Suchen und Beheben von Lücken in der Abdeckung der starken Authentifizierung für Administratoren
Artikel
Die Anforderung der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) für die Administratoren in Ihrem Mandanten ist einer der ersten Schritte, die Sie ausführen können, um die Sicherheit Ihres Mandanten zu erhöhen. In diesem Artikel erfahren Sie, wie Sie sicherstellen, dass all Ihre Administratoren von der mehrstufigen Authentifizierung erfasst werden.
Ermitteln der aktuellen Nutzung für integrierte Microsoft Entra-Administratorrollen
Es gibt verschiedene Möglichkeiten, zu überprüfen, ob Ihre Administratoren durch eine MFA-Richtlinie abgedeckt sind.
Zum Beheben von Problemen bei der Anmeldung für einen bestimmten Administrator können Sie die Anmeldeprotokolle verwenden. Mit den Anmeldeprotokollen können Sie die Authentifizierungsanforderung für bestimmte Benutzer filtern. Jede Anmeldung, bei der die Authentifizierungsanforderung dem Wert Einstufige Authentifizierung entspricht, bedeutet, dass für die Anmeldung keine MFA-Richtlinie erforderlich war.
Wenn Sie die Details einer bestimmten Anmeldung anzeigen, wählen Sie die Registerkarte Authentifizierungsdetails aus, um Details zu den MFA-Anforderungen zu erhalten. Weitere Informationen finden Sie unter Details zur Anmeldeprotokollaktivität.
Um auszuwählen, welche Richtlinie auf Basis Ihrer Benutzerlizenzen aktiviert werden soll, haben wir einen neuen MFA-Aktivierungs-Assistenten entwickelt, mit dem Sie MFA-Richtlinien vergleichen und sehen können, welche Schritte für Ihre Organisation geeignet sind. Der Assistent zeigt die Administratoren an, die in den letzten 30 Tagen durch MFA geschützt waren.
Sie können dieses Skript ausführen, um programmgesteuert einen Bericht für alle Benutzer mit Verzeichnisrollenzuweisungen zu generieren, die sich in den letzten 30 Tagen mit oder ohne MFA angemeldet haben. Dieses Skript listet alle aktiven integrierten und benutzerdefinierten Rollenzuweisungen, alle berechtigten integrierten und benutzerdefinierten Rollenzuweisungen sowie Gruppen mit zugewiesenen Rollen auf.
Erzwingen der mehrstufigen Authentifizierung für Ihre Administratoren
Wenn Sie Administratoren finden, die nicht durch eine mehrstufige Authentifizierung geschützt sind, können Sie auf eine der folgenden Arten für Schutz sorgen:
Wenn Ihre Administrator*innen für Microsoft Entra ID P1 oder P2 lizenziert sind, können Sie eine Richtlinie für bedingten Zugriff erstellen, um die Multi-Faktor-Authentifizierung (MFA) für Administrator*innen zu erzwingen. Sie können diese Richtlinie auch aktualisieren, um MFA von Benutzern mit benutzerdefinierten Rollen anzufordern.
Wenn Sie in Privileged Identity Management benutzerdefinierte oder integrierte Administratorrollen zuweisen, fordern Sie bei der Aktivierung der Rolle die mehrstufige Authentifizierung an.
Verwenden von kennwortlosen und phishingsicheren Authentifizierungsmethoden für Administratoren
Nachdem für Ihre Administratoren die Multi-Faktor-Authentifizierung erzwungen wurde und diese schon seit einer Weile verwendet wird, ist es an der Zeit, die Authentifizierungsstärke zu erhöhen und kennwortlose und phishingsichere Authentifizierungsmethoden zu verwenden:
Die mehrstufige Authentifizierung trägt zum Schutz Ihrer Umgebung und Ihrer Ressourcen bei, indem Ihre Benutzer ihre Identität mit mehreren Authentifizierungsmethoden bestätigen müssen, z. B. durch einen Anruf, eine SMS, eine Benachrichtigung über eine mobile App oder ein Einmalkennwort. Sie können die mehrstufige Authentifizierung sowohl lokal als auch in der Cloud verwenden, um die Sicherheit für den Zugriff auf Microsoft Onlinedienste, Remotezugriffsanwendungen und vieles mehr zu verbessern. Dieser Lernp
Veranschaulichen der Features von Microsoft Entra ID, um Identitätslösungen zu modernisieren sowie Hybridlösungen und Identitätsgovernance zu implementieren
Hier erfahren Sie mehr über die verschiedenen in Microsoft Entra ID verfügbaren Authentifizierungsmethoden und -funktionen, um Anmeldeereignisse zu verbessern und zu schützen.