Allgemeine Sicherheitsrichtlinien für Microsoft 365-Organisationen
Organisationen müssen sich viele Sorgen machen, wenn sie Microsoft 365 für ihre organization bereitstellen. Die Richtlinien für bedingten Zugriff, App-Schutz und Gerätekonformität, auf die in diesem Artikel verwiesen wird, basieren auf den Empfehlungen von Microsoft und den drei Leitprinzipien der Zero Trust:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Gehe von einem Verstoß aus
Organisationen können diese Richtlinien unverändert übernehmen oder an ihre Anforderungen anpassen. Testen Sie Ihre Richtlinien nach Möglichkeit in einer Nicht-Produktionsumgebung, bevor Sie die Bereitstellung für Ihre Produktionsbenutzer durchführen. Tests sind wichtig, um mögliche Auswirkungen für Ihre Benutzer zu identifizieren und zu kommunizieren.
Wir gruppieren diese Richtlinien in drei Schutzebenen, je nachdem, wo Sie sich auf Ihrer Bereitstellungsjourney befinden:
- Ausgangspunkt : Grundlegende Steuerelemente, die mehrstufige Authentifizierung, sichere Kennwortänderungen und App-Schutzrichtlinien einführen.
- Enterprise : Erweiterte Kontrollen zur Einführung der Gerätekonformität.
- Spezialisierte Sicherheit : Richtlinien, die für bestimmte Datasets oder Benutzer jedes Mal eine mehrstufige Authentifizierung erfordern.
Das folgende Diagramm zeigt, für welche Schutzebene jede Richtlinie gilt und ob die Richtlinien für PCs, Smartphones und Tablets oder beide Gerätekategorien gelten.
Sie können dieses Diagramm als PDF-Datei herunterladen.
Tipp
Die Verwendung der mehrstufigen Authentifizierung (MFA) wird vor der Registrierung von Geräten in Intune empfohlen, um sicherzustellen, dass das Gerät im Besitz des vorgesehenen Benutzers ist. Sie müssen Geräte in Intune registrieren, bevor Sie Gerätekonformitätsrichtlinien erzwingen können.
Voraussetzungen
Berechtigungen
- Benutzer, die Richtlinien für bedingten Zugriff verwalten, müssen sich beim Azure-Portal als Administrator für bedingten Zugriff, Sicherheitsadministrator oder globaler Administrator anmelden können.
- Benutzer, die App-Schutz- und Gerätekonformitätsrichtlinien verwalten, müssen sich bei Intune als Intune-Administrator oder globaler Administrator anmelden können.
- Benutzern, die nur Konfigurationen anzeigen müssen, können die Rollen Sicherheitsleseberechtigter oder Globaler Leser zugewiesen werden.
Weitere Informationen zu Rollen und Berechtigungen finden Sie im Artikel Microsoft Entra integrierten Rollen.
Benutzerregistrierung
Stellen Sie sicher, dass sich Ihre Benutzer für die mehrstufige Authentifizierung registrieren, bevor sie deren Verwendung erfordert. Wenn Sie über Lizenzen verfügen, die Microsoft Entra ID P2 enthalten, können Sie die MFA-Registrierungsrichtlinie in Microsoft Entra ID Protection verwenden, um die Registrierung von Benutzern zu verlangen. Wir stellen Kommunikationsvorlagen bereit, die Sie herunterladen und anpassen können, um die Registrierung zu fördern.
Gruppen
Alle Microsoft Entra Gruppen, die im Rahmen dieser Empfehlungen verwendet werden, müssen als Microsoft 365-Gruppeund nicht als Sicherheitsgruppe erstellt werden. Diese Anforderung ist wichtig für die Bereitstellung von Vertraulichkeitsbezeichnungen beim späteren Schützen von Dokumenten in Microsoft Teams und SharePoint. Weitere Informationen finden Sie im Artikel Informationen zu Gruppen und Zugriffsrechten in Microsoft Entra ID
Zuweisen von Richtlinien
Richtlinien für bedingten Zugriff können Benutzern, Gruppen und Administratorrollen zugewiesen werden. Intune App-Schutz- und Gerätekonformitätsrichtlinien können nur Gruppen zugewiesen werden. Bevor Sie Ihre Richtlinien konfigurieren, sollten Sie ermitteln, wer eingeschlossen und ausgeschlossen werden soll. In der Regel gelten Richtlinien auf Der Schutzebene des Startpunkts für alle Benutzer im organization.
