Identitäts- und ZugriffsverwaltungIdentity and access management

In der cloudzentrierten Architektur bietet die Identität die Grundlage für einen hohen Prozentsatz an Sicherheitszusicherungen.In cloud-focused architecture, identity provides the basis of a large percentage of security assurances. Während ältere IT-Infrastrukturen oft stark auf Firewalls und Netzwerksicherheitslösungen an den ausgehenden Internetstellen zum Schutz vor externen Bedrohungen angewiesen waren, sind diese Kontrollen in Cloudarchitekturen, wo über Cloudanbieternetzwerke oder das Internet auf gemeinsame Dienste zugegriffen wird, weniger effektiv.While legacy IT infrastructure often heavily relied on firewalls and network security solutions at the internet egress points for protection against outside threats, these controls are less effective in cloud architectures with shared services being accessed across cloud provider networks or the internet.

Es ist schwierig oder unmöglich, präzise Firewallregeln zu schreiben, wenn Sie nicht die Netzwerke kontrollieren, in denen diese Dienste gehostet werden, wo verschiedene Cloudressourcen dynamisch hoch- und runtergefahren werden, Cloudkunden eine Infrastruktur gemeinsam nutzen und Mitarbeiter und Benutzer erwarten, dass sie von überall auf Daten und Dienste zugreifen können.It is challenging or impossible to write concise firewall rules when you don’t control the networks where these services are hosted, different cloud resources spin up and down dynamically, cloud customers may share common infrastructure, and employees and users expect to be able to access data and services from anywhere. Um all diese Funktionen zu ermöglichen, müssen Sie den Zugriff auf der Grundlage von Identitätsauthentifizierung und Autorisierungskontrollen in den Clouddiensten verwalten, um Daten und Ressourcen zu schützen und zu entscheiden, welche Anfragen zulässig sein sollen.To enable all these capabilities, you must manage access based on identity authentication and authorization controls in the cloud services to protect data and resources and to decide which requests should be permitted.

Darüber hinaus bietet die Verwendung einer cloudbasierten Identitätslösung wie Azure AD zusätzliche Sicherheitsfunktionen, die ältere Identitätsdienste nicht bieten können, weil sie Bedrohungsanalyse durch ihre Sichtbarkeit auf eine große Anzahl von Zugriffsanforderungen und Bedrohungen bei vielen Kunden anwenden können.Additionally, using a cloud-based identity solution like Azure AD offers additional security features that legacy identity services cannot because they can apply threat intelligence from their visibility into a large volume of access requests and threats across many customers.

Einzelnes UnternehmensverzeichnisSingle enterprise directory

Einrichten eines einzelnen Unternehmensverzeichnisses zum Verwalten von Identitäten von Vollzeitmitarbeitern und UnternehmensressourcenEstablish a single enterprise directory for managing identities of full-time employees and enterprise resources

Eine einzige autoritative Quelle für Identitäten erhöht die Klarheit und Konsistenz für alle Rollen in IT und Sicherheit.A single authoritative source for identities increases clarity and consistency for all roles in IT and Security. Dies verringert das Sicherheitsrisiko von menschlichen Fehlern und Automatisierungsfehlern, die aus der Komplexität entstehen.This reduces security risk from human errors and automation failures resulting from complexity. Wenn Sie über eine einzige autoritative Quelle verfügen, können Teams, die Änderungen am Verzeichnis vornehmen müssen, dies an einem einzigen Ort vornehmen und sicher sein, dass ihre Änderungen überall wirksam werden.By having a single authoritative source, teams that need to make changes to the directory can do so in one place and have confidence that their change will take effect everywhere.

Für Azure legen Sie ein einzelnes Azure Active Directory-Instanzverzeichnis (Azure AD) als autoritative Quelle für Unternehmens-/Organisationskonten fest.For Azure, designate a single Azure Active Directory (Azure AD) instance directory as the authoritative source for corporate/organizational accounts.

