Allgemeine Sicherheitsrichtlinien für Microsoft 365-Organisationen
Organisationen müssen bei der Bereitstellung von Microsoft 365 viele Punkte beachten. Die in diesem Artikel genannten Richtlinien für den bedingten Zugriff, den App-Schutz und die Gerätecompliance basieren auf den Empfehlungen von Microsoft und den drei Leitprinzipien von Zero Trust:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Von einer Sicherheitsverletzung ausgehen
Organisationen können diese Richtlinien unverändert übernehmen oder an ihre Anforderungen anpassen. Testen Sie Ihre Richtlinien nach Möglichkeit in einer Nicht-Produktionsumgebung, bevor Sie sie für Ihre Produktionsbenutzer bereitstellen. Tests sind sehr wichtig, um mögliche Auswirkungen für Ihre Benutzer zu identifizieren und zu kommunizieren.
Wir gruppieren diese Richtlinien in drei Schutzebenen, je nachdem, in welcher Phase der Bereitstellung Sie sich befinden:
- Startpunkt – Grundlegende Steuerelemente, die die Multi-Faktor-Authentifizierung, sichere Kennwortänderungen und Richtlinien zum App-Schutz einführen.
- Enterprise – Erweiterte Steuerelemente, die die Gerätecompliance einführen.
- Spezialisierte Sicherheit – Richtlinien, die für bestimmte Datasets oder Benutzer jedes Mal die Multi-Faktor-Authentifizierung erfordern.
Das folgende Diagramm zeigt, für welche Schutzebene jede Richtlinie gilt und ob die Richtlinien für PCs oder Smartphones und Tablets oder für beide Gerätekategorien gelten.
Sie können dieses Diagramm als PDF-Datei herunterladen.
Tipp
Die zwingende Verwendung der Multi-Faktor-Authentifizierung (MFA) wird empfohlen, bevor Geräte in Intune registriert werden, um sicherzustellen, dass das Gerät im Besitz des beabsichtigten Benutzers ist. Sie müssen Geräte in Intune registrieren, bevor Sie Richtlinien für die Gerätecompliance erzwingen können.
Voraussetzungen
Berechtigungen
- Benutzer, die Richtlinien für bedingten Zugriff verwalten, müssen sich mindestens als Administrator für bedingten Zugriff beim Azure-Portal anmelden können.
- Benutzer, die Richtlinien für den App-Schutz und die Gerätecompliance verwalten, müssen sich bei Intune als Intune-Administrator anmelden können.
- Den Benutzern, die nur Konfigurationen anzeigen müssen, können die Rollen Sicherheitsleseberechtigter oder globaler Leser zugewiesen werden.
Weitere Informationen zu Rollen und Berechtigungen finden Sie im Artikel Integrierte Microsoft Entra-Rollen.
Benutzerregistrierung
Stellen Sie sicher, dass Ihre Benutzer sich für die Multi-Faktor-Authentifizierung registrieren, bevor deren Verwendung erforderlich ist. Wenn Sie über Lizenzen verfügen, die Microsoft Entra ID P2 enthalten, können Sie die MFA-Registrierungsrichtlinie in Microsoft Entra ID Protection verwenden, um die Registrierung der Benutzer zu verlangen. Wir stellen Kommunikationsvorlagen bereit, die Sie herunterladen und anpassen können, um Benutzer zur Registrierung aufzufordern.
Gruppen
Alle Microsoft Entra-Gruppen, die im Rahmen dieser Empfehlungen verwendet werden, müssen als Microsoft 365-Gruppe erstellt werden, nicht als Sicherheitsgruppe. Diese Vorgabe ist wichtig für die Bereitstellung von Vertraulichkeitsbezeichnungen, wenn Dokumente später in Microsoft Teams und SharePoint gesichert werden. Weitere Einzelheiten finden Sie im Artikel Informationen zu Gruppen und Zugriffsrechten in Microsoft Entra ID.
