Eine Identity Protection-Bereitstellung planen

Microsoft Entra ID Protection erkennt identitätsbasierte Risiken, meldet sie und ermöglicht es Administratoren, diese Risiken zu untersuchen und zu beheben, um die Sicherheit von Organisationen zu wahren. Die Risiken können auch im Rahmen des bedingten Zugriffs genutzt werden, um Zugriffsentscheidungen zu treffen oder zur weiteren Untersuchung an ein SIEM-Tool (Security Information & Event Management) übergeben werden.

Dieser Bereitstellungsplan erweitert die im Bereitstellungsplan für bedingten Zugriff eingeführten Konzepte.

Voraussetzungen

• Funktionierender Microsoft Entra-Mandant, für den P2- oder Testlizenzen von Microsoft Entra ID aktiviert sind. Erstellen Sie ggf. ein kostenloses Konto.
  • Microsoft Entra ID P2 ist erforderlich, um die Identity Protection-Risiken in die Richtlinien für bedingten Zugriff einzuschließen.
• Administratoren, die mit Identity Protection interagieren, müssen abhängig von den Aufgaben, die sie ausführen, über eine oder mehrere der folgenden Rollenzuweisungen verfügen. Um das Zero Trust-Prinzip der geringsten Rechte zu befolgen, sollten Sie Privileged Identity Management (PIM) verwenden, um Just-in-Time-Aktivierung von privilegierten Rollenzuweisungen zu aktivieren.
  • Richtlinien und Konfigurationen für Identity Protection und den bedingten Zugriff lesen
    • Sicherheitsleseberechtigter
    • Globaler Leser
  • Identitätsschutz verwalten
    • Sicherheitsoperator
    • Sicherheitsadministrator
  • Erstellen oder Ändern von Richtlinien für bedingten Zugriff
    • Administrator für bedingten Zugriff
    • Sicherheitsadministrator
• Ein Testbenutzer (kein Administrator), mit dem Sie überprüfen können, ob Richtlinien erwartungsgemäß funktionieren, bevor Sie sie für echte Benutzer bereitstellen. Wenn Sie Benutzer*innen erstellen müssen, finden Sie weitere Informationen unter Schnellstart: Hinzufügen neuer Benutzer*innen zu Microsoft Entra ID.
• Eine Gruppe, der der Benutzer ohne Administratorrechte angehört. Informationen zum Erstellen einer Gruppe finden Sie unter Erstellen einer Gruppe und Hinzufügen von Mitgliedern in Microsoft Entra ID.

Einbeziehen der richtigen Beteiligten

Fehler in Technologieprojekten sind in der Regel auf nicht erfüllte Erwartungen auf den Gebieten Auswirkungen, Ergebnisse und Zuständigkeiten zurückzuführen. Um diese Fallstricke zu vermeiden, achten Sie darauf, die richtigen Beteiligten einzubeziehen und die Rolle der Beteiligten präzise zu definieren, indem Sie die Beteiligten, ihren Projektbeitrag und ihre Zuständigkeiten dokumentieren.

Änderungen kommunizieren

Kommunikation ist entscheidend für den Erfolg jeder neuen Funktion. Sie sollten proaktiv mit Ihren Benutzern darüber kommunizieren, wie sich ihre Erfahrung ändern wird, wann es sich ändert und wie sie Unterstützung erhalten, wenn sie auf Probleme stoßen.

Schritt 1: Vorhandene Berichte überprüfen

Es ist wichtig, die Identity Protection-Berichte zu überprüfen, bevor Sie risikobasierte Richtlinien für den bedingten Zugriff bereitstellen. Diese Überprüfung bietet die Möglichkeit, vorhandene verdächtige Verhaltensweisen zu untersuchen, die Sie möglicherweise übersehen haben, und diese Benutzer als sicher zu verwerfen oder zu bestätigen, wenn Sie festgestellt haben, dass sie nicht gefährdet sind.

• Untersuchen von Risikoerkennungen
• Beheben von Risiken und Aufheben der Blockierung von Benutzern
• Massenänderungen mithilfe von Microsoft Graph PowerShell vornehmen

Aus Effizienzgründen wird empfohlen, Benutzern die Möglichkeit zu geben, sich selbst mit Richtlinien zu korrigieren, die in Schritt 3 erläutert werden.

Schritt 2: Richtlinien für den bedingten Zugriff planen

Identity Protection sendet Risikosignale an den bedingten Zugriff, um Entscheidungen zu treffen und Organisationsrichtlinien wie die Multi-Faktor-Authentifizierung oder Kennwortänderung zu erzwingen. Es gibt mehrere Punkte, die Organisationen planen sollten, bevor sie ihre Richtlinien erstellen.

Richtlinienausschlüsse

Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:

• Notfallzugriffs- oder Break-Glass-Konten, um eine mandantenweite Kontosperrung zu vermeiden. In dem unwahrscheinlichen Fall, dass alle Administrator*innen aus dem Mandanten ausgeschlossen sind, können Sie sich mit Ihrem Administratorkonto für den Notfallzugriff beim Mandanten anmelden und Maßnahmen ergreifen, um den Zugriff wiederherzustellen.
  • Weitere Informationen finden Sie im Artikel Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.
• Dienstkonten und Dienstprinzipale, z. B. das Konto für die Microsoft Entra Connect-Synchronisierung. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Derartige Dienstkonten sollten ausgeschlossen werden, weil die MFA nicht programmgesteuert abgeschlossen werden kann. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
  • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie in Betracht ziehen, diese durch verwaltete Identitäten zu ersetzen. Als vorübergehende Problemumgehung können Sie diese spezifischen Konten aus der Basisrichtlinie ausschließen.