Synchronisieren von IdentitätssystemenSynchronize identity systems

Synchronisieren Ihrer Cloudidentität mit Ihren vorhandenen IdentitätssystemenSynchronize your cloud identity with your existing identity systems

Die Konsistenz von Identitäten zwischen Cloud und lokalen Umgebungen verringert menschliche Fehler und daraus resultierende Sicherheitsrisiken.Consistency of identities across cloud and on-premises will reduce human errors and resulting security risk. Teams, die Ressourcen in beiden Umgebungen verwalten, benötigen eine konsistente autoritative Quelle, um Sicherheitszusicherungen umsetzen zu können.Teams managing resources in both environment need a consistent authoritative source to achieve security assurances.

Für Azure synchronisieren Sie Azure AD mit Ihrem autoritativen lokalen Active Directory mithilfe von Azure AD Connect.For Azure, synchronize Azure AD with your existing authoritative on premises Active Directory using Azure AD connect. Dies ist auch für eine Office 365-Migration erforderlich, sodass es häufig bereits vor dem Beginn der Azure-Migration und von Entwicklungsprojekten erledigt wird.This is also required for an Office 365 migration, so it is often already done before Azure migration and development projects begin. Beachten Sie, dass Administratorkonten von der Synchronisierung ausgenommen werden sollten, wie unter Keine Synchronisierung von lokalen Administratorkonten mit Cloudidentitätsanbietern und Kontoabhängigkeiten mit potenziell kritischen Auswirkungen beschrieben.Note that administrator accounts should be excepted from synchronization as described in Don’t synchronize on-premises admin accounts to cloud identity providers and Critical impact account dependencies.

Verwenden der Cloudanbieter-Identitätsquelle für DrittanbieterUse cloud provider identity source for third parties

Verwenden Sie Cloudidentitätsdienste, die für das Hosten von Nicht-Mitarbeiterkonten vorgesehen sind, anstatt Lieferanten, Partner und Kunden in ein Unternehmensverzeichnis aufzunehmen.Use cloud identity services designed to host non-employee accounts rather than including vendors, partners, and customers in a corporate directory.

Dadurch wird das Risiko verringert, indem externen Entitäten die geeignete Zugriffsebene gewährt wird, anstatt die vollständigen Standardberechtigungen, die Vollzeitmitarbeiter erhalten.This reduces risk by granting the appropriate level of access to external entities instead of the full default permissions given to full-time employees. Dieser Ansatz der geringsten Rechte und eine klare Differenzierung zwischen externen Konten und Mitarbeitern des Unternehmens erleichtern es, Angriffe zu verhindern und zu erkennen, die von diesen Vektoren stammen.This least privilege approach and clear clearly differentiation of external accounts from company staff makes it easier to prevent and detect attacks coming in from these vectors. Darüber hinaus wird, weil die Verwaltung dieser Identitäten extern erfolgt, auch die Produktivität der Parteien erhöht, indem der Aufwand verringert wird, der von den Personalwesen- und IT-Teams gefordert wird.Additionally, management of these identities is done by the external also increases productivity by parties, reducing ingeffort required by company HR and IT teams.

Beispielsweise integrieren sich diese Funktionen nativ in dasselbe Azure AD-Identitäts- und -Berechtigungsmodell, das von Azure und Office 365 verwendet wird.For example, these capabilities natively integrate into the same Azure AD identity and permission model used by Azure and Office 365

Kennwortlose Authentifizierung oder mehrstufige Authentifizierung für AdministratorenPasswordless Or multi-factor authentication for admins

Alle Benutzer sollten konvertiert werden, sodass sie im Laufe der Zeit kennwortlose Authentifizierung oder mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verwenden.All users should be converted to use passwordless authentication or multi-factor authentication (MFA) over time. Die Details dieser Empfehlung finden Sie im Verwaltungsabschnitt Kennwortlose oder mehrstufige Authentifizierung für Administratoren.The details of this recommendation are in the administration section Passwordless Or multi-factor authentication for admins FOR ADMINS. Dieselbe Empfehlung gilt für alle Benutzer, sollte jedoch zuerst und am stärksten auf Konten mit Administratorrechten angewendet werden.The same recommendation applies to all users, but should be applied first and strongest to accounts with administrative privileges.

