Schützen der Identitäten Ihrer Organisation mit Microsoft Entra ID
Artikel
Es kann sehr aufwendig erscheinen, Ihre Worker in der aktuellen Umgebung zu schützen, insbesondere wenn Sie schnell reagieren und Zugriff auf viele Dienste bereitstellen müssen. Dieser Artikel enthält eine kurze Liste der auszuführenden Aktionen, die Ihnen helfen, Features basierend auf dem Lizenztyp zu identifizieren und zu priorisieren, den Sie besitzen.
Microsoft Entra ID bietet viele Features und zahlreiche Sicherheitsebenen für Ihre Identitäten, sodass die Auswahl der relevanten Features manchmal überwältigend sein kann. Dieses Dokument soll Organisationen dabei unterstützen, Dienste schnell bereitzustellen, wobei sichere Identitäten das wichtigste Kriterium darstellen.
Jede Tabelle bietet Sicherheitsempfehlungen, die Identitäten vor häufigen Sicherheitsangriffen schützt und gleichzeitig die Reibungsverluste für Benutzer minimiert.
Der Leitfaden bietet Unterstützung für die folgenden Punkte:
Konfigurieren des Zugriffs auf SaaS- (Software-as-a-Service) und lokale Anwendungen auf sichere und geschützte Weise
Microsoft empfiehlt Organisationen, zwei Nur-Cloud-Notfallzugriffskonten dauerhaft der Rolle Globaler Administrator zugewiesen zu haben. Diese Konten verfügen über hohe Zugriffsrechte und sind keinen bestimmten Einzelpersonen zugewiesen. Die Konten sind auf Notfall- oder Unterbrechungsglasszenarien beschränkt, in denen normale Konten nicht verwendet werden können oder alle anderen Administratoren versehentlich gesperrt sind. Diese Konten sollten nach den Empfehlungen für das Notfallzugriffskonto erstellt werden.
Exemplarische Vorgehensweise
Nach Anmeldung beim Microsoft 365 Admin Center finden Sie in der Anleitung Einrichten von Microsoft Entra ID für viele der Empfehlungen in diesem Artikel eine exemplarische Vorgehensweise. Um bewährte Methoden zu überprüfen, ohne sich anzumelden und die Features für die automatisierte Einrichtung zu aktivieren, wechseln Sie zum Microsoft 365-Setupportal.
Leitfaden für Microsoft Entra ID Free-, Office 365- oder Microsoft 365-Kunden.
Es gibt viele Empfehlungen, die Microsoft Entra ID Free-, Office 365- oder Microsoft 365-App-Kunden umsetzen sollten, um ihre Benutzeridentitäten zu schützen. In der folgenden Tabelle sind die wichtigsten Aktionen für die folgenden Lizenzabonnements aufgeführt:
Schützen Sie alle Benutzeridentitäten und Anwendungen, indem Sie die Multi-Faktor-Authentifizierung aktivieren und die Legacyauthentifizierung blockieren.
Sorgt für Redundanz bei der Authentifizierung und erhöht die Sicherheit (einschließlich Smart Lockout, IP-Sperre und der Möglichkeit, kompromittierte Anmeldeinformationen zu ermitteln).
Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder mithilfe von Brute-Force-Methoden in Ihr System einzudringen.
Der Workflow für die Administratoreinwilligung bietet Administratoren eine sichere Möglichkeit zum Gewähren von Zugriff auf Anwendungen, die eine Administratorgenehmigung erfordern, um zu verhindern, dass Endbenutzer Unternehmensdaten offenlegen. Microsoft empfiehlt die Deaktivierung zukünftiger Vorgänge für die Benutzereinwilligung, um die Angriffsfläche und dieses Risiko zu verringern.
Microsoft Entra ID enthält einen Katalog mit Tausenden von vorab integrierten Anwendungen. Einige der von Ihrer Organisation verwendeten Anwendungen sind wahrscheinlich im Katalog enthalten, der direkt über das Azure-Portal zugänglich ist. Ermöglichen Sie den sicheren Remotezugriff auf SaaS-Unternehmensanwendungen mit höherer Benutzerfreundlichkeit (einmaliges Anmelden, SSO).
Erstellt automatisch Benutzeridentitäten und -rollen in den Cloudanwendungen (SaaS), auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Dadurch wird die Sicherheit in Ihrer Organisation noch weiter gesteigert.
Veröffentlichen und Schützen Sie Ihre lokalen und cloudbasierten Legacy-Authentifizierungsanwendungen, indem Sie sie über vorhandene Anwendungsbereitstellungscontroller oder Netzwerke mit Microsoft Entra ID verbinden.
Diese Fähigkeit reduziert Helpdesk-Anrufe und Produktivitätsverluste, wenn sich ein/e Benutzer*in nicht bei seinem/ihrem Gerät oder einer Anwendung anmelden kann.
