Einen Sicherheitsplan für den externen Zugriff auf Ressourcen erstellen
Lesen Sie vor dem Erstellen eines Sicherheitsplans für den externen Zugriff die folgenden beiden Artikel, die Kontext und Informationen zu Sicherheitsplänen enthalten.
- Bestimmen Ihres Sicherheitsstatus für externem Zugriff mit Microsoft Entra ID
- Ermitteln des aktuellen Status der Zusammenarbeit mit externen Benutzern in Ihrer Organisation
Voraussetzungen
Dieser Artikel ist der dritte in einer Serie von zehn Artikeln. Es empfiehlt sich, die Artikel der Reihe nach zu lesen. Navigieren Sie zum Abschnitt Nächste Schritte, um die gesamte Serie anzuzeigen.
Dokumentation zu Sicherheitsplänen
Dokumentieren Sie für Ihren Sicherheitsplan die folgenden Informationen:
- Anwendungen und Ressourcen, die für den Zugriff gruppiert wurden
- Anmeldebedingungen für externe Benutzer
- Gerätestatus, Anmeldestandort, Anforderungen für Clientanwendungen, Benutzerrisiko usw.
- Richtlinien zum Bestimmen des Zeitpunkts für Überprüfungen und Zugriffsentfernung
- Benutzer, die für ein ähnliches Erlebnis gruppiert wurden
Verwenden Sie die Identitäts- und Zugriffsverwaltungsrichtlinien von Microsoft oder einen anderen Identitätsanbieter (IdP), um den Sicherheitsplan zu implementieren.
Weitere Informationen: Übersicht über die Identitäts- und Zugriffsverwaltung
Gruppen für den Zugriff verwenden
Sehen Sie sich die folgenden Links zu Artikeln über Ressourcengruppierungsstrategien an:
- Microsoft Teams gruppiert Dateien, Konversationsthreads und andere Ressourcen.
- Erarbeiten Sie eine Strategie für den externen Zugriff auf Teams.
- Weitere Informationen finden Sie unter Sichern des externen Zugriffs auf Microsoft Teams, SharePoint und OneDrive for Business mit Microsoft Entra ID.
- Verwenden Sie Zugriffspakete für die Berechtigungsverwaltung, um die Paketverwaltung von Anwendung, Gruppen, Teams, SharePoint-Websites usw. zu erstellen und zu delegieren.
- Wenden Sie Richtlinien für den bedingten Zugriff auf bis zu 250 Anwendungen mit denselben Zugriffsanforderungen an.
- Den Zugriff für externe Benutzeranwendungsgruppen definieren
Dokumentieren Sie die gruppierten Anwendungen. Diese Aspekte spielen eine Rolle:
- Risikoprofil: Bewerten Sie das zu erwartende Risiko, wenn ein böswilliger Akteur Zugang zu einer Anwendung erhält.
- Stufen Sie das Risiko einer Anwendung als hoch, mittel oder gering ein. Es wird empfohlen, hohe Risiken nicht mit geringen Risiken zu gruppieren.
- Dokumentieren Sie Anwendungen, die nicht für externe Benutzer freigegeben werden dürfen.
- Complianceframeworks: Bestimmen Sie Complianceframeworks für Apps.
- Identifizieren Sie Zugangs- und Überprüfungsanforderungen.
- Anwendungen für Rollen oder Abteilungen: Bewerten Sie Anwendungen, die für den Zugriff durch eine Rolle oder Abteilung gruppiert wurden.
- Anwendungen für die Zusammenarbeit: Identifizieren Sie Anwendungen für die Zusammenarbeit, auf die externe Benutzer zugreifen können, z. B. Teams oder SharePoint.
- Für Produktivitätsanwendungen können externe Benutzer Lizenzen erhalten, oder Sie können Zugriff erteilen.
Dokumentieren Sie die folgenden Informationen für den Anwendungs- und Ressourcengruppenzugriff durch externe Benutzer.
- Einen beschreibenden Namen für die Gruppe, z. B. „Hohes_Risiko_Externer_Zugriff_Finanzen“
- Anwendungen und Ressourcen in der Gruppe
- Anwendungs- und Ressourcenbesitzer und deren Kontaktinformationen
- Das IT-Team steuert den Zugriff, oder die Steuerung wird an eine unternehmensbesitzende Person delegiert.