Zuweisen von Richtlinien
Richtlinien für den bedingten Zugriff können Benutzern, Gruppen und Administratorrollen zugewiesen werden. Intune-Richtlinien für den App-Schutz und die Gerätecompliance können nur Gruppen zugewiesen werden. Bevor Sie Ihre Richtlinien konfigurieren, sollten Sie bestimmen, wer eingeschlossen bzw. ausgeschlossen werden soll. In der Regel gelten Schutzrichtlinien auf Ebene des Startpunkts für alle Personen in der Organisation.
Hier sehen Sie ein Beispiel für Gruppenzuweisungen und Ausschlüsse für die erforderliche MFA, nachdem Ihre Benutzer die Benutzerregistrierung abgeschlossen haben.
Microsoft Entra-Richtlinie für bedingten Zugriff | Einbeziehen | Ausschließen | |
---|---|---|---|
Startpunkt | Multi-Faktor-Authentifizierung ist für die Anmeldung mit mittlerem oder hohem Risiko erforderlich | Alle Benutzer |
|
Enterprise | Multi-Faktor-Authentifizierung ist für die Anmeldung mit niedrigem, mittlerem oder hohem Risiko erforderlich | Gruppe der leitenden Mitarbeiter |
|
Spezialisierte Sicherheit | Multi-Faktor-Authentifizierung ist immer erforderlich | Gruppe für höchste Geheimhaltung beim Buckeye-Projekt |
|
Gehen Sie vorsichtig vor, wenn Sie eine höhere Schutzebene auf Gruppen und Benutzer anwenden. Durch die Sicherheit soll die Benutzererfahrung nicht unnötig kompliziert werden. Beispielsweise müssen die Mitglieder der Gruppe für höchste Geheimhaltung beim Buckeye-Projekt MFA bei jeder Anmeldung verwenden, auch wenn sie nicht an den speziellen Sicherheitsinhalten ihres Projekts arbeiten. Übermäßige Sicherheitsvorgaben können zu Frustration führen.
Sie können kennwortlose Authentifizierungsmethoden aktivieren, z. B. Windows Hello for Business oder FIDO2-Sicherheitsschlüssel, um den Aufwand durch bestimmte Sicherheitskontrollen zu reduzieren.
Konten für den Notfallzugriff
Alle Organisationen sollten über mindestens ein Notfallzugriffskonto verfügen, dessen Verwendung überwacht wird und das aus Richtlinien ausgeschlossen ist. Diese Konten werden nur verwendet, wenn alle anderen Administratorkonten und Authentifizierungsmethoden gesperrt oder anderweitig nicht verfügbar sind. Weitere Informationen finden Sie im Artikel Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.
Ausschlüsse
Es wird empfohlen, eine Microsoft Entra-Gruppe für Ausschlüsse für den bedingten Zugriff zu erstellen. Über diese Gruppe können Sie einem Benutzer den Zugriff ermöglichen, während Sie Zugriffsprobleme behandeln.
Warnung
Diese Gruppe wird nur als vorübergehende Lösung empfohlen. Überwachen Sie diese Gruppe kontinuierlich, und überprüfen Sie sie auf Änderungen. Stellen Sie auch sicher, dass die Ausschlussgruppe nur wie beabsichtigt verwendet wird.
So fügen Sie diese Ausschlussgruppe den vorhandenen Richtlinien hinzu
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Browsen Sie zu Schutz>Bedingter Zugriff.
- Wählen Sie eine vorhandene Richtlinie aus.
- Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
- Wählen Sie unter Ausschließen die Option Benutzer und Gruppen aus. Wählen Sie dann die Notfallzugriffskonten und die Ausschlussgruppe für den bedingten Zugriff Ihrer Organisation aus.
Bereitstellung
Es wird empfohlen, die Startpunktrichtlinien in der in dieser Tabelle aufgeführten Reihenfolge zu implementieren. Die MFA-Richtlinien für die Schutzebenen Enterprise und Spezialisierte Sicherheit können jedoch jederzeit implementiert werden.