Wenn Ihre Benutzer ihre Kennwörter nicht mehr nach einem festgelegten Zeitplan ändern müssen, und Sie die Anforderungen an die Kennwortkomplexität abschaffen, fällt es Ihren Benutzern leichter, sich Kennwörter zu merken und sichere Kennwörter festzulegen.
Leitfaden für Microsoft Entra ID P1-Kunden.
In der folgenden Tabelle sind die wichtigsten Aktionen für die folgenden Lizenzabonnements aufgeführt:
Ermöglichen Sie Ihren Benutzern die Registrierung über eine gemeinsame Umgebung sowohl für Microsoft Entra Multi-Faktor-Authentifizierung als auch Self-Service-Kennwortzurücksetzung.
Diese Fähigkeit reduziert Helpdesk-Anrufe und Produktivitätsverluste, wenn sich ein/e Benutzer*in nicht bei seinem/ihrem Gerät oder einer Anwendung anmelden kann.
Sorgt für Redundanz bei der Authentifizierung und erhöht die Sicherheit (einschließlich Smart Lockout, IP-Sperre und der Möglichkeit, kompromittierte Anmeldeinformationen zu ermitteln).
Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder mithilfe von Brute-Force-Methoden in Ihr System einzudringen.
Der Workflow für die Administratoreinwilligung bietet Administratoren eine sichere Möglichkeit zum Gewähren von Zugriff auf Anwendungen, die eine Administratorgenehmigung erfordern, um zu verhindern, dass Endbenutzer Unternehmensdaten offenlegen. Microsoft empfiehlt die Deaktivierung zukünftiger Vorgänge für die Benutzereinwilligung, um die Angriffsfläche und dieses Risiko zu verringern.
Aktivieren Sie den Microsoft Entra-Anwendungsproxy, und integrieren Sie ihn mit Legacy-Apps, damit Benutzer sicher auf lokale Anwendungen zugreifen können, indem sie sich mit ihrem Microsoft Entra-Konto anmelden.
Veröffentlichen und Schützen Sie Ihre lokalen und cloudbasierten Legacy-Authentifizierungsanwendungen, indem Sie sie über vorhandene Anwendungsbereitstellungscontroller oder Netzwerke mit Microsoft Entra ID verbinden.
Microsoft Entra ID enthält einen Katalog mit Tausenden von vorab integrierten Anwendungen. Einige der von Ihrer Organisation verwendeten Anwendungen sind wahrscheinlich im Katalog enthalten, der direkt über das Azure-Portal zugänglich ist. Ermöglicht den sicheren Remotezugriff auf SaaS-Unternehmensanwendungen mit höherer Benutzerfreundlichkeit (SSO).
Erstellt automatisch Benutzeridentitäten und -rollen in den Cloudanwendungen (SaaS), auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Dadurch wird die Sicherheit in Ihrer Organisation noch weiter gesteigert.
Verbessert die Sicherheit und die Benutzerfreundlichkeit durch gerätebasierten bedingten Zugriff. Mit diesem Schritt wird sichergestellt, dass Benutzer nur von Geräten aus Zugriff erhalten, die Ihren Sicherheits- und Compliancestandards entsprechen. Diese Geräte werden auch als verwaltete Geräte bezeichnet. Verwaltete Geräte können mit Intune konforme oder in Microsoft Entra eingebundene Hybridgeräte sein.
Wenn Ihre Benutzer ihre Kennwörter nicht mehr nach einem festgelegten Zeitplan ändern müssen, und Sie die Anforderungen an die Kennwortkomplexität abschaffen, fällt es Ihren Benutzern leichter, sich Kennwörter zu merken und sichere Kennwörter festzulegen.
Verhindern Sie, dass Benutzer Kennwörter erstellen, die Wörter oder Ausdrücke enthalten, die in Ihrer Organisation bzw. Ihrem Bereich häufig vorkommen.
Arbeiten Sie mit Gastbenutzern zusammen, indem Sie ihnen ermöglichen, sich mit ihrem Geschäfts-, Schul- oder Unikonto bzw. mit ihrer Identität bei Ihren Anwendungen und Diensten anzumelden.
Leitfaden für Microsoft Entra ID P2-Kunden.
In der folgenden Tabelle sind die wichtigsten Aktionen für die folgenden Lizenzabonnements aufgeführt:
Ermöglichen Sie Ihren Benutzern die Registrierung über eine gemeinsame Umgebung sowohl für Microsoft Entra Multi-Faktor-Authentifizierung als auch Self-Service-Kennwortzurücksetzung.
Diese Fähigkeit reduziert Helpdesk-Anrufe und Produktivitätsverluste, wenn sich ein/e Benutzer*in nicht bei seinem/ihrem Gerät oder einer Anwendung anmelden kann.
Die empfohlene Anmelderichtlinie zielt auf Anmeldungen mit mittlerem Risiko ab und erfordert Multi-Faktor-Authentifizierung. Benutzerrichtlinien sollten auf Benutzer mit hohem Risiko ausgerichtet sein und eine Kennwortänderung erfordern.