- Voraussetzungen für den Zugriff: Hintergrundüberprüfung, Schulung usw.
- Complianceanforderungen für den Zugriff auf Ressourcen
- Herausforderungen, z. B. Multi-Faktor-Authentifizierung (MFA) für einige Ressourcen
- Intervall für Überprüfungen, von wem und wo ihre Ergebnisse dokumentiert werden
Tipp
Verwenden Sie diese Art von Governanceplan für den internen Zugriff.
Dokumentieren der Anmeldebedingungen für externe Benutzer
Legen Sie die Anmeldeanforderungen für externe Benutzer fest, die Zugriff anfordern. Die Anforderungen sollten auf dem Risikoprofil der Ressource und der Risikobewertung des Benutzers während der Anmeldung basieren. Konfigurieren Sie die Anmeldebedingungen mithilfe des bedingten Zugriffs: eine Bedingung und ein Ergebnis. Sie können z. B. eine mehrstufige Authentifizierung erfordern.
Weitere Informationen: Was ist bedingter Zugriff?
Anmeldebedingungen für Ressourcenrisikoprofile
Berücksichtigen Sie die folgenden risikobasierten Richtlinien, um die mehrstufige Authentifizierung zu triggern.
- Niedrig – mehrstufige Authentifizierung für einige Anwendungssätze
- Mittel – mehrstufige Authentifizierung, wenn andere Risiken vorhanden sind
- Hoch – externe Benutzer verwenden immer mehrstufige Authentifizierung
Weitere Informationen:
- Tutorial: Erzwingen der Multi-Faktor-Authentifizierung für B2B-Gastbenutzer
- Mehrstufiger Authentifizierung von externen Mandanten vertrauen
Benutzer- und gerätebasierte Anmeldebedingungen
Verwenden Sie die folgende Tabelle zur Richtlinienbewertung für den Umgang mit Risiken.
| Benutzer- oder Anmelderisiko | Vorgeschlagene Richtlinie |
|---|---|
| Sicherungsmedium | Anfordern von kompatiblen Geräten |
| Mobile Apps | Genehmigte Anwendungen erforderlich |
| Identity Protection zeigt ein hohes Risiko an. | Benutzer muss Kennwort ändern |
| Netzwerkadresse | Für den Zugriff auf vertrauliche Projekte müssen Sie sich über einen bestimmten IP-Adressbereich anmelden. |
Um den Gerätestatus als Richtlinieneingabe zu verwenden, müssen Sie das Gerät bei Ihrem Mandanten registrieren oder es mit ihm verbinden. Um den Geräteansprüchen aus dem Basismandanten zu vertrauen, konfigurieren Sie mandantenübergreifende Zugriffseinstellungen. Siehe Ändern der Einstellungen für eingehenden Zugriff
Sie können Identity Protection-Risikorichtlinien verwenden. Entschärfen Sie jedoch Probleme im Basismandanten des Benutzers. Siehe Allgemeine Richtlinie für bedingten Zugriff: Multi-Faktor-Authentifizierung für Risikoanmeldungen
Für Netzwerkstandorte können Sie den Zugriff auf IP-Adressbereiche in Ihrem Besitz beschränken. Verwenden Sie diese Methode, wenn externe Partner auf Anwendungen zugreifen, während sie sich an Ihrem Standort befinden. Siehe Bedingter Zugriff: Blockieren des Zugriffs nach Standort
Dokumentieren von Richtlinien für die Zugriffsüberprüfung
Dokumentieren Sie Richtlinien zur Festlegung des Zeitpunkts für die Überprüfung des Ressourcenzugriffs und die Entfernung des Kontozugriffs für externe Benutzer. Die Eingaben können Folgendes beinhalten:
- Anforderungen an Complianceframeworks
- Interne Geschäftsrichtlinien und -prozesse
- Benutzerverhalten
Im Allgemeinen passen Organisationen die Richtlinie an. Berücksichtigen Sie jedoch die folgenden Parameter:
- Zugriffsüberprüfungen für die Berechtigungsverwaltung:
- Ändern der Lebenszykluseinstellungen für ein Zugriffspaket in der Berechtigungsverwaltung
- Erstellen einer Zugriffsüberprüfung für ein Zugriffspaket in der Berechtigungsverwaltung
- Hinzufügen einer verbundenen Organisation in der Berechtigungsverwaltung: Gruppieren Sie Benutzer von einem Partner und planen Sie Überprüfungen
- Microsoft 365-Gruppen
- Optionen:
- Bestimmen Sie, wann Konten inaktiv werden oder gelöscht werden, wenn externe Benutzer Zugangspakete oder Microsoft 365-Gruppen nicht verwenden.
