Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Konten, denen Administratorrechte zugewiesen sind, werden von Angreifern ins Visier genommen. Die Anforderung von Multi-Faktor-Authentifizierung (MFA) für diese Konten ist ein einfacher Weg, um das Risiko zu verringern, dass diese Konten gefährdet werden.
Microsoft empfiehlt, dass Sie eine Phishing-resistente Multi-Faktor-Authentifizierung mindestens für die folgenden Rollen verlangen:
- Globaler Administrator
- Anwendungsadministrator
- Authentifizierungsadministrator
- Abrechnungsadministrator
- Cloudanwendungsadministrator
- Administrator für bedingten Zugriff
- Exchange-Administrator
- Helpdesk-Administrator
- Kennwortadministrator
- Privilegierter Authentifizierungsadministrator
- Administrator für privilegierte Rollen
- Sicherheitsadministrator
- SharePoint-Administrator
- Benutzeradministrator
Unternehmen können Rollen nach eigenem Ermessen ein- oder ausschließen.
Ausschluss von Benutzern
Richtlinien für bedingten Zugriff sind leistungsstarke Tools. Es wird empfohlen, die folgenden Konten aus Ihren Richtlinien auszuschließen:
-
Notfallzugriff oder Zurücksetzen-Konten, um die Sperrung aufgrund von Richtlinienfehlern zu verhindern. In dem unwahrscheinlichen Szenario, in dem alle Administratoren gesperrt sind, kann Ihr Administratorkonto für den Notfallzugriff verwendet werden, um sich anzumelden und den Zugriff wiederherzustellen.
- Weitere Informationen finden Sie im Artikel "Verwalten von Notfallzugriffskonten in Microsoft Entra ID".
-
Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nichtinteraktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden in der Regel von Back-End-Diensten verwendet, um programmgesteuerten Zugriff auf Anwendungen zu ermöglichen, aber sie werden auch verwendet, um sich für administrative Zwecke bei Systemen anzumelden. Aufrufe von Dienstprinzipalen werden nicht durch Richtlinien für bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie bedingten Zugriff für Arbeitsauslastungsidentitäten, um Richtlinien zu definieren, die auf Dienstprinzipale abzielen.
- Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, ersetzen Sie sie durch verwaltete Identitäten.
Vorlagenbereitstellung
Organisationen können diese Richtlinie bereitstellen, indem Sie die unten beschriebenen Schritte ausführen oder die Vorlagen für bedingten Zugriff verwenden.
Erstellen Sie eine Richtlinie für bedingten Zugriff
Die folgenden Schritte helfen bei der Erstellung einer Richtlinie für bedingten Zugriff, nach der die zugewiesenen Administratorrollen eine Multi-Faktor-Authentifizierung durchführen müssen. Einige Organisationen sind möglicherweise bereit, stärkere Authentifizierungsmethoden für ihre Administratoren einzuführen. Diese Organisationen können sich dafür entscheiden, eine Richtlinie wie die im Artikel beschriebene Richtlinie zu implementieren, die eine phishingsichere mehrstufige Authentifizierung für Administratoren erfordert.
- Melden Sie sich beim Microsoft Entra Admin Center als Administrator für Bedingten Zugriff an.
- Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
- Wählen Sie "Neue Richtlinie" aus.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Wählen Sie unter AufgabenBenutzer oder Workload-Identitäten aus.
Wählen Sie unter EinschließenVerzeichnisrollen aus und wählen Sie mindestens die zuvor aufgeführten Rollen aus.
Warnung
Richtlinien für bedingten Zugriff unterstützen integrierte Rollen. Richtlinien für bedingten Zugriff werden nicht für andere Rollentypen erzwungen, einschließlich Rollen, die auf Verwaltungseinheiten beschränkt sind, oder benutzerdefinierte Rollen.
Unter "Ausschließen" wählen Sie "Benutzer und Gruppen" aus und wählen Sie die Notfallkonten oder Break-Glass-Konten Ihrer Organisation aus.
- Wählen Sie unter Zielressourcen>(ehemals Cloud-Apps)>Alle Ressourcen(ehemals "Alle Cloud-Apps") aus.
- Wählen Sie unter Zugriffssteuerung>GewährenZugriff gewähren, Mehrstufige Authentifizierung anfordern und Auswählen aus.
- Bestätigen Sie Ihre Einstellungen, und legen Sie Richtlinie aktivieren auf "Nur Bericht" fest.
- Wählen Sie "Erstellen" aus, um Ihre Richtlinie zu aktivieren.
Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".
Zugehöriger Inhalt
- Eingebaute Microsoft Entra-Rollen
- Vorlagen für bedingten Zugriff