Schützen der Identitäten Ihrer Organisation mit Microsoft Entra ID

Es kann sehr aufwendig erscheinen, Ihre Worker in der aktuellen Umgebung zu schützen, insbesondere wenn Sie schnell reagieren und Zugriff auf viele Dienste bereitstellen müssen. In diesem Artikel finden Sie eine umfassende Liste aller auszuführenden Aktionen, die Ihnen dabei helfen soll, die Microsoft Entra Features basierend auf Ihrem Lizenztyp zu identifizieren und zu priorisieren.

Microsoft Entra ID bietet viele Features und zahlreiche Sicherheitsebenen für Ihre Identitäten, sodass die Auswahl der relevanten Features manchmal überwältigend sein kann. Dieses Dokument soll Organisationen dabei unterstützen, Dienste schnell bereitzustellen, wobei sichere Identitäten das wichtigste Kriterium darstellen.

Jede Tabelle bietet eine konsistente Sicherheitsempfehlung, die Identitäten vor häufigen Sicherheitsangriffen schützt und gleichzeitig die Reibungsverluste für Benutzer minimiert.

Der Leitfaden bietet Unterstützung für die folgenden Punkte:

  • Konfigurieren des Zugriffs auf SaaS- (Software-as-a-Service) und lokale Anwendungen auf sichere und geschützte Weise
  • Cloud- und Hybrididentitäten
  • Benutzer, die remote oder im Büro arbeiten.

Voraussetzungen

In dieser Anleitung wird davon ausgegangen, dass Ihre cloudbasierten oder Hybrididentitäten bereits in Microsoft Entra ID eingerichtet wurden. Hilfe bei der Auswahl des Identitätstyps finden Sie im Artikel Auswählen der richtigen Authentifizierungsmethode (AuthN) für Ihre Microsoft Entra-Hybrididentitätslösung.

Exemplarische Vorgehensweise

Nach Anmeldung beim Microsoft 365 Admin Center finden Sie in der Anleitung Einrichten von Microsoft Entra ID für viele der Empfehlungen in diesem Artikel eine exemplarische Vorgehensweise. Um bewährte Methoden zu überprüfen, ohne sich anzumelden und die Features für die automatisierte Einrichtung zu aktivieren, wechseln Sie zum Microsoft 365-Setupportal.

Leitfaden für Microsoft Entra ID Free-, Office 365- oder Microsoft 365-Kunden.

Es gibt viele Empfehlungen, die Microsoft Entra ID Free-, Office 365- oder Microsoft 365-App-Kunden umsetzen sollten, um ihre Benutzeridentitäten zu schützen. In der folgenden Tabelle sind die wichtigsten Aktionen für die folgenden Lizenzabonnements aufgeführt:

  • Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
  • Microsoft 365 (Business Basic, Apps for Business, Business Standard, Business Premium, A1)
  • Microsoft Entra ID Free (enthalten in Azure, Dynamics 365, Intune und Power Platform)
Empfohlene Maßnahme Detail
Sicherheitsstandards aktivieren Schützen Sie alle Benutzeridentitäten und Anwendungen, indem Sie die Multi-Faktor-Authentifizierung aktivieren und die Legacyauthentifizierung blockieren.
Kennworthashsynchronisierung aktivieren (bei Verwendung von Hybrididentitäten) Sorgt für Redundanz bei der Authentifizierung und erhöht die Sicherheit (einschließlich Smart Lockout, IP-Sperre und der Möglichkeit, kompromittierte Anmeldeinformationen zu ermitteln).
Aktivieren von AD FS Smart Lockout (sofern zutreffend) Schützt Ihre Benutzer vor der Sperrung von Extranetkonten durch böswillige Aktivitäten.
Microsoft Entra Smart Lockout aktivieren (bei Verwendung verwalteter Identitäten) Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder mithilfe von Brute-Force-Methoden in Ihr System einzudringen.
Benutzereinwilligung für Anwendungen deaktivieren Der Workflow für die Administratoreinwilligung bietet Administratoren eine sichere Möglichkeit zum Gewähren von Zugriff auf Anwendungen, die eine Administratorgenehmigung erfordern, um zu verhindern, dass Endbenutzer Unternehmensdaten offenlegen. Microsoft empfiehlt die Deaktivierung zukünftiger Vorgänge für die Benutzereinwilligung, um die Angriffsfläche und dieses Risiko zu verringern.
Integrieren unterstützter SaaS-Anwendungen aus dem Katalog in Microsoft Entra ID integrieren und Aktivieren des einmaligen Anmeldens (SSO) Microsoft Entra ID enthält einen Katalog mit Tausenden von vorab integrierten Anwendungen. Einige der von Ihrer Organisation verwendeten Anwendungen sind wahrscheinlich im Katalog enthalten, der direkt über das Azure-Portal zugänglich ist. Ermöglichen Sie den sicheren Remotezugriff auf SaaS-Unternehmensanwendungen mit höherer Benutzerfreundlichkeit (einmaliges Anmelden, SSO).
Bereitstellen und Aufheben der Bereitstellung von Benutzern für SaaS-Anwendungen automatisieren (sofern zutreffend) Erstellt automatisch Benutzeridentitäten und -rollen in den Cloudanwendungen (SaaS), auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Dadurch wird die Sicherheit in Ihrer Organisation noch weiter gesteigert.
Sicheren Hybridzugriff aktivieren: Schützen von Legacy-Apps mit vorhandenen App-Bereitstellungscontrollern und -netzwerken (sofern zutreffend) Veröffentlichen und Schützen Sie Ihre lokalen und cloudbasierten Legacy-Authentifizierungsanwendungen, indem Sie sie über vorhandene Anwendungsbereitstellungscontroller oder Netzwerke mit Microsoft Entra ID verbinden.
Self-Service-Kennwortzurücksetzung aktivieren (gilt nur für ausschließliche Cloudkonten) Diese Fähigkeit reduziert Helpdesk-Anrufe und Produktivitätsverluste, wenn sich ein/e Benutzer*in nicht bei seinem/ihrem Gerät oder einer Anwendung anmelden kann.
Nach Möglichkeit Rollen mit den geringsten Berechtigungen verwenden Gewähren Sie Ihren Administratoren nur den Zugriff, den sie benötigen, und nur für Bereiche, auf die sie zugreifen müssen. Nicht alle Administratoren müssen globale Administratoren sein.
Kennwortleitfaden von Microsoft aktivieren Wenn Ihre Benutzer ihre Kennwörter nicht mehr nach einem festgelegten Zeitplan ändern müssen, und Sie die Anforderungen an die Kennwortkomplexität abschaffen, fällt es Ihren Benutzern leichter, sich Kennwörter zu merken und sichere Kennwörter festzulegen.

Leitfaden für Microsoft Entra ID P1-Kunden.

In der folgenden Tabelle sind die wichtigsten Aktionen für die folgenden Lizenzabonnements aufgeführt:

  • Microsoft Entra ID P1
  • Microsoft Enterprise Mobility + Security E3
  • Microsoft 365 (E3, A3, F1, F3)
Empfohlene Maßnahme Detail
Mehrere globale Administratoren festlegen Weisen Sie mindestens zwei auf die Cloud beschränkte, permanente, globale Administratorkonten für die Verwendung im Notfall zu. Diese Konten sind nicht für den täglichen Gebrauch bestimmt und sollten lange und komplexe Kennwörter haben.
Kombinierte Registrierung für Microsoft Entra Multi-Faktor-Authentifizierung und SSPR zum Vereinfachen der Benutzerregistrierung aktivieren Ermöglichen Sie Ihren Benutzern die Registrierung über eine gemeinsame Umgebung sowohl für Microsoft Entra Multi-Faktor-Authentifizierung als auch Self-Service-Kennwortzurücksetzung.
Konfigurieren von Einstellungen für die Multi-Faktor-Authentifizierung für Ihre Organisation Stellt sicher, dass Konten durch Multi-Faktor-Authentifizierung vor Änderungen geschützt sind
Aktivieren der Self-Service-Kennwortzurücksetzung Diese Fähigkeit reduziert Helpdesk-Anrufe und Produktivitätsverluste, wenn sich ein/e Benutzer*in nicht bei seinem/ihrem Gerät oder einer Anwendung anmelden kann.
Kennwortrückschreiben implementieren (bei Verwendung von Hybrididentitäten) Lassen Sie zu, dass Kennwortänderungen in der Cloud in eine lokale Windows Server Active Directory-Umgebung zurückgeschrieben werden.
Richtlinien für bedingten Zugriff erstellen und aktivieren Multi-Faktor-Authentifizierung für Administratoren und Administratorinnen zum Schutz von Konten, denen Administratorrechte zugewiesen sind.

