Zero Trust-Identität und Gerätezugriffskonfigurationen

Sicherheitsarchitekturen, die netzwerkfirewalls und virtuelle private Netzwerke (VIRTUAL Private Networks, VPNs) zum Isolieren und Einschränken des Zugriffs auf die Technologieressourcen und -dienste einer Organisation benötigen, reichen nicht mehr für Mitarbeiter aus, die regelmäßig Zugriff auf Anwendungen und Ressourcen benötigen, die über herkömmliche Unternehmensnetzwerkgrenzen hinaus existieren.

Um dieser neuen Welt des Computing gerecht zu werden, empfiehlt Microsoft dringend das Zero Trust Sicherheitsmodell, das auf den folgenden Leitprinzipien basiert:

  • Explizit verifizieren

    Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten. Hier sind Zero Trust Identitäts- und Gerätezugriffsrichtlinien für die Anmeldung und die laufende Überprüfung von entscheidender Bedeutung.

  • Verwenden Sie den Zugriff mit den geringsten Rechten

    Beschränken Sie den Benutzerzugriff mit Just-In-Time und Just-Enough-Access (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz.

  • Gehe von einem Verstoß aus

    Minimieren Sie den Explosionsradius und den Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und nutzen Sie Analysen, um einen Überblick zu erhalten, die Erkennung von Bedrohungen voranzutreiben und den Schutz zu verbessern.

Hier ist die Gesamtarchitektur von Zero Trust.

Die Microsoft Zero Trust-Architektur

Zero Trust Identitäts- und Gerätezugriffsrichtlinien richten sich nach dem expliziten Leitprinzip "Überprüfen" für:

  • Identitäten

    Wenn eine Identität versucht, auf eine Ressource zuzugreifen, überprüfen Sie diese Identität mit starker Authentifizierung, und stellen Sie sicher, dass der angeforderte Zugriff konform und typisch ist.

  • Geräte (auch als Endpunkte bezeichnet)

    Überwachen und erzwingen Sie Geräteintegritäts- und Complianceanforderungen für sicheren Zugriff.

  • Anwendungen

    Wenden Sie Steuerelemente und Technologien an, um Schatten-IT zu entdecken, stellen Sie geeignete In-App-Berechtigungen sicher, greifen Sie auf Echtzeitanalysen zu, überwachen Sie ungewöhnliches Verhalten, steuern Sie Benutzeraktionen, und überprüfen Sie sichere Konfigurationsoptionen.

In dieser Artikelreihe werden eine Reihe von Konfigurationen für identitäts- und Gerätezugriffsvoraussetzungen sowie eine Reihe von Azure Active Directory (Azure AD)-Bedingtem Zugriff, Microsoft Intune und anderen Richtlinien für Zero Trust Zugriff auf Microsoft 365 für Enterprise-Cloud-Apps und -Dienste, andere SaaS-Dienste und lokale Anwendungen beschrieben, die mit Azure AD veröffentlicht wurden. Anwendungsproxy.

Zero Trust Einstellungen und Richtlinien für den Identitäts- und Gerätezugriff werden auf drei Ebenen empfohlen: Startpunkt, Unternehmenssicherheit und spezielle Sicherheit für Umgebungen mit streng regulierten oder klassifizierten Daten. Diese Ebenen und ihre entsprechenden Konfigurationen bieten einheitliche Zero Trust Schutzniveaus für Ihre Daten, Identitäten und Geräte.

Diese Funktionen und ihre Empfehlungen:

Wenn Ihre Organisation über eindeutige Umgebungsanforderungen oder Komplexitäten verfügt, verwenden Sie diese Empfehlungen als Ausgangspunkt. Die meisten Organisationen können diese Empfehlungen jedoch wie vorgeschrieben implementieren.

Schauen Sie sich dieses Video an, um einen schnellen Überblick über Identitäts- und Gerätezugriffskonfigurationen für Microsoft 365 Enterprise zu erhalten.


Hinweis

Microsoft verkauft auch Enterprise Mobility + Security (EMS)-Lizenzen für Office 365-Abonnements. EMS E3- und EMS E5-Funktionen entsprechen denen in Microsoft 365 E3 und Microsoft 365 E5. Weitere Informationen finden Sie in den EMS-Plänen .

