Die sitzungsbasierte Zugriffssteuerung bewirkt, das weitere Sicherheitsvorkehrungen während der Nutzung einer Web-App greifen, nachdem der Anwender die Authentifizierung erfolgreich durchgeführt hat. So können Mitarbeiter z.B. von privaten Endgeräten Informationen einsehen oder bearbeiten – das Downloaden und Leaken von Dokumenten wird jedoch auf diesen unterbunden.

Der bedingte Zugriff (Conditional Access – CA) ist ein Regelwerk, dass während der Authentifizierung unterschiedliche Faktoren App- und Fallspezifisch prüft, bevor der Zugang zu einem System gewährt wird. Hierbei können sowohl Microsoft-eigene als auch registrierte Drittanbieter-Applikationen berücksichtigt werden.

Mit der Sitzungsbasierten Zugriffssteuerung werden Sicherheit und Produktivität im Ausgleich gehalten. Mitarbeiter können von Firmengeräten ungehindert arbeiten und Informationen können auch bei privaten Geräten in Bring Your Own Device-Szenarien abgerufen werden. Ohne, dass ein Massenexport gefürchtet werden muss.

Da SharePoint und Exchange die Datenhalter der meisten Office 365 Services sind, wird diese Funktion für die beiden Plattformen im folgenden aktiviert.

 

SharePoint Conditional Access

Für OneDrive und SharePoint kann eine Zugriffssteuerung aktiviert werden, die den Sync & Download von Dateien verhindert, sofern der Zugriff von einem nicht konformen Client erfolgt.

image

Um die Funktion zu aktivieren, muss eine separate CA-Richtlinie erstellt werden, die lediglich auf SharePoint Online ausgerichtet ist. Der Anwenderkreis kann wie bisher bestimmt werden. Die Richtlinie verhält sich dabei additiv zu bisherigen CA-Einstellungen.

clip_image004

Weitere Einstellungen werden ausgelassen und im Bereich Sitzungen werden die von der App erzwungenen Einschränkungen aktiviert.

clip_image006

Exchange Conditional Access

In der Outlook-Web-App lässt sich ein ähnliches Verhalten wie bei SharePoint aktivieren. In dem Fall wird die Speicherung von Dateianhängen und das Drucken von Emails blockiert.

image

 

Die Konfiguration erfolgt dabei analog zu SharePoint Online – lediglich die Ziel-App wird geändert.

clip_image010

 

Fazit

Die sitzungsbasierte Zugriffssteuerung veredelt das CA-Konzept enorm. Auch Drittanbieter wie Salesforce bieten eine Unterstützung zu diesen Funktionen, die sich mit dem AzureAD steuern lassen. Ein Must-Have für ein modernes, geräteunabhängiges und sicheres Arbeiten mit Unternehmensdaten.