Azure-Identitätsverwaltung und Sicherheit der Zugriffssteuerung – Bewährte Methoden

In diesem Artikel werden bewährte Methoden für die Azure-Identitätsverwaltung und die Sicherheit der Zugriffssteuerung beschrieben. Diese bewährten Methoden leiten sich aus unseren Erfahrungen mit Microsoft Entra ID und den Erfahrungen von Kunden wie Ihnen ab.

Für jede bewährte Methode wird Folgendes beschrieben:

  • Wobei es bei der bewährten Methode geht
  • Warum Sie die bewährte Methode nutzen sollten
  • Was die Folge sein könnte, wenn Sie die bewährte Methode nicht aktivieren
  • Mögliche Alternativen zur bewährten Methode
  • Wie Sie erfahren können, wie Sie die empfohlenen Vorgehensweisen aktivieren

Dieser Artikel zu den bewährten Methoden für die Azure-Identitätsverwaltung und Zugriffssteuerung basiert auf einer Konsensmeinung und den Fähigkeiten und Funktionssätzen der Azure-Plattform, wie sie zum Erstellungszeitpunkt dieses Artikels existierten.

Mit diesem Artikel möchten wird eine allgemeine Roadmap für einen robusteren Sicherheitsstatus nach der Bereitstellung zur Verfügung stellen, indem Sie mit der Checkliste 5 Schritte zum Sichern Ihrer Identitätsinfrastruktur durch einige unserer wichtigsten Features und Dienste geführt werden.

Meinungen und Technologien ändern sich im Laufe der Zeit. Dieser Artikel wird daher regelmäßig aktualisiert, um diese Änderungen widerzuspiegeln.

Der Artikel enthält bewährte Methoden zur Azure-Identitätsverwaltung und Sicherheit der Zugriffssteuerung für die folgenden Bereiche:

  • Behandeln von Identität als primären Sicherheitsbereich
  • Zentralisieren der Identitätsverwaltung
  • Verwalten von verbundenen Mandanten
  • Einmaliges Anmelden aktivieren
  • Aktivieren des bedingten Zugriffs
  • Planen routinemäßiger Sicherheitsverbesserungen
  • Aktivieren der Kennwortverwaltung
  • Erzwingen der Multi-Faktor-Überprüfung für Benutzer
  • Verwenden der rollenbasierten Zugriffssteuerung
  • Senken der Gefährdung privilegierter Konten
  • Steuern von Standorten, wo sich Ressourcen befinden
  • Verwenden von Microsoft Entra ID für die Speicherauthentifizierung

Behandeln von Identität als primären Sicherheitsbereich

Viele betrachten Identität als primären Sicherheitsbereich. Dies ist eine Abkehr vom traditionellen Schwerpunkt der Netzwerksicherheit. Netzwerkumkreise werden immer durchlässiger, und die Verteidigung des Umkreises kann nicht so effektiv sein wie vor der explosionsartigen Verbreitung von BYOD-Geräten und Cloudanwendungen.

Microsoft Entra ID ist die Azure-Lösung für Identitäts- und Zugriffsverwaltung. Microsoft Entra ID ist ein mandantenfähiger, cloudbasierter Verzeichnis- und Identitätsverwaltungsdienst von Microsoft. Azure AD kombiniert grundlegende Verwaltungsdienste, Zugriffsverwaltung für Anwendungen und Identitätsgovernance in einer einzigen Lösung.

In den folgenden Abschnitten werden die Best Practices für die Identitäts- und Zugriffssicherheit mithilfe von Microsoft Entra ID aufgeführt.

Bewährte Methode: Zentrieren Sie Sicherheitskontrollen und Ermittlungen um Benutzer- und Dienstidentitäten. Detail: Verwenden Sie Microsoft Entra ID, um Kontrollen und Identitäten anzuordnen.

Zentralisieren der Identitätsverwaltung

In einem Hybrididentitätsszenario sollten Sie Ihre lokalen und Cloudverzeichnisse integrieren. Die Integration ermöglicht Ihrem IT-Team, Konten von einem Ort aus zu verwalten, unabhängig davon, wo ein Konto erstellt wird. Die Integration steigert auch die Produktivität Ihrer Benutzer, da für den Zugriff auf die Cloud und lokale Ressourcen nur eine Identität benötigt wird.

Best Practices: Einrichten einer einzelnen Microsoft Entra-Instanz. Konsistenz und eine einzige autoritative Quelle sorgen für mehr Klarheit und verringern Sicherheitsrisiken durch menschliche Fehler und komplexe Konfigurationen.
Detail: Bestimmen Sie ein einziges Microsoft Entra-Verzeichnis als die autoritative Quelle für Unternehmens- und Organisationskonten.

Best Practices: Integrieren Ihrer lokalen Verzeichnisse in Microsoft Entra ID.
Detail: Verwenden Sie Microsoft Entra Connect, um Ihr lokales Verzeichnis mit Ihrem Cloudverzeichnis zu synchronisieren.

Hinweis

Es gibt Faktoren, die sich auf die Leistung von Microsoft Entra Connect auswirken. Stellen Sie sicher, dass Microsoft Entra Connect über eine ausreichende Kapazität verfügt, um zu verhindern, dass leistungsschwache Systeme die Sicherheit und Produktivität beeinträchtigen. Große und komplexe Organisationen (Organisationen, die mehr als 100 000 Objekte bereitstellen) sollten die Empfehlungen befolgen, um ihre Microsoft Entra Connect-Implementierung zu optimieren.

