anmeldung war erfolgreich, entspricht jedoch nicht den Kriterien für den Zugriff auf diese Ressource. Möglicherweise melden Sie sich von einem Browser, einer App oder einem Standort aus ein, der bzw. die von Ihrem Administrator eingeschränkt wurde.
Eine umfassende Übersicht über die AADSTS-Fehlercodes und deren Beschreibungen ist verfügbar unter: Fehlercodes bei der Microsoft Entra-Authentifizierung und -Autorisierung – Microsoft identity platform | Microsoft Learn
Erfolgt der Zugriff hingegen über das Global Secure Access Netzwerk, wird https://outlook.com wie gewohnt geladen.
Fehlersuche und Fehlerbehebung
Die Log- und Diagnosemöglichkeiten für Global Secure Access sind im Beitrag Microsoft Entra Internet Access – Fehlersuche und Fehlerbehebung detaillierter beschrieben.
Folge mir auf LinkedIn und Bluesky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!