Zielgruppe

Diese Empfehlungen richten sich an Enterprise-Architekten und IT-Experten, die mit den Produktivitäts- und Sicherheitsdiensten der Microsoft 365-Cloud vertraut sind, darunter Azure AD (Identität), Microsoft Intune (Geräteverwaltung) und Microsoft Purview Information Protection (Datenschutz).

Kundenumgebung

Die empfohlenen Richtlinien gelten für Unternehmen, die sowohl vollständig innerhalb der Microsoft-Cloud als auch für Kunden mit hybrider Identitätsinfrastruktur arbeiten. Dabei handelt es sich um eine lokales Active Directory Domain Services (AD DS)-Gesamtstruktur, die mit einem Azure AD-Mandanten synchronisiert wird.

Viele der bereitgestellten Empfehlungen basieren auf Diensten, die nur mit Microsoft 365 E5, Microsoft 365 E3 mit dem E5 Security-Add-On, EMS E5 oder Azure AD Premium P2-Lizenzen verfügbar sind.

Für Organisationen, die nicht über diese Lizenzen verfügen, empfiehlt Microsoft, mindestens Sicherheitsstandards zu implementieren, die in allen Microsoft 365-Plänen enthalten sind.

Vorbehalte

Ihre Organisation unterliegt möglicherweise behördlichen oder anderen Complianceanforderungen, einschließlich spezifischer Empfehlungen, bei denen Sie Richtlinien anwenden müssen, die von diesen empfohlenen Konfigurationen abweichen. Diese Konfigurationen empfehlen Verwendungssteuerelemente, die bisher nicht verfügbar waren. Wir empfehlen diese Kontrollen, da wir glauben, dass sie ein Gleichgewicht zwischen Sicherheit und Produktivität darstellen.

Wir haben unser Bestes getan, um eine Vielzahl von Organisatorischen Schutzanforderungen zu berücksichtigen, aber wir sind nicht in der Lage, alle möglichen Anforderungen oder alle einzigartigen Aspekte Ihrer Organisation zu berücksichtigen.

Drei Schutzebenen

Die meisten Organisationen haben spezifische Anforderungen bezüglich Datensicherheit und Datenschutz. Diese Anforderungen variieren je nach Branche und Tätigkeiten im Unternehmen. Beispielsweise können Ihre Rechtsabteilung und Administratoren zusätzliche Sicherheits- und Informationsschutzkontrollen rund um ihre E-Mail-Korrespondenz benötigen, die für andere Geschäftsbereiche nicht erforderlich sind.

Jede Branche verfügt auch über ihren eigenen Satz von spezialisierten Vorschriften. Anstatt eine Liste aller möglichen Sicherheitsoptionen oder eine Empfehlung pro Branchensegment oder Jobfunktion bereitzustellen, wurden Empfehlungen für drei verschiedene Sicherheits- und Schutzebenen bereitgestellt, die basierend auf der Granularität Ihrer Anforderungen angewendet werden können.

  • Ausgangspunkt: Wir empfehlen allen Kunden, einen Mindeststandard für den Schutz von Daten sowie die Identitäten und Geräte, die auf Ihre Daten zugreifen, einzurichten und zu verwenden. Sie können diese Empfehlungen befolgen, um einen starken Standardschutz als Ausgangspunkt für alle Organisationen bereitzustellen.
  • Unternehmen: Einige Kunden verfügen über eine Teilmenge von Daten, die auf höheren Ebenen geschützt werden müssen, oder sie erfordern möglicherweise, dass alle Daten auf einer höheren Ebene geschützt werden. Sie können einen erhöhten Schutz auf alle oder bestimmte Datensätze in Ihrer Microsoft 365-Umgebung anwenden. Es wird empfohlen, Identitäten und Geräte mit Zugriff auf sensible Daten mit einem vergleichbaren Grad an Sicherheit auszustatten.
  • Spezialisierte Sicherheit: Bei Bedarf verfügen einige Wenige Kunden über eine kleine Datenmenge, die streng klassifiziert ist, Geschäftsgeheimnisse darstellt oder reguliert ist. Microsoft bietet Funktionen, die diesen Kunden dabei helfen, diese Anforderungen zu erfüllen, einschließlich des zusätzlichen Schutzes für Identitäten und Geräte.

