Konfigurationen für Zero Trust-Identität und Gerätezugriff

Gilt für

Sicherheitsarchitekturen, die auf Netzwerkfirewalls und virtuelle private Netzwerke (VIRTUAL Private Networks, VPNs) angewiesen sind, um den Zugriff auf die Technologieressourcen und -dienste eines Unternehmens zu isolieren und einzuschränken, sind für Mitarbeiter, die regelmäßig Zugriff auf Anwendungen und Ressourcen benötigen, die über herkömmliche Unternehmensnetzwerkgrenzen hinausgehen, nicht mehr ausreichend.

Um diese neue Welt des Computings zu bewältigen, empfiehlt Microsoft dringend das Zero Trust-Sicherheitsmodell, das auf diesen Leitprinzipien basiert:

  • Explizit überprüfen

    Authentifizieren und autorisieren Sie immer basierend auf allen verfügbaren Datenpunkten. Hier sind Zero Trust-Identitäts- und Gerätezugriffsrichtlinien für die Anmeldung und die fortlaufende Überprüfung von entscheidender Bedeutung.

  • Verwenden des Zugriffs mit den geringsten Rechten

    Beschränken Sie den Benutzerzugriff mit Just-In-Time- und Just-Enough-Zugriff (JIT/JEA), risikobasierten adaptiven Richtlinien und Datenschutz.

  • Annehmen einer Verletzung

    Minimieren Sie Denkradius und Segmentzugriff. Überprüfen Sie die End-to-End-Verschlüsselung, und nutzen Sie Analysen, um einen Überblick zu erhalten, die Erkennung von Bedrohungen voranzutreiben und den Schutz zu verbessern.

Nachfolgend sehen Sie die Gesamtarchitektur von Zero Trust.

Die Microsoft Zero Trust-Architektur

Zero Trust-Identitäts- und Gerätezugriffsrichtlinien beziehen sich auf das explizite Leitprinzip von Verify für:

  • Identitäten

    Wenn eine Identität versucht, auf eine Ressource zuzugreifen, überprüfen Sie diese Identität mit starker Authentifizierung, und stellen Sie sicher, dass der angeforderte Zugriff konform und typisch ist.

  • Geräte (auch Endpunkte genannt)

    Überwachen und Erzwingen von Anforderungen an Geräteintegrität und Compliance für den sicheren Zugriff.

  • Anwendungen

    Wenden Sie Steuerelemente und Technologien an, um Schatten-IT zu erkennen, geeignete In-App-Berechtigungen sicherzustellen, den Zugriff auf das Tor basierend auf Echtzeitanalysen sicherzustellen, auf ungewöhnliches Verhalten zu überwachen, Benutzeraktionen zu steuern und sichere Konfigurationsoptionen zu überprüfen.

In dieser Artikelreihe werden eine Reihe von Konfigurationen zur Identitäts- und Gerätezugriffsvoraussetzungen sowie eine Reihe von Azure Active Directory (Azure AD) bedingten Zugriff, Microsoft Intune und andere Richtlinien für den Zero Trust-Zugriff auf Microsoft 365 für Unternehmenscloud-Apps und -Dienste, andere SaaS-Dienste und lokale Anwendungen, die mit Azure AD Anwendungsproxy veröffentlicht wurden.

Zero Trust-Identitäts- und Gerätezugriffseinstellungen und -richtlinien werden in drei Ebenen empfohlen: Startpunkt, Unternehmenssicherheit und spezielle Sicherheit für Umgebungen mit streng regulierten oder klassifizierten Daten. Diese Ebenen und ihre entsprechenden Konfigurationen bieten einen konsistenten Zero Trust-Schutz für Ihre Daten, Identitäten und Geräte.

Diese Funktionen und ihre Empfehlungen:

Wenn Ihre Organisation eindeutige Umgebungsanforderungen oder Komplexitäten hat, verwenden Sie diese Empfehlungen als Ausgangspunkt. Die meisten Organisationen können diese Empfehlungen jedoch wie vorgeschrieben implementieren.

Sehen Sie sich dieses Video an, um einen schnellen Überblick über Identitäts- und Gerätezugriffskonfigurationen für Microsoft 365 enterprise zu erhalten.