Startpunkt
Policy | Weitere Informationen | Lizenzierung |
---|---|---|
rfordern Sie MFA, wenn das Anmelderisiko mittel oder hoch ist | Verwenden Sie Risikodaten aus Microsoft Entra ID Protection, um MFA nur dann erforderlich zu machen, wenn Risiken erkannt werden. | Microsoft 365 E5 oder Microsoft 365 E3 mit dem E5-Add-On für Sicherheit |
Blockieren Sie Clients, die die moderne Authentifizierung nicht unterstützen | Clients, die keine moderne Authentifizierungsmethode verwenden, können Richtlinien für den bedingten Zugriff umgehen. Daher ist es wichtig, sie zu blockieren. | Microsoft 365 E3 oder E5 |
Benutzer mit hohem Risiko müssen das Kennwort ändern | Benutzer müssen ihr Kennwort beim Anmelden ändern, wenn eine Aktivität mit hohem Risiko für ihr Konto erkannt wird. | Microsoft 365 E5 oder Microsoft 365 E3 mit dem E5-Add-On für Sicherheit |
Anwendungsschutzrichtlinien für den Datenschutz anwenden | Eine Intune-Richtlinie für den App-Schutz pro Plattform (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 oder E5 |
Richtlinien für genehmigte Apps und den App-Schutz verlangen | Erzwingt Richtlinien zum Schutz mobiler Apps für Smartphones und Tablets mit iOS, iPadOS oder Android. | Microsoft 365 E3 oder E5 |
Enterprise
Policy | Weitere Informationen | Lizenzierung |
---|---|---|
Festlegen, dass bei niedrigem, mittlerem oder hohem Anmelderisiko MFA verwendet werden muss | Verwenden Sie Risikodaten aus Microsoft Entra ID Protection, um MFA nur dann erforderlich zu machen, wenn Risiken erkannt werden. | Microsoft 365 E5 oder Microsoft 365 E3 mit dem E5-Add-On für Sicherheit |
Richtlinien für die Gerätecompliance definieren | Legen Sie Mindestanforderungen für die Konfiguration fest. Eine Richtlinie für jede Plattform. | Microsoft 365 E3 oder E5 |
Konforme PCs und mobile Geräte vorschreiben | Erzwingt die Konfigurationsanforderungen für Geräte, die auf Ihre Organisation zugreifen | Microsoft 365 E3 oder E5 |
Spezialisierte Sicherheit
Policy | Weitere Informationen | Lizenzierung |
---|---|---|
Erfordern Sie immer MFA | Benutzer müssen MFA immer ausführen, wenn sie sich bei den Diensten Ihrer Organisation anmelden | Microsoft 365 E3 oder E5 |
App-Schutzrichtlinien
Richtlinien für den App-Schutz definieren, welche Apps zulässig sind und welche Aktionen sie mit den Daten Ihrer Organisation ausführen können. Es stehen viele Optionen zur Verfügung, die verwirrend sein können. Die folgenden Grundlagen sind die empfohlenen Konfigurationen von Microsoft, die auf Ihre Anforderungen zugeschnitten werden können. Wir stellen drei Vorlagen zur Verfügung, gehen aber davon aus, dass die meisten Organisationen die Ebenen 2 und 3 auswählen werden.
Ebene 2 bezieht sich auf die Sicherheit der Ebenen Startpunkt oder Enterprise, während Ebene 3 für spezialisierte Sicherheit vorgesehen ist.
Ebene 1 Enterprise – grundlegender Datenschutz: Microsoft empfiehlt diese Konfiguration als Mindestdatenschutz für Unternehmensgeräte.
Ebene 2 Enterprise – erweiterter Datenschutz: Microsoft empfiehlt diese Konfiguration für Geräte, bei denen Benutzer auf vertrauliche oder sensible Informationen zugreifen. Diese Konfiguration sollte auf die meisten Mobilgerätebenutzer angewendet werden, die auf Unternehmensdaten oder Daten einer Bildungseinrichtung zugreifen. Einige Steuerelemente wirken sich möglicherweise auf die Benutzererfahrung aus.