Mehrstufige Authentifizierung

Damit Benutzer Risiken jedoch selbst beheben können, müssen sie sich für die Microsoft Entra-Multi-Faktor-Authentifizierung registrieren, bevor sie riskant werden. Weitere Informationen finden Sie im Artikel Planen einer Bereitstellung von Microsoft Entra-Multi-Faktor-Authentifizierung.

Bekannte Netzwerkspeicherorte

Es ist wichtig, benannte Standorte im bedingten Zugriff zu konfigurieren und Ihre VPN-Bereiche zu Defender for Cloud Apps hinzuzufügen. Anmeldungen von benannten Standorten, die als vertrauenswürdig oder bekannt gekennzeichnet sind, verbessern die Genauigkeit der Microsoft Entra Identity Protection-Risikoberechnungen. Diese Anmeldungen verringern das Risiko eines Benutzers, wenn er sich von einem als vertrauenswürdig oder bekannt gekennzeichneten Speicherort authentifiziert. So werden falsch positive Ergebnisse für einige Erkennungen in Ihrer Umgebung reduziert.

Reiner Berichtsmodus

Der reine Berichtsmodus ist ein Status von Richtlinien für den bedingten Zugriff, mit dem Administratoren die Auswirkungen von Richtlinien für bedingten Zugriff auswerten können, bevor sie die jeweiligen Richtlinien in ihrer Umgebung aktivieren.

Schritt 3: Richtlinien konfigurieren

Anleitung: Konfigurieren der Registrierungsrichtlinie für die mehrstufige Authentifizierung in Azure

Verwenden Sie die Identity Protection-Registrierungsrichtlinie für die Multi-Faktor-Authentifizierung, um Ihre Benutzer für Microsoft Entra-Multi-Faktor-Authentifizierung zu registrieren, bevor sie sie verwenden müssen. Führen Sie die Schritte im Artikel Anleitung: Konfigurieren der Registrierungsrichtlinie für Microsoft Entra-Multi-Faktor-Authentifizierung aus, um diese Richtlinie zu aktivieren.

Richtlinien für bedingten Zugriff

Anmeldungsrisiko: Die meisten Benutzer weisen ein normales Verhalten auf, das nachverfolgt werden kann. Wenn sie sich aber außerhalb dieser Norm bewegen, ist es ggf. riskant, ihnen das Anmelden ohne Weiteres zu erlauben. Es kann ratsam sein, den entsprechenden Benutzer zu blockieren oder ggf. einfach um die Durchführung der Multi-Faktor-Authentifizierung zu bitten. So kann bewiesen werden, ob es sich auch wirklich um die vorgegebene Person handelt. Zunächst sollten Sie diese Richtlinien nur für Administratoren festlegen.

Benutzerrisiko: Microsoft arbeitet mit Ermittlern, Strafverfolgungsbehörden, mehreren eigenen Sicherheitsteams und anderen vertrauenswürdigen Quellen zusammen, um kompromittierte Paare aus Benutzername und Kennwort zu finden. Wenn diese anfälligen Benutzer erkannt werden, sollten Benutzer eine Multi-Faktor-Authentifizierung durchführen und dann ihr Kennwort zurücksetzen.

Der Artikel Risikorichtlinien konfigurieren und aktivieren enthält Anleitungen zum Erstellen von Richtlinien für den bedingten Zugriff, um diese Risiken zu beheben.

Schritt 4: Überwachung und kontinuierliche Betriebsanforderungen

E-Mail-Benachrichtigungen

Aktivieren Sie Benachrichtigungen, damit Sie reagieren können, wenn ein Benutzer als gefährdet gekennzeichnet ist und Sie sofort mit der Untersuchung beginnen können. Sie können auch wöchentliche Digest-E-Mails einrichten, um einen Überblick über das Risiko für diese Woche zu erhalten.

Überwachen und Untersuchen

Die Identity Protection-Arbeitsmappe kann dazu beitragen, Muster in Ihrem Mandanten zu überwachen und nach ihnen zu suchen. Überwachen Sie diese Arbeitsmappe auf Trends und Ergebnisse im reinen Berichtsmodus für den bedingten Zugriff, um festzustellen, ob Änderungen vorgenommen werden müssen, z. B. Ergänzungen an benannten Speicherorten.

Microsoft Defender for Cloud Apps stellt ein Untersuchungsframework bereit, das Organisationen als Ausgangspunkt verwenden können. Weitere Informationen finden Sie im Artikel Warnungen zu Anomalieerkennungen untersuchen.

Sie können die Identity Protection-APIs auch verwenden, um Risikoinformationen in andere Tools zu exportieren, damit Ihr Sicherheitsteam Risikoereignisse überwachen und Warnungen ausgeben kann.

Während des Tests sollten Sie einige Bedrohungen simulieren, um Ihre Untersuchungsprozesse zu auszuprobieren.

Nächste Schritte

Was bedeutet Risiko?