Hinweis

Microsoft verkauft auch Enterprise Mobility + Security (EMS)-Lizenzen für Office 365 Abonnements. EMS E3- und EMS E5-Funktionen entsprechen denen in Microsoft 365 E3 und Microsoft 365 E5. Details finden Sie in den EMS-Plänen.

Zielgruppe

Diese Empfehlungen richten sich an Enterprise-Architekten und IT-Experten, die mit Microsoft 365 Cloud-Produktivitäts- und Sicherheitsdiensten vertraut sind, einschließlich Azure AD (Identität), Microsoft Intune (Geräteverwaltung) und Microsoft Information Protection ( Datenschutz).

Kundenumgebung

Die empfohlenen Richtlinien gelten für Unternehmensorganisationen, die vollständig innerhalb der Microsoft-Cloud und für Kunden mit hybrider Identitätsinfrastruktur arbeiten, bei denen es sich um eine lokale Active Directory Domain Services (AD DS)-Gesamtstruktur handelt, die mit einem Azure AD Mandanten synchronisiert wird.

Viele der bereitgestellten Empfehlungen basieren auf Diensten, die nur mit Microsoft 365 E5 verfügbar sind, Microsoft 365 E3 mit dem E5 Security-Add-On, EMS E5 oder Azure AD Premium P2 Lizenzen.

Für Organisationen, die nicht über diese Lizenzen verfügen, empfiehlt Microsoft, zumindest Die Sicherheitsstandardszu implementieren, die in allen Microsoft 365 Plänen enthalten sind.

Vorbehalte

Ihre Organisation unterliegt möglicherweise gesetzlichen oder anderen Compliance-Anforderungen, einschließlich spezifischer Empfehlungen, die möglicherweise erfordern, dass Sie Richtlinien anwenden, die von diesen empfohlenen Konfigurationen abweichen. Diese Konfigurationen empfehlen Verwendungssteuerelemente, die in der Vergangenheit nicht verfügbar waren. Wir empfehlen diese Steuerelemente, da wir der Meinung sind, dass sie ein Gleichgewicht zwischen Sicherheit und Produktivität darstellen.

Wir haben unser Bestes getan, um eine Vielzahl von Organisatorischen Schutzanforderungen zu berücksichtigen, aber wir sind nicht in der Lage, alle möglichen Anforderungen oder alle einzigartigen Aspekte Ihrer Organisation zu berücksichtigen.

Drei Schutzebenen

Die meisten Organisationen haben spezifische Anforderungen bezüglich Datensicherheit und Datenschutz. Diese Anforderungen variieren je nach Branche und Tätigkeiten im Unternehmen. Beispielsweise benötigen Ihre Rechtsabteilung und Administratoren möglicherweise zusätzliche Sicherheits- und Informationsschutzkontrollen rund um ihre E-Mail-Korrespondenz, die für andere Geschäftseinheiten nicht erforderlich sind.

Jede Branche verfügt auch über ihren eigenen Satz von spezialisierten Vorschriften. Anstatt eine Liste aller möglichen Sicherheitsoptionen oder eine Empfehlung pro Branchensegment oder Auftragsfunktion bereitzustellen, wurden Empfehlungen für drei verschiedene Sicherheitsebenen und Schutzebenen bereitgestellt, die basierend auf der Granularität Ihrer Anforderungen angewendet werden können.

  • Ausgangspunkt: Wir empfehlen allen Kunden, einen Mindeststandard für den Schutz von Daten sowie die Identitäten und Geräte festzulegen und zu verwenden, die auf Ihre Daten zugreifen. Sie können diesen Empfehlungen folgen, um einen starken Standardschutz als Ausgangspunkt für alle Organisationen bereitzustellen.
  • Enterprise: Einige Kunden verfügen über eine Teilmenge von Daten, die auf höheren Ebenen geschützt werden müssen, oder sie erfordern möglicherweise, dass alle Daten auf einer höheren Ebene geschützt werden. Sie können einen erhöhten Schutz auf alle oder bestimmte Datensätze in Ihrer Microsoft 365 Umgebung anwenden. Es wird empfohlen, Identitäten und Geräte mit Zugriff auf sensible Daten mit einem vergleichbaren Grad an Sicherheit auszustatten.
  • Spezielle Sicherheit: Bei Bedarf verfügen einige Kunden über eine kleine Menge an Daten, die streng klassifiziert sind, Geschäftsgeheimnisse bilden oder reguliert sind. Microsoft bietet Funktionen, die diesen Kunden dabei helfen, diese Anforderungen zu erfüllen, einschließlich des zusätzlichen Schutzes für Identitäten und Geräte.