Hier sehen Sie ein Beispiel für Gruppenzuweisungen und -ausschlüsse für die Anforderung von MFA, nachdem Ihre Benutzer die Benutzerregistrierung abgeschlossen haben.
| Microsoft Entra Richtlinie für bedingten Zugriff | Include | Ausschließen | |
|---|---|---|---|
| Ausgangspunkt | Mehrstufige Authentifizierung für ein mittleres oder hohes Anmelderisiko erforderlich | Alle Benutzer |
|
| Unternehmen | Mehrstufige Authentifizierung für geringes, mittleres oder hohes Anmelderisiko erforderlich | Gruppe "Executive Staff" |
|
| Spezialisierte Sicherheit | Mehrstufige Authentifizierung immer erforderlich | Gruppe "Top Secret Project Buckeye" |
|
Seien Sie vorsichtig, wenn Sie höhere Schutzebenen auf Gruppen und Benutzer anwenden. Das Ziel der Sicherheit besteht nicht darin, unnötige Reibungsverluste für die Benutzererfahrung zu erhöhen. Beispielsweise müssen Mitglieder der Buckeye-Gruppe "Top Secret Project " bei jeder Anmeldung MFA verwenden, auch wenn sie nicht an den speziellen Sicherheitsinhalten für ihr Projekt arbeiten. Übermäßige Sicherheitsreibung kann zu Ermüdung führen.
Sie können erwägen, kennwortlose Authentifizierungsmethoden wie Windows Hello for Business oder FIDO2-Sicherheitsschlüssel zu aktivieren, um einige Reibungsverluste zu reduzieren, die durch bestimmte Sicherheitskontrollen verursacht werden.
Konten für den Notfallzugriff
Alle Organisationen sollten über mindestens ein Konto für den Notfallzugriff verfügen, das zur Verwendung überwacht und von Richtlinien ausgeschlossen wird. Diese Konten werden nur für den Fall verwendet, dass alle anderen Administratorkonten und Authentifizierungsmethoden gesperrt oder anderweitig nicht mehr verfügbar sind. Weitere Informationen finden Sie im Artikel Verwalten von Notfallzugriffskonten in Microsoft Entra ID.
Ausschlüsse
Es wird empfohlen, eine Microsoft Entra Gruppe für Ausschlüsse für bedingten Zugriff zu erstellen. Diese Gruppe bietet Ihnen die Möglichkeit, einem Benutzer zugriff zu gewähren, während Sie Zugriffsprobleme beheben.
Warnung
Diese Gruppe wird nur für die Verwendung als temporäre Lösung empfohlen. Überwachen und überwachen Sie diese Gruppe kontinuierlich auf Änderungen, und stellen Sie sicher, dass die Ausschlussgruppe nur wie beabsichtigt verwendet wird.
So fügen Sie diese Ausschlussgruppe allen vorhandenen Richtlinien hinzu:
- Melden Sie sich beim Azure-Portal als Administrator für bedingten Zugriff, Sicherheitsadministrator oder globaler Administrator an.
- Navigieren Sie zu Microsoft Entra ID>Sicherheit>bedingter Zugriff.
- Wählen Sie eine vorhandene Richtlinie aus.
- Wählen Sie unter Zuweisungen die Option Benutzer oder Workloadidentitäten aus.
- Wählen Sie unter Ausschließendie Option Benutzer und Gruppen aus, und wählen Sie die Notfallzugriffs- oder Break-Glass-Konten und die Ausschlussgruppe für bedingten Zugriff Ihres organization aus.
Bereitstellung)
Es wird empfohlen, die Startpunktrichtlinien in der in dieser Tabelle aufgeführten Reihenfolge zu implementieren. Die MFA-Richtlinien für unternehmensweite und spezialisierte Sicherheitsstufen können jedoch jederzeit implementiert werden.