Blockieren älterer Authentifizierungsprotokolle wegen des höheren Risikos im Zusammenhang mit Legacy-Authentifizierungsprotokollen

Multi-Faktor-Authentifizierung für alle Benutzer/Benutzerinnen und Anwendungen, um eine ausgewogene Multi-Faktor-Authentifizierungsrichtlinie für Ihre Umgebung zu erstellen und Ihre Benutzer/Benutzerinnen und Anwendungen zu schützen.

Erzwingen der Multi-Faktor-Authentifizierung für die Azure-Verwaltung, um durch Erzwingung der Multi-Faktor-Authentifizierung für alle Benutzer und Benutzerinnen, die auf Azure-Ressourcen zugreifen, Ressourcen mit erhöhten Rechten zu schützen.
Kennworthashsynchronisierung aktivieren (bei Verwendung von Hybrididentitäten) Sorgt für Redundanz bei der Authentifizierung und erhöht die Sicherheit (einschließlich Smart Lockout, IP-Sperre und der Möglichkeit, kompromittierte Anmeldeinformationen zu ermitteln).
Aktivieren von AD FS Smart Lockout (sofern zutreffend) Schützt Ihre Benutzer vor der Sperrung von Extranetkonten durch böswillige Aktivitäten.
Microsoft Entra Smart Lockout aktivieren (bei Verwendung verwalteter Identitäten) Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder mithilfe von Brute-Force-Methoden in Ihr System einzudringen.
Benutzereinwilligung für Anwendungen deaktivieren Der Workflow für die Administratoreinwilligung bietet Administratoren eine sichere Möglichkeit zum Gewähren von Zugriff auf Anwendungen, die eine Administratorgenehmigung erfordern, um zu verhindern, dass Endbenutzer Unternehmensdaten offenlegen. Microsoft empfiehlt die Deaktivierung zukünftiger Vorgänge für die Benutzereinwilligung, um die Angriffsfläche und dieses Risiko zu verringern.
Remotezugriff auf lokale Legacy-Anwendungen mit Anwendungsproxy aktivieren Aktivieren Sie den Microsoft Entra-Anwendungsproxy, und integrieren Sie ihn mit Legacy-Apps, damit Benutzer sicher auf lokale Anwendungen zugreifen können, indem sie sich mit ihrem Microsoft Entra-Konto anmelden.
Sicheren Hybridzugriff aktivieren: Schützen von Legacy-Apps mit vorhandenen App-Bereitstellungscontrollern und -netzwerken (sofern zutreffend) Veröffentlichen und Schützen Sie Ihre lokalen und cloudbasierten Legacy-Authentifizierungsanwendungen, indem Sie sie über vorhandene Anwendungsbereitstellungscontroller oder Netzwerke mit Microsoft Entra ID verbinden.
Integrieren unterstützter SaaS-Anwendungen aus dem Katalog in Microsoft Entra ID integrieren und Aktivieren des einmaligen Anmeldens Microsoft Entra ID enthält einen Katalog mit Tausenden von vorab integrierten Anwendungen. Einige der von Ihrer Organisation verwendeten Anwendungen sind wahrscheinlich im Katalog enthalten, der direkt über das Azure-Portal zugänglich ist. Ermöglicht den sicheren Remotezugriff auf SaaS-Unternehmensanwendungen mit höherer Benutzerfreundlichkeit (SSO).
Bereitstellen und Aufheben der Bereitstellung von Benutzern für SaaS-Anwendungen automatisieren (sofern zutreffend) Erstellt automatisch Benutzeridentitäten und -rollen in den Cloudanwendungen (SaaS), auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Dadurch wird die Sicherheit in Ihrer Organisation noch weiter gesteigert.
Aktivieren des bedingten Zugriffs: gerätebasiert Verbessert die Sicherheit und die Benutzerfreundlichkeit durch gerätebasierten bedingten Zugriff. Mit diesem Schritt wird sichergestellt, dass Benutzer nur von Geräten aus Zugriff erhalten, die Ihren Sicherheits- und Compliancestandards entsprechen. Diese Geräte werden auch als verwaltete Geräte bezeichnet. Verwaltete Geräte können mit Intune konforme oder in Microsoft Entra eingebundene Hybridgeräte sein.
Kennwortschutz aktivieren Schützt Benutzer vor der Verwendung schwacher und einfach zu erratender Kennwörter.
Nach Möglichkeit Rollen mit den geringsten Berechtigungen verwenden Gewähren Sie Ihren Administratoren nur den Zugriff, den sie benötigen, und nur für Bereiche, auf die sie zugreifen müssen. Nicht alle Administratoren müssen globale Administratoren sein.
Kennwortleitfaden von Microsoft aktivieren Wenn Ihre Benutzer ihre Kennwörter nicht mehr nach einem festgelegten Zeitplan ändern müssen, und Sie die Anforderungen an die Kennwortkomplexität abschaffen, fällt es Ihren Benutzern leichter, sich Kennwörter zu merken und sichere Kennwörter festzulegen.
Erstellen einer benutzerdefinierten organisationsspezifischen Liste gesperrter Kennwörter Verhindern Sie, dass Benutzer Kennwörter erstellen, die Wörter oder Ausdrücke enthalten, die in Ihrer Organisation bzw. Ihrem Bereich häufig vorkommen.
Bereitstellen von Methoden zur kennwortlosen Authentifizierung für Ihre Benutzer Stellen Sie für Ihre Benutzer Methoden für die Authentifizierung ohne Kennwort bereit.
Erstellen eines Plans für den Zugriff durch Gastbenutzer Arbeiten Sie mit Gastbenutzern zusammen, indem Sie ihnen ermöglichen, sich mit ihrem Geschäfts-, Schul- oder Unikonto bzw. mit ihrer Identität bei Ihren Anwendungen und Diensten anzumelden.