Sicherheitskegel – Alle Kunden > Einige Kunden > einige Kunden

Dieser Leitfaden zeigt Ihnen, wie Sie zero Trust-Schutz für Identitäten und Geräte für jede dieser Schutzebenen implementieren. Verwenden Sie diese Anleitung als Minimum für Ihre Organisation, und passen Sie die Richtlinien an die spezifischen Anforderungen Ihrer Organisation an.

Es ist wichtig, konsistente Schutzebenen für Ihre Identitäten, Geräte und Daten zu verwenden. Beispielsweise sollte der Schutz für Benutzer mit — Prioritätskonten wie Führungskräfte, Führungskräfte, Vorgesetzte und andere — das gleiche Schutzniveau für ihre Identitäten, geräte und die Daten, auf die sie zugreifen, umfassen.

Weitere Informationen finden Sie unter "Bereitstellen des Informationsschutzes für Datenschutzbestimmungen", um in Microsoft 365 gespeicherte Informationen zu schützen.

Kompromisse in den Bereichen Sicherheit und Produktivität

Die Implementierung jeder Sicherheitsstrategie erfordert Einen Kompromiss zwischen Sicherheit und Produktivität. Es ist hilfreich zu bewerten, wie sich jede Entscheidung auf das Gleichgewicht von Sicherheit, Funktionalität und Benutzerfreundlichkeit auswirkt.

Sicherheitstriad-Balance zwischen Sicherheit, Funktionalität und Benutzerfreundlichkeit.

Die empfehlungen basieren auf den folgenden Prinzipien:

  • Kennen Sie Ihre Benutzer, und seien Sie flexibel für ihre Sicherheits- und Funktionalen Anforderungen.
  • Wenden Sie eine Sicherheitsrichtlinie just in time an, und stellen Sie sicher, dass sie sinnvoll ist.

Dienste und Konzepte für Zero Trust-Identität und Gerätezugriffsschutz

Microsoft 365 für Unternehmen wurde für große Organisationen entwickelt, um jedem zu ermöglichen, kreativ zu sein und sicher zusammenzuarbeiten.

Dieser Abschnitt bietet eine Übersicht über die Microsoft 365 Dienste und Funktionen, die für zero Trust Identity und den Gerätezugriff wichtig sind.

Azure AD

Azure AD bietet eine vollständige Suite von Identitätsverwaltungsfunktionen. Wir empfehlen die Verwendung dieser Funktionen, um den Zugriff zu sichern.