Ausgangspunkt
| Richtlinie | Weitere Informationen | Lizenzierung |
|---|---|---|
| MFA erforderlich, wenn das Anmelderisiko mittel oder hoch ist | Verwenden Sie Risikodaten aus Microsoft Entra ID Protection, um MFA nur dann zu erfordern, wenn ein Risiko erkannt wird. | Microsoft 365 E5 oder Microsoft 365 E3 mit dem E5 Security-Add-On |
| Blockieren von Clients, die die moderne Authentifizierung nicht unterstützen | Clients, die keine moderne Authentifizierung verwenden, können Richtlinien für bedingten Zugriff umgehen. Daher ist es wichtig, sie zu blockieren. | Microsoft 365 E3 oder E5 |
| Nutzer mit hohem Risiko müssen das Kennwort ändern | Zwingt Benutzer, ihr Kennwort bei der Anmeldung zu ändern, wenn für ihr Konto eine Aktivität mit hohem Risiko erkannt wird. | Microsoft 365 E5 oder Microsoft 365 E3 mit dem E5 Security-Add-On |
| Anwenden von Anwendungsschutzrichtlinien für den Datenschutz | Eine Intune App-Schutzrichtlinie pro Plattform (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 oder E5 |
| Anfordern genehmigter Apps und App-Schutzrichtlinien | Erzwingt Schutzrichtlinien für mobile Apps für Smartphones und Tablets mit iOS, iPadOS oder Android. | Microsoft 365 E3 oder E5 |
Großunternehmen
| Richtlinie | Weitere Informationen | Lizenzierung |
|---|---|---|
| MFA erforderlich, wenn das Anmelderisiko niedrig, mittel oder hoch ist | Verwenden Sie Risikodaten aus Microsoft Entra ID Protection, um MFA nur dann zu erfordern, wenn ein Risiko erkannt wird. | Microsoft 365 E5 oder Microsoft 365 E3 mit dem E5 Security-Add-On |
| Definieren von Gerätekonformitätsrichtlinien | Legen Sie Mindestkonfigurationsanforderungen fest. Eine Richtlinie für jede Plattform. | Microsoft 365 E3 oder E5 |
| Erfordern konformer PCs und mobiler Geräte | Erzwingt die Konfigurationsanforderungen für Geräte, die auf Ihre organization | Microsoft 365 E3 oder E5 |
Spezialisierte Sicherheit
| Richtlinie | Weitere Informationen | Lizenzierung |
|---|---|---|
| MFA immer erforderlich | Benutzer müssen MFA jederzeit ausführen, wenn sie sich bei den Diensten Ihrer Organisation anmelden. | Microsoft 365 E3 oder E5 |
App-Schutzrichtlinien
App-Schutz Richtlinien definieren, welche Apps zulässig sind und welche Aktionen sie mit den Daten Ihrer organization ausführen können. Es stehen viele Optionen zur Verfügung, und es kann für einige verwirrend sein. Die folgenden Baselines sind die empfohlenen Konfigurationen von Microsoft, die auf Ihre Anforderungen zugeschnitten sein können. Wir stellen drei Vorlagen bereit, denen Sie folgen können, aber die meisten Organisationen werden die Ebenen 2 und 3 wählen.
Ebene 2 entspricht dem, was wir als Ausgangspunkt oder Sicherheit auf Unternehmensebene betrachten, Stufe 3 entspricht spezialisierter Sicherheit.
Enterprise Basic Data Protection (Stufe 1): Microsoft empfiehlt diese Konfiguration als Mindestkonfiguration für den Datenschutz für ein Unternehmensgerät.
Stufe 2 erweiterter Datenschutz für Unternehmen : Microsoft empfiehlt diese Konfiguration für Geräte, auf denen Benutzer auf vertrauliche oder vertrauliche Informationen zugreifen. Diese Konfiguration gilt für die meisten mobilen Benutzer, die auf Geschäfts-, Schul- oder Unidaten zugreifen. Einige der Steuerelemente können sich auf die Benutzererfahrung auswirken.
