Informationen zu bedingtem Zugriff

  • 3 Minuten

Das Feature „Bedingter Zugriff“ in Microsoft Entra ID ist eine von mehreren Optionen, mit denen Sie Ihre App und einen Dienst schützen können. Der bedingte Zugriff ermöglicht Entwicklern und Unternehmenskunden den Schutz von Diensten auf unterschiedliche Weise, einschließlich:

  • Mehrstufige Authentifizierung
  • Ermöglicht nur bei Intune registrierten Geräten den Zugriff auf bestimmte Dienste
  • Einschränken von Benutzerstandorten und IP-Adressbereichen

Welche Auswirkungen hat der bedingte Zugriff auf eine App?

In den meisten gängigen Fällen ändert der bedingte Zugriff das Verhalten einer App nicht oder erfordert Änderungen des Entwicklers. Nur in bestimmten Fällen, wenn eine App indirekt oder im Hintergrund ein Token für einen Dienst anfordert, erfordert eine App Codeänderungen zur Behandlung von Herausforderungen für bedingten Zugriff. Es kann so einfach sein, wie eine Anforderung für die interaktive Anmeldung auszuführen.

Insbesondere die folgenden Szenarien erfordern Code zum Behandeln der speziellen Anforderungen des bedingten Zugriffs:

  • Apps, die den On-Behalf-Of-Fluss ausführen
  • Apps mit Zugriff auf mehrere Dienste/Ressourcen
  • Single-Page-Apps, die MSAL.js verwenden
  • Web-Apps, die eine Ressource aufrufen

Richtlinien für bedingten Zugriff können auf die App und auch eine Web-API angewendet werden, auf die Ihre App zugreift. Abhängig vom jeweiligen Szenario können Unternehmenskunden jederzeit Richtlinien für den bedingten Zugriff anwenden und entfernen. Damit Ihre App weiterhin funktioniert, wenn eine neue Richtlinie angewendet wird, implementieren Sie die Problembehandlung.

Beispiele für den bedingten Zugriff

Einige Szenarien erfordern Änderungen am Code, um den bedingten Zugriff nutzen zu können, während andere ohne Änderungen funktionieren. Hier sind einige Szenarien, in denen der bedingte Zugriff verwendet wird, um eine mehrstufige Authentifizierung durchzuführen, die einen Einblick in den Unterschied gibt.

  • Sie entwickeln eine Single-Tenant-iOS-App und wenden eine Richtlinie für bedingten Zugriff an. Die App meldet einen Benutzer an, aber fordert keinen Zugriff auf eine API an. Wenn sich der Benutzer anmeldet, wird die Richtlinie automatisch aufgerufen, und der Benutzer muss eine mehrstufige Authentifizierung durchführen.

  • Sie erstellen eine App, die einen Dienst der mittleren Ebene verwendet, um auf eine nachgeschaltete API zuzugreifen. Ein Unternehmenskunde, der diese App verwendet, wendet eine Richtlinie für die Downstream-API an. Wenn sich ein Endbenutzer anmeldet, fordert die App den Zugriff auf die mittlere Ebene an und sendet das Token. Die mittlere Ebene führt den „Im Auftrag von“-Ablauf aus, um Zugriff auf die Downstream-API anzufordern. An diesem Punkt wird der mittleren Ebene eine Anspruchsanforderung übermittelt. Die mittlere Ebene sendet die Abfrage zurück an die App, die der Richtlinie für bedingten Zugriff entsprechen muss.