Simulieren von Risikoerkennungen in Microsoft Entra ID Protection

Administratoren können Risikoerkennungen in Microsoft Entra ID Protection simulieren, um Daten aufzufüllen und risikobasierte Richtlinien für bedingten Zugriff zu testen.

Dieser Artikel enthält die Schritte zum Simulieren der folgenden Risikoerkennungstypen:

• Anonyme IP-Adresse (leicht)
• Ungewöhnliche Anmeldeeigenschaften (mittel)
• Ungewöhnlicher Ortswechsel (schwer)
• Kompromittierte Anmeldeinformationen für Workloadidentitäten in GitHub (mittel)

Andere Risikoerkennungen können nicht auf sichere Weise simuliert werden.

Weitere Informationen zu jeder Risikoerkennung finden Sie in den Artikeln Was ist Risiko für die Identität von Benutzern und Arbeitsauslastungen.

Simulieren einer anonymen IP-Adresse

Für die folgenden Schritte müssen folgende Voraussetzungen erfüllt sein:

• Sie benötigen den Tor-Browser, um anonyme IP-Adressen zu simulieren. Möglicherweise müssen Sie einen virtuellen Computer verwenden, wenn Ihre Organisation die Verwendung des Tor-Browsers einschränkt.
• Sie benötigen ein Testkonto, das noch nicht für die Multi-Faktor-Authentifizierung von Microsoft Entra registriert ist.

Führen Sie die folgende Schritte aus, um eine Anmeldung über eine anonyme IP-Adresse zu simulieren, :

1. Benutzen Sie den Tor Browser, navigieren Sie zu https://myapps.microsoft.com.
2. Geben Sie die Anmeldeinformationen des Kontos ein, das im Bericht Anmeldungen von anonymen IP-Adressen enthalten sein soll.

Die Anmeldung wird innerhalb von 10 bis 15 Minuten im Bericht angezeigt.

Simulieren nicht vertrauter Sign-In Eigenschaften

Um unbekannte Standorte zu simulieren, müssen Sie einen Ort und ein Gerät verwenden, das Ihr Testkonto noch nicht benutzt hat.

Das folgende Verfahren verwendet folgende neu erstellte Elemente:

• Eine VPN-Verbindung, um einen neuen Standort zu simulieren
• Ein virtueller Computer, um ein neues Gerät zu simulieren

Zum Abschließen des folgenden Verfahrens müssen Sie ein Benutzerkonto verwenden, das mindestens 30 Tage Anmeldeverlauf und verwendbare mehrstufige Authentifizierungsmethoden enthält.

Gehen Sie folgendermaßen vor, um eine Anmeldung von einem unbekannten Ort zu simulieren:

1. Navigieren Sie in Ihrem neuen VPN zu https://myapps.microsoft.com, und geben Sie die Anmeldeinformationen Ihres Testkontos ein.
2. Wenn Sie sich mit dem Testkonto anmelden, verursachen Sie einen Fehler bei der MFA-Abfrage.

Die Anmeldung wird innerhalb von 10 bis 15 Minuten im Bericht angezeigt.

Atypisches Reisen simulieren

Die Simulation des ungewöhnlichen Ortswechsels ist schwierig. Der Algorithmus nutzt einen Machine Learning-Ansatz, um falsch positive Ergebnisse auszusieben, z.B. der ungewöhnliche Ortswechsel vertrauter Geräte oder Anmeldungen über VPNs, die von anderen Benutzern im Verzeichnis verwendet werden. Außerdem sind für den Algorithmus ein Anmeldeverlauf von 14 Tagen oder 10 Anmeldungen des Benutzers erforderlich, bevor mit dem Generieren von Risikoerkennungen begonnen wird. Aufgrund der komplexen Machine Learning-Modelle und der oben genannten Regeln besteht die Möglichkeit, dass die nachfolgenden Schritte keine Risikoerkennung auslösen. Sie können diese Schritte für mehrere Microsoft Entra-Konten replizieren, um diese Erkennung zu simulieren.

Führen Sie die folgenden Schritte aus, um eine Risikoerkennung vom Typ „Ungewöhnlicher Ortswechsel“ zu simulieren:

1. Navigieren Sie in Ihrem Standardbrowser zu https://myapps.microsoft.com.
2. Geben Sie die Anmeldeinformationen des Kontos ein, für das eine Risikoerkennung vom Typ „Ungewöhnlicher Ortswechsel“ generiert werden soll.
3. Ändern Sie Ihren Benutzer-Agent. Sie können den Benutzer-Agent in Microsoft Edge von Entwicklertools (F12) ändern.
4. Ändern Sie Ihre IP-Adresse. Sie können die IP-Adresse ändern, indem Sie ein VPN oder ein Tor-Add-On verwenden oder unter Azure einen neuen virtuellen Computer in einem anderen Rechenzentrum erstellen.
5. Melden Sie sich unter https://myapps.microsoft.com mit den gleichen Anmeldeinformationen wie vorher und innerhalb von wenigen Minuten nach der vorherigen Anmeldung an.