Leitfaden für Microsoft Entra ID P2-Kunden.

In der folgenden Tabelle sind die wichtigsten Aktionen für die folgenden Lizenzabonnements aufgeführt:

  • Microsoft Entra ID P2
  • Microsoft Enterprise Mobility + Security E5
  • Microsoft 365 (E5, A5)
Empfohlene Maßnahme Detail
Mehrere globale Administratoren festlegen Weisen Sie mindestens zwei auf die Cloud beschränkte, permanente, globale Administratorkonten für die Verwendung im Notfall zu. Diese Konten sind nicht für den täglichen Gebrauch bestimmt und sollten lange und komplexe Kennwörter haben.
Kombinierte Registrierung für Microsoft Entra Multi-Faktor-Authentifizierung und SSPR zum Vereinfachen der Benutzerregistrierung aktivieren Ermöglichen Sie Ihren Benutzern die Registrierung über eine gemeinsame Umgebung sowohl für Microsoft Entra Multi-Faktor-Authentifizierung als auch Self-Service-Kennwortzurücksetzung.
Konfigurieren von Einstellungen für die Multi-Faktor-Authentifizierung für Ihre Organisation Stellt sicher, dass Konten durch Multi-Faktor-Authentifizierung vor Änderungen geschützt sind
Aktivieren der Self-Service-Kennwortzurücksetzung Diese Fähigkeit reduziert Helpdesk-Anrufe und Produktivitätsverluste, wenn sich ein/e Benutzer*in nicht bei seinem/ihrem Gerät oder einer Anwendung anmelden kann.
Kennwortrückschreiben implementieren (bei Verwendung von Hybrididentitäten) Lassen Sie zu, dass Kennwortänderungen in der Cloud in eine lokale Windows Server Active Directory-Umgebung zurückgeschrieben werden.
Aktivieren von Identity Protection-Richtlinien zum Erzwingen der Registrierung bei der Multi-Faktor-Authentifizierung Verwalten Sie das Rollout von Microsoft Entra Multi-Faktor-Authentifizierung.
Identity Protection-Richtlinien für Benutzer und Anmelderisiken aktivieren Aktivieren Sie Identity Protection-Richtlinien für Benutzer und Anmelderichtlinien. Die empfohlene Anmelderichtlinie zielt auf Anmeldungen mit mittlerem Risiko ab und erfordert Multi-Faktor-Authentifizierung. Benutzerrichtlinien sollten auf Benutzer mit hohem Risiko ausgerichtet sein und eine Kennwortänderung erfordern.
Richtlinien für bedingten Zugriff erstellen und aktivieren Multi-Faktor-Authentifizierung für Administratoren und Administratorinnen zum Schutz von Konten, denen Administratorrechte zugewiesen sind.

