Sicherheitsstandards in Azure AD

Microsoft macht Sicherheitsstandard für alle verfügbar, da das Verwalten von Sicherheit schwierig sein kann. Identitätsbezogene Angriffe wie Kennwortspray- und Replay-Angriffe sowie Phishing sind heutzutage gängig. Mehr als 99,9 Prozent dieser identitätsbezogenen Angriffe werden mithilfe von Multi-Faktor-Authentifizierung (MFA) und durch Blockieren der Legacyauthentifizierung unterbunden. Das Ziel ist sicherzustellen, dass bei allen Organisationen mindestens eine Basissicherheitsebene ohne zusätzliche Kosten aktiviert ist.

Sicherheitsstandards können den Schutz Ihrer Organisation vor solchen identitätsbezogenen Angriffen mit vorkonfigurierten Sicherheitseinstellungen vereinfachen:

Für wen eignet sich diese Funktion?

  • Organisationen, die ihren Sicherheitsstatus erhöhen möchten, aber nicht wissen, wie und wo sie damit beginnen sollen
  • Organisationen, die den kostenlos Tarif für Azure Active Directory verwenden

Wer sollte bedingten Zugriff verwenden?

  • Wenn Sie zu einer Organisation gehören, die derzeit Richtlinien für den bedingten Zugriff verwendet, sind Sicherheitsstandards wahrscheinlich nicht das Richtige für Sie.
  • Wenn Sie als Organisation über Azure Active Directory Premium-Lizenzen verfügen, sind die Sicherheitsstandards wahrscheinlich nicht die richtige Wahl für Sie.
  • Bei komplexen Sicherheitsanforderungen empfiehlt sich ggf. die Verwendung von bedingtem Zugriff.

Aktivieren von Sicherheitsstandards

Wenn Ihr Mandant am oder nach dem 22. Oktober 2019 erstellt wurde, sind darin möglicherweise Sicherheitsstandards aktiviert. Zum Schutz aller Benutzer werden für alle neuen Mandanten bei deren Erstellung Sicherheitsstandards konfiguriert.

So aktivieren Sie Sicherheitsstandards in Ihrem Verzeichnis

  1. Melden Sie sich als Sicherheitsadministrator, Administrator für bedingten Zugriff oder globaler Administrator beim Azure-Portal an.
  2. Navigieren Sie zu Azure Active Directory>Eigenschaften.
  3. Wählen Sie Sicherheitsstandards verwalten aus.
  4. Legen Sie die Option Sicherheitsstandards aktivieren auf Ja fest.
  5. Wählen Sie Speichern aus.

Screenshot of the Azure portal with the toggle to enable security defaults

Erzwungene Sicherheitsrichtlinien

Festlegen, dass sich alle Benutzer für Azure AD Multi-Factor Authentication registrieren müssen

Alle Benutzer in Ihrem Mandanten müssen sich für mehrstufige Authentifizierung (MFA) in Form von Azure AD Multi-Factor Authentication registrieren. Benutzer haben 14 Tage Zeit, sich mithilfe der Microsoft Authenticator-App für Azure AD Multi-Factor Authentication zu registrieren. Nach Ablauf der 14 Tage kann sich der Benutzer erst nach erfolgter Registrierung anmelden. Die 14-tägige Frist eines Benutzers beginnt nach seiner ersten erfolgreichen interaktiven Anmeldung nach Aktivierung der Sicherheitsstandards.

Administratoren müssen Multi-Faktor-Authentifizierung durchführen.

Administratoren besitzen erweiterten Zugriff auf Ihre Umgebung. Aufgrund der weitreichenden Befugnisse, die diese Konten mit äußerst hohen Berechtigungen haben, sollten Sie sie mit Bedacht verwalten. Eine gängige Methode zur Verbesserung des Schutzes von privilegierten Konten ist eine strengere Form der Kontoüberprüfung für die Anmeldung. In Azure AD können Sie eine striktere Kontoüberprüfung erreichen, indem Sie mehrstufige Authentifizierung verlangen.

