Schutz von Benutzer- und GerätezugriffProtect user and device access

Der Schutz des Zugriffs auf Ihre Office 365 Daten und-Dienste ist für die Verteidigung gegen Cyber-Angriffe und den Schutz vor Datenverlusten entscheidend.Protecting access to your Office 365 data and services is crucial to defending against cyber-attacks and guarding against data loss. Derselbe Schutz kann auf andere SaaS-Anwendungen in Ihrer Umgebung und sogar auf lokale Anwendungen angewendet werden, die mit Azure Active Directory Application Proxy veröffentlicht werden.The same protections can be applied to other SaaS applications in your environment and even to on-premises applications published with Azure Active Directory Application Proxy.

Schritt 1: Überprüfen der EmpfehlungenStep 1: Review recommendations

Empfohlene Funktionen zum Schutz von Identitäten und Geräten, die auf Office 365, andere SaaS-Dienste und lokale Anwendungen zugreifen, die mit dem Azure AD-Anwendungsproxy veröffentlicht werden.Recommended capabilities for protecting identities and devices that access Office 365, other SaaS services, and on-premises applications published with Azure AD Application Proxy.

PDF | Visio | Weitere SprachenPDF | Visio | More languages

Schritt 2: Schützen von Administratorkonten und ZugriffStep 2: Protect administrator accounts and access

Die Administratorkonten, die Sie zum Verwalten Ihrer Office 365 Umgebung verwenden, umfassen erweiterte Berechtigungen.The administrative accounts you use to administer your Office 365 environment include elevated privileges. Dies sind wertvolle Ziele für Hacker und Cyber-Kriminelle.These are valuable targets for hackers and cyber criminals.

Verwenden Sie zunächst Administratorkonten nur für die Verwaltung.Begin by using administrator accounts only for administration. Administratoren sollten über ein separates Benutzerkonto für reguläre, nicht administrative Zwecke verfügen und bei Bedarf nur Ihr Administratorkonto verwenden, um eine Aufgabe abzuschließen, die ihrer Auftragsfunktion zugeordnet ist.Admins should have a separate user account for regular, non-administrative use and only use their administrative account when necessary to complete a task associated with their job function.

Schützen Sie Ihre Administratorkonten mit mehrstufiger Authentifizierung und bedingtem Zugriff.Protect your administrator accounts with multi-factor authentication and conditional access. Weitere Informationen finden Sie unter Protecting Administrator Accounts.For more information, see Protecting administrator accounts.

Konfigurieren Sie als nächstes die privilegierte Zugriffsverwaltung in Office 365.Next, configure privileged access management in Office 365. Die privilegierte Zugriffsverwaltung ermöglicht eine granulare Zugriffssteuerung über privilegierte Verwaltungsaufgaben in Office 365.Privileged access management allows granular access control over privileged admin tasks in Office 365. Damit können Sie Ihre Organisation vor Verstößen schützen, die vorhandene privilegierte Administratorkonten mit dem ständigen Zugriff auf vertrauliche Daten oder den Zugriff auf wichtige Konfigurationseinstellungen verwenden können.It can help protect your organization from breaches that may use existing privileged admin accounts with standing access to sensitive data or access to critical configuration settings.

Eine weitere wichtige Empfehlung ist die Verwendung von Workstations, die speziell für administrative Arbeiten konfiguriert sind.Another top recommendation is to use workstations specifically configured for administrative work. Hierbei handelt es sich um dedizierte Geräte, die nur für administrative Aufgaben verwendet werden.These are dedicated devices that are only used for administrative tasks. Siehe Sichern von privilegiertem Zugriff.See Securing privileged access.

Schließlich können Sie die Auswirkungen von versehentlichem Mangel an administrativem Zugriff verringern, indem Sie zwei oder mehr Notfall Zugriffskonten in Ihrem Mandanten erstellen.Finally, you can mitigate the impact of inadvertent lack of administrative access by creating two or more emergency access accounts in your tenant. Weitere Informationen finden Sie unter Verwalten von Notfall Zugriffskonten in Azure AD.See Manage emergency access accounts in Azure AD.

Mehrstufige Authentifizierung (MFA) und Richtlinien für bedingten Zugriff sind leistungsstarke Tools zur Minderung von kompromittierten Konten und nicht autorisiertem Zugriff.Multi-factor authentication (MFA) and conditional access policies are powerful tools for mitigating against compromised accounts and unauthorized access. Es wird empfohlen, eine Reihe von Richtlinien zu implementieren, die gemeinsam getestet wurden.We recommend implementing a set of policies that have been tested together. Weitere Informationen, einschließlich Bereitstellungsschritten, finden Sie unter Identity and Device Access Configurations.For more information, including deployment steps, see Identity and device access configurations.

Diese Richtlinien implementieren die folgenden Funktionen:These policies implement the following capabilities:

  • Mult-Factor-AuthentifizierungMult-factor authentication
  • Bedingter ZugriffConditional access
  • InTune-App-Schutz (app und Datenschutz für Geräte)Intune app protection (app and data protection for devices)
  • InTune-Geräte KonformitätIntune device compliance
  • Azure AD Identity ProtectionAzure AD Identity Protection

Implemetning InTune-Gerätekompatibilität erfordert die Geräteregistrierung.Implemetning Intune device compliance requires device enrollment. Durch die Verwaltung von Geräten können Sie sicherstellen, dass Sie ordnungsgemäß und kompatibel sind, bevor Sie Ihnen den Zugriff auf Ressourcen in Ihrer Umgebung ermöglichen.Managing devices allows you to ensure that they are healthy and compliant before allowing them access to resources in your environment. Siehe Registrieren von Geräten für die Verwaltung in InTuneSee Enroll devices for management in Intune

Schritt 4: Konfigurieren von SharePoint-Gerätezugriffs RichtlinienStep 4: Configure SharePoint device access policies

Microsoft empfiehlt, Inhalte auf SharePoint-Websites mit vertraulichen und streng reglementierten Inhalten mit Gerätezugriffs Steuerelementen zu schützen.Microsoft recommends you protect content in SharePoint sites with sensitive and highly-regulated content with device access controls. Weitere Informationen finden Sie unter Richtlinien Empfehlungen für das Sichern von SharePoint-Websites und-Dateien.For more information, see Policy recommendations for securing SharePoint sites and files.