Voraussetzungen für die Implementierung von Zero Trust-Identitäts- und Gerätezugriffsrichtlinien

Gilt für

In diesem Artikel werden die Voraussetzungen beschrieben, die Administratoren erfüllen müssen, um empfohlene Zero Trust-Identitäts- und Gerätezugriffsrichtlinien zu verwenden und den bedingten Zugriff zu verwenden. Außerdem werden die empfohlenen Standardwerte für die Konfiguration von Clientplattformen für eine optimale SSO-Erfahrung (Single Sign-On) erläutert.

Voraussetzungen

Bevor Sie die empfohlenen Zero Trust-Identitäts- und Gerätezugriffsrichtlinien verwenden, muss Ihre Organisation die Voraussetzungen erfüllen. Die Anforderungen für die verschiedenen aufgeführten Identitäts- und Authentifizierungsmodelle unterscheiden sich:

  • Rein cloudbasiert
  • Hybride Kennworthashsynchronisierung (Password Hash Sync, PHS)-Authentifizierung
  • Hybrid mit Pass-Through-Authentifizierung (PTA)
  • Federated

In der folgenden Tabelle sind die erforderlichen Features und deren Konfiguration aufgeführt, die für alle Identitätsmodelle gelten, sofern nicht anders angegeben.

Konfiguration Ausnahmen Lizenzierung
Konfigurieren von PHS. Dies muss aktiviert sein, um offengelegte Anmeldeinformationen zu erkennen und für den risikobasierten bedingten Zugriff darauf zu reagieren. Hinweis: Dies ist unabhängig davon erforderlich, ob Ihre Organisation die Verbundauthentifizierung verwendet. Rein cloudbasiert Microsoft 365 E3 oder E5
Ermöglichen Sie eine nahtlose einmalige Anmeldung, um Benutzer automatisch anzumelden, wenn sie sich auf ihren Organisationsgeräten befinden, die mit Ihrem Unternehmensnetzwerk verbunden sind. Nur Cloud und Verbund Microsoft 365 E3 oder E5
Konfigurieren benannter Speicherorte. Azure AD Identity Protection sammelt und analysiert alle verfügbaren Sitzungsdaten, um eine Risikobewertung zu generieren. Es wird empfohlen, die öffentlichen IP-Bereiche Ihrer Organisation für Ihr Netzwerk in der Konfiguration Azure AD benannten Speicherorte anzugeben. Datenverkehr aus diesen Bereichen erhält eine verringerte Risikobewertung, und datenverkehr von außerhalb der Unternehmensumgebung erhält eine höhere Risikobewertung. Microsoft 365 E3 oder E5
Registrieren Sie alle Benutzer für die Self-Service-Kennwortzurücksetzung (SSPR) und die mehrstufige Authentifizierung (MFA). Es wird empfohlen, Benutzer für Azure AD Mehrstufige Authentifizierung vorab zu registrieren. Azure AD Identity Protection verwendet Azure AD mehrstufige Authentifizierung, um eine zusätzliche Sicherheitsüberprüfung durchzuführen. Um eine optimale Anmeldeerfahrung zu erzielen, empfehlen wir Benutzern außerdem, die Microsoft Authenticator-App und die Microsoft Unternehmensportal-App auf ihren Geräten zu installieren. Diese können aus dem App Store für jede Plattform installiert werden. Microsoft 365 E3 oder E5
Aktivieren Sie die automatische Geräteregistrierung von in die Domäne eingebundenen Windows Computern. Der bedingte Zugriff stellt sicher, dass Geräte, die eine Verbindung mit Apps herstellen, in die Domäne eingebunden oder kompatibel sind. Um dies auf Windows Computern zu unterstützen, muss das Gerät bei Azure AD registriert sein. In diesem Artikel wird erläutert, wie Sie die automatische Geräteregistrierung konfigurieren. Rein cloudbasiert Microsoft 365 E3 oder E5
Vorbereiten Ihres Supportteams: Sie sollten vorausplanen, wie Sie mit Benutzern umgehen, die keine MFA durchführen können. Sie können sie z.B. Dies kann das Hinzufügen zu einer Richtlinienausschlussgruppe oder das Registrieren neuer MFA-Informationen für sie sein. Bevor Sie eine dieser sicherheitsrelevanten Änderungen vornehmen, müssen Sie sicherstellen, dass der tatsächliche Benutzer die Anforderung vornimmt. Es kann hilfreich sein, den Vorgesetzten des Benutzers bei der Genehmigung mit einzubeziehen. Microsoft 365 E3 oder E5
Konfigurieren des Kennwortrückschreibens auf lokale AD. Mit dem Kennwortrückschreiben können Azure AD festlegen, dass Benutzer ihre lokalen Kennwörter ändern müssen, wenn eine kompromittierte Konten mit hohem Risiko erkannt wird. Sie können dieses Feature mithilfe von Azure AD Verbinden auf eine von zwei Arten aktivieren: aktivieren Sie entweder das Kennwortrückschreiben im optionalen Featurebildschirm von Azure AD Verbinden Setup oder über Windows PowerShell. Rein cloudbasiert Microsoft 365 E3 oder E5
Konfigurieren sie Azure AD Kennwortschutz. Der Azure AD-Kennwortschutz erkennt und blockiert als schwach bekannte Kennwörter und deren Varianten und kann zusätzlich für Ihre Organisation spezifische schwache Ausdrücke blockieren. Listen standardmäßig global gesperrter Kennwörter werden automatisch auf alle Benutzer in einem Azure AD-Mandanten angewendet. Sie können zusätzliche Einträge in einer benutzerdefinierten Liste gesperrter Kennwörter angeben. Wenn Benutzer ihre Kennwörter ändern oder zurücksetzen, werden diese Listen gesperrter Kennwörter überprüft, um die Verwendung von sicheren Kennwörtern zu erzwingen. Microsoft 365 E3 oder E5
Aktivieren Sie Azure Active Directory Identity Protection. Azure AD Identity Protection ermöglicht es Ihnen, potenzielle Sicherheitsrisiken zu erkennen, die sich auf die Identitäten Ihrer Organisation auswirken, und eine automatisierte Korrekturrichtlinie auf ein niedriges, mittleres und hohes Anmelderisiko und Benutzerrisiko zu konfigurieren. Microsoft 365 E5 oder Microsoft 365 E3 mit dem E5-Sicherheits-Add-On
Aktivieren Sie die moderne Authentifizierung für Exchange Online und für Skype for Business Online. Moderne Authentifizierung ist eine Voraussetzung für die Verwendung von MFA. Die moderne Authentifizierung ist standardmäßig für Office 2016- und 2019-Clients, SharePoint und OneDrive for Business aktiviert. Microsoft 365 E3 oder E5
Aktivieren Sie die fortlaufende Zugriffsauswertung für Azure AD. Die fortlaufende Zugriffsauswertung beendet proaktiv aktive Benutzersitzungen und erzwingt Mandantenrichtlinienänderungen nahezu in Echtzeit. Microsoft 365 E3 oder E5