Best Practices: Synchronisieren Sie keine Konten mit Microsoft Entra ID, die über hohe Berechtigungen in Ihrer vorhandenen Active Directory-Instanz verfügen.
Detail: Ändern Sie nicht die standardmäßige Microsoft Entra Connect-Konfiguration, welche diese Konten herausfiltert. Eine solche Konfiguration mindert das Risiko, dass Unbefugte aus der Cloud heraus auf lokale Objekte zugreifen (was einen schwerwiegenden Vorfall darstellen könnte).

Bewährte Methode: Aktivieren Sie die Kennworthashsynchronisierung.
Detail: Die Kennwort-Hashsynchronisierung ist ein Feature zum Synchronisieren von Kennworthashes von Benutzern aus einer lokalen Active Directory-Instanz in eine cloudbasierten Microsoft Entra-Instanz. Diese Synchronisierung schützt davor, dass kompromittierte Anmeldeinformationen aus früheren Angriffe wiedergegeben werden.

Auch wenn Sie den Verbund mit Active Directory-Verbunddiensten (Active Directory Federation Services, AD FS) oder anderen Identitätsanbietern verwenden möchten, können Sie die Kennworthashsynchronisierung optional als eine Sicherung für den Fall einrichten, dass bei Ihren lokalen Servern ein Fehler auftritt oder sie vorübergehend nicht verfügbar sind. Diese Synchronisierung ermöglicht Benutzern, sich bei dem Dienst mit dem gleichen Kennwort anzumelden, das sie zur Anmeldung bei Ihrer lokalen Active Directory-Instanz verwenden. Außerdem ermöglicht es Identity Protection das Erkennen kompromittierter Anmeldeinformationen durch das Vergleichen synchronisierter Kennworthashes mit Kennwörtern, die bekanntermaßen kompromittiert sind, wenn ein Benutzer dieselbe E-Mail-Adresse und dasselbe Kennwort bei anderen Diensten genutzt hat, die nicht mit Microsoft Entra ID verbunden sind.

Weitere Informationen finden Sie unter Implementieren der Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung.

Best Practices: Verwenden Sie für die neue Anwendungsentwicklung Microsoft Entra ID für die Authentifizierung.
Detail: Verwenden Sie die richtigen Funktionen zum Unterstützen der Authentifizierung:

  • Microsoft Entra ID für Mitarbeiter
  • Microsoft Entra B2B für Gastbenutzer und externe Partner
  • Azure AD B2C, um zu steuern, wie sich Kunden beim Nutzen Ihrer Anwendungen registriere und, anmelden sowie ihre Profile verwalten

Organisationen, die ihre lokale Identität nicht in ihre Cloudidentität integrieren, haben mehr Aufwand beim Verwalten der Konten. Dieser Aufwand steigert die Wahrscheinlichkeit von Fehlern und Sicherheitsverletzungen.

Hinweis

Sie müssen auswählen, in welchen Verzeichnissen sich wichtige Konten befinden und ob die verwendete Administrator-Arbeitsstation von neuen Clouddiensten oder vorhandenen Prozessen verwaltet wird. Die Verwendung vorhandener Verwaltungs- und Identitätsbereitstellungsprozesse kann einige Risiken mindern, jedoch auch die Gefahr mit sich bringen, dass ein Angreifer ein lokales Konto manipuliert und Daten in die Cloud überträgt. Für verschiedene Rollen können sich unterschiedliche Strategien empfehlen (z.B. für IT-Administratoren und Geschäftsbereichsadministratoren). Sie haben zwei Möglichkeiten. Die erste Option besteht darin, Microsoft Entra-Konten zu erstellen, die nicht mir Ihrer lokalen Active Directory-Instanz synchronisiert sind. Binden Sie Ihre Administrator-Arbeitsstation in Microsoft Entra ID ein, die Sie mit Microsoft Intune verwalten und patchen können. Die zweite Möglichkeit: Verwenden Sie vorhandene Administratorkonten, indem Sie die Synchronisierung mit Ihrer lokalen Active Directory-Instanz ausführen. Verwenden Sie vorhandene Arbeitsstationen in Ihrer Active Directory-Domäne für Verwaltung und Sicherheit.

Verwalten von verbundenen Mandanten

In Ihrer Sicherheitsorganisation muss Sichtbarkeit gegeben sein, um Risiken zu bewerten und zu bestimmen, ob die Richtlinien Ihrer Organisation und geltende gesetzliche Anforderungen eingehalten werden. Sie müssen dafür sorgen, dass Ihre Sicherheitsorganisation über Sichtbarkeit hinsichtlich aller Abonnements verfügt, die mit Ihrer Produktionsumgebung und Ihrem Produktionsnetzwerk verbunden sind (über Azure ExpressRoute oder Site-to-Site-VPN). Ein globaler Administrator in Microsoft Entra ID kann die Zugriffsrechte auf die Rolle Benutzerzugriffsadministrator erhöhen und alle Abonnements und verwalteten Gruppen anzeigen, die mit Ihrer Umgebung verbunden sind.

Lesen Sie den Artikel Erhöhen der Zugriffsrechte zum Verwalten aller Azure-Abonnements und Verwaltungsgruppen durch, und stellen Sie sicher, dass Sie und Ihre Sicherheitsgruppe alle Abonnements oder Verwaltungsgruppen einsehen können, die mit Ihrer Umgebung verbunden sind. Sie sollten diese erweiterten Zugriffsrechte nach dem Bewerten von Risiken wieder aufheben.

