VerwaltungAdministration

Unter Verwaltung wird das Verfahren der Überwachung, der Wartung und des Betriebs von Informationstechnologiesystemen (IT-Systemen) zur Erfüllung der Servicelevels verstanden, die für das Unternehmen erforderlich sind.Administration is the practice of monitoring, maintaining, and operating Information Technology (IT) systems to meet service levels that the business requires. Die Verwaltung birgt einige der größten Sicherheitsrisiken, da die Ausführung dieser Aufgaben einen privilegierten Zugriff auf eine sehr breite Palette der Systeme und Anwendungen erfordert.Administration introduces some of the highest impact security risks because performing these tasks requires privileged access to a very broad set of these systems and applications. Angreifer wissen, dass sie durch den Zugriff auf ein Konto mit Administratorrechten auf die meisten oder alle Daten zugreifen können, die sie anvisieren. Dies macht die Sicherheit der Verwaltung zu einem der wichtigsten Sicherheitsbereiche.Attackers know that gaining access to an account with administrative privileges can get them access to most or all of the data they would target, making the security of administration one of the most critical security areas.

Microsoft investiert beispielsweise erheblich in den Schutz und die Schulung von Administratoren für seine Cloud- und IT-Systeme:As an example, Microsoft makes significant investments in protection and training of administrators for our cloud systems and IT systems:

Screenshot einer automatisch generierten Beschreibung für ein Mobiltelefon

Die empfohlene Kernstrategie von Microsoft für Administratorrechte ist die Verwendung der verfügbaren Kontrollen zur Risikominimierung.Microsoft’s recommended core strategy for administrative privileges is to use the available controls to reduce risk

Verringerung der Risikoexposition (Umfang und Zeit): Das Prinzip der geringsten Privilegien lässt sich am besten mit modernen Kontrollen erreichen, die Berechtigungen bedarfsgesteuert bereitstellen.Reduce risk exposure (scope and time) – The principle of least privilege is best accomplished with modern controls that provide privileges on demand. Dies trägt dazu bei, das Risiko zu begrenzen, indem die Verfügbarkeit von Administratorrechten wie folgt eingeschränkt wird:This help to limit risk by limiting administrative privileges exposure by:

  • ScopeJust Enough Access (Jea) bietet nur die erforderlichen Berechtigungen für den erforderlichen administrativen Vorgang (vs. direkte und unmittelbare Berechtigungen für viele oder alle Systeme gleichzeitig, was fast nie erforderlich ist).ScopeJust Enough Access (JEA) provides only the required privileges for the administrative operation required (vs. having direct and immediate privileges to many or all systems at a time, which is almost never required).

  • Time Just- in-time-(Just-in-Time) -Ansätze, die die erforderlichen privilegierten Anforderungen bereitstellen.TimeJust in Time (JIT) approaches provided the required privileged as they are needed.

  • Mindern der restlichen Risiken – verwenden Sie eine Kombination aus vorbeugenden und Detektiven Steuerungsmechanismen, um Risiken zu verringern, wie z. b. das Isolieren von Administrator Konten vor den gängigsten Risiken Phishing und allgemeines Webbrowser, das vereinfachen und Optimieren Ihres Workflows, das Erhöhen der Sicherheit von Authentifizierungs Entscheidungen und das Identifizieren von Anomalien aus dem normalen Baseline-Verhalten, dasMitigate the remaining risks – Use a combination of preventive and detective controls to reduce risks such as isolating administrator accounts from the most common risks phishing and general web browsing, simplifying and optimizing their workflow, increasing assurance of authentication decisions, and identifying anomalies from normal baseline behavior that can be blocked or investigated.

Microsoft hat bewährte Methoden zum Schutz von Administratorkonten erfasst und dokumentiert und priorisierte Roadmaps zum Schutz von privilegiertem Zugriff veröffentlicht, die als Referenzen für die Priorisierung von Risikominderungen für Konten mit privilegiertem Zugriff herangezogen werden können.Microsoft has captured and documented best practices for protecting administrative accounts and published prioritized roadmaps for protecting privileged access that can be used as references for prioritizing mitigations for accounts with privileged access.