Der Sicherheitskegel

In diesem Leitfaden wird gezeigt, wie Sie Zero Trust Schutz für Identitäten und Geräte für jede dieser Schutzebenen implementieren. Verwenden Sie diese Anleitung als Minimum für Ihre Organisation und passen Sie die Richtlinien an die spezifischen Anforderungen Ihrer Organisation an.

Es ist wichtig, einheitliche Schutzebenen für Ihre Identitäten, Geräte und Daten zu verwenden. Beispielsweise sollte der Schutz für Benutzer mit Prioritätskonten – z. B. Führungskräfte, Führungskräfte, Manager und andere – das gleiche Schutzniveau für ihre Identitäten, ihre Geräte und die Daten, auf die sie zugreifen, umfassen.

Weitere Informationen finden Sie in der Lösung zum Bereitstellen von Datenschutzbestimmungen zum Schutz von in Microsoft 365 gespeicherten Informationen.

Kompromisse in den Bereichen Sicherheit und Produktivität

Die Implementierung einer Sicherheitsstrategie erfordert Kompromisse zwischen Sicherheit und Produktivität. Es ist hilfreich zu bewerten, wie sich jede Entscheidung auf das Gleichgewicht von Sicherheit, Funktionalität und Benutzerfreundlichkeit auswirkt.

Die Security-Triade, die Sicherheit, Funktionalität und Benutzerfreundlichkeit ausbalanciert

Die Empfehlungen basieren auf den folgenden Grundsätzen:

  • Kennen Sie Ihre Benutzer, und seien Sie flexibel für ihre Sicherheits- und Funktionsanforderungen.
  • Wenden Sie eine Sicherheitsrichtlinie rechtzeitig an, und stellen Sie sicher, dass sie aussagekräftig ist.

Dienste und Konzepte für Zero Trust Identitäts- und Gerätezugriffsschutz

Microsoft 365 Enterprise wurde für große Organisationen entwickelt, um jedem die Möglichkeit zu geben, kreativ zu sein und sicher zusammenzuarbeiten.

Dieser Abschnitt enthält eine Übersicht über die Microsoft 365-Dienste und -Funktionen, die für Zero Trust Identitäts- und Gerätezugriff wichtig sind.

Azure AD

Azure AD bietet eine vollständige Suite von Identitätsverwaltungsfunktionen. Wir empfehlen die Verwendung dieser Funktionen, um den Zugriff zu sichern.