Hohe Datenschutzstufe 3 für Unternehmen– Microsoft empfiehlt diese Konfiguration für Geräte, die von einem organization mit einem größeren oder anspruchsvolleren Sicherheitsteam ausgeführt werden, oder für bestimmte Benutzer oder Gruppen, die einem eindeutig hohen Risiko ausgesetzt sind (Benutzer, die mit hochsensiblen Daten umgehen, bei denen eine nicht autorisierte Offenlegung erheblichen materiellen Verlust für die organization verursacht). Eine organization, die wahrscheinlich von gut finanzierten und anspruchsvollen Angreifern ins Visier genommen wird, sollte diese Konfiguration anstreben.
Erstellen von App-Schutzrichtlinien
Create eine neue App-Schutzrichtlinie für jede Plattform (iOS und Android) in Microsoft Intune mithilfe der Datenschutzframeworkeinstellungen wie folgt aus:
- Erstellen Sie die Richtlinien manuell, indem Sie die Schritte unter Erstellen und Bereitstellen von App-Schutzrichtlinien mit Microsoft Intune ausführen.
- Importieren Sie das Beispiel Intune JSON-Vorlagen für das App Protection Policy Configuration Framework mit den PowerShell-Skripts von Intune.
Gerätekompatibilitätsrichtlinien
Intune Gerätekonformitätsrichtlinien definieren die Anforderungen, die Geräte erfüllen müssen, um als konform ermittelt zu werden.
Sie müssen eine Richtlinie für jeden PC, jedes Smartphone oder jede Tablet-Plattform erstellen. In diesem Artikel werden Empfehlungen für die folgenden Plattformen behandelt:
Create Von Gerätekonformitätsrichtlinien
Um Gerätekonformitätsrichtlinien zu erstellen, melden Sie sich beim Microsoft Intune Admin Center an, und navigieren Sie zu Geräte>Konformitätsrichtlinien>Richtlinien. Wählen Sie Richtlinie erstellen.
Eine schrittweise Anleitung zum Erstellen von Konformitätsrichtlinien in Intune finden Sie unter Create einer Konformitätsrichtlinie in Microsoft Intune.
Registrierungs- und Konformitätseinstellungen für iOS/iPadOS
iOS/iPadOS unterstützt mehrere Registrierungsszenarien, von denen zwei im Rahmen dieses Frameworks behandelt werden:
- Geräteregistrierung für persönliche Geräte – diese Geräte sind im persönlichen Besitz und werden sowohl für den geschäftlichen als auch für den privaten Gebrauch verwendet.
- Automatisierte Geräteregistrierung für unternehmenseigene Geräte : Diese Geräte sind unternehmenseigene Geräte, einem einzelnen Benutzer zugeordnet und werden ausschließlich für die Arbeit und nicht für den persönlichen Gebrauch verwendet.
Verwenden Sie die in Zero Trust Identitäts- und Gerätezugriffskonfigurationen beschriebenen Prinzipien:
- Der Startpunkt und die Enterprise-Schutzebenen entsprechen eng den erweiterten Sicherheitseinstellungen der Stufe 2.
- Die spezialisierte Sicherheitsschutzebene ist eng mit den Hochsicherheitseinstellungen der Stufe 3 verknüpft.
Konformitätseinstellungen für persönlich registrierte Geräte
- Persönliche Grundsicherheit (Stufe 1): Microsoft empfiehlt diese Konfiguration als Mindestsicherheitskonfiguration für persönliche Geräte, bei denen Benutzer auf Geschäfts-, Schul- oder Unidaten zugreifen. Diese Konfiguration erfolgt durch Erzwingen von Kennwortrichtlinien, Gerätesperrmerkmalen und Deaktivieren bestimmter Gerätefunktionen wie nicht vertrauenswürdige Zertifikate.
