Erforderliche Arbeit für die Implementierung von Zero Trust Identitäts- und Gerätezugriffsrichtlinien
In diesem Artikel werden die Voraussetzungen beschrieben, die Administratoren erfüllen müssen, um empfohlene Zero Trust Identitäts- und Gerätezugriffsrichtlinien zu verwenden und den bedingten Zugriff zu verwenden. Außerdem werden die empfohlenen Standardwerte für die Konfiguration von Clientplattformen für das beste einmalige Anmelden (Single Sign-On, SSO) erläutert.
Voraussetzungen
Bevor Sie die empfohlenen Zero Trust Identitäts- und Gerätezugriffsrichtlinien verwenden, muss Ihr organization die Voraussetzungen erfüllen. Die Anforderungen für die verschiedenen aufgeführten Identitäts- und Authentifizierungsmodelle unterscheiden sich:
- Rein cloudbasiert
- Hybrid mit Kennworthashsynchronisierung (PHS)-Authentifizierung
- Hybrid mit Passthrough-Authentifizierung (PTA)
- Federated
In der folgenden Tabelle sind die erforderlichen Features und ihre Konfiguration aufgeführt, die für alle Identitätsmodelle gelten, sofern nicht angegeben.
| Konfiguration | Ausnahmen | Lizenzierung |
|---|---|---|
| Konfigurieren sie PHS. Dieses Feature muss aktiviert sein, um kompromittierte Anmeldeinformationen zu erkennen und für den risikobasierten bedingten Zugriff darauf zu reagieren. Hinweis: Dies ist unabhängig davon erforderlich, ob Ihr organization die Verbundauthentifizierung verwendet. | Rein cloudbasiert | Microsoft 365 E3 oder E5 |
| Aktivieren Sie nahtloses einmaliges Anmelden, um Benutzer automatisch anzumelden, wenn sie sich auf ihren organization Geräten befinden, die mit Ihrem organization Netzwerk verbunden sind. | Nur Cloud und Verbund | Microsoft 365 E3 oder E5 |
| Konfigurieren Sie benannte Speicherorte. Microsoft Entra ID Protection sammelt und analysiert alle verfügbaren Sitzungsdaten, um eine Risikobewertung zu generieren. Es wird empfohlen, die öffentlichen IP-Adressbereiche Ihres organization für Ihr Netzwerk in der Konfiguration Microsoft Entra ID benannten Standorten anzugeben. Datenverkehr aus diesen Bereichen erhält eine geringere Risikobewertung, und Datenverkehr von außerhalb der organization-Umgebung erhält eine höhere Risikobewertung. | Microsoft 365 E3 oder E5 | |
| Registrieren Sie alle Benutzer für die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) und die mehrstufige Authentifizierung (MFA). Es wird empfohlen, Benutzer im Voraus für Microsoft Entra mehrstufige Authentifizierung zu registrieren. Microsoft Entra ID Protection nutzt Microsoft Entra mehrstufige Authentifizierung, um eine zusätzliche Sicherheitsüberprüfung durchzuführen. Darüber hinaus empfehlen wir Benutzern, die Microsoft Authenticator-App und die Microsoft Unternehmensportal-App auf ihren Geräten zu installieren, um eine optimale Anmeldeerfahrung zu erzielen. Diese können für jede Plattform aus dem App Store installiert werden. | Microsoft 365 E3 oder E5 | |
| Planen Sie Ihre Microsoft Entra Hybrid Join-Implementierung. Der bedingte Zugriff stellt sicher, dass Geräte, die eine Verbindung mit Apps herstellen, in die Domäne eingebunden oder kompatibel sind. Um dies auf Windows-Computern zu unterstützen, muss das Gerät bei Microsoft Entra ID registriert werden. In diesem Artikel wird erläutert, wie Die automatische Geräteregistrierung konfiguriert wird. | Rein cloudbasiert | Microsoft 365 E3 oder E5 |
| Vorbereiten Ihres Supportteams: Sie sollten vorausplanen, wie Sie mit Benutzern umgehen, die keine MFA durchführen können. Sie können sie z.B. Dies kann das Hinzufügen zu einer Richtlinienausschlussgruppe oder das Registrieren neuer MFA-Informationen für sie sein. Bevor Sie eine dieser sicherheitsrelevanten Änderungen vornehmen, müssen Sie sicherstellen, dass der tatsächliche Benutzer die Anforderung vornimmt. Es kann hilfreich sein, den Vorgesetzten des Benutzers bei der Genehmigung mit einzubeziehen. | Microsoft 365 E3 oder E5 | |
