Phishingresistente Multi-Faktor-Authentifizierung für Administratoren erforderlich

Konten, denen privilegierte Administratorrollen zugewiesen sind, sind häufige Ziele von Angreifern. Das Anfordern der Phishing-resistenten Multi-Faktor-Authentifizierung (MFA) für diese Konten ist ein einfacher Weg, um das Risiko zu verringern, dass diese Konten kompromittiert werden.

Achtung

Stellen Sie vor dem Erstellen einer Richtlinie, die eine Phishing-resistente Multi-Faktor-Authentifizierung erfordert, sicher, dass Ihre Administratoren die entsprechenden Methoden registriert haben. Wenn Sie diese Richtlinie aktivieren, ohne diesen Schritt auszuführen, besteht die Gefahr, dass Sie sich selbst aus Ihrem Mandanten aussperren. Administratoren können den temporären Zugriffsdurchlauf konfigurieren, um kennwortlose Authentifizierungsmethoden zu registrieren , oder führen Sie die Schritte unter Registrieren eines Schlüssels (FIDO2) aus.

Microsoft empfiehlt, dass Sie eine Phishing-resistente Multi-Faktor-Authentifizierung mindestens für die folgenden Rollen verlangen:

• Globaler Administrator
• Anwendungsadministrator
• Authentifizierungsadministrator
• Abrechnungsadministrator
• Cloudanwendungsadministrator
• Administrator für bedingten Zugriff
• Exchange-Administrator
• Helpdesk-Administrator
• Kennwortadministrator
• Privilegierter Authentifizierungsadministrator
• Administrator für privilegierte Rollen
• Sicherheitsadministrator
• SharePoint-Administrator
• Benutzeradministrator

Organisationen können Rollen basierend auf ihren eigenen Anforderungen einschließen oder ausschließen.

Organisationen können diese Richtlinie in Verbindung mit Features wie Privileged Identity Management (PIM) und deren Möglichkeit verwenden, MFA für die Rollenaktivierung zu erfordern.

Authentifizierungsstärke

Der Leitfaden in diesem Artikel hilft Ihrer Organisation, eine MFA-Richtlinie für Ihre Umgebung mithilfe von Authentifizierungsstärken zu erstellen. Microsoft Entra ID bietet drei integrierte Authentifizierungsstärken:

• Stärken der Multi-Faktor-Authentifizierung (weniger restriktiv)
• Stärke der passwortlosen Multi-Faktor-Authentifizierung
• Phishing-beständige MFA-Stärke (die restriktivste) wird in diesem Artikel empfohlen.

Sie können eine der integrierten Stärken verwenden oder eine benutzerdefinierte Authentifizierungsstärke basierend auf den gewünschten Authentifizierungsmethoden erstellen.

Für Szenarien mit externen Benutzern variieren die MFA-Authentifizierungsmethoden, die ein Ressourcenmandant akzeptieren kann, abhängig davon, ob der Benutzer die MFA in seinem Basismandanten oder im Ressourcenmandanten durchführt. Weitere Informationen finden Sie unter Authentifizierungsstärke für externe Benutzer.

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:

• Notfallzugriffs- oder Break-Glass-Konten, um die Sperrung aufgrund von Richtlinienfehlern zu verhindern. In dem unwahrscheinlichen Fall, dass alle Administratoren ausgesperrt sind, können Sie sich mit Ihrem Administratorkonto für den Notfallzugriff anmelden und Maßnahmen ergreifen, um den Zugriff wiederherzustellen.
  • Weitere Informationen finden Sie im Artikel "Verwalten von Notfallzugriffskonten in Microsoft Entra ID".
• Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
  • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie sie durch verwaltete Identitäten ersetzen.

Vorlagenbereitstellung

Organisationen können diese Richtlinie mithilfe der unten beschriebenen Schritte oder mithilfe der Vorlagen für bedingten Zugriff bereitstellen.

Erstellen Sie eine Richtlinie für bedingten Zugriff

Warnung

Wenn Sie externe Authentifizierungsmethoden verwenden, sind diese derzeit nicht mit der Authentifizierungsstärke kompatibel, und Sie sollten die Steuerung der mehrstufigen Authentifizierungserteilung verwenden.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für Bedingten Zugriff an.
2. Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
3. Wählen Sie "Neue Richtlinie" aus.
4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
5. Wählen Sie unter AufgabenBenutzer oder Workload-Identitäten aus.

   1. Wählen Sie unter "Einschließen" die Verzeichnisrollen aus, und wählen Sie mindestens die zuvor aufgeführten Rollen aus.

      Warnung

      Richtlinien für bedingten Zugriff unterstützen integrierte Rollen. Richtlinien für bedingten Zugriff werden nicht für andere Rollentypen erzwungen, einschließlich Rollen, die auf Verwaltungseinheiten beschränkt sind, oder benutzerdefinierte Rollen.

   2. Wählen Sie unter "Ausschließen" die Option "Benutzer und Gruppen" aus, und wählen Sie den Notfallzugriff oder die Gruppenkonten Ihrer Organisation aus.

6. Wählen Sie unter Zielressourcen>Ressourcen (ehemals Cloud-Apps)>EinschließenAlle Ressourcen (ehemals 'Alle Cloud-Apps') aus.
7. Wählen Sie unter Zugriffssteuerungen>gewähren, die Option Zugriff gewähren aus.
   1. Wählen Sie "Authentifizierungsstärke erforderlich" und dann " Phishing-beständige MFA-Stärke " aus der Liste aus.
   2. Wählen Sie "Auswählen" aus.
8. Bestätigen Sie Ihre Einstellungen, und legen Sie " Richtlinie aktivieren " auf "Nur Bericht" fest.
9. Wählen Sie "Erstellen" aus, um Ihre Richtlinie zu aktivieren.

Nachdem Administratoren die Richtlinieneinstellungen mithilfe des Richtlinieneffekts oder Nur-Bericht-Modus ausgewertet haben, können sie die Option "Richtlinie aktivieren" von "Nur Bericht" auf "Ein" umstellen.

Zugehöriger Inhalt

• Integrierte Microsoft Entra-Rollen
• Vorlagen für bedingten Zugriff
• Konfigurieren von Microsoft Entra-Rolleneinstellungen in Privileged Identity Management