Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wenn Sie die kennwortlose Phishing-Authentifizierung in Ihrer Umgebung bereitstellen und operationalisieren, empfehlen wir einen Benutzerpersona-basierten Ansatz, dies kann jedoch je nach anderen Aspekten wie der Branche, in der Sie sich befinden, und dem Budget variieren, das Sie möglicherweise haben. Dieses Bereitstellungshandbuch hilft Ihnen zu sehen, welche Arten von Methoden und Rolloutplänen für Benutzer in Ihrer Organisation sinnvoll sind. Der Ansatz für die phishing-resistente, kennwortlose Bereitstellung umfasst mehrere Schritte, die jedoch nicht vollständig abgeschlossen sein müssen, bevor mit weiteren Schritten fortgefahren wird.
Bestimmen ihrer Benutzerpersonas
Bestimmen Sie die für Ihre Organisation relevanten Benutzerpersonas. Dieser Schritt ist für Ihr Projekt von entscheidender Bedeutung, da unterschiedliche Personas unterschiedliche Anforderungen haben. Microsoft empfiehlt, die folgenden Benutzerpersonas in Ihrer Organisation zu erwägen und zu bewerten.
| Benutzer-Persona | Beschreibung |
|---|---|
| Administratoren und streng regulierte Benutzer | |
| Nicht-Administratoren |
Microsoft empfiehlt, dass Sie die kennwortlose Authentifizierung, die gegen Phishing geschützt ist, in Ihrem Unternehmen flächendeckend einsetzen. Es wird empfohlen, die Bereitstellung zuerst mit einer der Benutzerpersonas zu starten.
Microsoft empfiehlt, Ihre Benutzer basierend auf diesen Personas zu kategorisieren und dann Benutzer speziell für diese Benutzerpersona in eine Microsoft Entra-ID-Gruppe zu setzen. Diese Gruppen werden in späteren Schritten zum Bereitstellen von Anmeldedaten für verschiedene Benutzertypen verwendet und wenn Sie mit der Erzwingung der Verwendung von phishingsicheren kennwortlosen Anmeldeinformationen beginnen.
Mithilfe von Gruppen können Sie weiterhin neue Teile der Organisation gleichzeitig integrieren. Verfolgen Sie den Ansatz „das Perfekte ist der Feind des Guten“ und verwenden Sie so oft wie möglich sichere Anmeldedaten. Je mehr Benutzer sich mit Phishing-resistenten kennwortlosen Anmeldedaten anmelden, desto geringer ist die Angriffsfläche in Ihrer Umgebung.
Gerätebereitschaft planen
Geräte sind ein wesentlicher Aspekt einer erfolgreichen, kennwortlosen Bereitstellung ohne Phishing. Um sicherzustellen, dass Ihre Geräte auf Phishing-beständige Kennwortlose vorbereitet sind, patchen Sie auf die neuesten unterstützten Versionen jedes Betriebssystems. Um Phishing-beständige Anmeldeinformationen zu verwenden, müssen Ihre Geräte mindestens diese Versionen ausführen:
- Windows 10 22H2 (für Windows Hello for Business)
- Windows 11 22H2 (für optimale Benutzererfahrung bei Verwendung von Passkeys)
- macOS 13 Ventura
- iOS 17
- Android 14
Diese Versionen lassen sich nativ in Features wie Passkeys, Windows Hello for Business und macOS Platform Credential integrieren. Ältere Betriebssysteme erfordern möglicherweise externe Authenticators wie FIDO2-Sicherheitsschlüssel, um eine kennwortlose Authentifizierung ohne Phishing zu unterstützen.
Für weitere Details machen Sie sich mit der FIDO2-Unterstützung für Microsoft Entra ID vertraut. Sie können die kennwortlose Phishing-Arbeitsmappe (Vorschau) verwenden, um die Gerätebereitschaft innerhalb Ihres Mandanten zu verstehen.
Phishing-widerstandsfähige Reise
Im Rahmen Der Bereitstellung von phishingsicheren Anmeldeinformationen müssen Sie überlegen, wie Benutzer integriert sind, wie sie ihre portablen und lokalen Anmeldeinformationen erhalten und wie Phishing-beständige Anmeldeinformationen in Ihrer Organisation erzwungen werden.
Benutzer für phishing-sichere Anmeldedaten registrieren
Die Registrierung der Anmeldedaten und das Bootstrapping sind die ersten wichtigen Aktivitäten für den Endbenutzer in Ihrem Projekt zur kennwortlosen Bereitstellung mit Phishing-Schutz. In diesem Abschnitt wird das Rollout von portablen und lokalen Anmeldedaten behandelt.
In der nachstehenden Tabelle finden Sie die verschiedenen Arten von Anmeldeinformationen und die zugehörigen Authentifizierungsmethoden, die in entra ID konfiguriert werden können.