Ebene 3 Enterprise – hoher Datenschutz: Microsoft empfiehlt diese Konfiguration für Geräte, die in einer Organisation von einem größeren oder komplexeren Sicherheitsteam verwendet werden, oder für bestimmte Benutzer oder Gruppen, die ein besonders hohes Risiko haben (Benutzer, die streng vertrauliche Daten behandeln, deren nicht autorisierte Offenlegung erhebliche materielle Verluste für die Organisation verursacht). Diese Konfiguration empfiehlt sich für Organisationen, die Ziel von finanziell gut aufgestellten und professionell vorgehenden Angreifern sein kann.
Erstellen von Richtlinien für den App-Schutz
Erstellen Sie in Microsoft Intune eine neue Richtlinie für den App-Schutz für jede Plattform (iOS und Android) mithilfe der Einstellungen für das Datenschutzframework. Gehen Sie dazu folgendermaßen vor:
- Erstellen Sie die Richtlinien manuell, indem Sie die Schritte in Erstellen und Bereitstellen von App-Schutzrichtlinien mit Microsoft Intune ausführen.
- Importieren Sie die JSON-Beispielvorlagen im Intune-Konfigurationsframework für Richtlinien für den App-Schutz mit den PowerShell-Skripts von Intune.
Konformitätsrichtlinien für Geräte
Intune-Richtlinien für die Gerätecompliance definieren die Anforderungen, die Geräte erfüllen müssen, damit sie als konform gelten.
Sie müssen eine Richtlinie für jede PC-, Smartphone- oder Tablet-Plattform erstellen. In diesem Artikel werden Empfehlungen für die folgenden Plattformen behandelt:
Erstellen von Richtlinien für die Gerätecompliance
Um Richtlinien für die Gerätecompliance zu erstellen, melden Sie sich beim Microsoft Intune Admin Center an, und navigieren Sie zu Geräte>Compliancerichtlinien>Richtlinien. Wählen Sie Richtlinie erstellen.
Eine Schritt-für-Schritt-Anleitung zum Erstellen von Compliancerichtlinien in Intune finden Sie unter Erstellen einer Konformitätsrichtlinie in Microsoft Intune.
Registrierung und Complianceeinstellungen für iOS/iPadOS
iOS/iPadOS unterstützt mehrere Registrierungsszenarien, von denen zwei im Rahmen dieses Frameworks behandelt werden:
- Registrierung von Geräten im Privatbesitz: Diese Geräte befinden sich im Privatbesitz und werden sowohl geschäftlich als auch für persönliche Zwecke verwendet.
- Automatisierte Registrierung von unternehmenseigenen Geräten: Diese Geräte gehören dem Unternehmen. Sie sind einem einzelnen Benutzer zugeordnet und werden ausschließlich für geschäftliche und nicht persönliche Zwecke verwendet.
Verwenden der unter Identitäts- und Gerätezugriffsrichtlinien von Zero Trust beschriebenen Prinzipien:
- Die Schutzebenen Startpunkt und Enterprise sind eng an den erweiterten Sicherheitseinstellungen der Ebene 2 ausgerichtet.
- Die Schutzebene spezialisierte Sicherheit entspricht weitgehend den Einstellungen für hohe Sicherheit der Ebene 3.
Complianceeinstellungen für persönlich registrierte Geräte
- Persönliche grundlegende Sicherheit (Ebene 1): Microsoft empfiehlt diese Konfiguration als Mindestsicherheitskonfiguration für persönliche Geräte, die Benutzer für den Zugriff auf Geschäfts- oder Schuldaten verwenden. Diese Konfiguration erfolgt durch Erzwingen von Kennwortrichtlinien, Einstellungen zum Sperren von Geräten und Deaktivieren bestimmter Gerätefunktionen, z. B. nicht vertrauenswürdiger Zertifikate.
- Persönliche erweiterte Sicherheit (Ebene 2): Microsoft empfiehlt diese Konfiguration für Geräte, bei denen Benutzer auf vertrauliche oder sensible Informationen zugreifen. Diese Konfiguration umfasst Steuerelemente für die Datenfreigabe. Diese Konfiguration gilt für die meisten mobilen Benutzer, die auf einem Gerät auf Geschäfts- oder Schuldaten zugreifen.
