Sicherheitsstandards in Azure AD

Microsoft macht Sicherheitsstandard für alle verfügbar, da das Verwalten von Sicherheit schwierig sein kann. Identitätsbezogene Angriffe wie Kennwortspray- und Replay-Angriffe sowie Phishing sind heutzutage gängig. Mehr als 99,9 Prozent dieser identitätsbezogenen Angriffe werden mithilfe von Multi-Faktor-Authentifizierung (MFA) und durch Blockieren der Legacyauthentifizierung unterbunden. Das Ziel ist sicherzustellen, dass bei allen Organisationen mindestens eine Basissicherheitsebene ohne zusätzliche Kosten aktiviert ist.

Sicherheitsstandards können den Schutz Ihrer Organisation vor solchen identitätsbezogenen Angriffen mit vorkonfigurierten Sicherheitseinstellungen vereinfachen:

Für wen eignet sich diese Funktion?

  • Organisationen, die ihren Sicherheitsstatus erhöhen möchten, aber nicht wissen, wie und wo sie damit beginnen sollen
  • Organisationen, die den kostenlos Tarif für Azure Active Directory verwenden

Wer sollte bedingten Zugriff verwenden?

  • Wenn Sie zu einer Organisation gehören, die derzeit Richtlinien für den bedingten Zugriff verwendet, sind Sicherheitsstandards wahrscheinlich nicht das Richtige für Sie.
  • Wenn Sie als Organisation über Azure Active Directory Premium-Lizenzen verfügen, sind die Sicherheitsstandards wahrscheinlich nicht die richtige Wahl für Sie.
  • Bei komplexen Sicherheitsanforderungen empfiehlt sich ggf. die Verwendung von bedingtem Zugriff.

Aktivieren von Sicherheitsstandards

Wenn Ihr Mandant am oder nach dem 22. Oktober 2019 erstellt wurde, sind darin möglicherweise Sicherheitsstandards aktiviert. Zum Schutz aller Benutzer werden für alle neuen Mandanten bei deren Erstellung Sicherheitsstandards konfiguriert.

So aktivieren Sie Sicherheitsstandards in Ihrem Verzeichnis

  1. Melden Sie sich als Sicherheitsadministrator, Administrator für bedingten Zugriff oder globaler Administrator beim Azure-Portal an.
  2. Navigieren Sie zu Azure Active Directory>Eigenschaften.
  3. Wählen Sie Sicherheitsstandards verwalten aus.
  4. Legen Sie die Option Sicherheitsstandards aktivieren auf Ja fest.
  5. Wählen Sie Speichern aus.

Screenshot: Azure-Portal mit Umschaltfläche zum Aktivieren der Sicherheitsstandards

Erzwungene Sicherheitsrichtlinien

Festlegen, dass sich alle Benutzer für Azure AD Multi-Factor Authentication registrieren müssen

Alle Benutzer in Ihrem Mandanten müssen sich für eine mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) in Form von Azure AD Multi-Factor Authentication registrieren. Benutzer haben 14 Tage Zeit, sich mithilfe der Microsoft Authenticator-App oder einer anderen App, die OATH TOTP unterstützt, für Azure AD Multi-Factor Authentication zu registrieren. Nach Ablauf der 14 Tage kann sich der Benutzer erst nach erfolgter Registrierung anmelden. Die 14-tägige Frist eines Benutzers beginnt nach seiner ersten erfolgreichen interaktiven Anmeldung nach Aktivierung der Sicherheitsstandards.

Administratoren müssen Multi-Faktor-Authentifizierung durchführen

Administratoren besitzen erweiterten Zugriff auf Ihre Umgebung. Aufgrund der weitreichenden Befugnisse, die diese Konten mit äußerst hohen Berechtigungen haben, sollten Sie diese mit Bedacht verwalten. Eine gängige Methode zur Verbesserung des Schutzes von privilegierten Konten ist eine strengere Form der Kontoüberprüfung für die Anmeldung. In Azure AD können Sie eine striktere Kontoüberprüfung erreichen, indem Sie mehrstufige Authentifizierung verlangen.