| Anmeldeinformationen | Beschreibung | Vorteile | Authentifizierungsmethoden |
|---|---|---|---|
| Tragbar | Kann auf allen Geräten verwendet werden. Sie können portable Anmeldedaten verwenden, um sich bei einem anderen Gerät anzumelden oder Anmeldedaten auf anderen Geräten zu registrieren. | Die wichtigste Art von Anmeldedaten, die für die meisten Benutzer zu registrieren sind, da sie geräteübergreifend verwendet werden können und in vielen Szenarien eine phishing-sichere Authentifizierung ermöglichen. | |
| Lokal | Sie können lokale Anmeldeinformationen verwenden, um sich auf einem Gerät zu authentifizieren, ohne sich auf externe Hardware verlassen zu müssen. | Lokale Anmeldeinformationen bieten eine hervorragende Benutzererfahrung, da der Benutzer das Gerät nicht verlassen muss, um sich erfolgreich mit der eigenen Entsperrbewegung des Geräts wie Gesichts-ID oder Windows Hello for Business-Gesichts-/Fingerabdruck/PIN zu authentifizieren. |
- Bei neuen Benutzern übernimmt der Registrierungs- und Bootstrapping-Prozess sie ohne vorhandene Unternehmensanmeldeinformationen und überprüft ihre Identität. Sie erhalten ihre ersten tragbaren Anmeldedaten und verwenden diese tragbaren Anmeldedaten, um weitere lokale Anmeldedaten auf jedem ihrer Computergeräte zu erstellen. Nach der Registrierung erzwingt der Administrator die Phishing-beständige Authentifizierung für Benutzer in der Microsoft Entra-ID.
- Für vorhandene Benutzer müssen sie sich für Phishing-beständige Kennwortlose auf ihren vorhandenen Geräten registrieren oder vorhandene MFA-Anmeldeinformationen verwenden, um kennwortlose Anmeldeinformationen zu bootstrapieren.
Das Endziel ist für beide Benutzertypen identisch – die meisten Benutzer sollten mindestens über eine tragbare Anmeldeinformationen und dann lokale Anmeldeinformationen auf jedem Computergerät verfügen.
Hinweis
Es wird immer empfohlen, dass Benutzer mindestens zwei Authentifizierungsmethoden registriert haben. Dadurch wird sichergestellt, dass der Benutzer über eine Backup-Methode verfügt, wenn etwas mit seiner primären Methode geschieht, z. B. in Fällen eines Geräteverlusts oder Diebstahls. Beispielsweise empfiehlt es sich, dass Benutzer einen Kennungsschlüssel registriert haben und lokale Anmeldeinformationen wie Windows Hello for Business auf ihrer Arbeitsstation haben.
Schritt 1: Identitätsüberprüfung
Bei Remotebenutzern, die ihre Identität nicht nachgewiesen haben, z. B. neue Mitarbeiter, stellt das Onboarding von Unternehmen eine erhebliche Herausforderung dar. Ohne ordnungsgemäße Identitätsüberprüfung kann eine Organisation nicht vollständig sicher sein, dass sie die Person integrieren, die sie beabsichtigen. Microsoft Entra Verified ID kann eine Überprüfung der Identität mit hoher Zuverlässigkeit bereitstellen. Organisationen können mit einem Identitätsüberprüfungspartner (IDV) zusammenarbeiten, um die Identitäten neuer Remotebenutzer im Onboardingprozess zu überprüfen. Nach der Verarbeitung der vom Staat ausgestellten ID eines Benutzers kann der IDV eine überprüfte ID bereitstellen, die die Identität des Benutzers bestätigt. Der neue Benutzer stellt diese identitätsbejahende überprüfte ID der Einstellungsorganisation vor, um vertrauen zu können und zu bestätigen, dass die Organisation die richtige Person integriert. Organisationen können eine Gesichtserkennung mit Microsoft Entra Verified ID hinzufügen, die der Überprüfung eine Gesichtsabgleichsebene hinzufügt, um sicherzustellen, dass vertrauenswürdige Benutzer*innen die die Identität bestätigende überprüfte ID in diesem Moment vorlegen.
Nachdem sie ihre Identität über den Nachweisprozess verifiziert haben, erhalten neue Mitarbeitende einen befristeter Zugriffspass (Temporary Access Pass, TAP), den sie zum Bootstrapen ihrer ersten portierbaren Anmeldeinformationen verwenden können.
Lesen Sie die folgenden Leitfäden, um Microsoft Entra Verified ID Onboarding und TAP-Ausstellung zu aktivieren:
- Onboarding neuer Remotemitarbeiter mithilfe der ID-Überprüfung
- Verwenden der Gesichtserkennung mit Microsoft Entra Verified ID zum Durchführen von Überprüfungen mit hoher Sicherheit im großen Stil
- Aktivieren der TAP-Richtlinie
Unter den folgenden Links finden Sie Lizenzierungsdetails für microsoft Entra Verified ID:
Einige Organisationen wählen möglicherweise andere Methoden als Microsoft Entra Verified ID aus, um Benutzer zu integrieren und ihre ersten Anmeldedaten auszugeben. Microsoft empfiehlt, dass diese Organisationen weiterhin TAPs oder eine andere Möglichkeit verwenden, mit der ein Benutzer ohne Kennwort ein Onboarding durchführen kann. Sie können zum Beispiel FIDO2-Sicherheitsschlüssel mit der Microsoft Graph-API bereitstellen.
Schritt 2: Eine tragbare Anmeldedaten-Erstellung starten
Um bestehende Benutzer auf phishing-sichere kennwortlose Anmeldedaten umzustellen, müssen Sie zunächst feststellen, ob Ihre Benutzer bereits für die traditionelle MFA registriert sind. Benutzer, die mit herkömmlichen MFA-Methoden registriert sind, können mit Phishing-resistenten kennwortlosen Registrierungsrichtlinien angesprochen werden. Sie können ihre herkömmliche MFA verwenden, um sich für ihre ersten portablen phishing-resistenten Anmeldedaten zu registrieren und dann bei Bedarf mit der Registrierung lokaler Anmeldedaten fortfahren. Es empfiehlt sich, die Microsoft Entra Verified ID-Integration zu verwenden, um eine Phishing-beständige Authentifizierungsmethode mithilfe eines temporären Zugriffspasses (TAP) zu registrieren.
