Planen einer ID-Schutzbereitstellung

Microsoft Entra ID Protection erkennt identitätsbasierte Risiken, meldet sie und ermöglicht es Administratoren, diese Risiken zu untersuchen und zu beheben, um die Sicherheit von Organisationen zu wahren. Risikodaten können in Tools wie „Bedingter Zugriff“ eingespeist werden, um Zugriffsentscheidungen zu treffen, oder in ein SIEM-Tool (Security Information and Event Management), um weitere Analysen und Untersuchungen durchzuführen.

Dieser Bereitstellungsplan erweitert die im Bereitstellungsplan für bedingten Zugriff eingeführten Konzepte.

Voraussetzungen

• Funktionierender Microsoft Entra-Mandant, für den P2- oder Testlizenzen von Microsoft Entra ID aktiviert sind. Erstellen Sie ggf. ein kostenloses Konto.
• Administratoren, die mit Identity Protection interagieren, müssen abhängig von den Aufgaben, die sie ausführen, über eine oder mehrere der folgenden Rollenzuweisungen verfügen. Um das Zero Trust-Prinzip der geringsten Rechte zu befolgen, sollten Sie Privileged Identity Management (PIM) verwenden, um Just-in-Time-Aktivierung von privilegierten Rollenzuweisungen zu aktivieren.
  • Richtlinien und Konfigurationen für Identity Protection und den bedingten Zugriff lesen
    • Sicherheitsleseberechtigter
    • Globaler Leser
  • Identitätsschutz verwalten
    • Sicherheitsoperator
    • Sicherheitsadministrator
  • Erstellen oder Ändern von Richtlinien für bedingten Zugriff
    • Administrator für bedingten Zugriff
    • Sicherheitsadministrator
• Ein Testbenutzender, der kein Admin ist, um zu überprüfen, ob die Richtlinien wie erwartet funktionieren, bevor sie für echte Benutzende bereitgestellt werden. Wenn Sie Benutzer*innen erstellen müssen, finden Sie weitere Informationen unter Schnellstart: Hinzufügen neuer Benutzer*innen zu Microsoft Entra ID.
• Eine Gruppe, in der der Benutzer Mitglied ist Informationen zum Erstellen einer Gruppe finden Sie unter Erstellen einer Gruppe und Hinzufügen von Mitgliedern in Microsoft Entra ID.

Einbeziehen der richtigen Beteiligten

Fehler in Technologieprojekten sind in der Regel auf nicht erfüllte Erwartungen auf den Gebieten Auswirkungen, Ergebnisse und Zuständigkeiten zurückzuführen. Um diese Fallstricke zu vermeiden, achten Sie darauf, die richtigen Beteiligten einzubeziehen und die Rolle der Beteiligten präzise zu definieren, indem Sie die Beteiligten, ihren Projektbeitrag und ihre Zuständigkeiten dokumentieren.

Änderungen kommunizieren

Kommunikation ist entscheidend für den Erfolg jeder neuen Funktion. Sie sollten proaktiv mit Ihren Benutzern darüber kommunizieren, wie sich ihre Erfahrung ändern wird, wann es sich ändert und wie sie Unterstützung erhalten, wenn sie auf Probleme stoßen.

Schritt 1: Vorhandene Berichte überprüfen

Es ist wichtig, die Identity Protection-Berichte zu überprüfen, bevor Sie risikobasierte Richtlinien für den bedingten Zugriff bereitstellen. Diese Überprüfung bietet die Möglichkeit, vorhandene verdächtige Verhaltensweisen zu untersuchen. Sie können das Risiko ignorieren oder diese Benutzenden als sicher bestätigen, wenn Sie feststellen, dass sie nicht gefährdet sind.

• Untersuchen von Risikoerkennungen
• Beheben von Risiken und Aufheben der Blockierung von Benutzern
• Massenänderungen mithilfe von Microsoft Graph PowerShell vornehmen

Aus Effizienzgründen wird empfohlen, Benutzern die Möglichkeit zu geben, sich selbst mit Richtlinien zu korrigieren, die in Schritt 3 erläutert werden.

Schritt 2: Richtlinien für den bedingten Zugriff planen

ID-Schutz sendet Risikosignale an die Zugangskontrolle, um Entscheidungen zu treffen und organisatorische Richtlinien durchzusetzen. Diese Richtlinien können von Benutzenden eine mehrstufige Authentifizierung oder das sichere Ändern von Kennwörtern verlangen. Es gibt mehrere Punkte, die Organisationen vor der Erstellung ihrer Richtlinien berücksichtigen sollten.

Richtlinienausschlüsse

Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:

• Notfallzugriffs- oder Break-Glass-Konten, um eine mandantenweite Kontosperrung zu vermeiden. In dem unwahrscheinlichen Fall, dass alle Administrator*innen aus dem Mandanten ausgeschlossen sind, können Sie sich mit Ihrem Administratorkonto für den Notfallzugriff beim Mandanten anmelden und Maßnahmen ergreifen, um den Zugriff wiederherzustellen.
  • Weitere Informationen finden Sie im Artikel Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.
• Dienstkonten und Dienstprinzipale, z. B. das Konto für die Microsoft Entra Connect-Synchronisierung. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Derartige Dienstkonten sollten ausgeschlossen werden, weil die MFA nicht programmgesteuert abgeschlossen werden kann. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
  • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie in Betracht ziehen, diese durch verwaltete Identitäten zu ersetzen. Als vorübergehende Problemumgehung können Sie diese spezifischen Konten aus der Basisrichtlinie ausschließen.

