Microsoft Entra Protected Actions schützen besonders sensible Administratoraktionen in Microsoft Entra, indem sie eine zusätzliche Authentifizierung erfordern. Wenn ein Benutzer eine solche Aktion ausführen möchte, muss er zunächst die festgelegten Richtlinien erfüllen. Es kann beispielsweise festgelegt werden, dass bestimmte Aktionen ausschliesslich von Geräten ausgeführt werden dürfen, die entweder Microsoft Entra Joined oder Microsoft Entra Hybrid Joined eingebunden sind oder vor Ausführung eine phishingresistente Multi-Faktor-Authentifzierung notwendig ist.
Die nachfolgenden Aktionen lassen sich durch Microsoft Entra geschützte Aktionen zusätzlich absichern. Die detaillierte Beschreibung kann hier abgerufen werden: Was sind geschützte Aktionen in der Microsoft Entra-ID? – Microsoft Entra ID | Microsoft Learn
- Verwaltung bedingter Microsoft Entra-Zugriff
- Mandantenübergreifende Zugriffseinstellungenverwaltung
- Festes Löschen einiger Verzeichnisobjekte
- Benutzerdefinierte Regel zum Bestimmen von Netzwerkadressen
- Verwaltung geschützter Aktionen
Die Implementierung von Microsoft Entra geschützte Aktionen bietet die Möglichkeit, strengere Richtlinien erst beim Versuch, die Aktion durchzuführen, anzuwenden. Dies bedeutet, das zusätzliche Authentifizierungsmassnahmen nur dann durchlaufen werden müssen, wenn dies wirklich notwendig ist.
Dieser Blogpost erläutert Schritt für Schritt, wie Microsoft Entra Geschützte Aktionen so eingerichtet werden, dass Änderungen an den bedingten Microsoft Entra-Zugriffen nur unter bestimmten Voraussetzungen möglich sind. Dazu kann beispielsweise gefordert werden, dass die Änderung ausschliesslich von einem registrierten Gerät (Microsoft Entra Joined) oder Microsoft Entra Hybrid Joined) aus erfolgt oder dass eine phishingresistente Multi-Faktor-Authentifizierung erforderlich ist.
Voraussetzungen und Lizenzierung
Lizenzen
Für die Nutzung von Microsoft Entra Geschützte Aktionen ist die folgende Lizenzen notwendig:
- Microsoft Entra ID P1 oder höher
Eine Übersicht der Microsoft Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.
Rollen
Für die Verwaltung von Microsoft Entra Geschützte Aktionen sind folgenden Rollen nach dem Prinzip der geringsten Berechtigungen geeignet:
| Rolle | Beschreibung |
| Administrator für den bedingten Zugriff | Erstellen, Aktualisieren und Löschen von bedingten Zugriffsrichtlinien sowie Verwalten von geschützten Aktionen. |
| Sicherheitsadministrator | Verwalten von Sicherheitsrichtlinien und -protokollen, einschliesslich der Verwaltung von bedingten Zugriffsrichtlinien und geschützten Aktionen. |
Geschütze Aktionen erstellen
Die folgenden Schritte konfigurieren Microsoft Entra Geschützte Aktionen so, dass bedingte Microsoft Entra-Zugriffe nur von Geräten erstellt, aktualisiert oder gelöscht werden können, die im eigenen Tenant als Microsoft Entra Joined oder Microsoft Entra Hybrid Joined registriert sind.
Authentifizierungskontext
Authentifizierungskontexte in Microsoft Entra ermöglichen es, unterschiedliche Sicherheitsstufen für verschiedene Aktionen festzulegen. Das bedeutet, dass für besonders sensible Bereiche zusätzliche Sicherheitsüberprüfungen erforderlich sind, während weniger kritische Bereiche einfacher zugänglich sind.
Der folgende Authentifizierungskontext wird benötigt, damit später die Geräteregistration geprüft werden kann, bevor eine Anpassung an den bedingten Microsoft Entra-Zugriffen ausgeführt wird.
Microsoft Entra Admin Center (https://entra.microsoft.com) > Schutz > Bedingter Zugriff > Authentifizierungskontexte öffnen und neuer Authentifizierungskontext auswählen.
- Name des Authentifizierungskontext eingeben, z.B. Protect CAP
- Beschreibung eingeben, z.B. Conditional Access Policy Protection
- In Apps veröffentlichen aktivieren
- Speichern klicken
Der Authentifizierungskontext ist erfolgreich angelegt.