In diesem Abschnitt werden die Standardkonfigurationen des Plattformclients beschrieben, die empfohlen werden, um Ihren Benutzern die beste SSO-Erfahrung sowie die technischen Voraussetzungen für bedingten Zugriff bereitzustellen.

Windows-Geräte

Wir empfehlen Windows 11 oder Windows 10 (Version 2004 oder höher), da Azure so konzipiert ist, dass sowohl für lokale als auch für Azure AD eine möglichst reibungslose SSO-Erfahrung bereitgestellt wird. Arbeits- oder Schulgeräte sollten so konfiguriert werden, dass sie Azure AD direkt beitreten, oder wenn die Organisation die lokale AD-Domänenverknüpfung verwendet, sollten diese Geräte so konfiguriert werden, dass sie automatisch und automatisch bei Azure AD registriertwerden.

Für BYOD Windows Geräte können Benutzer geschäfts- oder schulkonto hinzufügen verwenden. Beachten Sie, dass Benutzer des Google Chrome-Browsers auf Windows 11 oder Windows 10 Geräten eine Erweiterung installieren müssen, um die gleiche reibungslose Anmeldung wie Microsoft Edge Benutzer zu erhalten. Wenn Ihre Organisation über in die Domäne eingebundene Windows 8- oder 8.1-Geräte verfügt, können Sie Microsoft Workplace Join auch für Computer installieren, die nicht Windows 10 sind. Laden Sie das Paket herunter, um die Geräte bei Azure AD zu registrieren.

iOS-Geräte

Es wird empfohlen, die Microsoft Authenticator-App auf Benutzergeräten zu installieren, bevor Sie bedingte Zugriffsrichtlinien oder MFA-Richtlinien bereitstellen. Die App sollte mindestens installiert werden, wenn Benutzer aufgefordert werden, ihr Gerät bei Azure AD zu registrieren, indem sie ein Geschäfts-, Schul- oder Unikonto hinzufügen, oder wenn sie die Intune-Unternehmensportal-App installieren, um ihr Gerät bei der Verwaltung zu registrieren. Dies hängt von der konfigurierten Richtlinie für bedingten Zugriff ab.