Richtlinien für bedingten Zugriff erstellen und aktivieren
Sorgt für Redundanz bei der Authentifizierung und erhöht die Sicherheit (einschließlich Smart Lockout, IP-Sperre und der Möglichkeit, kompromittierte Anmeldeinformationen zu ermitteln).
Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder mithilfe von Brute-Force-Methoden in Ihr System einzudringen.
Der Workflow für die Administratoreinwilligung bietet Administratoren eine sichere Möglichkeit zum Gewähren von Zugriff auf Anwendungen, die eine Administratorgenehmigung erfordern, um zu verhindern, dass Endbenutzer Unternehmensdaten offenlegen. Microsoft empfiehlt die Deaktivierung zukünftiger Vorgänge für die Benutzereinwilligung, um die Angriffsfläche und dieses Risiko zu verringern.
Aktivieren Sie den Microsoft Entra-Anwendungsproxy, und integrieren Sie ihn mit Legacy-Apps, damit Benutzer sicher auf lokale Anwendungen zugreifen können, indem sie sich mit ihrem Microsoft Entra-Konto anmelden.
Veröffentlichen und Schützen Sie Ihre lokalen und cloudbasierten Legacy-Authentifizierungsanwendungen, indem Sie sie über vorhandene Anwendungsbereitstellungscontroller oder Netzwerke mit Microsoft Entra ID verbinden.
Microsoft Entra ID enthält einen Katalog mit Tausenden von vorab integrierten Anwendungen. Einige der von Ihrer Organisation verwendeten Anwendungen sind wahrscheinlich im Katalog enthalten, der direkt über das Azure-Portal zugänglich ist. Ermöglicht den sicheren Remotezugriff auf SaaS-Unternehmensanwendungen mit höherer Benutzerfreundlichkeit (SSO).
Erstellt automatisch Benutzeridentitäten und -rollen in den Cloudanwendungen (SaaS), auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Dadurch wird die Sicherheit in Ihrer Organisation noch weiter gesteigert.
Verbessert die Sicherheit und die Benutzerfreundlichkeit durch gerätebasierten bedingten Zugriff. Mit diesem Schritt wird sichergestellt, dass Benutzer nur von Geräten aus Zugriff erhalten, die Ihren Sicherheits- und Compliancestandards entsprechen. Diese Geräte werden auch als verwaltete Geräte bezeichnet. Verwaltete Geräte können mit Intune konforme oder in Microsoft Entra eingebundene Hybridgeräte sein.
Wenn Ihre Benutzer ihre Kennwörter nicht mehr nach einem festgelegten Zeitplan ändern müssen, und Sie die Anforderungen an die Kennwortkomplexität abschaffen, fällt es Ihren Benutzern leichter, sich Kennwörter zu merken und sichere Kennwörter festzulegen.
Verhindern Sie, dass Benutzer Kennwörter erstellen, die Wörter oder Ausdrücke enthalten, die in Ihrer Organisation bzw. Ihrem Bereich häufig vorkommen.
Arbeiten Sie mit Gastbenutzern zusammen, indem Sie ihnen ermöglichen, sich mit ihrem Geschäfts-, Schul- oder Unikonto bzw. mit ihrer Identität bei Ihren Anwendungen und Diensten anzumelden.
Ermöglicht Ihnen, den Zugriff auf wichtige Ressourcen in Ihrer Organisation zu verwalten, zu steuern und zu überwachen, um sicherzustellen, dass Administratoren nur bei Bedarf und mit Genehmigung Zugriff erhalten.
Arbeiten Sie mit Ihren Sicherheits- und Führungsteams zusammen, um eine Richtlinie für die Zugriffsüberprüfung zu erstellen, anhand derer der Administratorzugriff basierend auf den Richtlinien Ihrer Organisation überprüft wird.
Zero Trust
Dieses Funktion hilft Organisationen, ihre Identitäten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:
Explizit verifizieren
Verwenden der geringsten Rechte
Von einer Sicherheitsverletzung ausgehen
Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre Organisation an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.
Organisationen können die Identitätssicherheitsbewertung verwenden, um den Status und Verbesserungen der Identitätssicherheit im Vergleich zu anderen Microsoft-Empfehlungen nachzuverfolgen.
Zero Trust ist kein Produkt oder Tool, sondern eine wesentliche Sicherheitsstrategie, die darauf abzielt, jede Transaktion kontinuierlich zu überprüfen, den Zugriff mit den geringsten Rechten zu gewährleisten und davon auszugehen, dass jede Transaktion ein möglicher Angriff sein könnte. Durch die Module in diesem Lernpfad erhalten Sie ein Verständnis von Zero Trust und wie es auf Identität, Endpunkte, Anwendungen, Netzwerke, Infrastruktur und Daten angewendet wird.
Veranschaulichen der Features von Microsoft Entra ID, um Identitätslösungen zu modernisieren sowie Hybridlösungen und Identitätsgovernance zu implementieren