- Erhöhte Persönliche Sicherheit (Stufe 2): Microsoft empfiehlt diese Konfiguration für Geräte, auf denen Benutzer auf vertrauliche oder vertrauliche Informationen zugreifen. Mit dieser Konfiguration werden Steuerelemente für die Datenfreigabe erzwungen. Diese Konfiguration sollte auf die meisten Mobilgerätebenutzer angewendet werden, die auf Unternehmensdaten oder Daten einer Bildungseinrichtung auf einem Gerät zugreifen.
- Hohe Persönliche Sicherheit (Stufe 3): Microsoft empfiehlt diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen verwendet werden, die ein eindeutig hohes Risiko aufweisen (Benutzer, die mit hochsensiblen Daten umgehen, wenn die unbefugte Offenlegung erhebliche materielle Verluste für die organization verursacht). Diese Konfiguration erzwingt strengere Kennwortrichtlinien, deaktiviert bestimmte Gerätefunktionen und erzwingt zusätzliche Datenübertragungseinschränkungen.
Konformitätseinstellungen für die automatisierte Geräteregistrierung
- Überwachte Grundsicherheit (Stufe 1): Microsoft empfiehlt diese Konfiguration als Mindestsicherheitskonfiguration für überwachte Geräte, bei denen Benutzer auf Geschäfts-, Schul- oder Unidaten zugreifen. Diese Konfiguration erfolgt durch Erzwingen von Kennwortrichtlinien, Gerätesperrmerkmalen und Deaktivieren bestimmter Gerätefunktionen wie nicht vertrauenswürdige Zertifikate.
- Überwachte erweiterte Sicherheit (Stufe 2): Microsoft empfiehlt diese Konfiguration für Geräte, auf denen Benutzer auf vertrauliche oder vertrauliche Informationen zugreifen. Diese Konfiguration erzwingt Steuerelemente für die Datenfreigabe und blockiert den Zugriff auf USB-Geräte. Diese Konfiguration sollte auf die meisten Mobilgerätebenutzer angewendet werden, die auf Unternehmensdaten oder Daten einer Bildungseinrichtung auf einem Gerät zugreifen.
- Überwachte hohe Sicherheit (Stufe 3): Microsoft empfiehlt diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen verwendet werden, die ein eindeutig hohes Risiko aufweisen (Benutzer, die mit hochsensiblen Daten umgehen, wenn eine nicht autorisierte Offenlegung erheblichen materiellen Verlust für die organization verursacht). Diese Konfiguration erzwingt strengere Kennwortrichtlinien, deaktiviert bestimmte Gerätefunktionen, erzwingt zusätzliche Datenübertragungseinschränkungen und erfordert, dass Apps über das Volumenkaufprogramm von Apple installiert werden.
Registrierungs- und Konformitätseinstellungen für Android
Android Enterprise unterstützt mehrere Registrierungsszenarien, von denen zwei als Teil dieses Frameworks behandelt werden:
- Android Enterprise-Arbeitsprofil : Dieses Registrierungsmodell wird in der Regel für persönliche Geräte verwendet, bei denen die IT eine klare Trennungsgrenze zwischen geschäftlichen und persönlichen Daten schaffen möchte. Von der IT kontrollierte Richtlinien stellen sicher, dass die Arbeitsdaten nicht in das persönliche Profil übertragen werden können.
- Vollständig verwaltete Android Enterprise-Geräte : Diese Geräte sind unternehmenseigene Geräte, die einem einzelnen Benutzer zugeordnet sind und ausschließlich für die Arbeit und nicht für den persönlichen Gebrauch verwendet werden.
Das Android Enterprise-Sicherheitskonfigurationsframework ist in verschiedene Konfigurationsszenarien unterteilt und bietet Anleitungen für Arbeitsprofile und vollständig verwaltete Szenarien.
Verwenden Sie die in Zero Trust Identitäts- und Gerätezugriffskonfigurationen beschriebenen Prinzipien:
- Der Startpunkt und die Enterprise-Schutzebenen entsprechen eng den erweiterten Sicherheitseinstellungen der Stufe 2.
- Die spezialisierte Sicherheitsschutzebene ist eng mit den Hochsicherheitseinstellungen der Stufe 3 verknüpft.