Führen Sie für neue Benutzer oder Benutzer ohne MFA einen Prozess durch, um Benutzern ein TAP auszugeben. Sie können eine TAP auf die gleiche Weise ausstellen, wie Sie neuen Benutzern ihre ersten Anmeldedaten zukommen lassen oder indem Sie die Microsoft Entra Verified ID-Integration verwenden. Sobald die Benutzer einen TAP haben, können sie ihre ersten phishing-sicheren Anmeldedaten einrichten.
Es ist wichtig, dass die ersten kennwortlosen Anmeldedaten des Benutzers tragbare Anmeldedaten sind, die für die Authentifizierung auf anderen Computergeräten verwendet werden können. Passkeys können beispielsweise zur lokalen Authentifizierung auf einem iOS-Telefon verwendet werden, aber auch zur Authentifizierung auf einem Windows-PC mit einem geräteübergreifenden Authentifizierungsfluss. Diese geräteübergreifende Funktion ermöglicht es tragbaren Passkeys, windows Hello for Business auf dem Windows-PC zu bootstrapieren, wenn ein Gerät verwendet wird, das mit der Microsoft Entra-ID und der Webanmeldung für Windows verbunden ist.
In der folgenden Tabelle sind die empfohlenen tragbaren Anmeldeinformationen für verschiedene Benutzertypen aufgeführt.
| Benutzer-Persona | Empfohlene portable Anmeldedaten | Alternative portable Anmeldedaten |
|---|---|---|
| Administratoren und streng regulierte Benutzer | FIDO2-Sicherheitsschlüssel | Passkey für Microsoft Authenticator, zertifikatbasierte Authentifizierung (Smartcard) |
| Jeder andere Benutzer | Synchronisierter Passwortschlüssel | FIDO2-Sicherheitsschlüssel, Passkeys für Die Microsoft Authenticator-App |
Die Anmeldeinformationen für die Passkey-Authentifizierung können mithilfe von Passkey-Profilen auf bestimmte Benutzergruppen abgestimmt werden. Ein Passschlüssel-Profil sollte für jede Persona eingerichtet werden, indem die empfohlenen portablen Anmeldeinformationen ausgewählt werden.
Verwenden Sie die folgenden Anleitungen, um empfohlene und alternative portable Anmeldedaten für die relevanten Benutzerpersonas für Ihre Organisation zu aktivieren:
| Methode | Leitfaden |
|---|---|
| FIDO2-Sicherheitsschlüssel | |
| Synchronisierter Passwortschlüssel | |
| Anmeldeschlüssel in Microsoft Authenticator | |
| Smartcards/zertifikatbasierte Authentifizierung (CBA (CAN)) |
Schritt 3: Lokale Anmeldeinformationen initialisieren
Es wird empfohlen, dass jedes Gerät, an dem der Benutzer regelmäßig arbeitet, über einen lokal verfügbaren Zugang verfügt, um eine möglichst reibungslose Benutzererfahrung zu gewährleisten. Lokal verfügbare Anmeldeinformationen verringern die Zeit für die Authentifizierung, da Benutzer nicht mehrere Geräte verwenden müssen, und Benutzer verwenden die Geste zum Entsperren des Geräts zur Authentifizierung.
Sobald der Benutzer seine portablen Anmeldeinformationen erhalten hat, können diese verwendet werden, um seine lokalen Anmeldeinformationen zu initialisieren, sodass der Benutzer phishingsichere Anmeldeinformationen problemlos auch auf anderen Geräten verwenden kann, die ihm gehören.
Hinweis
Benutzer, die Geräte freigeben, sollten nur tragbare Berechtigungsnachweise verwenden.
Verwenden Sie die folgende Tabelle, um zu bestimmen, welche Art von lokalen Zugangsdaten für jede Benutzerpersona bevorzugt wird.
| Benutzer-Persona | Empfohlene lokale Anmeldedaten – Windows | Empfohlene lokale Anmeldedaten – macOS | Empfohlene lokale Anmeldedaten – iOS | Empfohlene lokale Anmeldedaten – Android | Empfohlene lokale Anmeldedaten – Linux |
|---|---|---|---|---|---|
| Administratoren und streng regulierte Mitarbeiter | Windows Hello for Business oder CBA (CAN) | SSO Secure Enklave Key oder CBA (CAN) der Plattform | Passkey in Microsoft Authenticator oder CBA | Passkey in Microsoft Authenticator oder CBA | N/A (stattdessen Smartcard verwenden) |
| Nicht-Administratoren | Windows Hello für Unternehmen | Plattform Single Sign-on (SSO) Secure Enclave Key | Synchronisierter Passwortschlüssel | Synchronisierter Passwortschlüssel | N/A (verwenden Sie stattdessen portable Anmeldedaten) |
Verwenden Sie die folgenden Anleitungen, um die empfohlenen lokalen Anmeldedaten in Ihrer Umgebung für die relevanten Benutzerpersonas für Ihre Organisation zu aktivieren:
| Methode | Leitfaden |
|---|---|
| Windows Hello für Unternehmen | |
| Plattformanmeldeinformationen für macOS | |
| Anmeldeschlüssel in Microsoft Authenticator |
Persona-spezifische Überlegungen
Innerhalb jeder Persona kann es bestimmte Rollenfunktionen geben, die ihre eigenen Herausforderungen und Überlegungen haben. Sie können die nachstehende Tabelle berücksichtigen, die spezifische Anleitungen für bestimmte Rollen in Ihrer Organisation enthält.
