Übersicht über die Sicherheit der Azure-Identitätsverwaltung
Identitätsverwaltung ist der Prozess der Authentifizierung und Autorisierung von Sicherheitsprinzipalen. Sie umfasst auch das Steuern von Informationen über diese Prinzipale (Identitäten). Sicherheitsprinzipale (Identitäten) können Dienste, Anwendungen, Benutzer, Gruppen usw. umfassen. Lösungen zur Identitäts- und Zugriffsverwaltung von Microsoft unterstützen IT-Profis dabei, den Zugriff auf Anwendungen und Ressourcen über das Unternehmensrechenzentrum und in der Cloud zu schützen. Für diesen Schutz werden zusätzliche Überprüfungsebenen aktiviert, wie etwa mehrstufige Authentifizierung und Richtlinien für bedingten Zugriff. Die Überwachung verdächtiger Aktivitäten über erweiterte Sicherheitsberichtserstellung, Überwachung und Warnung trägt dazu bei, potenzielle Sicherheitsprobleme zu verringern. Microsoft Entra ID P1 oder P2 ermöglicht einmaliges Anmelden (SSO) bei Tausenden von SaaS-Cloudanwendungen (Software-as-a-Service) und Zugriff auf Webanwendungen, die Sie lokal ausführen.
Indem Sie die Sicherheitsvorteile von Microsoft Entra ID nutzen, können Sie:
- Erstellen und Verwalten einer einzelnen Identität für jeden Benutzer in Ihrer gesamten hybriden Unternehmensumgebung, wobei Benutzer, Gruppen und Geräte synchronisiert werden
- Bereitstellen des SSO-Zugriffs auf Ihre Anwendungen, einschließlich Tausender bereits integrierter SaaS-Apps
- die Sicherheit für den Anwendungszugriff durch Erzwingen der regelbasierten Multi-Faktor-Authentifizierung für lokale Anwendungen und Cloudanwendungen aktivieren.
- sicheren Remotezugriff auf lokale Webanwendungen mit dem Microsoft Entra-Anwendungsproxy bereitstellen.
Das Ziel dieses Artikels ist, eine Übersicht über die wichtigsten Azure-Sicherheitsfunktionen zu bieten, die die Identitätsverwaltung unterstützen. Wir bieten auch Links zu Artikeln mit weiteren Informationen zu jedem Feature.
Der Artikel konzentriert sich auf die folgenden wesentlichen Funktionen der Azure-Identitätsverwaltung:
- Einmaliges Anmelden
- Reverseproxy
- Mehrstufige Authentifizierung
- Rollenbasierte Zugriffssteuerung von Azure (Azure RBAC)
- Sicherheitsüberwachung, Warnungen und Machine Learning-basierte Berichte
- Kundenidentitäts- und Kundenzugriffsverwaltung
- Geräteregistrierung
- Privileged Identity Management
- Schutz der Identität (Identity Protection)
- Hybrididentitätsverwaltung/Azure AD Connect
- Microsoft Entra-Zugriffsüberprüfungen
Einmaliges Anmelden
Einmaliges Anmelden (Single Sign-On, SSO) bedeutet, dass Sie Zugriff auf sämtliche für Ihre Geschäftsaktivitäten benötigten Anwendungen und Ressourcen erhalten, indem Sie sich nur einmal mit einem einzigen Benutzerkonto anmelden. Nach der Anmeldung können Sie auf alle benötigten Anwendungen zugreifen, ohne sich ein zweites Mal (z.B. durch Eingabe eines Kennworts) authentifizieren zu müssen.
Viele Organisationen nutzen SaaS-Anwendungen, z. B. Microsoft 365, Box und Salesforce, um die Benutzerproduktivität zu steigern. In der Vergangenheit musste das IT-Personal Benutzerkonten in jeder SaaS-Anwendung individuell erstellen und aktualisieren, und Benutzer mussten sich für jede SaaS-Anwendung ein Kennwort merken.
Microsoft Entra ID weitet lokale Active Directory-Umgebungen auf die Cloud aus und ermöglicht Benutzern auf diese Weise, sich mit ihrem primären Organisationskonto nicht nur bei den mit ihrer Domäne verknüpften Geräten und Unternehmensressourcen anzumelden, sondern auch bei sämtlichen Web- und SaaS-Anwendungen, die sie für ihre Arbeit benötigen.