Tipp

Es wird empfohlen, separate Konten für Verwaltungs- und Standardproduktivitätsaufgaben zu nutzen, um die Anzahl der Aufforderungen ihrer Administratoren zur MFA erheblich zu reduzieren.

Nachdem die Registrierung mit Azure AD Multi-Factor Authentication abgeschlossen ist, wird von den folgenden Azure AD-Administratorrollen bei jeder Anmeldung eine zusätzliche Authentifizierung erfordert:

  • Globaler Administrator
  • Anwendungsadministrator
  • Authentifizierungsadministrator
  • Rechnungsadministrator
  • Cloudanwendungsadministrator
  • Administrator für den bedingten Zugriff
  • Exchange-Administrator
  • Helpdesk-Administrator
  • Kennwortadministrator
  • Privilegierter Authentifizierungsadministrator
  • Sicherheitsadministrator
  • SharePoint-Administrator
  • Benutzeradministrator

Benutzer müssen bei Bedarf Multi-Faktor-Authentifizierung durchführen

Wir gehen häufig davon aus, dass nur Administratorkonten durch eine mehrstufige Authentifizierung geschützt werden müssen. Administratoren haben umfassenden Zugriff auf vertrauliche Informationen und können Änderungen an abonnementweiten Einstellungen vornehmen. Angriffe richten sich jedoch häufig gegen Endbenutzer.

Nachdem diese Angreifer sich Zugang verschafft haben, können sie im Namen des ursprünglichen Kontoinhabers Zugriff auf privilegierte Informationen anfordern. Sie können sogar das gesamte Verzeichnis herunterladen, um einen Phishing-Angriff auf die gesamte Organisation auszuführen.

Eine gängige Methode zur Verbesserung des Schutzes für alle Benutzer besteht in einer strengeren Kontoüberprüfung, beispielsweise durch eine mehrstufige Authentifizierung (MFA). Nachdem die Benutzer die Registrierung abgeschlossen haben, werden sie bei Bedarf zu einer weiteren Authentifizierung aufgefordert. Azure AD entscheidet basierend auf Faktoren wie Standort, Gerät, Rolle und Aufgabe, wann ein Benutzer zur Multi-Faktor-Authentifizierung aufgefordert wird. Diese Funktion schützt alle Anwendungen, die bei Azure AD registriert sind (einschließlich SaaS-Anwendungen).

Hinweis

Bei Benutzern mit direkter B2B-Verbindung müssen alle Anforderungen in Bezug auf die Multi-Faktor-Authentifizierung gemäß den im Ressourcenmandanten aktivierten Sicherheitsstandards erfüllt werden, einschließlich der MFA-Registrierung durch den Benutzer mit direkter Verbindung im jeweiligen Heimmandanten.

Blockieren von Legacy-Authentifizierungsprotokollen

Von Azure AD werden verschiedene Authentifizierungsprotokolle (einschließlich Legacyauthentifizierung) unterstützt, damit Benutzer problemlos auf Ihre Cloud-Apps zugreifen können. Der Begriff Legacyauthentifizierung bezieht sich auf eine Authentifizierungsanforderung von:

  • Clients, die keine moderne Authentifizierung verwenden (z. B. ein Office 2010-Client)
  • jedem Client, der ältere E-Mail-Protokolle wie IMAP, SMTP oder POP3 verwendet

Heutzutage sind die meisten gefährdenden Anmeldeversuche auf Legacyauthentifizierungen zurückzuführen. Legacyauthentifizierungen unterstützen keine Multi-Faktor-Authentifizierung. Selbst wenn Sie in Ihrem Verzeichnis eine MFA-Richtlinie aktiviert haben, kann sich ein Angreifer mit einem älteren Protokoll authentifizieren und die mehrstufige Authentifizierung umgehen.

Nach Aktivierung der Sicherheitsstandards in Ihrem Mandanten werden alle Authentifizierungsanforderungen blockiert, die über ein Legacyprotokoll an einen beliebigen Mandanten gerichtet werden. Durch die Sicherheitsstandards ist die Standardauthentifizierung für Exchange Active Sync blockiert.