| Persona | Beispielrollen |
|---|---|
| Administratoren | |
| Nicht-Administratoren |
Fördern der Verwendung von Phishing-resistenten Anmeldedaten
In diesem Schritt wird erläutert, wie Benutzer Phishing-beständige Anmeldedaten leichter übernehmen können. Sie sollten Ihre Bereitstellungsstrategie testen, den Rollout planen und den Plan den Endbenutzern mitteilen. Anschließend können Sie Berichte erstellen und den Fortschritt überwachen, bevor Sie Phishing-beständige Anmeldedaten in Ihrer Organisation erzwingen.
Testbereitstellungsstrategie
Microsoft empfiehlt, die im vorherigen Schritt erstellte Bereitstellungsstrategie mit einer Reihe von Test- und Pilotbenutzern zu testen. Diese Phase sollte die folgenden Schritte umfassen:
- Erstellen Sie eine Liste der Testbenutzer und Early Adopters. Diese Benutzer sollten Ihre verschiedenen Benutzerpersonas und nicht nur Administratoren und die Verwendung unterstützter Gerätetypen darstellen.
- Erstellen Sie eine Microsoft Entra ID-Gruppe und fügen Sie der Gruppe Ihre Testbenutzer hinzu.
- Aktivieren Sie Ihre Authentifizierungsmethodenrichtlinien in der Microsoft Entra ID und legen Sie die Testgruppe auf die Methoden fest, die Sie aktivieren.
- Messen Sie den Registrierungsrollout für Ihre Pilotbenutzer mithilfe des Berichts Authentifizierungsmethodenaktivität.
- Erstellen Sie Richtlinien für bedingten Zugriff, um die Verwendung von phishingsicheren kennwortlosen Anmeldeinformationen für jeden Betriebssystemtyp zu erzwingen und Ihre Pilotgruppe als Ziel zu verwenden.
- Messen Sie den Erfolg der Durchsetzung mithilfe von Azure Monitor und Arbeitsmappen.
- Sammeln Sie Feedback von Benutzern über den Erfolg des Rollouts.
Planen der Rolloutstrategie
Microsoft empfiehlt, die Nutzung zu fördern, basierend darauf, welche Benutzerpersonas am besten für die Bereitstellung bereit sind. In der Regel bedeutet dies, dass die Piloterstellung zuerst mit Administratoren erfolgt und dann weit für Nicht-Administratorbenutzergruppen bereitgestellt wird, dies kann sich jedoch je nach den Anforderungen Ihrer Organisation ändern.
Verwenden Sie die folgenden Abschnitte, um die Kommunikation an Endbenutzer für jede Persona-Gruppe zu erstellen, den Umfang und das Rollout der Passkey-Registrierungsfunktion festzulegen sowie die Benutzerberichterstattung und Überwachung durchzuführen, um den Fortschritt des Rollouts zu verfolgen.
Fahrbereitschaft mit der Phishing-Resistant kennwortlosen Arbeitsmappe (Vorschau)
Organisationen können optional ihre Microsoft Entra-ID-Anmeldeprotokolle für langfristige Aufbewahrung, Bedrohungssuche und andere Zwecke nach Azure Monitor exportieren. Microsoft hat eine Arbeitsmappe veröffentlicht, die Organisationen mit Protokollen in Azure Monitor verwenden kann, um bei verschiedenen Phasen einer phishingsicheren kennwortlosen Bereitstellung zu helfen. Auf die Phishing-Resistant Arbeitsmappe ohne Kennwort kann hier zugegriffen werden: aka.ms/PasswordlessWorkbook. Wählen Sie die Arbeitsmappe mit dem Titel Phishing-Resistant Kennwortlose Bereitstellung (Vorschau) aus:
Die Arbeitsmappe verfügt über zwei primäre Abschnitte:
- Registrierungsbereitschaftsphase
- Erzwingungsbereitschaftsphase
Bereitschaftsphase für die Registrierung
Verwenden Sie die Registerkarte "Registrierungsbereitschaftsphase", um Anmeldeprotokolle in Ihrem Mandanten zu analysieren und zu bestimmen, welche Benutzer für die Registrierung bereit sind und welche Benutzer möglicherweise von der Registrierung blockiert werden. Mit der Registerkarte "Registrierungsbereitschaftsphase" können Sie z. B. iOS als Betriebssystemplattform auswählen und dann microsoft Authenticator als Typ der Anmeldeinformationen übergeben, für die Sie Ihre Bereitschaft bewerten möchten. Anschließend können Sie auf die Arbeitsmappenvisualisierungen klicken, um nach Benutzern zu filtern, die voraussichtlich Registrierungsprobleme haben und die Liste exportieren:
Auf der Registerkarte "Registrierungsbereitschaftsphase" der Arbeitsmappe können Sie die Bereitschaft für die folgenden Betriebssysteme und Anmeldeinformationen auswerten:
- Fenster
- Windows Hello für Unternehmen
- FIDO2-Sicherheitsschlüssel
- Certificate-Based Authentifizierung / Smart-Card
- macOS
- SSO Secure Enklave Key der Plattform
- FIDO2-Sicherheitsschlüssel
- Certificate-Based Authentifizierung / Smart-Card
- Ios
- Synchronisierter Passwortschlüssel
- FIDO2-Sicherheitsschlüssel
- Anmeldeschlüssel in Microsoft Authenticator
- Certificate-Based Authentifizierung / Smart-Card
- Android
- Synchronisierter Passwortschlüssel
- FIDO2-Sicherheitsschlüssel
- Anmeldeschlüssel in Microsoft Authenticator
- Certificate-Based Authentifizierung / Smart-Card
Verwenden Sie jede exportierte Liste, um Benutzer zu triagen, die möglicherweise Registrierungsprobleme haben. Antworten auf Registrierungsprobleme sollten benutzer beim Upgrade von Betriebssystemversionen des Geräts unterstützen, Alterungsgeräte ersetzen und alternative Anmeldeinformationen auswählen, bei denen die bevorzugte Option nicht geeignet ist. Ihre Organisation kann beispielsweise auswählen, dass physische FIDO2-Sicherheitsschlüssel für Android 13-Benutzer bereitgestellt werden, die keine synchronisierten Passkeys verwenden können.