Sie können auch die Verwendung von Kennwörtern durch Anwendungen verringern, indem Sie verwaltete Identitäten verwenden, um den Zugriff auf Ressourcen in Azure zu gewähren.You can also reduce use of passwords by applications using Managed Identities to grant access to resources in Azure

Blockieren älterer AuthentifizierungsmethodenBlock legacy authentication

Deaktivieren Sie unsichere Legacyprotokolle für Dienste mit Internetzugriff.Disable insecure legacy protocols for internet-facing services.

Legacyauthentifizierungsmethoden gehören zu den prominentesten Angriffsvektoren für in der Cloud gehostete Dienste.Legacy authentication methods are among the top attack vectors for cloud-hosted services. Legacyprotokolle, die vor der Existenz von mehrstufiger Authentifizierung erstellt wurden, unterstützen keine zusätzlichen Faktoren, die über Kennwörter hinausgehen, und sind daher primäre Ziele für Kennwort-Spray-, Wörterbuch- oder Brute-Force-Angriffe.Created before multifactor-authentication existed, legacy protocols don’t support additional factors beyond passwords and are therefore prime targets for password spraying, dictionary, or brute force attacks. Beispielsweise verwenden fast 100 % aller Kennwort-Spray-Angriffe auf Office 365-Kunden Legacyprotokolle.As an example nearly 100% of all password spray attacks against Office 365 customers use legacy protocols. Außerdem fehlen in diesen älteren Protokollen häufig andere Angriffsgegenmaßnahmen, wie z. B. Kontosperrungen oder Backoff-Timer.Additionally, these older protocols frequently lack other attack countermeasures, such as account lockouts or back-off timers. Dienste, die in der Cloud von Microsoft ausgeführt werden und ältere Protokolle blockieren, haben eine Reduzierung von 66 % bei erfolgreichen Kontokompromittierungen beobachtet.Services running on Microsoft’s cloud that block legacy protocols have observed a 66% reduction in successful account compromises.

Konfigurieren Sie für Azure und andere Azure AD-basierte Konten den bedingten Zugriff, um ältere Protokolle zu blockieren.For Azure and other Azure AD-based accounts, configure Conditional Access to block legacy protocols.

Die Deaktivierung der Legacyauthentifizierung kann schwierig sein, da manche Benutzer möglicherweise nicht zu einer neuen Clientsoftware wechseln möchten, die moderne Authentifizierungsmethoden unterstützt.Disabling legacy authentication can be difficult, as some users may not want to move to new client software that supports modern authentication methods. Die Umstellung von der Legacyauthentifizierung weg kann jedoch schrittweise erfolgen.However, moving away from legacy authentication can be done gradually. Beginnen Sie mit der Verwendung von Metriken und Protokollierung Ihres Authentifizierungsanbieters, um zu bestimmen, wie viele Benutzer sich immer noch mit alten Clients authentifizieren.Start by using metrics and logging from your authentication provider to determine the how many users still authenticate with old clients. Als Nächstes deaktivieren Sie alle veralteten Protokolle, die nicht mehr verwendet werden, und richten den bedingten Zugriff für alle Benutzer ein, die keine Legacyprotokolle verwenden.Next, disable any down-level protocols that aren’t in use, and set up conditional access for all users who aren’t using legacy protocols. Schließlich sollten Sie den Benutzern zahlreiche Hinweise und Anleitungen bereitstellen, wie sie ein Upgrade durchführen können, bevor Sie die Legacyauthentifizierung für alle Benutzer in allen Diensten auf Protokollebene blockieren.Finally, give plenty of notice and guidance to users on how to upgrade before blocking legacy authentication for all users on all services at a protocol level.

