Zero Trust-Identität und Gerätezugriffskonfigurationen
Die Heutigen Mitarbeiter benötigen Zugriff auf Anwendungen und Ressourcen, die über herkömmliche Unternehmensnetzwerkgrenzen hinaus existieren. Sicherheitsarchitekturen, die auf Netzwerkfirewalls und virtuellen privaten Netzwerken (VIRTUAL Private Networks, VPNs) basieren, um den Zugriff auf Ressourcen zu isolieren und einzuschränken, reichen nicht mehr aus.
Um diese neue Welt des Computings zu bewältigen, empfiehlt Microsoft dringend das Zero Trust Sicherheitsmodell, das auf diesen Leitprinzipien basiert:
- Explizite Überprüfung: Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten. Bei dieser Überprüfung sind Zero Trust Identitäts- und Gerätezugriffsrichtlinien für die Anmeldung und die laufende Überprüfung von entscheidender Bedeutung.
- Zugriff mit den geringsten Rechten verwenden: Beschränken Sie den Benutzerzugriff mit Just-In-Time und Just-Enough-Zugriff (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz.
- Sicherheitsverletzung annehmen: Minimieren Sie den Explosionsradius und den Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und nutzen Sie Analysen, um einen Überblick zu erhalten, die Erkennung von Bedrohungen voranzutreiben und den Schutz zu verbessern.
Dies ist die allgemeine Architektur von Zero Trust:
Zero Trust Identitäts- und Gerätezugriffsrichtlinien richten sich an das explizite Überprüfungsprinzip für Folgendes:
- Identitäten: Wenn eine Identität versucht, auf eine Ressource zuzugreifen, überprüfen Sie diese Identität mit starker Authentifizierung, und stellen Sie sicher, dass der angeforderte Zugriff konform und typisch ist.
- Geräte (auch als Endpunkte bezeichnet): Überwachen und Erzwingen von Geräteintegritäts- und Complianceanforderungen für den sicheren Zugriff.
- Anwendungen: Anwenden von Steuerelementen und Technologien auf:
- Stellen Sie die entsprechenden In-App-Berechtigungen sicher.
- Steuern sie den Zugriff basierend auf Echtzeitanalysen.
- Überwachen auf ungewöhnliches Verhalten
- Benutzeraktionen steuern.
- Überprüfen Sie sichere Konfigurationsoptionen.
In dieser Artikelreihe werden eine Reihe von Identitäts- und Gerätezugriffskonfigurationen und -richtlinien beschrieben, die Microsoft Entra ID, bedingten Zugriff, Microsoft Intune und andere Features verwenden. Diese Konfigurationen und Richtlinien bieten Zero Trust Zugriff auf Cloud-Apps und -Dienste von Microsoft 365 für Unternehmen, andere SaaS-Dienste und lokale Anwendungen, die mit Microsoft Entra Anwendungsproxy veröffentlicht werden.
Zero Trust Identitäts- und Gerätezugriffseinstellungen und -richtlinien werden in drei Ebenen empfohlen:
- Ausgangspunkt.
- Enterprise.
- Spezielle Sicherheit für Umgebungen mit streng regulierten oder klassifizierten Daten.
Diese Ebenen und die entsprechenden Konfigurationen bieten konsistente Zero Trust Schutz für Ihre Daten, Identitäten und Geräte. Diese Funktionen und ihre Empfehlungen:
- Werden in Microsoft 365 E3 und Microsoft 365 E5 unterstützt.
- Sind an der Microsoft-Sicherheitsbewertung und -Identitätsbewertung in Microsoft Entra ID ausgerichtet. Wenn Sie den Empfehlungen folgen, werden diese Bewertungen für Ihre organization erhöht.
- Hilfe bei der Implementierung dieser fünf Schritte zum Schützen Ihrer Identitätsinfrastruktur.
Wenn Ihre organization besondere Anforderungen oder Komplexitäten aufweist, verwenden Sie diese Empfehlungen als Ausgangspunkt. Die meisten Organisationen können diese Empfehlungen jedoch wie vorgeschrieben implementieren.
Sehen Sie sich dieses Video an, um einen schnellen Überblick über Identitäts- und Gerätezugriffskonfigurationen für Microsoft 365 Enterprise zu erhalten.
