Von Microsoft verwaltete Richtlinien

  • Artikel

Wie im Microsoft Digital Defense Report im Oktober 2023 erwähnt

...Bedrohungen für den digitalen Frieden haben das Vertrauen in die Technologie geschwächt und die dringende Notwendigkeit einer verbesserten Cyberabwehr auf allen Ebenen deutlich gemacht...

...bei Microsoft analysieren unsere mehr als 10.000 Sicherheitsexperten jeden Tag über 65 Billionen Signale... und liefern damit einige der einflussreichsten Erkenntnisse im Bereich der Cybersicherheit. Gemeinsam können wir durch innovatives Handeln und kollektive Verteidigung die Widerstandsfähigkeit im Cyberspace erhöhen.

Im Rahmen dieser Arbeit stellen wir von Microsoft verwaltete Richtlinien in Microsoft Entra-Mandanten auf der ganzen Welt zur Verfügung. Diese vereinfachte Richtlinien für den bedingten Zugriffergreifen Maßnahmen, die eine mehrstufige Authentifizierung erfordern. Dies kann das Risiko einer Kompromittierung um 99,22 % verringern, besagt eine aktuelle Studie.

Zum Start stellt Microsoft die folgenden drei Richtlinien bereit, die nach unseren Erkenntnissen die Sicherheit einer Organisation erhöhen würden:

  • Multi-Faktor-Authentifizierung für Administratoren, die auf Microsoft-Verwaltungsportale zugreifen
  • Multi-Faktor-Authentifizierung für Benutzer mit mehrstufiger Authentifizierung
  • Multi-Faktor-Authentifizierung und erneute Authentifizierung für riskante Anmeldungen

Screenshot showing an example of a Microsoft-managed policy in the Microsoft Entra admin center.

Administratoren, denen mindestens die Rolle Administrator für bedingten Zugriff zugewiesen ist, finden diese Richtlinien im Microsoft Entra Admin Center unter Schutz>Bedingter Zugriff>Richtlinien.

Administratoren haben die Möglichkeit, den Status (Ein, Aus oder Nur Bericht) und die ausgeschlossenen Identitäten (Benutzer, Gruppen und Rollen) in der Richtlinie zu bearbeiten. Organisationen sollten ihre Break-Glass- oder Notfallzugriffskonten von diesen Richtlinien genauso ausschließen, wie sie es in anderen Richtlinien für bedingten Zugriff tun würden.

Tipp

Die Verwendung des Bleistifts zum Bearbeiten oben, um die Benutzer verwaltete mehrstufige Authentifizierungsrichtlinie zu ändern, kann dazu führen, dass Fehler beim Aktualisieren angezeigt wird. Um dieses Problem zu umgehen, wählen Sie im Abschnitt Ausgeschlossene Identitäten der Richtlinie Bearbeiten aus.

Microsoft aktiviert diese Richtlinien frühestens 90 Tage nach ihrer Einführung in Ihrem Mandanten, wenn sie im Status Nur Bericht belassen werden. Administratoren können diese Richtlinien bei Bedarf früher aktivieren.

Richtlinien

Mit diesen von Microsoft verwalteten Richtlinien können Administrator*innen einfache Änderungen vornehmen, z. B. Benutzer*innen ausschließen oder den Modus „Nur Bericht“ aktivieren oder deaktivieren. Sie können die von Microsoft verwalteten Richtlinien jedoch nicht umbenennen oder löschen. Wenn Administratoren sich mit der Richtlinie für bedingten Zugriff vertraut machen, können sie die Richtlinie klonen und benutzerdefinierte Versionen erstellen.

Da sich Bedrohungen im Laufe der Zeit entwickeln, kann Microsoft diese Richtlinien in Zukunft ändern, um neue Features und Funktionalitäten zu nutzen, um ihre Funktion zu verbessern.

Multi-Faktor-Authentifizierung für Administratoren, die auf Microsoft-Verwaltungsportale zugreifen

Diese Richtlinie umfasst 14 Administratorrollen, die wir als hochgradig privilegierter Benutzer betrachten, die auf die Gruppe Microsoft Admin Portals zugreifen und diese für die mehrstufige Authentifizierung benötigen.

Diese Richtlinie zielt auf Microsoft Entra ID P1- und P2-Mandanten ab, bei denen die Sicherheitsstandards nicht aktiviert sind.

Multi-Faktor-Authentifizierung für Benutzer mit mehrstufiger Authentifizierung

Diese Richtlinie deckt Benutzer*innen als MFA pro Benutzer*in ab, eine Konfiguration, die Microsoft nicht mehr empfiehlt. Bedingter Zugriff bietet eine bessere Administratorerfahrung mit vielen zusätzlichen Features. Die Konsolidierung aller MFA-Richtlinien in Bedingten Zugang kann Ihnen dabei helfen, MFA gezielter vorzuschreiben und so die Reibungsverluste für Endbenutzer*innen zu verringern und gleichzeitig die Sicherheit aufrechtzuerhalten.

Diese Richtlinie zielt auf mit Microsoft Entra ID P1 und P2 lizenzierte Mandanten ab, bei denen die Sicherheitsstandards nicht aktiviert sind und weniger als 500 benutzerspezifische MFA-aktivierte/erzwungene Benutzer vorhanden sind.