Nicht nur müssen Benutzer sich keine Vielzahl von Benutzernamen und Kennwörtern mehr merken, sondern Sie können den Anwendungszugriff für Benutzer basierend auf ihren Organisationsgruppen und ihrem Mitarbeiterstatus automatisch bereitstellen oder deaktivieren. Microsoft Entra ID stellt Funktionen zum Steuern von Sicherheit und Zugriffsgovernance bereit, mit denen Sie den Benutzerzugriff auf SaaS-Anwendungen zentral verwalten können.
Weitere Informationen:
- Übersicht über einmaliges Anmelden (SSO)
- Video zu den Grundlagen der Authentifizierung
- Schnellstartreihe zur Anwendungsverwaltung
Reverseproxy
Der Microsoft Entra-Anwendungsproxy ermöglicht Ihnen das Veröffentlichen von Anwendungen in einem privaten Netzwerk, z. B. über SharePoint-Websites, die Outlook Web App und IIS-basierte Apps innerhalb Ihres privaten Netzwerks und bietet sicheren Zugriff für Benutzer*innen außerhalb Ihres Netzwerks. Der Anwendungsproxy bietet Remotezugriff und SSO für eine Vielzahl von lokalen Webanwendungen sowie Tausende von SaaS-Anwendungen, die Microsoft Entra ID unterstützt werden. Mitarbeiter können sich auf ihren eigenen Geräten von zu Hause aus bei Ihren Apps anmelden und sich über diesen cloudbasierten Proxy authentifizieren.
Weitere Informationen:
- Aktivieren des Microsoft Entra-Anwendungsproxys
- Veröffentlichen von Anwendungen mit dem Microsoft Entra-Anwendungsproxy
- Einmaliges Anmelden mit dem Anwendungsproxy
- Arbeiten mit bedingtem Zugriff
Mehrstufige Authentifizierung
Die Microsoft Entra-Multi-Faktor-Authentifizierung ist eine Authentifizierungsmethode, für die die Verwendung von mehr als einem Verifizierungsverfahren erforderlich ist und die eine wichtige zweite Sicherheitsebene für Benutzeranmeldungen und Transaktionen darstellt. Die Multi-Faktor-Authentifizierung trägt zum Schutz des Zugriffs auf Daten und Anwendungen bei und bietet gleichzeitig ein einfaches Anmeldeverfahren für Benutzer. Sie bietet eine leistungsfähige Authentifizierung mit verschiedenen Überprüfungsoptionen – Telefonanruf, SMS oder per Benachrichtigung bzw. Überprüfungscode in einer mobilen App sowie OAuth-Token von Drittanbietern.
Weitere Informationen: Funktionsweise der Microsoft Entra-Multi-Faktor-Authentifizierung
Azure RBAC
Azure RBAC ist ein Autorisierungssystem, das auf Azure Resource Manager basiert und eine präzise Verwaltung des Zugriffs auf Ressourcen in Azure ermöglicht. Azure RBAC ermöglicht Ihnen eine präzise Steuerung der Zugriffsebene, über die Benutzer verfügen. Beispielsweise können Sie einen Benutzer auf die alleinige Verwaltung von virtuellen Netzwerken und einen anderen Benutzer auf die Verwaltung aller Ressourcen in einer Ressourcengruppe beschränken. Azure umfasst mehrere integrierte Rollen, die Sie verwenden können. Im Folgenden werden vier grundlegende integrierte Rollen aufgeführt. Die ersten drei Rollen gelten für alle Ressourcentypen.
- Besitzer verfügen über vollständigen Zugriff auf alle Ressourcen, einschließlich des Rechts, den Zugriff an andere Personen zu delegieren.
- Mitwirkende können alle Arten von Azure-Ressourcen erstellen und verwalten, aber keinen anderen Personen Zugriff gewähren.
- Leser können vorhandene Azure-Ressourcen anzeigen.
- Mit einem Benutzerzugriffsadministrator können Sie den Benutzerzugriff auf Azure-Ressourcen verwalten.
Weitere Informationen:
- Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?