Hinweis
Microsoft verkauft auch ems-Lizenzen (Enterprise Mobility + Security) für Office 365-Abonnements. Ems E3- und EMS E5-Funktionen entsprechen denen in Microsoft 365 E3 und Microsoft 365 E5. Weitere Informationen finden Sie unter EMS-Pläne.
Zielgruppe
Diese Empfehlungen richten sich an Unternehmensarchitekten und IT-Experten, die mit Microsoft 365-Cloudproduktivitäts- und -Sicherheitsdiensten vertraut sind. Zu diesen Diensten gehören Microsoft Entra ID (Identität), Microsoft Intune (Geräteverwaltung) und Microsoft Purview Information Protection (Datenschutz).
Kundenumgebung
Die empfohlenen Richtlinien gelten für Unternehmensorganisationen, die vollständig in der Microsoft-Cloud arbeiten, sowie für Kunden mit hybrider Identitätsinfrastruktur. Eine Hybrididentitätsstruktur ist eine lokales Active Directory Gesamtstruktur, die mit Microsoft Entra ID synchronisiert wird.
Viele unserer Empfehlungen basieren auf Diensten, die nur mit den folgenden Lizenzen verfügbar sind:
- Microsoft 365 E5.
- Microsoft 365 E3 mit dem E5-Sicherheits-Add-On.
- EMS E5.
- Microsoft Entra ID P2-Lizenzen.
Organisationen, die nicht über diese Lizenzen verfügen, empfehlen wir, dass Sie zumindest Sicherheitsstandards implementieren, die in allen Microsoft 365-Plänen enthalten sind.
Vorbehalte
Ihre organization unterliegt möglicherweise gesetzlichen oder anderen Complianceanforderungen, einschließlich spezifischer Empfehlungen, die die Anwendung von Richtlinien erfordern, die von diesen empfohlenen Konfigurationen abweichen. Diese Konfigurationen empfehlen Nutzungssteuerelemente, die in der Vergangenheit nicht verfügbar waren. Wir empfehlen diese Kontrollen, da wir glauben, dass sie ein Gleichgewicht zwischen Sicherheit und Produktivität darstellen.
Wir haben unser Bestes getan, um eine Vielzahl von organisatorischen Schutzanforderungen zu berücksichtigen, aber wir sind nicht in der Lage, alle möglichen Anforderungen oder alle einzigartigen Aspekte Ihrer organization zu berücksichtigen.
Drei Schutzebenen
Die meisten Organisationen haben spezifische Anforderungen bezüglich Datensicherheit und Datenschutz. Diese Anforderungen variieren je nach Branche und Tätigkeiten im Unternehmen. Beispielsweise benötigen Ihre Rechtsabteilung und Administratoren möglicherweise zusätzliche Sicherheits- und Informationsschutzkontrollen für ihre E-Mail-Korrespondenz, die für andere Geschäftseinheiten nicht erforderlich sind.
Jede Branche verfügt auch über ihren eigenen Satz von spezialisierten Vorschriften. Wir versuchen nicht, eine Liste aller möglichen Sicherheitsoptionen oder eine Empfehlung pro Branchensegment oder Stellenfunktion bereitzustellen. Stattdessen bieten wir Empfehlungen für drei Sicherheits- und Schutzebenen, die basierend auf der Granularität Ihrer Anforderungen angewendet werden können.
- Ausgangspunkt: Wir empfehlen allen Kunden, einen Mindeststandard für den Schutz von Daten sowie die Identitäten und Geräte festzulegen, die auf Ihre Daten zugreifen. Sie können diese Empfehlungen befolgen, um einen starken Standardschutz als Ausgangspunkt für alle Organisationen bereitzustellen.
- Unternehmen: Einige Kunden verfügen über eine Teilmenge von Daten, die auf höheren Ebenen geschützt werden müssen, oder alle Daten müssen auf einer höheren Ebene geschützt werden. Sie können einen erhöhten Schutz auf alle oder bestimmte Datasets in Ihrer Microsoft 365-Umgebung anwenden. Es wird empfohlen, Identitäten und Geräte mit Zugriff auf sensible Daten mit einem vergleichbaren Grad an Sicherheit auszustatten.