Einmaliges Anmelden aktivieren

In einer primär auf Mobil- und Cloudtechnologie ausgelegten Welt möchten Sie einmaliges Anmelden (Single Sign-On, SSO) bei Geräten, Apps und Diensten von jedem Ort ermöglichen, damit Ihre Benutzer jederzeit und überall produktiv sein können. Wenn Sie mehrere Identitätslösungen verwalten müssen, wird dies nicht nur für die IT-Abteilung zu einem Verwaltungsproblem, sondern auch für die Benutzer, die sich mehrere Kennwörter merken müssen.

Indem Sie für alle Ihre Apps und Ressourcen die gleiche Identitätslösung verwenden, können Sie SSO erreichen. Ihre Benutzer können die gleiche Gruppe von Anmeldeinformationen zum Anmelden und Zugreifen auf die benötigten Ressourcen nutzen. Dabei spielt es keine Rolle, ob eine Ressource lokal ist oder sich in der Cloud befindet.

Bewährte Methode: Aktivieren Sie einmaliges Anmelden.
Detail: Die Microsoft Entra ID erweitert lokales Active Directory in die Cloud. Benutzer können ihr primäres Geschäfts-, Schul- oder Unikonto für ihre in die Domäne eingebundenen Geräte und Unternehmensressourcen sowie alle Web-und SaaS-Anwendungen verwenden, die sie benötigen, um ihre Arbeit zu erledigen. Benutzer müssen sich keine Vielzahl von Benutzernamen und Kennwörtern mehr merken, und ihr Anwendungszugriff kann basierend auf ihrer Gruppenmitgliedschaft in der Organisation sowie ihrem Mitarbeiterstatus automatisch bereitgestellt (oder deaktiviert) werden. Und Sie können diesen Zugriff für Katalog-Apps oder für Ihre eigenen lokalen Apps steuern, die Sie über den Microsoft Entra-Anwendungsproxy entwickelt und veröffentlicht haben.

Verwenden Sie SSO, um Benutzern zu ermöglichen, basierend auf ihrem Geschäfts-, Schul- oder Unikonto in Microsoft Entra ID auf ihre SaaS-Anwendungen zuzugreifen. Dies gilt nicht nur für Microsoft SaaS-Apps, sondern auch für andere Apps, z.B. Google-Apps und Salesforce. Sie können Ihre Anwendung so konfigurieren, dass Microsoft als Anbieter für SAML-basierte Identität verwendet wird. Als Sicherheitsmaßnahme stellt Microsoft Entra ID nur dann ein Token aus, das Benutzern die Anmeldung bei der Anwendung erlaubt, wenn ihnen zuvor mit Microsoft Entra ID Zugriff gewährt wurde. Sie können den Zugriff direkt oder über eine Gruppe gewähren, deren Mitglied die Benutzer sind.

Organisationen, die keine gemeinsame Identität zum Einrichten von SSO für ihre Benutzer und Anwendungen erstellen, haben häufiger mit Szenarien zu tun, in denen Benutzer mehrere Kennwörter haben. Diese Szenarien erhöhen die Wahrscheinlichkeit, dass Benutzer Kennwörter wiederverwenden oder unsichere Kennwörter verwenden.

Aktivieren des bedingten Zugriffs

Benutzer können mithilfe einer Vielzahl von Geräten und Apps von überall aus auf Ressourcen in Ihrer Organisation zugreifen. Als IT-Administrator möchten Sie sicherstellen, dass diese Geräte Ihren Standards für Sicherheit und Konformität entsprechen. Eine Konzentration darauf, wer auf Ihre Ressourcen Zugriff hat, reicht nicht mehr aus.

Um das Gleichgewicht zwischen Sicherheit und Produktivität zu bewahren, müssen Sie bei der Entscheidung über die Zugriffssteuerung berücksichtigen, auf welche Weise auf eine Ressource zugegriffen wird. Mit dem bedingten Zugriff von Microsoft Entra können Sie diese Anforderung umsetzen. Mit dem bedingten Zugriff können Sie basierend auf bestimmten Bedingungen für den Zugriff auf Ihre Cloud-Apps automatisierte Entscheidungen hinsichtlich der Zugriffssteuerung treffen.

Bewährte Methode: Verwalten und steuern Sie den Zugriff auf Unternehmensressourcen.
Detail: Konfigurieren sie allgemeine Richtlinien für bedingten Zugriff in Microsoft Entra basierend auf einer Gruppe, einem Speicherort und einer Anwendungsvertraulichkeit für SaaS-Apps und mit Microsoft Entra ID verbundene Apps.

Bewährte Methode: Blockieren Sie ältere Authentifizierungsprotokolle.
Detail: Angreifer nutzen tagtäglich Schwachstellen in älteren Protokollen aus, insbesondere für Kennwort-Spray-Angriffe. Konfigurieren Sie den bedingten Zugriff, um ältere Protokolle zu blockieren.

Planen routinemäßiger Sicherheitsverbesserungen

Sicherheit wird ständig weiterentwickelt, und es ist wichtig, dass Sie in Ihr Framework für Cloud- und Identitätsverwaltung eine Möglichkeit integrieren, das Wachstum regelmäßig anzuzeigen und neue Methoden zum Absichern Ihrer Umgebung zu finden.

Die Identitätssicherheitsbewertung basiert auf einer Reihe empfohlener Sicherheitskontrollen, die von Microsoft veröffentlicht werden und eine numerische Bewertung bereitstellen, um Ihren Sicherheitsstatus objektiv zu messen und zukünftige Sicherheitsverbesserungen zu planen. Sie können Ihre Bewertung auch mit Bewertungen in anderen Branchen und mit Ihren eigenen Trends im Zeitverlauf vergleichen.