- Integrierte Azure-Rollen
Sicherheitsüberwachung, Warnungen und Machine Learning-basierte Berichte
Sicherheitsüberwachung, Warnungen und Berichte auf Machine Learning-Basis, die inkonsistente Zugriffsmuster erkennen und Ihnen helfen können, Ihr Unternehmen zu schützen. Sie können die Zugriffs- und Nutzungsberichte von Microsoft Entra ID verwenden, um sich einen Einblick in die Integrität und Sicherheit des Verzeichnisses Ihrer Organisation zu verschaffen. Mithilfe dieser Informationen kann ein Verzeichnisadministrator mögliche Sicherheitsrisiken besser bestimmen, um angemessen zu planen, wie diese Risiken eingedämmt werden können.
Im Azure-Portal fallen Berichte in die folgenden Kategorien:
- Anomalieberichte: Enthalten Anmeldeereignisse, die wir als anomal eingestuft haben. Unser Ziel ist, Sie auf solche Aktivitäten aufmerksam zu machen und Ihnen die Möglichkeit zu geben, zu bestimmen, ob ein Ereignis verdächtig ist.
- Integrierte Anwendungsberichte: Bieten Einblicke, wie Cloudanwendungen in Ihrer Organisation verwendet werden. Microsoft Entra ID ermöglicht die Integration in Tausende von Cloudanwendungen.
- Fehlerberichte: Enthalten Hinweise auf Fehler, die bei der Bereitstellung von Konten für externe Anwendungen auftreten können.
- Benutzerspezifische Berichte: Enthalten Geräte- und Anmeldeaktivitätsdaten für einen bestimmten Benutzer.
- Aktivitätsprotokolle: Enthalten eine Aufzeichnung aller überwachten Ereignisse in den letzten 24 Stunden, 7 Tagen oder 30 Tagen sowie geänderte Gruppenaktivitäten und Kennwortzurücksetzungs- und Registrierungsaktivitäten.
Weitere Informationen: Microsoft Entra ID-Berichterstellungsleitfaden
Kundenidentitäts- und Kundenzugriffsverwaltung
Azure AD B2C ist ein globaler Identitätsverwaltungsdienst mit Hochverfügbarkeit für kundenorientierte Anwendungen, der für Hunderte Millionen von Identitäten skaliert werden kann. Er kann über mobile und Webplattformen integriert werden. Ihre Kunden können sich über eine anpassbare Oberfläche bei all Ihren Anwendungen anmelden und zu diesem Zweck entweder vorhandene Konten aus sozialen Netzwerken nutzen oder neue Anmeldeinformationen festlegen.
In der Vergangenheit mussten Anwendungsentwickler ihren eigenen Code schreiben, wenn sie Verbraucher registrieren und in ihren Anwendungen anmelden wollten. Und sie hätten lokale Datenbanken oder Systeme zum Speichern von Benutzernamen und Kennwörtern verwendet. Azure AD B2C bietet Ihrer Organisation eine bessere Lösung, um die Verwaltung von Kundenidentitäten in ihre Anwendungen zu integrieren. Dabei kommen eine sichere standardbasierte Plattform und ein umfassender Satz von erweiterbaren Richtlinien zum Einsatz.
Wenn Sie Azure AD B2C verwenden, können sich Ihre Kunden mit vorhandenen Konten in sozialen Netzwerken (Facebook, Google, Amazon, LinkedIn) oder durch Erstellen neuer Anmeldeinformationen (E-Mail-Adresse und Kennwort oder Benutzername und Kennwort) bei Ihren Anwendungen registrieren.
Weitere Informationen:
Geräteregistrierung
Die Microsoft Entra-Geräteregistrierung ist die Grundlage gerätebasierter Szenarien für den bedingten Zugriff. Wenn ein Gerät registriert ist, stellt die Microsoft Entra-Geräteregistrierung eine Identität für das Gerät bereit, die bei der Anmeldung eines Benutzers zum Authentifizieren des Geräts dient. Das authentifizierte Gerät und die Attribute des Geräts können anschließend verwendet werden, um bedingte Zugriffsrichtlinien für Anwendungen zu erzwingen, die in der Cloud und lokal gehostet werden.