Verwenden Sie auch den Registrierungsbereitschaftsbericht, um Ihnen bei der Erstellung von Listen von Benutzern zu helfen, die bereit sind, mit der Registrierungskommunikation und den Kampagnen zu beginnen, im Einklang mit Ihrer allgemeinen Rolloutstrategie.
Phase der Durchsetzungsbereitschaft
Sobald Ihre Benutzer bereit für die Phishing-widerstandsfähige Authentifizierung sind, können Sie die Phishing-beständige Authentifizierung erzwingen. Dies bedeutet, dass sie MFA mit phishingsicheren Anmeldeinformationen durchführen müssen, um auf Ressourcen in Ihrer Richtlinie zuzugreifen.
Der erste Schritt der Erzwingungsbereitschaftsphase besteht darin, eine Richtlinie für bedingten Zugriff im Report-Only Modus zu erstellen. Diese Richtlinie füllt Ihre Anmeldeprotokolle mit Daten darüber, ob der Zugriff blockiert worden wäre, wenn Sie Benutzer/Geräte in den Umfang für die phishing-resistente Durchsetzung einbeziehen würden. Erstellen Sie eine neue Richtlinie für bedingten Zugriff in Ihrem Mandanten mit den folgenden Einstellungen:
| Konfiguration | Wert |
|---|---|
| Benutzer-/Gruppenzuweisung | Alle Benutzer, mit Ausnahme von Break Glass-Konten |
| App-Zuweisung | Alle Ressourcen |
| Gewähren von Steuerelementen | Authentifizierungsstärke erforderlich – Phishing-beständige MFA |
| Aktivieren der Richtlinie | Nur Bericht |
Erstellen Sie diese Richtlinie so früh wie möglich in Ihrem Rollout, vorzugsweise bevor Sie ihre Registrierungskampagnen beginnen. Dadurch wird sichergestellt, dass Sie über ein gutes historisches Datensatz verfügen, aus dem hervorgeht, welche Benutzer und Anmeldungen durch die Richtlinie blockiert worden wären, wenn sie durchgesetzt worden wäre.
Verwenden Sie als Nächstes die Arbeitsmappe, um zu analysieren, wo Benutzer-/Gerätepaare für die Erzwingung bereit sind. Laden Sie Listen von Benutzern herunter, die für die Erzwingung bereit sind, und fügen Sie sie gruppen hinzu, die in Übereinstimmung mit Ihren Erzwingungsrichtlinien erstellt wurden. Wählen Sie zunächst die schreibgeschützte Richtlinie für bedingten Zugriff im Richtlinienfilter aus:
Der Bericht enthält eine Liste der Benutzer, die die Anforderung eines phishing-resistenten Passwortlosen Zugangs auf jeder Geräteplattform erfolgreich hätten bestehen können. Laden Sie jede Liste herunter, und fügen Sie die entsprechenden Benutzer in eine Erzwingungsgruppe ein, die an der Geräteplattform ausgerichtet ist.
Wiederholen Sie diesen Vorgang im Laufe der Zeit, bis Sie den Punkt erreicht haben, an dem jede Erzwingungsgruppe die meisten oder alle Benutzer enthält. Schließlich sollten Sie die Berichtsmodus-Richtlinie aktivieren können, um die Durchsetzung für alle Benutzer und Geräteplattformen im Mandanten bereitzustellen. Nachdem Sie diesen abgeschlossenen Zustand erreicht haben, können Sie die einzelnen Erzwingungsrichtlinien für jedes Gerätebetriebssystem entfernen, wodurch die Anzahl der erforderlichen Richtlinien für bedingten Zugriff reduziert wird.
Untersuchung von Benutzern, die nicht zur Durchsetzung bereit sind
Verwenden Sie die Registerkarte "Weitere Datenanalyse ", um zu untersuchen, warum bestimmte Benutzer nicht für die Durchsetzung auf verschiedenen Plattformen bereit sind. Wählen Sie das Feld "Richtlinie nicht erfüllt " aus, um die Daten auf Benutzeranmeldungen zu filtern, die durch die nur im Bericht erfasste Richtlinie für bedingten Zugriff blockiert worden wären.
Verwenden Sie die von diesem Bericht bereitgestellten Daten, um zu bestimmen, welche Benutzer blockiert worden wären, welches Geräte-Betriebssystem sie verwendeten, welche Art von Client-Apps sie nutzten und auf welche Ressourcen sie zuzugreifen versuchten. Diese Daten sollten Ihnen dabei helfen, diese Benutzer für verschiedene Maßnahmen zur Behebung oder Registrierung zu identifizieren, damit sie effektiv in den Rahmen der Durchsetzung aufgenommen werden können.