Blockieren älterer Authentifizierungsprotokolle wegen des höheren Risikos im Zusammenhang mit Legacy-Authentifizierungsprotokollen

Erzwingen der Multi-Faktor-Authentifizierung für die Azure-Verwaltung, um durch Erzwingung der Multi-Faktor-Authentifizierung für alle Benutzer und Benutzerinnen, die auf Azure-Ressourcen zugreifen, Ressourcen mit erhöhten Rechten zu schützen.
Kennworthashsynchronisierung aktivieren (bei Verwendung von Hybrididentitäten) Sorgt für Redundanz bei der Authentifizierung und erhöht die Sicherheit (einschließlich Smart Lockout, IP-Sperre und der Möglichkeit, kompromittierte Anmeldeinformationen zu ermitteln).
Aktivieren von AD FS Smart Lockout (sofern zutreffend) Schützt Ihre Benutzer vor der Sperrung von Extranetkonten durch böswillige Aktivitäten.
Microsoft Entra Smart Lockout aktivieren (bei Verwendung verwalteter Identitäten) Smart Lockout unterstützt Sie dabei, Angreifer auszusperren, die versuchen, Benutzerkennwörter zu erraten oder mithilfe von Brute-Force-Methoden in Ihr System einzudringen.
Benutzereinwilligung für Anwendungen deaktivieren Der Workflow für die Administratoreinwilligung bietet Administratoren eine sichere Möglichkeit zum Gewähren von Zugriff auf Anwendungen, die eine Administratorgenehmigung erfordern, um zu verhindern, dass Endbenutzer Unternehmensdaten offenlegen. Microsoft empfiehlt die Deaktivierung zukünftiger Vorgänge für die Benutzereinwilligung, um die Angriffsfläche und dieses Risiko zu verringern.
Remotezugriff auf lokale Legacy-Anwendungen mit Anwendungsproxy aktivieren Aktivieren Sie den Microsoft Entra-Anwendungsproxy, und integrieren Sie ihn mit Legacy-Apps, damit Benutzer sicher auf lokale Anwendungen zugreifen können, indem sie sich mit ihrem Microsoft Entra-Konto anmelden.
Sicheren Hybridzugriff aktivieren: Schützen von Legacy-Apps mit vorhandenen App-Bereitstellungscontrollern und -netzwerken (sofern zutreffend) Veröffentlichen und Schützen Sie Ihre lokalen und cloudbasierten Legacy-Authentifizierungsanwendungen, indem Sie sie über vorhandene Anwendungsbereitstellungscontroller oder Netzwerke mit Microsoft Entra ID verbinden.
Integrieren unterstützter SaaS-Anwendungen aus dem Katalog in Microsoft Entra ID integrieren und Aktivieren des einmaligen Anmeldens Microsoft Entra ID enthält einen Katalog mit Tausenden von vorab integrierten Anwendungen. Einige der von Ihrer Organisation verwendeten Anwendungen sind wahrscheinlich im Katalog enthalten, der direkt über das Azure-Portal zugänglich ist. Ermöglicht den sicheren Remotezugriff auf SaaS-Unternehmensanwendungen mit höherer Benutzerfreundlichkeit (SSO).
Bereitstellen und Aufheben der Bereitstellung von Benutzern für SaaS-Anwendungen automatisieren (sofern zutreffend) Erstellt automatisch Benutzeridentitäten und -rollen in den Cloudanwendungen (SaaS), auf die Benutzer Zugriff benötigen. Zusätzlich zur Erstellung von Benutzeridentitäten umfasst die automatische Bereitstellung auch die Wartung und Entfernung von Benutzeridentitäten, wenn sich der Status oder die Rollen ändern. Dadurch wird die Sicherheit in Ihrer Organisation noch weiter gesteigert.
