Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Konten, denen Administratorrechte zugewiesen sind, werden von Angreifern ins Visier genommen. Die Anforderung von Multi-Faktor-Authentifizierung (MFA) für diese Konten ist ein einfacher Weg, um das Risiko zu verringern, dass diese Konten gefährdet werden.
Microsoft empfiehlt, dass Sie eine Phishing-resistente Multi-Faktor-Authentifizierung mindestens für die folgenden Rollen verlangen:
- Globaler Administrator
- Anwendungsadministrator
- Authentifizierungsadministrator
- Abrechnungsadministrator
- Cloudanwendungsadministrator
- Administrator für bedingten Zugriff
- Exchange-Administrator
- Helpdesk-Administrator
- Kennwortadministrator
- Privilegierter Authentifizierungsadministrator
- Administrator für privilegierte Rollen
- Sicherheitsadministrator
- SharePoint-Administrator
- Benutzeradministrator
Unternehmen können Rollen nach eigenem Ermessen ein- oder ausschließen.
Ausschluss von Benutzern
Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:
-
Notfallzugriff oder Zurücksetzen-Konten, um die Sperrung aufgrund von Richtlinienfehlern zu verhindern. In dem unwahrscheinlichen Fall, dass alle Administratoren ausgesperrt sind, können Sie sich mit Ihrem Administratorkonto für den Notfallzugriff anmelden und Maßnahmen ergreifen, um den Zugriff wiederherzustellen.
- Weitere Informationen finden Sie im Artikel "Verwalten von Notfallzugriffskonten in Microsoft Entra ID".
-
Dienstkonten und Dienstprinzipale, z. B. das Microsoft Entra Connect-Synchronisierungskonto. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
- Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie sie durch verwaltete Identitäten ersetzen.
Vorlagenbereitstellung
Organisationen können diese Richtlinie mithilfe der unten beschriebenen Schritte oder mithilfe der Vorlagen für bedingten Zugriff bereitstellen.
Erstellen Sie eine Richtlinie für bedingten Zugriff
Die folgenden Schritte helfen bei der Erstellung einer Richtlinie für bedingten Zugriff, nach der die zugewiesenen Administratorrollen eine Multi-Faktor-Authentifizierung durchführen müssen. Einige Organisationen sind möglicherweise bereit, stärkere Authentifizierungsmethoden für ihre Administratoren einzuführen. Diese Organisationen können sich dafür entscheiden, eine Richtlinie wie die im Artikel beschriebene Richtlinie zu implementieren, die eine phishingsichere mehrstufige Authentifizierung für Administratoren erfordert.
- Melden Sie sich beim Microsoft Entra Admin Center als Administrator für Bedingten Zugriff an.
- Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
- Wählen Sie "Neue Richtlinie" aus.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Wählen Sie unter AufgabenBenutzer oder Workload-Identitäten aus.
Wählen Sie unter EinschließenVerzeichnisrollen aus und wählen Sie mindestens die zuvor aufgeführten Rollen aus.
Warnung
Richtlinien für bedingten Zugriff unterstützen integrierte Rollen. Richtlinien für bedingten Zugriff werden nicht für andere Rollentypen erzwungen, einschließlich Rollen, die auf Verwaltungseinheiten beschränkt sind, oder benutzerdefinierte Rollen.
Unter "Ausschließen" wählen Sie "Benutzer und Gruppen" aus und wählen Sie die Notfallkonten oder Break-Glass-Konten Ihrer Organisation aus.
- Wählen Sie unter Zielressourcen>(ehemals Cloud-Apps)>Alle Ressourcen(ehemals "Alle Cloud-Apps") aus.
- Wählen Sie unter Zugriffssteuerung>GewährenZugriff gewähren, Mehrstufige Authentifizierung anfordern und Auswählen aus.
- Bestätigen Sie Ihre Einstellungen, und legen Sie Richtlinie aktivieren auf "Nur Bericht" fest.
- Wählen Sie "Erstellen" aus, um Ihre Richtlinie zu aktivieren.
Nachdem Administratoren die Richtlinieneinstellungen mithilfe des Richtlinieneffekts oder Nur-Bericht-Modus ausgewertet haben, können sie den Schalter "Richtlinie aktivieren" von "Nur-Bericht" auf "Ein" verschieben.
Zugehöriger Inhalt
- Eingebaute Microsoft Entra-Rollen
- Vorlagen für bedingten Zugriff