Planen von Kommunikation mit Endbenutzern
Microsoft stellt Kommunikationsvorlagen für Endbenutzer bereit. Das Bereitstellungsmaterial für die Authentifizierung umfasst anpassbare E-Mail-Vorlagen, um Benutzer über die Implementierung einer phishingsicheren passwortlosen Authentifizierung zu informieren. Verwenden Sie die folgenden Vorlagen für die Kommunikation mit Ihren Benutzern, damit diese die Phishing-resistente kennwortlose Bereitstellung verstehen:
- Passkeys für den Helpdesk
- Passkeys in Kürze verfügbar
- Registrieren Sie sich für Passkey im Authenticator
- Erinnerung zur Registrierung für den Passkey im Authenticator
Kommunikationen sollten mehrmals wiederholt werden, um so viele Benutzer wie möglich abzufangen. Ihre Organisation kann z. B. entscheiden, die verschiedenen Phasen und Zeitleisten mit einem Muster wie diesem zu kommunizieren:
- 60 Tage nach der Durchsetzung: Melden Sie den Wert von Phishing-resistenten Authentifizierungsmethoden und ermutigen Sie Benutzer, proaktiv zu registrieren
- 45 Tage nach der Durchsetzung: Nachricht wiederholen
- 30 Tage nach der Durchsetzung: Nachricht, dass in 30 Tagen die Durchsetzung der Phishing-Bestimmungen beginnen wird und Aufforderung an die Nutzer, sich proaktiv zu registrieren
- 15 Tage nach der Durchsetzung: Wiederholen Sie die Nachricht und teilen Sie ihnen mit, wie sie den Helpdesk kontaktieren können
- 7 Tage nach der Durchsetzung: Wiederholen Sie die Nachricht und teilen Sie ihnen mit, wie sie den Helpdesk kontaktieren können
- 1 Tag außerhalb der Durchsetzung: Informieren Sie sie, dass die Vollstreckung innerhalb von 24 Stunden erfolgen wird und teilen Sie ihnen mit, wie sie den Helpdesk kontaktieren können
Microsoft empfiehlt die Kommunikation mit Benutzern über andere Kanäle hinaus, die nicht nur per E-Mail erfolgen. Weitere Optionen können Microsoft Teams-Nachrichten, Poster für Gruppenräume und Champion-Programme sein, in denen ausgewählte Mitarbeiter geschult werden, um sich für das Programm für ihre Kollegen einzusetzen.
Berichterstellung und Überwachung
Verwenden Sie die zuvor behandelten Phishing-Resistant Kennwortlose Arbeitsmappe , um die Überwachung und Berichterstellung bei Ihrem Rollout zu unterstützen. Verwenden Sie außerdem die unten beschriebenen Berichte, oder verlassen Sie sich darauf, wenn Sie die Phishing-Resistant Kennwortlose Arbeitsmappe nicht verwenden können.
Microsoft Entra ID-Berichte (z. B. Authentifizierungsmethodenaktivität und Anmeldeereignisdetails für die Multi-Faktor-Authentifizierung von Microsoft Entra) bieten Technik- und Geschäftsinformationen, die Ihnen helfen können, die Akzeptanz zu messen und zu fördern.
Im Aktivitätsdashboard für Authentifizierungsmethoden können Sie die Registrierung und Nutzung anzeigen.
- Die Registrierung zeigt die Anzahl der Benutzer an, die eine Phishing-resistente kennwortlose Authentifizierung und andere Authentifizierungsmethoden nutzen können. Es werden Diagramme angezeigt, aus denen hervorgeht, welche Authentifizierungsmethoden die Benutzer registriert haben, sowie die aktuelle Registrierung für jede Methode.
- Die Verwendung zeigt an, welche Authentifizierungsmethoden für die Anmeldung verwendet wurden.
Besitzer von Geschäfts- und technischen Anwendungen sollten Berichte basierend auf den Organisationsanforderungen besitzen und empfangen.
- Verfolgen Sie den Rollout von kennwortlosen Anmeldedaten mit Berichten über die Registrierungsaktivität von Authentifizierungsmethoden, die vor Phishing schützen.
- Verfolgen Sie die Benutzerakzeptanz von phishingsicheren kennwortlosen Anmeldedaten mit Authentifizierungsmethoden, Aktivitätsberichten und Anmeldeprotokollen.
- Verwenden Sie den Bericht zur Anmeldeaktivität, um die Authentifizierungsmethoden nachzuverfolgen, die zum Anmelden bei den verschiedenen Anwendungen verwendet werden. Wählen Sie die Benutzerzeile aus; wählen Sie Authentifizierungsdetails, um die Authentifizierungsmethode und die entsprechende Anmeldeaktivität anzuzeigen.
Microsoft Entra ID fügt Einträge zu Überwachungsprotokollen hinzu, wenn diese Bedingungen auftreten:
- Ein Administrator ändert die Authentifizierungsmethoden.
- Benutzer*innen nehmen in Microsoft Entra ID Änderungen an ihren Anmeldeinformationen vor.
In Microsoft Entra ID werden die meisten Überwachungsdaten 30 Tage lang beibehalten. Wir empfehlen eine längere Aufbewahrung für Überwachungen, Trendanalysen und andere Geschäftsanforderungen.