- Persönliche hohe Sicherheit (Ebene 3): Microsoft empfiehlt diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen mit einem besonders hohen Risiko verwendet werden (Benutzer, die streng vertrauliche Daten behandeln, deren nicht autorisierte Offenlegung erhebliche materielle Verluste für die Organisation verursacht). Diese Konfiguration umfasst strengere Kennwortrichtlinien, deaktiviert bestimmte Gerätefunktionen und erzwingt zusätzliche Datenübertragungseinschränkungen.
Complianceeinstellungen für die automatisierte Geräteregistrierung
- Überwachte grundlegende Sicherheit (Ebene 1): Microsoft empfiehlt diese Konfiguration als Mindestsicherheitskonfiguration für überwachte Geräte, die Benutzer für den Zugriff auf Geschäfts- oder Schuldaten verwenden. Diese Konfiguration erfolgt durch Erzwingen von Kennwortrichtlinien, Einstellungen zum Sperren von Geräten und Deaktivieren bestimmter Gerätefunktionen, z. B. nicht vertrauenswürdiger Zertifikate.
- Überwachte erweiterte Sicherheit (Ebene 2): Microsoft empfiehlt diese Konfiguration für Geräte, bei denen Benutzer auf vertrauliche oder sensible Informationen zugreifen. Diese Konfiguration umfasst Steuerelemente für die Datenfreigabe und blockiert den Zugriff auf USB-Geräte. Diese Konfiguration gilt für die meisten mobilen Benutzer, die auf einem Gerät auf Geschäfts- oder Schuldaten zugreifen.
- Überwachte hohe Sicherheit (Ebene 3): Microsoft empfiehlt diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen mit einem besonders hohen Risiko verwendet werden (Benutzer, die streng vertrauliche Daten behandeln, deren nicht autorisierte Offenlegung erhebliche materielle Verluste für die Organisation verursacht). Diese Konfiguration umfasst strengere Kennwortrichtlinien, deaktiviert bestimmte Gerätefunktionen, erzwingt zusätzliche Datenübertragungseinschränkungen und erfordert, dass Apps über das Apple Volume Purchase Program installiert werden.
Registrierung und Complianceeinstellungen für Android
Android Enterprise unterstützt mehrere Registrierungsszenarien, von denen zwei im Rahmen dieses Frameworks behandelt werden:
- Android Enterprise-Arbeitsprofil: Dieses Registrierungsmodell wird in der Regel für Geräte im Privatbesitz verwendet, bei denen die IT eine klare Trennung zwischen geschäftlichen und persönlichen Daten einrichten möchte. Richtlinien, die von der IT gesteuert werden, stellen sicher, dass geschäftliche Daten nicht in das persönliche Profil übertragen werden können.
- Android Enterprise – vollständig verwaltete Geräte: Diese Geräte gehören dem Unternehmen. Sie sind einem einzelnen Benutzer zugeordnet und werden ausschließlich für geschäftliche und nicht persönliche Zwecke verwendet.
Das Android Enterprise-Sicherheitskonfigurationsframework ist in verschiedene Konfigurationsszenarien unterteilt und bietet Anleitungen für das Arbeitsprofil und für vollständig verwaltete Szenarien.
Verwenden der unter Identitäts- und Gerätezugriffsrichtlinien von Zero Trust beschriebenen Prinzipien:
- Die Schutzebenen Startpunkt und Enterprise sind eng an den erweiterten Sicherheitseinstellungen der Ebene 2 ausgerichtet.
- Die Schutzebene spezialisierte Sicherheit entspricht weitgehend den Einstellungen für hohe Sicherheit der Ebene 3.