Android-Geräte

Es wird empfohlen, dass Benutzer die Intune-Unternehmensportal-App und Microsoft Authenticator App installieren, bevor Richtlinien für bedingten Zugriff bereitgestellt werden oder wenn dies bei bestimmten Authentifizierungsversuchen erforderlich ist. Nach der Installation der App können Benutzer aufgefordert werden, sich mit Azure AD zu registrieren oder ihr Gerät bei Intune zu registrieren. Dies hängt von der konfigurierten Richtlinie für bedingten Zugriff ab.

Wir empfehlen außerdem, unternehmenseigene Geräte auf OEMs und Versionen zu standardisieren, die Android for Work oder Samsung Knox unterstützen, damit E-Mail-Konten verwaltet und durch intune-MDM-Richtlinien geschützt werden können.

Die folgenden E-Mail-Clients unterstützen moderne Authentifizierung und bedingten Zugriff.

Plattform Client Version/Hinweise
Windows Outlook 2019, 2016, 2013

Aktivieren der modernen Authentifizierung

Erforderliche Updates

iOS Outlook für iOS Neueste Version
Android Outlook für Android Neueste Version
macOS Outlook 2019 und 2016
Linux Nicht unterstützt

Die folgenden Clients werden empfohlen, wenn eine Richtlinie für sichere Dokumente angewendet wurde.

Plattform Word/Excel/PowerPoint OneNote OneDrive-App SharePoint-App OneDrive-Synchronisierungsclient
Windows 11 oder Windows 10 Unterstützt Unterstützt Nicht zutreffend Nicht zutreffend Unterstützt
Windows 8.1 Unterstützt Unterstützt Nicht zutreffend Nicht zutreffend Unterstützt
Android Unterstützt Unterstützt Unterstützt Unterstützt N/V
iOS Unterstützt Unterstützt Unterstützt Unterstützt N/V
macOS Unterstützt Unterstützt Nicht zutreffend Nicht zutreffend Nicht unterstützt
Linux Nicht unterstützt Nicht unterstützt Nicht unterstützt Nicht unterstützt Nicht unterstützt

Microsoft 365-Clientunterstützung

Weitere Informationen zur Clientunterstützung in Microsoft 365 finden Sie in den folgenden Artikeln:

Schützen von Administratorkonten

Für Microsoft 365 E3 oder E5 oder mit separaten Azure AD Premium P1- oder P2-Lizenzen können Sie MFA für Administratorkonten mit einer manuell erstellten Richtlinie für bedingten Zugriff anfordern. Weitere Informationen finden Sie unter "Bedingter Zugriff: MFA für Administratoren anfordern".

Für Editionen von Microsoft 365 oder Office 365, die bedingten Zugriff nicht unterstützen, können Sie die Standardsicherheit aktivieren, um MFA für alle Konten zu erfordern.

Hier sind einige zusätzliche Empfehlungen:

  • Verwenden Sie Azure AD Privileged Identity Management, um die Anzahl der dauerhaften Administratorkonten zu verringern.
  • Verwenden Sie die Verwaltung des privilegierten Zugriffs, um Ihre Organisation vor Verstößen zu schützen, die vorhandene privilegierte Administratorkonten mit ständigem Zugriff auf vertrauliche Daten oder Zugriff auf kritische Konfigurationseinstellungen verwenden können.
  • Erstellen und verwenden Sie separate Konten, die Microsoft 365 Administratorrollen nur für die Verwaltung zugewiesen sind. Administratoren sollten über ein eigenes Benutzerkonto für die normale nicht administrative Verwendung verfügen und nur dann ein Administratorkonto verwenden, wenn dies erforderlich ist, um eine Aufgabe zu erledigen, die ihrer Rolle oder Ihrer Auftragsfunktion zugeordnet ist.
  • Befolgen Sie bewährte Methoden zum Schützen privilegierter Konten in Azure AD.

Nächster Schritt

Schritt 2: Konfigurieren sie die allgemeine Zero Trust-Identität und zugriff auf Richtlinien für bedingten Zugriff.

Konfigurieren der allgemeinen Zero Trust-Identitäts- und Gerätezugriffsrichtlinien