Greifen Sie im Microsoft Entra Admin Center oder der API auf Überwachungsdaten zu und laden Sie sie in Ihre Analysesysteme herunter. Wenn Sie einen längeren Aufbewahrungszeitraum benötigen, exportieren und nutzen Sie die Protokolle in einem Security Information & Event Management-Tool (SIEM) wie Microsoft Sentinel, Splunk oder Sumo Logic.
Überwachen des Helpdesk-Ticketvolumens
Ihr IT-Helpdesk kann ein unschätzbares Signal dafür liefern, wie gut Ihre Bereitstellung voranschreitet. Daher empfiehlt Microsoft, Ihr Helpdesk-Ticketvolumen beim Ausführen einer phishingsicheren kennwortlosen Bereitstellung nachzuverfolgen.
Da ihr Helpdesk-Ticketvolumen erhöht wird, sollten Sie das Tempo Ihrer Bereitstellungen, der Benutzerkommunikation und der Durchsetzungsaktionen verlangsamen. Wenn das Ticketvolumen verringert wird, können Sie diese Aktivitäten sichern. Die Verwendung dieses Ansatzes erfordert, dass Sie die Flexibilität in Ihrem Rolloutplan beibehalten.
So können Sie beispielsweise Ihre Bereitstellungen und Durchsetzungsmaßnahmen in Wellen ausführen, die sich auf Datumsbereiche und nicht auf bestimmte Daten beziehen:
- 1. bis 15. Juni: Bereitstellung der Kohortenregistrierung für Welle 1 und Kampagnen
- 16. bis 30. Juni: Bereitstellung der Kohortenregistrierung für Welle 2 und Kampagnen
- 1. bis 15. Juli: Bereitstellung der Kohortenregistrierung für Welle 3 und Kampagnen
- 16. bis 31. Juli: Durchsetzung der Welle 1-Kohorte aktiviert
- 1. bis 15. August: Durchsetzung der Welle 2-Kohorte aktiviert
- 16. bis 31. August: Durchsetzung der Welle 3-Kohorte aktiviert
Bei der Durchführung dieser verschiedenen Phasen müssen Sie je nach Umfang der geöffneten Helpdesk-Tickets möglicherweise langsamer vorgehen und die Arbeit fortsetzen, wenn sich das Volumen verringert hat. Um diese Strategie auszuführen, empfiehlt Microsoft, für jede Welle eine Microsoft Entra ID-Sicherheitsgruppe zu erstellen und jede Gruppe zu Ihren Richtlinien einzeln hinzuzufügen. Dieser Ansatz trägt dazu bei, ihre Supportteams zu überwältigen.
Erzwingen von Phishing-resistenten Methoden für die Anmeldung
Die letzte Phase einer Phishing-widerstandsfähigen kennwortlosen Bereitstellung erzwingt die Verwendung von Phishing-widerstandsfähigen Anmeldedaten.
Schritt 4: Durchsetzung der Phishing-Widerstandsfähigkeit für Ressourcen
Um phishingresistente Anmeldeinformationen in Microsoft Entra ID zu erzwingen, ist der primäre Mechanismus die Bedingte Zugriffs-Autentifizierungsstärken. Microsoft empfiehlt, die Durchsetzung für jede Persona basierend auf einer Methode für Benutzer-/Gerätepaare zu erreichen. Ein Durchsetzungsrollout könnte z. B. diesem Muster folgen:
- Administratoren unter Windows und iOS
- Administratoren unter macOS und Android
- Alle anderen Benutzer unter Windows und macOS
- Alle anderen Benutzer unter iOS und Android
Microsoft empfiehlt, einen Bericht aller Benutzer-/Gerätepaare mithilfe von Anmeldedaten aus Ihrem Mandanten zu erstellen. Sie können Abfragetools wie Azure Monitor und Arbeitsmappen verwenden. Versuchen Sie mindestens, alle Benutzer-/Gerätepaare zu identifizieren, die diesen Kategorien entsprechen.
Verwenden Sie die zuvor behandelte Phishing-Resistant Kennwortlose Arbeitsmappe , um die Erzwingungsphase nach Möglichkeit zu unterstützen.
Erstellen Sie für jeden Benutzer eine Liste der Betriebssysteme, die sie regelmäßig für die Arbeit verwenden. Ordnen Sie die Liste der Bereitschaft zur Durchsetzung von Phishing-beständigen Anmeldezwecken für dieses Benutzer-/Gerätepaar zu.
| Betriebssystemtyp | Bereit für die Durchsetzung | Nicht bereit für die Durchsetzung |
|---|---|---|
| Fenster | 10+ | 8.1 und früher, Windows Server |
| Ios | 17+ | 16 und früher |
| Android | 14+ | 13 und früher |
| macOS | 13+ (Ventura) | 12 und früher |
| VDI | Abhängig1 | Abhängig1 |
| Andere | Abhängig1 | Abhängig1 |
1Legen Sie für jedes Benutzer/Geräte-Paar, bei dem die Geräteversion nicht sofort für die Durchsetzung bereit ist, fest, wie die Notwendigkeit der Durchsetzung der Phishing-Resistenz erfüllt werden kann. Berücksichtigen Sie die folgenden Optionen für ältere Betriebssysteme, virtuelle Desktopinfrastruktur (VDI) und andere Betriebssysteme wie Linux:
- Durchsetzen der Phishing-Resistenz mit externer Hardware – FIDO2-Sicherheitsschlüssel
- Erzwingen der Phishingresistenz mit externer Hardware – Smartcards
- Erzwingen der Phishing-Resistenz mithilfe von Remote-Anmeldedaten, z. B. Passkeys im geräteübergreifenden Authentifizierungsfluss
- Erzwingen der Phishing-Resistenz mithilfe von Remote-Anmeldedaten in RDP-Tunneln (insbesondere für VDI)
Die Hauptaufgabe besteht darin, anhand von Daten zu messen, welche Nutzer und Personas für die Durchsetzung auf bestimmten Plattformen bereit sind. Beginnen Sie Ihre Durchsetzungsmaßnahmen bei Benutzer-/Gerätepaaren, die für die Durchsetzung bereit sind, um „das Bleeding zu stoppen“ und die Anzahl der phishbaren Authentifizierungen in Ihrer Umgebung zu reduzieren.