- Entfernen Sie die Anmeldung für Konten, über die 90 Tage lang keine Anmeldung erfolgt
- Überprüfen Sie regelmäßig den Zugriff für externe Benutzer
Methoden für die Zugriffssteuerung
Einige Features, z. B. die Berechtigungsverwaltung, sind mit einer Microsoft Entra-ID P1- oder P2-Lizenz verfügbar. Die Lizenzen für Microsoft 365 E5 und Office 365 E5 enthalten Microsoft Entra ID P2-Lizenzen. Weitere Informationen finden Sie im folgenden Abschnitt zur Berechtigungsverwaltung.
Hinweis
Lizenzen gelten für einen Benutzer. Daher kann die Zugriffssteuerung an Benutzer, Administratoren und Geschäftsbesitzer delegiert werden. Dieses Szenario kann mit Microsoft Entra P2 oder Microsoft 365 E5 angewendet werden, und Sie müssen nicht für alle Benutzer Lizenzen aktivieren. Für die ersten 50.000 externen Benutzer fallen keine Kosten an. Wenn Sie die P2-Lizenzen für andere interne Benutzer nicht aktivieren, können diese die Berechtigungsverwaltung nicht nutzen.
Funktionen zur Verwaltung externer Benutzer werden auch in anderen Kombinationen von Microsoft 365, Office 365 und Microsoft Entra ID bereitgestellt. Weitere Informationen unter Microsoft 365-Leitfaden zu Sicherheit und Compliance.
Steuern des Zugriffs mit Microsoft Entra ID P2 und Microsoft 365 oder Office 365 E5
Microsoft Entra ID P2, das in Microsoft 365 E5 enthalten ist, verfügt über zusätzliche Sicherheits- und Governancefunktionen.
Bereitstellung, Anmeldung, Zugriffsüberprüfung und Aufhebung des Zugriffs
Einträge in Fettformatierung stellen empfohlene Aktionen dar.
| Funktion | Bereitstellen externer Benutzer | Erzwingen der Anmeldeanforderungen | Überprüfen des Zugriffs | Aufheben der Zugriffsbereitstellung |
|---|---|---|---|---|
| Microsoft Entra B2B Collaboration | E-Mail-Einladung, Einmalkennwort (OTP), Self-Service | – | Regelmäßige Partnerüberprüfung | Konto entfernen Einschränken der Anmeldung |
| Berechtigungsverwaltung | Hinzufügen von Benutzern per Zuweisung oder Self-Service-Zugriff | – | Zugriffsüberprüfungen | Ablauf des Zugriffspakets oder Entfernen aus Zugriffspaket |
| Office 365-Gruppen | – | – | Überprüfen der Gruppenmitgliedschaften | Ablauf oder Löschung von Gruppen Entfernung aus einer Gruppe |
| Microsoft Entra Sicherheitsgruppen | Nicht zutreffend | Richtlinien für bedingten Zugriff: Fügen Sie nach Bedarf externe Benutzer zu Sicherheitsgruppen hinzu. | – | – |
Zugriff auf Ressourcen
Einträge in Fettformatierung stellen empfohlene Aktionen dar.
| Funktion | App- und Ressourcenzugriff | SharePoint- und OneDrive-Zugriff | Zugriff auf Teams | E-Mail- und Dokumentsicherheit |
|---|---|---|---|---|
| Berechtigungsverwaltung | Hinzufügen von Benutzern per Zuweisung oder Self-Service-Zugriff | Zugriffspakete | Zugriffspakete | – |
| Office 365-Gruppe | N/V | Zugriff auf Websites und Gruppeninhalte | Zugriff auf Teams und Gruppeninhalte | – |
| Vertraulichkeitsbezeichnungen | – | Manuelles und automatisches Klassifizieren und Einschränken des Zugriffs | Manuelles und automatisches Klassifizieren und Einschränken des Zugriffs | Manuelles und automatisches Klassifizieren und Einschränken des Zugriffs |
| Microsoft Entra Sicherheitsgruppen | Richtlinien für bedingten Zugriff nicht in Zugriffspaketen enthalten | – | – | – |
Berechtigungsverwaltung
Verwenden Sie die Berechtigungsverwaltung, um Zugriff auf Gruppen und Teams, Anwendungen und SharePoint-Websites zu gewähren und aufzuheben. Definieren Sie die verbundenen Organisationen, für die Zugriff, Self-Service-Anforderungen und Genehmigungsworkflows gewährt wurden. Um eine ordnungsgemäße Beendigung des Zugriffs sicherzustellen, definieren Sie Ablaufrichtlinien und Zugriffsüberprüfungen für Pakete.
