Erläutern der Grundlagen von Identity Protection

Abgeschlossen 100 XP

Identity Protection ist ein Dienst, mit dem Organisationen den Sicherheitsstatus jedes beliebigen Kontos anzeigen können. Organisationen können drei wichtige Aufgaben erfüllen:

  • Automatisieren der Erkennung und Behandlung identitätsbasierter Risiken
  • Untersuchen von Risiken unter Verwendung von Daten im Portal
  • Exportieren von Risikoerkennungsdaten in Hilfsprogramme von Drittanbietern zur weiteren Analyse

Denken Sie immer daran, dass Microsoft Entra ID Protection, eine Microsoft Entra ID Premium P2-Lizenz erfordert, um zu funktionieren. Die Lizenzierung wird in einer späteren Einheit ausführlicher behandelt.

Identity Protection nutzt das Wissen, das Microsoft dank seiner Position in Organisationen (Microsoft Entra ID), im Verbraucherbereich (Microsoft-Konten) und im Spielebereich (Xbox) gewonnen hat, um Ihre Benutzer*innen zu schützen. Microsoft analysiert 6,5 Billionen Signale pro Tag, um Bedrohungen zu erkennen und Kunden vor Bedrohungen zu schützen.

Die Signale, die von Identity Protection generiert und Identity Protection zugeführt werden, können auch im Rahmen des bedingten Zugriffs genutzt werden, um Zugriffsentscheidungen zu treffen. Darüber hinaus können die Signale zur weiteren Untersuchung auf der Grundlage der erzwungenen Richtlinien Ihrer Organisation an ein SIEM-Tool (Security Information & Event Management) übergeben werden.

Risikoerkennung und -behandlung

Identity Protection identifiziert Risiken in folgenden Klassifizierungen:

Risikoerkennungstyp Beschreibung
Anonyme IP-Adresse Anmeldung von einer anonymen IP-Adresse (z.B. Tor-Browser, anonymisierte VPNs)
Ungewöhnlicher Ortswechsel Anmeldung von einem ungewöhnlichen Standort aus (basierend auf den letzten Anmeldevorgängen des Benutzers).
Mit Schadsoftware verknüpfte IP-Adresse Anmeldung von einer mit Schadsoftware verknüpften IP-Adresse
Ungewöhnliche Anmeldeeigenschaften Anmeldung mit Eigenschaften, die für den angegebenen Benutzer in letzter Zeit nicht verwendet wurden
Kompromittierte Anmeldeinformationen Gibt an, dass die gültigen Anmeldeinformationen des Benutzers kompromittiert wurden.
Kennwortspray Gibt an, dass für mehrere Benutzernamen unter Verwendung gängiger Kennwörter koordinierte Brute-Force-Angriffe ausgeführt werden.
Threat Intelligence von Microsoft Entra Auf der Grundlage der internen und externen Quellen für Bedrohungsdaten von Microsoft wurde ein bekanntes Angriffsmuster identifiziert
Neues Land/neue Region Diese Erkennung wird von Microsoft Defender für Cloud-Apps ermittelt.
Aktivität über anonyme IP-Adresse Diese Erkennung wird von MDCA ermittelt.
Verdächtige Weiterleitung des Posteingangs Diese Erkennung wird von MDCA ermittelt.

Berechtigungen

Benutzer müssen über die Rolle „Benutzer mit Leseberechtigung für Sicherheitsfunktionen“, „Sicherheitsoperator“, „Sicherheitsadministrator“, „Globaler Leser“ oder „Globaler Administrator“ verfügen, um auf Identity Protection zugreifen zu können.

Rolle Möglich Nicht möglich
Globaler Administrator Vollzugriff auf Identity Protection
Sicherheitsadministrator Vollzugriff auf Identity Protection Zurücksetzen des Kennworts für einen Benutzer
Sicherheitsoperator Anzeigen aller Identitätsschutzberichte und des Bildschirms „Übersicht“, Verwerfen von Benutzerrisiken, Bestätigen der sicheren Anmeldung und Bestätigen der Kompromittierung Konfigurieren oder Ändern von Richtlinien, Zurücksetzen des Kennworts für einen Benutzer, Konfigurieren von Warnungen
Sicherheitsleseberechtigter Anzeigen aller Identitätsschutzberichte und des Bildschirms „Übersicht“ Konfigurieren oder Ändern von Richtlinien, Zurücksetzen des Kennworts für einen Benutzer, Konfigurieren von Warnungen, Bereitstellen von Feedback zu Erkennungen

Derzeit kann die Rolle „Sicherheitsoperator“ nicht auf den Bericht „Risikoanmeldungen“ zugreifen. Administratoren für bedingten Zugriff können auch Richtlinien erstellen, bei denen das Anmelderisiko als Bedingung berücksichtigt wird.

Lizenzanforderungen

Für dieses Feature ist eine Microsoft Entra ID Premium P2-Lizenz erforderlich.

Funktion Details Microsoft Entra ID Free / Microsoft 365 Apps Microsoft Entra ID Premium P1 Microsoft Entra ID Premium P2
Risikorichtlinien Benutzerrisiko-Richtlinie (über Identity Protection) Nein Nein Ja
Risikorichtlinien Anmelderisiko-Richtlinie (über Identity Protection oder bedingten Zugriff) Nein Nein Ja
Sicherheitsberichte Übersicht Nein Nein Ja
Sicherheitsberichte Riskante Benutzer Eingeschränkte Informationen. Nur Benutzer mit mittlerem und hohem Risiko werden angezeigt. Kein Drawer „Details“ oder Risikoverlauf. Eingeschränkte Informationen. Nur Benutzer mit mittlerem und hohem Risiko werden angezeigt. Kein Drawer „Details“ oder Risikoverlauf. Vollzugriff
Sicherheitsberichte Riskante Anmeldungen Eingeschränkte Informationen. Es werden keine Risikodetails oder Risikostufen angezeigt. Eingeschränkte Informationen. Es werden keine Risikodetails oder Risikostufen angezeigt. Vollzugriff
Sicherheitsberichte Risikoerkennungen Nein Eingeschränkte Informationen. Kein Drawer „Details“. Vollzugriff
Benachrichtigungen Warnungen zu erkannten gefährdeten Benutzern Nein Nein Ja
Benachrichtigungen Wöchentliche Übersicht Nein Nein Ja
Richtlinie für MFA-Registrierung Nein Nein Ja

Nächste Lektion: Implementieren und Verwalten einer Benutzerrisiko-Richtlinie

Vorherige Nächste