Konformitätseinstellungen für Android Enterprise-Arbeitsprofilgeräte
- Aufgrund der Einstellungen, die für persönliche Arbeitsprofilgeräte verfügbar sind, gibt es kein grundlegendes Sicherheitsangebot (Ebene 1). Die verfügbaren Einstellungen begründen keinen Unterschied zwischen Stufe 1 und 2.
- Erweiterte Sicherheit des Arbeitsprofils (Stufe 2): Microsoft empfiehlt diese Konfiguration als Mindestsicherheitskonfiguration für persönliche Geräte, auf denen Benutzer auf Geschäfts-, Schul- oder Unidaten zugreifen. Diese Konfiguration führt Kennwortanforderungen ein, trennt arbeitsbezogene und persönliche Daten und überprüft den Android-Gerätenachweis.
- Hohe Sicherheit des Arbeitsprofils (Stufe 3): Microsoft empfiehlt diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen verwendet werden, die ein eindeutig hohes Risiko aufweisen (Benutzer, die mit hochsensiblen Daten umgehen, wenn eine nicht autorisierte Offenlegung erheblichen materiellen Verlust für die organization verursacht). Diese Konfiguration führt mobile Bedrohungsabwehr oder Microsoft Defender for Endpoint ein, legt die Android-Mindestversion fest, erlässt strengere Kennwortrichtlinien und schränkt die Trennung von Arbeit und Persönlicher weiter ein.
Konformitätseinstellungen für vollständig verwaltete Android Enterprise-Geräte
- Vollständig verwaltete Grundsicherheit (Ebene 1): Microsoft empfiehlt diese Konfiguration als Mindestsicherheitskonfiguration für ein Unternehmensgerät. Diese Konfiguration gilt für die meisten mobilen Benutzer, die auf Geschäfts-, Schul- oder Unidaten zugreifen. Diese Konfiguration führt Kennwortanforderungen ein, legt die Android-Mindestversion fest und erlässt bestimmte Geräteeinschränkungen.
- Vollständig verwaltete erweiterte Sicherheit (Stufe 2): Microsoft empfiehlt diese Konfiguration für Geräte, auf denen Benutzer auf vertrauliche oder vertrauliche Informationen zugreifen. Diese Konfiguration erzwungen strengere Kennwortrichtlinien und deaktiviert Benutzer-/Kontofunktionen.
- Vollständig verwaltete hohe Sicherheit (Stufe 3): Microsoft empfiehlt diese Konfiguration für Geräte, die von bestimmten Benutzern oder Gruppen mit eindeutig hohem Risiko verwendet werden. Diese Benutzer können mit hochsensiblen Daten umgehen, wenn eine unbefugte Offenlegung erhebliche materielle Verluste für die organization verursachen kann. Diese Konfiguration erhöht die Android-Mindestversion, führt mobile Bedrohungsabwehr oder Microsoft Defender for Endpoint ein und erzwingt zusätzliche Geräteeinschränkungen.
Empfohlene Konformitätseinstellungen für Windows 10 und höher
Die folgenden Einstellungen werden in Schritt 2: Kompatibilitätseinstellungen des Prozesses zum Erstellen von Konformitätsrichtlinien für Windows 10 und neuere Geräte konfiguriert. Diese Einstellungen entsprechen den In Zero Trust Identitäts- und Gerätezugriffskonfigurationen beschriebenen Prinzipien.
Die Auswertungsregeln für den Windows-Integritätsnachweisdienst für Geräteintegrität >finden Sie in dieser Tabelle.
| Eigenschaft | Wert |
|---|---|
| BitLocker erforderlich | Erforderlich |
| Aktivieren des sicheren Starts auf dem Gerät erforderlich | Erforderlich |
| Codeintegrität erforderlich | Erforderlich |
Geben Sie für Geräteeigenschaften basierend auf Ihren IT- und Sicherheitsrichtlinien geeignete Werte für Betriebssystemversionen an.
Wenn Sie sich in einer gemeinsam verwalteten Umgebung mit Configuration Manager für Configuration Manager Compliancedie Option Andernfalls erforderlich auswählen, wählen Sie Nicht konfiguriert aus.
