Azure Information Protection: Bedingter Zugriff auf Daten

Mit Hilfe von Azure Information Protection (AIP) können Unternehmen ihre Daten über Richtlinien bezüglich ihres Inhaltes und Kontextes einordnen und markieren. Vertrauliche Daten lassen sich mittels Verschlüsselung schützen.

Die Schutzinformationen begleiten die Daten unabhängig vom Speicherort, daher soll der Schutz systemübergreifend funktionieren, entsprechend auch bei Zugriff von Mobilgeräten mit iOS oder Android.

Auf der Microsoft Konferenz Ignite 2017 wurde im September 2017 eine neue Funktion für Azure Information Protection angekündigt, die bislang als Preview zur Verfügung steht. Für Dateien, die unter dem Schutz von Azure Information Protection stehen, können zusätzliche Richtlinien definiert werden, die den Zugriff auf diese Dateien regeln. Die Bedingungen und Richtlinien können Administratoren über das Azure Portal vornehmen.

So können Administratoren beispielsweise festlegen, dass bestimmte Dokumente nur nach einer Multifaktor-Authentifizierung zugänglich sind. Damit lässt sich unterbinden, dass über gestohlene Anmeldedaten ein Zugriff auf sensible Dateien möglich ist.

Diese Bedingung kann abhängig von der Plattform, sprich Betriebssystem, konfiguriert werden. So kann beispielsweise eine Multifaktor-Authentifizierung (MFA) erforderlich sein, wenn ein Nutzer von einem Windows-10-System aus auf eine durch AIP geschützte Excel-Datei zugreifen will. Ist der Anwender bereits genau an diesem System per Multifaktor-Authentifizierung angemeldet, bekommt er keine erneute Aufforderung aus der Applikation heraus.

Die Bedingungen lassen sich auch auf Geräte einschränken. So kann ist ein Zugriff etwa nur möglich, wenn sich das Gerät in der Domäne befindet. Für die Nutzung mobiler Endgeräte wichtig: Es kann festgelegt werden, dass der Zugriff nur möglich ist, wenn das Mobilgerät bestimmte Richtlinien, die in Intune konfiguriert sind, entspricht.

Gleichfalls ist eine Konfiguration möglich, die dem Anwender den Zugriff verwehrt, wenn dieser sich nicht am Arbeitsplatz befindet, beziehungsweise nicht in einem bestimmten vertrauenswürdigen Netzwerk. Und apropos Vertrauen, gibt es den Verdacht, dass es sich bei dem Zugriffsversuch nicht um den legitimen Anwender handelt, kann der Zugang zu den sensiblen Daten gleichfalls verhindert werden. Dies etwa, weil der legitime Nutzer sich nicht am Benutzerkonto angemeldet hat.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!