Aktivieren des bedingten Zugriffs: gerätebasiert Verbessert die Sicherheit und die Benutzerfreundlichkeit durch gerätebasierten bedingten Zugriff. Mit diesem Schritt wird sichergestellt, dass Benutzer nur von Geräten aus Zugriff erhalten, die Ihren Sicherheits- und Compliancestandards entsprechen. Diese Geräte werden auch als verwaltete Geräte bezeichnet. Verwaltete Geräte können mit Intune konforme oder in Microsoft Entra eingebundene Hybridgeräte sein.
Kennwortschutz aktivieren Schützt Benutzer vor der Verwendung schwacher und einfach zu erratender Kennwörter.
Nach Möglichkeit Rollen mit den geringsten Berechtigungen verwenden Gewähren Sie Ihren Administratoren nur den Zugriff, den sie benötigen, und nur für Bereiche, auf die sie zugreifen müssen. Nicht alle Administratoren müssen globale Administratoren sein.
Kennwortleitfaden von Microsoft aktivieren Wenn Ihre Benutzer ihre Kennwörter nicht mehr nach einem festgelegten Zeitplan ändern müssen, und Sie die Anforderungen an die Kennwortkomplexität abschaffen, fällt es Ihren Benutzern leichter, sich Kennwörter zu merken und sichere Kennwörter festzulegen.
Erstellen einer benutzerdefinierten organisationsspezifischen Liste gesperrter Kennwörter Verhindern Sie, dass Benutzer Kennwörter erstellen, die Wörter oder Ausdrücke enthalten, die in Ihrer Organisation bzw. Ihrem Bereich häufig vorkommen.
Bereitstellen von Methoden zur kennwortlosen Authentifizierung für Ihre Benutzer Stellen Sie für Ihre Benutzer Methoden für die Authentifizierung ohne Kennwort bereit.
Erstellen eines Plans für den Zugriff durch Gastbenutzer Arbeiten Sie mit Gastbenutzern zusammen, indem Sie ihnen ermöglichen, sich mit ihrem Geschäfts-, Schul- oder Unikonto bzw. mit ihrer Identität bei Ihren Anwendungen und Diensten anzumelden.
Aktivieren von Privileged Identity Management (PIM) Ermöglicht Ihnen, den Zugriff auf wichtige Ressourcen in Ihrer Organisation zu verwalten, zu steuern und zu überwachen, um sicherzustellen, dass Administratoren nur bei Bedarf und mit Genehmigung Zugriff erhalten.
Abschließen einer Zugriffsüberprüfung für Microsoft Entra-Verzeichnisrollen in PIM Arbeiten Sie mit Ihren Sicherheits- und Führungsteams zusammen, um eine Richtlinie für die Zugriffsüberprüfung zu erstellen, anhand derer der Administratorzugriff basierend auf den Richtlinien Ihrer Organisation überprüft wird.

Zero Trust

Dieses Funktion hilft Organisationen, ihre Identitäten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:

  • Explizit verifizieren
  • Verwenden der geringsten Rechte
  • Von einer Sicherheitsverletzung ausgehen

Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre Organisation an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.

Nächste Schritte