Geschützte Aktionen zuweisen
Der soeben erstelle Authentifizierungskontext wird nun den geschützten Aktionen zugewiesen.
Microsoft Entra Admin Center (https://entra.microsoft.com) > Identität > Rollen und Admins > Geschützte Aktionen öffnen und Geschützte Aktionen hinzufügen auswählen.
- Authentifizierungskontext auswählen, z.B. Protect CAP
- Berechtigungen hinzufügen:
microsoft.directory/conditionalAccessPolicies/basic/update
microsoft.directory/conditionalAccessPolicies/create
microsoft.directory/conditionalAccessPolicies/delete - Speichern klicken
Die geschützen Aktionen zum Schutz des bedingten Microsoft Entra-Zugriffs ist erfolgreich konfiguriert.
Bedingter Microsoft Entra-Zugriff erstellen
Mit dem bedingten Microsoft Entra-Zugriff wird festgelegt, dass geschützte Aktionen nur von registrierten Geräten (Microsoft Entra Joined oder Microsoft Entra Hybrid Joined) ausgeführt werden können.
Microsoft Entra Admin Center (https://entra.microsoft.com) > Schutz > Bedingter Zugriff > Neue Richtlinie erstellen
Name für den bedingten Microsoft Entra-Zugriff vergeben.
Die Benennungskonventionen sind hier beschrieben: Framework und Richtlinien für bedingten Zugriff – Azure Architecture Center | Microsoft Learn
Benutzer für diese Richtlinie auswählen.
Notfallzugriffskonten (Emergency Accounts) ausschliessen.
In den Zielressourcen den zuvor erstellen Authentifizierungskontext auswählen, z.B. Protect CAP
Die Geräteregistrierung wird unter Bedingungen geprüft.
1. Nach Geräten filtern auswählen
2. Konfigurieren auf Ja setzen
3. Option Gefilterte Geräte von Richtlinie ausschliessen auswählen
4. TrustType auf die gewünschten Werte setzen, wenn mehrere Registrationstypen zulässig sind, zwingend darauf achten, dass der logische Operator auf Oder gesetzt ist
– in Microsoft Entra eingebunden
– in Microsoft Entra Hybrid eingebunden
5. Ausdruck hinzufügen anklicken
6. Das Filterkriterium wird eingefügt
7. Filter mit Fertig speichern
Unter Gewähren die Option Blockzugriff aktivieren.
Richtlinie mit Ein aktivieren und Erstellen speichern.
Die Richtlinie wurde erfolgreich erstellt und erfordert nun für das Erstellen, Aktualisieren oder Löschen eines bedingten Microsoft Entra-Zugriffs ein registriertes Gerät.
Funktionskontrolle
Mit dem soeben konfigurierten bedingten Microsoft Entra-Zugriff wird das Erstellen, Aktualisieren oder Löschen von bedingten Microsoft Entra-Zugriffen nur noch von Geräte ermöglicht, die in Microsoft Entra als Microsoft Entra Joined oder Microsoft Entra Hybrid Joined eingebunden sind.
Beim Versuch, einen bedingten Microsoft Entra-Zugriff von einem Gerät aus zu erstellen, aktualisieren oder löschen, dass nicht Microsoft Entra eingebunden oder Microsoft Entra Hybrid eingebunden ist, erscheint die Aufforderung für die zusätzliche Authentifizierung.
Beim Erstellen oder Löschen eines bedingten Microsoft Entra-Zugriffs:
Die ausgewählte Aktion wird durch eine zusätzliche Zugriffsanforderung geschützt. Möchten Sie den Vorgang fortsetzen?
Beim Aktualisieren eines bedingten Microsoft Entra-Zugriffs:
Die Bearbeitung wird durch eine zusätzliche Zugriffsanforderung geschützt. Klicken Sie hier, um sich erneut zu authentifizieren.
Die zusätzliche Authentifizierung wird von einem Gerät aus durchgeführt, dass nicht Microsoft Entra Joined oder Microsoft Entra Hybrid Joined eingebunden ist und schlägt daher mit dem Fehlercode 53003 fehl, der darauf hinweist, dass die Aktion von einem nicht registrierten Gerät ausgeführt wurde und wird abgelehnt wird.
Eine umfassende Übersicht über die AADSTS-Fehlercodes und deren Beschreibungen ist verfügbar unter: Fehlercodes bei der Microsoft Entra-Authentifizierung und -Autorisierung – Microsoft identity platform | Microsoft Learn
Folge mir auf LinkedIn und Bluesky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!