Bewährte Methode: Planen Sie routinemäßige Sicherheitsüberprüfungen und -verbesserungen basierend auf bewährten Methoden in ihrer Branche.
Detail: Verwenden Sie das Feature Identity Secure Score, um die Verbesserungen im Lauf der Zeit zu bewerten.

Aktivieren der Kennwortverwaltung

Wenn Sie mehrere Mandanten verwenden oder Benutzern das Zurücksetzen ihres Kennworts ermöglichen möchten, ist es wichtig, dass Sie zur Verhinderung von Missbrauch geeignete Sicherheitsrichtlinien verwenden.

Bewährte Methode: Richten Sie Self-Service-Kennwortzurücksetzung (SSPR, Self-Service Password Reset) für Ihre Benutzer ein.
Detail: Verwenden Sie das Microsoft Entra ID-Feature Self-Service-Kennwortzurücksetzung.

Bewährte Methode: Überwachen Sie, wie oder ob SSPR tatsächlich verwendet wird.
Detail: Überwachen Sie die Benutzer, die sich registrieren, mit dem Bericht zu Registrierungsaktivitäten für die Kennwortzurücksetzung von Microsoft Entra ID. Die Berichterstellungsfunktion von Microsoft Entra ID hilft Ihnen bei der Beantwortung von Fragen mit Hilfe von vorgefertigten Berichten. Wenn Sie eine ordnungsgemäße Lizenz haben, können Sie auch benutzerdefinierte Abfragen erstellen.

Bewährte Methode: Weiten Sie cloudbasierte Kennwortrichtlinien auf Ihre lokale Infrastruktur aus.
Detail: Weiten Sie Kennwortrichtlinien in Ihrer Organisation aus, indem Sie für Änderungen lokaler Kennwörter dieselben Prüfungen ausführen wie für Änderungen cloudbasierter Kennwörter. Installieren Sie Microsoft Entra-Kennwortschutz für Windows Server Active Directory-Agents lokal, um die Liste gesperrter Kennwörter auf Ihre vorhandene Infrastruktur auszudehnen. Benutzer und Administratoren, die Kennwörter lokal ändern, festlegen oder zurücksetzen, müssen die gleiche Kennwortrichtlinie einhalten wie ausschließliche Cloudbenutzer.

Erzwingen der Multi-Faktor-Überprüfung für Benutzer

Sie sollten die zweistufige Überprüfung für alle Benutzer fordern. Dies schließt Administratoren und andere Personen in Ihrer Organisation ein, bei denen die Gefährdung ihrer Konten einen besonders schädlichen Einfluss haben kann (z.B. Finanzchefs).

Es gibt mehrere Optionen, um eine zweistufige Überprüfung zu erzwingen. Die beste Option für Sie hängt von Ihren Zielen ab, der Microsoft Entra-Edition, die Sie ausführen, und Ihrem Lizenzierungsprogramm. Bestimmen Sie mithilfe des Artikels Vorgehensweise zum Erzwingen einer zweistufigen Überprüfung für einen Benutzer die beste Option für Sie. Weitere Informationen zu Lizenzen und Preisen finden Sie auf den Preisseiten für Microsoft Entra ID und Microsoft Entra-Multi-Faktor-Authentifizierung.

Im Folgenden werden Optionen und Vorteile der zweistufigen Überprüfung beschrieben:

Option 1: Aktivieren Sie die MFA für alle Benutzer und Anmeldemethoden mit Microsoft Entra-Sicherheitsstandards
Nutzen: Diese Option ermöglicht es Ihnen, die MFA für alle Benutzer in Ihrer Umgebung ganz einfach und schnell zu erzwingen und eine strikte Richtlinie für Folgendes anzuwenden:

  • Abfragen von Administratorkonten und administrativen Anmeldemechanismen
  • Erzwingen von MFA über Microsoft Authenticator für alle Benutzer
  • Einschränken älterer Authentifizierungsprotokolle.

Diese Methode ist für alle Lizenzierungsstufen verfügbar, kann jedoch nicht mit vorhandenen Richtlinien für den bedingten Zugriff kombiniert werden. Weitere Informationen finden Sie unter Microsoft Entra-Sicherheitsstandards

Option 2: Aktivieren der Multi-Faktor-Authentifizierung durch Ändern des Benutzerstatus.
Vorteil: Dies ist die herkömmliche Methode, die zweistufige Überprüfung zu anzufordern. Es funktioniert sowohl mit der Microsoft Entra-Multi-Faktor-Authentifizierung in der Cloud als auch mit dem Azure MFA-Server. Bei dieser Methode müssen sich Benutzer jedes Mal, wenn sie sich anmelden, die zweistufige Überprüfung durchführen. Die Richtlinien für bedingten Zugriff werden außer Kraft gesetzt.

Um festzulegen, wo die Multi-Faktor-Authentifizierung aktiviert werden muss, lesen Sie Welche Version der Microsoft Entra-Multi-Faktor-Authentifizierung ist für meine Organisation geeignet?.

Option 3: Aktivieren der Multi--Faktor-Authentifizierung mit einer Richtlinie für bedingten Zugriff.
Vorteil: Mit dieser Option können Sie die zweistufige Überprüfung unter bestimmten Bedingungen mithilfe des bedingten Zugriffs anfordern. Bestimmte Bedingungen können sein: Benutzeranmeldung von verschiedenen Standorten, nicht vertrauenswürdige Geräte oder Anwendungen, die Sie als risikoreich betrachten. Durch Definieren von bestimmten Bedingungen, in denen Sie die zweistufige Überprüfung erfordern, können Sie die konstante Aufforderung Ihrer Benutzer vermeiden, die eine unangenehme Benutzererfahrung sein kann.