Tipp

Es wird empfohlen, separate Konten für Verwaltungs- und Standardproduktivitätsaufgaben zu nutzen, um die Anzahl der Aufforderungen ihrer Administrator*innen zur MFA erheblich zu reduzieren.

Nachdem die Registrierung mit Azure AD Multi-Faktor-Authentifizierung abgeschlossen ist, wird von den folgenden Azure AD-Administratorrollen bei jeder Anmeldung eine zusätzliche Authentifizierung erfordert:

  • Globaler Administrator
  • Anwendungsadministrator
  • Authentifizierungsadministrator
  • Rechnungsadministrator
  • Cloudanwendungsadministrator
  • Administrator für den bedingten Zugriff
  • Exchange-Administrator
  • Helpdesk-Administrator
  • Kennwortadministrator
  • Privilegierter Authentifizierungsadministrator
  • Sicherheitsadministrator
  • SharePoint-Administrator
  • Benutzeradministrator

Benutzer müssen bei Bedarf Multi-Faktor-Authentifizierung durchführen.

Wir gehen häufig davon aus, dass nur Administratorkonten durch eine mehrstufige Authentifizierung geschützt werden müssen. Administratoren haben umfassenden Zugriff auf vertrauliche Informationen und können Änderungen an abonnementweiten Einstellungen vornehmen. Angriffe richten sich jedoch häufig gegen Endbenutzer.

Nachdem diese Angreifer sich Zugang verschafft haben, können sie im Namen des ursprünglichen Kontoinhabers Zugriff auf privilegierte Informationen anfordern. Sie können sogar das gesamte Verzeichnis herunterladen, um einen Phishing-Angriff auf die gesamte Organisation auszuführen.

Eine gängige Methode zur Verbesserung des Schutzes für alle Benutzer besteht in einer strengeren Kontoüberprüfung, beispielsweise durch eine mehrstufige Authentifizierung (MFA). Nachdem die Benutzer die MFA-Registrierung abgeschlossen haben, werden sie bei Bedarf zu einer zusätzlichen Authentifizierung aufgefordert. Azure AD entscheidet basierend auf Faktoren wie Standort, Gerät, Rolle und Aufgabe, wann ein Benutzer zur mehrstufigen Authentifizierung aufgefordert wird. Diese Funktion schützt alle Anwendungen, die bei Azure AD registriert sind (einschließlich SaaS-Anwendungen).

Blockieren von Legacy-Authentifizierungsprotokollen

Von Azure AD werden verschiedene Authentifizierungsprotokolle (einschließlich Legacyauthentifizierung) unterstützt, damit Benutzer problemlos auf Ihre Cloud-Apps zugreifen können. Der Begriff Legacyauthentifizierung bezieht sich auf eine Authentifizierungsanforderung von:

  • Clients, die keine moderne Authentifizierung verwenden (z. B. ein Office 2010-Client)
  • jedem Client, der ältere E-Mail-Protokolle wie IMAP, SMTP oder POP3 verwendet

Heutzutage sind die meisten gefährdenden Anmeldeversuche auf Legacyauthentifizierungen zurückzuführen. Die Legacyauthentifizierung unterstützt keine mehrstufige Authentifizierung. Selbst wenn Sie in Ihrem Verzeichnis eine MFA-Richtlinie aktiviert haben, kann sich ein Angreifer mit einem älteren Protokoll authentifizieren und die mehrstufige Authentifizierung umgehen.

Nach Aktivierung der Sicherheitsstandards in Ihrem Mandanten werden alle Authentifizierungsanforderungen blockiert, die über ein Legacyprotokoll an einen beliebigen Mandanten gerichtet werden. Durch die Sicherheitsstandards ist die Standardauthentifizierung für Exchange Active Sync blockiert.