Mehrstufige Authentifizierung

Damit Benutzer Risiken jedoch selbst beheben können, müssen sie sich für die Microsoft Entra-Multi-Faktor-Authentifizierung registrieren, bevor sie riskant werden. Weitere Informationen finden Sie im Artikel Planen einer Bereitstellung von Microsoft Entra-Multi-Faktor-Authentifizierung.

Bekannte Netzwerkspeicherorte

Es ist wichtig, benannte Standorte in bedingtem Zugriff zu konfigurieren und Ihre VPN-Bereiche zu Defender for Cloud-Apps hinzuzufügen. Anmeldungen von benannten Standorten, die als vertrauenswürdig oder bekannt markiert sind, verbessern die Genauigkeit der Risikoberechnungen des ID-Schutzes. Diese Anmeldungen verringern das Risiko eines Benutzers, wenn er sich von einem als vertrauenswürdig oder bekannt gekennzeichneten Speicherort authentifiziert. So werden falsch positive Ergebnisse für einige Erkennungen in Ihrer Umgebung reduziert.

Reiner Berichtsmodus

Der reine Berichtsmodus ist ein Status von Richtlinien für den bedingten Zugriff, mit dem Administratoren die Auswirkungen von Richtlinien für bedingten Zugriff auswerten können, bevor sie die jeweiligen Richtlinien in ihrer Umgebung aktivieren.

Schritt 3: Richtlinien konfigurieren

ID-Schutz-MFA-Registrierungsrichtlinie

Verwenden Sie die ID-Schutz-Registrierungsrichtlinie für die mehrstufige Authentifizierung, um Ihre Benutzenden für die mehrstufige Authentifizierung von Microsoft Entra zu registrieren, bevor sie diese verwenden müssen. Führen Sie die Schritte im Artikel Anleitung: Konfigurieren der Registrierungsrichtlinie für Microsoft Entra-Multi-Faktor-Authentifizierung aus, um diese Richtlinie zu aktivieren.

Richtlinien für bedingten Zugriff

Anmeldungsrisiko: Die meisten Benutzer weisen ein normales Verhalten auf, das nachverfolgt werden kann. Wenn sie sich aber außerhalb dieser Norm bewegen, ist es ggf. riskant, ihnen das Anmelden ohne Weiteres zu erlauben. Es kann ratsam sein, die entsprechenden Benutzenden zu blockieren oder einfach zur Durchführung der Multi-Faktor-Authentifizierung aufzufordern. So kann bewiesen werden, ob es sich auch wirklich um die vorgegebene Person handelt. Sie beginnen damit, diese Richtlinien auf eine Teilmenge Ihrer Benutzenden anzuwenden.

Benutzerrisiko: Microsoft arbeitet mit Ermittlern, Strafverfolgungsbehörden, mehreren eigenen Sicherheitsteams und anderen vertrauenswürdigen Quellen zusammen, um kompromittierte Paare aus Benutzername und Kennwort zu finden. Wenn diese anfälligen Benutzer erkannt werden, sollten Benutzer eine Multi-Faktor-Authentifizierung durchführen und dann ihr Kennwort zurücksetzen.

Der Artikel Risikorichtlinien konfigurieren und aktivieren enthält Anleitungen zum Erstellen von Richtlinien für den bedingten Zugriff, um diese Risiken zu beheben.

Schritt 4: Überwachung und kontinuierliche Betriebsanforderungen

E-Mail-Benachrichtigungen

Aktivieren Sie Benachrichtigungen, damit Sie reagieren können, wenn Benutzende als gefährdet markiert werden. Mit diesen Benachrichtigungen können Sie sofort mit der Untersuchung beginnen. Sie können auch wöchentliche Digest-E-Mails einrichten, um einen Überblick über das Risiko für diese Woche zu erhalten.

Überwachen und Untersuchen

Die Auswirkungsanalyse der risikobasierten Zugriffsrichtlinien-Arbeitsmappe hilft Administrierenden, die Auswirkungen auf die Benutzenden zu verstehen, bevor sie risikobasierte Richtlinien für den bedingten Zugriff erstellen.

Die ID-Schutz-Arbeitsmappe kann Ihnen dabei helfen, Ihren Mandanten zu überwachen und nach Mustern zu suchen. Überwachen Sie diese Arbeitsmappe auf Trends und Ergebnisse im reinen Berichtsmodus für den bedingten Zugriff, um festzustellen, ob Änderungen vorgenommen werden müssen, z. B. Ergänzungen an benannten Speicherorten.

Microsoft Defender for Cloud Apps stellt ein Untersuchungsframework bereit, das Organisationen als Ausgangspunkt verwenden können. Weitere Informationen finden Sie im Artikel Warnungen zu Anomalieerkennungen untersuchen.

Sie können die Identity Protection-APIs auch verwenden, um Risikoinformationen in andere Tools zu exportieren, damit Ihr Sicherheitsteam Risikoereignisse überwachen und Warnungen ausgeben kann.

Während des Tests sollten Sie einige Bedrohungen simulieren, um Ihre Untersuchungsprozesse zu auszuprobieren.

Nächste Schritte

Was bedeutet Risiko?