Funktion oder Feature Beschreibung Lizenzierung
Mehrstufige Authentifizierung (MFA) MFA erfordert, dass Benutzer zwei Arten der Überprüfung bereitstellen, z. B. ein Benutzerkennwort und eine Benachrichtigung von der Microsoft Authenticator-App oder einen Telefonanruf. MFA reduziert erheblich das Risiko, dass gestohlene Anmeldeinformationen für den Zugriff auf Ihre Umgebung verwendet werden können. Microsoft 365 verwendet den Azure AD Multi-Factor Authentication-Dienst für MFA-basierte Anmeldungen. Microsoft 365 E3 oder E5
Bedingter Zugriff Azure AD wertet die Bedingungen der Benutzeranmeldung aus und verwendet Richtlinien für bedingten Zugriff, um den zulässigen Zugriff zu ermitteln. In diesem Leitfaden zeigen wir Ihnen beispielsweise, wie Sie eine Richtlinie für bedingten Zugriff erstellen, um gerätekonforme Geräte für den Zugriff auf vertrauliche Daten zu fordern. Dadurch wird das Risiko erheblich reduziert, dass ein Hacker mit einem eigenen Gerät und gestohlenen Anmeldeinformationen auf Ihre vertraulichen Daten zugreifen kann. Außerdem werden vertrauliche Daten auf den Geräten geschützt, da die Geräte bestimmte Anforderungen an Integrität und Sicherheit erfüllen müssen. Microsoft 365 E3 oder E5
Azure AD-Gruppen Richtlinien für bedingten Zugriff, Geräteverwaltung mit Intune und sogar Berechtigungen für Dateien und Websites in Ihrer Organisation basieren auf der Zuweisung zu Benutzerkonten oder Azure AD Gruppen. Es wird empfohlen, Azure AD Gruppen zu erstellen, die den von Ihnen implementierten Schutzebenen entsprechen. Ihre Führungskräfte sind beispielsweise wahrscheinlich ziele mit höherem Wert für Hacker. Daher ist es sinnvoll, die Benutzerkonten dieser Mitarbeiter einer Azure AD Gruppe hinzuzufügen und diese Gruppe Richtlinien für bedingten Zugriff und anderen Richtlinien zuzuweisen, die ein höheres Maß an Schutz für den Zugriff erzwingen. Microsoft 365 E3 oder E5
Geräteregistrierung Sie registrieren ein Gerät bei Azure AD, um eine Identität für das Gerät zu erstellen. Diese Identität wird verwendet, um das Gerät zu authentifizieren, wenn sich ein Benutzer anmeldet, und um Richtlinien für bedingten Zugriff anzuwenden, die domänenverbundene oder kompatible PCs erfordern. Für diese Anleitung verwenden wir die Geräteregistrierung, um computer, die einer Domäne beigetreten sind, automatisch Windows zu registrieren. Die Geräteregistrierung ist eine Voraussetzung für die Verwaltung von Geräten mit Intune. Microsoft 365 E3 oder E5
Azure AD Identity Protection Ermöglicht es Ihnen, potenzielle Sicherheitsrisiken zu erkennen, die sich auf die Identitäten Ihrer Organisation auswirken, und die automatische Korrekturrichtlinie auf ein niedriges, mittleres und hohes Anmelderisiko und Benutzerrisiko zu konfigurieren. Dieser Leitfaden basiert auf dieser Risikobewertung, um Richtlinien für bedingten Zugriff für die mehrstufige Authentifizierung anzuwenden. Dieser Leitfaden enthält auch eine Richtlinie für bedingten Zugriff, die erfordert, dass Benutzer ihr Kennwort ändern, wenn aktivitäten mit hohem Risiko für ihr Konto erkannt werden. Microsoft 365 E5, Microsoft 365 E3 mit den Lizenzen für das E5 Security-Add-On, EMS E5 oder Azure AD Premium P2
Self-Service-Kennwortzurücksetzung (SSPR) Ermöglichen Sie Ihren Benutzern, ihre Kennwörter sicher und ohne Helpdesk-Intervention zurückzusetzen, indem Sie mehrere Authentifizierungsmethoden überprüfen, die der Administrator steuern kann. Microsoft 365 E3 oder E5
Azure AD Kennwortschutz Erkennen und blockieren Sie bekannte schwache Kennwörter und deren Varianten sowie zusätzliche schwache Ausdrücke, die für Ihre Organisation spezifisch sind. Listen standardmäßig global gesperrter Kennwörter werden automatisch auf alle Benutzer in einem Azure AD-Mandanten angewendet. Sie können zusätzliche Einträge in einer benutzerdefinierten Liste gesperrter Kennwörter angeben. Wenn Benutzer ihre Kennwörter ändern oder zurücksetzen, werden diese Listen gesperrter Kennwörter überprüft, um die Verwendung von sicheren Kennwörtern zu erzwingen. Microsoft 365 E3 oder E5

Hier sind die Komponenten der Zero Trust-Identität und des Gerätezugriffs, einschließlich Intune und Azure AD Objekte, Einstellungen und Unterdienste.

Komponenten der Zero Trust-Identität und des Gerätezugriffs.

Microsoft Intune

Intune ist der cloudbasierte Verwaltungsdienst für mobile Geräte von Microsoft. Dieser Leitfaden empfiehlt die Geräteverwaltung von Windows PCs mit Intune und empfiehlt Konfigurationen von Gerätekompatibilitätsrichtlinien. Intune bestimmt, ob Geräte kompatibel sind, und sendet diese Daten an Azure AD, die beim Anwenden von Richtlinien für bedingten Zugriff verwendet werden sollen.