Minimieren der Anzahl der Administratoren mit potenziell kritischen AuswirkungenMinimize number of critical impact admins

Gewähren Sie Berechtigungen, die sich kritisch auf das Unternehmen auswirken können, nur für die geringstmögliche Anzahl von Konten.Grant the fewest number of accounts to privileges that can have a critical business impact

Jedes Administratorkonto stellt eine potenzielle Angriffsfläche für einen Angreifer dar. Durch die Minimierung der Anzahl von Konten mit der entsprechenden Berechtigung wird auch das allgemeine Risiko im Betrieb begrenzt.Each admin account represents potential attack surface that an attacker can target, so minimizing the number of accounts with that privilege helps limit the overall organizational risk. Die Erfahrung hat uns gelehrt, dass die Anzahl der Mitglieder dieser privilegierten Gruppen mit der Zeit wächst, wenn Benutzer Rollen wechseln, falls die Mitgliedschaft nicht aktiv begrenzt und verwaltet wird.Experience has taught us that membership of these privileged groups grows naturally over time as people change roles if membership not actively limited and managed.

Es empfiehlt sich eine Vorgehensweise, die das Risiko der Angriffsfläche verringert und für den Fall eines Vorkommnisses im Hinblick auf den Administrator gleichzeitig die Geschäftskontinuität gewährleistet:We recommend an approach that reduces this attack surface risk while ensuring business continuity in case something happens to an administrator:

  • Weisen Sie der privilegierten Gruppe aus Gründen der Geschäftskontinuität mindestens zwei Konten zu.Assign at least two accounts to the privileged group for business continuity

  • Wenn zwei oder mehr Konten erforderlich sind, geben Sie eine Begründung für jedes Mitglied an, auch für die ursprünglichen zwei Konten.When two or more accounts are required, provide justification for each member including the original two

  • Überprüfen Sie regelmäßig die Mitgliedschaft und die Begründung für jedes Gruppenmitglied.Regularly review membership & justification for each group member

Verwaltete Konten für AdministratorenManaged accounts for admins

Stellen Sie sicher, dass alle Administratoren mit potenziell kritischen Auswirkungen im Unternehmensverzeichnis verwaltet werden, um die Erzwingung der Unternehmensrichtlinien zu gewährleisten.Ensure all critical impact admins in are managed by enterprise directory to follow organizational policy enforcement.

Consumerkonten, beispielsweise Microsoft-Konten wie @Hotmail.com, @live.com und @outlook.com, bieten keine ausreichende Sicherheitssichtbarkeit und -kontrolle, um sicherzustellen, dass die Richtlinien der Organisation und eventuelle rechtliche Anforderungen erfüllt werden.Consumer accounts such as Microsoft accounts like @Hotmail.com, @live.com, @outlook.com, don’t offer sufficient security visibility and control to ensure the organization’s policies and any regulatory requirements are being followed. Da Azure-Bereitstellungen häufig klein und informell beginnen, bevor sie sich zu vom Unternehmen verwalteten Mandanten entwickeln, bleiben einige Consumerkonten lange Zeit als Administratorkonto erhalten, z. B. ursprüngliche Azure-Projektleiter, sodass Schlupflöcher und potenzielle Risiken entstehen.Because Azure deployments often start small and informally before growing into enterprise-managed tenants, some consumer accounts remain as administrative accounts long afterward for example, original Azure project managers, creating blind spots, and potential risks.

Separate Konten für AdministratorenSeparate accounts for admins

Stellen Sie sicher, dass Administratoren mit potenziell kritischen Auswirkungen über ein separates Konto für administrative Aufgaben verfügen (neben dem Konto, das sie für E-Mails, Webbrowsing und andere Produktivitätsaufgaben verwenden).Ensure all critical impact admins have a separate account for administrative tasks (vs the account they use for email, web browsing, and other productivity tasks).

