Freigeben über


Was ist der Identitätssicherheitswert?

Die Identitätssicherheitsbewertung wird als Prozentsatz angezeigt, der als Indikator für die Ausrichtung an die Empfehlungen von Microsoft für sicherheit fungiert. Jede Verbesserungsaktion in der Identitätssicherheitsbewertung ist auf Ihre Konfiguration zugeschnitten. Sie können auf die Bewertung zugreifen und einzelne Empfehlungen im Zusammenhang mit Ihrer Bewertung in Microsoft Entra-Empfehlungen anzeigen. Sie können auch sehen, wie sich Ihre Bewertung im Laufe der Zeit ändert.

Screenshot der Seite „Empfehlungen” mit hervorgehobenen Details zum Sicherheits-Score.

Voraussetzungen

Wie profitiere ich von dem Identity Secure Score?

Mit dieser Bewertung können Sie Ihren Identitätssicherheitsstatus objektiv messen, Identitätssicherheitsverbesserungen planen und den Erfolg Ihrer Verbesserungen überprüfen. Indem Sie die Verbesserungsmaßnahmen in den Microsoft Entra-Empfehlungen befolgen, können Sie die features nutzen, die Ihrer Organisation als Teil Ihrer Identitätsinvestitionen zur Verfügung stehen.

Die folgenden Empfehlungen sind in der Identitätssicherheitsbewertung enthalten:

  • Konfigurieren der VPN-Integration
  • Festlegen von mehr als einem globalen Administrator
  • Benutzer dürfen keine Zustimmung zu unzuverlässigen Anwendungen erteilen
  • Passwörter nicht ablaufen lassen
  • Falsch konfigurierte Agent-Zertifikatvorlagen bearbeiten
  • Falsch konfigurierte Zertifikatvorlage für Registrierungs-Agent bearbeiten
  • Aktivieren der Richtlinie zum Blockieren älterer Authentifizierungsmethoden
  • Aktivieren der Kennworthashsynchronisierung im Hybridmodus
  • Aktivieren der Self-Service-Kennwortzurücksetzung
  • Sicherstellen, dass alle Benutzer MFA abschließen können
  • Unsichere Kerberos-Delegierungen ändern, um Identitätswechsel zu verhindern
  • Schützen Sie alle Benutzer mit einer Anmelderisikorichtlinie
  • Schützen aller Benutzer mit einer Benutzerrisikorichtlinie
  • Schützen und Verwalten lokaler Administrator-Kennwörter mit Microsoft LAPS
  • Entfernen ruhender Konten aus vertraulichen Gruppen
  • Entfernen unsicherer Berechtigungen für vertrauliche Microsoft Entra Connect-Konten
  • Ersetzen Sie das Unternehmensadministrator- oder Domänenadministratorkonto für den Microsoft Entra Connect AD DS-Connector
  • Mehrstufige Authentifizierung (MFA) für Administrative Rollen erforderlich
  • Umkehrbare Kennwörter in GPOs gefunden
  • Rotieren des Kennworts für das Microsoft Entra Connect AD DS-Connector-Konto
  • Offenlegung von Anmeldeinformationen als Klartext vermeiden
  • Beenden der schwachen Verschlüsselungsverwendung
  • Verwenden von Administratorrollen mit den geringsten Rechten

Wie funktioniert es?

Alle 24 Stunden betrachten wir Ihre Sicherheitskonfiguration und vergleichen Ihre Einstellungen mit den empfohlenen bewährten Methoden. Basierend auf dem Ergebnis dieser Bewertung wird für Ihr Verzeichnis eine neue Bewertung berechnet. Es ist möglich, dass Ihre Sicherheitskonfiguration nicht vollständig mit den Best Practice-Anleitungen übereinstimmt und die Verbesserungsmaßnahmen nur teilweise erfüllt sind. In diesen Szenarien erhalten Sie einen Teil der für das Steuerelement verfügbaren Maximalen Bewertung.

Wie verwende ich die Identitätssicherheitsbewertung?

So greifen Sie auf die Identitätssicherheitsbewertung zu:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als ein Globaler Leser an.
  2. Navigieren Sie zu Entra ID>Identity Secure Score , um das Dashboard anzuzeigen.

Die Bewertung und die zugehörigen Empfehlungen finden Sie auch unter Entra ID>Overview>Recommendations.

Jede Empfehlung wird basierend auf Ihrer Konfiguration gemessen. Wenn Sie Nicht-Microsoft-Produkte verwenden, um eine Empfehlung für bewährte Methoden zu aktivieren, können Sie diese Konfiguration in den Einstellungen einer Verbesserungsaktion angeben. Sie können Empfehlungen festlegen, die ignoriert werden sollen, wenn sie nicht für Ihre Umgebung gelten. Eine ignorierte Empfehlung trägt nicht zur Berechnung Ihrer Bewertung bei.

Screenshot des Aktionsfensters für Verbesserungen.