Warnung

Stellen Sie vor dem Aktivieren von Sicherheitsstandards sicher, dass Ihre Administratoren keine älteren Authentifizierungsprotokolle verwenden. Weitere Informationen finden Sie unter Blockieren der Legacyauthentifizierung.

Schützen privilegierter Aktivitäten wie Zugriff auf das Azure-Portal

Organisationen verwenden verschiedene Azure-Dienste, die über die Azure Resource Manager-API verwaltet werden. Hierzu zählen beispielsweise:

  • Azure-Portal
  • Azure PowerShell
  • Azure-Befehlszeilenschnittstelle

Benutzer, die Dienste mit Azure Resource Manager verwalten, verfügen über weitreichende Berechtigungen. Beispielsweise können mit Azure Resource Manager mandantenweite Konfigurationen wie Diensteinstellungen und die Abonnementabrechnung geändert werden. Die einstufige Authentifizierung ist für verschiedene Bedrohungen anfällig, beispielsweise für Phishing- und Kennwortspray-Angriffe.

Es ist wichtig, die Identität der Benutzer zu überprüfen, die auf Azure Resource Manager zugreifen und Konfigurationen aktualisieren möchten. Sie überprüfen die Identität von Benutzern, indem Sie vor der Zugriffserteilung eine zusätzliche Authentifizierung anfordern.

Nachdem Sie die Sicherheitsstandards in Ihrem Mandanten aktiviert haben, müssen alle Benutzer*innen, die auf die folgenden Dienste zugreifen, die Multi-Faktor-Authentifizierung durchführen:

  • Azure-Portal
  • Azure PowerShell
  • Azure CLI

Diese Richtlinie gilt für alle Benutzer*innen mit Zugriff auf Azure Resource Manager-Dienste. Dabei spielt es keine Rolle, ob es sich um ein*e Administrator*in oder ein*e Benutzer*in handelt.

Hinweis

Bei Mandanten vor Exchange Online 2017 ist die moderne Authentifizierung standardmäßig deaktiviert. Sie müssen die moderne Authentifizierung aktivieren, um eine mögliche Anmeldeschleife bei der Authentifizierung über diese Mandanten zu vermeiden.

Hinweis

Das Azure AD Connect-Synchronisierungskonto ist von den Sicherheitsstandards ausgenommen. Sie werden nicht aufgefordert, sich für die mehrstufige Authentifizierung zu registrieren bzw. diese auszuführen. Organisationen sollten dieses Konto nicht für andere Zwecke verwenden.

Überlegungen zur Bereitstellung

Authentifizierungsmethoden

Benutzer von Sicherheitsstandards müssen sich für die Multi-Faktor-Authentifizierung von Azure AD registrieren und diese mithilfe der Microsoft Authenticator-App unter Verwendung von Benachrichtigungen verwenden. Benutzer können Prüfcodes von der Microsoft Authenticator-App verwenden, können sich jedoch nur mit der Benachrichtigungsoption registrieren.

Ab Juli 2022 muss jeder, dem die Rolle des globalen Administrators zugewiesen wurde, eine telefonische Methode wie Anruf oder SMS als Sicherungsmethode registrieren.

Warnung

Deaktivieren Sie keine Methoden für Ihre Organisation, wenn Sie Sicherheitsstandards verwenden. Das Deaktivieren von Methoden kann dazu führen, dass Sie sich von Ihrem Mandanten abmelden. Lassen Sie alle Methoden für Benutzer verfügbar im Portal für MFA-Diensteinstellungen aktiviert.

Sicherungsadministratorkonten

Jede Organisation sollte mindestens zwei Sicherungsadministratorkonten konfiguriert haben. Diese werden als Konten für den Notfallzugriff bezeichnet.

Diese Konten können in Szenarios verwendet werden, in denen Ihre normalen Administratorkonten nicht verwendet werden können. Zum Beispiel hat die Person, die zuletzt über globalen Administratorzugriff verfügte, die Organisation verlassen. Azure AD verhindert, dass das letzte globale Administratorkonto gelöscht wird, aber das lokale Löschen oder Deaktivieren des Kontos wird nicht verhindert. Beide Situationen können dazu führen, dass die Organisation nicht in der Lage ist, das Konto wiederherzustellen.