Funktion oder Feature Beschreibung Lizenzierung
Mehrstufige Authentifizierung (MFA) MFA erfordert, dass Benutzer zwei Formen der Überprüfung bereitstellen, z. B. ein Benutzerkennwort und eine Benachrichtigung von der Microsoft Authenticator-App oder einen Telefonanruf. MFA reduziert das Risiko, dass gestohlene Anmeldeinformationen für den Zugriff auf Ihre Umgebung verwendet werden können, erheblich. Microsoft 365 verwendet den Azure AD Multi-Factor Authentication-Dienst für MFA-basierte Anmeldungen. Microsoft 365 E3 oder E5
Bedingter Zugriff Azure AD wertet die Bedingungen der Benutzeranmeldung aus und verwendet Richtlinien für bedingten Zugriff, um den zulässigen Zugriff zu bestimmen. In diesem Leitfaden zeigen wir Ihnen beispielsweise, wie Sie eine Richtlinie für bedingten Zugriff erstellen, um die Gerätekompatibilität für den Zugriff auf vertrauliche Daten zu verlangen. Dies reduziert erheblich das Risiko, dass ein Hacker mit einem eigenen Gerät und gestohlenen Anmeldeinformationen auf Ihre vertraulichen Daten zugreifen kann. Es schützt auch vertrauliche Daten auf den Geräten, da die Geräte bestimmte Anforderungen für Integrität und Sicherheit erfüllen müssen. Microsoft 365 E3 oder E5
Azure AD-Gruppen Richtlinien für bedingten Zugriff, Geräteverwaltung mit Intune und sogar Berechtigungen für Dateien und Websites in Ihrer Organisation basieren auf der Zuweisung zu Benutzerkonten oder Azure AD-Gruppen. Es wird empfohlen, Azure AD-Gruppen zu erstellen, die den von Ihnen implementierten Schutzebenen entsprechen. Beispielsweise sind Ihre Leitenden Mitarbeiter wahrscheinlich höhere Ziele für Hacker. Daher ist es sinnvoll, die Benutzerkonten dieser Mitarbeiter zu einer Azure AD-Gruppe hinzuzufügen und diese Gruppe Richtlinien für bedingten Zugriff und anderen Richtlinien zuzuweisen, die ein höheres Schutzniveau für den Zugriff erzwingen. Microsoft 365 E3 oder E5
Geräteregistrierung Sie registrieren ein Gerät bei Azure AD, um eine Identität für das Gerät zu erstellen. Diese Identität wird verwendet, um das Gerät zu authentifizieren, wenn sich ein Benutzer anmeldet, und um Richtlinien für bedingten Zugriff anzuwenden, die domänenverbundene oder kompatible PCs erfordern. Für diese Anleitung verwenden wir die Geräteregistrierung, um windows-Computer, die der Domäne beigetreten sind, automatisch zu registrieren. Die Geräteregistrierung ist eine Voraussetzung für die Verwaltung von Geräten mit Intune. Microsoft 365 E3 oder E5
Azure AD Identity Protection Ermöglicht Es Ihnen, potenzielle Sicherheitsrisiken zu erkennen, die sich auf die Identitäten Ihrer Organisation auswirken, und die automatisierte Wartungsrichtlinie auf niedriges, mittleres und hohes Anmelderisiko und Benutzerrisiko zu konfigurieren. Dieser Leitfaden basiert auf dieser Risikobewertung, um Richtlinien für bedingten Zugriff für die mehrstufige Authentifizierung anzuwenden. Dieser Leitfaden enthält auch eine Richtlinie für bedingten Zugriff, die erfordert, dass Benutzer ihr Kennwort ändern, wenn Aktivitäten mit hohem Risiko für ihr Konto erkannt werden. Microsoft 365 E5 Microsoft 365 E3 mit dem E5 Security-Add-On, EMS E5 oder Azure AD Premium P2-Lizenzen
Self-Service Password Reset (SSPR) Ermöglichen Sie Es Ihren Benutzern, ihre Kennwörter sicher und ohne Eingreifen des Helpdesks zurückzusetzen, indem Sie die Überprüfung mehrerer Authentifizierungsmethoden bereitstellen, die der Administrator steuern kann. Microsoft 365 E3 oder E5
Azure AD-Kennwortschutz Erkennen und blockieren Sie bekannte schwache Kennwörter und deren Varianten sowie zusätzliche schwache Ausdrücke, die für Ihre Organisation spezifisch sind. Listen standardmäßig global gesperrter Kennwörter werden automatisch auf alle Benutzer in einem Azure AD-Mandanten angewendet. Sie können zusätzliche Einträge in einer benutzerdefinierten Liste gesperrter Kennwörter angeben. Wenn Benutzer ihre Kennwörter ändern oder zurücksetzen, werden diese Listen gesperrter Kennwörter überprüft, um die Verwendung von sicheren Kennwörtern zu erzwingen. Microsoft 365 E3 oder E5

Hier sind die Komponenten von Zero Trust Identitäts- und Gerätezugriff, einschließlich Intune und Azure AD-Objekten, Einstellungen und Unterdiensten.

Die Komponenten des Zero Trust Identitäts- und Gerätezugriffs

Microsoft Intune

Intune ist der cloudbasierte Verwaltungsdienst für mobile Geräte von Microsoft. In diesem Leitfaden wird die Geräteverwaltung von Windows-PCs mit Intune empfohlen und Richtlinienkonfigurationen für die Gerätekompatibilität empfohlen. Intune bestimmt, ob Geräte konform sind, und sendet diese Daten an Azure AD, um sie beim Anwenden von Richtlinien für bedingten Zugriff zu verwenden.