  • Um zu adressieren - Sie erkennen, dass die Verbesserungsmaßnahmen notwendig sind und planen, sie irgendwann in Zukunft zu beheben. Dieser Zustand gilt auch für Aktionen, die als teilweise erkannt, aber nicht vollständig abgeschlossen wurden.
  • Risiko akzeptiert - Sicherheit sollte immer mit Benutzerfreundlichkeit ausgeglichen werden, und nicht jede Empfehlung funktioniert für jeden. Wenn dies der Fall ist, können Sie sich entscheiden, das Risiko oder das verbleibende Risiko zu akzeptieren und die Verbesserungsmaßnahme nicht zu ergreifen. Sie erhalten keine Punkte, und die Aktion ist in der Liste der Verbesserungsmaßnahmen nicht sichtbar. Sie können diese Aktion im Verlauf ansehen oder jederzeit rückgängig machen.
  • Geplant - Es gibt konkrete Pläne, die Verbesserungsmaßnahme abzuschließen.
  • durch Drittanbieter behoben und durch alternative Gegenmaßnahmen behoben – Die Verbesserungsmaßnahme wurde durch eine Anwendung oder Software, die nicht von Microsoft stammt, oder durch ein internes Tool umgesetzt. Sie erhalten die Punkte, die die Aktion wert ist, sodass Ihre Bewertung Ihren gesamten Sicherheitsstatus besser widerspiegelt. Wenn ein nicht von Microsoft stammendes oder internes Tool das Steuerelement nicht mehr abdeckt, können Sie einen anderen Status auswählen. Beachten Sie, dass Microsoft keinen Einblick in die Vollständigkeit der Implementierung hat, wenn die Verbesserungsaktion als einer dieser Status gekennzeichnet ist.

Häufig gestellte Fragen

Viele Faktoren können sich auf Ihre Bewertung auswirken. Hier sind einige häufig gestellte Fragen zur Identitätssicherheitsbewertung.

Wie werden die Empfehlungen bewertet?

Empfehlungen können auf zwei Arten bewertet werden. Einige werden auf binäre Weise bewertet, sodass Sie 100% der Bewertung erhalten, wenn Sie das Feature oder die Einstellung basierend auf unserer Empfehlung konfiguriert haben. Andere Bewertungen werden als Prozentsatz der Gesamtkonfiguration berechnet. Die Empfehlung gibt beispielsweise an, dass es maximal zu einem Anstieg von 10,71% kommen kann, wenn Sie alle Ihre Benutzer mit MFA schützen. Sie haben 5 von insgesamt 100 Benutzern geschützt, also erhalten Sie einen partiellen Score von 0,53 % (5 geschützte / 100 insgesamt * 10,71 % Maximum = 0,53 % partieller Score).

Was bedeutet der Hinweis „[Not Scored]“ (Nicht bewertet)?

Als [Nicht bewertet] bezeichnete Aktionen sind solche, die Sie in Ihrer Organisation ausführen können, aber nicht bewertet werden. Also können Sie Ihre Sicherheit weiterhin verbessern, aber Sie erhalten derzeit keine Anerkennung für diese Aktionen.

Meine Bewertung wurde geändert. Wie kann ich herausfinden, warum?

Das Microsoft Defender XDR-Portal zeigt Ihre vollständige Microsoft-Sicherheitsbewertung an. Sie können alle Änderungen an Ihrer Sicherheitsbewertung ganz einfach anzeigen, indem Sie die detaillierten Änderungen auf der Registerkarte "Verlauf" überprüfen.

Misst die Bewertung mein Risiko einer Sicherheitsverletzung?

Nein, die Bewertung gibt kein absolutes Maß dafür, wie wahrscheinlich es ist, dass Sie gehackt werden. Es drückt das Ausmaß aus, in dem Sie Merkmale eingeführt haben, die das Risiko ausgleichen können. Kein Dienst kann Schutz garantieren, und die Bewertung sollte nicht als Garantie in irgendeiner Weise interpretiert werden.

Gibt es ein Mindestergebnis, auf das ich abzielen sollte?

Anstatt sich auf eine bestimmte Bewertung zu konzentrieren, sollten Sie sich auf die empfehlungen konzentrieren, die für Ihre Organisation relevant sind. Es ist vorteilhafter, eine hohe Bewertung der empfehlungen mit hoher Wichtigkeit zu erzielen, als eine hohe Bewertung für Empfehlungen mit niedriger Wichtigkeit.

Wie sollte ich meine Bewertung interpretieren?

Ihre Bewertung verbessert sich durch die Konfiguration empfohlener Sicherheitsmerkmale oder das Ausführen sicherheitsbezogener Aufgaben (z. B. das Lesen von Berichten). Einige Aktionen werden für den Teilabschluss bewertet, z. B. das Aktivieren der mehrstufigen Authentifizierung (Multifactor Authentication, MFA) für Ihre Benutzer. Ihre Sicherheitsbewertung ist direkt repräsentativ für die von Ihnen verwendeten Microsoft-Sicherheitsdienste. Denken Sie daran, dass die Sicherheit mit der Benutzerfreundlichkeit ausgeglichen werden muss. Alle Sicherheitssteuerelemente haben eine Komponente mit Auswirkungen auf den Benutzer. Steuerelemente mit geringem Benutzereffekt sollten wenig bis keine Auswirkungen auf die täglichen Vorgänge Ihrer Benutzer haben.

Wie bezieht sich die Identitätssicherheitsbewertung auf die Microsoft 365-Sicherheitsbewertung?

Die Microsoft-Sicherheitsbewertung enthält fünf verschiedene Kontroll- und Bewertungskategorien.

  • Identität
  • Daten
  • Geräte
  • Infrastruktur
  • Anwendungen

Die Identitätssicherheitsbewertung stellt den Identitätsteil der Microsoft-Sicherheitsbewertung dar. Diese Überlappung bedeutet, dass Ihre Empfehlungen für die Identitätssicherheitsbewertung und die Identitätsbewertung in Microsoft identisch sind.