Phishing- und Webbrowserangriffe sind die häufigsten Angriffsvektoren zur Kompromittierung von Konten – das schließt auch Administratorkonten ein.Phishing and web browser attacks represent the most common attack vectors to compromise accounts, including administrative accounts.

Erstellen Sie ein separates Administratorkonto für alle Benutzer mit einer Rolle, für die kritische Berechtigungen erforderlich sind.Create a separate administrative account for all users that have a role requiring critical privileges. Blockieren Sie für diese Administratorkonten Produktivitätstools wie Office 365-E-Mail (Entfernen der Lizenz).For these administrative accounts, block productivity tools like Office 365 email (remove license). Blockieren Sie nach Möglichkeit das normale Webbrowsing (mit Proxy- und/oder Anwendungskontrollen), und lassen Sie Ausnahmen für die Navigation zum Azure-Portal und anderen Websites zu, die für administrative Aufgaben erforderlich sind.If possible, block arbitrary web browsing (with proxy and/or application controls) while allowing exceptions for browsing to the Azure portal and other sites required for administrative tasks.

Kein ständiger Zugriff/Just-in-Time-BerechtigungenNo standing access / Just in Time privileges

Vermeiden Sie den permanenten „ständigen“ Zugriff für alle Konten mit potenziell kritischen Auswirkungen.Avoid providing permanent “standing” access for any critical impact accounts

Permanente Berechtigungen erhöhen das Geschäftsrisiko durch Verlängerung der Zeit, in der Angreifer über das Konto Schaden anrichten können.Permanent privileges increase business risk by increasing the time an attacker can use the account to do damage. Durch temporäre Berechtigungen sind Angreifer, die ein bestimmtes Konto anvisieren, gezwungen, entweder innerhalb der begrenzten Zeit, in der der Administrator das Konto bereits verwendet, zu agieren oder Rechteerweiterungen zu initiieren (wodurch sich die Gefahr erhöht, erkannt zu werden und aus der Umgebung entfernt zu werden).Temporary privileges force attackers targeting an account to either work within the limited times the admin is already using the account or to initiate privilege elevation (which increases their chance of being detected and removed from the environment).

Gewähren Sie erforderliche Berechtigungen nur bei Bedarf unter Anwendung einer der folgenden Methoden:Grant privileges required only as required using one of these methods:

  • Just-in-Time- Aktivieren von Azure AD Privileged Identity Management (PIM) oder einer Drittanbieter Lösung für die Verwendung eines Genehmigungs Workflows zum Abrufen von Berechtigungen für Konten mit schwerwiegenden AuswirkungenJust in Time - Enable Azure AD Privileged Identity Management (PIM) or a third party solution to require following an approval workflow to obtain privileges for critical impact accounts

  • Notfallmethode: Führen Sie für selten verwendete Konten einen Prozess für den Notfallzugriff aus, um Zugriff auf die Konten zu gewähren.Break glass – For rarely used accounts, follow an emergency access process to gain access to the accounts. Dies empfiehlt sich für Berechtigungen, die nur selten für die reguläre betriebliche Nutzung benötigt werden, z. B. für Mitglieder von globalen Administratorkonten.This is preferred for privileges that have little need for regular operational usage like members of global admin accounts.

Konten für den NotfallzugriffEmergency access or ‘Break Glass’ accounts

Stellen Sie sicher, dass Sie über einen Mechanismus verfügen, um im Notfall Administratorzugriff zu erhalten.Ensure you have a mechanism for obtaining administrative access in case of an emergency

Obwohl dies nur selten eintritt, ist es in extremen Fällen möglich, dass alle normalen Optionen des Administratorzugriffs nicht verfügbar sind.While rare, sometimes extreme circumstances arise where all normal means of administrative access are unavailable.

Es empfiehlt sich die Befolgung der Anweisungen unter Verwalten von Konten für den Notfallzugriff in Azure AD. Stellen Sie außerdem sicher, dass diese Konten durch Sicherheitsvorgänge sorgfältig überwacht werden.We recommend following the instructions at Managing emergency access administrative accounts in Azure AD and ensure that security operations monitor these accounts carefully.