Intune App-Schutz

Intune App-Schutzrichtlinien können verwendet werden, um die Daten Ihrer Organisation in mobilen Apps mit oder ohne Registrierung von Geräten bei der Verwaltung zu schützen. Intune trägt dazu bei, Informationen zu schützen, sicherzustellen, dass Ihre Mitarbeiter weiterhin produktiv sein können, und Datenverluste zu verhindern. Durch die Implementierung von Richtlinien auf App-Ebene können Sie den Zugriff auf Unternehmensressourcen einschränken und Daten in der Kontrolle Ihrer IT-Abteilung behalten.

In diesem Leitfaden wird gezeigt, wie Sie empfohlene Richtlinien erstellen, um die Verwendung genehmigter Apps zu erzwingen und zu bestimmen, wie diese Apps mit Ihren Geschäftsdaten verwendet werden können.

Microsoft 365

In diesem Leitfaden erfahren Sie, wie Sie eine Reihe von Richtlinien zum Schutz des Zugriffs auf Microsoft 365-Clouddienste implementieren, einschließlich Microsoft Teams, Exchange, SharePoint und OneDrive. Neben der Implementierung dieser Richtlinien wird empfohlen, dass Sie auch das Schutzniveau für Ihren Mandanten mithilfe dieser Ressourcen erhöhen:

Windows 11 oder Windows 10 mit Microsoft 365 Apps for Enterprise

Windows 11 oder Windows 10 mit Microsoft 365 Apps for Enterprise ist die empfohlene Clientumgebung für PCs. Wir empfehlen Windows 11 oder Windows 10, da Azure so konzipiert ist, dass es sowohl für lokale als auch für Azure AD eine möglichst reibungslose Erfahrung bietet. Windows 11 oder Windows 10 umfasst auch erweiterte Sicherheitsfunktionen, die über Intune verwaltet werden können. Microsoft 365 Apps for Enterprise enthält die neuesten Versionen von Office-Anwendungen. Diese verwenden die moderne Authentifizierung, die sicherer ist und eine Anforderung für bedingten Zugriff ist. Diese Apps enthalten auch erweiterte Compliance- und Sicherheitstools.

Anwenden dieser Funktionen auf die drei Schutzebenen

In der folgenden Tabelle sind unsere Empfehlungen für die Verwendung dieser Funktionen auf den drei Schutzebenen zusammengefasst.

Schutzmechanismus Ausgangspunkt Enterprise Spezialisierte Sicherheit
MFA erzwingen Bei mittlerem oder höherem Anmelderisiko Bei niedrigem oder höherem Anmelderisiko Auf alle neuen Sitzungen
Kennwortänderung erzwingen Für Benutzer mit hohem Risiko Für Benutzer mit hohem Risiko Für Benutzer mit hohem Risiko
Erzwingen Intune Anwendungsschutzes Ja Ja Ja
Erzwingen Intune Registrierung für unternehmenseigene Geräte Benötigen Sie einen kompatiblen oder in die Domäne eingebundenen PC, aber lassen Sie BYOD-Telefone und -Tablets (Bring-Your-Own Devices) zu. Anfordern eines kompatiblen oder in die Domäne eingebundenen Geräts Anfordern eines kompatiblen oder in die Domäne eingebundenen Geräts

Gerätebesitz

Die obige Tabelle spiegelt den Trend für viele Organisationen wider, eine Mischung aus unternehmenseigenen Geräten sowie persönlichen oder BYODs zu unterstützen, um die mobile Produktivität in der gesamten Belegschaft zu ermöglichen. Intune App-Schutzrichtlinien stellen sicher, dass E-Mails vor Exfiltrieren aus der mobilen Outlook-App und anderen mobilen Office-Apps sowohl auf geräten im Unternehmensbesitz als auch auf BYODs geschützt sind.

Es wird empfohlen, geräte im Unternehmensbesitz von Intune oder domänenverbundenen Geräten zu verwalten, um zusätzlichen Schutz und zusätzliche Kontrolle anzuwenden. Je nach Datensensibilität kann Ihre Organisation entscheiden, BYODs für bestimmte Benutzerpopulationen oder bestimmte Apps nicht zuzulassen.