Die Konten für den Notfallzugriff haben folgende Eigenschaften:

  • Zugewiesene globale Administratorrechte in Azure AD
  • Nicht täglich verwendet
  • Sind mit einem langen komplexen Kennwort geschützt

Die Anmeldeinformationen für diese Konten für den Notfallzugriff sollten offline an einem sicheren Ort gespeichert werden, z. B. in einem feuerfesten Tresor. Nur autorisierte Personen sollten Zugriff auf diese Anmeldeinformationen haben.

So erstellen Sie ein Konto für den Notfallzugriff:

  1. Melden Sie sich als bestehender globaler Administrator im Azure-Portal an.
  2. Navigieren Sie zu Azure Active Directory>Benutzer.
  3. Wählen Sie Neuer Benutzer aus.
  4. Wählen Sie Create User (Benutzer erstellen) aus.
  5. Geben Sie dem Konto einen Benutzernamen.
  6. Geben Sie dem Konto einen Namen.
  7. Erstellen Sie ein langes und komplexes Kennwort für das Konto.
  8. Weisen Sie unter Rollen die Rolle Globaler Administrator zu.
  9. Wählen Sie unter Nutzungsspeicherort den entsprechenden Speicherort aus.
  10. Klicken Sie auf Erstellen.

Sie können den Ablauf des Kennworts für diese Konten deaktivieren, indem Sie Azure AD PowerShell verwenden.

Ausführlichere Informationen zu Konten für den Notfallzugriff finden Sie im Artikel Verwalten von Konten für den Notfallzugriff in Azure AD.

Deaktivierter MFA-Status

Wenn Ihre Organisation die benutzerbasierte Azure AD Multi-Factor Authentication bereits verwendet hat, sollten Sie nicht beunruhigt sein, wenn auf der Statusseite der mehrstufigen Authentifizierung keine Benutzer mit dem Status Aktiviert oder Erzwungen angezeigt werden. Deaktiviert ist der geeignete Status für Benutzer, die Sicherheitsstandards oder auf bedingtem Zugriff basierende Azure AD Multi-Factor Authentication verwenden.

Bedingter Zugriff

Sie können den bedingten Zugriff verwenden, um Richtlinien zu konfigurieren, die den Sicherheitsstandards ähnlich sind, jedoch mit mehr Granularität, einschließlich der Auswahl anderer Authentifizierungsmethoden und der Möglichkeit, Benutzer auszuschließen, die in den Sicherheitsstandards nicht verfügbar sind. Wenn Sie derzeit bedingten Zugriff in Ihrer Umgebung verwenden, stehen Ihnen die Sicherheitsstandards nicht zur Verfügung.

Warning message that you can have security defaults or Conditional Access not both

Wenn Sie den bedingten Zugriff zum Konfigurieren von Richtlinien aktivieren möchten, die einen guten Ausgangspunkt für den Schutz Ihrer Identitäten darstellen, finden Sie hier weitere Informationen:

Deaktivieren von Sicherheitsstandards

Organisationen, die Richtlinien für den bedingten Zugriff implementieren, die Sicherheitsstandards ersetzen, müssen Sicherheitsstandards deaktivieren.

Warning message disable security defaults to enable Conditional Access

So deaktivieren Sie Sicherheitsstandards in Ihrem Verzeichnis

  1. Melden Sie sich als Sicherheitsadministrator, Administrator für bedingten Zugriff oder globaler Administrator beim Azure-Portal an.
  2. Navigieren Sie zu Azure Active Directory>Eigenschaften.
  3. Wählen Sie Sicherheitsstandards verwalten aus.
  4. Legen Sie die Option Sicherheitsstandards aktivieren auf Nein fest.
  5. Wählen Sie Speichern aus.

Nächste Schritte