Sicherheit der AdministratorarbeitsstationAdmin workstation security

Stellen Sie sicher, dass Administratoren mit potenziell kritischen Auswirkungen eine Arbeitsstation mit erhöhtem Sicherheitsschutz und erhöhter Sicherheitsüberwachung verwenden.Ensure critical impact admins use a workstation with elevated security protections and monitoring

Angriffsvektoren, die das Browsing und E-Mails wie Phishing verwenden, sind billig und werden häufig verwendet.Attack vectors that use browsing and email like phishing are cheap and common. Durch die Isolierung von Administratoren mit potenziell kritischen Auswirkungen verringert sich das Risiko eines größeren Vorfalls signifikant, bei dem eines dieser Konten kompromittiert und dazu verwendet wird, Ihr Unternehmen oder Ihre Geschäftstätigkeit erheblich zu schädigen.Isolating critical impact admins from these risks will significantly lower your risk of a major incident where one of these accounts is compromised and used to materially damage your business or mission.

Wählen Sie die Sicherheitsstufe für die Administratorarbeitsstation basierend auf den unter https://aka.ms/securedworkstation verfügbaren Optionen aus.Choose level of admin workstation security based on the options available at https://aka.ms/securedworkstation

  • Hochgradig sicheres Produktivitätsgerät (Arbeitsstation mit erhöhter Sicherheit oder spezialisierte Arbeitsstation)Highly Secure Productivity Device (Enhanced Security Workstation or Specialized Workstation)
    Sie können diese Sicherheitsstufe für Administratoren mit potenziell kritischen Auswirkungen festlegen, indem Sie für sie eine Arbeitsstation mit erhöhter Sicherheit bereitstellen, auf der allgemeines Browsen und Produktivitätsaufgaben weiterhin möglich sind.You can start this security journey for critical impact admins by providing them with a higher security workstation that still allows for general browsing and productivity tasks. Die Verwendung dieses Zwischenschritts erleichtert den Übergang zu vollständig isolierten Arbeitsstationen für die Administratoren mit potenziell kritischen Auswirkungen sowie für die IT-Mitarbeiter, die diese Benutzer und ihre Arbeitsstationen unterstützen.Using this as an interim step helps ease the transition to fully isolated workstations for both the critical impact admins as well as the IT staff supporting these users and their workstations.

  • Arbeitsstation mit privilegiertem Zugriff (spezialisierte Arbeitsstation oder geschützte Arbeitsstation)Privileged Access Workstation (Specialized Workstation or Secured Workstation)
    Diese Konfigurationen stellen den idealen Sicherheitszustand für Administratoren mit potenziell kritischen Auswirkungen dar, da sie den Zugriff für Angriffsvektoren für Phishing-Angriffe sowie Angriffe auf Browser und Anwendungen stark einschränken.These configurations represent the ideal security state for critical impact admins as they heavily restrict access to phishing, browser, and productivity application attack vectors. Diese Arbeitsstationen erlauben kein allgemeines Browsen im Internet, lediglich der Browserzugriff auf das Azure-Portal und andere administrative Websites ist zulässig.These workstations don’t allow general internet browsing, only allow browser access to Azure portal and other administrative sites.

Abhängigkeiten für Administratoren mit potenziell kritischen Auswirkungen – Konto und ArbeitsstationCritical impact admin dependencies – Account/Workstation

Wählen Sie die lokalen Sicherheitsabhängigkeiten für Konten mit potenziell kritischen Auswirkungen und die entsprechenden Arbeitsstationen sorgfältig aus.Carefully choose the on-premises security dependencies for critical impact accounts and their workstations