Dies ist die flexibelste Möglichkeit, die zweistufige Überprüfung für Ihre Benutzer zu aktivieren. Das Aktivieren einer Richtlinie für bedingten Zugriff funktioniert nur für die Microsoft Entra-Multi-Faktor-Authentifizierung in der Cloud und ist ein Premium-Feature von Microsoft Entra ID. Weitere Informationen zu dieser Methode finden Sie unter Bereitstellen von cloudbasierter Microsoft Entra-Multi-Faktor-Authentifizierung.

Option 4: Aktivieren Sie die Multi-Faktor-Authentifizierung mit Richtlinien für den bedingten Zugriff durch Auswertung von risikobasierten Richtlinien für den bedingten Zugriff.
Vorteil: Diese Option ermöglicht Ihnen Folgendes:

  • Ermitteln potenzieller Sicherheitsrisiken für Identitäten Ihrer Organisation.
  • Konfigurieren automatischer Reaktionen auf erkannte verdächtige Aktionen im Zusammenhang mit den Identitäten Ihrer Organisation.
  • Untersuchen verdächtiger Vorfälle und Ergreifen entsprechender Maßnahmen zu deren Behebung.

Diese Methode verwendet die Risikobewertung von Microsoft Entra ID-Schutz, um die Notwendigkeit der zweistufigen Überprüfung auf Basis des Benutzer- und Anmelderisikos für alle Cloudanwendungen zu bestimmen. Diese Methode erfordert die Microsoft Entra ID P2-Lizenzierung. Weitere Informationen zu dieser Methode finden Sie unter Microsoft Entra ID-Schutz.

Hinweis

Die Option 2, Aktivierung der Multi-Faktor-Authentifizierung durch Ändern des Benutzerstatus, setzt die Richtlinien für den bedingten Zugriff außer Kraft. Da die Optionen 3 und 4 Richtlinien für bedingten Zugriff verwenden, können Sie Option 2 nicht zusammen mit ihnen verwenden.

Organisationen, die keine zusätzliche Schicht zur Identitätssicherung hinzufügen, etwa die zweistufige Überprüfung, sind anfälliger für Angriffe mit dem Ziel des Diebstahls von Anmeldeinformationen. Ein Angriff mit gestohlenen Anmeldeinformationen kann zum Kompromittieren der Daten führen.

Verwenden der rollenbasierten Zugriffssteuerung

Die Zugriffsverwaltung für Cloudressourcen ist wichtig für jede Organisation, die die Cloud nutzt. Mit der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC) können Sie verwalten, welche Benutzer Zugriff auf Azure-Ressourcen haben, welche Aktionen die Benutzer für diese Ressourcen ausführen können und auf welche Bereiche die Benutzer zugreifen können.

Durch Festlegen von Gruppen oder individuellen Rollen, die für bestimmte Funktionen zuständig sind, kann Verwirrung ausgeschlossen werden, die zu menschlichen Fehlern und Automatisierungsfehlern und letztendlich zu Sicherheitsrisiken führen kann. Das Einschränken des Zugriffs auf der Grundlage der Sicherheitsprinzipien Need to know und Least Privilege ist für Organisationen unerlässlich, die Sicherheitsrichtlinien für den Datenzugriff erzwingen möchten.

Ihrem Sicherheitsteam benötigt Einblicke in Ihre Azure-Ressourcen, um Risiken zu bewerten und auszuräumen. Wenn die Mitarbeiter des Sicherheitsteams operative Pflichten haben, benötigen sie für ihre Arbeit zusätzliche Berechtigungen.

Sie können Azure RBAC verwenden, um Benutzern, Gruppen und Anwendungen Berechtigungen für einen bestimmten Bereich zu erteilen. Der Bereich einer Rollenzuweisung kann ein Abonnement, eine Ressourcengruppe oder eine einzelne Ressource sein.

Bewährte Methode: Verteilen Sie Aufgaben in Ihrem Team, und gewähren Sie Benutzern nur den Zugriff, den sie zur Ausführung ihrer Aufgaben benötigen. Anstatt allen uneingeschränkte Berechtigungen in Ihrem Azure-Abonnement oder Ihren Ressourcen zu gewähren, beschränken Sie die Berechtigungen auf bestimmte Aktionen in einem bestimmten Bereich.
Detail: Verwenden Sie in Azure integrierte Rollen, um Benutzern Berechtigungen zuzuweisen.

Hinweis

Bestimmte Berechtigungen bringen unnötige Komplexität und Verwirrung und letztendlich eine „veraltete“ Konfiguration mit sich, die nur schwer korrigiert werden, ohne größere Schäden anzurichten. Vermeiden Sie ressourcenspezifische Berechtigungen. Verwenden Sie statt dessen Verwaltungsgruppen für unternehmensweite Berechtigungen und Ressourcengruppen für Berechtigungen innerhalb von Abonnements. Vermeiden Sie benutzerspezifische Berechtigungen. Weisen Sie stattdessen Gruppen in Microsoft Entra ID Zugriffsberechtigungen zu.