Keine Synchronisierung von lokalen Administratorkonten mit CloudidentitätsanbieternDon’t synchronize on-premises admin accounts to cloud identity providers

Synchronisieren Sie Konten mit maximal privilegiertem Zugriff nicht auf lokale Ressourcen, wenn Sie Ihre Unternehmensidentitätssysteme mit Cloudverzeichnissen synchronisieren.Don’t synchronize accounts with the highest privilege access to on premises resources as you synchronize your enterprise identity systems with cloud directories.

Dies verringert das Risiko, dass es ein Angreifer schafft, nach einer erfolgreichen Kompromittierung eines Cloudkontos die vollständige Kontrolle über lokale Ressourcen zu erlangen.This mitigates the risk of an adversary pivoting to full control of on-premises assets following a successful compromise of a cloud account. Dies hilft dabei, die signifikante Zunahme des Umfangs eines solchen Vorfalls zu unterbinden.This helps contain the scope of an incident from growing significantly.

Für Azure synchronisieren Sie keine Konten mit Azure AD, die über hohe Berechtigungen in Ihrem vorhandenen Active Directory verfügen.For Azure, don’t synchronize accounts to Azure AD that have high privileges in your existing Active Directory. Dies ist standardmäßig in der Azure AD Connect-Standardkonfiguration blockiert, sodass Sie nur überprüfen müssen, dass Sie diese Konfiguration nicht angepasst haben.This is blocked by default in the default Azure AD Connect configuration, so you only need to confirm you haven’t customized this configuration.

Dies bezieht sich auf die Anleitung Kontoabhängigkeiten mit potenziell kritischen Auswirkungen im Verwaltungsabschnitt, in dem die Minderung des umgekehrten Risikos des Wechsels von lokalen zu Cloudressourcen behandelt wird.This is related to the critical impact account dependencies guidance in the administration section that mitigates the inverse risk of pivoting from on-premises to cloud assets.

Verwenden moderner KennwortschutzangeboteUse modern password protection offerings

Bieten Sie modernen und effektiven Schutz für Konten, für die Kennwortlosigkeit keine Option ist (Kennwortlose oder mehrstufige Authentifizierung für Administratoren).Provide modern and effective protections for accounts that cannot go passwordless (Passwordless Or multi-factor authentication for admins).

Legacyidentitätsanbieter überprüfen größtenteils nur, ob Kennwörter eine gute Mischung aus Zeichenarten und Mindestlänge aufweisen, wobei wir aber gelernt haben, dass diese Kontrollen in der Praxis zu Kennwörtern mit einer geringeren Entropie geführt haben, die sich leichter knacken ließen:Legacy identity providers mostly checked to make sure passwords had a good mix of character types and minimum length, but we have learned that these controls in practice led to passwords with less entropy that could be cracked easier:

Heutzutage müssen Identitätslösungen in der Lage sein, auf die Arten von Angriffen zu reagieren, die es vor ein oder zwei Jahrzehnten noch nicht einmal gab, wie Kennwort-Sprays, Breach Replays (auch als „Credential Stuffing“ bezeichnet), wobei Benutzername/Kennwort-Paare aus Sicherheitsverletzungen anderer Sites getestet werden, sowie Man-in-the-Middle-Phishingangriffe.Identity solutions today need to be able to respond to types of attacks that didn't even exist one or two decades ago such as password sprays, breach replays (also called “credential stuffing”) that test username/password pairs from other sites’ breaches, and phishing man-in-the-middle attacks. Cloudidentitätsanbieter sind eindeutig positioniert, um Schutz vor diesen Angriffen zu bieten.Cloud identity providers are uniquely positioned to offer protection against these attacks. Da sie so große Mengen von Anmeldungen verarbeiten, können sie eine bessere Anomalieerkennung anwenden und eine Vielzahl von Datenquellen nutzen, um sowohl Unternehmen proaktiv zu benachrichtigen, wenn die Kennwörter ihrer Benutzer bei anderen Verstößen gefunden wurden, als auch zu überprüfen, ob jede bereitgestellte Anmeldung legitim erscheint und nicht von einem unerwarteten oder bekannt bösartigen Host stammt.Since they handle such large volumes of signons, they can apply better anomaly detection and use a variety of data sources to both proactively notify companies if their users’ passwords have been found in other breaches, as well as validate that any given sign in appears legitimate and is not coming from an unexpected or known-malicious host.