Informationen zur Systemsicherheit finden Sie in dieser Tabelle.
| Eigenschaft | Wert |
|---|---|
| Erfordern eines Kennworts zum Entsperren von Mobilgeräten | Erforderlich |
| Einfache Kennwörter | Blockieren |
| Kennworttyp | Gerätestandard |
| Minimale Kennwortlänge | 6 |
| Maximale Inaktivität in Minuten, bevor ein Kennwort erforderlich ist | 15 Minuten |
| Kennwortablauf (Tage) | 41 |
| Anzahl vorheriger Kennwörter, deren Wiederverwendung verhindert wird | 5 |
| Kennwort anfordern, wenn das Gerät aus dem Leerlaufzustand zurückkehrt (Mobil und Holographic) | Erforderlich |
| Verschlüsselung des Datenspeichers auf dem Gerät erforderlich | Erforderlich |
| Firewall | Erforderlich |
| Antivirus | Erforderlich |
| Antispyware | Erforderlich |
| Microsoft Defender-Antischadsoftware | Erforderlich |
| Mindestversion der Microsoft Defender-Antischadsoftware | Microsoft empfiehlt Versionen, die nicht mehr als fünf hinter der neuesten Version zurückbleiben. |
| Microsoft Defender Antischadsoftwaresignatur auf dem neuesten Stand | Erforderlich |
| Echtzeitschutz | Erforderlich |
Für Microsoft Defender for Endpoint
| Eigenschaft | Wert |
|---|---|
| Festlegen, dass das Gerät die Computerrisikobewertung oder darunter aufweist | Mittel |
Richtlinien für bedingten Zugriff
Nachdem Ihre App-Schutz- und Gerätekonformitätsrichtlinien in Intune erstellt wurden, können Sie die Erzwingung mit Richtlinien für bedingten Zugriff aktivieren.
MFA basierend auf dem Anmelderisiko anfordern
Befolgen Sie die Anleitung im Artikel Allgemeine Richtlinie für bedingten Zugriff: Risikobasierte mehrstufige Authentifizierung für die Anmeldung, um eine Richtlinie zu erstellen, die die mehrstufige Authentifizierung basierend auf dem Anmelderisiko erfordert.
Verwenden Sie beim Konfigurieren Ihrer Richtlinie die folgenden Risikostufen.
| Schutzstufe | Werte der Risikostufe erforderlich | Aktion |
|---|---|---|
| Ausgangspunkt | Hoch, Mmittel | Überprüfen Sie beides. |
| Großunternehmen | Hoch, mittel, niedrig | Überprüfen Sie alle drei. |
Blockieren von Clients, die die mehrstufige Authentifizierung nicht unterstützen
Befolgen Sie die Anleitung im Artikel Allgemeine Richtlinie für bedingten Zugriff: Blockieren der Legacyauthentifizierung , um die Legacyauthentifizierung zu blockieren.
Nutzer mit hohem Risiko müssen das Kennwort ändern
Befolgen Sie die Anleitung im Artikel Allgemeine Richtlinie für bedingten Zugriff: Benutzerrisikobasierte Kennwortänderung , damit Benutzer mit kompromittierten Anmeldeinformationen ihr Kennwort ändern müssen.
Verwenden Sie diese Richtlinie zusammen mit Microsoft Entra Kennwortschutz, der bekannte schwache Kennwörter und deren Varianten zusätzlich zu den für Ihre organization spezifischen Begriffen erkennt und blockiert. Die Verwendung Microsoft Entra Kennwortschutzes stellt sicher, dass geänderte Kennwörter stärker sind.
Anfordern genehmigter Apps und App-Schutzrichtlinien
Sie müssen eine Richtlinie für bedingten Zugriff erstellen, um die in Intune erstellten App-Schutzrichtlinien zu erzwingen. Das Erzwingen von App-Schutzrichtlinien erfordert eine Richtlinie für bedingten Zugriff und eine entsprechende App-Schutzrichtlinie.