Complianceeinstellungen für Android Enterprise-Geräte mit Arbeitsprofil
- Wegen der Einstellungen, die für Geräte im Privatbesitz mit Arbeitsprofil verfügbar sind, gibt es kein Angebot für die grundlegende Sicherheit (Ebene 1). Die verfügbaren Einstellungen rechtfertigen keine Unterscheidung zwischen Ebene 1 und Ebene 2.
- Arbeitsprofil mit erweiterter Sicherheit (Ebene 2): Microsoft empfiehlt diese Konfiguration als Mindestsicherheitskonfiguration für persönliche Geräte, die Benutzer für den Zugriff auf Geschäfts- oder Schuldaten verwenden. Diese Konfiguration implementiert Kennwortanforderungen, trennt geschäftliche und persönliche Daten und überprüft den Android-Gerätenachweis.
- Arbeitsprofil mit hoher Sicherheit (Ebene 3): Microsoft empfiehlt diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen mit einem besonders hohen Risiko verwendet werden (Benutzer, die streng vertrauliche Daten behandeln, deren nicht autorisierte Offenlegung erhebliche materielle Verluste für die Organisation verursacht). Diese Konfiguration implementiert die Abwehr mobiler Bedrohungen oder Microsoft Defender for Endpoint, legt die mindestens erforderliche Android-Version fest, erzwingt strengere Kennwortrichtlinien und sorgt für eine strengere Trennung der geschäftlichen und persönlichen Nutzung.
Complianceeinstellungen für vollständig verwaltete Android Enterprise-Geräte
- Grundlegende Sicherheit für vollständig verwaltete Geräte (Ebene 1): Microsoft empfiehlt diese Konfiguration als Mindestsicherheitskonfiguration für Unternehmensgeräte. Diese Konfiguration sollte auf die meisten Mobilgerätebenutzer angewendet werden, die auf Unternehmensdaten oder Daten einer Bildungseinrichtung zugreifen. Diese Konfiguration implementiert Kennwortanforderungen, legt die mindestens erforderliche Android-Version fest und erzwingt bestimmte Geräteeinschränkungen.
- Erweiterte Sicherheit für vollständig verwaltete Geräte (Ebene 2): Microsoft empfiehlt diese Konfiguration für Geräte, bei denen Benutzer auf vertrauliche oder sensible Informationen zugreifen. Diese Konfiguration implementiert strengere Kennwortrichtlinien und deaktiviert Benutzer-/Kontofunktionen.
- Hohe Sicherheit für vollständig verwaltete Geräte (Ebene 3): Microsoft empfiehlt diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen verwendet werden, die ein besonders hohes Risiko haben. Diese Benutzer arbeiten möglicherweise mit streng vertraulichen Daten, deren nicht autorisierte Offenlegung zu erheblichen materiellen Verlusten für die Organisation führen kann. Diese Konfiguration erhöht die mindestens erforderliche Android-Version, implementiert die Abwehr mobiler Bedrohungen oder Microsoft Defender for Endpoint und erzwingt zusätzliche Geräteeinschränkungen.
Empfohlene Complianceeinstellungen für Windows 10 und höher
Die folgenden Einstellungen werden in Schritt 2: Complianceeinstellungen beim Erstellen von Compliancerichtlinien für Windows 10- und neuere Geräte konfiguriert. Diese Einstellungen entsprechen den Prinzipien, die unter Identitäts- und Gerätezugriffsrichtlinien von Zero Trust beschrieben werden.
Informationen zu Geräteintegrität > Auswertungsregeln für den Windows-Integritätsnachweisdienst finden Sie in der folgenden Tabelle.
Eigenschaft | Wert |
---|---|
BitLocker erforderlich | Erforderlich |
Die Funktion „Sicherer Start“ muss auf dem Gerät aktiviert sein | Erforderlich |
Codeintegrität erfordern | Erforderlich |
Geben Sie für Geräteeigenschaften geeignete Werte für die Betriebssystemversionen basierend auf Ihren IT- und Sicherheitsrichtlinien an.
Wenn Sie sich in einer gemeinsam verwalteten Umgebung mit Configuration Manager befinden, wählen Sie für Konformität mit Configuration Manager die Option Erforderlich aus. Andernfalls wählen Sie Nicht konfiguriert aus.