Außerdem wird durch das Synchronisieren von Kennwörtern in die Cloud zur Unterstützung dieser Überprüfungen auch die Resilienz bei manchen Angriffen gestärkt.Additionally, synchronizing passwords to the cloud to support these checks also add resiliency during some attacks. Kunden, die von (Not)PetyaAngriffen betroffen sind, konnten ihren Geschäftsbetrieb fortsetzen, wenn Kennworthashes mit Azure AD synchronisiert wurden (im Ggs. zu nahezu gar keiner Kommunikation und keinen IT-Diensten für betroffenen Organisationen von Kunden, die ihre Kennwörter nicht synchronisiert hatten).Customers affected by (Not)Petya attacks were able to continue business operations when password hashes were synced to Azure AD (vs. near zero communications and IT services for customers affected organizations that had not synchronized passwords).

Aktivieren Sie für Azure moderne Schutzmechanismen in Azure AD durchFor Azure, enable modern protections in Azure AD by

  1. Konfigurieren von Azure AD Connect für die Synchronisierung von KennworthashesConfigure Azure AD Connect to synchronize password hashes

  2. Wählen Sie aus, ob diese Probleme automatisch behoben oder basierend auf einem Bericht manuell behoben werden sollen:Choose whether to automatically remediate these issues or manually remediate them based on a report:

    1. Automatische Erzwingung: Hochriskante Kennwörter automatisch mit bedingtem Zugriff korrigieren unter Nutzung der Risikobewertungen von Azure AD Identity ProtectionAutomatic Enforcement - Automatically remediate high risk passwords with Conditional Access leveraging Azure AD Identity Protection risk assessments

    2. Bericht und manuelles Korrigieren: Berichte anzeigen und von Konten manuell korrigierenReport & Manually Remediate - View reports and manually remediate accounts

Verwenden Sie die API für Identity Protection-Risikoereignisse, um programmgesteuerten Zugriff auf Sicherheitserkennungen über Microsoft Graph zu erhalten.Use the Identity Protection risk events API to gain programmatic access to security detections using Microsoft Graph.

Verwenden der plattformübergreifenden Verwaltung von AnmeldeinformationenUse cross-platform credential management

Verwenden Sie einen einzelnen Identitätsanbieter zur Authentifizierung aller Plattformen (Windows, Linux und andere) und Clouddienste.Use a single identity provider for authenticating all platforms (Windows, Linux, and others) and cloud services.

Ein einzelner Identitätsanbieter für alle Unternehmensressourcen vereinfacht die Verwaltung und Sicherheit, wodurch das Risiko minimiert wird, das Dinge übersehen werden oder menschliche Fehler eintreten.A single identity provider for all enterprise assets will simplify management and security, minimizing the risk of oversights or human mistakes. Das Bereitstellen mehrerer Identitätslösungen (oder einer unvollständigen Lösung) kann zu nicht erzwingbaren Kennwortrichtlinien, Kennwörtern, die nach einer Sicherheitsverletzung nicht zurückgesetzt werden, der Verbreitung von Kennwörtern (häufig unsicher gespeichert) und zu ehemaligen Mitarbeitern, die nach ihrem Ausscheiden Kennwörter behalten, führen.Deploying multiple identity solutions (or an incomplete solution) can result in unenforceable password policies, passwords not reset after a breach, proliferation of passwords (often stored insecurely), and former employees retaining passwords after termination.

Beispielsweise kann Azure Active Directory verwendet werden, um Windows, Linux, Azure, Office 365, Amazon Web Services (AWS), Google Services, (Remotezugriff auf) lokale Legacyanwendungen und Software-as-a-Service-Anbieter von Drittanbietern zu authentifizieren.For example, Azure Active Directory can be used to authenticate Windows, Linux, Azure, Office 365, Amazon Web Services (AWS), Google Services, (remote access to) legacy on-premises applications, and third-party Software as a Service providers.

