Phishingresistente Multi-Faktor-Authentifizierung für Administratoren erforderlich
Konten, denen privilegierte Administratorrollen zugewiesen sind, sind häufige Ziele von Angreifern. Das Anfordern der Phishing-resistenten Multi-Faktor-Authentifizierung (MFA) für diese Konten ist ein einfacher Weg, um das Risiko zu verringern, dass diese Konten kompromittiert werden.
Achtung
Stellen Sie vor dem Erstellen einer Richtlinie, die eine Phishing-resistente Multi-Faktor-Authentifizierung erfordert, sicher, dass Ihre Administratoren die entsprechenden Methoden registriert haben. Wenn Sie diese Richtlinie aktivieren, ohne diesen Schritt auszuführen, besteht die Gefahr, dass Sie sich selbst aus Ihrem Mandanten aussperren. Admins können den befristeten Zugriffspass konfigurieren, um kennwortlose Authentifizierungsmethoden zu registrieren, oder führen Sie die Schritte in Registrieren eines Schlüssels (FIDO2) aus.
Microsoft empfiehlt, dass Sie eine Phishing-resistente Multi-Faktor-Authentifizierung mindestens für die folgenden Rollen verlangen:
- Globaler Administrator
- Anwendungsadministrator
- Authentifizierungsadministrator
- Abrechnungsadministrator
- Cloudanwendungsadministrator
- Administrator für den bedingten Zugriff
- Exchange-Administrator
- Helpdeskadministrator
- Kennwortadministrator
- Privilegierter Authentifizierungsadministrator
- Administrator für privilegierte Rollen
- Sicherheitsadministrator
- SharePoint-Administrator
- Benutzeradministrator
Organisationen können Rollen basierend auf ihren eigenen Anforderungen einschließen oder ausschließen.
Unternehmen können diese Richtlinie in Verbindung mit Funktionen wie Privileged Identity Management (PIM) und seiner Fähigkeit, MFA für die Rollenaktivierung zu verlangen, verwenden.
Authentifizierungsstärke
Die Anleitung in diesem Artikel hilft Ihrer Organisation, eine MFA-Richtlinie für Ihre Umgebung mithilfe von Authentifizierungsstärken zu erstellen. Microsoft Entra ID bietet drei integrierte Authentifizierungsstärken:
- Mehrstufige Authentifizierungsstärke (weniger restriktiv)
- Stärke für kennwortlose MFA
- Phishing-beständige MFA-Stärke (am restriktivsten) empfohlen in diesem Artikel
Sie können eine der integrierten Stärken verwenden oder eine benutzerdefinierte Authentifizierungsstärke basierend auf den jeweils erforderlichen Authentifizierungsmethoden erstellen.
Für externe Benutzerszenarien können die MFA-Authentifizierungsmethoden, die ein Ressourcenmandant akzeptieren kann, variieren, je nachdem, ob der Benutzer MFA in seinem Heimmandanten oder im Ressourcenmandanten abgeschlossen hat. Weitere Informationen finden Sie unter Authentifizierungsstärke für externe Benutzer.
Ausschluss von Benutzern
Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:
- Notfallzugriffs - oder Unterbrechungsglaskonten , um die Sperrung aufgrund von Richtlinienfehlern zu verhindern. Im unwahrscheinlichen Szenario sind alle Administratoren gesperrt, ihr Administratorkonto für den Notfallzugriff kann verwendet werden, um sich anzumelden und Schritte zum Wiederherstellen des Zugriffs auszuführen.
- Weitere Informationen finden Sie im Artikel Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.
- Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
- Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie in Betracht ziehen, diese durch verwaltete Identitäten zu ersetzen.
Vorlagenbereitstellung
Organisationen können diese Richtlinie mithilfe der unten beschriebenen Schritte oder mithilfe der Vorlagen für bedingten Zugriff bereitstellen.
Erstellen der Richtlinie für bedingten Zugriff
Warnung
Wenn Sie externe Authentifizierungsmethoden verwenden, sind diese derzeit mit der Authentifizierungsstärke inkompatibel, und Sie sollten die Steuerung der mehrstufigen Authentifizierungserteilung verwenden.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Navigieren Sie zu Schutz>Bedingter Zugriff>Richtlinien.
- Wählen Sie Neue Richtlinie.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
Wählen Sie unter Einschließen die Verzeichnisrollen aus, und wählen Sie mindestens die zuvor aufgeführten Rollen aus.
Warnung
Richtlinien für bedingten Zugriff unterstützen integrierte Rollen. Richtlinien für bedingten Zugriff werden nicht für andere Rollentypen erzwungen, einschließlich Rollen einer administrativen Einheit oder benutzerdefinierten Rollen.
Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
- Wählen Sie unter "Zielressourcenressourcen>" (ehemals Cloud-Apps)> "Alle Ressourcen" (ehemals "Alle Cloud-Apps") aus.
- Wählen Sie unter Zugriffssteuerung>Erteilen die Option Zugriff gewähren aus.
- Wählen Sie "Authentifizierungsstärke erforderlich" und dann "Phishing-beständige MFA-Stärke " aus der Liste aus.
- Wählen Sie Auswählen.
- Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
- Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.
Wenn ein Administrator die Einstellungen mit dem reinen Berichtsmodus bestätigt hat, kann er den Schalter Richtlinie aktivieren von Nur Bericht auf Ein festlegen.