Um eine Richtlinie für bedingten Zugriff zu erstellen, die genehmigte Apps und APP-Schutz erfordert, führen Sie die Schritte unter Anfordern genehmigter Client-Apps oder App-Schutzrichtlinie für mobile Geräte aus. Diese Richtlinie erlaubt nur Konten in mobilen Apps, die durch App-Schutzrichtlinien geschützt sind, auf Microsoft 365-Endpunkte zuzugreifen.
Durch das Blockieren der Legacyauthentifizierung für andere Client-Apps auf iOS- und Android-Geräten wird sichergestellt, dass diese Clients richtlinien für bedingten Zugriff nicht umgehen können. Wenn Sie die Anleitung in diesem Artikel befolgen, haben Sie bereits Clients blockieren konfiguriert, die keine moderne Authentifizierung unterstützen.
Erfordern konformer PCs und mobiler Geräte
Die folgenden Schritte helfen beim Erstellen einer Richtlinie für bedingten Zugriff, damit Geräte, die auf Ressourcen zugreifen, als konform mit den Intune Konformitätsrichtlinien Ihrer organization gekennzeichnet werden.
Achtung
Stellen Sie sicher, dass Ihr Gerät kompatibel ist, bevor Sie diese Richtlinie aktivieren. Andernfalls könnten Sie gesperrt werden und diese Richtlinie erst ändern, wenn Ihr Benutzerkonto der Ausschlussgruppe für bedingten Zugriff hinzugefügt wurde.
- Melden Sie sich beim Azure-Portal an.
- Navigieren Sie zu Microsoft Entra ID>Sicherheit>bedingter Zugriff.
- Wählen Sie Neue Richtlinie aus.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Organisationen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Wählen Sie unter Zuweisungen die Option Benutzer oder Workloadidentitäten aus.
- Wählen Sie unter Einschließen die Option Alle Benutzer aus.
- Wählen Sie unter Ausschließendie Option Benutzer und Gruppen aus, und wählen Sie die Notfallzugriffs- oder Break-Glass-Konten Ihrer organization aus.
- Wählen Sie unter Cloud-Apps oder -Aktionen>einschließendie Option Alle Cloud-Apps aus.
- Wenn Sie bestimmte Anwendungen aus Ihrer Richtlinie ausschließen müssen, können Sie sie auf der Registerkarte Ausschließen unter Ausgeschlossene Cloud-Apps auswählen und Auswählen auswählen.
- Klicken Sie unterZugriffssteuerungserteilung>.
- Klicken Sie auf Markieren des Geräts als konform erforderlich.
- Wählen Sie Auswählen aus.
- Bestätigen Sie Ihre Einstellungen, und aktivieren Sie Richtlinie aktivieren.
- Wählen Sie Create aus, um Ihre Richtlinie zu aktivieren.
Hinweis
Sie können Ihre neuen Geräte für Intune registrieren, auch wenn Sie In Ihrer Richtlinie die Option Gerät muss für Alle Benutzer und Alle Cloud-Appsals konform gekennzeichnet sein müssen auswählen. Wenn das Gerät als konform gekennzeichnet sein muss, wird Intune Registrierung und der Zugriff auf die Microsoft Intune Web Unternehmensportal-Anwendung nicht blockiert.
Abonnementaktivierung
Organisationen, die das Feature "Abonnementaktivierung " verwenden, um Benutzern das "Stepup" von einer Windows-Version auf eine andere zu ermöglichen, möchten möglicherweise die APIs des Universal Store Service und die Webanwendung AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f von ihrer Gerätekonformitätsrichtlinie ausschließen.
Eine MFA ist immer erforderlich
Befolgen Sie die Anleitung im Artikel Allgemeine Richtlinie für bedingten Zugriff: MFA für alle Benutzer erforderlich , damit Ihre speziellen Benutzer der Sicherheitsstufe immer eine mehrstufige Authentifizierung durchführen müssen.
Warnung
Wählen Sie beim Konfigurieren Ihrer Richtlinie die Gruppe aus, die spezielle Sicherheit erfordert, und verwenden Sie diese anstelle von Alle Benutzer.
Nächste Schritte
Informationen zu Richtlinienempfehlungen für Gastbenutzer und externe Benutzer
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für