Bewährte Methode: Gewähren Sie Sicherheitsteams mit Azure-Aufgaben die Berechtigung, Azure-Ressourcen anzuzeigen, damit sie diese bewerten und Risiken beheben können.
Detail: Gewähren Sie Sicherheitsteams die Azure RBAC-Rolle Sicherheitsleseberechtigter. Sie können je nach Umfang der Pflichten die Stammverwaltungsgruppe oder die Segmentverwaltungsgruppe verwenden:

  • Stammverwaltungsgruppe für Teams, die für alle Unternehmensressourcen zuständig sind
  • Segmentverwaltungsgruppe für Teams mit beschränkter Zuständigkeit (häufig aufgrund gesetzlicher oder sonstiger organisatorischer Beschränkungen)

Bewährte Methode: Gewähren Sie Sicherheitsteams mit direkten operativen Pflichten die entsprechenden Berechtigungen.
Detail: Überprüfen Sie die integrierten Azure-Rollen hinsichtlich der geeigneten Rollenzuweisung. Wenn die integrierten Rollen den Ansprüchen Ihrer Organisation nicht entsprechen, können Sie benutzerdefinierte Azure-Rollen erstellen. Genau wie integrierte Rollen können auch benutzerdefinierte Rollen Benutzern, Gruppen und Dienstprinzipalen auf Abonnement-, Ressourcengruppen- und Ressourcenebene zugewiesen werden.

Bewährte Methoden: Gewähren Sie Microsoft Defender für Cloud Zugriff auf Sicherheitsrollen, die benötigt werden. Mit Defender for Cloud können Sicherheitsteams Risiken schnell erkennen und beheben.
Detail: Fügen Sie Sicherheitsteams mit diesem Bedarf der Azure RBAC-Rolle Sicherheitsadministrator hinzu, sodass sie Sicherheitsrichtlinien und -zustände anzeigen, Sicherheitsrichtlinien bearbeiten sowie Warnungen und Empfehlungen anzeigen und verwerfen können. Sie können hierzu je nach Umfang der Pflichten die Stammverwaltungsgruppe oder die Segmentverwaltungsgruppe verwenden.

Organisationen, die keine Datenzugriffssteuerung mithilfe von Funktionen wie Azure RBAC erzwingen, erteilen Ihren Benutzern möglicherweise mehr Berechtigungen als erforderlich. Dies kann zur Gefährdung von Daten führen, indem Benutzern erlaubt wird, auf bestimmte Arten von Daten zuzugreifen (z.B. Daten mit hoher geschäftlicher Bedeutung), auf die sie eigentlich keinen Zugriff haben dürften.

Senken der Gefährdung privilegierter Konten

Das Sichern des privilegierten Zugriffs ist ein entscheidender erster Schritt, um die geschäftlichen Ressourcen zu schützen. Halten Sie die Anzahl von Personen mit Zugriff auf sichere Informationen oder Ressourcen möglichst gering, da sich so das Risiko verringert, dass ein böswilliger Benutzer Zugriff darauf erhält, oder ein autorisierter Benutzer versehentlich eine sensible Ressource kompromittiert.

Mit privilegierten Konten werden IT-Systeme verwaltet. Cyberkriminelle versuchen diese Konten anzugreifen, um Zugriff auf die Daten und Systeme eines Unternehmens zu erhalten. Zum Schutz des privilegierten Zugriffs empfiehlt es sich, Konten und Systeme zu isolieren, um sie vor dem Zugriff durch böswillige Benutzer zu schützen.

Wir empfehlen Ihnen, eine Roadmap zum Schützen des privilegierten Zugriffs gegenüber Cyberangreifern zu entwickeln und zu befolgen. Informationen zum Erstellen einer detaillierten Roadmap zum Sichern von Identitäten und Zugriff, die in Microsoft Entra ID, Microsoft Azure, Microsoft 365 und anderen Clouddiensten verwaltet oder berichtet werden, finden Sie unter Sichern des privilegierten Zugriffs für hybride und Cloudbereitstellungen in Microsoft Entra ID.

Im Folgenden werden die Best Practices zusammengefasst, die unter Sichern des privilegierten Zugriffs für hybride und Cloudbereitstellungen in Microsoft Entra ID gefunden werden:

Bewährte Methode: Verwalten, steuern und überwachen Sie den Zugriff auf privilegierte Konten.
Detail: Aktivieren Sie Microsoft Entra Privileged Identity Management. Nach der Aktivierung von Privileged Identity Management erhalten Sie Benachrichtigungs-E-Mails zu Rollenänderungen bei privilegiertem Zugriff. Diese Benachrichtigungen sind eine frühzeitige Warnung, wenn zusätzliche Benutzer hoch privilegierten Rollen in Ihrem Verzeichnis hinzugefügt werden.

Best Practices: Stellen Sie sicher, dass alle kritischen Administratorkonten verwaltete Microsoft Entra-Konten sind. Detail: Entfernen Sie alle Consumer-Konten aus wichtigen Administratorrollen (z.B. Microsoft-Konten wie „hotmail.com“, „live.com“ und „outlook.com“).

Bewährte Methode: Stellen Sie sicher, dass alle wichtigen Administratorrollen ein separates Konto für administrative Aufgaben haben, um Phishing und andere Angriffe zu verhindern, bei denen Administratorrechte ausgenutzt werden.
Detail: Erstellen Sie ein separates Administratorkonto an, dem die erforderlichen Berechtigungen für administrative Aufgaben zugewiesen sind. Blockieren Sie die Verwendung dieser Administratorkonten für gängige Produktivitätstools wie Microsoft 365-E-Mail und willkürliches Browsen im Web.