Bereitstellung und Ihre Apps

Bevor Sie Zero Trust Identitäts- und Gerätezugriffskonfiguration für Ihre in Azure AD integrierten Apps konfigurieren und einführen, müssen Sie Folgendes ausführen:

  • Entscheiden Sie, welche Apps in Ihrer Organisation sie schützen möchten.

  • Analysieren Sie diese Liste von Apps, um die Gruppen von Richtlinien zu ermitteln, die geeignete Schutzebenen bieten.

    Sie sollten nicht für jede App separate Richtliniensätze erstellen, da deren Verwaltung mühsam werden kann. Microsoft empfiehlt, Dass Sie Ihre Apps gruppieren, die die gleichen Schutzanforderungen für dieselben Benutzer haben.

    Sie können z. B. einen Satz von Richtlinien verwenden, die alle Microsoft 365-Apps für alle Ihre Benutzer zum Schutz von Ausgangspunkten und einen zweiten Satz von Richtlinien für alle vertraulichen Apps umfassen, z. B. diejenigen, die von Personal- oder Finanzabteilungen verwendet werden, und diese auf diese Gruppen anwenden.

Nachdem Sie den Richtliniensatz für die Apps festgelegt haben, die Sie schützen möchten, führen Sie die Richtlinien für Ihre Benutzer inkrementell aus, und beheben Sie dabei Probleme.

Konfigurieren Sie beispielsweise die Richtlinien, die für alle Ihre Microsoft 365-Apps nur für Exchange verwendet werden, mit den zusätzlichen Änderungen für Exchange. Führen Sie diese Richtlinien für Ihre Benutzer aus, und bearbeiten Sie alle Probleme. Fügen Sie dann Teams mit seinen zusätzlichen Änderungen hinzu, und führen Sie dies für Ihre Benutzer aus. Fügen Sie dann SharePoint mit seinen zusätzlichen Änderungen hinzu. Fahren Sie mit dem Hinzufügen der restlichen Apps fort, bis Sie diese Startpunktrichtlinien so konfigurieren können, dass sie alle Microsoft 365-Apps enthalten.

In ähnlicher Weise erstellen Sie für Ihre vertraulichen Apps den Richtliniensatz, fügen sie jeweils eine App hinzu, und bearbeiten Sie alle Probleme, bis sie alle in den Richtliniensatz für vertrauliche Apps eingeschlossen sind.

Microsoft empfiehlt, keine Richtliniensätze zu erstellen, die für alle Apps gelten, da dies zu einigen unbeabsichtigten Konfigurationen führen kann. Beispielsweise können Richtlinien, die alle Apps blockieren, Ihre Administratoren aus der Azure-Portal sperren, und Ausschlüsse können nicht für wichtige Endpunkte wie Microsoft Graph konfiguriert werden.

Schritte zum Konfigurieren Zero Trust Identitäts- und Gerätezugriffs

Die Schritte zum Konfigurieren Zero Trust Identitäts- und Gerätezugriffs

  1. Konfigurieren Sie die erforderlichen Identitätsfeatures und deren Einstellungen.
  2. Konfigurieren Sie die allgemeinen Identitäts- und Zugriffsrichtlinien für bedingten Zugriff.
  3. Konfigurieren von Richtlinien für bedingten Zugriff für Gastbenutzer und externe Benutzer.
  4. Konfigurieren von Richtlinien für bedingten Zugriff für Microsoft 365-Cloud-Apps wie Microsoft Teams, Exchange und SharePoint sowie Microsoft Defender for Cloud Apps-Richtlinien.

Nachdem Sie Zero Trust Identitäts- und Gerätezugriff konfiguriert haben, finden Sie im Bereitstellungshandbuch für Azure AD-Features eine schrittweise Checkliste mit zusätzlichen Features, die Sie berücksichtigen sollten, und Azure AD Identity Governance zum Schützen, Überwachen und Überwachen des Zugriffs.

Nächster Schritt

Erforderliche Arbeit für die Implementierung Zero Trust Identitäts- und Gerätezugriffsrichtlinien