Bereitstellen Ihrer Identitätsinfrastruktur für Microsoft 365

In Microsoft 365 Enterprise ebnet eine gut geplante und ausgeführte Identitätsinfrastruktur den Weg für eine höhere Sicherheit, einschließlich der Einschränkung des Zugriffs auf Ihre Produktivitätsworkloads und deren Daten auf nur authentifizierte Benutzer und Geräte. Sicherheit für Identitäten ist ein Schlüsselelement einer Zero Trust Bereitstellung, bei der alle Versuche, sowohl lokal als auch in der Cloud auf Ressourcen zuzugreifen, authentifiziert und autorisiert werden.

Informationen zu den Identitätsfeatures der einzelnen Microsoft 365 Enterprise-Instanzen, zur Rolle von Azure Active Directory (Azure AD), zu lokalen und cloudbasierten Komponenten und zu den gängigsten Authentifizierungskonfigurationen finden Sie auf dem Poster "Identitätsinfrastruktur".

Das Poster "Identitätsinfrastruktur".

Lesen Sie dieses zweiseitige Poster, um sich schnell mit Identitätskonzepten und -konfigurationen für Microsoft 365 Enterprise vertraut zu machen.

Sie können dieses Poster herunterladen und im Brief-, Rechts- oder Tabloidformat (11 x 17) drucken.

Diese Lösung ist der erste Schritt zum Erstellen des Microsoft 365 Zero Trust Bereitstellungsstapels.

Der Bereitstellungsstapel für Microsoft 365 Zero Trust

Weitere Informationen finden Sie im Bereitstellungsplan für Microsoft 365 Zero Trust.

Inhalt dieser Lösung

Diese Lösung führt Sie durch die Bereitstellung einer Identitätsinfrastruktur für Ihren Microsoft 365-Mandanten, um Zugriff für Ihre Mitarbeiter und Schutz vor identitätsbasierten Angriffen zu bieten.

Bereitstellen Ihrer Identitätsinfrastruktur für Microsoft 365

Die Schritte in dieser Lösung sind:

  1. Bestimmen Sie Ihr Identitätsmodell.
  2. Schützen Sie Ihre privilegierten Microsoft 365-Konten.
  3. Schützen Sie Ihre Microsoft 365-Benutzerkonten.
  4. Stellen Sie Ihr Identitätsmodell bereit.

Diese Lösung unterstützt die wichtigsten Prinzipien von Zero Trust:

  • Explizit überprüfen: Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten.
  • Zugriff mit den geringsten Rechten verwenden: Schränken Sie den Benutzerzugriff mit Just-In-Time und Just-Enough-Zugriff (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz ein.
  • Von Sicherheitsverletzung ausgehen: Minimieren Sie den Radius und den Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und nutzen Sie Analysen, um einen Überblick zu erhalten, die Erkennung von Bedrohungen voranzutreiben und den Schutz zu verbessern.

Im Gegensatz zum herkömmlichen Intranetzugriff, bei dem alles hinter der Firewall eines Unternehmens als vertrauenswürdig gilt, behandelt Zero Trust jede Anmeldung und jeden Zugriff so, als käme er aus einem unkontrollierten Netzwerk, unabhängig davon, ob er sich hinter der Firewall des Unternehmens oder im Internet befindet. Zero Trust erfordert den Schutz für das Netzwerk, die Infrastruktur, Identitäten, Endpunkte, Apps und Daten.

Microsoft 365 Funktionen und Features

Azure AD bietet eine vollständige Suite von Identitätsverwaltungs- und Sicherheitsfunktionen für Ihren Microsoft 365-Mandanten.