- Spezialisierte Sicherheit: Bei Bedarf verfügen einige Wenige Kunden über eine kleine Datenmenge, die streng klassifiziert ist, Geschäftsgeheimnisse darstellt oder reguliert ist. Microsoft bietet Funktionen, mit denen diese Kunden diese Anforderungen erfüllen können, einschließlich des zusätzlichen Schutzes für Identitäten und Geräte.
In diesem Leitfaden erfahren Sie, wie Sie Zero Trust Schutz für Identitäten und Geräte für jede dieser Schutzebenen implementieren. Verwenden Sie diese Anleitung mindestens für Ihre organization, und passen Sie die Richtlinien an die spezifischen Anforderungen Ihrer organization an.
Es ist wichtig, einheitliche Schutzebenen für Ihre Identitäten, Geräte und Daten zu verwenden. Beispielsweise sollte der Schutz für Benutzer mit prioritätsbasierten Konten – z. B. Führungskräfte, Führungskräfte, Manager und andere – das gleiche Maß an Schutz für ihre Identitäten, ihre Geräte und die Daten umfassen, auf die sie zugreifen.
Lesen Sie außerdem die Lösung Bereitstellen des Informationsschutzes für Datenschutzbestimmungen zum Schutz der in Microsoft 365 gespeicherten Informationen.
Kompromisse in den Bereichen Sicherheit und Produktivität
Die Implementierung einer Beliebigen Sicherheitsstrategie erfordert Kompromisse zwischen Sicherheit und Produktivität. Es ist hilfreich zu bewerten, wie sich jede Entscheidung auf das Gleichgewicht zwischen Sicherheit, Funktionalität und Benutzerfreundlichkeit auswirkt.
Die bereitgestellten Empfehlungen basieren auf den folgenden Prinzipien:
- Kennen Sie Ihre Benutzer und seien Sie flexibel für ihre Sicherheits- und Funktionsanforderungen.
- Wenden Sie eine Sicherheitsrichtlinie just-in-time an, und stellen Sie sicher, dass sie sinnvoll ist.
Dienste und Konzepte für Zero Trust Identitäts- und Gerätezugriffsschutz
Microsoft 365 enterprise wurde für große Organisationen entwickelt, um jedem die Möglichkeit zu geben, kreativ zu sein und sicher zusammenzuarbeiten.
Dieser Abschnitt bietet eine Übersicht über die Microsoft 365-Dienste und -Funktionen, die für Zero Trust Identitäts- und Gerätezugriff wichtig sind.
Microsoft Entra-ID
Microsoft Entra ID bietet eine vollständige Suite von Identitätsverwaltungsfunktionen. Es wird empfohlen, diese Funktionen zum Sichern des Zugriffs zu verwenden.
| Funktion oder Feature | Beschreibung | Lizenzierung |
|---|---|---|
| Mehrstufige Authentifizierung (MFA) | MFA erfordert, dass Benutzer zwei Arten der Überprüfung bereitstellen, z. B. ein Benutzerkennwort und eine Benachrichtigung aus der Microsoft Authenticator-App oder einen Telefonanruf. MFA verringert das Risiko, dass gestohlene Anmeldeinformationen für den Zugriff auf Ihre Umgebung verwendet werden können, erheblich. Microsoft 365 verwendet den Microsoft Entra mehrstufigen Authentifizierungsdienst für MFA-basierte Anmeldungen. | Microsoft 365 E3 oder E5 |
| Bedingter Zugriff | Microsoft Entra ID wertet die Bedingungen der Benutzeranmeldung aus und verwendet Richtlinien für bedingten Zugriff, um den zulässigen Zugriff zu bestimmen. In diesem Leitfaden wird beispielsweise gezeigt, wie Sie eine Richtlinie für bedingten Zugriff erstellen, um gerätekonform für den Zugriff auf vertrauliche Daten zu verlangen. Dadurch wird das Risiko erheblich reduziert, dass hacker mit ihrem eigenen Gerät und gestohlenen Anmeldeinformationen auf Ihre vertraulichen Daten zugreifen können. Außerdem werden sensible Daten auf den Geräten geschützt, da die Geräte bestimmte Anforderungen an Integrität und Sicherheit erfüllen müssen. | Microsoft 365 E3 oder E5 |