Warnung

Stellen Sie vor dem Aktivieren von Sicherheitsstandards sicher, dass Ihre Administratoren keine älteren Authentifizierungsprotokolle verwenden. Weitere Informationen finden Sie unter Blockieren der Legacyauthentifizierung.

Schützen privilegierter Aktivitäten wie Zugriff auf das Azure-Portal

Organisationen verwenden verschiedene Azure-Dienste, die über die Azure Resource Manager-API verwaltet werden. Hierzu zählen beispielsweise:

  • Azure-Portal
  • Azure PowerShell
  • Azure CLI

Benutzer, die Dienste mit Azure Resource Manager verwalten, verfügen über weitreichende Berechtigungen. Beispielsweise können mit Azure Resource Manager mandantenweite Konfigurationen wie Diensteinstellungen und die Abonnementabrechnung geändert werden. Die einstufige Authentifizierung ist für verschiedene Bedrohungen anfällig, beispielsweise für Phishing- und Kennwortspray-Angriffe.

Es ist wichtig, die Identität der Benutzer zu überprüfen, die auf Azure Resource Manager zugreifen und Konfigurationen aktualisieren möchten. Sie überprüfen die Identität von Benutzern, indem Sie vor der Zugriffserteilung eine zusätzliche Authentifizierung anfordern.

Nachdem Sie die Sicherheitsstandards in Ihrem Mandanten aktiviert haben, müssen alle Benutzer, die auf die folgenden Dienste zugreifen, die Multi-Faktor-Authentifizierung durchführen:

  • Azure-Portal
  • Azure PowerShell
  • Azure CLI

Diese Richtlinie gilt für alle Benutzer mit Zugriff auf Azure Resource Manager-Dienste. Dabei spielt es keine Rolle, ob es sich um ein*e Administrator oder ein*e Benutzer handelt.

Hinweis

Bei Mandanten vor Exchange Online 2017 ist die moderne Authentifizierung standardmäßig deaktiviert. Sie müssen die moderne Authentifizierung aktivieren, um eine mögliche Anmeldeschleife bei der Authentifizierung über diese Mandanten zu vermeiden.

Hinweis

Das Azure AD Connect-Synchronisierungskonto ist von den Sicherheitsstandards ausgenommen. Sie werden nicht aufgefordert, sich für die Multi-Faktor-Authentifizierung zu registrieren oder diese durchzuführen. Organisationen sollten dieses Konto nicht für andere Zwecke verwenden.

Überlegungen zur Bereitstellung

Authentifizierungsmethoden

Benutzer von Sicherheitsstandards müssen sich für Azure AD Multi-Factor Authentication (MFA) registrieren und MFA mithilfe der Microsoft Authenticator-App unter Verwendung von Benachrichtigungen verwenden. Benutzer können Prüfcodes von der Microsoft Authenticator-App verwenden, können sich jedoch nur mit der Benachrichtigungsoption registrieren. Benutzer können auch eine Drittanbieteranwendung nutzen, die OATH TOTP zum Generieren von Codes verwendet.

Warnung

Deaktivieren Sie keine Methoden für Ihre Organisation, wenn Sie Sicherheitsstandards verwenden. Das Deaktivieren von Methoden kann dazu führen, dass Sie sich von Ihrem Mandanten abmelden. Lassen Sie alle Methoden für Benutzer verfügbar im Portal für MFA-Diensteinstellungen aktiviert.

Sicherungsadministratorkonten

Jede Organisation sollte mindestens zwei Sicherungsadministratorkonten konfiguriert haben. Diese werden als Konten für den Notfallzugriff bezeichnet.

Diese Konten können in Szenarios verwendet werden, in denen Ihre normalen Administratorkonten nicht verwendet werden können. Zum Beispiel hat die Person, die zuletzt über globalen Administratorzugriff verfügte, die Organisation verlassen. Azure AD verhindert, dass das letzte globale Administratorkonto gelöscht wird, aber das lokale Löschen oder Deaktivieren des Kontos wird nicht verhindert. Beide Situationen können dazu führen, dass die Organisation nicht in der Lage ist, das Konto wiederherzustellen.