Fahren Sie dann mit anderen Szenarien fort, in denen die Benutzer-/Gerätepaare Bereitschaftsbemühungen erfordern. Arbeiten Sie durch die Liste der Benutzer-/Gerätepaare, bis Sie die Phishing-beständige Authentifizierung über das Board erzwingen.
Erstellen Sie eine Reihe von Microsoft Entra ID-Gruppen, um die Durchsetzung schrittweise einzurichten. Verwenden Sie die Gruppen aus dem vorherigen Schritt wieder, wenn Sie den wellenbasierten Rollout-Ansatz verwendet haben.
Empfohlene Erzwingungsrichtlinien für bedingten Zugriff
Richten Sie jede Gruppe mit einer bestimmten Richtlinie für bedingten Zugriff an. Mit diesem Ansatz können Sie die Durchsetzungssteuerelemente schrittweise nach Benutzer-/Gerätepaar bereitstellen.
| Politik | Gruppenname, der in der Richtlinie ausgerichtet ist | Richtlinie – Geräteplattformbedingung | Richtlinie – Gewähren der Kontrolle |
|---|---|---|---|
| 1 | Windows Phishing-resistente kennwortlose betriebsbereite Benutzer | Fenster | Erfordert Authentifizierungsstärke – Phishing-beständige MFA |
| 2 | macOS Phishing-resistente kennwortlose betriebsbereite Benutzer | macOS | Erfordert Authentifizierungsstärke – Phishing-beständige MFA |
| 3 | iOS Phishing-resistente kennwortlose betriebsbereite Benutzer | Ios | Erfordert Authentifizierungsstärke – Phishing-beständige MFA |
| 4 | Android Phishing-resistente kennwortlose betriebsbereite Benutzer | Android | Erfordert Authentifizierungsstärke – Phishing-beständige MFA |
| 5 | Andere Phishing-resistente kennwortlose betriebsbereite Benutzer | Alle außer Windows, macOS, iOS oder Android | Erfordert Authentifizierungsstärke – Phishing-beständige MFA |
Fügen Sie jeden Benutzer zu jeder Gruppe hinzu, wenn Sie feststellen, ob sein Gerät und Betriebssystem bereit ist oder ob er kein Gerät dieses Typs besitzt. Am Ende des Rollouts sollte sich jeder Benutzer in einer der Gruppen befinden.
Reagieren auf Risiken für kennwortlose Benutzer
Microsoft Entra ID Protection unterstützt Organisationen dabei, identitätsbasierte Risiken zu erkennen, zu untersuchen und zu beseitigen. Microsoft Entra ID Protection bietet wichtige und nützliche Erkennungen für Ihre Benutzer, auch nachdem diese auf die Verwendung von Phishing-resistenten kennwortlosen Anmeldedaten umgestellt haben. Zu den relevanten Erkennungen für Phishing-widerstandsfähige Benutzer gehören beispielsweise:
- Aktivität über anonyme IP-Adresse
- Benutzergefährdung durch Administrator bestätigt
- Anomales Token
- Schädliche IP-Adresse
- Threat Intelligence von Microsoft Entra
- Verdächtiger Browser
- Angreifer-in-the-Middle
- Möglicher Versuch, auf primäres Aktualisierungstoken (Primary Refresh Token, PRT) zuzugreifen
- Und andere: Risikoerkennungen, die riskEventType zugeordnet sind
Microsoft empfiehlt den Kunden von Microsoft Entra ID Protection, die folgenden Maßnahmen zu ergreifen, um ihre kennwortlosen Benutzer optimal vor Phishing zu schützen:
- Lesen Sie den Leitfaden zur Bereitstellung von Microsoft Entra ID Protection: Planen einer ID Protection-Bereitstellung
- Konfigurieren Ihrer Risikoprotokolle für den Export in ein SIEM
- Untersuchen und Reagieren auf ein mittleres Benutzerrisiko
- Konfigurieren einer Richtlinie für bedingten Zugriff zum Blockieren von Benutzern mit hohem Risiko
Nachdem Sie Microsoft Entra ID Protection bereitgestellt haben, sollten Sie den Tokenschutz für bedingten Zugriff verwenden. Da sich Benutzer mit Phishing-resistenten kennwortlosen Anmeldedaten anmelden, entwickeln sich Angriffe und Erkennungen ständig weiter. Wenn beispielsweise Benutzeranmeldeinformationen nicht mehr leicht durch Phishing erlangt werden können, können Angreifer versuchen, Token von Benutzergeräten zu exfiltrieren. Der Tokenschutz trägt dazu bei, dieses Risiko zu verringern, indem Token an die Hardware des Geräts gebunden werden, an das sie ausgegeben wurden.