| Microsoft Entra Gruppen | Richtlinien für bedingten Zugriff, Geräteverwaltung mit Intune und sogar Berechtigungen für Dateien und Websites in Ihrem organization basieren auf der Zuweisung zu Benutzerkonten oder Microsoft Entra Gruppen. Es wird empfohlen, Microsoft Entra Gruppen zu erstellen, die den von Ihnen implementierten Schutzebenen entsprechen. Beispielsweise sind Ihre Führungskräfte wahrscheinlich höherwertende Ziele für Hacker. Daher ist es sinnvoll, die Benutzerkonten dieser Mitarbeiter einer Microsoft Entra Gruppe hinzuzufügen und diese Gruppe Richtlinien für bedingten Zugriff und anderen Richtlinien zuzuweisen, die eine höhere Schutzebene für den Zugriff erzwingen. | Microsoft 365 E3 oder E5 |
| Geräteregistrierung | Sie registrieren ein Gerät bei Microsoft Entra ID, um eine Identität für das Gerät zu erstellen. Diese Identität wird verwendet, um das Gerät zu authentifizieren, wenn sich ein Benutzer anmeldet, und um Richtlinien für bedingten Zugriff anzuwenden, die in die Domäne eingebundene oder kompatible PCs erfordern. Für diese Anleitung verwenden wir die Geräteregistrierung, um in die Domäne eingebundene Windows-Computer automatisch zu registrieren. Die Geräteregistrierung ist eine Voraussetzung für die Verwaltung von Geräten mit Intune. | Microsoft 365 E3 oder E5 |
| Microsoft Entra ID Protection | Ermöglicht es Ihnen, potenzielle Sicherheitsrisiken zu erkennen, die sich auf die Identitäten Ihrer organization auswirken, und die automatisierte Korrekturrichtlinie für niedriges, mittleres und hohes Anmelderisiko und Benutzerrisiko zu konfigurieren. Dieser Leitfaden basiert auf dieser Risikobewertung, um Richtlinien für bedingten Zugriff für die mehrstufige Authentifizierung anzuwenden. Dieser Leitfaden enthält auch eine Richtlinie für bedingten Zugriff, die erfordert, dass Benutzer ihr Kennwort ändern müssen, wenn für ihr Konto eine Aktivität mit hohem Risiko erkannt wird. | Microsoft 365 E5 Microsoft 365 E3 mit dem E5 Security-Add-On, EMS E5 oder Microsoft Entra ID P2-Lizenzen |
| Self-Service-Kennwortzurücksetzung (SSPR) | Ermöglichen Sie Es Ihren Benutzern, ihre Kennwörter sicher und ohne Helpdeskeingriff zurückzusetzen, indem Sie mehrere Authentifizierungsmethoden überprüfen, die der Administrator steuern kann. | Microsoft 365 E3 oder E5 |
| Microsoft Entra Kennwortschutz | Erkennen und blockieren Sie bekannte schwache Kennwörter und deren Varianten sowie zusätzliche schwache Begriffe, die für Ihre organization spezifisch sind. Globale Standardlisten für gesperrte Kennwörter werden automatisch auf alle Benutzer in einem Microsoft Entra Mandanten angewendet. Sie können zusätzliche Einträge in einer benutzerdefinierten Liste gesperrter Kennwörter angeben. Wenn Benutzer ihre Kennwörter ändern oder zurücksetzen, werden diese Listen gesperrter Kennwörter überprüft, um die Verwendung von sicheren Kennwörtern zu erzwingen. | Microsoft 365 E3 oder E5 |
Hier finden Sie die Komponenten Zero Trust Identitäts- und Gerätezugriffs, einschließlich Intune und Microsoft Entra-Objekten, Einstellungen und Unterservices.
Microsoft Intune
Intune ist der cloudbasierte Verwaltungsdienst für mobile Geräte von Microsoft. Dieser Leitfaden empfiehlt die Geräteverwaltung von Windows-PCs mit Intune und empfiehlt Konfigurationen von Gerätekonformitätsrichtlinien. Intune bestimmt, ob Geräte kompatibel sind, und sendet diese Daten an Microsoft Entra ID, um sie beim Anwenden von Richtlinien für bedingten Zugriff zu verwenden.
