Schutz von Benutzer- und Gerätezugriff

Der Schutz des Zugriffs auf Ihre Microsoft 365 Daten und Dienste ist entscheidend für die Abwehr von Cyberangriffen und den Schutz vor Datenverlust. Die gleichen Schutzmaßnahmen können auf andere SaaS-Anwendungen in Ihrer Umgebung und sogar auf lokale Anwendungen angewendet werden, die mit Azure Active Directory Anwendungsproxy veröffentlicht wurden.

Schritt 1: Überprüfen von Empfehlungen

Empfohlene Funktionen zum Schutz von Identitäten und Geräten, die auf Office 365, andere SaaS-Dienste und lokale Anwendungen zugreifen, die mit dem Azure AD-Anwendungsproxy veröffentlicht werden.

PDF | Visio | Weitere Sprachen

Schritt 2: Schützen von Administratorkonten und Zugriff

Zu den Verwaltungskonten, die Sie zum Verwalten Ihrer Microsoft 365 Umgebung verwenden, gehören erhöhte Rechte. Dies sind wertvolle Ziele für Hacker und Cyberangriffe.

Beginnen Sie mit der Verwendung von Administratorkonten nur für die Verwaltung. Administratoren sollten über ein separates Benutzerkonto für die regelmäßige, nicht administrative Verwendung verfügen und ihr Administratorkonto nur dann verwenden, wenn dies erforderlich ist, um eine Aufgabe im Zusammenhang mit ihrer Auftragsfunktion auszuführen.

Schützen Sie Ihre Administratorkonten mit mehrstufiger Authentifizierung und bedingtem Zugriff. Weitere Informationen finden Sie unter "Schützen von Administratorkonten".

Konfigurieren Sie als Nächstes die Verwaltung des privilegierten Zugriffs in Office 365. Die Verwaltung des privilegierten Zugriffs ermöglicht eine präzise steuerbare Zugriffskontrolle über privilegierte Administratoraufgaben in Office 365. Sie kann Dazu beitragen, Ihre Organisation vor Verstößen zu schützen, die vorhandene privilegierte Administratorkonten mit ständigem Zugriff auf vertrauliche Daten oder Zugriff auf kritische Konfigurationseinstellungen verwenden können.

Eine weitere top Empfehlung ist die Verwendung von Arbeitsstationen, die speziell für administrative Arbeit konfiguriert sind. Hierbei handelt es sich um dedizierte Geräte, die nur für administrative Aufgaben verwendet werden. Siehe "Schützen des privilegierten Zugriffs".

Schließlich können Sie die Auswirkungen eines versehentlichen Fehlens von Administratorzugriff verringern, indem Sie zwei oder mehr Notfallzugriffskonten in Ihrem Mandanten erstellen. Siehe Verwalten von Notfallzugriffskonten in Azure AD.

Mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) und Richtlinien für bedingten Zugriff sind leistungsstarke Tools zur Minderung gegen kompromittierte Konten und nicht autorisierten Zugriff. Es wird empfohlen, eine Reihe von Richtlinien zu implementieren, die zusammen getestet wurden. Weitere Informationen, einschließlich der Bereitstellungsschritte, finden Sie unter Identitäts- und Gerätezugriffskonfigurationen.

Diese Richtlinien implementieren die folgenden Funktionen:

  • Mehrstufige Authentifizierung
  • Bedingter Zugriff
  • Intune-App-Schutz (App- und Datenschutz für Geräte)
  • Intune-Gerätekompatibilität
  • Azure AD Identity Protection

Für die Implementierung der Intune-Gerätekompatibilität ist eine Geräteregistrierung erforderlich. Mit der Verwaltung von Geräten können Sie sicherstellen, dass sie fehlerfrei und konform sind, bevor Sie ihnen den Zugriff auf Ressourcen in Ihrer Umgebung ermöglichen. Siehe "Registrieren von Geräten für die Verwaltung in Intune"

Schritt 4: Konfigurieren SharePoint Gerätezugriffsrichtlinien

Microsoft empfiehlt, Inhalte in SharePoint Websites mit vertraulichen und streng regulierten Inhalten mit Gerätezugriffssteuerungen zu schützen. Weitere Informationen finden Sie unter Richtlinienempfehlungen zum Sichern SharePoint Websites und Dateien.