Um das Risiko zu vermeiden, dass ein größerer Vorfall am lokalen Standort eine Kompromittierung von Cloudressourcen nach sich zieht, müssen Sie die Kontrollmöglichkeiten der lokalen Ressourcen für in der Cloud vorhandene Konten mit potenziell kritischen Auswirkungen entfernen oder minimieren.To contain the risk from a major incident on-premises spilling over to become a major compromise of cloud assets, you must eliminate or minimize the means of control that on premises resources have to critical impact accounts in the cloud. Beispielsweise können Angreifer, die die lokale Active Directory-Instanz kompromittieren, auf cloudbasierte Ressourcen, die von diesen Konten abhängen, zugreifen und diese kompromittieren (z. B. Ressourcen in Azure, Amazon Web Services (AWS), ServiceNow usw.).As an example, attackers who compromise the on premises Active Directory can access and compromise cloud-based assets that rely on those accounts like resources in Azure, Amazon Web Services (AWS), ServiceNow, and so on. Angreifer erhalten außerdem über die in diese lokalen Domänen eingebundenen Arbeitsstationen Zugriff auf die darin verwalteten Konten und Dienste.Attackers can also use workstations joined to those on premises domains to gain access to accounts and services managed from them.

Wählen Sie die Isolationsstufe über die lokalen Kontrolloptionen (auch als Sicherheitsabhängigkeiten bezeichnet) für Konten mit potenziell kritischen Auswirkungen aus.Choose the level of isolation from on premises means of control also known as security dependencies for critical impact accounts

  • Benutzerkonten: Wählen Sie aus, wo die Konten mit potenziell kritischen Auswirkungen gehostet werden.User Accounts – Choose where to host the critical impact accounts

  • Arbeits Stationen – wählen Sie aus, wie die von kritischen Administrator Konten verwendeten Arbeitsstationen verwaltet und gesichert werden sollen:Workstations – Choose how you will manage and secure the workstations used by critical admin accounts:

    • Native Verwaltung und Sicherheit der Cloud (empfohlen): Verknüpfen Sie Arbeitsstationen mit Azure AD, und verwalten und patchen Sie sie mit Intune oder anderen Clouddiensten.Native Cloud Management & Security (Recommended) - Join workstations to Azure AD & Manage/Patch them with Intune or other cloud services. Schützen und überwachen Sie sie mit Microsoft Defender ATP oder einem anderen Clouddienst, der nicht über lokal basierte Konten verwaltet wird.Protect and Monitor with Windows Microsoft Defender ATP or another cloud service not managed by on premises based accounts.

    • Verwalten mit vorhandenen Systemen: Verknüpfen Sie die vorhandene AD-Domäne, und nutzen Sie die vorhandene Verwaltung und Sicherheit.Manage with Existing Systems - Join existing AD domain & leverage existing management/security.

Dies steht im Zusammenhang mit dem Leitfaden " lokale Administrator Konten nicht mit cloudidentitäts Anbietern für cloudidentitätsanbieter synchronisieren" im Abschnitt "Verwaltung", der das umgekehrte Risiko der Pivotierung von cloudressourcen an lokale Ressourcen verringert.This is related to the Don’t synchronize on-premises admin accounts to cloud identity providers to cloud identity providers guidance in the administration section that mitigates the inverse risk of pivoting from cloud assets to on-premises assets

Kennwortlose Authentifizierung oder mehrstufige Authentifizierung für AdministratorenPasswordless Or multi-factor authentication for admins

Legen Sie fest, dass alle Administratoren mit potenziell kritischen Auswirkungen die kennwortlose Authentifizierung oder die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) verwenden müssen.Require all critical impact admins to use passwordless authentication or multi-factor authentication (MFA).

Die Angriffsmethoden haben sich bis zu dem Punkt entwickelt, an dem Kennwörter allein ein Konto nicht mehr zuverlässig schützen können.Attack methods have evolved to the point where passwords alone cannot reliably protect an account. Dies ist in einer Microsoft Ignite-Sitzung ausführlich dokumentiert.This is well documented in a Microsoft Ignite Session.