Intune App-Schutz
Intune App-Schutzrichtlinien können verwendet werden, um die Daten Ihrer organization in mobilen Apps mit oder ohne Registrierung von Geräten für die Verwaltung zu schützen. Intune trägt zum Schutz von Informationen bei, um sicherzustellen, dass Ihre Mitarbeiter weiterhin produktiv arbeiten und Datenverluste verhindern können. Durch die Implementierung von Richtlinien auf App-Ebene können Sie den Zugriff auf Unternehmensressourcen einschränken und die Daten innerhalb der Kontrolle Ihrer IT-Abteilung behalten.
In diesem Leitfaden erfahren Sie, wie Sie empfohlene Richtlinien erstellen, um die Verwendung genehmigter Apps zu erzwingen und zu bestimmen, wie diese Apps mit Ihren Geschäftsdaten verwendet werden können.
Microsoft 365
In diesem Leitfaden erfahren Sie, wie Sie eine Reihe von Richtlinien implementieren, um den Zugriff auf Microsoft 365-Clouddienste zu schützen, einschließlich Microsoft Teams, Exchange, SharePoint und OneDrive. Zusätzlich zur Implementierung dieser Richtlinien empfiehlt es sich, die Schutzebene für Ihren Mandanten mithilfe dieser Ressourcen zu erhöhen:
Windows 11 oder Windows 10 mit Microsoft 365 Apps for Enterprise
Windows 11 oder Windows 10 mit Microsoft 365 Apps for Enterprise ist die empfohlene Clientumgebung für PCs. Wir empfehlen Windows 11 oder Windows 10, da Microsoft Entra so konzipiert ist, dass sowohl lokal als auch Microsoft Entra ID möglichst reibungslos funktioniert. Windows 11 oder Windows 10 umfasst auch erweiterte Sicherheitsfunktionen, die über Intune verwaltet werden können. Microsoft 365 Apps for Enterprise enthält die neuesten Versionen von Office-Anwendungen. Diese verwenden eine moderne Authentifizierung, die sicherer ist und eine Voraussetzung für bedingten Zugriff ist. Diese Apps enthalten auch erweiterte Compliance- und Sicherheitstools.
Anwenden dieser Funktionen auf die drei Schutzebenen
In der folgenden Tabelle sind unsere Empfehlungen für die Verwendung dieser Funktionen für die drei Schutzebenen zusammengefasst.
| Schutzmechanismus | Ausgangspunkt | Großunternehmen | Spezialisierte Sicherheit |
|---|---|---|---|
| MFA erzwingen | Bei mittlerem oder höherem Anmelderisiko | Bei niedrigem oder höherem Anmelderisiko | Auf alle neuen Sitzungen |
| Kennwortänderung erzwingen | Für Benutzer mit hohem Risiko | Für Benutzer mit hohem Risiko | Für Benutzer mit hohem Risiko |
| Erzwingen des Intune Anwendungsschutzes | Ja | Ja | Ja |
| Erzwingen Intune Registrierung für organization gerät | Erfordern eines kompatiblen oder in die Domäne eingebundenen PCs, aber Zulassen von BYOD-Smartphones und -Tablets (Bring Your Own Devices) | Erfordern eines kompatiblen oder in die Domäne eingebundenen Geräts | Erfordern eines kompatiblen oder in die Domäne eingebundenen Geräts |
Gerätebesitz
Die obige Tabelle spiegelt den Trend für viele Organisationen wider, eine Mischung aus organization eigenen Geräten und persönlichen oder BYODs zu unterstützen, um die mobile Produktivität in der gesamten Belegschaft zu ermöglichen. Intune App-Schutzrichtlinien stellen sicher, dass E-Mails vor dem Exfiltrieren aus der mobilen Outlook-App und anderen mobilen Office-Apps geschützt sind, sowohl auf organization-Geräten als auch auf BYODs.