Informationen zur Systemsicherheit finden Sie in der folgenden Tabelle.
Eigenschaft | Wert |
---|---|
Kennwort zum Entsperren mobiler Geräte erforderlich | Erforderlich |
Einfache Kennwörter | Blockieren |
Kennworttyp | Gerätestandard |
Minimale Kennwortlänge | 6 |
Maximale Minuten der Inaktivität, bevor ein Kennwort erforderlich ist | 15 Minuten |
Kennwortablauf (Tage) | 41 |
Anzahl vorheriger Kennwörter, deren Wiederverwendung verhindert wird | 5 |
Kennwort anfordern, wenn das Gerät aus dem Leerlauf zurückkehrt (mobil und Holographic) | Erforderlich |
Verschlüsselung des Datenspeichers auf dem Gerät erfordern | Erforderlich |
Firewall | Erforderlich |
Virenschutz | Erforderlich |
Antispyware | Erforderlich |
Antischadsoftware Microsoft Defender | Erforderlich |
Mindestversion der Antischadsoftware Microsoft Defender | Microsoft empfiehlt Versionen, die nicht älter als fünf Versionen gegenüber der neuesten Version sind. |
Signatur der Antischadsoftware Microsoft Defender auf dem neuesten Stand | Erforderlich |
Echtzeitschutz | Erforderlich |
Für Microsoft Defender for Endpoint
Eigenschaft | Wert |
---|---|
Das Gerät muss der Risikobewertung des Computers entsprechen oder darunter liegen | Medium |
Richtlinien für bedingten Zugriff
Nachdem Ihre Richtlinien für den App-Schutz und die Gerätecompliance in Intune erstellt wurden, können Sie die Erzwingung mit Richtlinien für den bedingten Zugriff aktivieren.
Erzwingen von MFA auf Basis des Anmelderisikos
Folgen Sie den Anleitungen im Artikel Allgemeine Richtlinie für bedingten Zugriff: Multi-Faktor-Authentifizierung für Risikoanmeldungen, um eine Richtlinie zu erstellen, mit der die Multi-Faktor-Authentifizierung basierend auf Anmelderisiken erzwungen wird.
Verwenden Sie beim Konfigurieren Ihrer Richtlinie die folgenden Risikostufen.
Schutzebene | Erforderliche Werte für Risikostufe | Aktion |
---|---|---|
Startpunkt | Hoch, mittel | Beide überprüfen. |
Enterprise | Hoch, mittel, niedrig | Alle drei überprüfen. |
Clients blockieren, die keine Multi-Faktor-Authentifizierung unterstützen
Folgen Sie den Anleitungen im Artikel Allgemeine Richtlinie für den bedingten Zugriff: Blockieren der Legacyauthentifizierung, um die Legacyauthentifizierung zu blockieren.
Benutzer mit hohem Risiko müssen das Kennwort ändern
Folgen Sie den Anleitungen im Artikel Allgemeine Richtlinie für bedingten Zugriff: Kennwortänderung für Risikobenutzer erforderlich, damit Benutzer, deren Anmeldeinformationen kompromittiert wurden, ihr Kennwort ändern müssen.
Verwenden Sie diese Richtlinie in Kombination mit dem Microsoft Entra-Kennwortschutz. Dieser erkennt und blockiert bekannte unsichere Kennwörter und ihre Varianten zusätzlich zu Ausdrücken, die sich speziell auf Ihre Organisation beziehen. Durch Verwendung des Microsoft Entra-Kennwortschutzes wird sichergestellt, dass geänderte Kennwörter sicherer sind.
Richtlinien für genehmigte Apps und den App-Schutz verlangen
Sie müssen eine Richtlinie für den bedingten Zugriff erstellen, damit die in Intune erstellten Richtlinien für den App-Schutz erzwungen werden. Das Erzwingen von Richtlinien für den App-Schutz erfordert eine Richtlinie für den bedingten Zugriff und eine entsprechende Richtlinie für den App-Schutz.