Die Anmeldung wird innerhalb von zwei bis vier Stunden im Bericht angezeigt.

Kompromittierte Anmeldeinformationen für Workloadidentitäten

Diese Risikoerkennung weist darauf hin, dass die gültigen Anmeldeinformationen der Anwendung aufgedeckt werden. Eine solche Kompromittierung kann auftreten, wenn die Anmeldeinformationen in einem öffentlichen Codeartefakt auf GitHub eingecheckt werden. Um diese Erkennung zu simulieren, benötigen Sie deshalb ein GitHub-Konto und können sich für ein GitHub-Konto registrieren, wenn Sie noch kein Konto angelegt haben.

Simulieren kompromittierter Anmeldeinformationen für Workloadidentitäten in GitHub

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsadministrator an.

2. Navigieren Sie zu Entra ID>App-Registrierungen.

3. Wählen Sie Neue Registrierung aus, um eine neue Anwendung zu registrieren oder eine veraltete Anwendung wiederzuverwenden.

4. Wählen Sie Zertifikate & Geheimnisse>Neues Clientgeheimnis aus, fügen Sie eine Beschreibung Ihres Clientgeheimnisses hinzu, und legen Sie einen Ablauf für das Geheimnis fest, oder geben Sie eine benutzerdefinierte Lebensdauer an, und wählen Sie Hinzufügen aus. Notieren Sie sich den Wert des Geheimnisses zur späteren Verwendung für Ihren GitHub-Commit.

   Hinweis

   Sie können das Geheimnis nicht mehr abrufen, nachdem Sie diese Seite verlassen haben.

5. Ermitteln Sie die TenantID und die Application(Client)ID auf der Seite Übersicht.

6. Stellen Sie sicher, dass Sie die Anwendung über Entra ID>Enterprise-Apps>Eigenschaften> deaktivieren. Setzen Sie Aktiviert für die Anmeldung von Benutzern auf Nein.

7. Erstellen Sie ein öffentliches GitHub-Repository, fügen Sie die folgende Konfiguration hinzu, und committen Sie die Änderung als Datei mit der .txt-Erweiterung.

     "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
     "AadSecret": "p3n7Q~XXXX",
     "AadTenantDomain": "XXXX.onmicrosoft.com",
     "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
   

8. In ca. 8 Stunden können Sie eine Erkennung von geleakten Anmeldeinformationen unter ID Protection>Dashboard>Risk Detections>Workload Identity Detections sehen, wobei andere Informationen die URL Ihres GitHub-Commits enthalten.

Testen von Risikorichtlinien

Dieser Abschnitt erläutert die Schritte zum Testen der Benutzer- und Anmelderisikorichtlinien, die Sie im Artikel Konfigurieren und Aktivieren von Risikorichtlinien erstellt haben.

Richtlinie zum Benutzerrisiko

Um eine Benutzerrisiko-Sicherheitsrichtlinie zu testen, führen Sie die folgenden Schritte aus:

1. Konfigurieren Sie eine Benutzerrisiko-Richtlinie, die auf die Benutzer abzielt, mit denen Sie testen wollen.
2. Erhöhen Sie das Benutzerrisiko eines Testkontos, indem Sie beispielsweise eine der Risikoerkennungen mehrmals simulieren.
3. Warten Sie einige Minuten, und vergewissern Sie sich dann, dass die Risikostufe für den Benutzer angehoben wurde. Wenn dies nicht der Fall ist, simulieren Sie weitere Risikoerkennungen für den Benutzer.
4. Kehren Sie zu ihrer Risikorichtlinie zurück, und aktivieren Sie Richtlinie erzwingen, und speichern Sie Ihre Richtlinienänderung.
5. Sie können den auf dem Benutzerrisiko basierenden bedingten Zugriff jetzt testen, indem Sie sich mit einem Benutzer anmelden, für den eine erhöhte Risikostufe gilt.

Anmelderisiko-Sicherheitsrichtlinie

Führen Sie die folgenden Schritte aus, um eine Anmelderisiko-Sicherheitsrichtlinie zu testen:

1. Konfigurieren Sie eine Anmelderisiko-Richtlinie, die auf die Benutzer abzielt, mit denen Sie testen wollen.
2. Sie können den auf dem Anmelderisiko basierenden bedingten Zugriff jetzt testen, indem Sie sich mithilfe einer potenziell risikobehafteten Sitzung anmelden (z. B. durch Verwendung des Tor-Browsers).

Verwandte Inhalte

• Was bedeutet Risiko?
• Schützen von Workloadidentitäten mit Identity
• Vorgehensweise: Konfigurieren und Aktivieren von Risikorichtlinien
• Microsoft Entra ID-Schutz