Funktion oder Feature Beschreibung Lizenzierung
Mehrstufige Authentifizierung (MFA) MFA erfordert, dass Benutzer zwei Formen der Überprüfung bereitstellen, z. B. ein Benutzerkennwort und eine Benachrichtigung von der Microsoft Authenticator-App oder einen Telefonanruf. MFA reduziert das Risiko, dass gestohlene Anmeldeinformationen für den Zugriff auf Ihre Umgebung verwendet werden können, erheblich. Microsoft 365 verwendet den Azure AD Multi-Factor Authentication-Dienst für MFA-basierte Anmeldungen. Microsoft 365 E3 oder E5
Bedingter Zugriff Azure AD wertet die Bedingungen der Benutzeranmeldung aus und verwendet Richtlinien für bedingten Zugriff, um den zulässigen Zugriff zu bestimmen. In diesem Leitfaden zeigen wir Ihnen beispielsweise, wie Sie eine Richtlinie für bedingten Zugriff erstellen, um die Gerätekompatibilität für den Zugriff auf vertrauliche Daten zu verlangen. Dies reduziert erheblich das Risiko, dass ein Hacker mit einem eigenen Gerät und gestohlenen Anmeldeinformationen auf Ihre vertraulichen Daten zugreifen kann. Es schützt auch vertrauliche Daten auf den Geräten, da die Geräte bestimmte Anforderungen für Integrität und Sicherheit erfüllen müssen. Microsoft 365 E3 oder E5
Azure AD-Gruppen Richtlinien für bedingten Zugriff, Geräteverwaltung mit Intune und sogar Berechtigungen für Dateien und Websites in Ihrer Organisation basieren auf der Zuweisung zu Benutzerkonten oder Azure AD-Gruppen. Es wird empfohlen, Azure AD-Gruppen zu erstellen, die den von Ihnen implementierten Schutzebenen entsprechen. Beispielsweise sind Ihre Leitenden Mitarbeiter wahrscheinlich höhere Ziele für Hacker. Daher ist es sinnvoll, die Benutzerkonten dieser Mitarbeiter zu einer Azure AD-Gruppe hinzuzufügen und diese Gruppe Richtlinien für bedingten Zugriff und anderen Richtlinien zuzuweisen, die ein höheres Schutzniveau für den Zugriff erzwingen. Microsoft 365 E3 oder E5
Azure AD Identity Protection Ermöglicht Es Ihnen, potenzielle Sicherheitsrisiken zu erkennen, die sich auf die Identitäten Ihrer Organisation auswirken, und die automatisierte Wartungsrichtlinie auf niedriges, mittleres und hohes Anmelderisiko und Benutzerrisiko zu konfigurieren. Dieser Leitfaden basiert auf dieser Risikobewertung, um Richtlinien für bedingten Zugriff für die mehrstufige Authentifizierung anzuwenden. Dieser Leitfaden enthält auch eine Richtlinie für bedingten Zugriff, die erfordert, dass Benutzer ihr Kennwort ändern, wenn Aktivitäten mit hohem Risiko für ihr Konto erkannt werden. Microsoft 365 E5 Microsoft 365 E3 mit dem E5 Security-Add-On, EMS E5 oder Azure AD Premium P2-Lizenzen
Self-Service Password Reset (SSPR) Ermöglichen Sie Es Ihren Benutzern, ihre Kennwörter sicher und ohne Eingreifen des Helpdesks zurückzusetzen, indem Sie die Überprüfung mehrerer Authentifizierungsmethoden bereitstellen, die der Administrator steuern kann. Microsoft 365 E3 oder E5
Azure AD-Kennwortschutz Erkennen und blockieren Sie bekannte schwache Kennwörter und deren Varianten sowie zusätzliche schwache Ausdrücke, die für Ihre Organisation spezifisch sind. Listen standardmäßig global gesperrter Kennwörter werden automatisch auf alle Benutzer in einem Azure AD-Mandanten angewendet. Sie können zusätzliche Einträge in einer benutzerdefinierten Liste gesperrter Kennwörter angeben. Wenn Benutzer ihre Kennwörter ändern oder zurücksetzen, werden diese Listen gesperrter Kennwörter überprüft, um die Verwendung von sicheren Kennwörtern zu erzwingen. Microsoft 365 E3 oder E5

Nächste Schritte

Führen Sie die folgenden Schritte aus, um ein Identitätsmodell und eine Authentifizierungsinfrastruktur für Ihren Microsoft 365-Mandanten bereitzustellen:

  1. Bestimmen Sie Ihr Cloudidentitätsmodell.
  2. Schützen Sie Ihre privilegierten Microsoft 365-Konten.
  3. Schützen Sie Ihre Microsoft 365-Benutzerkonten.
  4. Stellen Sie Ihr Cloudidentitätsmodell bereit: nur in der Cloud oder hybrid.

Ermitteln des Identitätsmodells, das für Ihren Microsoft 365-Mandanten verwendet werden soll

Zusätzliche Microsoft Cloud Identity-Ressourcen

Verwaltung

Informationen zum Verwalten Ihrer Microsoft-Cloudidentitätsbereitstellung finden Sie unter:

Funktionsweise der Identität für Microsoft 365 durch Microsoft

Erfahren Sie, wie IT-Experten bei Microsoft Identitäten verwalten und den Zugriff sichern.

Hinweis

Diese IT Showcase-Ressource ist nur in Englisch verfügbar.

Wie Contoso Identität für Microsoft 365 ausgeführt hat

Ein Beispiel dafür, wie eine fiktive, aber repräsentative multinationale Organisation eine Hybrididentitätsinfrastruktur für Microsoft 365-Clouddienste bereitgestellt hat, finden Sie unter Identity for the Contoso Corporation.