Für Administratorkonten und alle kritischen Konten sollte eine der folgenden Authentifizierungsmethoden verwendet werden.Administrative accounts and all critical accounts should use one of the following methods of authentication. Diese Funktionen sind in der Reihenfolge von den höchsten Kosten/Schwierigkeiten für Angriffe (stärkste/bevorzugte Optionen) bis zu den niedrigsten Kosten/Schwierigkeiten für Angriffe aufgeführt:These capabilities are listed in preference order by highest cost/difficulty to attack (strongest/preferred options) to lowest cost/difficult to attack:

Beachten Sie, dass die auf SMS-Textnachrichten basierende Multi-Factor Authentication von Angreifern äußerst kostengünstig umgangen werden kann, sodass empfohlen wird, sich nicht mehr darauf zu verlassen.Note that SMS Text Message based MFA has become very inexpensive for attackers to bypass, so we recommend you avoid relying on it. Diese Option ist immer noch stärker als die alleinige Verwendung von Kennwörtern, jedoch weitaus schwächer als andere MFA-Optionen.This option is still stronger than passwords alone, but is much weaker than other MFA options

Erzwingen des bedingten Zugriffs für Administratoren – Zero TrustEnforce conditional access for admins - Zero Trust

Die Authentifizierung für alle Administratoren und anderen Konten mit potenziell kritischen Auswirkungen sollte die Messung und Erzwingung wichtiger Sicherheitsattribute zur Unterstützung einer Zero Trust-Strategie umfassen.Authentication for all admins and other critical impact accounts should include measurement and enforcement of key security attributes to support a Zero Trust strategy.

Angreifer, die Azure-Administratorkonten kompromittieren, können erhebliche Schäden verursachen.Attackers compromising Azure Admin accounts can cause significant harm. Dieses Risiko kann durch den bedingten Zugriff erheblich reduziert werden, dadurch dass bestimmte Sicherheitsattribute erzwungen werden, bevor der Zugriff auf die Azure-Verwaltung erfolgen kann.Conditional Access can significantly reduce that risk by enforcing security hygiene before allowing access to Azure management.

Konfigurieren Sie die Richtlinie für bedingten Zugriff für die Azure-Verwaltung , die die Risiko-und Betriebsanforderungen Ihrer Organisation erfüllt.Configure Conditional Access policy for Azure management that meets your organization’s risk appetite and operational needs.

  • Machen Sie die mehrstufige Authentifizierung und/oder die Verbindung über das designierte Arbeitsnetzwerk erforderlich.Require Multifactor Authentication and/or connection from designated work network

  • Machen Sie die Geräteintegrität mit Microsoft Defender ATP erforderlich (hohe Sicherheit)Require Device integrity with Microsoft Defender ATP (Strong Assurance)

Vermeiden differenzierter und benutzerdefinierter BerechtigungenAvoid granular and custom permissions

Vermeiden Sie Berechtigungen, die speziell für einzelne Ressourcen oder Benutzer gelten.Avoid permissions that specifically reference individual resources or users

Spezifische Berechtigungen schaffen unnötige Komplexität und Verwirrung, da ihr Zweck nicht auf neue ähnliche Ressourcen übertragen werden kann.Specific permissions create unneeded complexity and confusion as they don’t carry the intention to new similar resources. Dies führt dann zu einer komplexen Legacykonfiguration, die sich nur schwer verwalten oder ändern lässt – zumindest ohne befürchten zu müssen, Fehler zu verursachen – und so die Sicherheit und Flexibilität der Lösung beeinträchtigt.This then accumulates into a complex legacy configuration that is difficult to maintain or change without fear of “breaking something” – negatively impacting both security and solution agility.