Intune-App-Schutz

Intune-App-Schutzrichtlinien können verwendet werden, um die Daten Ihrer Organisation in mobilen Apps mit oder ohne Registrierung von Geräten bei der Verwaltung zu schützen. Intune trägt zum Schutz von Informationen bei, stellt sicher, dass Ihre Mitarbeiter weiterhin produktiv sein können, und verhindert Datenverluste. Durch die Implementierung von Richtlinien auf App-Ebene können Sie den Zugriff auf Unternehmensressourcen einschränken und Daten in der Kontrolle Ihrer IT-Abteilung behalten.

Dieser Leitfaden zeigt Ihnen, wie Sie empfohlene Richtlinien erstellen, um die Verwendung genehmigter Apps zu erzwingen und zu bestimmen, wie diese Apps mit Ihren Geschäftsdaten verwendet werden können.

Microsoft 365

Dieser Leitfaden zeigt Ihnen, wie Sie eine Reihe von Richtlinien zum Schutz des Zugriffs auf Microsoft 365 Clouddienste implementieren, einschließlich Microsoft Teams, Exchange, SharePoint und OneDrive. Zusätzlich zur Implementierung dieser Richtlinien wird empfohlen, dass Sie auch den Schutzgrad für Ihren Mandanten erhöhen, indem Sie diese Ressourcen verwenden:

Windows 11 oder Windows 10 mit Microsoft 365 Apps for Enterprise

Windows 11 oder Windows 10 mit Microsoft 365 Apps for Enterprise ist die empfohlene Clientumgebung für PCs. Wir empfehlen Windows 11 oder Windows 10, da Azure so konzipiert ist, dass es sowohl für lokale als auch für Azure AD eine möglichst reibungslose Benutzererfahrung bietet. Windows 11 oder Windows 10 umfasst auch erweiterte Sicherheitsfunktionen, die über Intune verwaltet werden können. Microsoft 365 Apps for Enterprise enthält die neuesten Versionen von Office Anwendungen. Diese verwenden moderne Authentifizierung, die sicherer und eine Voraussetzung für bedingten Zugriff ist. Diese Apps enthalten auch erweiterte Compliance- und Sicherheitstools.

Anwenden dieser Funktionen auf drei Schutzebenen

In der folgenden Tabelle sind unsere Empfehlungen für die Verwendung dieser Funktionen über die drei Schutzebenen hinweg zusammengefasst.

Schutzmechanismus Ausgangspunkt Unternehmen Spezielle Sicherheit
MFA erzwingen Bei mittlerem oder höherem Anmelderisiko Bei niedrigem oder höherem Anmelderisiko Auf alle neuen Sitzungen
Erzwingen der Kennwortänderung Für Benutzer mit hohem Risiko Für Benutzer mit hohem Risiko Für Benutzer mit hohem Risiko
Erzwingen des Intune-Anwendungsschutzes Ja Ja Ja
Erzwingen der Intune-Registrierung für unternehmenseigene Geräte Benötigen Sie einen kompatiblen oder in die Domäne eingebundenen PC, lassen Sie jedoch BYOD-Telefone und Tablets (Bring-Your-Own Devices) zu. Anfordern eines kompatiblen oder in die Domäne eingebundenen Geräts Anfordern eines kompatiblen oder in die Domäne eingebundenen Geräts

Gerätebesitz

Die obige Tabelle zeigt den Trend für viele Organisationen, eine Mischung aus unternehmenseigenen Geräten sowie persönlichen Geräten oder BYODs zu unterstützen, um die mobile Produktivität in der gesamten Belegschaft zu ermöglichen. Intune-App-Schutzrichtlinien stellen sicher, dass E-Mails vor dem Exfiltrieren aus der Outlook mobilen App und anderen Office mobilen Apps sowohl auf Unternehmensgeräten als auch auf BYODs geschützt sind.

Es wird empfohlen, geräte im Besitz der Organisation von Intune oder domänenverbunden zu verwalten, um zusätzliche Schutzmaßnahmen und Kontrolle anzuwenden. Je nach Datenempfindlichkeit kann Ihre Organisation BYODs für bestimmte Benutzergruppen oder bestimmte Apps nicht zulassen.