Es wird empfohlen, dass organization geräte im Besitz von Intune oder in die Domäne eingebunden werden, um zusätzliche Schutz- und Steuerungsmöglichkeiten anzuwenden. Abhängig von der Vertraulichkeit der Daten entscheidet sich Ihre organization möglicherweise dafür, BYODs für bestimmte Benutzergruppen oder bestimmte Apps nicht zuzulassen.
Bereitstellung und Ihre Apps
Bevor Sie Zero Trust Identitäts- und Gerätezugriffskonfiguration für Ihre integrierten Microsoft Entra-Apps konfigurieren und einführen, müssen Sie:
Entscheiden Sie, welche Apps in Ihrem organization Sie schützen möchten.
Analysieren Sie diese Liste von Apps, um die Richtliniensätze zu ermitteln, die geeignete Schutzebenen bieten.
Sie sollten keine separaten Richtliniensätze für Apps erstellen, da deren Verwaltung umständlich werden kann. Microsoft empfiehlt, Ihre Apps zu gruppieren, die dieselben Schutzanforderungen für dieselben Benutzer haben.
Beispielsweise verfügen Sie über einen Satz von Richtlinien, die alle Microsoft 365-Apps für alle Benutzer für den Startpunktschutz enthalten. Verwenden Sie einen zweiten Satz von Richtlinien für alle sensiblen Apps, z. B. die von Personal- oder Finanzabteilungen verwendeten Apps, und wenden Sie sie auf diese Gruppen an.
Nachdem Sie den Richtliniensatz für die Apps festgelegt haben, die Sie schützen möchten, führen Sie die Richtlinien inkrementell für Benutzer aus, um Probleme zu beheben. Zum Beispiel:
- Konfigurieren Sie die Richtlinien, die Sie für alle Microsoft 365-Apps verwenden möchten.
- Fügen Sie nur Exchange mit den erforderlichen Änderungen hinzu, führen Sie die Richtlinien für Benutzer aus, und bearbeiten Sie alle Probleme.
- Fügen Sie Teams mit den erforderlichen Änderungen hinzu, führen Sie die Richtlinien für Benutzer aus, und bearbeiten Sie alle Probleme.
- Fügen Sie SharePoint mit den erforderlichen Änderungen hinzu, führen Sie die Richtlinien für Benutzer aus, und bearbeiten Sie alle Probleme.
- Fahren Sie mit dem Hinzufügen der restlichen Apps fort, bis Sie diese Startpunktrichtlinien so konfigurieren können, dass sie alle Microsoft 365-Apps einschließen.
Ebenso erstellen Sie für Ihre sensiblen Apps den Richtliniensatz, und fügen Sie jeweils eine App hinzu. Bearbeiten Sie alle Probleme, bis sie alle im Richtliniensatz für sensible Apps enthalten sind.
Microsoft empfiehlt, keine Richtliniensätze zu erstellen, die für alle Apps gelten, da dies zu unbeabsichtigten Konfigurationen führen kann. Beispielsweise können Richtlinien, die alle Apps blockieren, Ihre Administratoren aus dem Microsoft Entra Admin Center sperren, und Ausschlüsse können nicht für wichtige Endpunkte wie Microsoft Graph konfiguriert werden.
Schritte zum Konfigurieren Zero Trust Identitäts- und Gerätezugriffs
- Konfigurieren Sie erforderliche Identitätsfeatures und deren Einstellungen.
- Konfigurieren Sie die allgemeinen Identitäts- und Zugriffsrichtlinien für bedingten Zugriff.
- Konfigurieren von Richtlinien für bedingten Zugriff für Gastbenutzer und externe Benutzer.
- Konfigurieren Sie Richtlinien für bedingten Zugriff für Microsoft 365-Cloud-Apps wie Microsoft Teams, Exchange und SharePoint und Microsoft Defender for Cloud Apps Richtlinien.
Nachdem Sie Zero Trust Identitäts- und Gerätezugriff konfiguriert haben, finden Sie im Microsoft Entra Featurebereitstellungshandbuch eine mehrstufige Checkliste mit zusätzlichen Features, die sie berücksichtigen und Microsoft Entra ID Governance, um den Zugriff zu schützen, zu überwachen und zu überwachen.
Nächster Schritt
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für