| Konfigurieren Sie das Kennwortrückschreiben in lokales AD. Mit dem Kennwortrückschreiben können Microsoft Entra ID festlegen, dass Benutzer ihre lokalen Kennwörter ändern müssen, wenn eine Risikorisiko-Kontogefährdung erkannt wird. Sie können dieses Feature mithilfe von Microsoft Entra Connect auf eine von zwei Arten aktivieren: Entweder aktivieren Sie das Kennwortrückschreiben auf dem Bildschirm der optionalen Features von Microsoft Entra Connect-Setup, oder aktivieren Sie es über Windows PowerShell. | Rein cloudbasiert | Microsoft 365 E3 oder E5 |
| Konfigurieren sie Microsoft Entra Kennwortschutz. Microsoft Entra Kennwortschutz erkennt und blockiert bekannte schwache Kennwörter und deren Varianten und kann auch zusätzliche schwache Begriffe blockieren, die für Ihre organization spezifisch sind. Globale Standardlisten für gesperrte Kennwörter werden automatisch auf alle Benutzer in einem Microsoft Entra Mandanten angewendet. Sie können zusätzliche Einträge in einer benutzerdefinierten Liste gesperrter Kennwörter angeben. Wenn Benutzer ihre Kennwörter ändern oder zurücksetzen, werden diese Listen gesperrter Kennwörter überprüft, um die Verwendung von sicheren Kennwörtern zu erzwingen. | Microsoft 365 E3 oder E5 | |
| Aktivieren Sie Microsoft Entra ID Protection. Microsoft Entra ID Protection ermöglicht es Ihnen, potenzielle Sicherheitsrisiken zu erkennen, die sich auf die Identitäten Ihrer organization auswirken, und eine automatisierte Korrekturrichtlinie für ein niedriges, mittleres und hohes Anmelderisiko und Benutzerrisiko zu konfigurieren. | Microsoft 365 E5 oder Microsoft 365 E3 mit dem E5 Security-Add-On | |
| Aktivieren Sie die moderne Authentifizierung für Exchange Online und für Skype for Business Online. Moderne Authentifizierung ist eine Voraussetzung für die Verwendung von MFA. Die moderne Authentifizierung ist standardmäßig für Office 2016- und 2019-Clients, SharePoint und OneDrive for Business aktiviert. | Microsoft 365 E3 oder E5 | |
| Aktivieren Sie die fortlaufende Zugriffsauswertung für Microsoft Entra ID. Die fortlaufende Zugriffsauswertung beendet proaktiv aktive Benutzersitzungen und erzwingt Änderungen der Mandantenrichtlinie nahezu in Echtzeit. | Microsoft 365 E3 oder E5 |
Empfohlene Clientkonfigurationen
In diesem Abschnitt werden die Standardmäßigen Plattformclientkonfigurationen beschrieben, die wir empfehlen, um Ihren Benutzern die beste SSO-Erfahrung zu bieten, sowie die technischen Voraussetzungen für bedingten Zugriff.
Windows-Geräte
Wir empfehlen Windows 11 oder Windows 10 (Version 2004 oder höher), da Azure so konzipiert ist, dass sowohl lokal als auch Microsoft Entra ID eine möglichst reibungslose SSO-Erfahrung ermöglicht wird. Von Geschäfts-, Schul- oder Unigeräten ausgestellte Geräte sollten so konfiguriert werden, dass sie direkt Microsoft Entra ID beitreten. Wenn die organization einen lokalen AD-Domänenbeitritt verwendet, sollten diese Geräte so konfiguriert werden, dass sie automatisch und automatisch bei Microsoft Entra ID registriert werden.
Für BYOD-Windows-Geräte können Benutzer Geschäfts-, Schul- oder Unikonto hinzufügen verwenden. Beachten Sie, dass Benutzer des Google Chrome-Browsers auf Windows 11 oder Windows 10 Geräten eine Erweiterung installieren müssen, um die gleiche reibungslose Anmeldung wie Microsoft Edge-Benutzer zu erhalten. Wenn Ihr organization über in die Domäne eingebundene Windows 8- oder 8.1-Geräte verfügt, können Sie Microsoft Workplace Join auch für Computer installieren, die nicht Windows 10. Laden Sie das Paket herunter, um die Geräte bei Microsoft Entra ID zu registrieren.
iOS-Geräte
Es wird empfohlen, die Microsoft Authenticator-App auf Benutzergeräten zu installieren, bevor Sie Richtlinien für bedingten Zugriff oder MFA bereitstellen. Die App sollte mindestens installiert werden, wenn Benutzer aufgefordert werden, ihr Gerät bei Microsoft Entra ID zu registrieren, indem sie ein Geschäfts-, Schul- oder Unikonto hinzufügen, oder wenn sie die Intune Unternehmensportal-App installieren, um ihr Gerät für die Verwaltung zu registrieren. Dies hängt von der konfigurierten Richtlinie für bedingten Zugriff ab.