Multi-Faktor-Authentifizierung und erneute Authentifizierung für riskante Anmeldungen

Diese Richtlinie umfasst alle Benutzer und erfordert MFA und erneute Authentifizierung, wenn wir Anmeldungen mit hohem Risiko erkennen. Hohes Risiko bedeutet in diesem Fall, dass die Art und Weise, in der sich der Benutzer anmeldet, etwas Ungewöhnliches ist. Diese Anmeldungen mit hohem Risiko können Folgendes umfassen: stark abnormale Reisen, Kennwortsprühangriffe oder Tokenwiederholungsangriffe sind. Weitere Informationen zu diesen Risikodefinitionen finden Sie im Artikel Was sind Risikoerkennungen.

Diese Richtlinie gilt für Microsoft Entra ID P2-Mandanten, bei denen die Sicherheitsstandards nicht aktiviert und für alle Benutzer*innen genügend Lizenzen vorhanden sind. Microsoft Entra ID erlaubt Risikobenutzern nicht, sich für MFA zu registrieren. Um zu vermeiden, dass sie aus dem System ausgesperrt werden, ist diese Richtlinie nur für Organisationen verfügbar, in denen jeder Benutzer bereits für MFA registriert ist.

Wie sehe ich die Effekte?

Administratoren können sich den Abschnitt Richtlinieneinwirkungen auf Anmeldevorgänge ansehen, um eine kurze Zusammenfassung der Auswirkungen der Richtlinie in ihrer Umgebung anzuzeigen.

Screenshot showing the impact of a policy on the organization.

Administratoren können die Anmeldeprotokolle von Microsoft Entra genauer untersuchen, um diese Richtlinien in ihrer Organisation in Aktion zu sehen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
  2. Browsen Sie zu Identität>Überwachung und Integrität>Anmeldeprotokolle.
  3. Suchen Sie die spezifische Anmeldung, die Sie überprüfen möchten. Filtern Sie unnötige Informationen heraus, indem Sie Filter und Spalten hinzufügen oder entfernen.
    1. Fügen Sie Filter hinzu, um den Bereich einzugrenzen:
      1. Korrelations-ID zum Untersuchen eines bestimmten Ereignisses.
      2. Bedingter Zugriff zum Anzeigen von Richtlinienfehlern und Richtlinienkonformität. Legen Sie den Filter so fest, dass nur Fehler angezeigt werden, um die Ergebnisse einzugrenzen.
      3. Benutzername zum Anzeigen von Informationen zu bestimmten Benutzern.
      4. Datum zur Festlegung des fraglichen Zeitraums.
  4. Wenn Sie das Anmeldeereignis, das den Anmeldedaten des Benutzers entspricht, gefunden haben, wählen Sie die Registerkarte Bedingter Zugriff aus. Die Registerkarte „Bedingter Zugriff“ zeigt die spezielle Richtlinie (ggf. auch mehrere Richtlinien) an, die zur Unterbrechung der Anmeldung geführt hat.
    1. Zur weiteren Untersuchung führen Sie einen Drilldown in die Konfiguration der Richtlinien durch, indem Sie auf den Richtliniennamen klicken. Durch Klicken auf den Richtliniennamen wird die Benutzeroberfläche für die Richtlinienkonfiguration für die ausgewählte Richtlinie angezeigt, um diese zu überprüfen und zu bearbeiten.
    2. Der Clientbenutzer und die Gerätedetails, die für die Bewertung der Richtlinie für bedingten Zugriff verwendet wurden, sind auch auf den Registerkarten Grundlegende Infos, Standort, Geräteinformationen, Authentifizierungsdetails und Weitere Details des Anmeldeereignisses verfügbar.

Was ist bedingter Zugriff?

Bedingter Zugriff ist ein Microsoft Entra-Feature, mit dem Organisationen beim Zugriff auf Ressourcen Sicherheitsanforderungen erzwingen können. Häufig wird es verwendet, um mehrstufige Authentifizierung, Gerätekonfiguration oder Netzwerkstandortanforderungen zu erzwingen.

Diese Maßnahmen können als logische Wenn-dann-Anweisungen betrachtet werden.

Wenn die Zuordnungen (Benutzer, Ressourcen und Bedingungen) wahr sind, dann werden die Zugriffssteuerungen (Gewähren und/oder Sitzung) in der Richtlinie angewendet. Wenn Sie ein Administrator sind, der auf eines der Microsoft-Verwaltungsportale zugreifen möchte, dann müssen Sie die mehrstufige Authentifizierung durchführen, um zu beweisen, dass Sie es wirklich sind.

Was geschieht, wenn ich weitere Änderungen vornehmen möchte?

Administratoren können weitere Änderungen an diesen Richtlinien vornehmen, indem Sie sie mithilfe der Schaltfläche Duplizieren in der Richtlinienlistenansicht duplizieren. Diese neue Richtlinie kann auf die gleiche Weise wie jede andere Richtlinie für bedingten Zugriff konfiguriert werden, wobei sie von einer von Microsoft empfohlenen Position gestartet wird.

Nächste Schritte