Um eine Richtlinie für den bedingten Zugriff zu erstellen, die genehmigte Apps und App-Schutz erfordert, führen Sie die Schritte in Voraussetzen von genehmigten Client-Apps oder App-Schutzrichtlinien mit mobilen Geräten aus. Diese Richtlinie erlaubt nur Konten in mobilen Apps, die durch Richtlinien für den App-Schutz geschützt sind, den Zugriff auf Microsoft 365-Endpunkte.
Das Blockieren der Legacyauthentifizierung für andere Client-Apps auf iOS- und Android-Geräten stellt sicher, dass diese Clients die Richtlinien für den bedingten Zugriff nicht umgehen können. Wenn Sie den Anweisungen in diesem Artikel folgen, haben Sie bereits das Blockieren von Clients, die moderne Authentifizierungsmethoden nicht unterstützen, konfiguriert.
Erfordert kompatible PCs und Mobilgeräte
Die folgenden Schritte helfen bei der Erstellung einer Richtlinie für bedingten Zugriff, bei der Geräte, die auf Ressourcen zugreifen, als mit den Compliancerichtlinien von Intune Ihres Unternehmens konform gekennzeichnet werden.
Achtung
Stellen Sie sicher, dass Ihr Gerät konform ist, bevor Sie diese Richtlinie aktivieren. Andernfalls könnten Sie gesperrt werden und nicht mehr in der Lage sein, diese Richtlinie zu ändern, bis Ihr Benutzerkonto der Ausschlussgruppe für den bedingten Zugriff hinzugefügt wird.
- Melden Sie sich beim Azure-Portal an.
- Navigieren Sie zu Microsoft Entra ID>Sicherheit>Bedingter Zugriff.
- Wählen Sie Neue Richtlinie.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
- Wählen Sie unter Einschließen die Option Alle Benutzer aus.
- Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihres Unternehmens aus.
- Wählen Sie unter Cloud-Apps oder -aktionen>Einschließen die Option Alle Cloud-Apps aus.
- Wenn Sie bestimmte Anwendungen von Ihrer Richtlinie ausschließen müssen, können Sie sie auf der Registerkarte Ausschließen unter Ausgeschlossene Cloudanwendungen auswählen die Option Auswählen auswählen.
- Unter Zugriffssteuerungen>Erteilen:
- Klicken Sie auf Markieren des Geräts als konform erforderlich.
- Wählen Sie Auswählen aus.
- Bestätigen Sie die Einstellungen und legen Sie Richtlinie aktivieren auf Ein fest.
- Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.
Hinweis
Sie können Ihre neuen Geräte auch dann bei Intune registrieren, wenn Sie Markieren des Geräts als kompatibel erforderlich für Alle Benutzer und Alle Cloud-Apps in Ihrer Richtlinie auswählen. Die Steuerung Markieren des Geräts als konform erforderlich blockiert die Intune-Registrierung und den Zugriff auf die Microsoft Intune-Anwendung für das Webunternehmensportal nicht.
Abonnementaktivierung
Organisationen, die das Feature Abonnementaktivierung verwenden, um Benutzern das schrittweise Aktualisieren einer Windows-Version auf eine andere zu ermöglichen, können die Universal Store-Dienst-APIs und die Webanwendung, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f, aus ihrer Richtlinie für die Gerätecompliance ausschließen.
Erfordern Sie immer MFA
Folgen Sie den Anleitungen im Artikel Allgemeine Richtlinie für bedingten Zugriff: Erfordern der MFA für alle Benutzer, damit Ihre Benutzer auf der Ebene „Spezialisierte Sicherheit“ immer eine Multi-Faktor-Authentifizierung ausführen müssen.
Warnung
Wenn Sie Ihre Richtlinie konfigurieren, wählen Sie die Gruppe aus, die spezialisierte Sicherheit erfordert, und verwenden Sie diese, anstatt „Alle Benutzer“ auszuwählen.
Nächste Schritte
Informationen zu Richtlinienempfehlungen für Gast- und externe Benutzer