Weitere Informationen: Erstellen eines neuen Zugriffspakets in der Berechtigungsverwaltung
Verwalten des Zugriffs mit Microsoft Entra ID P1, Microsoft 365, Office 365 E3
Bereitstellung, Anmeldung, Zugriffsüberprüfung und Aufhebung des Zugriffs
Elemente in Fettformatierung stellen empfohlene Aktionen dar.
| Funktion | Bereitstellen externer Benutzer | Erzwingen der Anmeldeanforderungen | Überprüfen des Zugriffs | Aufheben der Zugriffsbereitstellung |
|---|---|---|---|---|
| Microsoft Entra B2B Collaboration | E-Mail-Einladung, Einmalkennwort (OTP), Self-Service | Direkter B2B-Verbund | Regelmäßige Partnerüberprüfung | Konto entfernen Einschränken der Anmeldung |
| Microsoft 365- oder Office 365-Gruppen | – | – | – | Ablauf oder Löschung von Gruppen Entfernung aus einer Gruppe |
| Sicherheitsgruppen | N/V | Hinzufügen von externen Benutzern zu Sicherheitsgruppen (Organisation, Team, Projekt usw.) | – | – |
| Richtlinien für bedingten Zugriff | – | Anmelderichtlinien für bedingten Zugriff für externe Benutzer | – | – |
Zugriff auf Ressourcen
| Funktion | App- und Ressourcenzugriff | SharePoint- und OneDrive-Zugriff | Zugriff auf Teams | E-Mail- und Dokumentsicherheit |
|---|---|---|---|---|
| Microsoft 365- oder Office 365-Gruppen | N/V | Zugriff auf Gruppenwebsites und zugeordnete Inhalte | Zugriff auf Microsoft 365-Gruppenteams und zugehörige Inhalte | – |
| Vertraulichkeitsbezeichnungen | – | Manuelles Klassifizieren und Einschränken des Zugriffs | Manuelles Klassifizieren und Einschränken des Zugriffs | Manuelles Klassifizieren zum Einschränken und Verschlüsseln |
| Richtlinien für bedingten Zugriff | Richtlinien für bedingten Zugriff zur Zugriffssteuerung | – | – | – |
| Andere Methoden | – | Einschränken des Zugriffs auf SharePoint-Websites mithilfe von Sicherheitsgruppen Unterbinden der direkten Freigabe |
Einschränken externer Einladungen über ein Team | – |
Nächste Schritte
In der folgenden Artikelserie erfahren Sie, wie Sie den externen Zugriff auf Ressourcen sichern können. Wir empfehlen Ihnen, die Artikel in der angegebenen Reihenfolge zu lesen.
Bestimmen Ihres Sicherheitsstatus für externem Zugriff mit Microsoft Entra ID
Ermitteln des aktuellen Status der Zusammenarbeit mit externen Benutzern in Ihrer Organisation
Erstellen eines Sicherheitsplans für den externen Zugriff auf Ressourcen (aktueller Artikel)
Schützen des externen Zugriffs mit Gruppen in Microsoft Entra ID und Microsoft 365
Umstellung auf geregelte Zusammenarbeit mit der Microsoft Entra B2B-Zusammenarbeit
Verwalten des externen Zugriffs mit der Microsoft Entra-Berechtigungsverwaltung
Verwalten des externen Zugriffs auf Ressourcen mit Richtlinien für bedingten Zugriff
Steuern des externen Zugriffs auf Ressourcen in Microsoft Entra ID mit Vertraulichkeitsbezeichnungen
Konvertieren lokaler Gastkonten in Microsoft Entra B2B-Gastkonten