Android-Geräte
Es wird empfohlen, dass Benutzer die Intune-Unternehmensportal-App und die Microsoft Authenticator-App installieren, bevor Richtlinien für bedingten Zugriff bereitgestellt werden oder wenn dies bei bestimmten Authentifizierungsversuchen erforderlich ist. Nach der App-Installation werden Benutzer möglicherweise aufgefordert, sich bei Microsoft Entra ID zu registrieren oder ihr Gerät bei Intune zu registrieren. Dies hängt von der konfigurierten Richtlinie für bedingten Zugriff ab.
Es wird auch empfohlen, dass organization geräte im Besitz von OEMs und Versionen, die Android for Work oder Samsung Knox unterstützen, standardisiert werden, um E-Mail-Konten zuzulassen, durch Intune MDM-Richtlinie verwaltet und geschützt zu werden.
Empfohlene E-Mail-Clients
Die folgenden E-Mail-Clients unterstützen moderne Authentifizierung und bedingten Zugriff.
| Plattform | Client | Version/Hinweise |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook für iOS | Neueste Version |
| Android | Outlook für Android | Neueste Version |
| macOS | Outlook | 2019 und 2016 |
| Linux | Nicht unterstützt |
Empfohlene Clientplattformen für den Schutz von Dokumenten
Die folgenden Clients werden empfohlen, wenn eine Richtlinie für sichere Dokumente angewendet wurde.
| Plattform | Word/Excel/PowerPoint | OneNote | OneDrive-App | SharePoint-App | OneDrive-Synchronisierungsclient |
|---|---|---|---|---|---|
| Windows 11 oder Windows 10 | Unterstützt | Unterstützt | N/V | Nicht zutreffend | Unterstützt |
| Windows 8.1 | Unterstützt | Unterstützt | N/V | Nicht zutreffend | Unterstützt |
| Android | Unterstützt | Unterstützt | Unterstützt | Unterstützt | N/V |
| iOS | Unterstützt | Unterstützt | Unterstützt | Unterstützt | N/V |
| macOS | Unterstützt | Unterstützt | N/V | Nicht zutreffend | Nicht unterstützt |
| Linux | Nicht unterstützt | Nicht unterstützt | Nicht unterstützt | Nicht unterstützt | Nicht unterstützt |
Microsoft 365-Clientunterstützung
Weitere Informationen zur Clientunterstützung in Microsoft 365 finden Sie in den folgenden Artikeln:
- Microsoft 365-Client-App-Unterstützung – Bedingter Zugriff
- Microsoft 365-Client-App-Unterstützung – mehrstufige Authentifizierung
Schützen von Administratorkonten
Für Microsoft 365 E3 oder E5 oder mit separaten Microsoft Entra ID P1- oder P2-Lizenzen können Sie MFA für Administratorkonten mit einer manuell erstellten Richtlinie für bedingten Zugriff anfordern. Weitere Informationen finden Sie unter Bedingter Zugriff: MFA für Administratoren erforderlich .
Für Editionen von Microsoft 365 oder Office 365, die den bedingten Zugriff nicht unterstützen, können Sie Sicherheitsstandards aktivieren, um MFA für alle Konten zu erfordern.
Hier sind einige zusätzliche Empfehlungen:
- Verwenden Sie Microsoft Entra Privileged Identity Management, um die Anzahl persistenter Administratorkonten zu reduzieren.
- Verwenden Sie die Verwaltung des privilegierten Zugriffs, um Ihre organization vor Sicherheitsverletzungen zu schützen, die vorhandene privilegierte Administratorkonten mit ständigem Zugriff auf vertrauliche Daten oder Zugriff auf kritische Konfigurationseinstellungen verwenden können.
- Erstellen und verwenden Sie separate Konten, denen Microsoft 365-Administratorrollennur für die Verwaltung zugewiesen sind. Administratoren sollten über ein eigenes Benutzerkonto für die regelmäßige nicht administrative Verwendung verfügen und nur dann ein Administratorkonto verwenden, wenn dies erforderlich ist, um eine Aufgabe auszuführen, die ihrer Rolle oder Auftragsfunktion zugeordnet ist.
- Befolgen Sie bewährte Methoden zum Schützen privilegierter Konten in Microsoft Entra ID.
Nächster Schritt
Konfigurieren der allgemeinen Zero Trust Identitäts- und Gerätezugriffsrichtlinien
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für