In Kombination mit einer Lösung für die Verwaltung mobiler Geräte, wie z.B. Intune, werden die Geräteattribute in Microsoft Entra ID mit zusätzlichen Informationen über das Gerät aktualisiert. So können Sie Regeln für den bedingten Zugriff erstellen, die erzwingen, dass der Zugriff von Geräten Ihren Standards für Sicherheit und Compliance entspricht.
Weitere Informationen:
- Erste Schritte mit der Microsoft Entra-Geräteregistrierung
- Automatische Geräteregistrierung mit Microsoft Entra ID für in Domänen eingebundene Windows-Geräte
Privileged Identity Management
Mithilfe von Microsoft Entra Privileged Identity Management (PIM) können Sie Ihre privilegierten Identitäten und deren Zugriff auf Ressourcen in Microsoft Entra ID und anderen Microsoft-Onlinediensten wie Microsoft 365 und Microsoft Intune verwalten, steuern und überwachen.
Manchmal müssen Benutzer privilegierte Vorgänge in Azure- oder Microsoft 365-Ressourcen oder anderen SaaS-Apps ausführen. Dieses Erfordernis bedeutet häufig, dass Organisationen diesen Benutzern in Microsoft Entra ID dauerhaften privilegierten Zugriff gewähren müssen. Diese Zugriffsart stellt ein wachsendes Sicherheitsrisiko für die in der Cloud gehosteten Ressourcen dar, da Organisationen die Aktionen, die diese Benutzer mit ihren Administratorberechtigungen ausführen, nicht ausreichend überwachen können. Darüber hinaus kann die Sicherheit der gesamten Cloud in Gefahr sein, wenn ein Benutzerkonto mit privilegiertem Zugriff kompromittiert wird. Mit Microsoft Entra Privileged Identity Management können Sie dieses Risiko abmildern.
Mit Microsoft Entra Privileged Identity Management (PIM) können Sie:
- sehen, welche Benutzer Microsoft Entra-Administratoren sind.
- Aktivieren von bedarfsgesteuertem Just-In-Time-Administratorzugriff (JIT) auf Microsoft Online Services wie z. B. Microsoft 365 und Intune.
- Abrufen von Berichten zum Administratorzugriffsverlauf und zu Änderungen bei Administratorzuweisungen.
- Aktivieren von Benachrichtigungen zum Zugriff auf eine privilegierte Rolle.
Weitere Informationen:
- Was ist Microsoft Entra Privileged Identity Management?
- Zuweisen von Microsoft Entra-Verzeichnisrollen in PIM
Schutz der Identität
Microsoft Entra Identity Protection ist ein Sicherheitsdienst, der eine umfassende Übersicht über erkannte Risiken und potenzielle Sicherheitsrisiken für die Identitäten Ihrer Organisation bietet. Identity Protection nutzt die vorhandenen Möglichkeiten von Microsoft Entra zur Erkennung von Anomalien, die in Form der Microsoft Entra-Berichte über anomale Aktivitäten zur Verfügung stehen. Identity Protection führt außerdem neue Risikoerkennungstypen ein, mit denen Anomalien in Echtzeit erkannt werden können.
Weitere Informationen: Microsoft Entra ID Protection
Hybride Identitätsverwaltung (Microsoft Entra Connect)
Die Identitätslösungen von Microsoft decken sowohl lokale als auch cloudbasierte Funktionen ab, und es wird eine einzelne Benutzeridentität für die standortunabhängige Authentifizierung und Autorisierung gegenüber allen Ressourcen erstellt. Wir bezeichnen dies als Hybrididentität. Das Microsoft-Tool Microsoft Entra Connect wurde entwickelt, um Sie beim Erreichen Ihrer Hybrididentitätsziele zu unterstützen. Dadurch können Sie für Ihre Benutzer eine gemeinsame Identität für in Microsoft Entra ID integrierte Microsoft 365-, Azure- und SaaS-Anwendungen bereitstellen. Er zeichnet sich durch Folgendes aus:
- Synchronization
- AD FS und Verbundintegration
- Passthrough-Authentifizierung
- Systemüberwachung
Weitere Informationen:
Microsoft Entra-Zugriffsüberprüfungen
Mithilfe von Microsoft Entra-Zugriffsüberprüfungen können Unternehmen Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen sowie Zuweisungen privilegierter Rollen effizient verwalten.
Weitere Informationen: Was sind Zugriffsüberprüfungen?