Die Konten für den Notfallzugriff haben folgende Eigenschaften:

  • Zugewiesene globale Administratorrechte in Azure AD
  • Nicht täglich verwendet
  • Sind mit einem langen komplexen Kennwort geschützt

Die Anmeldeinformationen für diese Konten für den Notfallzugriff sollten offline an einem sicheren Ort gespeichert werden, z. B. in einem feuerfesten Tresor. Nur autorisierte Personen sollten Zugriff auf diese Anmeldeinformationen haben.

So erstellen Sie ein Konto für den Notfallzugriff:

  1. Melden Sie sich als bestehender globaler Administrator im Azure-Portal an.
  2. Navigieren Sie zu Azure Active Directory>Benutzer.
  3. Wählen Sie Neuer Benutzer aus.
  4. Wählen Sie Create User (Benutzer erstellen) aus.
  5. Geben Sie dem Konto einen Benutzernamen.
  6. Geben Sie dem Konto einen Namen.
  7. Erstellen Sie ein langes und komplexes Kennwort für das Konto.
  8. Weisen Sie unter Rollen die Rolle Globaler Administrator zu.
  9. Wählen Sie unter Nutzungsspeicherort den entsprechenden Speicherort aus.
  10. Klicken Sie auf Erstellen.

Sie können den Ablauf des Kennworts für diese Konten deaktivieren, indem Sie Azure AD PowerShell verwenden.

Ausführlichere Informationen zu Konten für den Notfallzugriff finden Sie im Artikel Verwalten von Konten für den Notfallzugriff in Azure AD.

B2B-Benutzer

Alle B2B-Gastbenutzer oder Benutzer mit direkter B2B-Verbindung, die auf Ihr Verzeichnis zugreifen, werden wie die Benutzer Ihrer Organisation behandelt.

Deaktivierter MFA-Status

Wenn Ihre Organisation die benutzerbasierte Azure AD Multi-Factor Authentication bereits verwendet hat, sollten Sie nicht beunruhigt sein, wenn auf der Statusseite der mehrstufigen Authentifizierung keine Benutzer mit dem Status Aktiviert oder Erzwungen angezeigt werden. Deaktiviert ist der geeignete Status für Benutzer, die Sicherheitsstandards oder auf bedingtem Zugriff basierende Azure AD Multi-Factor Authentication verwenden.

Bedingter Zugriff

Sie können den bedingten Zugriff zum Konfigurieren von Richtlinien verwenden, die mit den Sicherheitsstandards vergleichbar sind, aber eine höhere Granularität bieten. Richtlinien für bedingten Zugriff ermöglichen das Auswählen anderer Authentifizierungsmethoden und das Ausschließen von Benutzern. Diese Optionen sind bei Sicherheitsstandards nicht verfügbar. Wenn Sie derzeit bedingten Zugriff in Ihrer Umgebung verwenden, stehen Ihnen die Sicherheitsstandards nicht zur Verfügung.

Warnmeldung mit dem Hinweis, dass Sicherheitsstandards und bedingter Zugriff nicht gleichzeitig verwendet werden können

Wenn Sie den bedingten Zugriff zum Konfigurieren von Richtlinien aktivieren möchten, die einen guten Ausgangspunkt für den Schutz Ihrer Identitäten darstellen, finden Sie hier weitere Informationen:

Deaktivieren von Sicherheitsstandards

Organisationen, die Richtlinien für den bedingten Zugriff implementieren, die Sicherheitsstandards ersetzen, müssen Sicherheitsstandards deaktivieren.

Warnmeldung zur Deaktivierung von Sicherheitsstandards für das Aktivieren des bedingten Zugriffs

So deaktivieren Sie Sicherheitsstandards in Ihrem Verzeichnis

  1. Melden Sie sich als Sicherheitsadministrator, Administrator für bedingten Zugriff oder globaler Administrator beim Azure-Portal an.
  2. Navigieren Sie zu Azure Active Directory>Eigenschaften.
  3. Wählen Sie Sicherheitsstandards verwalten aus.
  4. Legen Sie die Option Sicherheitsstandards aktivieren auf Nein fest.
  5. Wählen Sie Speichern aus.

Nächste Schritte