Erzwingen des bedingten Zugriffs für Benutzer – Zero TrustEnforce conditional access for users - Zero Trust

Die Authentifizierung für alle Benutzer sollte die Messung und Erzwingung wichtiger Sicherheitsattribute zur Unterstützung einer Zero Trust-Strategie umfassen.Authentication for all users should include measurement and enforcement of key security attributes to support a Zero Trust strategy. Die Details dieser Empfehlung finden Sie im Verwaltungsabschnitt Erzwingen des bedingten Zugriffs für ADMINISTRATOREN (Zero Trust).The details of this recommendation are in the administration section Enforce conditional access for ADMINS (Zero Trust). Dieselbe Empfehlung gilt für alle Benutzer, sollte jedoch zuerst auf Konten mit Administratorrechten angewendet werden.The same recommendation applies to all users, but should be applied first to accounts with administrative privileges.

Sie können auch die Verwendung von Kennwörtern durch Anwendungen verringern, indem Sie verwaltete Identitäten verwenden, um den Zugriff auf Ressourcen in Azure zu gewähren.You can also reduce use of passwords by applications using Managed Identities to grant access to resources in Azure.

Angriffssimulation für BenutzerAttack simulation for users

Simulieren Sie zum Zweck der Schulung und Unterstützung von Benutzern regelmäßig Angriffe auf diese.Regularly simulate attacks against users to educate and empower them.

Menschen sind ein kritischer Teil Ihrer Verteidigung, sorgen Sie also dafür, dass diese Benutzer über das entsprechende Wissen verfügen und geeignete Vorgehensweisen zur Vermeidung und Abwehr von Angriffen kennen, wodurch sich das Gesamtrisiko für Ihre Organisation reduzieren lässt.People are a critical part of your defense, so ensure they have the knowledge and skills to avoid and resist attacks will reduce your overall organizational risk.

Dazu können Sie die Funktionen des Angriffssimulators in Office 365 oder andere Drittanbietertools verwenden.You can use Office 365 Attack Simulation capabilities or any number of third-party offerings.

Implementieren bewährter Methoden für Identität in AzureImplementing Identity best practices in Azure

Jede der Empfehlungen aus diesem Abschnitt kann mit Azure Active Directory implementiert werden.Each of the recommendations from this section can be implemented using Azure Active Directory. Weitere Informationen zur Verwendung dieser Funktionen finden Sie in den folgenden Artikeln.See the below articles for more information about how to use these features.

Einzelnes UnternehmensverzeichnisSingle Enterprise Directory

https://docs.microsoft.com/azure/active-directory/hybrid/whatis-hybrid-identity

Synchronisieren von IdentitätssystemenSynchronize Identity Systems

https://docs.microsoft.com/azure/active-directory/connect/active-directory-aadconnect

Verwenden der Cloudanbieter-Identitätsquelle für DrittanbieterUse Cloud Provider Identity Source for Third Parties

https://docs.microsoft.com/azure/active-directory/hybrid/how-to-connect-fed-compatibility

https://docs.microsoft.com/azure/active-directory/b2b/

https://docs.microsoft.com/azure/active-directory-b2c/

Blockieren älterer AuthentifizierungsmethodenBlock Legacy Authentication

Keine Synchronisierung von lokalen Administratorkonten mit CloudidentitätsanbieternDon’t Synchronize On-Premises Admin Accounts to Cloud Identity Providers

Verwenden moderner KennwortschutzangeboteUse Modern Password Protection Offerings

https://docs.microsoft.com/azure/active-directory/identity-protection/overview

https://docs.microsoft.com/azure/active-directory/authentication/concept-password-ban-bad-on-premises

https://docs.microsoft.com/azure/active-directory/reports-monitoring/concept-user-at-risk

https://docs.microsoft.com/azure/active-directory/reports-monitoring/concept-risky-sign-ins

Verwenden der plattformübergreifenden Verwaltung von AnmeldeinformationenUse Cross-Platform Credential Management

https://docs.microsoft.com/azure/virtual-machines/linux/login-using-aad