Bewährte Methode: Identifizieren und kategorisieren Sie Konten in stark privilegierten Rollen.
Detail: Zeigen Sie nach dem Aktivieren von Microsoft Entra Privileged Identity Management die Benutzer an, welche die Rollen „globaler Administrator“, „Administrator für privilegierte Rollen“ und andere hoch privilegierte Rollen einnehmen. Entfernen Sie alle Konten, die nicht mehr in diesen Rollen benötigt werden, und kategorisieren Sie die restlichen Konten, die Administratorrollen zugewiesen sind:

  • Einzeln Benutzern mit Administratorrechten zugewiesen, und kann nicht zu administrativen Zwecken (z.B. persönliche E-Mail) verwendet werden
  • Einzeln Benutzern mit Administratorrechten zugewiesen und nur für Verwaltungszwecke vorgesehen
  • Für mehrere Benutzer freigegeben
  • Für Notfallzugriffs-Szenarios
  • Für automatisierte Skripts
  • Für externe Benutzer

Bewährte Methode: Implementieren Sie Just-in-Time-Zugriff (JIT) zur weiteren Reduzierung der Offenlegungszeit von Berechtigungen und Steigern Ihres Einblicks in die Verwendung privilegierter Konten.
Detail: Mit Microsoft Entra Privileged Identity Management können Sie Folgendes tun:

  • Beschränken der Nutzung von Benutzerberechtigungen auf JIT.
  • Zuweisen von Rollen für eine verkürzte Dauer mit der Gewissheit, dass die Berechtigungen automatisch widerrufen werden.

Bewährte Methode: Definieren Sie mindestens zwei Notfallzugriffskonten.
Detail: Konten für den Notfallzugriff helfen Organisationen, den privilegierten Zugriff innerhalb einer vorhandenen Microsoft Entra-Umgebung einzuschränken. Diese Konten verfügen über weitreichende Privilegien und werden keinen Einzelpersonen zugewiesen. Konten für den Notfallzugriff sind auf Szenarios beschränkt, in denen normale Administratorkonten nicht verwendet werden können. Organisationen müssen die Notfallkontennutzung auf die erforderliche Zeitspanne begrenzen.

Bewerten Sie die Konten, die zugewiesen werden oder für die Rolle „globaler Administrator“ berechtigt sind. Wenn Ihnen keine ausschließlichen Cloudkonten mit der *.onmicrosoft.com-Domäne (vorgesehen für den Notfallzugriff) angezeigt werden, erstellen Sie sie. Weitere Informationen finden Sie unter Verwalten von Administratorkonten für den Notfallzugriff in Microsoft Entra ID.

Bewährte Methode: Richten Sie einen Notfallprozess für Notfallsituationen ein.
Detail: Führen Sie die Schritte in Sichern des privilegierten Zugriffs für hybride und Cloudbereitstellungen in Microsoft Entra ID aus.

Best Practices: Verlangen Sie, dass alle wichtigen Administratorkonten kennwortlos sind (bevorzugt) oder die Multi-Faktor-Authentifizierung erfordern.
Detail: Verwenden Sie die Microsoft Authenticator-App, um sich bei jedem Microsoft Entra-Konto anzumelden, ohne ein Kennwort zu verwenden. Wie die Technologie von Windows Hello for Business nutzt Microsoft Authenticator die schlüsselbasierte Authentifizierung, um die Verwendung von Benutzeranmeldeinformationen zu ermöglichen, die an ein Gerät gebunden sind und auf biometrischer Authentifizierung oder einer PIN beruhen.

Verlangen Sie die Microsoft Entra-Multi-Faktor-Authentifizierung bei der Anmeldung für alle Benutzer, die dauerhaft einzelnen oder mehreren Microsoft Entra-Administratorrollen zugewiesen sind: globaler Administrator, Administrator für privilegierte Rollen, Exchange Online-Administrator und SharePoint Online-Administrator. Aktivieren Sie die Multi-Faktor-Authentifizierung für Ihre Administratorkonten, und stellen Sie sicher, dass alle Administratorkontobenutzer registriert sind.

Bewährte Methode: Richten Sie für wichtige Administratorkonten eine Administrator-Arbeitsstation ein, auf der keine Produktionsaufgaben (wie Webbrowsen und E-Mail) ausgeführt werden dürfen. Dies schützt Ihre Administratorkonten vor Angriffsvektoren, die Webbrowsen und E-Mail ausnutzen, und Sie mindern das Risiken schwerwiegender Vorfälle erheblich.
Detail: Verwenden Sie eine Administrator-Arbeitsstation. Wählen Sie ein Sicherheitsniveau für die Arbeitsstation aus:

  • Hochsichere Produktivitätsgeräte bieten umfassende Sicherheit für Webbrowsen und anderen Produktivitätsaufgaben.
  • Privileged Access Workstations (PAWs) bieten für sensible Aufgaben ein dediziertes Betriebssystem, das vor Internetangriffen und Bedrohungsvektoren geschützt ist.

Bewährte Methode: Heben Sie die Bereitstellung von Administratorkonten auf, wenn Mitarbeiter Ihre Organisation verlassen.
Detail: Pflegen Sie einen Prozess, mit dem Administratorkonten deaktiviert oder gelöscht werden, wenn Mitarbeiter Ihre Organisation verlassen.

Bewährte Methode: Testen Sie Administratorkonten regelmäßig mit aktuellen Angriffstechniken.
Detail: Verwenden Sie den Angriffssimulator von Microsoft 365 oder ein Angebot eines Drittanbieters, um realistische Angriffsszenarien in Ihrer Organisation durchzuspielen. Damit können Sie gefährdete Benutzer identifizieren, bevor ein tatsächlicher Angriff stattfindet.

Bewährte Methode: Führen Sie Maßnahmen zum Abwehren der am häufigsten verwendeten Angriffstechniken durch.
Detail: Identifizieren Sie Microsoft-Konten in Administratorrollen, die auf Geschäfts-, Schul- oder Unikonten umgestellt werden müssen.