Anstatt spezielle ressourcenspezifische Berechtigungen zuzuweisen, können Sie Folgendes verwenden:Instead of assigning specific resource-specific permissions, use either

  • Verwaltungsgruppen für unternehmensweite BerechtigungenManagement Groups for enterprise-wide permissions

  • Ressourcengruppen für Berechtigungen in AbonnementsResource groups for permissions within subscriptions

Anstatt bestimmten Benutzern Berechtigungen zu erteilen, weisen Sie den Gruppen in Azure AD den Zugriff zu.Instead of granting permissions to specific users, assign access to groups in Azure AD. Wenn keine geeignete Gruppe vorhanden ist, können Sie in Zusammenarbeit mit dem Identitätsteam eine neue Gruppe erstellen.If there isn’t an appropriate group, work with the identity team to create one. Auf diese Weise können Sie Gruppenmitglieder extern in Azure hinzufügen und entfernen und sicherstellen, dass die Berechtigungen aktuell sind. Außerdem können Sie festlegen, dass die Gruppe auch für andere Zwecke wie z. B. Adressenlisten verwendet werden kann.This allows you to add and remove group members externally to Azure and ensure permissions are current, while also allowing the group to be used for other purposes such as mailing lists.

Verwenden von integrierten RollenUse built-in roles

Verwenden Sie nach Möglichkeit integrierte Rollen für die Zuweisung von Berechtigungen.Use built-in roles for assigning permissions where possible.

Anpassungen erhöhen die Komplexität und können zu Verwirrungen führen. Außerdem machen sie die Automatisierung komplizierter und störanfälliger.Customization leads to complexity that increases confusion and makes automation more complex, challenging, and fragile. Alle diese Faktoren wirken sich negativ auf die Sicherheit aus.These factors all negatively impact security

Es wird empfohlen, sich genauer mit den integrierten Rollen zu beschäftigen, da sie für die meisten gängigen Szenarien konzipiert sind.We recommend that you evaluate the built-in roles designed to cover most normal scenarios. Benutzerdefinierte Rollen sind eine leistungsstarke und manchmal nützliche Funktion, sollten jedoch für Fälle reserviert werden, wenn integrierte Rollen nicht funktionieren.Custom roles are a powerful and sometimes useful capability, but they should be reserved for cases when built in roles won’t work.

Einrichten der Lebenszyklusverwaltung für Konten mit potenziell kritischen AuswirkungenEstablish lifecycle management for critical impact accounts

Stellen Sie sicher, dass Sie einen Prozess zum Deaktivieren oder Löschen von Administratorkonten festlegen für den Fall, dass Administratoren die Organisation verlassen (oder keine administrative Funktion mehr ausüben).Ensure you have a process for disabling or deleting administrative accounts when admin personnel leave the organization (or leave administrative positions)

Weitere Informationen finden Sie unter Regelmäßiges Überprüfen des kritischen Zugriffs.See Regularly review critical access for more details.

Angriffssimulation für Konten mit potenziell kritischen AuswirkungenAttack simulation for critical impact accounts

Simulieren Sie zum Zweck der Schulung und Unterstützung regelmäßig Angriffe auf Administratorbenutzer mit aktuellen Angriffsmethoden.Regularly simulate attacks against administrative users with current attack techniques to educate and empower them.

Personen spielen eine wichtige Rolle bei der Abwehr von Angriffen. Dies gilt insbesondere für Ihre Mitarbeiter mit Zugriff auf Konten mit potenziell kritischen Auswirkungen.People are a critical part of your defense, especially your personnel with access to critical impact accounts. Wenn Sie dafür sorgen, dass diese Benutzer (und im Idealfall alle Benutzer) über das entsprechende Wissen verfügen und geeignete Vorgehensweisen zur Abwehr von Angriffen kennen, kann das Gesamtrisiko für Ihre Organisation reduziert werden.Ensuring these users (and ideally all users) have the knowledge and skills to avoid and resist attacks will reduce your overall organizational risk.

Dazu können Sie die Funktionen des Angriffssimulators in Office 365 oder andere Drittanbietertools verwenden.You can use Office 365 Attack Simulation capabilities or any number of third party offerings.

Nächste SchritteNext steps

Weitere Sicherheitshinweise von Microsoft finden Sie in der Microsoft-Sicherheits Dokumentation.For additional security guidance from Microsoft, see Microsoft security documentation.