Bereitstellung und Ihre Apps

Bevor Sie die Zero Trust-Identität und die Gerätezugriffskonfiguration für Ihre Azure AD-integrierten Apps konfigurieren und bereitstellen, müssen Sie Folgendes tun:

  • Entscheiden Sie, welche Apps in Ihrer Organisation geschützt werden sollen.

  • Analysieren Sie diese Liste von Apps, um die Gruppen von Richtlinien zu ermitteln, die geeignete Schutzebenen bereitstellen.

    Sie sollten nicht für jede App separate Richtliniensätze erstellen, da deren Verwaltung umständlich werden kann. Microsoft empfiehlt, Ihre Apps zu gruppieren, die die gleichen Schutzanforderungen für dieselben Benutzer haben.

    Sie könnten beispielsweise eine Reihe von Richtlinien haben, die alle Microsoft 365-Apps für alle Ihre Benutzer zum Schutz der Ausgangspunkte und eine zweite Reihe von Richtlinien für alle vertraulichen Apps enthalten, z. B. diejenigen, die von Personal- oder Finanzabteilungen verwendet werden, und sie auf diese Gruppen anwenden.

Nachdem Sie den Satz von Richtlinien für die Apps bestimmt haben, die Sie sichern möchten, führen Sie die Richtlinien inkrementell für Ihre Benutzer aus, um Probleme auf dem Weg zu beheben.

Konfigurieren Sie beispielsweise die Richtlinien, die für alle Ihre Microsoft 365-Apps verwendet werden, nur für Exchange mit den zusätzlichen Änderungen für Exchange. Führen Sie diese Richtlinien für Ihre Benutzer aus, und bearbeiten Sie alle Probleme. Fügen Sie dann Teams mit den zusätzlichen Änderungen hinzu, und führen Sie dies für Ihre Benutzer aus. Fügen Sie dann SharePoint mit den zusätzlichen Änderungen hinzu. Setzen Sie das Hinzufügen der restlichen Apps fort, bis Sie diese Startpunktrichtlinien sicher so konfigurieren können, dass sie alle Microsoft 365 Apps enthalten.

Erstellen Sie entsprechend für Ihre vertraulichen Apps den Richtliniensatz, fügen Sie jeweils eine App hinzu, und bearbeiten Sie alle Probleme, bis sie alle im Richtliniensatz für vertrauliche Apps enthalten sind.

Microsoft empfiehlt, keine Richtliniensätze zu erstellen, die für alle Apps gelten, da dies zu einigen unbeabsichtigten Konfigurationen führen kann. Beispielsweise könnten Richtlinien, die alle Apps blockieren, Ihre Administratoren aus dem Azure-Portal sperren, und Ausschlüsse können nicht für wichtige Endpunkte wie Microsoft Graph konfiguriert werden.

Schritte zum Konfigurieren der Zero Trust-Identität und des Gerätezugriffs

Schritte zum Konfigurieren der Zero Trust-Identität und des Gerätezugriffs.

  1. Konfigurieren Sie die erforderlichen Identitätsfeatures und deren Einstellungen.
  2. Konfigurieren Sie die allgemeinen Identitäts- und Zugriffsrichtlinien für bedingten Zugriff.
  3. Konfigurieren von Richtlinien für bedingten Zugriff für Gastbenutzer und externe Benutzer.
  4. Konfigurieren von Richtlinien für bedingten Zugriff für Microsoft 365 Cloud-Apps — wie Microsoft Teams- Exchange- und — SharePoint- und Microsoft Defender für Cloud-Apps-Richtlinien.

Nachdem Sie die Zero Trust-Identität und den Gerätezugriff konfiguriert haben, finden Sie im Azure AD Bereitstellungshandbuch für Features eine schrittweise Prüfliste mit zusätzlichen Features, die sie berücksichtigen und Azure AD Identity Governance zum Schutz, zur Überwachung und zum Überwachen des Zugriffs.

Nächster Schritt

Voraussetzungen für die Implementierung von Zero Trust-Identitäts- und Gerätezugriffsrichtlinien