Stellen Sie separate Benutzerkonten und E-Mail-Weiterleitung für globale Administratorkonten sicher.

Stellen Sie sicher, dass die Kennwörter von Administratorkonten kürzlich geändert wurden.

Aktivieren Sie die Kennworthashsynchronisierung.

Verlangen der Multi-Faktor-Authentifizierung für Benutzer in allen privilegierten Rollen als auch für Benutzer mit hoher Gefährdung

Abrufen Ihres Microsoft 365 Secure Score (bei Verwendung von Microsoft 365)

Überprüfen des Microsoft 365-Sicherheitsleitfadens (bei Verwendung von Microsoft 365)

Konfigurieren der Microsoft 365-Aktivitätsüberwachung (bei Verwendung von Microsoft 365)

Richten Sie Notfallreaktionsplan-Besitzer ein.

Schützen Sie lokale privilegierte Administratorkonten.

Wenn Sie privilegierten Zugriff nicht schützen, verfügen Sie möglicherweise über zu viele Benutzer in stark privilegierten Rollen und sind anfälliger für Angriffe. Böswillige Akteure einschließlich Cyberangreifern haben häufig Administratorkonten und andere Elemente des privilegierten Zugriffs im Visier, um mit Angriffen, deren Ziel der Diebstahl von Anmeldeinformationen ist, Zugriff auf sensible Daten und Systeme zu erhalten.

Steuern von Standorten, wo Ressourcen erstellt werden

Es ist sehr wichtig, für Cloudbediener die Durchführung von Aufgaben zu ermöglichen und gleichzeitig die Nichteinhaltung von Konventionen zu verhindern, die zum Verwalten der Ressourcen einer Organisation erforderlich sind. Organisationen, die die Orte steuern möchten, an denen Ressourcen erstellt werden, sollten diese Orte hartcodieren.

Sie können mit dem Azure Resource Manager Sicherheitsrichtlinien erstellen, mit deren Definitionen die jeweils verweigerten Aktionen oder Ressourcen beschrieben werden. Sie weisen diese Richtliniendefinitionen dem gewünschten Ziel zu, z.B. einem Abonnement, einer Ressourcengruppe oder einer einzelnen Ressource.

Hinweis

Sicherheitsrichtlinien sind nicht das gleiche wie Azure RBAC. Tatsächlich nutzen sie Azure RBAC, um Benutzer zum Erstellen dieser Ressourcen zu autorisieren.

Organisationen, die die Erstellung von Ressourcen nicht steuern, sind anfälliger dafür, dass Benutzer den Dienst durch die Erstellung von mehr Ressourcen als benötigt missbrauchen. Das Absichern der Ressourcenerstellung ist ein wichtiger Schritt zum Schützen eines Szenarios mit mehreren Mandanten.

Aktives Überwachen auf verdächtige Aktivitäten

Ein aktives Identitätsüberwachungssystem kann schnell verdächtiges Verhalten erkennen und eine Warnung zur weiteren Untersuchung auslösen. Die folgende Tabelle führt Microsoft Entra-Funktionen auf, mit denen Organisationen ihre Identitäten überwachen können:

Bewährte Methode: Verwenden Sie eine Methode, um Folgendes zu identifizieren:

Detail: Verwenden Sie Microsoft Entra ID P1- oder P2-Anomalieberichte. Sie müssen über Prozesse und Verfahren verfügen, mit denen IT-Administratoren diese Berichte täglich oder bei Bedarf ausführen können (normalerweise in einem Szenario mit Reaktionen auf Zwischenfälle).

Bewährte Methode: Sie haben ein aktives Überwachungssystem, das Sie über Risiken informiert, und können die Risikostufe (hoch, mittel oder niedrig) an Ihre geschäftlichen Anforderungen anpassen.
Detail: Verwenden Sie Microsoft Entra ID-Schutz, das die aktuellen Risiken im eigenen Dashboard kennzeichnet und tägliche Zusammenfassungen per E-Mail sendet. Zum Schutz der Identitäten Ihrer Organisation können Sie risikobasierte Richtlinien konfigurieren, die automatisch auf erkannte Probleme reagieren, wenn eine angegebene Risikostufe erreicht ist.

Für Organisationen, die ihre Identitätssysteme nicht aktiv überwachen, besteht das Risiko, dass Anmeldeinformationen kompromittiert werden. Ohne das Wissen, dass diese Anmeldeinformationen für verdächtige Aktivitäten genutzt werden, können Organisationen dieser Art von Bedrohung nicht begegnen.

Verwenden von Microsoft Entra ID für die Speicherauthentifizierung

Azure Storage unterstützt Authentifizierung und Autorisierung mit Microsoft Entra ID für Blobspeicher und Warteschlangenspeicher. Mit der Microsoft Entra-Authentifizierung können Sie die rollenbasierte Zugriffssteuerung von Azure nutzen, um Benutzern, Gruppen und Anwendungen Berechtigungen bis hin zum Bereich eines einzelnen Blobcontainers oder einer einzelnen Warteschlange zu gewähren.

Wir empfehlen, Microsoft Entra ID für die Authentifizierung des Speicherzugriffs zu verwenden.

Nächster Schritt

Weitere bewährte Methoden für die Sicherheit, die Sie beim Entwerfen, Bereitstellen und Verwalten Ihrer Cloudlösungen mithilfe von Azure verwenden können, finden Sie unter Sicherheit in Azure: bewährte Methoden und Muster.